【正文】 業(yè)務(wù)連續(xù)性管理 ? 符合性 17799:2023 信息安全管理實(shí)施細(xì)則 11個(gè)方面 39個(gè)目標(biāo) 133個(gè)控制措施 10個(gè)方面 36個(gè)目標(biāo) 127個(gè)控制措施 對(duì)比 17799:2023老版 …… 17799:2023 信息安全管理實(shí)施細(xì)則 “ . , . a . . a , , a .” 并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。 17799:2023 信息安全管理實(shí)施細(xì)則 法律要求和最佳實(shí)踐控制措施 ? 與法律相關(guān)的控制措施： ? 知識(shí)產(chǎn)權(quán)（ ）：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律（ ） ? 保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞和偽造（ ） ? 數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律（ ） ? 與最佳實(shí)踐相關(guān)的控制措施： ? 信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知（ ） ? 信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任（ ） ? 信息安全意識(shí)、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R(shí)培訓(xùn)（ ） ? 正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、損壞或被非授權(quán)篡改及誤用（ ） ? 漏洞管理：防止利用已發(fā)布的漏洞信息來實(shí)施破壞（ ） ? 管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來管理信息安全事件（ ） ? 業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事件或?yàn)?zāi)難影響（ 14） ? 盡管選擇以上控制是信息安全很好的起點(diǎn)，但還是不能代替基于風(fēng)險(xiǎn)評(píng)估選擇合適的安全控制。 17799:2023 信息安全管理實(shí)施細(xì)則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。 安全策略的復(fù)查 ? 策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略。也應(yīng)定期復(fù)查安全策略。 外部伙伴 識(shí)別與外部伙伴相關(guān)的風(fēng)險(xiǎn) 和客戶交往時(shí)注意安全 在第三方協(xié)議中注明安全 目標(biāo)：維護(hù)被外部伙伴訪問、處理和管理的組織的信息處理設(shè)施和信息資產(chǎn)的安全。 信息安全管理委員會(huì) 外部安全專家 信息安全獨(dú)立評(píng)審 信息安全管理 框架 權(quán)威機(jī)構(gòu) 17799:2023 信息安全管理實(shí)施細(xì)則 識(shí)別與外部伙伴相關(guān)的風(fēng)險(xiǎn) ? 外部伙伴可能包括： ? 服務(wù)提供商（例如、網(wǎng)絡(luò)和通信服務(wù)、維護(hù)和支持服務(wù)提供商等），管理安全服務(wù)（） ? 客戶 ? 外包服務(wù)（系統(tǒng)設(shè)施和運(yùn)維、數(shù)據(jù)采集、呼叫中心） ? 管理和業(yè)務(wù)咨詢顧問、審計(jì)師 ? 軟件產(chǎn)品和系統(tǒng)的開發(fā)者和供應(yīng)商 ? 保潔快餐等外部服務(wù) ? 臨時(shí)工、短期兼職人員等 ? 如果需要讓外部伙伴訪問組織的信息處理設(shè)施或信息，有必要先做一次風(fēng)險(xiǎn)評(píng)估，找到特別的安全控制需求。還應(yīng)考慮需要訪問哪些設(shè)施和信息？信息的價(jià)值，必要的控制，授權(quán)以及監(jiān)督方式，出錯(cuò)可能造成的影響，對(duì)安全事件的響應(yīng)，法律法規(guī)等。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定。所有資產(chǎn)都應(yīng)該責(zé)任到人。 ? 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識(shí)別信息資產(chǎn)。 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。 ? 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。信息屬主的責(zé)任在于： ? 基于業(yè)務(wù)需求，對(duì)信息分類等級(jí)作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任 ? 保管者（）： ? 受信息屬主委托而負(fù)責(zé)保護(hù)信息，通常由系統(tǒng)人員來承擔(dān)，其職責(zé)包括： ? 定期備份，測(cè)試備份數(shù)據(jù)的有效性；必要時(shí)對(duì)數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來的記錄 ? 用戶（）： ? 任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意： ? 