CISM0302信息安全管理体系_V30(XXXX年)43663.pptx

《CISM0302信息安全管理体系_V30(XXXX年)43663.pptx》由会员分享，可在线阅读，更多相关《CISM0302信息安全管理体系_V30(XXXX年)43663.pptx（98页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系信息安全管理体系中国信息安全测评中心中国信息安全测评中心版本：3.0课程内容课程内容2信息信息安全安全管理管理信息安全信息安全管理体系管理体系信息安全管理控制措施信息安全管理控制措施信息安全管理体系概念信息安全管理体系概念信息安全信息安全管理基础管理基础知识知识体体：信息安全管理：信息安全管理体系体系v知识域：信息安全管理体系概念理解信息安全管理体系（ISMS）的概念和核心过程了解信息安全管理体系文档要求了解ISO/IEC 27000标准族3管理体系相关概念管理体系相关概念4v体系相互关联和相互作用的一组要素 （-ISO9000:2005 质量管理体系 基础和术语）v管理体系：

2、建立方针和目标并达到目标的体系 （-ISO9000:2005 质量管理体系 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架 （-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）管理体系管理体系5ISO9000 质量管理体系ISO14000 环境管理体系OHSAS 职业健康安全管理体系ISO/IEC27000 信息安全管理体系ISO/IEC20000 服务管理体系ISO22000食品安全管理体系管理体系Management System信息安全管理体系信息安全管理体系v什么是信息安全管理体系Information Security Manag

3、ement System，ISMS是管理体系方法在信息安全领域的运用6信息安全管理体系ISMS信息安全管理体系信息安全管理体系v信息安全管理体系是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的体系v一般地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，这些要素既相互关联，又相互作用7信息安全管理体系的作用信息安全管理体系的作用v对内形成单位可自我持续改进的信息安全管理机制使信息安全的角色和职责清晰，并落实到人确保实现动态的、系统的、制度化的信息安全管理有利于根

4、本上保证业务的连续性，提高市场竞争力v对外能够使客户、业务伙伴对单位信息安全充满信心有助于界定外包双方的信息安全责任可以使单位更好地满足审计要求和符合法律法规保证和外部数据交换中的信息安全8作用解释作用解释vISMS是一个通用的信息安全管理指南不是说明“怎么做”的详细细节而是具有普遍意义的安全操作规则指南指导单位在信息安全管理方面要做什么，如何选择适宜的安全管理控制措施vISMS过程信息安全管理体系标准要求建立ISMS过程制定信息安全策略，确定体系范围，明确管理职责单位应该实施、维护和持续改进该体系，保持其有效性9ISMSISMS过程过程10相关方相关方受控的受控的信息安全信息安全信息安全信息

5、安全要求和期望要求和期望相关方相关方检查检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划规划Plan实实施施Do改进改进Act建立建立ISMSISMSv建立ISMS，PLANv主要工作定义ISMS范围和边界ISMS范围说明书：组织结构范围、业务范围、信息系统范围和物理范围制定ISMS方针和策略实施风险评估识别风险、分析和评价风险11实施和运行实施和运行ISMSISMSv实施和运行ISMS，DOv主要工作制定风险处理计划实施风险处理计划制定有效性测量程序管理ISMS的运行12监视和评审监视和评审ISMSISMSv监视和评审ISMS，CHECKv主要工作日常监视

6、和检查有效性测量内部审核风险再评估管理评审13保持和改进保持和改进ISMSISMSv保持和改进ISMS，ACTv主要工作实施纠正和预防措施持续改进ISMS沟通措施改进情况14vISMSISMS的的核心过程可以核心过程可以概括为概括为4 4句话句话 1.规定你应该做什么并形成文件规定你应该做什么并形成文件：P2.做文件已规定的事情做文件已规定的事情：D3.评审你所做的事情的符合性评审你所做的事情的符合性：C4.采取纠正和预防措施，持续改进采取纠正和预防措施，持续改进：A用用PDCAPDCA来理解什么是信息安全管理体系来理解什么是信息安全管理体系1516n一级文档：宏观方针性文档n二级文档：管控程

