【正文】 場外設備或介質(zhì)不應該單獨置于公共區(qū)域，筆記本電腦應該放在不顯眼的包里 ? 注意設備防暴、防磁、防熱、防水、防震 ? 家庭辦公時，遵守設備加鎖保存、桌面凈空、計算機訪問控制及安全通信策略 ? 可以考慮購買適當?shù)谋ｋU 17799:2023 信息安全管理實施細則 目標：確保正確并安全地操作信息處理設施。 10 通信和操作管理 操作程序和責任 操作程序的文檔化 變更管理 職責分離 開發(fā)、測試和運營設施的分離 系統(tǒng)規(guī)劃及驗收 容量管理 系統(tǒng)驗收 目標： 減少系統(tǒng)故障帶來的風險。 抵御惡意和移動代碼 惡意代碼控制 移動代碼控制 目標： 保護軟件和信息的完整性。 第三方服務交付管理 服務交付 監(jiān)督和復查第三方服務 第三方服務變更管理 目標： 根據(jù)第三方服務交付協(xié)議，實施并保持恰當?shù)男畔踩头战桓端健? 17799:2023 信息安全管理實施細則 目標：維護信息和信息處理設施的完整性及可用性。 備份 信息備份 介質(zhì)處理 移動計算機介質(zhì)的管理 介質(zhì)的處置 信息處理程序 系統(tǒng)文件的安全 目標： 防止非授權泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務活動中斷。 信息的交換 信息交換策略和程序 交換協(xié)議 傳輸中的物理介質(zhì) 電子信息交換 業(yè)務信息系統(tǒng) 目標： 保持組織內(nèi)部和與外部實體間進行信息交換的安全性。 網(wǎng)絡安全管理 網(wǎng)絡控制 網(wǎng)絡服務的安全 目標： 確保網(wǎng)絡中的信息以及支持技術設施得到保護。 17799:2023 信息安全管理實施細則 目標：確保電子商務服務的安全性，保證安全使用電子商務服務。 電子商務服務 電子商務 在線交易 公共可用信息 監(jiān)視 審計日志 監(jiān)視系統(tǒng)使用 保護日志信息 管理員和操作日志 故障日志 時鐘同步 目標： 發(fā)現(xiàn)非授權活動。 17799:2023 信息安全管理實施細則 通信和操作管理提示 ? 明確操作管理理程序和責任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復、日志審計等事務 ? 定義變更管理責任和流程，做好信息處理設施的變更控制 ? 對第三方服務實施有效監(jiān)督，確保其符合既定協(xié)議的要求。應該定期檢查服務報告，分析安全事件相關信息，復查第三方審計記錄 ? 制定專門的策略，禁止使用非授權軟件，防止惡意代碼 ? 做好系統(tǒng)的備份容災規(guī)劃 ? 移動介質(zhì)使用是一個管理難題，應該采取有效措施，防止信息泄漏 17799:2023 信息安全管理實施細則 變更管理一般流程 識 別 變 更 需 求 計 劃 和 測 試 變 更 評 估 潛 在 的 影 響是 否 影 響 安 全變 更 準 備 ， 提 請 批準問 題 記 錄是 否 得 到 批 準實 施 變 更變 更 是 否 成 功F a l l b a c k 程 序與 相 關 人 員 溝 通 ，記 錄可 行 是否不 可 行是否否是17799:2023 信息安全管理實施細則 關于職責分離 ? 不應有人從頭到尾地完全控制一項牽涉到敏感的、有價值的、或者關鍵信息的任務，例如金融交易中，一個人負責數(shù)據(jù)錄入，另一個人負責檢查，第三人確認最終交易 ? 應該分離：開發(fā) /生產(chǎn)；安全管理 /審計；加密密鑰管理 /密鑰更改 ? 小型組織實施職責分離比較困難，可以采取其他一些控制措施，如活動監(jiān)控、跟蹤檢查和監(jiān)督管理等 ? 但安全審計務必要有獨立性 17799:2023 信息安全管理實施細則 目標：控制對信息的訪問。應該根據(jù)業(yè)務和安全需求對信息、系統(tǒng)和業(yè)務流程加以控制，還應該考慮信息傳播和授權的策略。 11 訪問控制 訪問控制的業(yè)務需求 訪問控制策略 用戶訪問的管理 用戶注冊 特權管理 用戶口令管理 用戶訪問權限的復審 目標： 確保授權用戶的訪問， 防止非授權訪問信息系統(tǒng)。 用戶責任 口令使用 無人值守的用戶設備 桌面清理和清屏策略 目標： 防止非授權用戶訪問、破壞、竊取信息及信息處理設施。 17799:2023 信息安全管理實施細則 目標：保護網(wǎng)絡服務，防止非授權訪問，對內(nèi)部和外部的網(wǎng)絡訪問都應該得到控制。 