用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息安全的責(zé)任；用戶必須只將公司的計(jì)算資源用作公司目的，不能做個(gè)人使用 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險(xiǎn)。 解聘或變更 解聘責(zé)任 返還資產(chǎn) 去除訪問權(quán)限 目標(biāo)： 確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。 ? 通過背景檢查，可以防止： ? 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 ? 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 ? 雇用不合格的人員 ? 喪失商業(yè)秘密 ? 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對(duì)其進(jìn)行檢查，對(duì)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。促進(jìn)安全意識(shí)，可以減少人員的非授權(quán)活動(dòng)，可以增強(qiáng)保護(hù)控制的效率，有助于避免欺詐和對(duì)計(jì)算資源的浪費(fèi) ? 員工具有安全意識(shí)的標(biāo)志： ? 認(rèn)知可能存在的安全問題及其危害，理解安全所需 ? 明白自身的安全職責(zé)，恪守正確的行為方式 ? 促進(jìn)安全意識(shí)的方法和途徑多種多樣： ? 交互性的、實(shí)時(shí)的介紹，課程，視頻 ? 出版發(fā)布物品，新聞傳單，張貼物，簡(jiǎn)報(bào)，布告欄， ? 獎(jiǎng)金和贊譽(yù)等激勵(lì)機(jī)制 ? 提醒物，比如登錄，筆、便簽、鼠標(biāo)墊等隨身物品 ? 安全意識(shí)材料應(yīng)該直接、簡(jiǎn)單和清楚，易于理解，要有創(chuàng)新和變化 17799:2023 信息安全管理實(shí)施細(xì)則 安全培訓(xùn)和教育 ? 培訓(xùn)（）不同于意識(shí)，其目的是傳授安全相關(guān)的工作技能，主要對(duì)象為信息系統(tǒng)管理和維護(hù)人員，通常利用一對(duì)一的課堂形式，包括： ? 為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn) ? 為與敏感安全位置相關(guān)的具體的部門或人員提供的技能培訓(xùn) ? 為支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn) ? 為安全實(shí)踐者和信息系統(tǒng)審計(jì)師提供的高級(jí)信息安全培訓(xùn) ? 為高級(jí)管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn) ? 教育（）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分 ? 具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要 17799:2023 信息安全管理實(shí)施細(xì)則 加強(qiáng)人員離職控制 ? 人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí) ? 解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前 ? 使用標(biāo)準(zhǔn)的檢查列表（）來實(shí)施離職訪談 ? 離職者需在陪同下清理個(gè)人物品 ? 確保離職者返還所有的公司證章、鑰匙等物品 ? 與此同時(shí)，立即消除離職者的訪問權(quán)限，包括： ? 解除對(duì)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán) ? 解除電話，注銷電子郵箱，鎖定賬號(hào) ? 通知公司其他人員、外部伙伴或客戶，聲明此人已離職 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項(xiàng)活動(dòng)被打斷。 設(shè)備安全 設(shè)備的安置與保護(hù) 供電 電纜安全 設(shè)備維護(hù) 場(chǎng)外設(shè)備的安全 設(shè)備報(bào)廢或重用時(shí)的安全 財(cái)物遷移 . 17799:2023 信息安全管理實(shí)施細(xì)則 物理安全要點(diǎn)提示 ? 清晰劃定安全區(qū)域邊界 ? 圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng) ? 專門設(shè)立接待區(qū)，限制物理訪問 ? 外來人員登記及陪同 ? 定期檢查訪問記錄 ? 關(guān)鍵設(shè)施不要放置在公共區(qū)域 ? 關(guān)鍵區(qū)域不做顯眼標(biāo)記 ? 防止火災(zāi)、水災(zāi)、地震、爆炸等自然或人為災(zāi)難 ? 安全區(qū)域內(nèi)工作，禁止攝影攝像，加強(qiáng)監(jiān)督 ? 一定要注意那些不在視野范圍內(nèi)的東西 17799:2023 信息安全管理實(shí)施細(xì)則 注意你的身邊！ 注意最細(xì)微的地方！ 17799:2023 信息安全管理實(shí)施細(xì)則 我們來看一個(gè)可怕的案例 您肯定用過銀行的機(jī)，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？ ?? 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于場(chǎng)外設(shè)備使用的提示 ? 無論是誰(shuí)，信息處理設(shè)施要帶到組織邊界外使用，必須得到相關(guān)授權(quán) ? 