【正文】 .................................................................63 一、控制目標(biāo)－在業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全 ...........................................................64 第十一講：法律與標(biāo)準(zhǔn)的符合性要求 ............................................................................................68 一、控制目標(biāo)－符合法律法規(guī)的要求 .........................................................................................68 二、控制目標(biāo)－安全策略與技術(shù)符合性檢查 ..............................................................................70 三、控制目標(biāo)－系統(tǒng)審核相關(guān)事項(xiàng) ............................................................................................71 第 1 頁(yè) 第一講 ISO 17799/27001 標(biāo)準(zhǔn)簡(jiǎn)介 一、信息安全管理概況 近年來(lái)，信息安全被破壞的現(xiàn)象非常普遍。政府及國(guó)家的機(jī)密網(wǎng) 絡(luò)被黑客輕而易舉地進(jìn)入，公司的機(jī)密信息出現(xiàn)在報(bào)紙上或被人在垃圾桶中發(fā)現(xiàn)，財(cái)務(wù)信息被公布在網(wǎng)站上讓所有人瀏覽，銀行的資產(chǎn)通過(guò)網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢(qián)袋 …… 像這樣的例子不勝枚舉，同時(shí)每一天我們都能得到來(lái)自世界的有關(guān)信息安全被破壞的報(bào)告。 這些信息有的以紙面文件存在，有的用計(jì)算機(jī)軟硬盤(pán)存儲(chǔ)，甚至存貯在員工或工作人員的頭腦里。 這些信息可能是您的價(jià)格表 ，客戶信息，調(diào)研信息，市場(chǎng)計(jì)劃或商務(wù)戰(zhàn)略，您可以試想一下您可以離開(kāi)這些信息多長(zhǎng)時(shí)間？如果您在談判中的位置，標(biāo)書(shū)底價(jià)，產(chǎn)品研究和發(fā)展計(jì)劃或個(gè)人信息落入別有用心的人的手中，將對(duì)您的組織產(chǎn)生什么樣的影響？ 有的組織直到為時(shí)已晚的時(shí)候才認(rèn)識(shí)到信息安全被破壞造成的影響。 世界經(jīng)濟(jì)已意識(shí)到信息的力量、價(jià)值及保護(hù)信息的重要性。該標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi)部的信 息安全的框架。該管理體系在組織中建立一個(gè)完整的切入、實(shí)施、維護(hù)和文件化的管理框架。 ISO/IEC 17799（ BS 7799）是組織一個(gè)關(guān)鍵的管理工具，它可以用來(lái)識(shí)別管理和減小對(duì)組織信息安全的威脅。當(dāng)一個(gè)組織與另一個(gè)組織合作的時(shí)候，對(duì)信 息的保護(hù)尤為重要。 ISO17799 是從 BS7799 轉(zhuǎn)換來(lái)的，目前 ISO17799 的最新版本是 ISO17799： 2020，它包含了133 個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素。通過(guò)使用該規(guī)范能使組織建立信息安全管理體系，包括以下幾個(gè)步驟： 1. 定義信息安全方針 == 信息安全方針文檔 2. 定義 ISMS 范圍 == ISMS 范圍文檔 3. 資產(chǎn)識(shí)別 == 資產(chǎn)清單 4. 風(fēng) 險(xiǎn)評(píng)估 == 風(fēng)險(xiǎn)評(píng)估文檔 5. 選擇控制目標(biāo)和控制措施 == 控制規(guī)劃 6. 體系運(yùn)行 == 運(yùn)行計(jì)劃和運(yùn)行記錄 7. 體系審核 == 審核計(jì)劃與審核記錄 8. 管理評(píng)審 == 評(píng)審計(jì)劃與評(píng)審記錄 9. 