7、序及管理制度性文档n三级文档：操作指南及作业指导书类n四级文档：体系运行的各种记录下级文件应支持上级文件。信息安全管理体系文档要求信息安全管理体系文档要求BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革的历史沿革u 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架u 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础u 19951995年年2 2月月 首次出版首次出版BS 7799-1:1995BS 7799-1:1995信息安全管理

8、实用规则信息安全管理实用规则u 19981998年年2 2月月 英国公布英国公布BS 7799-2:BS 7799-2:信息安全管理体系要求信息安全管理体系要求,1999,1999年年4 4月修订月修订u 2000 2000年年1212月月 国际标准组织国际标准组织 ISO/IEC JTC 1/SC27ISO/IEC JTC 1/SC27工作组认可通过工作组认可通过BS 7799-1BS 7799-1，颁，颁布布ISO/IEC 17799:2000ISO/IEC 17799:2000信息安全管理实用规则信息安全管理实用规则 u 2002年9月 BSI对BS 7799-2进行了改版u 20052

9、005年年6 6月月 ISO 17799:2000 ISO 17799:2000改版，改版，成为成为ISO/IEC 1ISO/IEC 17799:20057799:2005u 20052005年年1010月月 ISO ISO正式采用正式采用BS 7799-2:2002BS 7799-2:2002，命名，命名为为ISO/IEC ISO/IEC 27001:200527001:2005u 20072007年年7 7月月 ISO 17799:2005 ISO 17799:2005归入归入ISO 27000ISO 27000系列，命名系列，命名为为ISO/IEC ISO/IEC 27002:20052

10、7002:2005u 20082008年年6 6月月-中国等同中国等同采用采用ISO 27001:2005,ISO 27001:2005,命名为命名为GB/T GB/T 22080-200822080-2008 中国等同中国等同采用采用ISO 27002:2005,ISO 27002:2005,命名为命名为GB/T GB/T 22081-200822081-2008 u 20132013年年1010月月 ISO ISO正式发布正式发布ISO/IEC 27001:2013ISO/IEC 27001:2013和和ISO/IEC ISO/IEC 27002:201327002:2013ISO/IEC

11、 27000ISO/IEC 27000标准簇介绍标准簇介绍17BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000ISO/IEC 27000标准簇介绍标准簇介绍BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系的对应关系1819vISO/IEC 27000系列已经制定标准：21个正在制定标准：11个ISO/IEC 27000ISO/IEC 27000标准簇介绍标准簇介绍ISMSISMS标准我国采标情况标准我国采标情况v各国等同采

12、标v我国采标情况20序号序号国际标准国际标准采标形式采标形式国家标准国家标准1ISO/IEC 27000:2009等同采用信息安全管理体系概述和词汇（GB/T 29246-2012）2ISO/IEC 27001:2005等同采用信息安全管理体系 要求（GBT 22080-2008）3ISO/IEC 27002:2005等同采用信息安全管理实用规则（GB/T 22081-2008）4ISO/IEC 27006:2007等同采用信息安全管理体系审核认证机构的要求（GB/T 25067-2010）知识体：信息知识体：信息安全管理安全管理体系体系v知识域：信息安全管理控制措施了解信息安全管理控制措施的

13、作用理解安全方针、信息安全组织、资产管理、人力资源管理、物理和环境安全等管理域的控制目标和主要控制措施了解通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理等管理域的控制目标和控制措施21信息安全控制措施信息安全控制措施v控制措施是实施信息安全管理的方法和手段单位通过实施一组适当的安全控制措施，保护信息资产，抵御威胁并减少系统脆弱性，降低安全风险，达到信息安全目标控制措施涉及行政、技术和管理等方面v如何制定信息安全控制措施自己制定本单位的信息安全管理控制措施学习别人实践经验，参考国际/国家标准信息安全管理实用规则（ISO 27002）信息安全管理实用规则（GB/

