【正文】 對資產(chǎn)的可接受使用 目標(biāo)：保持對組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)。 ? 在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該考慮到是物理訪問，還是邏輯訪問，是現(xiàn)場訪問還是非現(xiàn)場訪問。 17799:2023 信息安全管理實施細(xì)則 組織應(yīng)該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內(nèi)部信息安全的實施。 ? 策略復(fù)審應(yīng)該考慮到管理評審的結(jié)果 17799:2023 信息安全管理實施細(xì)則 要點提示 ? 用最簡單、明確的語言直擊主題 ? 保持與具體規(guī)范、指南、記錄等文件的區(qū)別 ? 信息安全策略應(yīng)該人手一份，并保證充分理解 ? 要定期評審和修訂 17799:2023 信息安全管理實施細(xì)則 信息安全策略體系的層次性 方針 Policy 程序 Procedure 標(biāo)準(zhǔn) Standard 強制性 指南 Guideline 建議性 基線 Baseline 最低標(biāo)準(zhǔn) 目標(biāo)要求 具體步驟 實現(xiàn)方法 戰(zhàn)略層次 戰(zhàn)術(shù)層次 戰(zhàn)役層次 17799:2023 信息安全管理實施細(xì)則 最高方針示例 6 組織信息安全 內(nèi)部組織 管理層對信息安全的責(zé)任 信息安全協(xié)調(diào)機(jī)制 分派信息安全責(zé)任 信息處理設(shè)施的批準(zhǔn)程序 保密協(xié)議 保持和權(quán)威機(jī)構(gòu)的聯(lián)系 保持和專業(yè)團(tuán)隊聯(lián)系 對信息安全做獨立評審 目標(biāo)：在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。 ? 如果發(fā)生任何影響最初風(fēng)險評估基礎(chǔ)的變化，都應(yīng)復(fù)查策略。 策略方針的目的和意義 ? 為組織提供了關(guān)注的焦點，指明了方向，確定了目標(biāo) ? 確保信息安全管理體系被充分理解和貫徹實施 ? 統(tǒng)領(lǐng)整個信息安全管理體系 方針文件的內(nèi)容 ? 信息安全的定義、整體目標(biāo)和范圍； ? 對管理層支持信息安全目標(biāo)和原則的意圖的聲明和承諾； ? 建立控制目標(biāo)和控制的框架，包括風(fēng)險評估和風(fēng)險管理的框架； ? 對安全策略、原則、標(biāo)準(zhǔn)以及符合性需求的簡單說明； ? 信息安全管理責(zé)任，包括報告安全事件； ? 對策略支持文檔的引用參考； ? 由管理者批準(zhǔn)，正式發(fā)布，并得到全員貫徹。 17799:2023 信息安全管理實施細(xì)則 5 安全策略 信息安全策略 信息安全策略文件 信息安全策略復(fù)查 目標(biāo)：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。因此，還需要通過進(jìn)一步的指導(dǎo)方針來補充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 風(fēng)險評價示例 風(fēng)險可能性 威脅值 1 2 3 弱點值 1 2 3 1 2 3 1 2 3 風(fēng)險影響 /資產(chǎn)價值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 風(fēng)險評估與管理 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 提供了一套由最佳實踐構(gòu)成的控制目標(biāo)和控制，涉及 11個方面，包括 39個控制目標(biāo)和 133項控制措施 ,可作為參考文件使用，但并不是認(rèn)證評審的依據(jù)。 弱點嚴(yán)重性評估標(biāo)準(zhǔn) 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風(fēng)險評估與管理 人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 風(fēng)險評估與管理 ? 風(fēng)險場景：一個個人經(jīng)濟(jì)上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。 ? 操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。 定性風(fēng)險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或 高低程度定性分級。 ? 殘留風(fēng)險（ ） —— 在實施安全措施之后仍然存在的風(fēng)險。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 ? 風(fēng)險（） —— 特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 ? 威脅（） —— 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）?！? 顯然，這樣的計算機(jī)是無法使用的。 風(fēng)險評估與管理 風(fēng)險 RISK RISK RISK 風(fēng)險 基本的風(fēng)險 采取措施后剩余的風(fēng)險 資產(chǎn) 威脅 漏洞 資產(chǎn) 威脅 漏洞 風(fēng)險管理目標(biāo)更形象的描述 風(fēng)險評估與管理 ? 絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的； ? 計算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 風(fēng)險評估 風(fēng)險管理 風(fēng)險評估（ ）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。 