1、招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)ISO27001信息安全管理體系介紹2009年3月1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則幾個(gè)問(wèn)題題信息是否否是企業(yè)業(yè)的重要要資產(chǎn)？信息的泄泄漏是否否會(huì)給企企業(yè)帶來(lái)來(lái)重大影影響？信息的真真實(shí)性對(duì)對(duì)企業(yè)是是否帶來(lái)來(lái)重大影影響？信息的可可用性對(duì)對(duì)企業(yè)是是否帶來(lái)來(lái)重大影影響？我們是否否清楚知知道什么么信息對(duì)對(duì)企業(yè)是是重要的的？信息的價(jià)價(jià)值是否否在企業(yè)業(yè)內(nèi)部有有一個(gè)統(tǒng)統(tǒng)一的標(biāo)標(biāo)準(zhǔn)？我們是否否知道企企業(yè)關(guān)系系信息的的所有人人我們是否否知道企企業(yè)關(guān)系系信息的的信息流流向、狀狀

2、態(tài)、存存儲(chǔ)方式式，是否否收到足足夠保護(hù)護(hù)？信息安全全事件給給企業(yè)造造成的最最大/最壞影響響？1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則信息資產(chǎn)產(chǎn)信息：數(shù)數(shù)據(jù)庫(kù)和和數(shù)據(jù)文文件、合合同和協(xié)協(xié)議、系系統(tǒng)文件件、研究究信息、用戶(hù)手手冊(cè)、培培訓(xùn)材料料、操作作或支持持程序、業(yè)務(wù)連連續(xù)性計(jì)計(jì)劃、應(yīng)應(yīng)變安排排（fallbackarrangement）、審核核跟蹤記記錄（audittrails）、歸檔檔信息；軟件資產(chǎn)產(chǎn)：應(yīng)用用軟件、系統(tǒng)軟軟件、開(kāi)開(kāi)發(fā)工具具和實(shí)用用程序；物理資產(chǎn)產(chǎn)：計(jì)算算機(jī)設(shè)備備、通信信設(shè)備、可

3、移動(dòng)動(dòng)介質(zhì)和和其他設(shè)設(shè)備；服務(wù)：計(jì)計(jì)算和通通信服務(wù)務(wù)（例如如，網(wǎng)絡(luò)絡(luò)瀏覽、域名解解析）、公用設(shè)設(shè)施（例例如，供供暖，照照明，能能源，空空調(diào)）；人員，他他們的資資格、技技能和經(jīng)經(jīng)驗(yàn)；無(wú)形資產(chǎn)產(chǎn)，如組組織的聲聲譽(yù)和形形象。信息資產(chǎn)產(chǎn)類(lèi)型:信息資產(chǎn)產(chǎn)電腦數(shù)據(jù)據(jù)網(wǎng)絡(luò)傳輸輸傳真紙上記錄錄圖片數(shù)碼照片片光盤(pán)磁帶帶電話(huà)交談?wù)勅说拇竽X腦等信息資產(chǎn)產(chǎn)存在方方式：信息資產(chǎn)產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷(xiāo)毀/拋棄信息資產(chǎn)產(chǎn)的生命命周期：產(chǎn)生使用存貯傳輸銷(xiāo)毀/拋棄什么是信信息安全全?ISO27001將信息安安全定義義如下:保證信息息的保密密性，完完整性，可用性性；另外外也可包包括諸如如真實(shí)性性，可核核查性，不可否否認(rèn)性和和可靠性

4、性等特性性保密性可用性保密性：信息不不能被未未授權(quán)的的個(gè)人，實(shí)體或或者過(guò)程程利用或或知悉的的特性可用性：根據(jù)授授權(quán)實(shí)體體的要求求可訪(fǎng)問(wèn)問(wèn)和利用用的特性性完整性：保護(hù)資資產(chǎn)的準(zhǔn)準(zhǔn)確和完完整的特特性1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則信息安全全管理體體系（ISMS）介紹InformationSecurityManagement System(ISMS)信息安全全管理體體系基于國(guó)際際標(biāo)準(zhǔn)ISO/IEC27001：信息安安全管理理體系要要求是綜合信信息安全全管理和和技術(shù)手手段，保保障組織織信息安

