【正文】 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 。 :15:0423:15Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 :15:0423:15:04March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 ? 在 IT行業(yè)系統(tǒng)集成、軟件開發(fā)、信息安全與控制領(lǐng)域有十五年工作經(jīng)驗，精通網(wǎng)絡(luò)技術(shù)、軟件開發(fā)技術(shù)、信息安全技術(shù)，長期從事企業(yè)信息化建設(shè)，對國內(nèi)大中型企業(yè)的計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、安全系統(tǒng)的規(guī)劃、設(shè)計、實施有較豐富的經(jīng)驗。 ? 內(nèi)審小組負責(zé)編寫本次內(nèi)審的 《 內(nèi)部審計方案 》 ，其內(nèi)容一般為 :被審部門、審計時間、內(nèi)容、范圍、審計依據(jù)、目的、方法；內(nèi)審小組成員及其分工；審計活動日程安排。 ? 檢查小組根據(jù)組織的信息安全方針、策略及程序要求，編寫各類安全檢查列表，進行符合性檢查。 ? 審核工作是審計機構(gòu)對組織的信息安全控制措施是否完備所做的鑒證過程。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。 ? 好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關(guān)。 ? 人力資源政策 ? 因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。 ? 信息安全指導(dǎo)委員會 ? 信息安全主管為核心的、專業(yè)的信息安全管理的隊伍 ? 把相應(yīng)的安全責(zé)任落實到每一個員工身上 員工 ISMS職責(zé)表 ISMS文件與工作人員矩陣 信息安全管理員職責(zé)矩陣 、 工作流程 火龍果 ? 整理 . ? 制定計劃 ? 行動計劃主要有 ： ? 信息安全政策制訂與實施 ? 與信息安全相關(guān)的人力資源政策的制訂 ? 安全事件響應(yīng)計劃 ? 監(jiān)控日常安全事務(wù)及員工對安全政策的遵循 ? 業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃 ? 安全教育計劃 ? 建設(shè)企業(yè)安全文化 ? 預(yù)算計劃 ? 有足夠資金支持的計劃才是切實可行的計劃，才能有效地落實信息安全所需要的人、財、物等資源的配置。我們把信息安全中對人的有效管理稱為“人力防火墻”。 ? 解決方案 :基于數(shù)字簽名 火龍果 ? 整理 . ? 安全運維系統(tǒng) ? 安全運維管理系統(tǒng)對整個安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報警等作用，負責(zé)對全網(wǎng)絡(luò)安全防護設(shè)備進行管理，為各個應(yīng)用系統(tǒng)提供安全管理接口，對需要特別關(guān)注的應(yīng)用系統(tǒng)進行應(yīng)用審計。 ? 解決方案 :使用統(tǒng)一的身份認證證書 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進行控制， 能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。（網(wǎng)絡(luò)及主機操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺的加固） 安 全 邊 界 網(wǎng)絡(luò)行為審計：加強網(wǎng)絡(luò)安全管理，追查安全事件。 入侵檢測：發(fā)現(xiàn)非法入侵行為 。 網(wǎng) 頁 保 護安 全 審 計漏 洞 、 病 毒 掃 描抗 拒 絕 服 務(wù)入 侵 檢 測邊 界 訪 問 控 制I n t e r n e t公 眾 服 務(wù) 網(wǎng)多 重 認 證 與 授 權(quán)強 審 計漏 洞 、 病 毒 掃 描入 侵 檢 測辦 公 業(yè) 務(wù) 網(wǎng)V L A N網(wǎng)絡(luò)隔離　 　 　 　 　 　 　 　 　 　 　 基 礎(chǔ) 安 全 服 務(wù) 設(shè) 施－ C A / P K I 認 證 體 系 （ 提 供 數(shù) 字 簽 名 、 加 密 等 基 礎(chǔ) 服 務(wù) 接 口 ） 　 － 應(yīng) 急 支 援 系 統(tǒng) （ C E R T ）－ 基 于 數(shù) 據(jù) 證 書 的 可 信 時 間 服 務(wù) 　 　 － 基 于 L A N / S A N 結(jié) 構(gòu) 的 備 份 系 統(tǒng) 　 － 災(zāi) 難 恢 復(fù) 及 業(yè) 務(wù) 連 續(xù) 性 計 劃網(wǎng) 絡(luò) 隔 離V P N外 單 位 網(wǎng) 絡(luò)信 息 交 換 層邊 界 訪 問 控 制物理隔離多 重 認 證 與 授 權(quán)強 審 計加 密 數(shù) 據(jù) 庫系 統(tǒng) 鏡 像涉 密 內(nèi) 網(wǎng). . .