信息安全管理体系培训.pptx

2011 谷安天下版权所有ISMS培训2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践uu安全策略安全策略uu组织信息安全组织信息安全uu资产管理资产管理uu人力资源安全人力资源安全uu物理和环境安全物理和环境安全uu通信和操作管理通信和操作管理uu访问控制访问控制uu信息系统获取、开发和维护信息系统获取、开发和维护uu信息安全事件管理信息安全事件管理uu业务连续性管理业务连续性管理uu符合性符合性提供了一套由最佳实践构提供了一套由最佳实践构成的控制目标和控制，涉成的控制目标和控制，涉及及1111个方面，包括个方面，包括3939个控个控制目标和制目标和133133项控制措施项控制措施,可作为参考文件使用，但可作为参考文件使用，但并不是认证评审的依据。并不是认证评审的依据。ISO270022011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践 “Not all of the controls described in this document will be relevant to every situation.It cannot take account of local system,environmental or technological constraints.It may not be in a form that suits every potential user in an organization.Consequently the document may need to be supplemented by further guidance.It can be used as a basis from which,for example,a corporate policy or an inter-company trading agreement can be developed.”并不是所有此处描述的控制都与各种环境相关，这里并没有考虑本地系统、环境或者技术性的约束，不大可能以一种适合组织内部各类潜在用户的形式展现。因此，还需要通过进一步的指导方针来补充此文，组织可以将其作为基础，继而开发自己的策略或者公司间贸易协议。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践前言简介什么是信息安全 （信息是一种资产，有多种存在形式，应该通过有效控制加以保护）为什么需要信息安全如何建立安全需求 （安全需求的三个来源）评估安全风险 （安全需求经过系统地评估安全风险而得到确认）选择控制 （安全控制可以从7799或其它有关标准选择，也可以自己设计满足特定要求的控制）信息安全起点 （基于法律要求和信息安全最佳实践来选择控制措施）关键的成功因素开发你自己的指南1范围2术语和定义2.1 定义3本标准的结构3.1 条款3.2 主安全目录4 风险评估和处理 4.1 评估安全风险 4.2 处理安全风险2011 谷安天下版权所有法律要求和最佳实践控制法律要求和最佳实践控制措施措施u 与法律相关的控制措施：知识产权（Intellectual Property Rights）：遵守知识产权保护和软件产品保护的法律（15.1.2）保护组织的记录：保护重要的记录不丢失、破坏和伪造（15.1.3）数据保护和个人信息隐私：遵守所在国的数据保护法律（15.1.4）u 与最佳实践相关的控制措施：信息安全策略文件：高管批准发布信息安全策略文件，并广泛告知（5.1.1）信息安全责任的分配：清晰地定义所有的信息安全责任（6.1.3）信息安全意识、教育和培训：全员员工及相关人员应该接受恰当的意识培训（8.2.2）正确处理应用程序：防止应用程序中的信息出错、损坏或被非授权篡改及误用（12.2）漏洞管理：防止利用已发布的漏洞信息来实施破坏（12.6）管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件（13.2）业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响（14）u 尽管选择以上控制是信息安全很好的起点，但还是不能代替基于风险评估选择合适的安全控制。2011 谷安天下版权所有各种安全控制措施的各种安全控制措施的作用作用DeterrentControlThreatCorrectiveControlVulnerabilityImpactDetectiveControlPreventativeControlAttackReduces Likelihood ofCreatesExploitsDecreasesResults inProtectsReducesCan triggerDiscovers2011 谷安天下版权所有控制目标和控制措施描述控制目标和控制措施描述结构结构u 每一个主安全目录都包括：一个控制目标（Control objective)，指出应该实现什么 若干项控制措施（Controls），可用来实现控制目标u 对控制措施的描述格式是：Control对控制措施的说明。