5、安全的一一種方法法ISMS是管理體體系（MS）家族的的一個(gè)成成員ISO/IEC JTC1/SC27/WG1（國(guó)際標(biāo)標(biāo)準(zhǔn)化組組織/國(guó)際電工工委員會(huì)會(huì) 聯(lián)合合技術(shù)委委員會(huì)1/子委員27/工作組1），WG1做為ISMS標(biāo)準(zhǔn)的工工作組，負(fù)責(zé)開(kāi)開(kāi)發(fā)ISMS相關(guān)的標(biāo)標(biāo)準(zhǔn)與指指南ISO27000系列標(biāo)準(zhǔn)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱(chēng)發(fā)布時(shí)間ISO/IEC 27000基礎(chǔ)與術(shù)語(yǔ)起草中，未發(fā)布ISO/IEC 27001ISMS Requirement ISMS要求 2005年10月ISO/IEC 27002Code of Practice for ISMS實(shí)用規(guī)則2007年4月ISO/IEC 27003ISMS Imple

6、mentation Guidance ISMS實(shí)施指南起草中，未發(fā)布ISO/IEC 27004ISMS Metrics and Measurement ISMS的測(cè)量起草中，未發(fā)布ISO/IEC 27005Information Security Risk Management 信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC 27006Certification and Registration process審核認(rèn)證機(jī)構(gòu)要求2007年2月ISO27001的歷史等同的國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)GB/T 22080-2008信息技術(shù)術(shù) 安全全技術(shù)信信息安安全管理理體系要要求GB/T 22081-2008信息技術(shù)

7、術(shù) 安全全技術(shù)信信息安安全管理理實(shí)用規(guī)規(guī)則我國(guó)已將將ISO27001和ISO27002系列標(biāo)準(zhǔn)準(zhǔn)等同轉(zhuǎn)轉(zhuǎn)化為國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)。2008年9月，經(jīng)國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)化管理理委員會(huì)會(huì)批準(zhǔn)，全國(guó)信信息安全全標(biāo)準(zhǔn)化化技術(shù)委委員會(huì)發(fā)發(fā)布兩個(gè)個(gè)新的國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)，并于于2008年11月1日起實(shí)施施。提升競(jìng)爭(zhēng)爭(zhēng)力提高合規(guī)規(guī)性滿(mǎn)足利益益相關(guān)方方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶(hù)信息提升組織形象提升內(nèi)部控制符合國(guó)家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶(hù)信任度提升投資回報(bào)率ISO27001當(dāng)前獲得得ISO27001證

8、書(shū)的組組織分布布(2008年9月)1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則ISO27001信息安全全管理體體系要求求相關(guān)方受控的信息安全全信息安全全要求和期期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全全管理體體系（InformationSecuritryManagementSystems）是組織織在整體體或特定定范圍內(nèi)內(nèi)建立信信息安全全方針和和目標(biāo)，以及完完成這些些目標(biāo)所所用方法法的體系系。它是是直接管管理活

9、動(dòng)動(dòng)的結(jié)果果，表示示成方針針、原則則、目標(biāo)標(biāo)、方法法、過(guò)程程、核查查表（Checklists）等要素素的集合合。定義范圍圍和邊界界定義安全全策略定義風(fēng)險(xiǎn)險(xiǎn)評(píng)估方方法識(shí)別風(fēng)險(xiǎn)險(xiǎn)識(shí)別和評(píng)評(píng)價(jià)風(fēng)險(xiǎn)險(xiǎn)識(shí)別和評(píng)評(píng)價(jià)風(fēng)險(xiǎn)險(xiǎn)處理的的可選措措施為處理風(fēng)風(fēng)險(xiǎn)選擇擇控制目目標(biāo)和控控制措施施獲得管理理者對(duì)建建議的殘殘余風(fēng)險(xiǎn)險(xiǎn)的批準(zhǔn)準(zhǔn)獲得管理理者對(duì)實(shí)實(shí)施和運(yùn)運(yùn)行ISMS的授權(quán)準(zhǔn)備適用用性聲明明（SoA）建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施