加 密 傳 輸明 文 傳 輸圖 例 ： 火龍果 ? 整理 . 省級局域網(wǎng) 上級接口 下級接口 橫 向 接 口 互 聯(lián) 網(wǎng) 接 口 加密機：保護離開局域網(wǎng)的信息安全，同時防止非法接入。 基礎(chǔ)技術(shù)系統(tǒng) 安全防護系統(tǒng) 應(yīng)用支撐系統(tǒng) 安全 運維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎(chǔ)技術(shù)系統(tǒng) ? 縱深防御架構(gòu) ? 可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計算機不能直接到達可信網(wǎng)絡(luò)。 ? 技術(shù)產(chǎn)品方面 ：綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機密性、完整性和可靠性。 ? 正式運行前，需要領(lǐng)導(dǎo)層進行動員，并進行全員培訓(xùn)，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。 火龍果 ? 整理 . 定 義 安 全 方 針定 義 I S M S的 范 圍實 施 風(fēng) 險 評 估風(fēng) 險 管 理選 擇 控 制 目 標和 實 施 控 制準 備 適 用 性聲 明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 針 文 檔I S M S 范 圍 文 檔風(fēng) 險 評 估 文 檔結(jié) 果 與 結(jié) 論選 擇 控 制適 用 性 聲 明識 別 資 產(chǎn)風(fēng) 險 管 理 策 略控 制 概 要威 脅 、 脆 弱 點資 產(chǎn) 影 響組 織 風(fēng) 險 管 理 方 法需 要 保 護 的 程 度B S 7 7 9 9 中 的 控 制其 他 控 制 措 施? ISMS建設(shè)過程： ? 建立 ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體安全建設(shè) ? 從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進行風(fēng)險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。 用木桶原理說明 ISMS 火龍果 ? 整理 . 符合性 （ Co m p li a n c e ）業(yè)務(wù)連續(xù)性管理 （ Bu s in e s s c o n t in u it y m a n a g e m e n t ）信息安全事故管理 （ I n f o r m a t io n s e c u r it y i n c id e n t m a n a g e m e n t ）訪問控制 （ A c c e s s c o n t r o l ）人力資源安全（ Hu m a n r e s o u r c e ss e c u r it y ）物理和環(huán)境安全（ P h y s ic a l a n de n v ir o n m e n t a ls e c u r it y ）通信和操作安全（ Co m m u n ic a t io n sa n d o p e r a t io n sM a n a g e m e n t ）信息系統(tǒng)采集開發(fā)和維護（ I n f o r m a t io n s y s t e ma c q u is it io n , d e v e lo p m e n ta n d m a in t e n a n c e ）資產(chǎn)管理 （ A s s e t m a n a g e m e n t ）信息安全的組織 （ Or g a n izi n g i n f o r m a t io n s e c u r it y ）安全策略 （ S e c u r it y P o li c y ）? ISMS “ 木桶 ” 由哪些 “ 板 ” 組成？ ? 類似于質(zhì)量管理體系的 ISO9000標準， ISMS也有相應(yīng)的國際標準ISO27001，它確定了 ISMS的 11個安全領(lǐng)域及 133個相應(yīng)的控制措施。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 ? 從安全防護手段看信息安全的成本：技術(shù)成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經(jīng)濟損失 ? 信息安全的非價值效益：增加聲譽、提升品牌價值 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(G