【正文】 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于的重要提示 ? 有效的業(yè)務(wù)連續(xù)性計(jì)劃必須包括業(yè)務(wù)與技術(shù)兩部分： ? 業(yè)務(wù)觀點(diǎn)：行政主管必須定義和規(guī)劃他們的可用性需求，以及達(dá)到這些需求所需動(dòng)用的資源 ? 技術(shù)觀點(diǎn)：管理者必須定義、規(guī)劃及設(shè)計(jì)一份業(yè)務(wù)連續(xù)性計(jì)劃，以達(dá)到企業(yè)的可用性需求 ? 災(zāi)難恢復(fù)的業(yè)務(wù)觀點(diǎn)包括評(píng)估發(fā)生意外的可能性、風(fēng)險(xiǎn)變成事實(shí)后所帶來(lái)的沖擊、以及管理階層的應(yīng)對(duì)措施 ? 為了有效地對(duì)抗災(zāi)難，擬定業(yè)務(wù)需求時(shí)應(yīng)注重于設(shè)計(jì)出在發(fā)生災(zāi)難時(shí)能夠至少涵蓋下列部分的完整計(jì)劃： ? 響應(yīng)：發(fā)生災(zāi)難時(shí)，必須立即采取的緊急應(yīng)變措施 ? 復(fù)原：為了從災(zāi)難中復(fù)原所采取的動(dòng)作 ? 繼續(xù)：為了繼續(xù)正常業(yè)務(wù)運(yùn)作所采取的動(dòng)作 ? 還原：讓原來(lái)的節(jié)點(diǎn)還原成最初狀況的過(guò)程 ? 責(zé)任：個(gè)人應(yīng)對(duì)執(zhí)行哪一部份的計(jì)劃負(fù)責(zé) ? 負(fù)責(zé)人必須確認(rèn)計(jì)劃實(shí)施所需資源：人力、裝備、技術(shù)、財(cái)務(wù) 17799:2023 信息安全管理實(shí)施細(xì)則 業(yè)務(wù)連續(xù)性計(jì)劃框架 計(jì)劃啟動(dòng)條件 應(yīng)急（ Emergency）程序 退卻（ Fallback）及臨時(shí)操作程序 恢復(fù)（ Resumption）程序 計(jì)劃維護(hù)時(shí)間表 意識(shí)和教育 個(gè)人職責(zé) 17799:2023 信息安全管理實(shí)施細(xì)則 測(cè)試方式 ? 針對(duì)各種假想場(chǎng)景做桌面測(cè)試，展開(kāi)討論 ? 模擬（特別針對(duì)承擔(dān)事后 /危機(jī)管理角色的人員培訓(xùn)） ? 技術(shù)恢復(fù)測(cè)試（確保信息系統(tǒng)能被有效恢復(fù)） ? 在替換場(chǎng)地做恢復(fù)測(cè)試 ? 測(cè)試供應(yīng)商設(shè)備和服務(wù)（確保所提供的外部服務(wù)和產(chǎn)品符合合同承諾） ? 排練（測(cè)試組織、人員、設(shè)備、設(shè)施和流程能夠應(yīng)付中斷） 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：避免違反任何法律、條令、法規(guī)或者合同義務(wù)，以及任何安全要求。 ? 定期測(cè)試并更新計(jì)劃和程序。 ? 制訂及文檔化與業(yè)務(wù)目標(biāo)和優(yōu)先級(jí)保持一致的業(yè)務(wù)連續(xù)性戰(zhàn)略。 ? 確認(rèn)可能對(duì)業(yè)務(wù)造成影響的中斷。 17799:2023 信息安全管理實(shí)施細(xì)則 信息安全事件管理一般流程 17799:2023 信息安全管理實(shí)施細(xì)則 14 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理的信息安全方面 在業(yè)務(wù)連續(xù)性管理過(guò)程中考慮信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 開(kāi)發(fā)和實(shí)施包含信息安全的連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì)劃框架 測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃 目標(biāo)：減少業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)害的影響，確保其及時(shí)恢復(fù)。 17799:2023 信息安全管理實(shí)施細(xì)則 系統(tǒng)開(kāi)發(fā)安全性的重要提示 ? 建立安全的軟件開(kāi)發(fā)過(guò)程和編碼規(guī)范 ? 開(kāi)發(fā)一個(gè)有關(guān)如何利用加密控制對(duì)信息進(jìn)行保護(hù)的策略（哪些信息要加密，加密的強(qiáng)度如何，移動(dòng)介質(zhì)或傳輸中的加密，密鑰管理，角色和責(zé)任，法律法規(guī)限制等） ? 對(duì)密碼技術(shù)的應(yīng)用，其關(guān)鍵在于密鑰管理： ? 生成，分發(fā)和傳輸 ? 使用和驗(yàn)證 ? 