【正文】 評審與評價 2023/3/8 4. 安全組織 目標(biāo)： ? 管理組織內(nèi)部的信息安全 ? 維護組織的信息處理設(shè)備和信息資產(chǎn)在被第三方訪問時的安全 ? 維護把信息處理的責(zé)任外包給其他組織時的信息安全性 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 4. 安全組織 信息安全基礎(chǔ)結(jié)構(gòu) 第三方訪問的安全 外包 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 信息安全基礎(chǔ)結(jié)構(gòu) 信息安全管理委員會 信息安全協(xié)作 信息安全責(zé)任分配 信息處理設(shè)施的授權(quán)過程 信息安全專家建議 組織間的合作 信息安全的獨立評審 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 第三方訪問的安全 第三方訪問的風(fēng)險識別 訪問類型 訪問原因 現(xiàn)場工作的合同方 第三方合同中的安全要求 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 外包 外包合同中的安全要求 外包合同 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 5. 資產(chǎn)分類與控制 目標(biāo)： ? 保持對組織資產(chǎn)的適當(dāng)保護 ? 確保信息資產(chǎn)受到適當(dāng)級別的保護 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 5. 資產(chǎn)分類與控制 資產(chǎn)責(zé)任 資產(chǎn)清單 信息資產(chǎn)分類 分類指南 標(biāo)識和處理 絕密 機密 秘密 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 6. 人員安全 目標(biāo)： ? 降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險 ? 確保用戶意識到信息安全的威脅和利害關(guān)系，并在其日常工作過程中樹立支持組織安全方針的意識 ? 盡量減小安全事件和故障造成的損失，監(jiān)督此類事件并從中吸取教訓(xùn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 6. 人員安全 崗位安全責(zé)任和人員錄用安全要求 用戶培訓(xùn) 安全事件與故障的響應(yīng) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 崗位安全責(zé)任和人員錄用安全要求 崗位安全責(zé)任 人員選拔及其原則 保密協(xié)議 錄用條款 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶培訓(xùn) 信息安全教育與培訓(xùn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 安全事件與故障響應(yīng) 報告安全事件 報告安全隱患 報告軟件故障 總結(jié)事件教訓(xùn) 處罰過程 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 7. 物理和環(huán)境安全 目標(biāo)： ? 防止進入業(yè)務(wù)安全區(qū)邊界，對信息進行未授權(quán)的訪問、破壞和干擾 ? 防止資產(chǎn)的丟失、損壞或損害，以及業(yè)務(wù)活動的中斷 ? 防止信息和信息處理設(shè)施遭受損害或被盜 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 7. 物理和環(huán)境安全 安全區(qū)域 設(shè)備安全 常規(guī)控制措施 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 安全區(qū)域 邊界 出入控制 辦公室 、 房間和設(shè)施的安全 安全區(qū)工作守則 交接區(qū)隔離 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 設(shè)備安全 設(shè)備安置及其保護 電源 線纜安全 設(shè)備維護 安全區(qū)外的設(shè)備安全 設(shè)備報廢或再利用的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 常規(guī)控制措施 清空桌面和清屏 資產(chǎn)轉(zhuǎn)移 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 8. 通信和操作管理 目標(biāo)： ? 確保信息處理設(shè)施正確運行與安全運行 ? 將系統(tǒng)故障的風(fēng)險降到最低 ? 保護軟件和信息的完整性 ? 保持信息處理與通信服務(wù)的完整性和可用性 ? 確保網(wǎng)絡(luò)信息的安全和支持性基礎(chǔ)設(shè)施得到保護 ? 防止資產(chǎn)損失和業(yè)務(wù)活動的中斷 ? 防止丟失、修改或誤用組織之間交換的信息 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 8. 通信和操作管理 操作程序和責(zé)任 系統(tǒng)規(guī)劃和驗收 惡意軟件的防范 日常管理 網(wǎng)絡(luò)管理 媒體安全 信息及軟件的交換 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 操作程序和責(zé)任 操作程序文件化 操作的變更控制 事件管理程序 職責(zé)劃分 開發(fā)設(shè)備與操作設(shè)備的隔離 外部設(shè)施管理 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)規(guī)劃和驗收 容量規(guī)劃 系統(tǒng)驗收 2023 2023 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 惡意軟件的防范 惡意軟件的防范措施 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 日常管理 信息備份 操作日志 錯誤記錄 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 媒體安全 可移動的計算機媒體的管理 媒體處置 信息處理程序 系統(tǒng)文檔安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 信息及軟件的交換 信息及軟件交換協(xié)議 媒體傳輸安全 電子商務(wù)安全 電子郵件安全 電子辦公系統(tǒng)安全 公開可用系統(tǒng) 其它形式的信息交換 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 9. 訪問控制 目標(biāo)： ? 控制對信息的訪問 ? 防止對信息系統(tǒng)的未授權(quán)訪問 ? 防止未授權(quán)的用戶訪問 ? 保護網(wǎng)絡(luò)服務(wù)，控制對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)的訪問 ? 