14、T 22081）22ISMSISMS信息信息安全管理域安全管理域23信息安全管理实用规则（ISO 27002:2005）信息安全管理实用规则（GB/T 22081-2008）信息安全管理实用规则（信息安全管理实用规则（GB/T 22081-2008GB/T 22081-2008）1111个域个域个域个域3939个目标个目标个目标个目标133133个控制个控制个控制个控制措施措施措施措施24信息安全管理实用规则信息安全管理实用规则v每个主要安全域，包括：控制目标，声明要实现什么一个或多个控制措施，用于实现该控制目标每个（安全）控制措施的描述内容控制措施：是对该控制措施的定义实施指南：是对实施该控

15、制措施的指导性说明其它信息：其它需要说明的补充信息，如法律考虑25什么是控制措施什么是控制措施v什么是控制措施管理风险的方法。为达成企业目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制26 不是不是所有的控制措施适用于任何场合，它所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都也不可能对一个组织中所有人都适用适用1.1.安全安全方针方针27Why?Why?v有没有遇到过这样的事情？案例1有单位领导说：“听说信息安全工

16、作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”案例2据说作为管理人员要把个人计算机的登录口令设置好，怎么设置才符合要求呢？这些问题这些问题需要需要先先在在“安全方针安全方针”中寻找答案中寻找答案28安全方针控制目标安全方针控制目标v控制目标制定信息安全方针评审信息安全方针v信息安全方针应该做到对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程29具体解释具体解释v信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件v信息安全方针

17、文件的作用是说明业务要求和法律法规对于信息安全的要求，为安全管理工作提供指导和支持信息安全方针应当说明以下问题：本单位信息安全的整体目标、范围以及重要性；信息安全工作的基本原则；风险评估和风险控制措施的架构；需要遵守的法规和制度；信息安全责任分配；信息系统用户和运行维护人员应该遵守的规则30关键点关键点主要内容一般包括信息安全的整体目标、范围、原则、控制措施的框架、重要安全策略和需要遵守的各项规定等信息安全方针文件应由高层管理者审批后，作为正式文件发布，并有效传达给所有员工信息安全方针不是一成不变的，要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整31举例举例XXXX系统

18、信息安全总体策略系统信息安全总体策略v安全方针概述XX系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是XX系统的关键资产信息的可用性、完整性和保密性是信息安全的基本要素，关系到XX机关的形象和业务的持续运行。必须保护这些资产不受威胁侵害定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任32举例举例XXXX系统信息安全总体策略系统信息安全总体策略v安全方针概述v资产分类和控制信息分类资产分类：信息资产，包括计算机和网络，应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法，并根据分级和分

19、类办法制定明晰的资产清单敏感信息、关键信息资产的可审计性v计算机和网络的运行管理332.2.信息安全组织信息安全组织34Why?Why?v有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？应该应该有一群人，至少包括单位领导、技术部门和有一群人，至少包括单位领导、技术部门和行政部门的行政部门的人人，组织组织在一起，专门负责信息安全的在一起，专门负责信息安全的事事35控制目标控制目标v控制目标内部组织在组织内部建立信息安全

20、框架外部组织识别和控制外部合作过程中的风险，保证单位信息和信息系统安全性36具体解释具体解释v为有效实施信息安全管理，保障和实施系统的信息安全，需要建立相应的组织架构v信息安全责任的重要性在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步 37控制措施控制措施内部组织内部组织v内部组织目标：在组织内管理信息安全v八个控制措施管理层重视协调信息安全活动分配信息安全职责新设备和系统授权保密协议与政府部门的联系与特定组织机构的联系信息安全的独立评审38关键点关键点v高层管理者参与（如本单位信息化领导小组），负责重大决策，提供资源并对工

21、作方向、职责分配给出清晰的说明v不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合391.企业内部达成共识2.组织的安全建立责任分工划分3.避免流于形式或作假内部组织举例内部组织举例40信息安全领导小组信息安全领导小组信息信息技术技术部门部门业务业务应用应用部门部门安全安全保卫保卫部门部门人事人事行政行政部门部门其他其他有关有关部门部门 信息安全工作和其他工作一样，不是某个个人、某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构，但不是全部。信息安全领导小组信息安全领导小组v信息安全领导小组信息安全领导小组是各

22、级系统网络与信息安全工作的最高领导决策机构不隶属于任何部门，直接对本单位最高领导负责是一个常设机构v领导小组成员一般由各级系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加41领导小组责任领导小组责任v领导小组责任落实XX系统安全建设的总体规划制定本单位安全规划并监督落实负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度负责本单位信息系统安全管理层以上的人员权限授予工作审阅本单位信息安全报告组织重大安全事故查处与汇报工作42责任划分责任划分v信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持v业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任

23、v安全保卫部门对场地以及系统资产的防灾、防盗、防破坏等承担管理责任v人事行政部门从人事、行政上对信息安全保障执行管理工作v其他有关部门应与上述部门协作，共同对信息系统的建设和运行维护承担管理责任 43控制措施控制措施外部各方外部各方v外部各方目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全v三个控制措施识别外部各方风险处理与顾客有关的安全问题处理第三方协议中的安全问题访问风险：1.维护软件设备的承包商2.清洁、送餐人员3.外部咨询人员44关键点关键点v要注意充分理由外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟

24、通和合作关系v要注意外来风险，如与第三方机构签订保密协议，监督和限制其活动等 例如例如与电力部门建立良好的协作关系，停电与电力部门建立良好的协作关系，停电了，了，UPS的电也要用光了，电力部门可以开个发的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供应电车来解决关键信息系统临时电力供应453 3、资产管理资产管理46WhyWhy？v那些曾经发生过的事案例1单位欲安装一台网络防火墙，却发现没有人可以说清楚当前的真实网络拓扑情况，也没有人能说清楚系统中有哪些服务器，这些服务器运行了哪些应用系统案例2单位信息安全评估，发现大部分服务器安全状况良好，只有一台服务器存在严重安全漏洞。研

25、究整改措施时，发现平时没有人对该服务器的安全负责47资产管理目标资产管理目标v目标目标对资产负责实现并保持组织资产的适当保护信息分类确保对信息资产的保护达到恰当的水平v包含的包含的内容内容组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产按照信息资产所属系统或所在部门列出资产清单所有的信息资产都应该具有指定的属主并且可以被追溯责任信息应该被分类，以标明其需求、优先级和保护程度根据组织采用的分类方案，为信息标注和处理定义一套合适的程序48资产管理资产管理v信息安全管理工作的根本目的是保护系统中的资产v资产包括信息资产：业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软

26、件资产：应用软件、系统软件、开发工具等物理资产：计算机设备、通信设备、存储介质等服务：通信服务、公用设施（供暖、照明、能源）等人员：他们的资格、技能和经验无形资产：品牌、声誉和形象49资产管理控制目标资产管理控制目标v控制目标对资产负责信息分类50控制措施控制措施对资产负责对资产负责v对资产负责列出资产清单，明确保护对象准确识别资产，编制清单，形成文件括资产类型、位置、备份信息和业务价值等内容为资产指定责任人，明确安全负责“责任人”不一定是指具有资产所有权的人，而是指具有控制生产、开发、使用和保护资产权限的个人或实体确定资产的使用限制条件,合法使用51资产管理是信息安全管理的重要内容控制措施控