保存，消除和恢復(fù) ? 對(duì)正式上線的運(yùn)營(yíng)系統(tǒng)應(yīng)嚴(yán)加控制，做好軟件開(kāi)發(fā)的變更控制和管理 ? 不將運(yùn)營(yíng)系統(tǒng)上的敏感信息直接用作測(cè)試系統(tǒng) ? 需要對(duì)外包開(kāi)發(fā)提高警惕（代碼所屬權(quán)，知識(shí)產(chǎn)權(quán)，資格認(rèn)定，第三方保證，合同中對(duì)質(zhì)量和安全功能的要求，中間審計(jì)，安裝前測(cè)試） 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于漏洞管理 ? 為了實(shí)施有效的漏洞管理，必須先有一個(gè)完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號(hào)、當(dāng)前部署狀況、軟件的責(zé)任人等信息 ? 應(yīng)該建立漏洞管理相關(guān)角色和責(zé)任：漏洞監(jiān)視，漏洞評(píng)估，補(bǔ)丁跟蹤 ? 定義新漏洞發(fā)現(xiàn)時(shí)的通知時(shí)限 ? 對(duì)發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個(gè)子集 ? 補(bǔ)丁安裝前必須做相關(guān)風(fēng)險(xiǎn)評(píng)估和測(cè)試 ? 必須采取相應(yīng)的審計(jì)機(jī)制 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時(shí)發(fā)現(xiàn)，以便采取糾正措施。應(yīng)該嚴(yán)格控制項(xiàng)目和支持環(huán)境。 系統(tǒng)文件安全 控制運(yùn)營(yíng)系統(tǒng)上的軟件 保護(hù)系統(tǒng)測(cè)試數(shù)據(jù) 對(duì)源代碼的訪問(wèn)控制 目標(biāo)： 控制對(duì)系統(tǒng)文件和程序源代碼的訪問(wèn)，使 IT項(xiàng)目及其支持活動(dòng)安全進(jìn)行，確保系統(tǒng)文件的安全性。 12 信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) 信息系統(tǒng)的安全需求 安全需求分析和規(guī)范 應(yīng)用程序中正確的處理 輸入數(shù)據(jù)的驗(yàn)證 內(nèi)部處理控制 消息完整性 輸出數(shù)據(jù)的驗(yàn)證 目標(biāo)： 防止應(yīng)用程序中的信息出錯(cuò)、丟失、被非授權(quán)篡改或誤用。如果使用了口令管理系統(tǒng)，則應(yīng)該確保使用高質(zhì)量的口令 ? 根據(jù)情況限制用戶連接時(shí)間 17799:2023 信息安全管理實(shí)施細(xì)則 訪問(wèn)控制重要提示（續(xù)） ? 關(guān)于應(yīng)用訪問(wèn)控制： ? 考慮應(yīng)用系統(tǒng)的安全，不得不考慮業(yè)務(wù)流程 ? 如果業(yè)務(wù)流程有安全隱患，應(yīng)用系統(tǒng)是無(wú)法避免這些危險(xiǎn)的。 17799:2023 信息安全管理實(shí)施細(xì)則 訪問(wèn)控制重要提示 ? 關(guān)于訪問(wèn)控制策略： ? 根據(jù)業(yè)務(wù)制訂的策略才能實(shí)施 ? 策略內(nèi)容：所需訪問(wèn)的信息，訪問(wèn)控制規(guī)則，用戶訪問(wèn)權(quán)限，其他訪問(wèn)控制要求 ? 沒(méi)有明確允許就是缺省禁止，最小權(quán)限原則等 ? 口令是常見(jiàn)的訪問(wèn)控制措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理 ? 關(guān)于網(wǎng)絡(luò)訪問(wèn)控制： ? 組織網(wǎng)絡(luò)與其他組織網(wǎng)絡(luò)或者公共網(wǎng)之間進(jìn)行正確的連接 ? 用戶和設(shè)備都具有適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制 ? 在用戶訪問(wèn)信息服務(wù)時(shí)進(jìn)行控制 ? 關(guān)于操作系統(tǒng)訪問(wèn)控制： ? 識(shí)別和驗(yàn)證來(lái)訪者身份。 17799:2023 信息安全管理實(shí)施細(xì)則 應(yīng)用和信息訪問(wèn)控制 信息訪問(wèn)限制 敏感系統(tǒng)的隔離 目標(biāo)： 防止非授權(quán)訪問(wèn)信息系統(tǒng)中的信息。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：保護(hù)網(wǎng)絡(luò)服務(wù)，防止非授權(quán)訪問(wèn)，對(duì)內(nèi)部和外部的網(wǎng)絡(luò)訪問(wèn)都應(yīng)該得到控制。 11 訪問(wèn)控制 訪問(wèn)控制的業(yè)務(wù)需求 訪問(wèn)控制策略 用戶訪問(wèn)的管理 用戶注冊(cè) 特權(quán)管理 用戶口令管理 用戶訪問(wèn)權(quán)限的復(fù)審 目標(biāo)： 確保授權(quán)用戶的訪問(wèn)， 防止非授權(quán)訪問(wèn)信息系統(tǒng)。應(yīng)該定期檢查服務(wù)報(bào)告，分析安全事件相關(guān)信息，復(fù)查第三方審計(jì)記錄 ? 制定專門(mén)的策略，禁止使用非授權(quán)軟件，防止惡意代碼 ? 做好系統(tǒng)的備份容災(zāi)規(guī)劃 ? 移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏 17799:2023 信息安全管理實(shí)施細(xì)則 變更管理一般流程 識(shí) 別 變 更 需 求 計(jì) 劃 和 測(cè) 試 變 更 評(píng) 估 潛 在 的 影 響是 否 影 響 安 全變 更 準(zhǔn) 備 ， 提 請(qǐng) 批準(zhǔn)問(wèn) 題 記 錄是 否 得 到 批 準(zhǔn)實(shí) 施 變 更變 更 是 否 成 功F a l l b a c k 程 序與 相 關(guān) 人 員 溝 通 ，記 錄可 行 是否不 可 行是否否是17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于職責(zé)分離 ? 不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)，例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易 ? 應(yīng)該分離：開(kāi)發(fā) /生產(chǎn)；安全管理 /審計(jì)；加密密鑰管理 /密鑰更改 ? 小型組織實(shí)施職責(zé)分離比較困難，可以采取其他一些控制措施，如活動(dòng)監(jiān)控、跟蹤檢查和監(jiān)督管理等 ? 但安全審計(jì)務(wù)必要有獨(dú)立性 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：控制對(duì)信息的訪問(wèn)。 電子商務(wù)服務(wù) 電子商務(wù) 在線交易 公共可用信息 監(jiān)視 審計(jì)日志 監(jiān)視系統(tǒng)使用 保護(hù)日志信息 管理員和操作日志 故障日志 時(shí)鐘同步 目標(biāo)： 發(fā)現(xiàn)非授權(quán)活動(dòng)。 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全 目標(biāo)： 確保網(wǎng)絡(luò)中的信息以及支持技術(shù)設(shè)施得到保護(hù)。 備份 信息備份 介質(zhì)處理 移動(dòng)計(jì)算機(jī)介質(zhì)的管理 介質(zhì)的處置 信息處理程序 系統(tǒng)文件的安全 目標(biāo)： 防止非授權(quán)泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務(wù)活動(dòng)中斷。 第三方服務(wù)交付管理 服務(wù)交付 監(jiān)督和復(fù)查第三方服務(wù) 第三方服務(wù)變更管理 目標(biāo)： 根據(jù)第三方服務(wù)交付協(xié)議，實(shí)施并保持恰當(dāng)?shù)男畔踩头?wù)交付水平。 10 通信和操作管理 操作程序和責(zé)任 操作程序的文檔化 變更管理 職責(zé)分離 開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離 系統(tǒng)規(guī)劃及驗(yàn)收 容量管理 系統(tǒng)驗(yàn)收 目標(biāo)： 減少系統(tǒng)故障帶來(lái)的風(fēng)險(xiǎn)。 9 物理和環(huán)境安全 安全區(qū)域 物理安全邊界 物理入口控制 保護(hù)辦公場(chǎng)所、房間和設(shè)施 防止外部和環(huán)境威脅 在安全區(qū)內(nèi)工作 公共訪問(wèn)和交接區(qū)域 目標(biāo)： 防止非授權(quán)物理訪問(wèn)、破壞和干擾組織的安全區(qū)邊界。 17799:2023 信息安全管理實(shí)施細(xì)則 增強(qiáng)全員的安全意識(shí) ? 安全意識(shí)（ ），泛指組織員工對(duì)安全和安全控制重要性的一般性的、集體的意識(shí)。調(diào)查過(guò)程中，組織可以請(qǐng)求訪問(wèn)申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查，以確定是否存在潛在問(wèn)題或利益沖突。 17799:2023 信息安全管理實(shí)施細(xì)則 人員安全重要提示 ? 人員和組織安全是信息安全管理的難點(diǎn)，因?yàn)椋? ? 人本身就是一個(gè)最復(fù)雜的因素 ? 信息安全的 ―潛在性 ‖使得安全組織和人才培養(yǎng)不容易獲得認(rèn)可 ? 