【文章內(nèi)容簡(jiǎn)介】 系的介紹和說明 ? 安全控制措施的架構(gòu)，包括風(fēng)險(xiǎn)管理的架構(gòu) ? 對(duì)安全管理職責(zé)的定義和劃分 ? 需要遵守的法律法規(guī) ? 安全教育和培訓(xùn)的要求 ? 違反安全策略的后果 ? 針對(duì)特定工作、特定系統(tǒng)應(yīng)遵守的安全規(guī)則，如XXX系統(tǒng)訪問控制策略、防病毒制度等 安全策略 ? 注意事項(xiàng)： ? 得到管理層的審核批準(zhǔn) ? 應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔 ? 控制安全策略的發(fā)布范圍，注意保密 ? 系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn) 安全組織體系 ： 內(nèi)部組織 ? 管理層承諾：確定組織的總體安全目標(biāo) ? 為信息安全管理提供方向性的指導(dǎo) ? 制定、評(píng)審和批準(zhǔn)安全策略 ? 評(píng)審安全策略的有效性 ? 為信息安全工作提供所需的資源 ? 審批安全角色和職責(zé)的分配 ? 推動(dòng)安全意識(shí)教育 ? 協(xié)調(diào)各部門的利益和關(guān)系 ? 管理層可以是一個(gè)專門高層管理機(jī)構(gòu)，如信息化領(lǐng)導(dǎo)小組、信息安全領(lǐng)導(dǎo)小組；亦可以是一個(gè)通常意義的高層管理機(jī)構(gòu)，如辦公會(huì)，董事會(huì) 安全組織體系 ： 內(nèi)部組織 ? 信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào) ? 協(xié)調(diào)的內(nèi)容包括： ? 安全活動(dòng)與安全策略的一致性 ? 對(duì)違規(guī)活動(dòng)的處理 ? 信息的分類 ? 教育與培訓(xùn) ? 安全控制措施的充分性、協(xié)調(diào)性、資源配備 ? 安全事故的處理 ? 典型的安全協(xié)調(diào)應(yīng)包括如下人員：管理人員 ? 用戶 ? 行政人員 ? 應(yīng)用設(shè)計(jì)人員 ? 系統(tǒng)運(yùn)維人員 ? 內(nèi)部審計(jì)人員 ? 安全專員 ? 領(lǐng)域?qū)＜遥悍伞⒈ｋU(xiǎn)、人力資源、風(fēng)險(xiǎn)管理 安全組織體系 ： 內(nèi)部組織 ? 組織結(jié)構(gòu)是組織機(jī)構(gòu)中部門的設(shè)置，以及工作和權(quán)力關(guān)系的層次劃分 直線式的組織結(jié)構(gòu) 按項(xiàng)目組劃分的組織結(jié)構(gòu) 安全組織體系 ： 內(nèi)部組織 ? 職責(zé)分離是有效減少偶然或故意的未授權(quán)訪問、誤用和濫用的有效方法 安全組織體系 ： 內(nèi)部組織 ? 職責(zé)分工補(bǔ)償： ? 審計(jì)蹤跡 ? 核對(duì) :一般由用戶來進(jìn)行 ? 例外報(bào)告 ? 交易日志 ? 監(jiān)督性審核 ? 獨(dú)立性審核 安全組織體系：外部組織 ? 保持被外部組織訪問、處理、溝通或管理的組織信息及信息處理設(shè)備的安全： ? 識(shí)別與外部組織相關(guān)的安全風(fēng)險(xiǎn) ? 當(dāng)與顧客接觸時(shí)，強(qiáng)調(diào)安全 ? 在第三方協(xié)議中強(qiáng)調(diào)安全 人員安全 ： 雇傭前 ? 確保員工、合同方和第三方人員了解他們的角色職責(zé)、具備必需的能力資質(zhì) ? 明確人員的安全角色和職責(zé) ? 核實(shí)身份、教育背景、工作履歷、技能和專業(yè)資質(zhì)、信用和犯罪記錄 ? 雇傭合同、保密協(xié)議 人員安全 ： 雇傭中 ? 確保所有員工、合同方和第三方人員了解信息安全威脅和相關(guān)事宜，履行責(zé)任義務(wù)，在日常工作中貫徹落實(shí)信息安全策略 ? 對(duì)工作過程的管理監(jiān)督 ? 安全意識(shí)教育和技能培訓(xùn) ? 建立違反安全策略的懲戒措施 人員安全 ： 雇傭的終止和變更 ? 確保員工、合同方和第三方人員離開組織或雇傭變更時(shí)以有序的方式進(jìn)行 ? 明確雇傭終止后仍然有效的職責(zé)條款，如利益沖突和競(jìng)爭(zhēng)禁止協(xié)議 ? 歸還資產(chǎn) ? 撤銷訪問權(quán)限 資產(chǎn)管理 ： 資產(chǎn)責(zé)任 ? 資產(chǎn)清單信息資產(chǎn) ? 軟件資產(chǎn) ? 物理資產(chǎn) ? 服務(wù)、人員和無形資產(chǎn) ? 資產(chǎn)所有和責(zé)任關(guān)系 ? 資產(chǎn)的使用規(guī)范和指南 資產(chǎn)管理 ： 信息分類 ? 分類方針應(yīng)按照信息的價(jià)值、法律要求及對(duì)資質(zhì)的敏感程度和關(guān)鍵程度進(jìn)行分類 ? 《 GB 17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 第一級(jí)：用戶自主保護(hù)級(jí) ? 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) ? 第三級(jí)：安全標(biāo)記保護(hù)級(jí) ? 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) ? 第五級(jí)：訪問驗(yàn)證保護(hù)級(jí) ? 《 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ? 第一級(jí)為自主保護(hù)級(jí) ? 第二級(jí)為指導(dǎo)保護(hù)級(jí) ? 第三級(jí)為監(jiān)督保護(hù)級(jí) ? 第四級(jí)為強(qiáng)制保護(hù)級(jí) ? 第五級(jí)為?？乇Ｗo(hù)級(jí) ? 《 中國(guó)人民共和國(guó)保守國(guó)家秘密法 》 絕密、機(jī)密和秘密 ? 信息標(biāo)識(shí)與處置 ? 應(yīng)制定并實(shí)施與信息分類一致的信息標(biāo)識(shí)和處置程序 通信和操作管理 ： 操作程序和職責(zé) ? 文件化的操作程序 ? 針對(duì)系統(tǒng)操作、備份、設(shè)備維護(hù)、系統(tǒng)變更、介質(zhì)處理、機(jī)房管理等日常操作編制文件化的操作程序 ? 變更管理 ? 涉及系統(tǒng)變更的計(jì)劃、批準(zhǔn)、測(cè)試、記錄和效果反饋等 ? 開發(fā)、測(cè)試與生產(chǎn)環(huán)境的分離 通信和操作管理 ： 第三方服務(wù)管理 ? 清晰定義服務(wù)內(nèi)容 ? 服務(wù)水平協(xié)議 ? 對(duì)服務(wù)過程進(jìn)行監(jiān)督和評(píng)審 ? 監(jiān)督與服務(wù)水平協(xié)議的符合性 ? 對(duì)服務(wù)報(bào)告進(jìn)行評(píng)審 ? 對(duì)安全攻擊事件、操作失誤、系統(tǒng)故障的記錄進(jìn)行評(píng)審、 ? 要求解決問題，并改進(jìn)服務(wù) ? 管理第三方服務(wù)的變更 ? 信息系統(tǒng)的改進(jìn)和升級(jí) ? 安全加固 ? 新技術(shù)、新產(chǎn)品在系統(tǒng)中的采用 ? 新的開發(fā)工具和開發(fā)環(huán)境 ? 服務(wù)地點(diǎn)和聯(lián)系方式的改變 通信和操作管理 ： 系統(tǒng)計(jì)劃與驗(yàn)收 ? 容量管理（ Capacity Management） ? 為確保足夠的系統(tǒng)容量、性能和資源來保持系統(tǒng)的可用性，需要預(yù)先的規(guī)劃和準(zhǔn)備 ? 對(duì)未來系統(tǒng)容量進(jìn)行預(yù)測(cè) ? 系統(tǒng)驗(yàn)收（ acceptance） ? 在新建立的系統(tǒng)、升級(jí)后的系統(tǒng)投入使用之前，要建立該新系統(tǒng)的運(yùn)行要求，并進(jìn)行測(cè)試和審查，包括： ? 系統(tǒng)功能的完整性 ? 系統(tǒng)性能是否滿足業(yè)務(wù)要求 ? 系統(tǒng)的易用性 ? 是否具有必要的安全措施 ? 信息系統(tǒng)的開發(fā)和使用文檔 ? 系統(tǒng)操作使用的培訓(xùn)等 通信和操作管理 ： 其他 ? 防范惡意代碼 ? 數(shù)據(jù)備份 ? 網(wǎng)絡(luò)安全管理 ? 存儲(chǔ)介質(zhì)管理 ? 運(yùn)行狀態(tài)的監(jiān)控 ? 操作日志和審計(jì) 訪問控制 ： 基本措施 ? 訪問控制策略 ? 根據(jù)業(yè)務(wù)要求，建立和實(shí)施對(duì)信息、信息處理設(shè)備和應(yīng)用程序進(jìn)行訪問的安全策略 ? 用戶身份（標(biāo)識(shí)） ? 建立用戶（即訪問主體、可以是自然人、設(shè)備或程序）的注冊(cè) /注銷程序，為用戶建立身份的標(biāo)識(shí) ? 用戶口令（鑒別） ? 選擇適當(dāng)?shù)目诹顝?qiáng)度，生成和分發(fā)機(jī)制 ? 用戶權(quán)限 ? 根據(jù)訪問控制策略分配給用戶訪問權(quán)限 訪問控制 ： 重要機(jī)制 ? 安全域劃分與隔離措施 ? 會(huì)話和連接超時(shí)機(jī)制 ? 動(dòng)態(tài)口令、雙因素或多因素鑒別 ? 移動(dòng)計(jì)算設(shè)備和遠(yuǎn)程管理的訪問控制 ? 物理環(huán)境 ? 通信鏈路 ? 接入方式 ? 審計(jì)措施 符合性 ? 符合法律法規(guī) ? 識(shí)別適用的法律法規(guī) ? 知識(shí)產(chǎn)權(quán) ? 記錄保存 ? 個(gè)人隱私保護(hù) ? 信息處理設(shè)備的用于非法目的 ? 密碼控制的法律法規(guī) ? 安全策略和標(biāo)準(zhǔn)的符合性 ? 信息安全工作應(yīng)符合組織的安全策略 ? 信息技術(shù)和安全機(jī)制應(yīng)符合組織采用的技術(shù)標(biāo)準(zhǔn) ? 信息系統(tǒng)審計(jì) ? 最大化信息系統(tǒng)審計(jì)的有效性 ? 最小化信息系統(tǒng)審計(jì)的負(fù)面影響 例題 ? ISO 27000系列是關(guān)于 ISMS要求的？ ? 27001 ? 27002 ? 27003 ? 27004 ? ，在信息安全管理體系的建設(shè)過程中，應(yīng)履行一些必要的管理職責(zé)。以下哪一項(xiàng)不是信息安全管理者應(yīng)當(dāng)承諾完成的： ? 、評(píng)審、更新和監(jiān)督實(shí)施信息安全策略 ? ? ? 例題 ? ，你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員的崗位分配給兩個(gè)不同的人擔(dān)任，這種情況造成了一定的安全風(fēng)險(xiǎn)。這時(shí)你應(yīng)當(dāng)怎么做？ ? ? ，等待增派人手 ? ? ，所以接受該風(fēng)險(xiǎn) 例題 ? ISO27002的說法錯(cuò)誤的是 : ? A. ISO27002的前身是 ISO 177991 ? B. ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用，但不是全部 ? “控制措施”、“實(shí)施指南”和“其它信息”三個(gè)部分來進(jìn)行描述 ? ，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施 討論 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范 目錄 范圍 術(shù)語(yǔ)和定義 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 編制應(yīng)急響應(yīng)計(jì)劃文檔 范圍 ? 概述了信息安全應(yīng)急響應(yīng)計(jì)劃的制定過程，確立了信息安全應(yīng)急響應(yīng)計(jì)劃文檔的基本要素、內(nèi)容要求和格式規(guī)范。 ? 本標(biāo)準(zhǔn)適合于對(duì)負(fù)責(zé)制定和維護(hù)信息安全應(yīng)急響應(yīng)計(jì)劃的人提供指導(dǎo)。 術(shù)語(yǔ)和定義 ? 信息系統(tǒng) Information System ? 信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò) )構(gòu)成的 ,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 ? 信息安全事件 Information Security Incident ? 信息安全事件是由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。 ? 業(yè)務(wù)影響分析 Business Impact Analysis ? 業(yè)務(wù)影響分析（ BIA）是分析業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源、評(píng)估特定信息安全事件對(duì)各種業(yè)務(wù)功能的影響的過程。 術(shù)語(yǔ)和定義 ? 應(yīng)急響應(yīng)計(jì)劃 Emergency Response Plan ? 應(yīng)急響應(yīng)計(jì)劃是被設(shè)計(jì)用于在信息安全突發(fā)事件中維持或恢復(fù)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行的策略和規(guī)程。 ? 備份 Backup ? 備份是在需要的情況下協(xié)助進(jìn)行恢復(fù)的文件和程序的復(fù)制件。 ? 風(fēng)險(xiǎn)管理 Risk Management ? 風(fēng)險(xiǎn)管理是指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。 術(shù)語(yǔ)和定義 ? 恢復(fù)時(shí)間目標(biāo) Recovery Time Objective ? 恢復(fù)時(shí)間目標(biāo)是信息安全事件發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間要求。 ? 恢復(fù)點(diǎn)目標(biāo) Recovery Point Objective ? 恢復(fù)點(diǎn)目標(biāo)是信息安全事件發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。 ? BIA 業(yè)務(wù)影響分析（ Business Impact Analysis） ? RTO 恢復(fù)時(shí)間目標(biāo) (Recovery Time Objective) ? RPO 恢復(fù)點(diǎn)目標(biāo)（ Recovery Point Objective） 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 ? 風(fēng)險(xiǎn)評(píng)估 ? 標(biāo)識(shí)信息系統(tǒng)的資產(chǎn)價(jià)值，識(shí)別信息系統(tǒng)面臨的自然的和人為的威脅，識(shí)別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性，并定量或定性描述可能造成的損失，風(fēng)險(xiǎn)評(píng)估具體內(nèi)容參見國(guó)家標(biāo)準(zhǔn) 《 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 （ GB/T 209842022）。 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 ? 業(yè)務(wù)影響分析 ? 分析業(yè)務(wù)功能和相關(guān)資源配置 ? 對(duì)單位或者部門的各項(xiàng)業(yè)務(wù)功能及各項(xiàng)業(yè)務(wù)功能之間的相關(guān)性進(jìn)行分析，確定支持各種業(yè)務(wù)功能的相應(yīng)信息系統(tǒng)資源及其它資源，明確相關(guān)信息的保密性、完整性和可用性要求。 ? 確定信息系統(tǒng)關(guān)鍵資源 ? 對(duì)信息系統(tǒng)進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行關(guān)鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源。 ? 評(píng)估突發(fā)信息安全事件影響 ? 應(yīng)采用如下的定量和 /或定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)信息安全事件造成的影響進(jìn)行評(píng)估 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 ? 確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo) ? 根據(jù)業(yè)務(wù)影響分析的結(jié)果，確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)，包括： ? a）關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先順序； ? b）恢復(fù)時(shí)間范圍，即恢復(fù)時(shí)間目標(biāo)（ RTO）和恢復(fù)點(diǎn)目標(biāo)（ RPO）的范圍。 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 ? 制定應(yīng)急策略 ? 應(yīng)急策略提供了在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)信息安全事件發(fā)生后快速有效地恢復(fù)信息系統(tǒng)運(yùn)行的方法。這些策略應(yīng)涉及到在業(yè)務(wù)影響分析（ BIA）中確定的應(yīng)急響應(yīng)的恢復(fù)目標(biāo)，并結(jié)合信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)及其對(duì)應(yīng)保護(hù)能力要求。 ? 系統(tǒng)恢復(fù)的等級(jí)劃分 ? 系統(tǒng)恢復(fù)可以劃分為基本支持、備用場(chǎng)地支持、電子傳輸和部分設(shè)備支持、電子傳輸及完整設(shè)備支持、實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持及數(shù)據(jù)零丟失和遠(yuǎn)程集群支持等六個(gè)等級(jí)，具體劃分遵照GB/T 209882022 《 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 》 附錄A災(zāi)難恢復(fù)的等級(jí)劃分。 ? 系統(tǒng)恢復(fù)的資源要求 ? 系統(tǒng)恢復(fù)的資源要求遵照 GB/T 209882022 《 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 》 。 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定 ? 費(fèi)用考慮 ? 信息系統(tǒng)的使用或管理組織（以下簡(jiǎn)稱“組織”）應(yīng)該確保有足夠的人員和資金執(zhí)行所選擇的策略。各種類型的備用站點(diǎn)、設(shè)備更換和存儲(chǔ)方式的費(fèi)用應(yīng)該和預(yù)算限制相平衡。 ? 預(yù)算必須充足，應(yīng)包括軟件、硬件、差旅及運(yùn)送、測(cè)試、計(jì)劃培訓(xùn)項(xiàng)目、意識(shí)培訓(xùn)項(xiàng)目、勞務(wù)、其它合同服務(wù)以及任何其它適