【正文】 調(diào)配、使用的人員、設備等q 培訓資源過程程序組織結(jié)構(gòu)管理體系常見的管理體系n 質(zhì)量管理： ISO9001n 環(huán)境管理： ISO14001n 職業(yè)安全： OHSAS18001n 社會責任： SA8000n 信息安全： ISO27001什么是質(zhì)量n 質(zhì)量 3要素 QCTq 符合客戶的要求（ Q）q 不能導致成本上升（ C）q 時間（ T）n 以上三個方面的平衡的結(jié)果就是質(zhì)量QualityCostTime質(zhì)量管理體系一覽n 國際標準q ISO9001n 汽車行業(yè)（比 ISO9001多了項目管理方面的要求）q TS16949（汽車行業(yè)的質(zhì)量管理體系）q QS9000（美國的汽車行業(yè)標準）q （德國大眾的質(zhì)量管理體系）n 其他行業(yè)q ISO22023（食品行業(yè)）q TL9000（通訊業(yè)）q ISO20230（可稱為 IT業(yè)的服務質(zhì)量標準）q CMMI（適合軟件研發(fā)和新技術(shù)開發(fā)）信息安全的 3要素n Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes q 保密性 – 信息被獲取或泄漏給未經(jīng)授權(quán)的個人、實體或流程n Integrity – the property of safeguarding the accuracy and pletenessq 完整性 – 保護資產(chǎn)準確和完整n Availability – the property of being accessible and useable upon demand by an authorized entityq 可用性 – 資產(chǎn)僅對授權(quán)人員在需要的時候是可訪問的或可用的什么叫 ISMS信息安全管理體系n Information 信息q 信息是一種重要資產(chǎn)，對組織的業(yè)務非常關(guān)鍵。n Information Security信息安全q 對信息的保密性、完整性和可用性的保護，同時涉及真實性、責任區(qū)分、防止抵賴和可靠性等其他特性。q 簡單地說，是為了確保組織信息的 “三性 ”，設立的組織機構(gòu)、程序、過程和資源。n 半導體業(yè)對 ISMS的要求非常嚴格，甚至高過金融業(yè)！Tips2n 歷史教訓：保安和清潔工是信息安全的重要威脅?。o意傷害對 “階層 ” 感情的好惡）q 所有員工，包括所有外來人員，必須接受信息安全的培訓q 小竅門：在門衛(wèi) /傳達室放一個《外來人員安全須知》， 外來人員在閱讀后要簽字，這是對外來人員進行了信息安全培訓的證據(jù)Tips3n 信息安全容易忽視的兩個的地方q Thumb drive （ U盤，盡量禁用?。﹒ Domain controller（域控制器，加強管理?。﹏ Good practices: q 人員發(fā)生變動的時候，一定要調(diào)整訪問權(quán)限q 查看企業(yè)的財產(chǎn)保險合同q 審核完畢后一般都需要提高保險級別！很 NB的縮寫n Black Belt：黑帶 %！ %！ 它根據(jù)事件的可能性及后果進行測量。n 威脅 Threat：q 引起事故的潛在因素，可能對組織或系統(tǒng)產(chǎn)生損害n 脆弱性 Vulnerability：q 資產(chǎn)的弱點，可能被一個或多個威脅利用n 影響 Impact：q 信息安全事故的結(jié)果風險產(chǎn)生的原因n 5大因素：q 自然環(huán)境q 社會經(jīng)濟環(huán)境q 政治及法制因素q 營運環(huán)境q 意識及溝通因素n 或者：q 人q 機：軟硬件，需要維護q 料：輸入，包括客戶需求q 法：程序、方法，是否清楚、適當q 環(huán)：大環(huán)境資產(chǎn)類型n 通常：q 