【正文】 nfirm: 抽樣！n 審核開始時(shí)最好由對(duì)方多講，從職責(zé)講起n 切記不要當(dāng) tutorPeter, CIOIT system and work support [Steve]Software application [Karen]System administrator [James] Senior programmerSystem administrator [Jason]Programmer1Programmer2DBAGetRich Bank Organizational ChartJust for training drawingTo deathIf you are our enemyYou will be always tiredAlso 末次會(huì)議n 末次會(huì)議 [10分鐘 ]q [之前有一個(gè) audit team的會(huì)議，合并所有問題 ]q 感謝q 通報(bào)審核結(jié)果q 總結(jié)：優(yōu)勢(shì)和劣勢(shì)q 發(fā)現(xiàn)溝通 /提問和確認(rèn)發(fā)現(xiàn)q 審核發(fā)現(xiàn)的行動(dòng)要求（客戶寫原因，要有改進(jìn)計(jì)劃和證據(jù)）q 簽署確認(rèn)書 /定期審核安排（ 再次確認(rèn)公司名稱、地點(diǎn)） q 保密要求ISO27001 LA Training CourseDay 5ShanghaiFeb. 22, 2023Prepare for examinationn 上午復(fù)習(xí)n 下午準(zhǔn)備考試ISO27001主要條款一覽n 4 信息安全管理體系n 總要求n 建立和管理 ISMSn 建立 ISMSn 實(shí)施和運(yùn)作 ISMSn 監(jiān)控和評(píng)審 ISMSn 維護(hù)和改進(jìn) ISMSn 文件要求n 總則n 文件控制n 記錄控制n 5 管理職責(zé)n 管理承諾n 資源管理n 提供資源n 培訓(xùn)、意識(shí)和能力n 6 信息安全管理體系內(nèi)部審核n 7 信息安全管理體系管理評(píng)審n 總則n 評(píng)審輸入n 評(píng)審輸出n 8 ISMS改進(jìn)n 持續(xù)改進(jìn)n 糾正措施n 預(yù)防措施n 信息安全策略n 信息安全策略n 信息安全策略文件 （ DOC）n 信息安全策略評(píng)審（ Reviewed）n 信息安全組織n 內(nèi)部組織n 信息安全管理承諾n 信息安全協(xié)作n 信息安全責(zé)任劃分n 信息處理設(shè)施授權(quán)過程n 保密協(xié)議n 與監(jiān)管機(jī)構(gòu)的聯(lián)系n 與特殊利益團(tuán)體適當(dāng)?shù)穆?lián)系n 信息安全獨(dú)立審查n 外部組織n 識(shí)別外部組織風(fēng)險(xiǎn)n 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)安全n 在第三方協(xié)議中強(qiáng)調(diào)安全n 資產(chǎn)管理n 資產(chǎn)的責(zé)任n 資產(chǎn)清單n 資產(chǎn)所有權(quán)n 資產(chǎn)的合理使用（ DOC）n 信息分類n 分類原則n 信息標(biāo)識(shí)及處理n 人力資源的安全n 雇傭之前 （員工、合同人員、第三方人員）n 角色和職責(zé) （ DOC）n 人員篩選 （ 背景調(diào)查）n n 雇傭中n 管理職責(zé)（員工、合同人員、第三方人員）n 信息安全意識(shí)、教育與培訓(xùn)n 懲戒過程n 雇傭終止和變更n 終止責(zé)任n 資產(chǎn)歸還n 刪除訪問權(quán)限n 物理和環(huán)境安全n 安全區(qū)域n 物理安全邊界n 物理進(jìn)入控制n 辦公室、房間及設(shè)施和安全n n 在安全區(qū)域工作n 公共訪問和裝卸區(qū)域n n 設(shè)備安置及保護(hù)ISO27001主要條款一覽n 支持設(shè)施n 電纜安全n 設(shè)備維護(hù)n 管轄區(qū)域外設(shè)備安全n 設(shè)備報(bào)廢或重用n 財(cái)產(chǎn)轉(zhuǎn)移n 通訊與操作管理n 操作程序及職責(zé)n 文件化的操作程序 （ＤＯＣ）n 變更管理 n 職責(zé)分離n 開發(fā)、測(cè)試與運(yùn)營(yíng)設(shè)施的分離n 