信息平安管理框架

InformationSecurityManagementFramework主講樊山1信息平安開展趨勢及整體分析〔一〕2信息平安開展趨勢及整體分析〔二〕3信息平安開展趨勢及整體分析〔三〕4信息平安開展趨勢及整體分析〔四〕5信息平安開展趨勢及整體分析〔五〕APT案列：極光行動〔英語：OperationAurora〕1.偵察2.攻擊google員工好友控制了google員工好友主機3.搭建一個偽相冊站點上面放置了IE0DAY攻擊代碼4.偽造google員工好友發(fā)IM邀請翻開惡意相冊的URL5.Google員工中招訪問站點攻擊者控制google員工機器6.攻擊者利用google員工身份社工和滲透其他人員7.攻擊者通過多層滲透最后控制了gmail效勞器8.攻擊者通過SSL加密把敏感數(shù)據(jù)傳回6軌道交通信息平安事件分析與探討7某市地鐵Wifi干擾事件7.23動車追尾事件2021年7月23日20時30分05秒，甬溫線浙江省溫州市境內(nèi)，由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發(fā)生動車組列車追尾事故，造成40人死亡、172人受傷，中斷行車32小時35分，直接經(jīng)濟損失19371.65萬元。87.23動車追尾事件9XX市公交卡破解事件10北京地鐵“王鵬你妹〞10月8日下午北京地鐵5號線信息顯示屏上出現(xiàn)“王鵬你妹〞四個字。北京地鐵方面表示該信息顯示系統(tǒng)正在調(diào)試中出現(xiàn)異常的原因是一名正在接受培訓(xùn)的學(xué)員將同事間的調(diào)侃聊天記錄點擊發(fā)布并向公眾表示歉意。造成后果“王鵬你妹〞事件引發(fā)了各方媒體爭相報道導(dǎo)致了公眾對北京地鐵平安管理的質(zhì)疑，雖然北京地鐵已經(jīng)誠懇的致歉但帶來的負(fù)面影響已經(jīng)無法消除。11北京地鐵“王鵬你妹〞1、受訓(xùn)學(xué)員接受的平安教育和規(guī)章學(xué)習(xí)不到位。學(xué)員PIS信息發(fā)布管理的相應(yīng)規(guī)章規(guī)定缺乏最根本的認(rèn)識并且沒有根本的平安意識隨意操作設(shè)備在設(shè)備操作工作站上進行聊天并且誤操作將聊天記錄發(fā)布于PIS顯示屏上。2、PIS信息發(fā)布相應(yīng)崗位人員監(jiān)管不到位。在帶教學(xué)員對設(shè)備進行操作的情況下沒有嚴(yán)格的監(jiān)管把控導(dǎo)致學(xué)員發(fā)布信息時無人阻攔。3、發(fā)現(xiàn)和處理不及時事件發(fā)生時間為2021年10月8日下午4時直至下午6時53分地鐵乘客信息顯示系統(tǒng)才逐站恢復(fù)。由事件發(fā)生到結(jié)束將近3個小時的時間“王鵬你妹〞的信息畫面沒有被屏蔽或切換。12信息平安治理框架什么是信息平安？什么是信息平安管理探討信息平安管理的目的與意義信息平安與業(yè)務(wù)平安信息平安保障框架信息平安管理體系信息系統(tǒng)平安工程工程管理13什么是信息平安14什么是信息平安可用性完整性15〔1〕可用性〔Availability〕：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源?！?〕完整性〔Integrity〕：確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性?！?〕保密性〔Confidentiality〕：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。什么是信息平安16信息平安還有一些其他原那么，包括可追溯性〔Accountability〕、抗抵賴性〔Non-repudiation〕、真實性〔Authenticity〕、可控性〔Controllable〕等，這些都是對AIC原那么的細化、補充或加強。什么是信息平安1718信息平安管理概念管理體系的持續(xù)改進要求要求被滿足管理職責(zé)分析改進產(chǎn)品實現(xiàn)資源管理輸入輸出19PDCA過程需求方信息安全需求與期望PLAN建立

ISMSCHECK監(jiān)視和評審ISMSACT保持和改進管理責(zé)任ISMS過程需求方可管理狀態(tài)下的信息安全DO實施和操作ISMS20建立ISMS范圍&邊界ISMS策略控制目標(biāo)&控制手段風(fēng)險評估途徑威脅&脆弱性資產(chǎn)&所有者風(fēng)險處置選項風(fēng)險評估影響適用性聲明1234569871011評審1221實施和操作ISMS風(fēng)險處理方案和實施實施控制有效性測量操作管理培訓(xùn)&意識活動&事件管理資源管理1234567IS事件一個單一的或一系列不必要的或意外的信息平安事件，有一個顯著的業(yè)務(wù)經(jīng)營的影響和威脅信息平安的概率22監(jiān)視和評審ISMS監(jiān)視&審查程序評價有效性測量控制的有效性內(nèi)部ISMS審計風(fēng)險評估審查平安方案評審管理評審1234567改進&事件對ISMS的性能/有效性帶來的影響823維護和改進ISMS實施改進采取CA-PA從教訓(xùn)中吸取經(jīng)驗（他人&自己）確認(rèn)改進溝通行動&改進12345在組織層面–承諾在法律層面–遵守在操作層面–風(fēng)險管理在商業(yè)層面–信譽和信心在財務(wù)層面–降低本錢在人力層面–提高員工意識24信息平安管理的目的和意義風(fēng)險Risk一種可能性，威脅利用資產(chǎn)的脆弱性，并造成資產(chǎn)的損害或損失。威脅Threat可能導(dǎo)致不期望事件的潛在原因，該不期望事件可能導(dǎo)致系統(tǒng)或組織受損脆弱點Vulnerability一個或一組資產(chǎn)所具有的、可能被一個或多個威脅所利用的弱點。25什么是風(fēng)險26風(fēng)險，威脅和脆弱性之間的關(guān)系威脅脆弱性利用風(fēng)險資產(chǎn)價值保護需求增加增加信息資產(chǎn)控制

*暴露防范減少具有增加說明滿足控制：降低風(fēng)險的做法，程序或機制27威脅識別28威脅29威脅源源動機威脅外部黑客的攻擊挑戰(zhàn)自負(fù)博弈系統(tǒng)的黑客社會工程垃圾箱內(nèi)部黑客期限財務(wù)問題失望后門舞弊欠佳的文檔恐怖分子復(fù)仇政治系統(tǒng)攻擊社會工程郵件炸彈病毒拒絕服務(wù)沒有受過良好訓(xùn)練的員工意外錯誤編程錯誤數(shù)據(jù)錄入錯誤數(shù)據(jù)損壞引入惡意代碼系統(tǒng)錯誤未經(jīng)授權(quán)的訪問30威脅類別序號威脅類別示例1人力資源的失誤或失敗事故，員工失誤2知識產(chǎn)權(quán)丟失盜版，侵犯版權(quán)3故意或者間諜或侵占未經(jīng)授權(quán)的訪問和/或數(shù)據(jù)收集4信息勒索的故意行為勒索信息曝光/披露5故意破壞/認(rèn)為破壞破壞系統(tǒng)/信息6故意盜竊非法沒收設(shè)備或信息7故意軟件攻擊病毒，蠕蟲，宏拒絕服務(wù)8從服務(wù)提供商的服務(wù)質(zhì)量偏差電源和廣域網(wǎng)問題9大自然的力量火災(zāi)，水災(zāi)，地震，雷擊10技術(shù)硬件故障或錯誤設(shè)備故障/錯誤11技術(shù)軟件失敗或錯誤錯誤代碼的問題，未知的漏洞12陳舊的技術(shù)陳舊或過時的技術(shù)31風(fēng)險和威脅IT系統(tǒng)高級用戶的知識盜竊，破壞，誤用惡意代碼攻擊系統(tǒng)和網(wǎng)絡(luò)故障缺乏文檔失效的物理平安32理解風(fēng)險下雨人健康虛弱生病資產(chǎn)威脅〔來自自然環(huán)境〕脆弱性接受風(fēng)險降低風(fēng)險躲避風(fēng)險轉(zhuǎn)嫁風(fēng)險風(fēng)險處置策略打傘打車停止外出對方來訪風(fēng)險處置剩余風(fēng)險效率本錢可行性業(yè)務(wù)業(yè)務(wù)就是為了達成某種目的或者結(jié)果需要處理的事務(wù).業(yè)務(wù)風(fēng)險指在處理事務(wù)過程中所面臨的影響業(yè)務(wù)正常運行中的威脅所帶來的影響。業(yè)務(wù)的風(fēng)險來源于業(yè)務(wù)的每個環(huán)節(jié)中的入口和出口，包括業(yè)務(wù)流程、業(yè)務(wù)邏輯關(guān)系以及業(yè)務(wù)過程的成熟度。業(yè)務(wù)是一個組織的靈魂，沒有業(yè)務(wù)對于組織而言也就失去了生命，業(yè)務(wù)流程如同一個人的大動脈，承載著全身的血液的輸送，沒有流程的業(yè)務(wù)如同一條沒有水的河流。分析業(yè)務(wù)流程實際上是整個業(yè)務(wù)評估的關(guān)鍵。33業(yè)務(wù)與業(yè)務(wù)風(fēng)險業(yè)務(wù)構(gòu)成要素業(yè)務(wù)識別業(yè)務(wù)流程分析關(guān)鍵業(yè)務(wù)目標(biāo)目標(biāo)實現(xiàn)管理識別流程合理性審計手段管理保障管理策略業(yè)務(wù)評估是以業(yè)務(wù)為主線,涉及業(yè)務(wù)流程、組織架構(gòu)、業(yè)務(wù)IT、用戶、第三方支撐等5大元素。35業(yè)務(wù)評估36那么，我們?nèi)绾慰朔@些問題呢？信息平安保障框架37信息系統(tǒng)生命周期平安管理策略組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息平安規(guī)劃管理〔MISP〕系統(tǒng)開發(fā)管理〔MSD〕運行管理〔MOD〕應(yīng)急響應(yīng)管理〔MER〕業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理〔MBD〕信息平安策略〔MSP〕風(fēng)險管理〔MRM〕PlanDoCheckAction信息系統(tǒng)生命周期平安管理策略建立信息平安需求挖掘建立基于業(yè)務(wù)的平安設(shè)計信息平安規(guī)劃管理設(shè)計組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息系統(tǒng)生命周期平安管理策略方案設(shè)計開發(fā)管理控制控制采購管理控制選擇開發(fā)\采購方案系統(tǒng)開發(fā)管理設(shè)計組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息系統(tǒng)生命周期平安管理策略實施過程管理實施控制軟件平安開發(fā)管理系統(tǒng)建設(shè)實施管理交驗收平安驗收測試管理交付物管理組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息系統(tǒng)生命周期平安管理策略運行維護規(guī)劃風(fēng)險評估基線檢查日志分析變更管理應(yīng)急響應(yīng)管理應(yīng)急響應(yīng)規(guī)劃事件分類與分級事件處置災(zāi)難恢復(fù)與備份管理組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息系統(tǒng)生命周期平安管理策略平安廢棄剩余信息管理系統(tǒng)重用管理信息刪除與去除組織規(guī)劃開發(fā)采購實施交付運行維護廢棄信息平安工程工程管理44交流與討論

ExchangeandDiscussion“中國絕不缺少雄韜偉略的戰(zhàn)略家，缺少的是精益求精的執(zhí)行者。〞——汪中求45信息平安管理體系ISO27001:2005簡介ISO/IEC27001：2005與ISO/IEC27001：2021差異比照ISMS@組織用戶的責(zé)任4647歷史BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息平安管理提供了一個依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英固工貿(mào)部、英固標(biāo)準(zhǔn)化協(xié)會〔BSI〕組織的相關(guān)專家共同開發(fā)制定的在1998年、1999年經(jīng)過兩次信訂之后出版BS7799-1：1999和BS7799-2：1999。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對BS7799-2：2000進行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成為國際標(biāo)準(zhǔn)-ISO/IEC27001：2005版。2021年10月19日修訂原版，正式使用ISO/IEC27001:2021版。2000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799：2000版。2005年對ISO/IEC17799：2000版進行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2007年上半年正式更名為ISO27002:2007。2021年與ISO27001:2021版同步更新為ISO27002:2021.48現(xiàn)在與未來ISO27002:2007CodeofpracticeFromISO17799ISO27003ImplementationGuideISO27001November2005ISO27000November2005ISO27004MeasurementStandardISO27005RiskManagementStandardFromBS7799-IIIISO27006RequirementsforBodiesprovidingaudit&CertificationISO/IEC18004IncidentManagementStandardSS507BC/DRStandard(Singapore)ISO17799Jun2005守那么審核標(biāo)準(zhǔn)BS7799–PartIIIGuidelinesforISRiskManagementDec2005ISO13335–ITsecuritymanagement49ISO27000標(biāo)準(zhǔn)族ISO27001:2005標(biāo)準(zhǔn)說明BS7799：分為BS7799-1和BS7799-2兩部份BS7799-1:2005/ISO17799:2005

主要是做為參考文件，提供廣泛性的平安控制措施，作為現(xiàn)行信息平安之最正確作業(yè)方法，其中包含11個控制措施章節(jié)，但不作為評鑒與驗證標(biāo)準(zhǔn)。BS7799-2:2005/ISO27001:2005

系根據(jù)BS7799-1，提供信息平安管理系統(tǒng)(ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之平安控制措施的要求。ISO27001:2005標(biāo)準(zhǔn)說明BS7799-1:2005/ISO17799:2005信息平安管理作業(yè)要點用意是做為參考文件提供廣泛性的平安控制措施現(xiàn)行信息平安之最正確作業(yè)方法包含11個控制章節(jié)無法作為評鑒與驗證ISO27001:2005標(biāo)準(zhǔn)說明BS7799-2:2005/ISO27001:2005信息平安管理系統(tǒng)要求根據(jù)BS7799-1:2005ISMS之建立實施與文件化之具體要求依據(jù)個別組織的需求，規(guī)定要實施之平安控制措施的要求。ISO27001:2005標(biāo)準(zhǔn)說明54ISO/IEC27001：2005核心建立ISMS實施和運作ISMS維護和改進ISMS計劃PLAN實施DO改造ACTION監(jiān)控和評審ISMS檢查CHECK開發(fā)、維護和改進循壞相關(guān)單位管理狀態(tài)下的信息安全相關(guān)單位信息安全需求和期望55ISMS文檔ISMS范圍ISMS方針風(fēng)險評估方法風(fēng)險處置方案風(fēng)險評估報告程序及指南記錄程序所需記錄適用性聲明文件控制記錄控制56控制視圖平安方針訪問控制物理和環(huán)境平安信息平安組織資產(chǎn)管理合規(guī)性人力資源平安平安事件管理業(yè)務(wù)連續(xù)性管理平安采購、開發(fā)與維護通信及操作管理技術(shù)組織物理

組織操作57信息管理11個控制域平安策略資產(chǎn)管理信息平安組織

人力資源管理物理和環(huán)境平安通信和操作管理訪問控制信息平安事件管理信息系統(tǒng)采購、開發(fā)與維護合規(guī)性

業(yè)務(wù)連續(xù)性管理

標(biāo)準(zhǔn)覆蓋了所有11個領(lǐng)域，39個控制目標(biāo)，133個控制措施控制〔39個目標(biāo)，133個控制措施〕平安方針OrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance方針文件方針評審控制〔39個目標(biāo)，133個控制措施〕SecurityPolicy信息平安組織AssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance內(nèi)部組織外部組織控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurity資產(chǎn)管理HRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance資產(chǎn)責(zé)任信息分類控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagement人力資源平安Physical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance雇傭前雇傭中終止或變更雇傭責(zé)任控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurity物理和環(huán)境平安Communication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance物理平安邊界設(shè)備選址和保護控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurity通信和操作管理ISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance操作程序和責(zé)任第三方效勞交付管理系統(tǒng)規(guī)劃和驗收防范惡意和移動代碼備份介質(zhì)處置信息交換Electroniccommerceservices監(jiān)視電子商務(wù)效勞控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagement訪問控制Compliance訪問控制業(yè)務(wù)需求用戶訪問管理用戶責(zé)任網(wǎng)絡(luò)訪問控制操作系統(tǒng)訪問控制應(yīng)用和信息訪問控制移動計算和遠程辦公控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagement信息系統(tǒng)采購、開發(fā)與維護ISIncidentManagementBusinessContinuityManagementAccessControlCompliance信息系統(tǒng)平安需求正確處理應(yīng)用密碼控制系統(tǒng)文件平安開發(fā)和支持過程中的平安性控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenance信息系統(tǒng)事件管理BusinessContinuityManagementAccessControlCompliance報告事件和弱點IS事故管理及改進控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagement業(yè)務(wù)連續(xù)性管理

AccessControlCompliance業(yè)務(wù)連續(xù)性和風(fēng)險評估開發(fā)和實施BCPBCP框架測試，維護和重新評估BCP包含在信息系統(tǒng)中的BCM過程控制〔39個目標(biāo)，133個控制措施〕SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControl合規(guī)性符合法律要求信息系統(tǒng)審計的考慮新標(biāo)準(zhǔn)正文局部架構(gòu)變化內(nèi)容新調(diào)整核心內(nèi)容變化附錄A變化控制項的增刪與調(diào)整69ISO/IEC27001：2005與ISO/IEC27001：2021差異比照70新標(biāo)準(zhǔn)正文局部架構(gòu)變化1.范圍2.標(biāo)準(zhǔn)性引用文件4.信息平安管理體系〔ISMS〕4.

1總體要求4.

2建立和管理ISMS4.

3

文件要求5.管理職責(zé)6.審核7.ISMS的管理評審8.ISMS改進1.范圍2.標(biāo)準(zhǔn)性引用文件4.組織的環(huán)境5.領(lǐng)導(dǎo)力6.方案7.支持8.運營9.績效評價10.改進71內(nèi)容新調(diào)整72核心內(nèi)容變化27001:20054.1建立ISMSISO27001:20134.組織的背景通過以下方面定義ISMS的范圍和邊界：?業(yè)務(wù)的特點;?組織;?位置;?資產(chǎn)和技術(shù);?任何范圍刪減的細節(jié)與合理性。通過確定外部和內(nèi)部的情況，判斷有關(guān)ISMS目的和影響，以實現(xiàn)預(yù)期的結(jié)果。確定ISMS相關(guān)的要求與信息安全相關(guān)的利害關(guān)系人。通過以下方面，確定ISMS的邊界和適用性，建立ISMS的范圍：?以往的外部和內(nèi)部情況;?利益相關(guān)方的需求;?組織運轉(zhuǎn)內(nèi)外部的接口和依賴關(guān)系;73附錄A變化ISO/IEC27001：2005ISO/IEC27001：2013A.5安全方針A.5安全針A.6信息安全組織A.6信息安全組織A.8人力資源安全A.7人力資源安全A.7資產(chǎn)管理A.8資產(chǎn)管理A.11訪問控制A.9訪問控制A.10密碼學(xué)A.9物理與環(huán)境安全A.11物理與環(huán)境安全A.10通信與操作管理A.12操作安全A.13通信安全A.12信息系統(tǒng)獲取、開發(fā)和維護A.14信息系統(tǒng)獲取、開發(fā)和維護A.15供應(yīng)關(guān)系A(chǔ).13信息安全事件管理A.16信息安全事件管理A.14業(yè)務(wù)連續(xù)性管理A.17信息安全面的業(yè)務(wù)連續(xù)性管理A.15符合性A.18符合性控制項的增刪與調(diào)整增加項14.2.1平安開發(fā)策略〔軟件和信息系統(tǒng)開發(fā)規(guī)那么)14.2.5系統(tǒng)開發(fā)程序〔系統(tǒng)工程的原那么)14.2.6平安的開發(fā)環(huán)境〔建立和保護開發(fā)環(huán)境)14.2.8系統(tǒng)平安測試〔平安功能的測試)16.1.4信息平安事件的評估和決策〔這是事件管理的一局部)17.2.1信息處理設(shè)施的可用性〔實現(xiàn)冗余)刪除項?6.2.2處理與顧客有關(guān)的平安問題?10.4.2控制移動代碼?10.7.3信息處理規(guī)程?10.7.4系統(tǒng)文件平安?10.8.5業(yè)務(wù)信息系統(tǒng)?10.9.3公共可用信息?11.4.2外部連接的用戶鑒別?11.4.3網(wǎng)絡(luò)上的設(shè)備標(biāo)識?11.4.4遠程診斷和配置端口的保護?11.4.6網(wǎng)絡(luò)連接控制?11.4.7網(wǎng)絡(luò)路由控制?11.5.5會話超時?11.5.6聯(lián)機時間的限定?11.6.2敏感系統(tǒng)隔離?12.2.1輸入數(shù)據(jù)確認(rèn)內(nèi)部處理的控制?12.2.3消息完整性?12.2.4輸出數(shù)據(jù)確認(rèn)?12.5.4信息泄露?14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險評估?14.1.3制訂和實施業(yè)務(wù)連續(xù)性方案?14.1.4業(yè)務(wù)連續(xù)性方案框架?15.1.5防止濫用信息處理設(shè)施?15.3.2信息系統(tǒng)審計工具的保護74管理策略組織與人員組織信息平安領(lǐng)導(dǎo)小組信息平安決策小組信息平安執(zhí)行小組信息平安審計組織與人員人員平安背景檢查簽署保密協(xié)議平安職責(zé)說明技能意識培訓(xùn)內(nèi)部職位調(diào)整及離職檢查流程績效考核和獎懲組織與人員第三方人員應(yīng)該識別來自第三方的風(fēng)險：保安、清潔、根底設(shè)施維護、供給商或外