體系認(rèn)證 == 認(rèn)證申請(qǐng)及認(rèn)證證書(shū) 根據(jù) ISO17799 確定的內(nèi)容，通過(guò) ISO 27001 來(lái)實(shí)施和認(rèn)證 ISMS，并不就一定能保證組織能完全擺脫信息安全遭破壞，但實(shí)施該標(biāo)準(zhǔn)使信息安全被破壞的可能性降低，因此降低投資和信息安全事故發(fā)生后的被破壞的程度。它需要全面的綜合管理。 第 3 頁(yè) 信息安全管理體系標(biāo)準(zhǔn) (ISO27001)可有效保護(hù)信息資源 ,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。當(dāng)您的組織通過(guò)了 ISO27001的認(rèn)證 ,就相當(dāng)于通過(guò) ISO9000 的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。引入 ISO27001 標(biāo)準(zhǔn)會(huì)給組織帶來(lái)以下好處： ? 企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、 員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位。 ? 信任、信用及信心：使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。 ? 通過(guò)認(rèn)證能夠向政府及行業(yè)主管部門(mén)證明組織對(duì)相關(guān)法律法規(guī)的符合性。 ? 通過(guò)認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感和 拓展業(yè)務(wù)。 四、組織實(shí)施 ISO27001 的程序與模式 ISO27001 中詳細(xì)介紹了實(shí)施信息安全管理的方法和程序，用戶可以參照這個(gè)完整的標(biāo)準(zhǔn)制定出自己的安全管理計(jì)劃和實(shí)施步驟。修訂后的 ISO27001 充分考慮了信息處理技術(shù)尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還強(qiáng)調(diào)了與業(yè)務(wù)相關(guān)的信息安全及信息安全的責(zé)任，擴(kuò)展了新的控制。 組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實(shí)情況。因此，需要根據(jù)功能要求和組織本身的實(shí)際情況進(jìn)一步開(kāi)發(fā)適合組織自身需要的控制目標(biāo)與控制措施，就像依據(jù) ISO9000 標(biāo)準(zhǔn)開(kāi)發(fā)質(zhì)量手冊(cè)和程序文件一樣。信息安全管理體系是整個(gè)管理體系的一部分， 建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開(kāi)發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安全。 ISMS 選擇上面哪一種范圍模式取決于組織的實(shí)際需要，一個(gè)組織可能需要為其企業(yè)的不同部分、不同方面定義不同的 ISMS。 ISO/IEC17799 強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開(kāi)放性 ,目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。 組織在實(shí)施 ISO27001 時(shí)，可以根據(jù)組織的需求和實(shí)際情況，采用以下幾種模式： ? 組織按照 ISO27001 標(biāo)準(zhǔn)的要求，自我實(shí)施建立組織的安全管理體系，以達(dá)到保證組織信息安全的目的。 ? 組織通過(guò)安全咨詢(xún)顧問(wèn)，來(lái)實(shí)施建立組織的安全管理體系 ，以達(dá)到保證組織信息安全的目的。 第 5 頁(yè) 第二講 信息安全政策 一、場(chǎng)景 2020 年春節(jié)后上班的第一天，某集團(tuán)公司北京信息中心的網(wǎng)絡(luò)管理員，打開(kāi)了節(jié)日期間關(guān)閉的郵件服務(wù)器，剛上班的員工們都忙著下載和瀏覽積壓的郵件，他們沒(méi)有想到一場(chǎng)災(zāi)難正慢慢逼近，由于剛打開(kāi)的郵件服務(wù)器的防病毒軟件沒(méi)有即時(shí)更新病毒庫(kù)，郵件中夾帶的病毒迅速泛濫，很快就使網(wǎng)絡(luò)及服務(wù)器無(wú)法正常工作，信息中心主任帶領(lǐng)手下 6 名管理員 進(jìn)行了為期一周的殺毒拉鋸戰(zhàn)，最終還是成為了病毒的手下敗將，在沒(méi)有辦法的情況下，只好把所有的服務(wù)器格式化，重新安裝服務(wù)器操作系統(tǒng)與應(yīng)用軟件。