【正文】 ? 明確業(yè)務(wù)連續(xù)性管理的責(zé)任。 ? 考慮購買合適的保險(xiǎn)。 13 信息安全事件管理 報(bào)告信息安全事件和缺陷 報(bào)告信息安全事件 報(bào)告安全缺陷 管理信息安全事件和改進(jìn) 責(zé)任和程序 從信息安全事件中吸取教訓(xùn) 證據(jù)搜集 目標(biāo)： 確保采取一致和有效的方法來管理信息安全事件。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。底層系統(tǒng)和網(wǎng)絡(luò)更是無能為力 ? 關(guān)于系統(tǒng)監(jiān)控： ? 日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計(jì)措施的話，都無法發(fā)揮大作用 ? 關(guān)于移動(dòng)計(jì)算的訪問控制： ? 可變性太大 ? 有時(shí)會涉及 ―人格 ‖問題、 ―工作熱情 ‖問題 ? 執(zhí)行控制需要堅(jiān)決的政策和有力的執(zhí)行 ? 要關(guān)注新技術(shù)的沖擊 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中。 移動(dòng)計(jì)算和通訊 移動(dòng)計(jì)算和通信 遠(yuǎn)程工作（ Teleworking） 目標(biāo)：確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全。 用戶責(zé)任 口令使用 無人值守的用戶設(shè)備 桌面清理和清屏策略 目標(biāo)： 防止非授權(quán)用戶訪問、破壞、竊取信息及信息處理設(shè)施。 17799:2023 信息安全管理實(shí)施細(xì)則 通信和操作管理提示 ? 明確操作管理理程序和責(zé)任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復(fù)、日志審計(jì)等事務(wù) ? 定義變更管理責(zé)任和流程，做好信息處理設(shè)施的變更控制 ? 對第三方服務(wù)實(shí)施有效監(jiān)督，確保其符合既定協(xié)議的要求。 信息的交換 信息交換策略和程序 交換協(xié)議 傳輸中的物理介質(zhì) 電子信息交換 業(yè)務(wù)信息系統(tǒng) 目標(biāo)： 保持組織內(nèi)部和與外部實(shí)體間進(jìn)行信息交換的安全性。 抵御惡意和移動(dòng)代碼 惡意代碼控制 移動(dòng)代碼控制 目標(biāo)： 保護(hù)軟件和信息的完整性。促進(jìn)安全意識，可以減少人員的非授權(quán)活動(dòng)，可以增強(qiáng)保護(hù)控制的效率，有助于避免欺詐和對計(jì)算資源的浪費(fèi) ? 員工具有安全意識的標(biāo)志： ? 認(rèn)知可能存在的安全問題及其危害，理解安全所需 ? 明白自身的安全職責(zé)，恪守正確的行為方式 ? 促進(jìn)安全意識的方法和途徑多種多樣： ? 交互性的、實(shí)時(shí)的介紹，課程，視頻 ? 出版發(fā)布物品，新聞傳單，張貼物，簡報(bào)，布告欄， ? 獎(jiǎng)金和贊譽(yù)等激勵(lì)機(jī)制 ? 提醒物，比如登錄，筆、便簽、鼠標(biāo)墊等隨身物品 ? 安全意識材料應(yīng)該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化 17799:2023 信息安全管理實(shí)施細(xì)則 安全培訓(xùn)和教育 ? 培訓(xùn)（）不同于意識，其目的是傳授安全相關(guān)的工作技能，主要對象為信息系統(tǒng)管理和維護(hù)人員，通常利用一對一的課堂形式，包括： ? 為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn) ? 為與敏感安全位置相關(guān)的具體的部門或人員提供的技能培訓(xùn) ? 為支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn) ? 為安全實(shí)踐者和信息系統(tǒng)審計(jì)師提供的高級信息安全培訓(xùn) ? 為高級管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn) ? 教育（）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分 ? 具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要 17799:2023 信息安全管理實(shí)施細(xì)則 加強(qiáng)人員離職控制 ? 人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí) ? 解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前 ? 使用標(biāo)準(zhǔn)的檢查列表（）來實(shí)施離職訪談 ? 離職者需在陪同下清理個(gè)人物品 ? 確保離職者返還所有的公司證章、鑰匙等物品 ? 與此同時(shí)，立即消除離職者的訪問權(quán)限，包括： ? 解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán) ? 解除電話，注銷電子郵箱，鎖定賬號 ? 通知公司其他人員、外部伙伴或客戶，聲明此人已離職 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項(xiàng)活動(dòng)被打斷。對于敏感職位，可能還會考慮進(jìn)一步的調(diào)查。信息屬主的責(zé)任在于： ? 基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任 ? 保管者（）： ? 受信息屬主委托而負(fù)責(zé)保護(hù)信息，通常由系統(tǒng)人員來承擔(dān)，其職責(zé)包括： ? 