Implementation guidance为了实施该控制，应该采取哪些行动。有些活动可能并不适用于所有情况，可能需要补充其他活动。这部分的指南有助于组织实现有效的安全。Other information作为补充选项，这部分对控制的实施进行相关说明，包括实施控制时应该考虑的各种因素（例如法律）2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践5 安全策略5.1 信息安全策略5.1.1 信息安全策略文件5.1.2 信息安全策略复查目标：为信息安全提供与业务需求和法律法规相一致为信息安全提供与业务需求和法律法规相一致的管理指示及支持。的管理指示及支持。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践信息安全策略的定义信息安全策略的定义u 信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程。策略方针的目的和意义策略方针的目的和意义u 为组织提供了关注的焦点，指明了方向，确定了目标u 确保信息安全管理体系被充分理解和贯彻实施u 统领整个信息安全管理体系方针文件的内容方针文件的内容u 信息安全的定义、整体目标和范围；u 对管理层支持信息安全目标和原则的意图的声明和承诺；u 建立控制目标和控制的框架，包括风险评估和风险管理的框架；u 对安全策略、原则、标准以及符合性需求的简单说明；u 信息安全管理责任，包括报告安全事件；u 对策略支持文档的引用参考；u 由管理者批准，正式发布，并得到全员贯彻。安全策略的复查安全策略的复查u 策略应有一个属主，负责按复查程序维护和复查该策略。u 如果发生任何影响最初风险评估基础的变化，都应复查策略。也应定期复查安全策略。u 策略复审应该考虑到管理评审的结果2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践要点提示uu 用最简单、明确的语言直击主题用最简单、明确的语言直击主题uu 保持与具体规范、指南、记录等文件的区别保持与具体规范、指南、记录等文件的区别uu 信息安全策略应该人手一份，并保证充分理解信息安全策略应该人手一份，并保证充分理解uu 要定期评审和修订要定期评审和修订page 11信息安全策略体系的层次性信息安全策略体系的层次性方针方针方针方针 PolicyPolicy程序程序程序程序 ProcedureProcedure标准标准标准标准 StandardStandard强制性强制性指南指南指南指南 GuidelineGuideline建议性建议性基线基线基线基线 BaselineBaseline最低标准最低标准目标要求目标要求具体步骤具体步骤实现方法实现方法战战略略层层次次战战术术层层次次战战役役层层次次ISO17799:2005 信息安全管理实施细则2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践信息安全策略体系的层次性方针方针 PolicyPolicy程序程序 ProcedureProcedure标准标准 StandardStandard强制性指南指南 GuidelineGuideline建议性基线基线 BaselineBaseline最低标准目标要求目标要求具体步骤具体步骤实现方法实现方法战战略略层层次次战战术术层层次次战战役役层层次次2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践6 组织信息安全6.1 内部组织6.1.1 管理层对信息安全的责任6.1.2 信息安全协调机制6.1.3 分派信息安全责任6.1.4 信息处理设施的批准程序6.1.5 保密协议6.1.6 保持和权威机构的联系6.1.7 保持和专业团队联系6.1.8 对信息安全做独立评审目标：在组织内建立发起和控制信息安全实施的管理在组织内建立发起和控制信息安全实施的管理框架。框架。6.2 外部伙伴6.2.1 识别与外部伙伴相关的风险6.2.2 和客户交往时注意安全6.2.3 在第三方协议中注明安全目标：维护被外部伙伴访问、处理和管理的组织的信维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。息处理设施和信息资产的安全。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践识别与外部伙伴相关的风险u 外部伙伴可能包括：服务提供商（例如ISP、网络和通信服务、维护和支持服务提供商等），管理安全服务（MSS）客户 外包服务（IT系统设施和运维、数据采集、呼叫中心）管理和业务咨询顾问、审计师 软件产品和IT系统的开发者和供应商 保洁快餐等外部服务 临时工、短期兼职人员等u 如果需要让外部伙伴访问组织的信息处理设施或信息，有必要先做一次风险评估，找到特别的安全控制需求。应该考虑到是物理访问，还是逻辑访问，是现场访问还是非现场访问。还应考虑需要访问哪些设施和信息？信息的价值，必要的控制，授权以及监督方式，出错可能造成的影响，对安全事件的响应，法律法规等。u 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践page 15在第三方协议中体现安全u 信息安全方针u 用来保护资产的各种控制措施u 描述将被提供的产品和服务u 确保用户意识到信息安全责任u 对人员调换做出规定u 硬件和软件安装及维护的责任u 清晰的Report结构和格式u 变更管理流程u 任何必要的物理保护措施和机制u 访问控制策略：允许的访问方法，授权流程，禁止声明u 信息安全事件及问题处理机制u 期望的SLA及监督报告机制u 监督、撤销等权利，审计责任约定u 法律责任u 知识产权保护u 中止或重新协商协议的条件2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践7 资产管理7.1 资产责任7.1.1 资产清单7.1.2 资产属主7.1.3 对资产的可接受使用目标：保持对组织资产的恰当的保护。所有资产都应保持对组织资产的恰当的保护。所有资产都应该责任到人。该责任到人。7.2 信息分类7.2.1 分类指南7.2.2 信息标注及处理目标：确保信息资产得到适当级别的保护。确保信息资产得到适当级别的保护。u 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。u 按照信息资产所属系统或所在部门列出资产清单。u 所有的信息资产都应该具有指定的属主并且可以被追溯责任。u 信息应该被分类，以标明其需求、优先级和保护程度。u 根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。Top SecretSecretConfidentialRestricted2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践信息资产的类型u 信息：数据库和数据文件，合同和协议，系统文件，用户手册，培训资料等u 软件资产：应用软件，系统软件，开发工具，工具程序u 实物资产：计算机和通信设备，移动介质，电源空调等技术性设备u 人员：承担特定职能和责任的人员，资质、技能和经验u 服务：计算和通信服务，环境支持服务等u 组织形象与声誉：无形资产2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践u 所有主要信息资产都应清点并指定专人负责u 这些资产必须是在信息安全管理体系范围之内的u ISO27001标准认为,“资产”没必要包括通常考虑的组织内所有有价值的东西u 组织必须确定哪些资产在损失后对组织的产品及服务会产生实质上的影响资产资产资产资产清单清单清单清单.xls.xls2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践信息资产的属主、保管者和用户u 属主（Owner）：信息属主可能是组织的某个决策者或者管理者，或者部门负责人，或者是信息的创建者，对必须保护的信息资产负责，承担着“due care”的责任，但日常的数据保护工作则由保管者承担。信息属主的责任在于：基于业务需求，对信息分类等级作出最初决定；定期复查分类方案，根据业务需求的变化作出更改；向保管者委派承担数据保护任务的责任u 保管者（Custodian）：受信息属主委托而负责保护信息，通常由IT系统人员来承担，其职责包括：定期备份，测试备份数据的有效性；必要时对数据进行恢复；根据既定的信息分类策略，维护保留下来的记录u 用户（User）：任何在日常工作中使用信息的人（操作员、雇员或外部伙伴），即数据的消费者，应该注意：用户必须遵守安全策略中定义的操作程序；用户必须在工作期间承担保护信息安全的责任；用户必须只将公司的计算资源用作公司目的，不能做个人使用2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践8 人力资源安全8.1 聘用前的控制8.1.1 角色和责任8.1.2 人员筛选（Screening）8.1.3 聘用条件和条款目标：确保雇员、合同工和第三方用户理解其自身责任，适合角色定位，减少偷窃、欺诈或误用设施带来减少偷窃、欺诈或误用设施带来的风险。的风险。8.2 聘用期间8.2.1 管理层职责8.2.2 信息安全意识、教育和培训8.2.3 惩罚机制目标：确保所有雇员、合同工和第三方用户都意识到确保所有雇员、合同工和第三方用户都意识到信息安全威胁、利害关系、责任和义务，并在其正常信息安全威胁、利害关系、责任和义务，并在其正常工作当中支持组织的安全策略，减少人为错误导致的工作当中支持组织的安全策略，减少人为错误导致的风险。风险。8.3 解聘或变更8.3.1 解聘责任8.3.2 返还资产8.3.3 去除访问权限目标：确保雇员、合同工和第三方用户按照既定方式离职或变更职位。