【正文】 條大的安全控制條款n 39 個控制類（控制目標(biāo)）n 133 項控制措施需驗證的六大文件n g中需驗證以下文件：1. 管理評審2. 內(nèi)審3. 文件控制n ISMS特殊要求： [online的才是有效的，打印的僅供參考！ ]n 標(biāo)示文件的保密級別n 電子文檔（網(wǎng)上流轉(zhuǎn)）的保護(hù)4. 質(zhì)量記錄控制n 重要性：備證5. 糾正措施6. 預(yù)防措施n CHINA CISSP“易水寒江雪 ”認(rèn)為：1. 《信息安全策略》 2. 《文件控制程序》 3. 《記錄控制程序》 4. 《內(nèi)部審核管理程序》 5. 《糾正預(yù)防措施》 n 標(biāo)準(zhǔn)中將糾正和預(yù)防是分別定義成兩個文件的，因為這兩個文件的結(jié)構(gòu)基本類似，目的也相似，因此通常將其合并來一起編寫。 至于三級文件，因各個機構(gòu)情況不一，在此就沒有一一列舉。或目前的實踐滿足定義的需求的情況值得懷疑 .q A group of category 2 nonconformities indicating inadequate implementation of the system relevant to an element of the standard. q 針對標(biāo)準(zhǔn)的某個條款一組輕微不符合事項發(fā)現(xiàn) ,說明需求沒有得到充分的實施 .q A category 2 nonconformity that is persistent shall be treated (upgraded) as a category 1 nonconformity.q 輕微不符合事項持續(xù)下去應(yīng)該判斷為嚴(yán)重不符合事項不符合定義 by DNVn Category II (Minor) NonConformity輕微不符合q A lapse of either discipline or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will meet requirements.q 系統(tǒng)或程序需求方面的一種過失 ,這種過失不說明體系的崩潰 ,或引起實踐滿足需求的懷疑 .不符合n Nonconformityq 審核報告中必須附證據(jù)q 一個不符合事項是沒有符合一個要求、失敗和證據(jù)（很爛的翻譯）n 要求 the requirementn 失敗 the failingn 證據(jù) the evidenceq 盡量不要開條款 n Source of the requirements:q 法令 /法規(guī)的要求q 組織的過程和運營q 時間規(guī)范q 程序q 作業(yè)指導(dǎo)書q 客戶要求q 詳細(xì)說明q 時間規(guī)范q 體系標(biāo)準(zhǔn)q 組織的管理手冊What is an observation?q Potential problemq Riskq Inefficiencyq Ineffectivenessq Failure to apply best practiceq Misunderstandingq Lack of municationTips nn How to solve conflicts？q LA職責(zé)：主持、確認(rèn)，解決沖突q 找對方的 CISO！q 對方可以找 LA！n 兩條重要的審核路線：1. 資產(chǎn)清單 風(fēng)險評估2. 文件審核（按 ）n 要求有涉及信息安全的法律法規(guī)n 發(fā)現(xiàn)缺失的文件太多，企業(yè)基礎(chǔ)太差怎么辦？