【文章內容簡介】 系的介紹和說明 ? 安全控制措施的架構，包括風險管理的架構 ? 對安全管理職責的定義和劃分 ? 需要遵守的法律法規(guī) ? 安全教育和培訓的要求 ? 違反安全策略的后果 ? 針對特定工作、特定系統(tǒng)應遵守的安全規(guī)則，如XXX系統(tǒng)訪問控制策略、防病毒制度等 安全策略 ? 注意事項： ? 得到管理層的審核批準 ? 應采取適當的方式讓有關人員獲得并理解最新版本的策略文檔 ? 控制安全策略的發(fā)布范圍，注意保密 ? 系統(tǒng)變更后和定期的策略文件評審和改進 安全組織體系 ： 內部組織 ? 管理層承諾：確定組織的總體安全目標 ? 為信息安全管理提供方向性的指導 ? 制定、評審和批準安全策略 ? 評審安全策略的有效性 ? 為信息安全工作提供所需的資源 ? 審批安全角色和職責的分配 ? 推動安全意識教育 ? 協(xié)調各部門的利益和關系 ? 管理層可以是一個專門高層管理機構，如信息化領導小組、信息安全領導小組；亦可以是一個通常意義的高層管理機構，如辦公會，董事會 安全組織體系 ： 內部組織 ? 信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協(xié)調 ? 協(xié)調的內容包括： ? 安全活動與安全策略的一致性 ? 對違規(guī)活動的處理 ? 信息的分類 ? 教育與培訓 ? 安全控制措施的充分性、協(xié)調性、資源配備 ? 安全事故的處理 ? 典型的安全協(xié)調應包括如下人員：管理人員 ? 用戶 ? 行政人員 ? 應用設計人員 ? 系統(tǒng)運維人員 ? 內部審計人員 ? 安全專員 ? 領域專家：法律、保險、人力資源、風險管理 安全組織體系 ： 內部組織 ? 組織結構是組織機構中部門的設置，以及工作和權力關系的層次劃分 直線式的組織結構 按項目組劃分的組織結構 安全組織體系 ： 內部組織 ? 職責分離是有效減少偶然或故意的未授權訪問、誤用和濫用的有效方法 安全組織體系 ： 內部組織 ? 職責分工補償： ? 審計蹤跡 ? 核對 :一般由用戶來進行 ? 例外報告 ? 交易日志 ? 監(jiān)督性審核 ? 獨立性審核 安全組織體系：外部組織 ? 保持被外部組織訪問、處理、溝通或管理的組織信息及信息處理設備的安全： ? 識別與外部組織相關的安全風險 ? 當與顧客接觸時，強調安全 ? 在第三方協(xié)議中強調安全 人員安全 ： 雇傭前 ? 確保員工、合同方和第三方人員了解他們的角色職責、具備必需的能力資質 ? 明確人員的安全角色和職責 ? 核實身份、教育背景、工作履歷、技能和專業(yè)資質、信用和犯罪記錄 ? 雇傭合同、保密協(xié)議 人員安全 ： 雇傭中 ? 確保所有員工、合同方和第三方人員了解信息安全威脅和相關事宜，履行責任義務，在日常工作中貫徹落實信息安全策略 ? 對工作過程的管理監(jiān)督 ? 安全意識教育和技能培訓 ? 建立違反安全策略的懲戒措施 人員安全 ： 雇傭的終止和變更 ? 確保員工、合同方和第三方人員離開組織或雇傭變更時以有序的方式進行 ? 明確雇傭終止后仍然有效的職責條款，如利益沖突和競爭禁止協(xié)議 ? 歸還資產 ? 撤銷訪問權限 資產管理 ： 資產責任 ? 資產清單信息資產 ? 軟件資產 ? 物理資產 ? 服務、人員和無形資產 ? 資產所有和責任關系 ? 資產的使用規(guī)范和指南 資產管理 ： 信息分類 ? 分類方針應按照信息的價值、法律要求及對資質的敏感程度和關鍵程度進行分類 ? 《 GB 17859計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 第一級：用戶自主保護級 ? 第二級：系統(tǒng)審計保護級 ? 第三級：安全標記保護級 ? 第四級：結構化保護級 ? 第五級：訪問驗證保護級 ? 《 信息系統(tǒng)安全等級保護實施指南 》 ? 第一級為自主保護級 ? 第二級為指導保護級 ? 第三級為監(jiān)督保護級 ? 第四級為強制保護級 ? 第五級為?？乇Ｗo級 ? 《 中國人民共和國保守國家秘密法 》 絕密、機密和秘密 ? 信息標識與處置 ? 應制定并實施與信息分類一致的信息標識和處置程序 通信和操作管理 ： 操作程序和職責 ? 文件化的操作程序 ? 針對系統(tǒng)操作、備份、設備維護、系統(tǒng)變更、介質處理、機房管理等日常操作編制文件化的操作程序 ? 變更管理 ? 涉及系統(tǒng)變更的計劃、批準、測試、記錄和效果反饋等 ? 開發(fā)、測試與生產環(huán)境的分離 通信和操作管理 ： 第三方服務管理 ? 