第三方服務(wù)交付管理n 服務(wù)交付n 第三方服務(wù)的監(jiān)督和評(píng)審（ Review）n 第三方服務(wù)的變更管理n 系統(tǒng)規(guī)劃和驗(yàn)收n 容量管理n 系統(tǒng)驗(yàn)收 （測(cè)試） n 防范惡意代碼和移動(dòng)代碼n 控制惡意代碼 （病毒）n 控制移動(dòng)代碼n 備份n 信息備份 （ Regularly）n 網(wǎng)絡(luò)安全管理n 網(wǎng)絡(luò)控制n 網(wǎng)絡(luò)服務(wù)安全 （網(wǎng)絡(luò)服務(wù)級(jí)別）n 介質(zhì)處理n 可移動(dòng)介質(zhì)管理n 媒體銷毀n 信息處理程序n 系統(tǒng)文檔安全n 信息交換n 信息交換策略和程序n 交換協(xié)議n 物理介質(zhì)傳輸n 電子消息n 業(yè)務(wù)信息系統(tǒng)n n 電子商務(wù)n 在線交易n 公共可用信息n 監(jiān)督n 審核日志n 監(jiān)控系統(tǒng)的使用n n 管理員和操作員日志n 錯(cuò)誤日志n 時(shí)鐘同步n 訪問控制n 訪問控制的業(yè)務(wù)需求n 訪問控制策略 （ DOC）n 用戶訪問管理n 用戶注冊(cè)n 特權(quán)管理n 用戶口令管理n 用戶訪問權(quán)限的評(píng)審（ Review）n 用戶責(zé)任n 口令使用n n 清除桌面機(jī)屏幕策略n 網(wǎng)絡(luò)訪問控制n 網(wǎng)絡(luò)服務(wù)使用策略n 外部連接用戶的鑒別（遠(yuǎn)程訪問）n 網(wǎng)絡(luò)設(shè)備的識(shí)別n 遠(yuǎn)程診斷和配置端口保護(hù)n 網(wǎng)內(nèi)隔離n 網(wǎng)絡(luò)連接控制n n 操作系統(tǒng)訪問控制n 安全登錄程序n 用戶標(biāo)識(shí)和鑒別 （唯一的 UID）n 口令管理系統(tǒng)n 系統(tǒng)設(shè)施的使用n 會(huì)話超時(shí)n 聯(lián)機(jī)時(shí)間限制n n 信息訪問限制n 敏感系統(tǒng)隔離ISO27001主要條款一覽n 移動(dòng)計(jì)算和遠(yuǎn)程工作n 移動(dòng)計(jì)算和通訊n 遠(yuǎn)程工作n 信息系統(tǒng)采集、開發(fā)及維護(hù)n 信息系統(tǒng)安全要求n n 應(yīng)用程序中的正確處理n 輸入數(shù)據(jù)驗(yàn)證n 內(nèi)部處理控制n 消息完整性n 輸出數(shù)據(jù)驗(yàn)證n 加密控制n 使用加密控制的策略n 密鑰管理n 系統(tǒng)文檔安全n n n 源代碼庫的訪問控制n 開發(fā)及支持過程的安全n 變更控制程序n 操作系統(tǒng)變更的技術(shù)審查n 軟件包變更限制n 信息泄露n 軟件外包開發(fā)n 技術(shù)漏洞管理n 控制技術(shù)漏洞n 信息安全事故的管理n n 信息安全事件報(bào)告n 報(bào)告信息安全弱點(diǎn)（員工、合同人員、第三方人員）n 信息安全事故的管理和改進(jìn)n n 從安全事故中學(xué)習(xí)n 收集證據(jù)n 業(yè)務(wù)連續(xù)性管理n 業(yè)務(wù)連續(xù)管理信息的安全方面n 包含信息安全的業(yè)務(wù)連續(xù)性管理過程n 業(yè)務(wù)連續(xù)性及風(fēng)險(xiǎn)評(píng)估n n 業(yè)務(wù)連續(xù)性計(jì)劃架構(gòu)n 業(yè)務(wù)連續(xù)計(jì)劃的測(cè)試、維護(hù)與再評(píng)估（ Regularly）n 符合性n n 識(shí)別使用的法律法規(guī)n 知識(shí)產(chǎn)權(quán)n 保護(hù)組織記錄n 個(gè)人信息的隱私及數(shù)據(jù)保護(hù)n 防護(hù)信息處理設(shè)施用于未授權(quán)的目的n 加密控制法規(guī)n 符合安全策略、標(biāo)準(zhǔn)和技術(shù)的適用性n n 技術(shù)符合性檢查（ regularly）n n 信息系統(tǒng)審核控制n 信息系統(tǒng)審核工具保護(hù)The end.Thanks gods謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH