【正文】 物理安全和人員安全的要點n 物理安全需檢查：q 平面布局圖q 標(biāo)示出的敏感物理區(qū)域n 人員安全需注意：q 任何人發(fā)生變動而引起權(quán)限變更，都必須報告給HR文件管理n Best practices:q 絕密級的文件要受控發(fā)放（每頁加 “絕密 ”字樣），當(dāng)天發(fā)放、當(dāng)天收回q 絕密級的電子文件不允許放到網(wǎng)上q 一句經(jīng)典： online的才是有效的，打印的僅供參考！風(fēng)險處置選項與適用性聲明n Risk Treatment Optionsq 降低風(fēng)險 Risk reductionn 采取控制措施q 回避風(fēng)險 Risk avoidancen 拋棄某種技術(shù)或生產(chǎn)方式q 轉(zhuǎn)移風(fēng)險 Risk transfern 保險、外包q 接受風(fēng)險 Risk acceptancen ……n Statement of applicabilityq 概括了對風(fēng)險處置的決定About FILES Audit關(guān)于文審n Basic audit skills: q 初審之前要求企業(yè)提供 Two Initial requirements:n Organizational chart組織結(jié)構(gòu)圖n Files list文件清單n Files architecture:q High level: Policy/ Manual（方針、手冊）q Medium level: Standard procedures (4W1H)q Low Level: Working instructions (作業(yè)指導(dǎo)書，針對特定工藝、產(chǎn)品或崗位 )q Basic level: records（記錄）Tips 4n 初審時最重要的一件事：找出 “風(fēng)險 ”點！n 針對核心系統(tǒng)進(jìn)行風(fēng)險評估，實施控制措施n 考試小竅門：q 很多問題的答案都應(yīng)該選 “Policy”q ?審核類型n Types of auditsq First party/ internal auditn 內(nèi)審，但不能審核與自己工作職責(zé)相同的范圍q Second party/ external auditn 客戶對于供應(yīng)商的審核q Third party/ external auditn 獨立、公正的認(rèn)證機(jī)構(gòu)的審核n Other auditsq Process audit （一般表現(xiàn)為受委托對第二方進(jìn)行審核）q Product audit（一般表現(xiàn)為企業(yè)對自身產(chǎn)品的抽樣、破壞性試驗）認(rèn)可 /認(rèn)證的層次關(guān)系n 由上至下：q Department of Trade and Industry (DTI)n 世界工業(yè)聯(lián)合會q Accreditation Body (. UKAS)n 認(rèn)可機(jī)構(gòu)q Certification Bodies (. DNV)n 認(rèn)證機(jī)構(gòu)q Organizationsn 組織q Suppliersn 供應(yīng)商Certificate Processes預(yù)審 Preliminary assessment (optional)文件審核 Document review (stage 1)初訪 Initial visit (stage1)初審 Initial audit (stage2) followup visit跟蹤訪問 followup visit定期審核 Periodic audits換證審核 Recertification audit另類的標(biāo)準(zhǔn)n ISO 19011 審核標(biāo)準(zhǔn)q 系統(tǒng)性q 獨立性q 公正性n ISO 13335q IT最佳實踐 n q 質(zhì)量的 checklist，很有參考價值！ISO19011 Auditor Attributesn Open minded：開放的思想n Observant：觀察力n Diplomatic：外交能力n Perceptive：理解力n Versatile：多才多藝n Tenacious：不屈不撓n Decisive：堅定n Self reliant：自信Observant：觀察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多藝Tenacious：不屈不撓Decisive：堅定Self reliant：自信Open minded：開放的思想AuditorAttributes審核輸出與審核發(fā)現(xiàn)n What is the output of an audit? 審核的輸出q Weaknessq Strengthsq Opportunitiesq Risksq Failuresn Findings審核發(fā)現(xiàn)（需要定義）q Noteworthy efforts值得努力（一般口頭說說即可）q Observations觀察項q Nonconformitiesn 一般不符合（如果無證據(jù)支撐，即使說做過了，也可認(rèn)為是一般不符合）n 嚴(yán)重不符合（在同一個區(qū)域多次發(fā)生或造成嚴(yán)重事故或后果，有嚴(yán)重失效） 不符合定義 by DNVn Category I (Major) NonConformity嚴(yán)重不符合q The absence of, or the ineffective implementation of, one or more required system elements, or a situation which raises significant doubt that practices will meet specified requirements.q 一個或多個系統(tǒng)的要素缺失或無效實施 。 n 就認(rèn)證而言，并沒有對文件的多少有強制性的要求，但是就慣例而言，二級程序文件通常還包括： 1. 《管理評審控制程序》 2. 《信息安全風(fēng)險評估管理程序》 3. 《 BCP》 4. 《 DRP》 5. 《適用性聲明》 6. 《計算機(jī)和網(wǎng)絡(luò)安全控制程序》 n 等等。n 風(fēng)險分析：q 評估風(fēng)險數(shù)量的系統(tǒng)化流程n 風(fēng)險評估：q 包括風(fēng)險定義，風(fēng)險分析和風(fēng)險評估的流程?！璶 ERM：企業(yè)風(fēng)險管理（目前最高級別的認(rèn)證）n BCM：業(yè)務(wù)持續(xù)性管理n CSR：企業(yè)可持續(xù)發(fā)展報告（驗證各項指標(biāo)）n RPN：風(fēng)險優(yōu)先指數(shù)n BCM/BCP：業(yè)務(wù)持續(xù)戰(zhàn)略n Continual Improvement：持續(xù)改進(jìn)n RA：風(fēng)險分析n ITDRn MCAn BIAn RTO： recovery time objectiven RPO： recovery point objectiven LBCBCP與災(zāi)難恢復(fù)等概念的比較影響公司層面業(yè)務(wù)持續(xù)性的因素n 供應(yīng)鏈中斷：重要原料、 IT硬件n 高層的錯誤決策n 客戶不滿n 關(guān)鍵人員流失n 數(shù)據(jù)中心重大事故n 恐怖襲擊、戰(zhàn)爭n 員工信心n 天災(zāi)人禍、火災(zāi)爆炸n 聯(lián)動點n 法律法規(guī)n 公眾反應(yīng)BCM非常重要n 實施 ITSM業(yè)務(wù)連續(xù)性管理的兩條途徑q 公司層面的 BCM（適合于 IT Outsourcing或 BPO企業(yè)）q 信息安全層面的 BCM，適合大型制造業(yè)及工藝流程復(fù)雜的企業(yè)n BCM或 BCP比 “可用性管理 ”有更大的范圍和規(guī)模！BCM: 一個好的平臺n Quality managementn Public relationshipn Inves