【文章內(nèi)容簡介】 事件、安全缺陷；責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。167。 業(yè)務(wù)連續(xù)性管理 ：業(yè)務(wù)連續(xù)性計劃的制訂，演習(xí)，審核，改進167。 符合性管理 ：符合法律法規(guī)，符合安全策略等。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。 對控制措施的描述不夠細致，導(dǎo)致缺乏可操作性；167。 133項控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用；167。 133項控制措施未必全面，可以根據(jù)實際情況進行增補。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：與法律相關(guān)的控制措施：（ 1） 知識產(chǎn)權(quán) ：遵守知識產(chǎn)權(quán)保護和軟件產(chǎn)品保護的法律；（ 2） 保護組織的記錄 ：保護重要的記錄不丟失，不被破壞和偽造；（ 3） 數(shù)據(jù)保護和個人信息隱私 ：遵守所在國的數(shù)據(jù)保護法律。BS77991(ISO/IEC17799)2/2/2023 80信息 安全管理與最佳實踐相關(guān)的控制措施：（ 1）信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知；（ 2）信息安全責(zé)任的分配：清晰地所有的信息安全責(zé)任；（ 3）信息安全意識、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn) ；BS77991(ISO/IEC17799)2/2/2023 81信息 安全管理（ 4）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、丟失或被非授權(quán)篡改及誤用；（ 5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（ 6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。（ 7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)難影響。BS77991(ISO/IEC17799)2/2/2023 82信息 安全管理167。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。 說明了建立、實施、維護，并持續(xù)改進 ISMS的要求167。 指導(dǎo)實施者如何利用 BS77991來建立一個有效的ISMS167。 BSI提供依據(jù) BS77992所建立 ISMS的認證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 定義 ISMS的范圍和策略167。 識別和評估風(fēng)險167。 評估現(xiàn)有保證措施167。 準(zhǔn)備適用性說明167。 取得管理層對殘留風(fēng)險的認可，并獲得實施 ISMS的授權(quán)BS77992/ISO 270012/2/2023 84信息 安全管理實施 ISMS（ DO）167。 制訂并實施風(fēng)險處理計劃167。 實施安全控制措施167。 實施安全意識和安全教育培訓(xùn)167。 實施檢測和響應(yīng)安全機制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復(fù)查 ISMS（ CHECK）167。 實施監(jiān)視程序和控制167。 定期復(fù)審 ISMS的效力167。 定期進行 ISMS內(nèi)部審計167。 復(fù)查殘留風(fēng)險和可接受風(fēng)險的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進 ISMS（ ACT）167。 對 ISMS實施可識別的改進167。 實施糾正和預(yù)防措施167。 確保改進成果滿足預(yù)期目標(biāo)BS77992/ISO 270012/2/2023 87信息 安全管理強調(diào)文檔化管理的重要作用，文檔體系包括167。 安全策略167。 適用性聲明167。 實施安全控制的規(guī)程文檔167。 ISMS管理和操作規(guī)程167。 與 ISMS有關(guān)的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過程167。 制訂安全策略167。 確定體系范圍167。 明確管理職責(zé)167。 通過安全風(fēng)險評估確定控制目標(biāo)和控制措施167。 復(fù)查、維護與持續(xù)改進BS77992/ISO 270012/2/2023 89信息 安全管理二、其他標(biāo)準(zhǔn) PD3000 BS7799標(biāo)準(zhǔn)本身是不具有很強的可實施性的，為了指導(dǎo)組織更好地建立 ISMS并應(yīng)對 BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導(dǎo)文件，即 PD3000系列。2/2/2023 90信息 安全管理 CC（ 1）信息技術(shù)產(chǎn)品和系統(tǒng)安全性測評標(biāo)準(zhǔn)，是信息安全標(biāo)準(zhǔn)體系中非常重要的一個分支；是目前國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測評標(biāo)準(zhǔn)，也是信息技術(shù)安全性評估結(jié)果國際互認的基礎(chǔ)。 （ 2） CC、 ISO/IEC1540 GB/T18336是同一個標(biāo)準(zhǔn)。 （ 3） CC的組要目標(biāo)讀者是用戶、開發(fā)者和評估者。 （ 4）與 BS7799標(biāo)準(zhǔn)相比， CC的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上；組織在依照 BS7799標(biāo)準(zhǔn)來實施 ISMS時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒 CC標(biāo)準(zhǔn)。2/2/2023 91信息 安全管理 ISO/IEC TR 13335（ 1）信息和通信技術(shù)安全管理，是由ISO/IEC JTC1制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實施 IT安全管理提供建議和支持。 （ 2）對信息安全風(fēng)險及其構(gòu)成要素間關(guān)系的描述非常具體，對風(fēng)險評估方法過程的描述很清晰，可用來指導(dǎo)實施。2/2/2023 92信息 安全管理 SSECMM（ 1） SSECMM模型是 CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局（ NSA）領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。 （ 2） ISO/IEC DIS 21827信息技術(shù) — 系統(tǒng)安全工程 — 能力成熟度模型 （ 3） SSECMM將系統(tǒng)安全工程成熟度劃分為 5個等級 （ 4） SSECMM可以作為評估工程實施組織（如安全服務(wù)提供商）能力與資質(zhì)的標(biāo)準(zhǔn)。我國國家信息安全測評認證中心在審核專業(yè)機構(gòu)信息安全服務(wù)資質(zhì)時，基本上就是依據(jù) SSECMM來審核并劃分等級的。2/2/2023 93信息 安全管理 NIST SP 800系列 美國國家標(biāo)準(zhǔn)技術(shù)委員會（ NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南。 ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫（ IT Infrastructure Library），是由英國中央計算機與電信局（ CCTA）發(fā)布的關(guān)于 IT服務(wù)管理最佳實踐的建議和指導(dǎo)方針，旨在解決 IT服務(wù)質(zhì)量不佳的情況。2/2/2023 94信息 安全管理 CobiT 信息及相關(guān)技術(shù)控制目標(biāo)（ Control Objectives for Information and related Technology,CobiT）是由美國信息系統(tǒng)審計與控制協(xié)會針對 IT過程管理制定的一套基于最佳實踐的控制目標(biāo)，是目前國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。 2/2/2023 95信息 安全管理第三節(jié) 信息安全策略167。 一、信息安全策略概述167。 二、制定信息安全策略167。 三、確定信息安全策略保護的對象167。 四、主要信息安全策略167。 五、信息安全策略的執(zhí)行和維護2/2/2023 96信息 安全管理安全策略包括：? 總體方針 ，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認定、以及對于信息資產(chǎn)的管理辦法等內(nèi)容? 針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責(zé)任認定等內(nèi)容? 針對特定系統(tǒng)的具體策略，更為具體和細化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護規(guī)則等內(nèi)容2/2/2023 97信息 安全管理安全策略的特點：? 力求全面和明確，不必過于具體和深入? 需要一個逐漸完善的過程，不可能一蹴而就? 應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性2/2/2023 98信息 安全管理信息安全策略定義 信息安全策略 是一組經(jīng)過高級管理層批準(zhǔn)，正式發(fā)布和實施的綱領(lǐng)性文件，描述了一個企業(yè)、組織的高層安全目標(biāo)，它描述應(yīng)該做什么，而不是如何去做，一份信息安全策略就像是一份工程管理計劃書，這意味著它隱藏了執(zhí)行的細節(jié)。 信息安全策略是一種處理安全問題的管理策略的描述。安全策略必須遵循三個基本原則：確定性、完整性和有效性。2/2/2023 99信息 安全管理信息安全策略的重要性 信息安全策略是位于 核心地位 的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細節(jié)，但是明確描述了安全保護的對象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠?qū)Π踩a(chǎn)品的選擇及管理實踐起到指導(dǎo)和約束作用。