信息安全人才的培養(yǎng)是一個(gè)高難的過(guò)程 ? 信息安全組織需要和企業(yè)文化進(jìn)行磨合 ? 避免信息安全組織和業(yè)務(wù)組織對(duì)立 17799:2023 信息安全管理實(shí)施細(xì)則 人員篩選時(shí)做背景檢查 ? 背景檢查是工作申請(qǐng)過(guò)程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)人簡(jiǎn)歷中的基本信息。 8 人力資源安全 聘用前的控制 角色和責(zé)任 人員篩選（ Screening） 聘用條件和條款 聘用期間 管理層職責(zé) 信息安全意識(shí)、教育和培訓(xùn) 懲罰機(jī)制 目標(biāo)： 確保所有雇員、合同工和第三方用戶都意識(shí)到信息安全威脅、利害關(guān)系、責(zé)任和義務(wù)，并在其正常工作當(dāng)中支持組織的安全策略，減少人為錯(cuò)誤導(dǎo)致的風(fēng)險(xiǎn)。 Top Secret Secret Confidential Restricted 17799:2023 信息安全管理實(shí)施細(xì)則 信息資產(chǎn)的類型 ? 信息：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件，合同和協(xié)議，系統(tǒng)文件，用戶手冊(cè)，培訓(xùn)資料等 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開(kāi)發(fā)工具，工具程序 ? 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，移動(dòng)介質(zhì)，電源空調(diào)等技術(shù)性設(shè)備 ? 人員：承擔(dān)特定職能和責(zé)任的人員，資質(zhì)、技能和經(jīng)驗(yàn) ? 服務(wù)：計(jì)算和通信服務(wù)，環(huán)境支持服務(wù)等 ? 組織形象與聲譽(yù)：無(wú)形資產(chǎn) 17799:2023 信息安全管理實(shí)施細(xì)則 識(shí)別資產(chǎn)時(shí)的注意事項(xiàng) ? 所有主要信息資產(chǎn)都應(yīng)清點(diǎn)并指定專人負(fù)責(zé) ? 這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的 ? 7799標(biāo)準(zhǔn)認(rèn)為 , “資產(chǎn)”沒(méi)必要包括通?？紤]的組織內(nèi)所有有價(jià)值的東西 ? 組織必須確定哪些資產(chǎn)在損失后對(duì)組織的產(chǎn)品及服務(wù)會(huì)產(chǎn)生實(shí)質(zhì)上的影響 17799:2023 信息安全管理實(shí)施細(xì)則 資產(chǎn)清單示例 17799:2023 信息安全管理實(shí)施細(xì)則 信息資產(chǎn)的屬主、保管者和用戶 ? 屬主（）： ? 信息屬主可能是組織的某個(gè)決策者或者管理者，或者部門(mén)負(fù)責(zé)人，或者是信息的創(chuàng)建者，對(duì)必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“ ”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。 ? 信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級(jí)和保護(hù)程度。 ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門(mén)列出資產(chǎn)清單。 信息分類 分類指南 信息標(biāo)注及處理 目標(biāo)：確保信息資產(chǎn)得到適當(dāng)級(jí)別的保護(hù)。 17799:2023 信息安全管理實(shí)施細(xì)則 在第三方協(xié)議中體現(xiàn)安全 ? 信息安全方針 ? 用來(lái)保護(hù)資產(chǎn)的各種控制措施 ? 描述將被提供的產(chǎn)品和服務(wù) ? 確保用戶意識(shí)到信息安全責(zé)任 ? 對(duì)人員調(diào)換做出規(guī)定 ? 硬件和軟件安裝及維護(hù)的責(zé)任 ? 清晰的結(jié)構(gòu)和格式 ? 變更管理流程 ? 任何必要的物理保護(hù)措施和機(jī)制 ? 訪問(wèn)控制策略： ? 允許的訪問(wèn)方法，授權(quán)流程，禁止聲明 ? 信息安全事件及問(wèn)題處理機(jī)制 ? 期望的及監(jiān)督報(bào)告機(jī)制 ? 監(jiān)督、撤銷等權(quán)利，審計(jì)責(zé)任約定 ? 法律責(zé)任 ? 知識(shí)產(chǎn)權(quán)保護(hù) ? 中止或重新協(xié)商協(xié)議的條件 17799:2023 信息安全管理實(shí)施細(xì)則 7 資產(chǎn)管理 資產(chǎn)責(zé)任 資產(chǎn)清單 資產(chǎn)屬主