清晰定義服務內容 ? 服務水平協(xié)議 ? 對服務過程進行監(jiān)督和評審 ? 監(jiān)督與服務水平協(xié)議的符合性 ? 對服務報告進行評審 ? 對安全攻擊事件、操作失誤、系統(tǒng)故障的記錄進行評審、 ? 要求解決問題，并改進服務 ? 管理第三方服務的變更 ? 信息系統(tǒng)的改進和升級 ? 安全加固 ? 新技術、新產品在系統(tǒng)中的采用 ? 新的開發(fā)工具和開發(fā)環(huán)境 ? 服務地點和聯(lián)系方式的改變 通信和操作管理 ： 系統(tǒng)計劃與驗收 ? 容量管理（ Capacity Management） ? 為確保足夠的系統(tǒng)容量、性能和資源來保持系統(tǒng)的可用性，需要預先的規(guī)劃和準備 ? 對未來系統(tǒng)容量進行預測 ? 系統(tǒng)驗收（ acceptance） ? 在新建立的系統(tǒng)、升級后的系統(tǒng)投入使用之前，要建立該新系統(tǒng)的運行要求，并進行測試和審查，包括： ? 系統(tǒng)功能的完整性 ? 系統(tǒng)性能是否滿足業(yè)務要求 ? 系統(tǒng)的易用性 ? 是否具有必要的安全措施 ? 信息系統(tǒng)的開發(fā)和使用文檔 ? 系統(tǒng)操作使用的培訓等 通信和操作管理 ： 其他 ? 防范惡意代碼 ? 數據備份 ? 網絡安全管理 ? 存儲介質管理 ? 運行狀態(tài)的監(jiān)控 ? 操作日志和審計 訪問控制 ： 基本措施 ? 訪問控制策略 ? 根據業(yè)務要求，建立和實施對信息、信息處理設備和應用程序進行訪問的安全策略 ? 用戶身份（標識） ? 建立用戶（即訪問主體、可以是自然人、設備或程序）的注冊 /注銷程序，為用戶建立身份的標識 ? 用戶口令（鑒別） ? 選擇適當的口令強度，生成和分發(fā)機制 ? 用戶權限 ? 根據訪問控制策略分配給用戶訪問權限 訪問控制 ： 重要機制 ? 安全域劃分與隔離措施 ? 會話和連接超時機制 ? 動態(tài)口令、雙因素或多因素鑒別 ? 移動計算設備和遠程管理的訪問控制 ? 物理環(huán)境 ? 通信鏈路 ? 接入方式 ? 審計措施 符合性 ? 符合法律法規(guī) ? 識別適用的法律法規(guī) ? 知識產權 ? 記錄保存 ? 個人隱私保護 ? 信息處理設備的用于非法目的 ? 密碼控制的法律法規(guī) ? 安全策略和標準的符合性 ? 信息安全工作應符合組織的安全策略 ? 信息技術和安全機制應符合組織采用的技術標準 ? 信息系統(tǒng)審計 ? 最大化信息系統(tǒng)審計的有效性 ? 最小化信息系統(tǒng)審計的負面影響 例題 ? ISO 27000系列是關于 ISMS要求的？ ? 27001 ? 27002 ? 27003 ? 27004 ? ，在信息安全管理體系的建設過程中，應履行一些必要的管理職責。以下哪一項不是信息安全管理者應當承諾完成的： ? 、評審、更新和監(jiān)督實施信息安全策略 ? ? ? 例題 ? ，你發(fā)現(xiàn)沒有足夠的人力資源保證將數據庫管理員和網絡管理員的崗位分配給兩個不同的人擔任，這種情況造成了一定的安全風險。這時你應當怎么做？ ? ? ，等待增派人手 ? ? ，所以接受該風險 例題 ? ISO27002的說法錯誤的是 : ? A. ISO27002的前身是 ISO 177991 ? B. ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機構選用，但不是全部 ? “控制措施”、“實施指南”和“其它信息”三個部分來進行描述 ? ，其中風險評估和處置是處于核心地位的一類安全措施 討論 信息安全應急響應計劃規(guī)范 目錄 范圍 術語和定義 應急響應需求分析和應急策略的確定 編制應急響應計劃文檔 范圍 ? 概述了信息安全應急響應計劃的制定過程，確立了信息安全應急響應計劃文檔的基本要素、內容要求和格式規(guī)范。 ? 本標準適合于對負責制定和維護信息安全應急響應計劃的人提供指導。 術語和定義 ? 信息系統(tǒng) Information System ? 信息系統(tǒng)是由計算機及其相關的和配套的設備、設施(含網絡 )構成的 ,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 ? 信息安全事件 Information Security Incident ? 信息安全事件是由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件。 ? 業(yè)務影響分析 Business Impact Analysis ? 業(yè)務影響分析（ BIA）是分析業(yè)務功能及其相關信息系統(tǒng)資源、評估特定信息安全事件對各種業(yè)務功能的影響的過程。 術語和定義 ? 應急響應計劃 Emergency Response Plan ? 應急響應計劃是被設計用于在信息安全突發(fā)事件中維持或恢復包括計算機運行在內的業(yè)務運行的策略和規(guī)程。 ? 備份 Backup ? 備份是在需要的情況下協(xié)助進行恢復的文件和程序的復制件。 ? 風險管理 Risk Management ? 風險管理是指導和控制一個組織相關風險的協(xié)調活動。 術語和定義 ? 恢復時間目標 Recovery Time Objective ? 恢復時間目標是信息安全事件發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到必須恢復的時間要求。 ? 恢復點目標 Recovery Point Objective ? 恢復點目標是信息安全事件發(fā)生后，系統(tǒng)和數據必須恢復到的時間點要求。 ? BIA 業(yè)務影響分析（ Business Impact Analysis） ? RTO 恢復時間目標 (Recovery Time Objective) ? RPO 恢復點目標（ Recovery Point Objective） 應急響應需求分析和應急策略的確定 ? 風險評估 ? 標識信息系統(tǒng)的資產價值，識別信息系統(tǒng)面臨的自然的和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性，并定量或定性描述可能造成的損失，風險評估具體內容參見國家標準 《 信息安全技術 信息安全風險評估規(guī)范 》 （ GB/T 209842022）。 應急響應需求分析和應急策略的確定 ? 業(yè)務影響分析 ? 分析業(yè)務功能和相關資源配置 ? 對單位或者部門的各項業(yè)務功能及各項業(yè)務功能之間的相關性進行分析，確定支持各種業(yè)務功能的相應信息系統(tǒng)資源及其它資源，明確相關信息的保密性、完整性和可用性要求。 ? 確定信息系統(tǒng)關鍵資源 ? 對信息系統(tǒng)進行評估，確定系統(tǒng)所執(zhí)行關鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源。 ? 評估突發(fā)信息安全事件影響 ? 應采用如下的定量和 /或定性的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等突發(fā)信息安全事件造成的影響進行評估 應急響應需求分析和應急策略的確定 ? 確定應急響應的恢復目標 ? 根據業(yè)務影響分析的結果，確定應急響應的恢復目標，包括： ? a）關鍵業(yè)務功能及恢復的優(yōu)先順序； ? b）恢復時間范圍，即恢復時間目標（ RTO）和恢復點目標（ RPO）的范圍。 應急響應需求分析和應急策略的確定 ? 制定應急策略 ? 應急策略提供了在業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等突發(fā)信息安全事件發(fā)生后快速有效地恢復信息系統(tǒng)運行的方法。這些策略應涉及到在業(yè)務影響分析（ BIA）中確定的應急響應的恢復目標，并結合信息系統(tǒng)安全等級保護等級及其對應保護能力要求。 ? 系統(tǒng)恢復的等級劃分 ? 系統(tǒng)恢復可以劃分為基本支持、備用場地支持、電子傳輸和部分設備支持、電子傳輸及完整設備支持、實時數據傳輸及完整設備支持及數據零丟失和遠程集群支持等六個等級，具體劃分遵照GB/T 209882022 《 信息安全技術 信息系統(tǒng)災難恢復規(guī)范 》 附錄A災難恢復的等級劃分。 ? 系統(tǒng)恢復的資源要求 ? 系統(tǒng)恢復的資源要求遵照 GB/T 209882022 《 信息安全技術 信息系統(tǒng)災難恢復規(guī)范 》 。 應急響應需求分析和應急策略的確定 ? 費用考慮 ? 信息系統(tǒng)的使用或管理組織（以下簡稱“組織”）應該確保有足夠的人員和資金執(zhí)行所選擇的策略。各種類型的備用站點、設備更換和存儲方式的費用應該和預算限制相平衡。 ? 預算必須充足，應包括軟件、硬件、差旅及運送、測試、計劃培訓項目、意識培訓項目、勞務、其它合同服務以及任何其它適