包人員，低質(zhì)量的外包效勞也被視作一種平安風(fēng)險簽署第三方協(xié)議時應(yīng)包含平安要求，必要時需簽署不擴散協(xié)議第三方假設(shè)需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制任何第三方禁止無人陪同訪問生產(chǎn)網(wǎng)絡(luò)環(huán)境第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查，確認(rèn)平安可靠，其訪問應(yīng)經(jīng)過認(rèn)證負(fù)責(zé)第三方訪問的人員需對三方人員進行必要的平安培訓(xùn)資產(chǎn)分類資產(chǎn)所有者數(shù)據(jù)的屬主〔OM/PM〕決定所屬數(shù)據(jù)的敏感級別確定必要的保護措施最終批準(zhǔn)并Review用戶訪問權(quán)限管理者受Owner委托管理數(shù)據(jù)通常是IT人員或部門系統(tǒng)〔數(shù)據(jù)〕管理員向Owner提交訪問申請并按Owner授意為用戶授權(quán)執(zhí)行數(shù)據(jù)保護措施，實施日常維護和管理用戶公司或第三方職員因工作需要而請求訪問數(shù)據(jù)遵守平安規(guī)定和控制報告平安事件和隱患信息分級管理公開內(nèi)部用戶秘密缺省信息標(biāo)識管理例如配置與運行一線二線三線四線駐點維護團隊網(wǎng)絡(luò)應(yīng)用平安專家組甲乙雙方共同組建CERT一般性維護重點系統(tǒng)維護指導(dǎo)專家咨詢審計指導(dǎo)應(yīng)急響應(yīng)網(wǎng)絡(luò)信息平安域與通信平安訪問控制根本原那么：未經(jīng)明確允許即為禁止訪問必須通過唯一注冊的用戶ID來控制用戶對網(wǎng)絡(luò)的訪問系統(tǒng)管理員必須確保用戶訪問基于最小特權(quán)原那么而授權(quán)用戶必須根據(jù)要求使用口令并保守秘密系統(tǒng)管理員必須對用戶訪問權(quán)限進行檢查，防止濫用系統(tǒng)管理員必須根據(jù)平安制度要求定義訪問控制規(guī)那么，用戶必須遵守規(guī)那么各部門應(yīng)按照管理規(guī)定制定并實施對業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測試系統(tǒng)的訪問規(guī)那么異常事件與審計事先制定可行的平安事件響應(yīng)方案建立事件響應(yīng)小組，以管理不同風(fēng)險級別的平安事件員工有責(zé)任向其上級報告任何或可疑的平安問題或違規(guī)行為必要時，管理層可決定引入法律程序做好證據(jù)采集和保存工作應(yīng)提交平安事件和相關(guān)問題的定期管理報告，以備管理層檢查應(yīng)該定期檢查應(yīng)急方案的有效性物理與環(huán)境關(guān)鍵平安區(qū)域包括效勞器機房、財務(wù)部門和人力資源部門、法務(wù)部、平安監(jiān)控室應(yīng)具備門禁設(shè)施前臺接待負(fù)責(zé)檢查外來訪客證件并進行登記，訪客進入內(nèi)部需持臨時卡并由相關(guān)人員陪同實施7×24小時保安效勞，檢查保安記錄所有入口和內(nèi)部平安區(qū)都需部署有攝像頭，大門及各樓層入口都被實時監(jiān)控禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機粉碎廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)IT專業(yè)管理部門消磁處理物理與環(huán)境節(jié)[公司]信息安全策略有效期:小節(jié)物理與環(huán)境安全更改控制號策略在安全區(qū)域中工作批準(zhǔn)人目標(biāo)為了支持信息安全,[公司]將監(jiān)視和控制在安全區(qū)域中工作的人員和第三方執(zhí)行的工作目的這個策略的目的是保護信息資產(chǎn),防止對安全區(qū)域的未經(jīng)授權(quán)的訪問和損壞受眾本策略適用于所有設(shè)施策略l

安全區(qū)域中的所有工作都將受到監(jiān)督。l

不允許第三方訪問安全區(qū)域或信息處理設(shè)施，除非得到信息所有者或信息安全官的明確授權(quán)。l第三方對安全區(qū)域的訪問將受到監(jiān)視。l如果沒有系統(tǒng)所有者或信息安全官的授權(quán)，將禁止把移動數(shù)據(jù)存儲設(shè)備或者任何類型的記錄設(shè)備帶人安全區(qū)域中并且可能不允許使用它們例外情況無紀(jì)律處分違反本策略可能會導(dǎo)致紀(jì)律處分，這可能包括解雇員工和臨時工；就承包商或顧問來說，將會解除雇傭關(guān)系；或者解雇實習(xí)生和志愿者。此外，保留對個人進行民事和刑事訴訟的權(quán)利物理與環(huán)境節(jié)[公司]信息安全策略有效期:小節(jié)物理與環(huán)境安全更改控制號：策略清掃桌面和清除屏幕批準(zhǔn)人：目標(biāo)為了支持信息安全,[公司]將逐漸灌輸一些行為和規(guī)程，保護信息免遭曝光和竊取目的這個策略的目的是把組織的信息資源暴露給未經(jīng)授權(quán)的訪問的風(fēng)險減至最小,以及保護它們免遭損壞或破壞受眾本策略適用于所有設(shè)施和使用策略●當(dāng)無人看管時或者尤其是在非工作時間，必須從桌面上清除所有的關(guān)鍵業(yè)務(wù)信息。●應(yīng)該把敏感或關(guān)鍵的業(yè)務(wù)信息（介質(zhì)、文檔等）鎖在安全的、適當(dāng)保護的辦公室設(shè)備中?！癞?dāng)無人看管時，應(yīng)該注銷工作站，并利用訪問控制保護它們。●傳人的郵件和傳出的郵件應(yīng)該位于受保護的區(qū)域中。●應(yīng)該立即消除敏感材料的影印件。●應(yīng)該立即收回敏感的打印工作例外情況無紀(jì)律處分違反本策略可能會導(dǎo)致紀(jì)律處分，這可能包括解雇員工和臨時工；就承包商或顧問來說，將會解除雇傭關(guān)系；或者解雇實習(xí)生和志愿者。此外，保留對個人進行民事和刑事訴訟的權(quán)利開發(fā)與維護平安培訓(xùn)平安方案啟動

并

統(tǒng)一注冊平安設(shè)計最正確做法平安體系結(jié)構(gòu)和攻擊面審核使用平安開發(fā)工具以及平安開發(fā)和測試最正確做法創(chuàng)立產(chǎn)品平安文檔和工具準(zhǔn)備平安響應(yīng)方案平安推動活動滲透

測試最終平安審核平安維護和響應(yīng)執(zhí)行功能列表

質(zhì)量指導(dǎo)原那么

體系結(jié)構(gòu)文檔

日程表設(shè)計標(biāo)準(zhǔn)測試和驗證編寫新代碼故障修復(fù)代碼簽發(fā)+

CheckpointPress簽發(fā)RTM產(chǎn)品支持

效勞包/

QFE平安更新需求設(shè)計實施驗證發(fā)行支持和維護威脅建模功能標(biāo)準(zhǔn)傳統(tǒng)軟件開發(fā)生命周期的任務(wù)和流程業(yè)務(wù)連續(xù)性保障重大災(zāi)害發(fā)生時的考慮要素斷電斷水人員傷亡設(shè)施毀壞水災(zāi)第一時間可以找誰？具體聯(lián)絡(luò)方式？災(zāi)難發(fā)生時合理的應(yīng)對關(guān)鍵是確保人員平安業(yè)務(wù)連續(xù)性保障重要災(zāi)害發(fā)生后采用BCP恢復(fù)網(wǎng)絡(luò)通信中斷效勞器崩潰嚴(yán)重的數(shù)據(jù)泄漏或喪失計算機網(wǎng)絡(luò)平安事件斷電斷水人員傷亡設(shè)施毀壞水災(zāi)人員與環(huán)境災(zāi)難事故

事先做好備份等準(zhǔn)備工作

災(zāi)難發(fā)生后