10、和運(yùn)行ISMS制定風(fēng)險(xiǎn)險(xiǎn)處理計(jì)計(jì)劃實(shí)施風(fēng)險(xiǎn)險(xiǎn)處理計(jì)計(jì)劃實(shí)施培訓(xùn)訓(xùn)和意識(shí)識(shí)教育計(jì)計(jì)劃管理ISMS的運(yùn)行管理ISMS的資源應(yīng)急響應(yīng)應(yīng)、事故故管理監(jiān)視和評(píng)評(píng)審ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS執(zhí)行監(jiān)視視與評(píng)審審程序和和其它控控制措施施ISMS有效性的的定期評(píng)評(píng)審測(cè)量控制制措施的的有效性性定期實(shí)施施ISMS內(nèi)部審核核定期進(jìn)行行ISMS管理評(píng)審審保持和改改進(jìn)ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施已識(shí)識(shí)別的ISMS改進(jìn)措施施采取合適適的糾正正和預(yù)防防措施從安全

11、經(jīng)經(jīng)驗(yàn)中吸吸取教訓(xùn)訓(xùn)向所有相相關(guān)方溝溝通措施施和改進(jìn)進(jìn)情況1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則風(fēng)險(xiǎn)的概概念風(fēng)險(xiǎn)是指指遭受損損害或損損失的可可能性，是實(shí)現(xiàn)現(xiàn)一個(gè)事事件的不不想要的的負(fù)面結(jié)結(jié)果的潛潛在因素素。對(duì)信息系系統(tǒng)而言言：兩種種因素造造成對(duì)其其使命的的實(shí)際影影響：一個(gè)特定定的威脅脅源利用用或偶然然觸發(fā)一一個(gè)特定定的信息息系統(tǒng)脆脆弱性的的概率上述事件件發(fā)生之之后所帶帶來(lái)的影影響在ISO/IEC GUIDE73將風(fēng)險(xiǎn)定定義為：事件的的概率及及其結(jié)果果的組合合。風(fēng)險(xiǎn)管理理的目標(biāo)標(biāo)風(fēng)險(xiǎn)管理理指

12、標(biāo)識(shí)識(shí)、控制制和減少少可能影影響信息息系統(tǒng)資資源的不不確定事事件或使使這些事事件降至至最少的的全部過(guò)過(guò)程。風(fēng)險(xiǎn)管理理被認(rèn)為為是良好好管理的的一個(gè)組組成部分分。風(fēng)險(xiǎn)管理理的目標(biāo)標(biāo)：高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標(biāo)標(biāo)概率信息安全全風(fēng)險(xiǎn)管管理一般般方法資產(chǎn)識(shí)別別威脅識(shí)別別分析和評(píng)評(píng)價(jià)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理理計(jì)劃識(shí)別脆弱弱性當(dāng)前控制制措施分析析風(fēng)險(xiǎn)監(jiān)控控、檢查查與溝通通識(shí)別威脅脅威脅威脅脅可多種種屬性來(lái)來(lái)刻畫(huà)：威脅的的主體（威脅源源）、能能力、資資源、動(dòng)動(dòng)機(jī)、途途徑幾種常見(jiàn)見(jiàn)威脅：自然災(zāi)害害計(jì)算機(jī)犯犯罪員工操作作失誤商業(yè)間諜諜黑客ISO27001將威脅定定義如下下：可能導(dǎo)致致對(duì)

13、系統(tǒng)統(tǒng)或組織織的損害害的不期期望事件件發(fā)生的的潛在原原因識(shí)別脆弱弱性脆弱性常常被成為為漏洞幾種常見(jiàn)見(jiàn)脆弱性性：簡(jiǎn)單口令令員工安全全意思淡淡薄第三方缺缺乏保密密協(xié)議變更管理理薄弱明文傳輸輸信息經(jīng)驗(yàn)表明明：大多多數(shù)重大大的脆弱弱性通常常是由于于缺乏良良好的流流程或指指定了不不適當(dāng)?shù)牡男畔舶踩?zé)任任才出現(xiàn)現(xiàn)的，但但是進(jìn)行行風(fēng)險(xiǎn)評(píng)評(píng)估時(shí)往往往過(guò)分分注重技技術(shù)脆弱弱性。ISO27001將脆弱性性定義如如下：可能會(huì)被被一個(gè)或或多個(gè)威威脅所利利用的資資產(chǎn)或一一組資產(chǎn)產(chǎn)的弱點(diǎn)點(diǎn)分析當(dāng)前前控制ISO27002將控制定定義如下下：管理風(fēng)險(xiǎn)險(xiǎn)的方法法，包括括策略、規(guī)程、指南、慣例或或組織結(jié)結(jié)構(gòu)。它它們可以以是行政

14、政、技術(shù)術(shù)、管理理、法律律等方面面的?？刂拼胧┦┮灿糜谟诜雷o(hù)措措施或?qū)?duì)策的同同義詞。本步的目目標(biāo)是對(duì)對(duì)已經(jīng)實(shí)實(shí)現(xiàn)或規(guī)規(guī)劃中的的安全防防護(hù)措施施進(jìn)行分分析單位通過(guò)過(guò)這些措措施來(lái)減減小或消消除一個(gè)個(gè)威脅源源利用系系統(tǒng)脆弱弱性的可可能性（或概率率）風(fēng)險(xiǎn)的分分析與評(píng)評(píng)價(jià)風(fēng)險(xiǎn)分析析：系統(tǒng)統(tǒng)地使用用信息來(lái)來(lái)識(shí)別風(fēng)風(fēng)險(xiǎn)來(lái)源源和估計(jì)計(jì)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)價(jià)價(jià):將估計(jì)的的風(fēng)險(xiǎn)與與給定的的風(fēng)險(xiǎn)準(zhǔn)準(zhǔn)則加以以比較以以確定風(fēng)風(fēng)險(xiǎn)嚴(yán)重重性的過(guò)過(guò)程存在定性性、定量量?jī)煞N風(fēng)風(fēng)險(xiǎn)分析析方法實(shí)例：風(fēng)險(xiǎn)處理理策略經(jīng)過(guò)風(fēng)險(xiǎn)險(xiǎn)評(píng)估后后識(shí)別出出來(lái)的風(fēng)風(fēng)險(xiǎn)，接接著便是是制定其其對(duì)應(yīng)的的風(fēng)險(xiǎn)處處理計(jì)劃劃.可能的風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃包包括以下下四種之之一

15、或四四種的組組合:采取適當(dāng)當(dāng)?shù)目刂浦拼胧﹣?lái)來(lái)降低(reduce)風(fēng)險(xiǎn)。了解并客客觀地接接受( accept)風(fēng)險(xiǎn),倘若他們們清除的的符合公公司策略略并在可可接受風(fēng)風(fēng)險(xiǎn)范圍圍之內(nèi)，或者如如果采取取控制（control）措施的的話(huà)，成成本太高高。通過(guò)放棄棄當(dāng)前的的某些活活動(dòng)來(lái)規(guī)規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其其它組織織，例例如保險(xiǎn)險(xiǎn)公司、供應(yīng)商商等。定義風(fēng)險(xiǎn)險(xiǎn)接收水水平風(fēng)險(xiǎn)處理理計(jì)劃完完成后的的殘余風(fēng)風(fēng)險(xiǎn)水平平應(yīng)在可可接受風(fēng)風(fēng)險(xiǎn)水平平之內(nèi)初始風(fēng)險(xiǎn)水平平（高）可接受的的風(fēng)險(xiǎn)水水平（Low）殘余風(fēng)險(xiǎn)險(xiǎn)風(fēng)險(xiǎn)級(jí)別別高中低殘余風(fēng)險(xiǎn)險(xiǎn)風(fēng)險(xiǎn)控制制措施風(fēng)險(xiǎn)控制制措施控制措施施選擇從針

16、對(duì)性性和實(shí)施施方式來(lái)來(lái)看，控控制措施施分三類(lèi)類(lèi)：管理(Administrative)性:安全策略略,流程,組織與職職責(zé)等操作(Operation)性:人員職責(zé)責(zé),事故反應(yīng)應(yīng),意識(shí)培訓(xùn)訓(xùn),系統(tǒng)開(kāi)發(fā)發(fā)等等技術(shù)(Technical)性:加密,訪(fǎng)問(wèn)控制制,審計(jì)等或者從功功能上來(lái)來(lái)分,控制措施施類(lèi)型包包括：威懾性(Deterrent):告示、標(biāo)標(biāo)語(yǔ)預(yù)防性(Preventive):培訓(xùn)，操操作手冊(cè)冊(cè)，加密密，身份份認(rèn)證檢測(cè)性(Detective):CCTV,保安，報(bào)報(bào)警糾正性(Corrective):培訓(xùn)，問(wèn)問(wèn)責(zé)，應(yīng)應(yīng)急響應(yīng)應(yīng)，災(zāi)備備風(fēng)險(xiǎn)成本最佳投資資點(diǎn)基本原則則實(shí)施安全全控制措措施的代代價(jià)不應(yīng)應(yīng)該大于于

17、要保護(hù)護(hù)的資產(chǎn)產(chǎn)的價(jià)值值選擇控制制措施時(shí)時(shí)的成本本效益分分析1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則ISO27002信息安全全管理體體系實(shí)用用規(guī)則一、安全方針（Security Policy）二、組織信息安全（Organizing Information Security）三、資產(chǎn)管理（Asset Management）四、人力資源安全（Human Resource Security）五、物理及環(huán)境安全(Physical and Environmental Security) 六、通信與操作

18、管理（Communications and Operations Management）八、系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)(Information System Acquisition, Development and Maintenance)七、訪(fǎng)問(wèn)控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、業(yè)務(wù)持續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）11個(gè)安全域域，39個(gè)控制目目標(biāo)，133個(gè)控制點(diǎn)點(diǎn)控制域1：安全方方針信息安全全方針文文件信息安全全

19、方針文文件的評(píng)評(píng)審1.1信息安全全方針依據(jù)業(yè)務(wù)務(wù)要求和和相關(guān)法法律法規(guī)規(guī)提供管管理指導(dǎo)導(dǎo)并支持持信息安安全控制域2：組織信信息安全全信息安全全的管理理承諾信息安全全協(xié)調(diào)信息安全全職責(zé)的的分配信息處理理設(shè)施的的授權(quán)過(guò)過(guò)程保密性協(xié)協(xié)議2.1內(nèi)部組織織在組織內(nèi)內(nèi)管理信信息安全全與外部各各方相關(guān)關(guān)風(fēng)險(xiǎn)的的識(shí)別處理與顧顧客有關(guān)關(guān)的安全全問(wèn)題處理第三三方協(xié)議議中的安安全問(wèn)題題2.2組織外部部各方保持組織織的被外外部各方方訪(fǎng)問(wèn)、處理、管理或或與外部部進(jìn)行通通信的信信息和信信息處理理設(shè)施的的安全控制域3：資產(chǎn)管管理資產(chǎn)清單單資產(chǎn)責(zé)任任人資產(chǎn)的合合格使用用3.1資產(chǎn)責(zé)任任實(shí)現(xiàn)和保保持對(duì)組組織資產(chǎn)產(chǎn)的適當(dāng)當(dāng)保護(hù)分

20、類(lèi)指南南信息的標(biāo)標(biāo)記和處處理3.2資產(chǎn)分類(lèi)確保信息息受到適適當(dāng)級(jí)別別的保護(hù)護(hù)控制域4：人力資資源安全全角色和職職責(zé)背景審查查任用條款款和條件件4.1任用之前前確保雇員員、承包包方人員員和第三三方人員員理解其其職責(zé)、考慮對(duì)對(duì)其承擔(dān)擔(dān)的角色色是適合合的，以以降低設(shè)設(shè)施被竊竊、欺詐詐和誤用用的風(fēng)險(xiǎn)險(xiǎn)管理職責(zé)責(zé)信息安全全意識(shí)、教育和和培訓(xùn)紀(jì)律處理理過(guò)程4.2任用中確保所有有的雇員員、承包包方人員員和第三三方人員員知悉信信息安全全威脅和和利害關(guān)關(guān)系、他他們的職職責(zé)和義義務(wù)、并并準(zhǔn)備好好在其正正常工作作過(guò)程中中支持組組織的安安全方針針，以減減少人為為過(guò)失的的風(fēng)險(xiǎn)終止職責(zé)責(zé)資產(chǎn)的歸歸還撤銷(xiāo)訪(fǎng)問(wèn)問(wèn)權(quán)4.3任用

21、的終止或變化確保雇員員、承包包方人員員和第三三方人員員以一個(gè)個(gè)規(guī)范的的方式退退出一個(gè)個(gè)組織或或改變其其任用關(guān)關(guān)系控制域5：物理和和環(huán)境安安全物理安全全邊界物理入口口控制辦公室、房間和和設(shè)施的的安全保保護(hù)外部和環(huán)環(huán)境威脅脅的安全全防護(hù)在安全區(qū)區(qū)域工作作公共訪(fǎng)問(wèn)問(wèn)、交接接區(qū)安全全5.1安全區(qū)域域防止對(duì)組組織場(chǎng)所所和信息息的未授授權(quán)物理理訪(fǎng)問(wèn)、損壞和和干擾設(shè)備安置置和保護(hù)護(hù)支持性設(shè)設(shè)施布纜安全全設(shè)備維護(hù)護(hù)組織場(chǎng)所所外的設(shè)設(shè)備安全全設(shè)備的安安全處置置和再利利用資產(chǎn)的移移動(dòng)5.2設(shè)備安全防止資產(chǎn)產(chǎn)的丟失失、損壞壞、失竊竊或危及及資產(chǎn)安安全以及及組織活活動(dòng)的中中斷控制域6：通信和和操作管管理文件化的的操作

22、程程序變更管理理責(zé)任分割割開(kāi)發(fā)、測(cè)測(cè)試和運(yùn)運(yùn)行設(shè)施施分離6.1操作程序序和職責(zé)責(zé)確保正確確、安全全的操作作信息處處理設(shè)施施服務(wù)交付付第三方服服務(wù)的監(jiān)監(jiān)視和評(píng)評(píng)審第三方服服務(wù)的變變更管理理6.2第三方服務(wù)交付管理實(shí)施和保保持符合合第三方方服務(wù)交交付協(xié)議議的信息息安全和和服務(wù)交交付的適適當(dāng)水準(zhǔn)準(zhǔn)容量管理理系統(tǒng)驗(yàn)收收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失失效的風(fēng)風(fēng)險(xiǎn)降至至最小控制域6：通信和和操作管管理（續(xù)續(xù)）控制惡意意代碼控制移動(dòng)動(dòng)代碼6.4防范惡意意和移動(dòng)動(dòng)代碼保護(hù)軟件件和信息息的完整整性信息備份份6.5備份保持信息息和信息息處理設(shè)設(shè)施的完完整性及及可用性性網(wǎng)絡(luò)控制制網(wǎng)絡(luò)服務(wù)務(wù)安全6.6網(wǎng)絡(luò)安全全管理確保

23、網(wǎng)絡(luò)絡(luò)中信息息的安全全性并保保護(hù)支持持性的基基礎(chǔ)設(shè)施施控制域6：通信和和操作管管理（續(xù)續(xù)）可移動(dòng)介介質(zhì)的管管理介質(zhì)的處處置信息處理理程序系統(tǒng)文件件安全6.7介質(zhì)處置置防止資產(chǎn)產(chǎn)遭受未未授權(quán)泄泄露、修修改、移移動(dòng)或銷(xiāo)銷(xiāo)毀以及及業(yè)務(wù)活活動(dòng)的中中斷信息交換換策略和和程序交換協(xié)議議運(yùn)輸中的的物理介介質(zhì)電子消息息發(fā)送業(yè)務(wù)信息息系統(tǒng)6.8信息的交換保持組織織內(nèi)信息息和軟件件交換及及與外部部組織信信息和軟軟件交換換的安全全電子商務(wù)務(wù)在線(xiàn)交易易公共可用用信息6.9電子商務(wù)務(wù)服務(wù)確保電子子商務(wù)服服務(wù)的安安全及其其安全使使用控制域6：通信和和操作管管理（續(xù)續(xù)）審計(jì)日志志監(jiān)視系統(tǒng)統(tǒng)的使用用日志信息息的保護(hù)護(hù)管理員和

24、和操作員員日志故障日志志時(shí)鐘同步步6.10監(jiān)視檢測(cè)未經(jīng)經(jīng)授權(quán)的的信息處處理活動(dòng)動(dòng)控制域7：訪(fǎng)問(wèn)控控制訪(fǎng)問(wèn)控制制策略7.1訪(fǎng)問(wèn)控制制的業(yè)務(wù)務(wù)要求控制對(duì)信信息的訪(fǎng)訪(fǎng)問(wèn)用戶(hù)注冊(cè)冊(cè)特殊權(quán)限限管理用戶(hù)口令令管理用戶(hù)訪(fǎng)問(wèn)問(wèn)權(quán)的復(fù)復(fù)查7.2用戶(hù)訪(fǎng)問(wèn)問(wèn)管理確保授權(quán)權(quán)用戶(hù)訪(fǎng)訪(fǎng)問(wèn)信息息系統(tǒng)，并防止止未授權(quán)權(quán)的訪(fǎng)問(wèn)問(wèn)口令使用用無(wú)人值守守的用戶(hù)戶(hù)設(shè)備清空桌面面和屏幕幕策略7.3用戶(hù)職責(zé)防止未授授權(quán)用戶(hù)戶(hù)對(duì)信息息和信息息處理設(shè)設(shè)施的訪(fǎng)訪(fǎng)問(wèn)、危危害或竊竊取控制域7：訪(fǎng)問(wèn)控控制（續(xù)續(xù)）使用網(wǎng)絡(luò)絡(luò)服務(wù)的的策略外部連接接的用戶(hù)戶(hù)鑒別網(wǎng)絡(luò)上的的設(shè)備標(biāo)標(biāo)識(shí)遠(yuǎn)程診斷斷和配置置端口的的保護(hù)網(wǎng)絡(luò)隔離離網(wǎng)絡(luò)連接接控制網(wǎng)絡(luò)路由由控制7.4網(wǎng)

25、絡(luò)訪(fǎng)問(wèn)問(wèn)控制防止對(duì)網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)的未授授權(quán)訪(fǎng)問(wèn)問(wèn)安全登錄錄程序用戶(hù)標(biāo)識(shí)識(shí)和鑒別別口令管理理系統(tǒng)系統(tǒng)實(shí)用用工具的的使用會(huì)話(huà)超時(shí)時(shí)聯(lián)機(jī)時(shí)間間的限定定7.5操作系統(tǒng)訪(fǎng)問(wèn)控制防止對(duì)操操作系統(tǒng)統(tǒng)的未授授權(quán)訪(fǎng)問(wèn)問(wèn)信息訪(fǎng)問(wèn)問(wèn)限制敏感系統(tǒng)統(tǒng)隔離7.6應(yīng)用和信息訪(fǎng)問(wèn)控制防止對(duì)應(yīng)應(yīng)用系統(tǒng)統(tǒng)中信息息的未授授權(quán)訪(fǎng)問(wèn)問(wèn)控制域7：訪(fǎng)問(wèn)控控制（續(xù)續(xù)）移動(dòng)計(jì)算算和通訊訊遠(yuǎn)程工作作7.7移動(dòng)計(jì)算算和遠(yuǎn)程程工作確保使用用移動(dòng)計(jì)計(jì)算和遠(yuǎn)遠(yuǎn)程工作作設(shè)施時(shí)時(shí)的信息息安全控制域8：信息系統(tǒng)統(tǒng)獲取、開(kāi)發(fā)和和維護(hù)安全要求求分析和和說(shuō)明8.1信息系統(tǒng)統(tǒng)的安全全要求確保安全全是信息息系統(tǒng)的的一個(gè)有有機(jī)組成成部分輸入數(shù)據(jù)據(jù)驗(yàn)證內(nèi)部處理理的控制制消息完整整性輸出數(shù)據(jù)據(jù)驗(yàn)證8.2應(yīng)用中的正確處理防止應(yīng)用用系統(tǒng)中中的信息息的錯(cuò)誤誤、遺失失、未授授權(quán)的修修改及誤誤用使用密碼碼控制的的策略密鑰管理理8.3密