網(wǎng)絡訪問控制 網(wǎng)絡服務使用策略 對外部連接用戶進行身份認證 識別網(wǎng)絡中的設備 遠程診斷和配置端口的保護 網(wǎng)絡隔離 網(wǎng)絡連接控制 網(wǎng)絡路由控制 操作系統(tǒng)訪問控制 安全的登錄程序 用戶身份識別與認證 口令管理系統(tǒng) 系統(tǒng)工具的使用 會話超時 限制連接時間 目標： 防止對信息系統(tǒng)的非授權訪問。 17799:2023 信息安全管理實施細則 應用和信息訪問控制 信息訪問限制 敏感系統(tǒng)的隔離 目標： 防止非授權訪問信息系統(tǒng)中的信息。 移動計算和通訊 移動計算和通信 遠程工作（ Teleworking） 目標：確保使用移動計算和通訊設施時的信息安全。 17799:2023 信息安全管理實施細則 訪問控制重要提示 ? 關于訪問控制策略： ? 根據(jù)業(yè)務制訂的策略才能實施 ? 策略內(nèi)容：所需訪問的信息，訪問控制規(guī)則，用戶訪問權限，其他訪問控制要求 ? 沒有明確允許就是缺省禁止，最小權限原則等 ? 口令是常見的訪問控制措施，也是重要的信息資產(chǎn)，應妥善保護和管理 ? 關于網(wǎng)絡訪問控制： ? 組織網(wǎng)絡與其他組織網(wǎng)絡或者公共網(wǎng)之間進行正確的連接 ? 用戶和設備都具有適當?shù)纳矸蒡炞C機制 ? 在用戶訪問信息服務時進行控制 ? 關于操作系統(tǒng)訪問控制： ? 識別和驗證來訪者身份。如果需要，還要驗證每個合法用戶的終端節(jié)點或位置 ? 記錄成功和失敗的系統(tǒng)訪問 ? 提供適當?shù)纳矸蒡炞C方法。如果使用了口令管理系統(tǒng)，則應該確保使用高質(zhì)量的口令 ? 根據(jù)情況限制用戶連接時間 17799:2023 信息安全管理實施細則 訪問控制重要提示（續(xù)） ? 關于應用訪問控制： ? 考慮應用系統(tǒng)的安全，不得不考慮業(yè)務流程 ? 如果業(yè)務流程有安全隱患，應用系統(tǒng)是無法避免這些危險的。底層系統(tǒng)和網(wǎng)絡更是無能為力 ? 關于系統(tǒng)監(jiān)控： ? 日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計措施的話，都無法發(fā)揮大作用 ? 關于移動計算的訪問控制： ? 可變性太大 ? 有時會涉及 ―人格 ‖問題、 ―工作熱情 ‖問題 ? 執(zhí)行控制需要堅決的政策和有力的執(zhí)行 ? 要關注新技術的沖擊 17799:2023 信息安全管理實施細則 目標：確保安全內(nèi)建于信息系統(tǒng)中。 12 信息系統(tǒng)獲取、開發(fā)和維護 信息系統(tǒng)的安全需求 安全需求分析和規(guī)范 應用程序中正確的處理 輸入數(shù)據(jù)的驗證 內(nèi)部處理控制 消息完整性 輸出數(shù)據(jù)的驗證 目標： 防止應用程序中的信息出錯、丟失、被非授權篡改或誤用。 密碼控制 密碼控制使用策略 密鑰管理 目標： 通過加密手段， 保護信息的保密性、真實性或完整性。 系統(tǒng)文件安全 控制運營系統(tǒng)上的軟件 保護系統(tǒng)測試數(shù)據(jù) 對源代碼的訪問控制 目標： 控制對系統(tǒng)文件和程序源代碼的訪問，使 IT項目及其支持活動安全進行，確保系統(tǒng)文件的安全性。 17799:2023 信息安全管理實施細則 目標：維護應用系統(tǒng)軟件和信息的安全。應該嚴格控制項目和支持環(huán)境。 開發(fā)和支持過程的安全 變更控制程序 運營系統(tǒng)變更后對應用做技術 評審 限制對軟件包的變更 信息泄漏 外包的軟件開發(fā) 技術漏洞管理 控制技術漏洞 目標： 防止因為利用已發(fā)布漏洞而實施的破壞。 17799:2023 信息安全管理實施細則 系統(tǒng)開發(fā)安全性的重要提示 ? 建立安全的軟件開發(fā)過程和編碼規(guī)范 ? 開發(fā)一個有關如何利用加密控制對信息進行保護的策略（哪些信息要加密，加密的強度如何，移動介質(zhì)或傳輸中的加密，密鑰管理，角色和責任，法律法規(guī)限制等） ? 對密碼技術的應用，其關鍵在于密鑰管理： ? 生成，分發(fā)和傳輸 ? 使用和驗證 ? 保存，消除和恢復 ? 對正式上線的運營系統(tǒng)應嚴加控制，做好軟件開發(fā)的變更控制和管理 ? 不將運營系統(tǒng)上的敏感信息直接用作測試系統(tǒng) ? 