網(wǎng)絡q 機房q PCn 臺式機n 筆記本q 普通q 營銷部 /中層干部q 高層管理人員q 人員q 文檔n 電子n 書面n 客戶要求q 整體實體（物理）安全n 分類：q 信息資產(chǎn)：數(shù)據(jù)文件、數(shù)據(jù)庫q 軟件資產(chǎn)：系統(tǒng)軟件、應用軟件q 物理資產(chǎn)：計算機、通訊設備q 服務資產(chǎn)：電力、消防、打印機、復印機q 人力資產(chǎn)：員工、工人q 紙面資產(chǎn)：協(xié)議、合同q 無形資產(chǎn)：公司形象、名譽、品牌n 注意： IT部門可能擁有上述所有資產(chǎn)，其他部門可能只擁有其中 1至 2項編制資產(chǎn)識別表n 資產(chǎn)？q 對組織有價值的任何事物n 編制資產(chǎn)識別表的要點q 找對 ownerq 合并同類項，特性和風險相同的資產(chǎn)可以合并為一項n 小竅門：q 先按部門分別進行q 對資產(chǎn)項合并同類項后，可跨部門再進行一次合并同類項風險的計算n 第一種方法：風險 =嚴重性 *可能性q 影響程度的嚴重性（權(quán)重較大）q 威脅發(fā)生的可能性：按歷史發(fā)生情況！n 第二種方法：嚴重性 *可能性 *脆弱性q 脆弱性：檢驗現(xiàn)有防護措施q RPN=S*O*W (servility* occurrence* weakness)q 比如，美國地震工程研究所對 “地震風險性 ”的定義n 是地震危險性（致災因子）、社會財富（承災性）和脆弱性三者的乘積n FMEA：好方法！q 行業(yè)內(nèi)的叫法： RPN（風險優(yōu)先指數(shù)）風險的計算（續(xù)）n （第二種方法）根據(jù)資產(chǎn)識別的結(jié)果判斷q 嚴重性q 威脅名稱、威脅來源、威脅賦值q 脆弱性類別、已有控制措施、脆弱性賦值n 低：現(xiàn)有系統(tǒng)能夠自動識別，且有充分有效的緊急響應n 中：通過檢查 /監(jiān)控能夠看出趨勢或有較充分的緊急響應n 高：現(xiàn)有條件下不能探測或一旦發(fā)生問題沒有有效q 風險計算q 風險處理指標：風險處置措施、責任部門、完成時間示例嚴重性 …… ……風險接受 /殘余風險可能性 脆弱性 殘余風 險風險的計算（續(xù)）n 剩余風險q 剩余風險 ＝ 資產(chǎn)嚴重性（不變的）＊　可能性（改進后的）＊脆弱性（改進后的）n 脆弱性 （需要自己定義，以下舉例）q 低：現(xiàn)有系統(tǒng)能夠自動識別，且有充分有效的緊急響應q 中：通過檢查 /監(jiān)控能夠看出趨勢或有較充分的緊急響應q 高：現(xiàn)有條件下不能探測或一旦發(fā)生問題沒有有效響應n 嚴重性 （需要自己定義，以下舉例）q 低：不影響正常生產(chǎn)及客戶滿意度，對公司運營影響不大q 中：停止 4小時生產(chǎn)以下，被用戶投訴q 高：停止 4小時生產(chǎn)以上，被用戶投訴　補充n ISMS的范圍和邊界q 是建立 ISMS的第一步，明確覆蓋哪些業(yè)務流程n ISMS Policy信息安全管理體系方針q 是信息安全策略（ Information security policy）的擴展集q 根據(jù)組織的實際情況，如業(yè)務性質(zhì)、地理位置、資產(chǎn)情況和技術(shù)水平來定義，例如：n 在線服務：對可用性要求高n 金融機構(gòu)：對完整性要求高n 醫(yī)院：對保密性要求高q 需要考慮業(yè)務、法規(guī)及合同責任方面的要求q 建立風險管理準則，明確可接受的風險水平q 得到管理層的批準Exercise 1n 作業(yè)：q 講解 ISO27001 a10a12q 以及 和 ISO27001 LA Training CourseDay 3ShanghaiFeb. 20, 2023ISO27001的組成n 主體部分：q Clause 4, 5, 6, 7, 8 （所有 ISO標準都有的，不可刪減）q A5A15 n 11