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會形成一個統(tǒng)一的有機整體，使得系統(tǒng)具有更好的安全性。2/2/2023 100信息 安全管理制定信息安全策略的時間167。 理想情況下，制定信息安全策略的最佳時間是在發(fā)生第一起網(wǎng)絡(luò)安全事故之前。2/2/2023 101信息 安全管理安全員需要了解的幾個問題： 任何業(yè)務(wù)動作過程均存在不同程度的風(fēng)險；167。 保險公司不愿向沒有信息安全策略的企業(yè)投保；167。 一個包括軟件開發(fā)策略在內(nèi)的安全策略對與開發(fā)更安全的系統(tǒng)是有指導(dǎo)作用的。167。 在安全事故發(fā)生后，安全事故很可能重復(fù)發(fā)生，所以第一次發(fā)生后實施安全策略盡管太晚，卻十分必要；167。 發(fā)生安全事故制定安全策略時，不要把重點放在攻破的地方，要從全局考慮安全問題；167。 安全策略給用戶的印象是企業(yè)對安全問題非常認真；167。 當(dāng)企業(yè)為政府或機關(guān)工作或與其合作時，一份安全策略應(yīng)該是首先引起注意的事項；167。 向用戶展示企業(yè)質(zhì)量標(biāo)準(zhǔn)控制所要求的可評價安全程序來說，安全策略可以作為該程序的指導(dǎo)方針。2/2/2023 102信息 安全管理信息安全策略開發(fā)流程167。 確定信息安全策略的范圍167。 風(fēng)險評估 /分析或者審計167。 信息安全策略的審查、批準(zhǔn)和實施2/2/2023 103信息 安全管理制定信息安全策略167。 制定信息安全策略的原則：167。 先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證167。 嚴(yán)格的管理是確保信息安全策略落實的基礎(chǔ)167。 嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅強后盾2/2/2023 104信息 安全管理先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證167。 用戶對自身面臨的威脅進行風(fēng)險評估，決定其所需的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)，形成一個全方位的安全系統(tǒng)。2/2/2023 105信息 安全管理嚴(yán)格的管理是確保信息安全策略落實的基礎(chǔ)167。 各計算機使用機構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，加強用戶管理和授權(quán)管理，建立安全審計和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識。2/2/2023 106信息 安全管理嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅強后盾167。 面對日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。2/2/2023 107信息 安全管理信息安全策略的設(shè)計范圍167。 一個合理的信息安全策略體系包括 三個不同層次的策略文檔：167。 總體安全策略167。 針對特定問題的具體策略167。 針對特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。 闡述指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對與信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織架構(gòu)和責(zé)任認定以及對與信息資產(chǎn)的管理辦法等內(nèi)容。2/2/2023 109信息 安全管理針對特定問題的具體策略文檔167。 闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責(zé)任的認定等內(nèi)容，例如：針對 Inter訪問操作、計算機和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定用針對性的安全策略。2/2/2023 110信息 安全管理針對特定系統(tǒng)的具體策略文檔167。 針對特定系統(tǒng)的具體策略，更為具體化和詳細化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等等。2/2/2023 111信息 安全管理信息安全策略的 15個制定范圍167。 物理安全策略167。 網(wǎng)絡(luò)安全策略167。 數(shù)據(jù)加密策略167。 數(shù)據(jù)備份策略167。 病毒防護策略167。 系統(tǒng)安全策略167。 身份認證及授權(quán)策略167。 災(zāi)難恢復(fù)策略167。 事故處理、緊急響應(yīng)策略167。 安全教育策略167。 1口令管理策略167。 1補丁管理策略167。 1系統(tǒng)變更控制策略167。 1商業(yè)伙伴、客戶關(guān)系策略167。 1復(fù)查審計策略2/2/2023 112信息 安全管理物理安全策略 網(wǎng)絡(luò)安全策略 數(shù)據(jù)加密策略數(shù)據(jù)備份策略 病毒防護策略 系統(tǒng)安全策略身份認證及授權(quán)策略 ‘災(zāi)難恢復(fù)策略 事故處理、緊急響應(yīng)策略安全教育策略 口令管理策略 補丁管理策略系統(tǒng)變更控制策略