需要對外包開發(fā)提高警惕（代碼所屬權，知識產(chǎn)權，資格認定，第三方保證，合同中對質(zhì)量和安全功能的要求，中間審計，安裝前測試） 17799:2023 信息安全管理實施細則 關于漏洞管理 ? 為了實施有效的漏洞管理，必須先有一個完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當前部署狀況、軟件的責任人等信息 ? 應該建立漏洞管理相關角色和責任：漏洞監(jiān)視，漏洞評估，補丁跟蹤 ? 定義新漏洞發(fā)現(xiàn)時的通知時限 ? 對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關，漏洞管理可以看作是變更管理的一個子集 ? 補丁安裝前必須做相關風險評估和測試 ? 必須采取相應的審計機制 17799:2023 信息安全管理實施細則 目標：確保與信息系統(tǒng)相關的信息安全事件和缺陷能夠及時發(fā)現(xiàn)，以便采取糾正措施。 13 信息安全事件管理 報告信息安全事件和缺陷 報告信息安全事件 報告安全缺陷 管理信息安全事件和改進 責任和程序 從信息安全事件中吸取教訓 證據(jù)搜集 目標： 確保采取一致和有效的方法來管理信息安全事件。 17799:2023 信息安全管理實施細則 信息安全事件管理一般流程 17799:2023 信息安全管理實施細則 14 業(yè)務連續(xù)性管理 業(yè)務連續(xù)性管理的信息安全方面 在業(yè)務連續(xù)性管理過程中考慮信息安全 業(yè)務連續(xù)性和風險評估 開發(fā)和實施包含信息安全的連續(xù)性計劃 業(yè)務連續(xù)性計劃框架 測試、維護和再評估業(yè)務連續(xù)性計劃 目標：減少業(yè)務活動的中斷，保護關鍵業(yè)務過程不受重大事故或災害的影響，確保其及時恢復。 分析對業(yè)務連續(xù)性的潛在影響 編寫，實施，測試和維護業(yè)務連續(xù)性計劃 建立計劃框架 業(yè)務連續(xù)性管理過程 ? 理解組織面臨的風險，識別關鍵業(yè)務活動和優(yōu)先次序。 ? 確認可能對業(yè)務造成影響的中斷。 ? 考慮購買合適的保險。 ? 制訂及文檔化與業(yè)務目標和優(yōu)先級保持一致的業(yè)務連續(xù)性戰(zhàn)略。 ? 根據(jù)業(yè)務連續(xù)性戰(zhàn)略制定并文檔化業(yè)務連續(xù)性計劃。 ? 定期測試并更新計劃和程序。 ? 明確業(yè)務連續(xù)性管理的責任。 17799:2023 信息安全管理實施細則 關于的重要提示 ? 有效的業(yè)務連續(xù)性計劃必須包括業(yè)務與技術兩部分： ? 業(yè)務觀點：行政主管必須定義和規(guī)劃他們的可用性需求，以及達到這些需求所需動用的資源 ? 技術觀點：管理者必須定義、規(guī)劃及設計一份業(yè)務連續(xù)性計劃，以達到企業(yè)的可用性需求 ? 災難恢復的業(yè)務觀點包括評估發(fā)生意外的可能性、風險變成事實后所帶來的沖擊、以及管理階層的應對措施 ? 為了有效地對抗災難，擬定業(yè)務需求時應注重于設計出在發(fā)生災難時能夠至少涵蓋下列部分的完整計劃： ? 響應：發(fā)生災難時，必須立即采取的緊急應變措施 ? 復原：為了從災難中復原所采取的動作 ? 繼續(xù)：為了繼續(xù)正常業(yè)務運作所采取的動作 ? 還原：讓原來的節(jié)點還原成最初狀況的過程 ? 責任：個人應對執(zhí)行哪一部份的計劃負責 ? 負責人必須確認計劃實施所需資源：人力、裝備、技術、財務 17799:2023 信息安全管理實施細則 業(yè)務連續(xù)性計劃框架 計劃啟動條件 應急（ Emergency）程序 退卻（ Fallback）及臨時操作程序 恢復（ Resumption）程序 計劃維護時間表 意識和教育 個人職責 17799:2023 信息安全管理實施細則 測試方式 ? 針對各種假想場景做桌面測試，展開討論 ? 模擬（特別針對承擔事后 /危機管理角色的人員培訓） ? 技術恢復測試（確保信息系統(tǒng)能被有效恢復） ? 在替換場地做恢復測試 ? 測試供應商設備和服務（確保所提供的外部服務和產(chǎn)品符合合同承諾） ? 排練（測試組織、人員、設備、設施和流程能夠應付中斷） 17799:2023 信息安全管理實施細則 目標：避免違反任何法律、條令、法規(guī)或者合同義務，以及任何安全要求。 15 符合性