預(yù)審（ Preassessment） 可選 信息安全管理體系認(rèn)證 文檔審核 ? 一般來說都是現(xiàn)場進(jìn)行的 ? 審核框架，以考查其是否符合 27001的 48部分的要求 ? 查看策略、范圍、風(fēng)險評估、風(fēng)險管理、控制選擇和適用性聲明相關(guān)的文件 ? 審核員或許不會非常深入地查看特定程序文件的細(xì)節(jié)，但卻期望能直接在標(biāo)準(zhǔn)、程序和工作指導(dǎo)書上簽署意見 符合性審核 ? 對來自文檔審核階段的不符合項進(jìn)行究根問底 ? 審核抽樣，以驗證底實施和操作 ? 審核小組組長會提交一個建議，但并不做最終認(rèn)證決策 ? 對于審核期間記錄在案的不符合項，組織必須在一個月之內(nèi)采取糾正性措施 信息安全管理體系認(rèn)證 信息安全管理體系認(rèn)證 實施 7799認(rèn)證項目的建議過程 項目啟動 預(yù)先審核 風(fēng)險評估 前期培訓(xùn) 風(fēng)險處理 文件編寫 中期培訓(xùn) 認(rèn)證申請 內(nèi)部審核 后期培訓(xùn) 認(rèn)證準(zhǔn)備 協(xié)助認(rèn)證 準(zhǔn)備階段 實現(xiàn)階段 運行階段 認(rèn)證階段 后續(xù)培訓(xùn) 業(yè)務(wù)分析 發(fā)布實施 管理評審 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素 ? 安全策略、目標(biāo)和活動應(yīng)該反映業(yè)務(wù)目標(biāo) ? 實施信息安全的方法應(yīng)該與組織的文化保持一致 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險評估和風(fēng)險管理 ? 向所有管理者和員工有效地推廣安全意識 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全管理體系認(rèn)證 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 風(fēng)險 風(fēng)險管理（ ）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。證書三年有效，之后需要再次認(rèn)證。 ? 定義認(rèn)證范圍時，組織應(yīng)該考慮： ? 文檔化的適用性聲明 ? 組織的相關(guān)活動 ? 要包括在內(nèi)的組織范圍 ? 地理位置 ? 信息系統(tǒng)邊界、平臺和應(yīng)用 ? 包括在內(nèi)的支持活動 ? 排除在外的因素 ? 認(rèn)證機(jī)構(gòu)在展開認(rèn)證過程之前將與組織在認(rèn)證范圍上達(dá)成一致意見。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善安全工程的根本保證 ? ? 美國國家安全局（）制定的 ，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南 ? 13569 ? 銀行和相關(guān)金融服務(wù)信息安全指南 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 2 ? 提供了一組關(guān)于 7799的系列指導(dǎo)文件（ 3000系列）： ? 3001 – 7799 ? 3002 – ? 3003 – “ a 7799 ?” ? 3004 – 7799 ? 3005 – 7799 ? 4444 ? 澳大利亞和新西蘭等同采用的 7799（后來，根據(jù) 17799:2023頒布了 17799:2023，根據(jù) 77992:2023又頒布了 :2023） ? 4360 ? 澳大利亞和新西蘭自己的信息安全管理標(biāo)準(zhǔn) ? 13335 ? 即安全管理指南（ ，），分 5個部分?？蚣荏w系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維護(hù) Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產(chǎn)管理 Asset management 訪問控制 Access control 信息安全事件管理 Information security incident management 業(yè)務(wù)連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡介 新版本的變化特點 ? 17799:2023 ? 從 10個域變到 11個域，增加了“信息安全事件管理” ? 去掉了 9項控制，增加了 17項控制，一共有 133項控制 ? 加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來的條款 6（管理評審）分成現(xiàn)在的 6（內(nèi)審）、 7（管理評審）兩個部分 ? 17799:2023 19716:2023 7799簡介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結(jié)果 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結(jié)構(gòu)》，該標(biāo)準(zhǔn)對安全服務(wù)及相關(guān)機(jī)制進(jìn)行了一般描述 ? 15408（ 18336,2023，即標(biāo)準(zhǔn)） ? 1993年 6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了標(biāo)準(zhǔn)，最終將其推進(jìn)到國際標(biāo)準(zhǔn)。 7799簡介 1779927001的內(nèi)容框架 ? 17799：源自 77991。 ? 如果通過體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度。 ? 在信息系統(tǒng)受到侵害時，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。 7799簡介 截至 2023年初，全球通過779927001認(rèn)證的有 2023多家機(jī)構(gòu) 7799簡介 7799認(rèn)證的發(fā)展趨勢