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践u 人员和组织安全是信息安全管理的难点，因为：u 人本身就是一个最复杂的因素u 信息安全的“潜在性”使得安全组织和人才培养不容易获得认可u 信息安全人才的培养是一个高难的过程u 信息安全组织需要和企业文化进行磨合u 避免信息安全组织和业务组织对立2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践u 背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。u 通过背景检查，可以防止：因为人员解雇而导致法律诉讼 因为雇用疏忽而导致第三方的法律诉讼 雇用不合格的人员 丧失商业秘密u 员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践增强全员的安全意识u 安全意识（Security awareness），泛指组织员工对安全和安全控制重要性的一般性的、集体的意识。促进安全意识，可以减少人员的非授权活动，可以增强保护控制的效率，有助于避免欺诈和对计算资源的浪费u 员工具有安全意识的标志：认知可能存在的安全问题及其危害，理解安全所需 明白自身的安全职责，恪守正确的行为方式u 促进安全意识的方法和途径多种多样：交互性的、实时的介绍，课程，视频 出版发布物品，新闻传单，张贴物，简报，布告栏，Intranet 奖金和赞誉等激励机制 提醒物，比如登录banner，笔、便签、鼠标垫等随身物品u 安全意识材料应该直接、简单和清楚，易于理解，要有创新和变化2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践安全培训和教育u 培训（Training）不同于意识，其目的是传授安全相关的工作技能，主要对象为信息系统管理和维护人员，通常利用一对一的课堂形式，包括：为操作者和具体用户提供的安全相关的职务培训 为与敏感安全位置相关的具体的部门或人员提供的技能培训 为IT支持人员和系统管理员提供的技术性安全培训 为安全实践者和信息系统审计师提供的高级信息安全培训 为高级管理者、职能经理和业务单位经理提供的安全培训u 教育（Education）更为深入，其目的是为安全专业人士提供工作所需的专业技术，一般通过外部程序实现，并且应该成为职业规划的一部分u 具体的安全软件和硬件的产品培训也很重要2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践加强人员离职控制u 人员离职往往存在安全风险，特别是雇员主动辞职时u 解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前u 使用标准的检查列表（Checklist）来实施离职访谈u 离职者需在陪同下清理个人物品u 确保离职者返还所有的公司证章、ID、钥匙等物品u 与此同时，立即消除离职者的访问权限，包括：解除对系统、网络和物理设施的访问权 解除电话，注销电子邮箱，锁定Internet账号 通知公司其他人员、外部伙伴或客户，声明此人已离职2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践9 物理和环境安全物理和环境安全9.1 安全区域9.1.1 物理安全边界9.1.2 物理入口控制9.1.3 保护办公场所、房间和设施9.1.4 防止外部和环境威胁9.1.5 在安全区内工作9.1.6 公共访问和交接区域目标：目标：防止非授权物理访问、破坏和干扰组织的安全防止非授权物理访问、破坏和干扰组织的安全区边界。区边界。9.2 设备安全9.2.1 设备的安置与保护9.2.2 供电9.2.3 电缆安全9.2.4 设备维护9.2.5 场外设备的安全9.2.6 设备报废或重用时的安全9.2.7 财物迁移目标：目标：防止资产的丢失、损害和破坏，防止组织的各防止资产的丢失、损害和破坏，防止组织的各项活动被打断。项活动被打断。I.D.2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践物理安全要点提示u 清晰划定安全区域边界u 围墙、门锁、照明、告警、监视系统u 专门设立接待区，限制物理访问u 外来人员登记及陪同u 定期检查访问记录u 关键设施不要放置在公共区域u 关键区域不做显眼标记u 防止火灾、水灾、地震、爆炸等自然或人为灾难u 安全区域内工作，禁止摄影摄像，加强监督u 一定要注意那些不在视野范围内的东西2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践u 无论是谁，信息处理设施要带到组织边界外使用，必须得到相关授权u 场外设备或介质不应该单独置于公共区域，笔记本电脑应该放在不显眼的包里u 注意设备防暴、防磁、防热、防水、防震u 家庭办公时，遵守设备加锁保存、桌面净空、计算机访问控制及安全通信策略u 可以考虑购买适当的保险2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践10 通信和操作管理通信和操作管理10.1 操作程序和责任10.1.1 操作程序的文档化10.1.2 变更管理10.1.3 职责分离10.1.5 开发、测试和运营设施的分离目标：目标：确保正确并安全地操作信息处理设施。确保正确并安全地操作信息处理设施。10.3 系统规划及验收10.3.1 容量管理10.3.2 系统验收目标：目标：减少系统故障带来的风险。减少系统故障带来的风险。10.4 抵御恶意和移动代码10.4.1 恶意代码控制10.4.2 移动代码控制目标：目标：保护软件和信息的完整性。保护软件和信息的完整性。10.2 第三方服务交付管理10.2.1 服务交付10.2.2 监督和复查第三方服务10.2.3 第三方服务变更管理目标：目标：根据第三方服务交付协议，实施并保持恰当的根据第三方服务交付协议，实施并保持恰当的信息安全和服务交付水平。信息安全和服务交付水平。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践10.5 备份10.5.1 信息备份目标：目标：维护信息和信息处理设施的完整性及可用性。维护信息和信息处理设施的完整性及可用性。10.7 介质处理10.7.1 移动计算机介质的管理10.7.2 介质的处置10.7.3 信息处理程序10.7.4 系统文件的安全目标：目标：防止非授权泄漏、篡改、废除和破坏资产，防防止非授权泄漏、篡改、废除和破坏资产，防止业务活动中断。止业务活动中断。10.8 信息的交换10.8.1 信息交换策略和程序10.8.2 交换协议10.8.3 传输中的物理介质10.8.4 电子信息交换10.8.5 业务信息系统目标：目标：保持组织内部和与外部实体间进行信息交换的保持组织内部和与外部实体间进行信息交换的安全性。安全性。10.6 网络安全管理10.6.1 网络控制10.6.2 网络服务的安全目标：目标：确保网络中的信息以及支持技术设施得到保护。确保网络中的信息以及支持技术设施得到保护。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践10.9 电子商务服务10.9.1 电子商务10.9.2 在线交易10.9.3 公共可用信息目标：目标：确保电子商务服务的安全性，保证安全使用电确保电子商务服务的安全性，保证安全使用电子商务服务。子商务服务。10.10 监视10.10.1 审计日志10.10.2 监视系统使用10.10.3 保护日志信息10.10.4 管理员和操作日志10.10.5 故障日志10.10.6 时钟同步目标：目标：发现非授权活动。发现非授权活动。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践通信和操作管理提示u 明确操作管理理程序和责任，包括信息处理、备份、故障处理、介质处理、系统重启和恢复、日志审计等事务u 定义变更管理责任和流程，做好信息处理设施的变更控制u 对第三方服务实施有效监督，确保其符合既定协议的要求。应该定期检查服务报告，分析安全事件相关信息，复查第三方审计记录u 制定专门的策略，禁止使用非授权软件，防止恶意代码u 做好系统的备份容灾规划u 移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践变更管理一般流程2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践关于职责分离关于职责分离u 不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的任务，例如金融交易中，一个人负责数据录入，另一个人负责检查，第三人确认最终交易u 应该分离：开发/生产；安全管理/审计；加密密钥管理/密钥更改u 小型组织实施职责分离比较困难，可以采取其他一些控制措施，如活动监控、跟踪检查和监督管理等u 但安全审计务必要有独立性2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践11 访问控制11.1 访问控制的业务需求11.1.1 访问控制策略目标：控制对信息的访问。控制对信息的访问。应该根据业务和安全需求应该根据业务和安全需求对信息、系统和业务流程加以控制，还应该考虑信息对信息、系统和业务流程加以控制，还应该考虑信息传播和授权的策略。传播和授权的策略。11.2 用户访问的管理11.2.1 用户注册11.2.2 特权管理11.2.3 用户口令管理11.2.4 用户访问权限的复审目标：确保授权用户的访问，防止非授权访问信息系防止非授权访问信息系统。统。11.3 用户责任11.3.1 口令使用11.3.2 无人值守的用户设备11.3.3 桌面清理和清屏策略目标：防止非授权用户访问、破坏、窃取信息及信息防止非授权用户访问、破坏、窃取信息及信息处理设施。处理设施。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践11.4 网络访问控制11.4.1 网络服务使用策略11.4.2 对外部连接用户进行身份认证11.4.3 识别网络中的设备11.4.4 远程诊断和配置端口的保护11.4.5 网络隔离11.4.6 网络连接控制11.4.7 网络路由控制目标：保护网络服务保护网络服务，防止非授权访问，对内部和外部的网络访问都应该得到控制。