q 列出缺失項，告訴對方q 建議推遲審核審核準(zhǔn)備n 啟動階段需要提前知道的：q 企業(yè)簡況n 組織名稱n 地點n 規(guī)模q 審核范圍q 采用的標(biāo)準(zhǔn)（ ISOXXXX）q 組織結(jié)構(gòu)圖q 審核時間q 審核理由（第幾方）n 編制審核計劃q 公司多 sites的抽樣方法：n 抽樣數(shù) =地點數(shù)量開平方 +1q 制訂審核計劃，發(fā)送給客戶請他們確認(rèn)Case Study: GetRich Bankn 繪制 DepartmentRoles Matrixn Day1q 高層訪談（ 1530分鐘了解高層關(guān)注的焦點問題）q 審核前必須有一個 opening meeting（ 30分鐘）q 練習(xí)：四人分兩組，分別審核 GetRich銀行各個部門n 每天審核結(jié)束前（ 4： 004： 30）開審核小組內(nèi)部會議n 審核小組同客戶交流審核發(fā)現(xiàn)（ 4： 305： 00），確認(rèn)當(dāng)天的問題n Day2q 中午開 close meeting內(nèi)部會議n 由 LA主持，審核師交流需要交接的內(nèi)容，主要目的是合并共性的問題n 總結(jié)歸納準(zhǔn)備審查清單（ .）n 服務(wù)器的型號、購買時間、保修期、上門服務(wù)響應(yīng)時間有記錄嗎？n 服務(wù)器硬件配置、供應(yīng)商聯(lián)系方式有更新嗎？n 服務(wù)器上的所有軟件安裝清單、版本有記錄嗎？n 供應(yīng)商提供的軟硬件維修 /維護(hù)有記錄嗎？n 服務(wù)器 administrator/su密碼由專人負(fù)責(zé)維護(hù)嗎？n 服務(wù)器訪問控制審計記錄？n 對服務(wù)器操作系統(tǒng)、支撐軟件和數(shù)據(jù)庫軟件的關(guān)鍵更新（ KB）、補?。?SP）和升級監(jiān)控的系統(tǒng)弱點有監(jiān)控嗎？n 對服務(wù)器操作系統(tǒng)、支撐軟件和數(shù)據(jù)庫軟件的關(guān)鍵更新（ KB）、補?。?SP）和升級時進(jìn)行過測試嗎？準(zhǔn)備審查清單 continuedn 審計失敗的登錄 /存取日至的周期是多少？n 服務(wù)器上的外部 USB端口是否禁用？n 通過什么方式監(jiān)控服務(wù)器軟件的漏洞，例如 sql注入？n 服務(wù)器 DOWN掉之后通常如何處理？處理流程？n 服務(wù)器上開放的端口共有幾個？非常用端口的用途是什么？n 采用何種方式遠(yuǎn)程登錄服務(wù)器？n 是否有服務(wù)器的系統(tǒng)備份？備份到哪里？n 多長時間檢查一下登錄服務(wù)器的帳戶清單？各種帳戶的權(quán)限是否滿足 ISMS的要求？n 如何處理服務(wù)器故障警報（磁盤、內(nèi)存或最大并發(fā)數(shù) ?)ISO27001 LA Training CourseDay 4ShanghaiFeb. 21, 2023閃現(xiàn)的幾道題的答案n Policyn ……經(jīng)驗n 每年都需要審查到的條款：（經(jīng)驗）q 48：每次都要審查到（每個部門都會涉及到）q 資產(chǎn)清單q 職責(zé)、權(quán)限q 事故管理q BCPq 法律法規(guī)n 結(jié)束會議：q 交流信息，交接希望與他人溝通的內(nèi)容，歸納不符合項！q 對于不符合項， Close meeting之前就應(yīng)該進(jìn)行了確認(rèn)！Conduct an auditq Opening meetingn 自我介紹 /介紹對方n 領(lǐng)導(dǎo)致詞n LA要宣布和確認(rèn)如下內(nèi)容：q 目的、適用標(biāo)準(zhǔn)和文件q 關(guān)注焦點（不一定，之前和高層領(lǐng)導(dǎo)交流）q 公司名稱（最好包含部門）q 范圍、地點（子公司、分公司，核心部門的外延，如機房、異地備份中心）q 審核計劃n LA介紹q 審核方法（抽樣 23個，若有問題再加 12個）q 報告方法和不符合項的構(gòu)成q 溝通方式、各種會議介紹末次會議時間及安排q 后勤事宜q 有無特殊區(qū)域、特殊穿戴、裝備要求？n LA作保密聲明審核技巧n Funnel technique漏斗技術(shù)q Open問題n What? How? Why?q Closed問題n Who? Is it?q Alternativen Co