安全政策的制定與正確實(shí)施對(duì)組織的安全有著非常重要的作用，不僅能促進(jìn)全體員工參與到保障組織信息安全的行動(dòng)中來(lái)，而且能有效地降低由于人為因素所造成的對(duì)安全的損害。這 133 個(gè)控制措施被分成 11 個(gè)方面，成為組織實(shí)施信息安全管理的實(shí)用指南，在所有這些領(lǐng)域中，信息安全政策是 ISO17799 中最重要的控制目標(biāo)。 ISO17799 明確提出：管理層應(yīng)當(dāng)提出一套清晰的政策來(lái)指導(dǎo)信息安全實(shí)踐，并且通過(guò)在組織內(nèi)發(fā)布和維護(hù)信息安全政策來(lái)表明對(duì)信息安全的支持和承諾。 所謂信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。 第 6 頁(yè) 具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果而制定的明確具體的管理風(fēng)險(xiǎn)的信息安全實(shí)施規(guī)則。信息安全政策是 進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)信息系統(tǒng)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少應(yīng)包括以下內(nèi)容： ? 信息安全的定義，總體目標(biāo)、范圍，安全 對(duì)信息共享的重要性 ? 管理層意圖、支持目標(biāo)和信息安全原則的闡述。 ? 信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故。 第 7 頁(yè) 信息安全策略必須有一定的透明度并得到高層管理 層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。此外，還應(yīng)包括組織所有信息資源類(lèi)型的綜述，例如，工作站、局域網(wǎng)、單機(jī)等。機(jī)密性是指信息只能由授權(quán)用戶訪問(wèn)，其他非授權(quán)用戶、或非授權(quán)方式不能訪問(wèn)。可用性是指授權(quán)用戶在任何時(shí)候都可以訪問(wèn)其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運(yùn)行。 角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計(jì)算機(jī)系統(tǒng)安全小組等。例如，要明確規(guī)定誰(shuí)應(yīng)該負(fù)責(zé)批準(zhǔn)新系統(tǒng)所使用的安全措施，是相關(guān)業(yè)務(wù)部門(mén)的負(fù)責(zé)人，還是內(nèi)部專(zhuān)職信息 系統(tǒng)人員。 執(zhí)行紀(jì)律 沒(méi)有一個(gè)正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。對(duì)于嚴(yán)重安全事件，例如：盜竊、內(nèi)部破壞、密謀犯罪等行為全，要執(zhí)行開(kāi)除、起訴等懲戒措施；對(duì)于一般安全事件，例如：使用盜版軟件，要執(zhí)行相應(yīng)的處罰條款。對(duì)于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進(jìn)行相關(guān)安全策略介紹和安全意識(shí)教育培訓(xùn)。 版本歷史 對(duì)策略版本在各個(gè)階段的修訂情況做出說(shuō)明。 （ 2） 得到管理層的明確支持與承諾 要制定一個(gè)好的信息安全政策，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個(gè)作用，一是制定的信息安全政策與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全政策時(shí)必要的資金與人力資源的支持，及跨部門(mén)之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。要具體指定政策的起草人、檢查審閱人、測(cè)試用戶，要確定政策由什么管理人員批準(zhǔn)發(fā)布，由什么人員負(fù)責(zé)實(shí)施。一個(gè)典型的目標(biāo)是：通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè) 的實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供保障。 （ 6） 風(fēng)險(xiǎn)評(píng)估與選擇安全控制 組織信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估工作是建立具體的信息安全策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個(gè)過(guò)程中，風(fēng)險(xiǎn)評(píng)估工作占了很大的比例，風(fēng)險(xiǎn)評(píng)估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。 （ 8） 評(píng)估安全政策 安全政策被制訂出來(lái)后，要進(jìn)行充分的專(zhuān)家評(píng)估和用戶測(cè)試，以評(píng)審安全政策的完備性、易用性，確定安全政策能否達(dá)到組織所需的安全目標(biāo)?？梢园寻踩结樑c具體安全政策編制成組織信息安全政策手冊(cè)，然后發(fā)布到組織中的每個(gè)員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。 五、案例：信息安全方針示例 文件名稱(chēng)： XXXX 科技股份有限公司信息安全方針 編號(hào)： TFISM001 版次： 機(jī)密等級(jí)： 一般 目 標(biāo)： 為保護(hù)本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、數(shù)據(jù)、信息的安全，免于因外在的威脅或 第 10 頁(yè) 內(nèi)部人 員不當(dāng)?shù)墓芾碓馐苄姑堋⑵茐幕蜻z失等風(fēng)險(xiǎn)，特制訂本政策，以供全體員工共同遵循。 適用范圍： 本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及廠商委派支持本公司的工作人員等所有與信息資產(chǎn)相關(guān)的部門(mén)與人員。 ? 信息安全管理人員應(yīng)透過(guò)適當(dāng)程序落實(shí)此方針的要求。 ? 全體員工都有責(zé)任通過(guò)適當(dāng)反饋系統(tǒng)，報(bào)告所發(fā)現(xiàn)的信息安全意外事故或信息安全弱點(diǎn)。 復(fù)核： 此方針應(yīng)由高層主管根據(jù)企業(yè)內(nèi)外環(huán)境的變化，適當(dāng)?shù)挠枰孕抻?、公告，以符合形?shì)所需。 XXXX 科技股份有限公司 總經(jīng)理： 沈 XX 200X年 X月 X日 第 12 頁(yè) 第三講 信息資產(chǎn)的分類(lèi)與控制 一、前言 根據(jù)《光明日?qǐng)?bào)》 2020 年 2 月 9 日的統(tǒng)計(jì)數(shù)字，國(guó)內(nèi) 2020 年電子 政務(wù) 信息安全 市場(chǎng)規(guī)模超過(guò) 15億元， 金融信息化 安全市場(chǎng)規(guī)模約有 億元，電信行業(yè)信息安全市場(chǎng)規(guī)模不低于 20 億元，石化、電力、交通運(yùn)輸、制造、教育、衛(wèi)生等行業(yè)和個(gè)人市場(chǎng)的安全市場(chǎng)規(guī)模約有近 20 億元。 從統(tǒng)計(jì) 數(shù)據(jù) 我們可以 分析 出，目前在用戶中普遍比較流行的信息資產(chǎn)保護(hù)觀點(diǎn)是：通過(guò)部署防病毒 軟件 、防火墻及入侵檢測(cè)系統(tǒng)等邊界保護(hù) 與檢測(cè)設(shè)備來(lái)保護(hù)儲(chǔ)存在計(jì)算機(jī)中的數(shù)據(jù)資產(chǎn)免受非法入侵。 Ernst amp。 中國(guó) 國(guó)家信息安全測(cè)評(píng) 認(rèn)證 中心提供的調(diào)查結(jié)果也得出了相似的結(jié)論。 也許，我們應(yīng)該重新定義一下什么是信息資產(chǎn)了。所有的組織都有他們各自處理信息的形式，例如，銀行、保險(xiǎn)和信用卡公司都需要處理消費(fèi)者信息，衛(wèi)生保健部門(mén)需要管理病人 信息，政府管理部門(mén)存儲(chǔ)機(jī)密的和分類(lèi)信息。為達(dá)到這樣的目標(biāo)，組織必須采取一系列適當(dāng)?shù)男畔踩刂拼胧┎趴梢允剐畔⒈苊庖幌盗型{，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取投資回報(bào)。 我們習(xí)慣于把計(jì)算機(jī)、通訊設(shè)備、磁介質(zhì)等看成信息資產(chǎn)，而不習(xí)慣于把對(duì)組織有重要價(jià)值的檔案資料、人員、企業(yè)形象、服務(wù)等看作是資產(chǎn)，往往忽略了對(duì)這些資產(chǎn)的保護(hù)，而實(shí)際上這些資產(chǎn)對(duì)組織的業(yè)務(wù)持續(xù)性來(lái)說(shuō)是至關(guān)重要的。