【正文】 nfirm: 抽樣！n 審核開始時最好由對方多講，從職責講起n 切記不要當 tutorPeter, CIOIT system and work support [Steve]Software application [Karen]System administrator [James] Senior programmerSystem administrator [Jason]Programmer1Programmer2DBAGetRich Bank Organizational ChartJust for training drawingTo deathIf you are our enemyYou will be always tiredAlso 末次會議n 末次會議 [10分鐘 ]q [之前有一個 audit team的會議，合并所有問題 ]q 感謝q 通報審核結果q 總結：優(yōu)勢和劣勢q 發(fā)現(xiàn)溝通 /提問和確認發(fā)現(xiàn)q 審核發(fā)現(xiàn)的行動要求（客戶寫原因，要有改進計劃和證據）q 簽署確認書 /定期審核安排（ 再次確認公司名稱、地點） q 保密要求ISO27001 LA Training CourseDay 5ShanghaiFeb. 22, 2023Prepare for examinationn 上午復習n 下午準備考試ISO27001主要條款一覽n 4 信息安全管理體系n 總要求n 建立和管理 ISMSn 建立 ISMSn 實施和運作 ISMSn 監(jiān)控和評審 ISMSn 維護和改進 ISMSn 文件要求n 總則n 文件控制n 記錄控制n 5 管理職責n 管理承諾n 資源管理n 提供資源n 培訓、意識和能力n 6 信息安全管理體系內部審核n 7 信息安全管理體系管理評審n 總則n 評審輸入n 評審輸出n 8 ISMS改進n 持續(xù)改進n 糾正措施n 預防措施n 信息安全策略n 信息安全策略n 信息安全策略文件 （ DOC）n 信息安全策略評審（ Reviewed）n 信息安全組織n 內部組織n 信息安全管理承諾n 信息安全協(xié)作n 信息安全責任劃分n 信息處理設施授權過程n 保密協(xié)議n 與監(jiān)管機構的聯(lián)系n 與特殊利益團體適當的聯(lián)系n 信息安全獨立審查n 外部組織n 識別外部組織風險n 當與客戶接觸時強調安全n 在第三方協(xié)議中強調安全n 資產管理n 資產的責任n 資產清單n 資產所有權n 資產的合理使用（ DOC）n 信息分類n 分類原則n 信息標識及處理n 人力資源的安全n 雇傭之前 （員工、合同人員、第三方人員）n 角色和職責 （ DOC）n 人員篩選 （ 背景調查）n n 雇傭中n 管理職責（員工、合同人員、第三方人員）n 信息安全意識、教育與培訓n 懲戒過程n 雇傭終止和變更n 終止責任n 資產歸還n 刪除訪問權限n 物理和環(huán)境安全n 安全區(qū)域n 物理安全邊界n 物理進入控制n 辦公室、房間及設施和安全n n 在安全區(qū)域工作n 公共訪問和裝卸區(qū)域n n 設備安置及保護ISO27001主要條款一覽n 支持設施n 電纜安全n 設備維護n 管轄區(qū)域外設備安全n 設備報廢或重用n 財產轉移n 通訊與操作管理n 操作程序及職責n 文件化的操作程序 （ＤＯＣ）n 變更管理 n 職責分離n 開發(fā)、測試與運營設施的分離n 第三方服務交付管理n 服務交付n 第三方服務的監(jiān)督和評審（ Review）n 第三方服務的變更管理n 系統(tǒng)規(guī)劃和驗收n 容量管理n 系統(tǒng)驗收 （測試） n 防范惡意代碼和移動代碼n 控制惡意代碼 （病毒）n 控制移動代碼n 備份n 信息備份 （ Regularly）n 網絡安全管理n 網絡控制n 網絡服務安全 （網絡服務級別）n 介質處理n 可移動介質管理n 媒體銷毀n 信息處理程序n 系統(tǒng)文檔安全n 信息交換n 信息交換策略和程序n 交換協(xié)議n 物理介質傳輸n 電子消息n 業(yè)務信息系統(tǒng)n n 電子商務n 在線交易n 公共可用信息n 監(jiān)督n 審核日志n 監(jiān)控系統(tǒng)的使用n n 管理員和操作員日志n 錯誤日志n 時鐘同步n 訪問控制n 訪問控制的業(yè)務需求n 訪問控制策略 （ DOC）n 用戶訪問管理n 用戶注冊n 特權管理n 用戶口令管理n 用戶訪問權限的評審（ Review）n 用戶責任n 口令使用n n 清除桌面機屏幕策略n 網絡訪問控制n 網絡服務使用策略n 外部連接用戶的鑒別（遠程訪問）n 網絡設備的識別n 遠程診斷和配置端口保護n 網內隔離n 網絡連接控制n n 操作系統(tǒng)訪問控制n 安全登錄程序n 用戶標識和鑒別 （唯一的 UID）n 口令管理系統(tǒng)n 系統(tǒng)設施的使用n 會話超時n 聯(lián)機時間限制n n 信息訪問限制n 敏感系統(tǒng)隔離ISO27001主要條款一覽n 移動計算和遠程工作n 移動計算和通訊n 遠程工作n 信息系統(tǒng)采集、開發(fā)及維護n 信息系統(tǒng)安全要求n n 應用程序中的正確處理n 輸入數據驗證n 內部處理控制n 消息完整性n 輸出數據驗證n 加密控制n 使用加密控制的策略n 密鑰管理n 系統(tǒng)文檔安全n n n 源代碼庫的訪問控制n 開發(fā)及支持過程的安全n 變更控制程序n 操作系統(tǒng)變更的技術審查n 軟件包變更限制n 信息泄露n 軟件外包開發(fā)n 技術漏洞管理n 控制技術漏洞n 信息安全事故的管理n n 信息安全事件報告n 報告信息安全弱點（員工、合同人員、第三方人員）n 信息安全事故的管理和改進n n 從安全事故中學習n 收集證據n 業(yè)務連續(xù)性管理n 業(yè)務連續(xù)管理信息的安全方面n 包含信息安全的業(yè)務連續(xù)性管理過程n 業(yè)務連續(xù)性及風險評估n n 業(yè)務連續(xù)性計劃架構n 業(yè)務連續(xù)計劃的測試、維護與再評估（ Regularly）n 符合性n n 識別使用的法律法規(guī)n 知識產權n 保護組織記錄n 個人信息的隱私及數據保護n 防護信息處理設施用于未授權的目的n 加密控制法規(guī)n 符合安全策略、標準和技術的適用性n n 技術符合性檢查（ regularly）n n 信息系統(tǒng)審核控制n 信息系統(tǒng)審核工具保護The end.Thanks gods謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH