【文章內(nèi)容簡(jiǎn)介】 ）＊脆弱性（改進(jìn)后的）n 脆弱性 （需要自己定義，以下舉例）q 低：現(xiàn)有系統(tǒng)能夠自動(dòng)識(shí)別，且有充分有效的緊急響應(yīng)q 中：通過(guò)檢查 /監(jiān)控能夠看出趨勢(shì)或有較充分的緊急響應(yīng)q 高：現(xiàn)有條件下不能探測(cè)或一旦發(fā)生問(wèn)題沒(méi)有有效響應(yīng)n 嚴(yán)重性 （需要自己定義，以下舉例）q 低：不影響正常生產(chǎn)及客戶滿意度，對(duì)公司運(yùn)營(yíng)影響不大q 中：停止 4小時(shí)生產(chǎn)以下，被用戶投訴q 高：停止 4小時(shí)生產(chǎn)以上，被用戶投訴　補(bǔ)充n ISMS的范圍和邊界q 是建立 ISMS的第一步，明確覆蓋哪些業(yè)務(wù)流程n ISMS Policy信息安全管理體系方針q 是信息安全策略（ Information security policy）的擴(kuò)展集q 根據(jù)組織的實(shí)際情況，如業(yè)務(wù)性質(zhì)、地理位置、資產(chǎn)情況和技術(shù)水平來(lái)定義，例如：n 在線服務(wù)：對(duì)可用性要求高n 金融機(jī)構(gòu)：對(duì)完整性要求高n 醫(yī)院：對(duì)保密性要求高q 需要考慮業(yè)務(wù)、法規(guī)及合同責(zé)任方面的要求q 建立風(fēng)險(xiǎn)管理準(zhǔn)則，明確可接受的風(fēng)險(xiǎn)水平q 得到管理層的批準(zhǔn)Exercise 1n 作業(yè)：q 講解 ISO27001 a10a12q 以及 和 ISO27001 LA Training CourseDay 3ShanghaiFeb. 20, 2023ISO27001的組成n 主體部分：q Clause 4, 5, 6, 7, 8 （所有 ISO標(biāo)準(zhǔn)都有的，不可刪減）q A5A15 n 11 條大的安全控制條款n 39 個(gè)控制類（控制目標(biāo)）n 133 項(xiàng)控制措施需驗(yàn)證的六大文件n g中需驗(yàn)證以下文件：1. 管理評(píng)審2. 內(nèi)審3. 文件控制n ISMS特殊要求： [online的才是有效的，打印的僅供參考！ ]n 標(biāo)示文件的保密級(jí)別n 電子文檔（網(wǎng)上流轉(zhuǎn)）的保護(hù)4. 質(zhì)量記錄控制n 重要性：備證5. 糾正措施6. 預(yù)防措施n CHINA CISSP“易水寒江雪 ”認(rèn)為：1. 《信息安全策略》 2. 《文件控制程序》 3. 《記錄控制程序》 4. 《內(nèi)部審核管理程序》 5. 《糾正預(yù)防措施》 n 標(biāo)準(zhǔn)中將糾正和預(yù)防是分別定義成兩個(gè)文件的，因?yàn)檫@兩個(gè)文件的結(jié)構(gòu)基本類似，目的也相似，因此通常將其合并來(lái)一起編寫(xiě)。 n 就認(rèn)證而言，并沒(méi)有對(duì)文件的多少有強(qiáng)制性的要求，但是就慣例而言，二級(jí)程序文件通常還包括： 1. 《管理評(píng)審控制程序》 2. 《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》 3. 《 BCP》 4. 《 DRP》 5. 《適用性聲明》 6. 《計(jì)算機(jī)和網(wǎng)絡(luò)安全控制程序》 n 等等。 至于三級(jí)文件，因各個(gè)機(jī)構(gòu)情況不一，在此就沒(méi)有一一列舉。 物理安全和人員安全的要點(diǎn)n 物理安全需檢查：q 平面布局圖q 標(biāo)示出的敏感物理區(qū)域n 人員安全需注意：q 任何人發(fā)生變動(dòng)而引起權(quán)限變更，都必須報(bào)告給HR文件管理n Best practices:q 絕密級(jí)的文件要受控發(fā)放（每頁(yè)加 “絕密 ”字樣），當(dāng)天發(fā)放、當(dāng)天收回q 絕密級(jí)的電子文件不允許放到網(wǎng)上q 一句經(jīng)典： online的才是有效的，打印的僅供參考！風(fēng)險(xiǎn)處置選項(xiàng)與適用性聲明n Risk Treatment Optionsq 降低風(fēng)險(xiǎn) Risk reductionn 采取控制措施q 回避風(fēng)險(xiǎn) Risk avoidancen 拋棄某種技術(shù)或生產(chǎn)方式q 轉(zhuǎn)移風(fēng)險(xiǎn) Risk transfern 保險(xiǎn)、外包q 接受風(fēng)險(xiǎn) Risk acceptancen ……n Statement of applicabilityq 概括了對(duì)風(fēng)險(xiǎn)處置的決定About FILES Audit關(guān)于文審n Basic audit skills: q 初審之前要求企業(yè)提供 Two Initial requirements:n Organizational chart組織結(jié)構(gòu)圖n Files list文件清單n Files architecture:q High level: Policy/ Manual（方針、手冊(cè)）q Medium level: Standard procedures (4W1H)q Low Level: Working instructions (作業(yè)指導(dǎo)書(shū)，針對(duì)特定工藝、產(chǎn)品或崗位 )q Basic level: records（記錄）Tips 4n 初審時(shí)最重要的一件事：找出 “風(fēng)險(xiǎn) ”點(diǎn)！n 針對(duì)核心系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，實(shí)施控制措施n 考試小竅門(mén)：q 很多問(wèn)題的答案都應(yīng)該選 “Policy”q ?審核類型n Types of auditsq First party/ internal auditn 內(nèi)審，但不能審核與自己工作職責(zé)相同的范圍q Second party/ external auditn 客戶對(duì)于供應(yīng)商的審核q Third party/ external auditn 獨(dú)立、公正的認(rèn)證機(jī)構(gòu)的審核n Other auditsq Process audit （一般表現(xiàn)為受委托對(duì)第二方進(jìn)行審核）q Product audit（一般表現(xiàn)為企業(yè)對(duì)自身產(chǎn)品的抽樣、破壞性試驗(yàn)）認(rèn)可 /認(rèn)證的層次關(guān)系n 由上至下：q Department of Trade and Industry (DTI)n 世界工業(yè)聯(lián)合會(huì)q Accreditation Body (. UKAS)n 認(rèn)可機(jī)構(gòu)q Certification Bodies (. DNV)n 認(rèn)證機(jī)構(gòu)q Organizationsn 組織q Suppliersn 供應(yīng)商Certificate Processes預(yù)審 Preliminary assessment (optional)文件審核 Document review (stage 1)初訪 Initial visit (stage1)初審 Initial audit (stage2) followup visit跟蹤訪問(wèn) followup visit定期審核 Periodic audits換證審核 Recertification audit另類的標(biāo)準(zhǔn)n ISO 19011 審核標(biāo)準(zhǔn)q 系統(tǒng)性q 獨(dú)立性q 公正性n ISO 13335q IT最佳實(shí)踐 n q 質(zhì)量的 checklist，很有參考價(jià)值！ISO19011 Auditor Attributesn Open minded：開(kāi)放的思想n Observant：觀察力n Diplomatic：外交能力n Perceptive：理解力n Versatile：多才多藝n Tenacious：不屈不撓n Decisive：堅(jiān)定n Self reliant：自信Observant：觀察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多藝Tenacious：不屈不撓Decisive：堅(jiān)定Self reliant：自信Open minded：開(kāi)放的思想AuditorAttributes審核輸出與審核發(fā)現(xiàn)n What is the output of an audit? 審核的輸出q Weaknessq Strengthsq Opportunitiesq Risksq Failuresn Findings審核發(fā)現(xiàn)（需要定義）q Noteworthy efforts值得努力（一