場(chǎng)外設(shè)備或介質(zhì)不應(yīng)該單獨(dú)置于公共區(qū)域，筆記本電腦應(yīng)該放在不顯眼的包里 ? 注意設(shè)備防暴、防磁、防熱、防水、防震 ? 家庭辦公時(shí)，遵守設(shè)備加鎖保存、桌面凈空、計(jì)算機(jī)訪問控制及安全通信策略 ? 可以考慮購(gòu)買適當(dāng)?shù)谋ｋU(xiǎn) 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保正確并安全地操作信息處理設(shè)施。 抵御惡意和移動(dòng)代碼 惡意代碼控制 移動(dòng)代碼控制 目標(biāo)： 保護(hù)軟件和信息的完整性。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)信息和信息處理設(shè)施的完整性及可用性。 信息的交換 信息交換策略和程序 交換協(xié)議 傳輸中的物理介質(zhì) 電子信息交換 業(yè)務(wù)信息系統(tǒng) 目標(biāo)： 保持組織內(nèi)部和與外部實(shí)體間進(jìn)行信息交換的安全性。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保電子商務(wù)服務(wù)的安全性，保證安全使用電子商務(wù)服務(wù)。 17799:2023 信息安全管理實(shí)施細(xì)則 通信和操作管理提示 ? 明確操作管理理程序和責(zé)任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復(fù)、日志審計(jì)等事務(wù) ? 定義變更管理責(zé)任和流程，做好信息處理設(shè)施的變更控制 ? 對(duì)第三方服務(wù)實(shí)施有效監(jiān)督，確保其符合既定協(xié)議的要求。應(yīng)該根據(jù)業(yè)務(wù)和安全需求對(duì)信息、系統(tǒng)和業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略。 用戶責(zé)任 口令使用 無人值守的用戶設(shè)備 桌面清理和清屏策略 目標(biāo)： 防止非授權(quán)用戶訪問、破壞、竊取信息及信息處理設(shè)施。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用策略 對(duì)外部連接用戶進(jìn)行身份認(rèn)證 識(shí)別網(wǎng)絡(luò)中的設(shè)備 遠(yuǎn)程診斷和配置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制 操作系統(tǒng)訪問控制 安全的登錄程序 用戶身份識(shí)別與認(rèn)證 口令管理系統(tǒng) 系統(tǒng)工具的使用 會(huì)話超時(shí) 限制連接時(shí)間 目標(biāo)： 防止對(duì)信息系統(tǒng)的非授權(quán)訪問。 移動(dòng)計(jì)算和通訊 移動(dòng)計(jì)算和通信 遠(yuǎn)程工作（ Teleworking） 目標(biāo)：確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全。如果需要，還要驗(yàn)證每個(gè)合法用戶的終端節(jié)點(diǎn)或位置 ? 記錄成功和失敗的系統(tǒng)訪問 ? 提供適當(dāng)?shù)纳矸蒡?yàn)證方法。底層系統(tǒng)和網(wǎng)絡(luò)更是無能為力 ? 關(guān)于系統(tǒng)監(jiān)控： ? 日志、入侵監(jiān)測(cè)系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計(jì)措施的話，都無法發(fā)揮大作用 ? 關(guān)于移動(dòng)計(jì)算的訪問控制： ? 可變性太大 ? 有時(shí)會(huì)涉及 ―人格 ‖問題、 ―工作熱情 ‖問題 ? 執(zhí)行控制需要堅(jiān)決的政策和有力的執(zhí)行 ? 要關(guān)注新技術(shù)的沖擊 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中。 密碼控制 密碼控制使用策略 密鑰管理 目標(biāo)： 通過加密手段， 保護(hù)信息的保密性、真實(shí)性或完整性。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。 開發(fā)和支持過程的安全 變更控制程序 運(yùn)營(yíng)系統(tǒng)變更后對(duì)應(yīng)用做技術(shù) 評(píng)審 限制對(duì)軟件包的變更 信息泄漏 外包的軟件開發(fā) 技術(shù)漏洞管理 控制技術(shù)漏洞 目標(biāo)： 防止因?yàn)槔靡寻l(fā)布漏洞而實(shí)施的破壞。 13 信息安全事件管理 報(bào)告信息安全事件和缺陷 報(bào)告信息安全事件 報(bào)告安全缺陷 管理信息安全事件和改進(jìn) 責(zé)任和程序 從信息安全事件中吸取教訓(xùn) 證據(jù)搜集 目標(biāo)： 確保采取一致和有效的方法來管理信息安全事件。 分析對(duì)業(yè)務(wù)連續(xù)性的潛在影響 編寫，實(shí)施，測(cè)試和維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃 建立計(jì)劃框架 業(yè)務(wù)連續(xù)性管理過程 ? 理解組織面臨的風(fēng)險(xiǎn)，識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)和優(yōu)先次序。 ? 考慮購(gòu)買合適的保險(xiǎn)。 ? 根據(jù)業(yè)務(wù)連續(xù)性戰(zhàn)略制定并文檔化業(yè)務(wù)連續(xù)性計(jì)劃。 ? 明確業(yè)務(wù)連續(xù)性管理的責(zé)任。 15 符合性