11.5 操作系统访问控制11.5.1 安全的登录程序11.5.2 用户身份识别与认证11.5.3 口令管理系统11.5.4 系统工具的使用11.5.5 会话超时11.5.6 限制连接时间目标：防止对信息系统的非授权访问。防止对信息系统的非授权访问。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践11.6 应用和信息访问控制11.6.1 信息访问限制11.6.2 敏感系统的隔离目标：防止非授权访问信息系统中的信息。防止非授权访问信息系统中的信息。11.7 移动计算和通讯11.7.1 移动计算和通信11.7.2 远程工作（Teleworking）目标：确保使用移动计算和通讯设施时的信息安全。确保使用移动计算和通讯设施时的信息安全。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践访问控制重要提示u 关于访问控制策略：根据业务制订的策略才能实施 策略内容：所需访问的信息，访问控制规则，用户访问权限，其他访问控制要求 没有明确允许就是缺省禁止，最小权限原则等u 口令是常见的访问控制措施，也是重要的信息资产，应妥善保护和管理u 关于网络访问控制：组织网络与其他组织网络或者公共网之间进行正确的连接 用户和设备都具有适当的身份验证机制 在用户访问信息服务时进行控制u 关于操作系统访问控制：识别和验证来访者身份。如果需要，还要验证每个合法用户的终端节点或位置 记录成功和失败的系统访问 提供适当的身份验证方法。如果使用了口令管理系统，则应该确保使用高质量的口令 根据情况限制用户连接时间2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践访问控制重要提示（续）u 关于应用访问控制：考虑应用系统的安全，不得不考虑业务流程 如果业务流程有安全隐患，应用系统是无法避免这些危险的。底层系统和网络更是无能为力u 关于系统监控：日志、入侵监测系统、漏洞分析扫描器都是很好的工具，但是如果没有有效的审计措施的话，都无法发挥大作用u 关于移动计算的访问控制：可变性太大 有时会涉及“人格”问题、“工作热情”问题 执行控制需要坚决的政策和有力的执行 要关注新技术的冲击2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践12 信息系统获取、开发和维护12.1 信息系统的安全需求12.1.1 安全需求分析和规范目标：确保安全内建于信息系统中。确保安全内建于信息系统中。12.2 应用程序中正确的处理12.2.1 输入数据的验证12.2.2 内部处理控制12.2.3 消息完整性12.2.4 输出数据的验证目标：防止应用程序中的信息出错、丢失、被非授权防止应用程序中的信息出错、丢失、被非授权篡改或误用。篡改或误用。12.3 密码控制12.3.1 密码控制使用策略12.3.2 密钥管理目标：通过加密手段，保护信息的保密性、真实性或保护信息的保密性、真实性或完整性。完整性。目标：控制对系统文件和程序源代码的访问，使控制对系统文件和程序源代码的访问，使ITIT项目项目及其支持活动安全进行，确保系统文件的安全性。及其支持活动安全进行，确保系统文件的安全性。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践12.5 开发和支持过程的安全12.5.1 变更控制程序12.5.2 运营系统变更后对应用做技术 评审12.5.3 限制对软件包的变更12.5.4 信息泄漏12.5.5 外包的软件开发目标：维护应用系统软件和信息的安全。应该严格控维护应用系统软件和信息的安全。应该严格控制项目和支持环境。制项目和支持环境。12.6 技术漏洞管理12.6.1 控制技术漏洞目标：防止因为利用已发布漏洞而实施的破坏。防止因为利用已发布漏洞而实施的破坏。2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践系统开发安全性的重要提示系统开发安全性的重要提示u 建立安全的软件开发过程和编码规范u 开发一个有关如何利用加密控制对信息进行保护的策略（哪些信息要加密，加密的强度如何，移动介质或传输中的加密，密钥管理，角色和责任，法律法规限制等）u 对密码技术的应用，其关键在于密钥管理：生成，分发和传输 使用和验证 保存，消除和恢复u 对正式上线的运营系统应严加控制，做好软件开发的变更控制和管理u 不将运营系统上的敏感信息直接用作测试系统u 需要对外包开发提高警惕（代码所属权，知识产权，资格认定，第三方保证，合同中对质量和安全功能的要求，中间审计，安装前测试）2011 谷安天下版权所有ISO27002-ISO27002-信息安全管理体系最佳实践信息安全管理体系最佳实践关于漏洞管理u 为了实施有效的漏洞管理，必须先有一个完整的资产列表，并且需要知道软件厂商、版本号、当前部署状况、软件的责任人等信息u 应该建立漏洞管理相关角色和责任：漏洞监视，漏洞评估，补丁跟踪u 定义新漏洞发现时的通知时限u 对发现漏洞的处理，与变更管理、信息安全事件管理等相关，漏洞管理可以看作是变更管理的一个子集u 补丁安装前必须做相关风险评估和测试u 必须采取相应的审计机制2011 谷安天下版权所有谢谢观看！谢谢观看！