27、制措施信息分类信息分类v信息分类分类指南根据信息的价值、法律要求和对组织的敏感程度和关键性进行分类信息标记和处理信息类别标记，设置合适的分类说明如表明文件的密级、存储介质分类的标签规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序52 对信息分类是使信息受到适当级别的保护，在处理信息时指明保护的需求、优先级和期望程度关键点关键点建议分类方法不宜复杂，否则容易造成混乱建议分类方法不宜复杂，否则容易造成混乱每种分类应唯一区别于其它分类，同时不能有任何重叠每种分类应唯一区别于其它分类，同时不能有任何重叠分类过程还应简单说明如何在其生命周期内控制并处理分类过程还应简单说明如何在其生命周期内控制并

28、处理53举例举例商业公司和军事机构信息分类商业公司和军事机构信息分类组织分类类别定义实例商业公司公共即使泄漏不会给公司或个人造成不利影响有多少人完成某个项私有可能给公司或个人带来不利影响人事资源信息军事机构绝密如果泄漏会给国家安全带来毁灭性破坏新型战时武器设计图秘密给国家安全造成重大威胁部队分布及部署不保密非保密信息计算机通用学习手册544 4.人力资源安全人力资源安全55Why?Why?v那些曾经发生过的事案例一2010年3月中旬，汇丰控股发布公告，其旗下汇丰私人银行(瑞士)的一名IT员工，曾于三年前窃取了银行客户的资料，失窃的资料涉及1.5万名于2006年10月前在瑞士开户的现有客户。有鉴

29、于此，汇丰银行三年来共投放1亿瑞士法郎，用来将IT系统升级并加强保安案例二论语“吾恐季孙之忧，不在颛臾，而在萧墙之内也”萧墙之祸比喻灾祸、变乱由内部原因所致56人力资源安全目标人力资源安全目标v目标目标：任用前确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，降低设施被窃、欺诈和误用的风险任用中确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险任用终止及变更确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种规范的方式进行57控制措施控制措施任用前任用前v任用（上岗）前明确人员遵

30、守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录要在合同或专门的协议中，明确其信息安全职责58控制措施控制措施任用中任用中v任用中保证其充分了解所在岗位的信息安全角色和职责有针对性地进行信息安全意识教育和技能培训及时有效的纪律处理（惩戒）措施59控制措施控制措施任用终止及变更任用终止及变更v离职人员存在的安全隐患未删除的帐户未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用其它隐含信息网络机构、规划，存在的漏洞同事的账户、口令和使用习惯等60这些信息和权限如果被离职的员工和攻击者们这

31、些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息恶意利用，很容易导致信息安全安全事件事件控制措施控制措施任用终止及变更任用终止及变更v以规范的方式退出单位或改变其任用关系终止职责通知相关人员人事变化，明确离职后仍需遵守的责任规定归还资产保证离职人员归还软件、电脑、存储设备、文件和其他设备撤销访问权限撤销用户名、门禁卡、密钥、数字证书等61举例举例任用中安全管理任用中安全管理v员工缺乏基本的安全意识，特别是一些业务人员等，没有进行统一的、系统的安全培训和学习的机会由于员工对发生安全问题后造成的后果不负任何责任，从而也就不能有效的督促员工提高自己的安全意识，最终形成恶性循环、导致员工

32、不能严格遵循公司的安全管理制度个人电脑的密码设置为空或者非常脆弱系统默认安装，从不进行补丁升级拨号上网，给个人以及整个公司带来后门启动众多不用的服务62 人员人员层次不同，流动性大，安全意识薄弱而层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件恶意终端破坏、信息泄露等安全事件不胜枚举不胜枚举5 5、物理和环境安全物理和环境安全63WhyWhy？v那些曾经发生过的事案例1竞争对手潜入机房，直接用移动硬盘将服务器中的重要数据拷贝走案例2机房中温度过高，导致计算机无法正常运行，造成业务中断，全国性服务停

33、止超过1天64物理和环境安全目标物理和环境安全目标v目标：安全区域防止非授权访问、破坏和干扰业务运行的前提条件及信息设备安全预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰v包含的内容：应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所，或者准备报废时，应考虑其安全65安全区域安全区域-1-1v物理安全边界建立安全边界，形成安全区域v物理入口控制必须弄清来访者的身份，并将其进入与离开安全区域的日期与时间记录起来所有人员配戴识别证66安全区域安全区域-2-2v房间和设施的安全保护关键设施要坐落在可避免公众访问的场地保护标识敏感信息处理设施位置

34、的目录和内部电话簿不被公众得到v外部和环境威胁的安全防护设计物理保护措施，防止火灾、洪水、地震、爆炸、社会动荡和其他形式自然或人为灾难引起的破坏在合适的位置提供灭火设备加固设施，防止屋顶漏水或地下室地板渗水67安全区域安全区域-3-3v安全区域工作防护未使用的安全区域，应加锁以限制访问并定期检查避免写入“机房重地，请勿进入”的字样应限制授权，一般不允许携带摄影、视频、声频或其他记录设备进入v公共访问和交接区安全访问点（例如交接区）和未授权人员可进入办公场所的地点应加以控制，避免未授权访问除交接区外，交货人员无需获得对本建筑物其他部分的访问权就能卸下物资当内部门打开时，交接区的外部门应得到安全保

35、护68设备安全设备安全-1-1v设备安置和保护为不同设备划分不同区域进行安置和保护，尽量限制对工作区域不必要的访问通过楼房建筑和机房装修要求，防范偷窃、火灾、爆炸、烟雾、尘埃、震动、电源干扰v支持性设施保护设备使其免于由支持性设施失效引起故障定期检查并测试支持性设施制定电源计划，如多回路供电、UPS、发电机等保障（空调）用水保障通信线路69设备安全设备安全-2-2v布缆安全保证传输数据或支持信息服务的电源电缆和通信电缆免受窃听或损坏电力线路应与通讯线路隔离，以避免相互干扰v设备维护正确维护单位设备，保证其持续的可用性和完整性按照推荐的服务间隔与规范，对设备进行维护只有已授权的维护人员才能修理设

36、备删除敏感信息或保证维护人员可靠性70设备安全设备安全-3-3v组织场所外的设备安全在单位场所外使用信息处理设备，必须经过授权离开办公场所的设备要有合理的保护措施v设备的安全处置和再利用对于储存敏感信息的储存设备，必须销毁或是重写重灌数据资料，不可以只使用简单的删除功能。v资产的移动设备、信息或软件应根据授权确定是否允许带出单位场所，并进行控制和记录设置设备允许离开的时间，并作符合性检查和记录71举例举例1 1访问控制措施访问控制措施v卡访问控制或生物特征系统磁卡、非接触卡等指纹、视网膜扫描、签名、声音识别、手形等等72举例举例2 2物理监控措施物理监控措施v周边入侵检测系统用来探测未经授权而

37、进入的人，并发出警报现在最常用的入侵监测系统是机电式的，能够探测到电路的变化或断路，例如：窗户贴，绷紧线等一个常被忽略的脆弱点报警系统v监控系统使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统与广播电视是不同的，监控系统的信号不是公开传输的736 6、通信和操作管理、通信和操作管理74通信和操作管理通信和操作管理v信息系统日常运行安全是信息安全管理的主要组成部分v为减少人为疏忽或故意误用信息系统的几率和风险，使信息系统在运行过程中的安全性得到保证，应当确立信息处理设施的管理和操作责任及程序75WhyWhy？v案例案例12007年8月30日，美国空军一架B-52战略轰炸机误装6枚核弹

38、后，从北部的北达科他州实弹飞往南部的路易斯安那州案例2数据库管理员由于疏忽进行了误操作,将重要的信息删除了案例3涉密计算机出现故障硬盘数据丢失，使用人员将硬盘拿到社会上的数据恢复公司进行恢复，造成秘密泄露76通信和操作管理目标（通信和操作管理目标（1 1）v目标目标：操作程序和责任确保正确、安全的操作信息处理设施第三方服务交付管理核查协议实施，确保第三方交付的服务符合要求系统规划与验收减少系统失效带来的风险防范恶意代码和移动代码保护软件和信息的完整性备份保持信息和信息处理设施的完整性和可用性77通信和操作管理目标（通信和操作管理目标（2 2）v目标目标：网络安全管理确保对网络中信息和支持性基础

39、设施的安全保护介质处置防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰信息的交换应保持组织内部或组织与外部组织之间交换信息和软件的安全电子商务服务确保电子商务的安全及其安全使用监视检测未经授权的信息处理活动，记录信息安全事态78举例举例v介质的处置要建立安全处置介质的正式规程不再需要的介质，要可靠并安全地处置物理破坏、安全删除797 7、访问控制、访问控制80Why?Why?v案例1：飞机登机，旅客的身份证号区别了不同的人，身份证证明确实是这名旅客来乘机，安检人员察看身份证和登机牌，扫描违禁物品后允许乘客登上机票中规定的航班v案例2：登录网站，用户ID区别了不同的用户，输入登录密码

40、确定是这位用户，网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能81访问控制访问控制v访问控制是防止对资源的未授权访问，保证资源在授权范围内使用v访问控制是对主体访问客体权限或能力的一种限制，可从物理层、主机层、网络层以及应用层设置多种控制手段来达到目标82控制目标控制目标业务需求控制对信息的访问用户访问管理确保授权用户的访问，防止非授权访问用户职责防止未授权用户的访问、损害或窃取网络访问控制防止对网络服务未经授权的访问操作系统访问控制防止对操作系统的未授权访问应用与信息访问控制防止对应用系统中信息的未授权访问移动计算和远程工作确保在使用移动计算和远程工作设施时信息的安全83举

41、例举例v系统和应用程序在登录未成功前，不显示系统的相关信息，以免为非法用户提供方便登录出错时，系统不应该说明哪一部份数据正确、哪一部份数据出错848 8、信息系统获取、开发和维护、信息系统获取、开发和维护85信息系统获取、开发和维护信息系统获取、开发和维护v目的通过科学严谨的软件开发方法，减少自开发软件的漏洞，加强运行维护及时发现系统的安全脆弱点防止硬件故障可能使信息系统无法正常运行防止因设备供应商的服务能力不足而导致使安全事件应急响应不及时86控制目标控制目标信息系统安全要求确保安全是信息系统的有机组成部分应用中的正确处理确保信息不被遗失、未授权的修改或误用使用密码技术保护信息的保密性、真实

42、性或完整性保护系统文件和源代码控制文件和源代码使用，确保系统安全建立变更控制规程控制项目和支持环境，维护软件信息安全技术脆弱性管理降低利用已公布脆弱性带来的风险879 9、信息安全事件管理、信息安全事件管理88信息安全事件管理信息安全事件管理v目的及时发现安全事件，并在发生安全事件时执行预先设定的处置流程，阻止和减小安全事件带来的影响在事件处理完成后通过分析总结，评估单位信息安全工作的薄弱环节，并提出改进建议89控制目标控制目标v报告安全事态和弱点有正式报告规程和流程确保与信息系统有关的信息安全事态和弱点能及时上报和传达v安全事件和改进的管理建立管理职责和规程，确保快速、有效和有序地响应信息安

43、全事件建立量化和监视信息安全事件的类型、数量和代价的机制收集和保留证据，确保符合法律要求901010、业务连续性管理、业务连续性管理91业务连续性管理业务连续性管理v目的业务连续性管理是通过制定和实施一系列事先的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续防止业务活动中断，保证重要业务流程不受重大故障与灾难的影响92控制措施控制措施v确保把业务连续性的管理包含在组织的过程和结构中，满足组织的信息安全需求v执行风险评估，识别引起业务过程中断的因素、发生的概率和影响，以及造成的后果v制定业务连续性计划，满足业务中断或失败后能够在要求的水