定期備份，測試備份數(shù)據(jù)的有效性；必要時(shí)對數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來的記錄 ? 用戶（）： ? 任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意： ? 用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息安全的責(zé)任；用戶必須只將公司的計(jì)算資源用作公司目的，不能做個(gè)人使用 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險(xiǎn)。 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。所有資產(chǎn)都應(yīng)該責(zé)任到人。還應(yīng)考慮需要訪問哪些設(shè)施和信息？信息的價(jià)值，必要的控制，授權(quán)以及監(jiān)督方式，出錯(cuò)可能造成的影響，對安全事件的響應(yīng)，法律法規(guī)等。 外部伙伴 識別與外部伙伴相關(guān)的風(fēng)險(xiǎn) 和客戶交往時(shí)注意安全 在第三方協(xié)議中注明安全 目標(biāo)：維護(hù)被外部伙伴訪問、處理和管理的組織的信息處理設(shè)施和信息資產(chǎn)的安全。 安全策略的復(fù)查 ? 策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略。 17799:2023 信息安全管理實(shí)施細(xì)則 法律要求和最佳實(shí)踐控制措施 ? 與法律相關(guān)的控制措施： ? 知識產(chǎn)權(quán)（ ）：遵守知識產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律（ ） ? 保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞和偽造（ ） ? 數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國的數(shù)據(jù)保護(hù)法律（ ） ? 與最佳實(shí)踐相關(guān)的控制措施： ? 信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知（ ） ? 信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任（ ） ? 信息安全意識、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)（ ） ? 正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、損壞或被非授權(quán)篡改及誤用（ ） ? 漏洞管理：防止利用已發(fā)布的漏洞信息來實(shí)施破壞（ ） ? 管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來管理信息安全事件（ ） ? 業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事件或?yàn)?zāi)難影響（ 14） ? 盡管選擇以上控制是信息安全很好的起點(diǎn)，但還是不能代替基于風(fēng)險(xiǎn)評估選擇合適的安全控制。 ? 確定風(fēng)險(xiǎn)因子：后果為 2，弱點(diǎn)值為 3，威脅值為 3 ? 評估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為高風(fēng)險(xiǎn)（ 18） ? 應(yīng)對風(fēng)險(xiǎn)：根據(jù)公司風(fēng)險(xiǎn)評估計(jì)劃中確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對該風(fēng)險(xiǎn)采取措施予以消減。 風(fēng)險(xiǎn)評估與管理 識別并評估信息資產(chǎn) ? 數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等 ? 書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序 ? 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所 ? 人員：承擔(dān)特定職能和責(zé)任的人員 ? 服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電、等 ? 組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn) 信息資產(chǎn)價(jià)值評估標(biāo)準(zhǔn) 高（ 3）：非常重要，缺了這個(gè)資產(chǎn)（的喪失），業(yè)務(wù)活動(dòng)將中斷并且遭受不可挽回的損失 中（ 2）：比較重要，缺了這個(gè)資產(chǎn)（的喪失或受損），業(yè)務(wù)活動(dòng)將被迫延緩，造成明顯損失 低（ 1）：不太重要，缺了這個(gè)資產(chǎn)，業(yè)務(wù)活動(dòng)基本上不受影響 風(fēng)險(xiǎn)評估與管理 識別并評估威脅 ? 人員威脅：故意破壞和無意失誤 ? 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅：洪水、地震、臺風(fēng)、雷電等 威脅可能性評估標(biāo)準(zhǔn) 高（ 3）：非?？赡?，在業(yè)務(wù)活動(dòng)持續(xù)期間，時(shí)刻都有可能出現(xiàn) 中（ 2）：比較可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，有可能多次出現(xiàn) 低（ 1）：不太可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，不大可能出現(xiàn) 風(fēng)險(xiǎn)評估與管理 識別并評估弱點(diǎn) ? 