防止對計算機的未授權(quán)訪問 ? 防止對信息系統(tǒng)內(nèi)的信息的未授權(quán)訪問 ? 檢測未授權(quán)的活動 ? 確保使用可移動計算機和遠程工作設(shè)施時的信息的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 9. 訪問控制 訪問控制的業(yè)務(wù)需求 用戶訪問管理 用戶職責(zé) 網(wǎng)絡(luò)訪問控制 操作系統(tǒng)訪問控制 應(yīng)用系統(tǒng)訪問控制 系統(tǒng)訪問和使用的監(jiān)控 移動計算和遠程工作 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 訪問控制的業(yè)務(wù)需求 訪問控制策略 策略和業(yè)務(wù)需求 訪問控制規(guī)則 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶訪問管理 用戶注冊 特權(quán)管理 用戶口令管理 用戶訪問權(quán)限的評審 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶職責(zé) 口令的使用 無人值守的用戶設(shè)備 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用策略 強制路徑 外部連接的用戶身份認(rèn)證 節(jié)點認(rèn)證 遠程診斷端口保護 網(wǎng)絡(luò)劃分 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制 網(wǎng)絡(luò)服務(wù)安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 操作系統(tǒng)訪問控制 自動終端識別 終端登錄程序 用戶識別與認(rèn)證 口令管理系統(tǒng) 系統(tǒng)工具的使用 強制報警 終端超時 連接時間的限制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 應(yīng)用系統(tǒng)訪問控制 信息訪問限制 敏感系統(tǒng)隔離 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)訪問和使用的監(jiān)控 事件日志 系統(tǒng)使用的監(jiān)控 監(jiān)控程序 風(fēng)險因素 事件記錄與評審 時鐘同步 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 移動計算和遠程工作 移動計算 遠程工作 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 10. 系統(tǒng)開發(fā)和維護 目標(biāo)： ? 確保信息系統(tǒng)的安全 ? 防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶數(shù)據(jù) ? 保護信息的機密性、真實性或完整性 ? 確保 IT項目及其支持活動得以一種安全的方式進行。對系統(tǒng)文件的訪問應(yīng)得到控制 ? 維護應(yīng)用系統(tǒng)軟件與信息的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 10. 系統(tǒng)開發(fā)和維護 系統(tǒng)安全需求 應(yīng)用系統(tǒng)安全 加密控制 系統(tǒng)文件安全 開發(fā)過程和支持過程的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)安全需求 安全需求分析及其說明 說明書 。 Process of identifying , controlling and minimizing or eliminating security risks that may affect 商業(yè)情況 。 Process of identifying , controlling and minimizing or eliminating security risks that may affect 安全需求 。 Process of identifying , controlling and minimizing or eliminating security risks that may affect , ISO17799控制目標(biāo)和控制措施概述 2023/3/8 應(yīng)用系統(tǒng)安全 輸入數(shù)據(jù)的確認(rèn) 內(nèi)部處理的控制 風(fēng)險 檢查和控制 消息驗證 輸出數(shù)據(jù)的確認(rèn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 加密控制 加密控制策略 加密 數(shù)字簽名 密鑰管理 防抵賴 密鑰管理 密鑰保護 標(biāo)準(zhǔn) 、 程序和方法 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)文件安全 運行軟件的控制 系統(tǒng)測試數(shù)據(jù)的保護 源代碼的訪問控制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 開發(fā)過程和支持過程的安全 . 1 變更控制程序 操作系統(tǒng)變更的技術(shù)評審 . 3 軟件包變更的限制 . 4 隱蔽信道和特洛伊代碼 . 5 外包的軟件開發(fā) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 11. 業(yè)務(wù)連續(xù)性管理 目標(biāo)： ? 防止業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)過程免受重大故障或災(zāi)難的影響 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 11. 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理 過程 業(yè)務(wù)連續(xù)性和影響分析 制定和實施業(yè)務(wù)連續(xù)性計劃 業(yè)務(wù)連續(xù)性計劃框架 測試 ， 維護和重新評估業(yè)務(wù)連續(xù)性計劃 測試業(yè)務(wù)連續(xù)性計劃 維護和重新評估業(yè)務(wù)連續(xù)性計劃 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 12. 符合性 目標(biāo)： ? 避免違反任何刑法與民法、法律法規(guī)責(zé)任或合同責(zé)任和任何安全要求防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶數(shù)據(jù) ? 確保系統(tǒng)符合組織的安全方針和標(biāo)準(zhǔn) ? 盡量提高系統(tǒng)審核過程的效果，盡量減少對（或來自）系統(tǒng)審核過程的干擾 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 12. 符合性 符合法律要求 安全方針和技術(shù)符合性的評審 系統(tǒng)審核的考慮事項 ISO17799控制目標(biāo)和控制措施概述