44、平和时间内确保信息的可用性v保持一致的业务连续性计划框架，明确前提条件、应急规程和相关责任人v对业务连续性计划定期测试和更新，确保其及时性和有效性931111、符合性、符合性94符合性符合性v符合性符合性管理就是要避免违反法律、法规、规章、合同的要求，以及本单位安全策略和制度标准的规定控制目标与法律法规要求的符合性避免违反法律、法规、规章、合同要求和其他的安全要求。符合安全方针、标准，技术符合性确保系统符合组织安全方针和标准。信息系统审核的考虑因素最大化信息系统审核的有效性，最小化来自/对信息系统审核的影响。95举例举例v用户个人隐私保护问题信息系统使用时，需要采集用户数据是否符合国家有关法律

45、法规要求是否符合上市公司有关规范要求是否符合行业、单位内部管理要求96谢谢，请提问题！谢谢，请提问题！9、静夜四无邻，荒居旧业贫。5月-235月-23Saturday,May 20,202310、雨中黄叶树，灯下白头人。12:41:4212:41:4212:415/20/2023 12:41:42 PM11、以我独沈久，愧君相见频。5月-2312:41:4212:41May-2320-May-2312、故人江海别，几度隔山川。12:41:4212:41:4212:41Saturday,May 20,202313、乍见翻疑梦，相悲各问年。5月-235月-2312:41:4212:41:42May

46、 20,202314、他乡生白发，旧国见青山。20 五月 202312:41:42 下午12:41:425月-2315、比不了得就不比，得不到的就不要。五月 2312:41 下午5月-2312:41May 20,202316、行动出成果，工作出财富。2023/5/20 12:41:4212:41:4220 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。12:41:42 下午12:41 下午12:41:425月-239、没有失败，只有暂时停止成功！。5月-235月-23Saturday,May 20,202310、很多事情努力了未必有结果，但是不努力却什

47、么改变也没有。12:41:4212:41:4212:415/20/2023 12:41:42 PM11、成功就是日复一日那一点点小小努力的积累。5月-2312:41:4212:41May-2320-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。12:41:4212:41:4212:41Saturday,May 20,202313、不知香积寺，数里入云峰。5月-235月-2312:41:4212:41:42May 20,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 五月 202312:41:42 下午12:41:425月-2315、楚塞三湘接，荆门九

48、派通。五月 2312:41 下午5月-2312:41May 20,202316、少年十五二十时，步行夺得胡马骑。2023/5/20 12:41:4312:41:4320 May 202317、空山新雨后，天气晚来秋。12:41:43 下午12:41 下午12:41:435月-239、杨柳散和风，青山澹吾虑。5月-235月-23Saturday,May 20,202310、阅读一切好书如同和过去最杰出的人谈话。12:41:4312:41:4312:415/20/2023 12:41:43 PM11、越是没有本领的就越加自命不凡。5月-2312:41:4312:41May-2320-May-231

49、2、越是无能的人，越喜欢挑剔别人的错儿。12:41:4312:41:4312:41Saturday,May 20,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2312:41:4312:41:43May 20,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 五月 202312:41:43 下午12:41:435月-2315、最具挑战性的挑战莫过于提升自我。五月 2312:41 下午5月-2312:41May 20,202316、业余生活要有意义，不要越轨。2023/5/20 12:41:4312:41:4320 May 202317、一个人即使已登上顶峰，也仍要自强不息。12:41:43 下午12:41 下午12:41:435月-23MOMODA POWERPOINTLorem ipsum dolor sit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis amet,consectetur adipiscing elit.Fusce id urna blanditut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