技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ?，即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 ? 弱點(diǎn)（） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。 絕對的安全是不存在的！ 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。 在信息安全領(lǐng)域，風(fēng)險(xiǎn)（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。 信息安全管理體系認(rèn)證 認(rèn)證之前做好準(zhǔn)備 進(jìn)行 27001認(rèn)證之前，組織可以參照以下檢查列表來做準(zhǔn)備： 董事會和管理層的簽署承諾 已簽署并發(fā)布的安全策略文檔 已識別的資產(chǎn) 風(fēng)險(xiǎn)評估的結(jié)果文檔 已作出的風(fēng)險(xiǎn)管理決策 已識別的可用控制 文檔化的適用性聲明 文檔化的業(yè)務(wù)連續(xù)性計(jì)劃，并得到了實(shí)施和測試 文檔化的程序，并且發(fā)布和實(shí)施 確定有效性的內(nèi)部復(fù)審 信息安全管理體系認(rèn)證 認(rèn)證過程 選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) Phase1：文檔審核 Phase2：現(xiàn)場審查 維持認(rèn)證 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 ? 復(fù)審風(fēng)險(xiǎn)評估文檔、安全策略和適用性聲明 ? 復(fù)審 ISMS的其他文檔 ? ISMS的實(shí)施情況，符合性審查 ? 風(fēng)險(xiǎn)管理決策的基礎(chǔ) 組織被授予證書后，審核組每年都會對其 ISMS符合性進(jìn)行檢查。的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價(jià)標(biāo)準(zhǔn) ? （ 21827） ? 美國國家安全局（）于 1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。 ? 促使管理層堅(jiān)持貫徹信息安全保障體系。 ? 對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。 ? 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在 7799認(rèn)證方面表現(xiàn)積極。 ? 2023年 6月 —— 17799:2023改版，成為 17799:2023。 ? 1998年 2月 —— 英國公布 77992:《信息安全管理體系規(guī)范》。它旨在為一個(gè)機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信 。 7799簡介 什么是 7799？ ? 英國標(biāo)準(zhǔn)協(xié)會（ ，）制定的信息安全標(biāo)準(zhǔn)。 不斷發(fā)展自己的工作隊(duì)伍，完善自己的工作機(jī)構(gòu)和體制， 把標(biāo)準(zhǔn)化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作 ? 的宗旨： ? 1. 為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進(jìn)生產(chǎn)， 達(dá)到標(biāo)準(zhǔn)化（包括簡化） ? 2. 制定和修訂英國標(biāo)準(zhǔn)，并促進(jìn)其貫徹執(zhí)行 ? 3. 以學(xué)會名義，對各種標(biāo)志進(jìn)行登記，并頒發(fā)許可證 ? 4. 必要時(shí)采取各種行動(dòng)，保護(hù)學(xué)會利益 7799簡介 國際標(biāo)準(zhǔn)化組織（） ? 國際標(biāo)準(zhǔn)化組織（ ，） ? 國際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專門機(jī)構(gòu)， 它在國際標(biāo)準(zhǔn)化中占主導(dǎo)地位。 實(shí)施所選的安全控制措施。 ? 對風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理。 信息安全概述 信息安全管理面臨的一些問題 ? 國家的信息安全法律法規(guī)體系建設(shè)還不是很完善 ? 組織缺乏信息安全意識和明確的信息安全策略 ? 對信息安全還持有傳統(tǒng)的認(rèn)識，即重技術(shù)，輕管理 ? 安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理 信息安全概述 調(diào)查顯示有 8成企業(yè)安全管理不理想 信息安全概述 各行業(yè)安全管理狀況都不容樂觀 信息安全概述 安全管理各方面能力都很低下 信息安全概述 信息安全管理應(yīng)該是體系化的 ? 信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子 ? 這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營管理體系的一部分 務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作 信息安全概述 怎樣實(shí)現(xiàn)信息安全？ 信息安全概述 通常的信息安全建設(shè)方法 ? 采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案： ? 防病毒，防火墻，等 ? 通