1、ISO27001 Lead Auditor Training Course,Neil YuShanghai Feb. 18-22, 2008Version 1.6 Updated on June 19, 2008,ISO27001 LA Training Course Day 1,Shanghai Feb. 18, 2008,典型的信息安全事件,HW事件 HW到中东某国投标,、人住当地一家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低 经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘 LM事件 LM一直
2、与中国军方关系密切,承接过国家级信息安全项目 骨干中一人离职出国,带出很多涉密文件,结果LM被封杀 艳照门 很傻很天真,什么叫管理体系,System Set of interrelated or interacting elements 体系 一系列相关关联相互作用的元素 Work systematically To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence 系统地工作 为保证工作效率,事情必须按合适的/可行的方法进
3、行组织,并以一定的顺序完成 Management System System to establish policy and objectives and to achieve those objectives 管理体系 建立方针和目标,并实现目标的体系,管理体系的4大要素,组织机构: 明确职责、权限 程序: 告诉相关人员怎么做 过程: 具体的执行情况,如何做的?比如执行人是否每周2次检查了某个应用程序的日志? 资源: 可调配、使用的人员、设备等 培训,常见的管理体系,质量管理:ISO9001 环境管理:ISO14001 职业安全:OHSAS18001 社会责任:SA8000 信息安全:ISO
4、27001,什么是质量,质量3要素QCT 符合客户的要求(Q) 不能导致成本上升(C) 时间(T) 以上三个方面的平衡的结果就是质量,质量管理体系一览,国际标准ISO9001 汽车行业(比ISO9001多了项目管理方面的要求) TS16949(汽车行业的质量管理体系) QS9000(美国的汽车行业标准) VDA6.1(德国大众的质量管理体系) 其他行业 ISO22000(食品行业) TL9000(通讯业) ISO20000(可称为IT业的服务质量标准) CMMI(适合软件研发和新技术开发),信息安全的3要素,Confidentiality the property that informati
5、on is made available or disclosed to unauthorized individuals, entities or processes 保密性 信息被获取或泄漏给未经授权的个人、实体或流程 Integrity the property of safeguarding the accuracy and completeness 完整性 保护资产准确和完整 Availability the property of being accessible and useable upon demand by an authorized entity 可用性 资产仅对授权人
6、员在需要的时候是可访问的或可用的,什么叫ISMS信息安全管理体系,Information 信息 信息是一种重要资产,对组织的业务非常关键。 信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储、邮寄或使用电子手段传输,以影片播放或对话。 Information Security信息安全 对信息的保密性、完整性和可用性的保护,同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,Information Security Management System信息安全管理体系 是管理体系的一部分,基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全。 简单地说,是为了确保组织信
7、息的“三性”,设立的组织机构、程序、过程和资源。,step1,如果,ISMS和其他体系的联系和区别,联系 所有管理体系的共性(需要分析的5大要素):人、机、料、法、环 区别 ISMS: %5的人:做95%的工作 %95的人:执行(需要接受培训),本页及下页图片来源于BSI中国网站,ISMS适用的行业,以信息为生命线的行业: 金融行业:银行、保险、证券、基金、期货等 通信行业:电信、网通、移动、联通等 皮包公司:外贸、进出口、HR、猎头、会计师事务所等 对信息技术依赖度高的行业: 钢铁、半导体、物流 电力、能源 外包(ITO或BPO):IT、软件、电信IDC、Call Center等 工艺技术要
8、求高、竞争对手渴望得到的: 医药、精细化工 研究机构,ISO27001, 20000 & CMMI,CMMI,ISO20000,ISO27001,ISO27001,如何成为LA主任审核员?,要成为LA,必须经过: 2 MD observer - Junior Auditor 20MD junior auditor - Auditor 15MD auditor - Lead Auditor 注意: 后两项经验需分别从3个新的、不同的客户中获取 上述每一段经验,均需在2年内获得 DNV可以帮助进行IRCA注册,什么是好的ISMS,Good Information Security Manageme
9、nt Systematic approach Improved understanding of business aspects Reduction in security breaches and/or claims Reduction in adverse publicity Improved insurance liability rating Identify critical assets via the business risk assessment Provide a structure for continuous improvement Be a confidence f
10、actor internally as well as externally Enhance the knowledge and importance of security-related issues at the management level Ensure that “knowledge capital” will be “stored” and managed in a business management system,实施ISMS的关键成功因素,与组织文化一致的信息安全方法 老板的支持 对信息安全的要求、风险评估和风险管理有好的理解 向所有员工和其他人分发信息安全指南 有效的
11、对员工和其他人推销信息安全(外部人员也被要求进行信息安全培训) 足够的财务支持,以及满足要求的现有系统的能力和配置水平 有效的信息安全事故管理过程,Tips1重要提示,ISMS(信息安全管理体系)和ITSM(信息技术服务管理)的整合需求越来越大: 来自最高管理者的关注增强 来自客户的推动、压力 政府的推动并提供资金的支持,如“十百千”工程 行业的普遍关注,如电信IDC,移动,电力系统,海关总署,国家质监总局 目前,各大银行和电力企业正在实施ITIL,每年有Very Large的市场。 半导体业对ISMS的要求非常严格,甚至高过金融业!,Tips2,历史教训:保安和清洁工是信息安全的重要威胁!(
12、无意伤害对“阶层” 感情的好恶) 所有员工,包括所有外来人员,必须接受信息安全的培训 小窍门:在门卫/传达室放一个外来人员安全须知, 外来人员在阅读后要签字,这是对外来人员进行了信息安全培训的证据,Tips3,信息安全容易忽视的两个的地方 Thumb drive (U盘,尽量禁用!) Domain controller(域控制器,加强管理!) Good practices: 人员发生变动的时候,一定要调整访问权限 查看企业的财产保险合同 审核完毕后一般都需要提高保险级别!,很NB的缩写,Black Belt:黑带#%!%!#¥# ERM:企业风险管理(目前最高级别的认证) BCM:业务持续性管
13、理 CSR:企业可持续发展报告(验证各项指标) RPN:风险优先指数 BCM/BCP:业务持续战略 Continual Improvement:持续改进,RA:风险分析 ITDR MCA BIA RTO:recovery time objective RPO:recovery point objective LBC,BCP与灾难恢复等概念的比较,影响公司层面业务持续性的因素,供应链中断:重要原料、IT硬件 高层的错误决策 客户不满 关键人员流失 数据中心重大事故,恐怖袭击、战争 员工信心 天灾人祸、火灾爆炸 联动点 法律法规 公众反应,BCM非常重要,实施ITSM业务连续性管理的两条途径 公司
14、层面的BCM(适合于IT Outsourcing或BPO企业) 信息安全层面的BCM,适合大型制造业及工艺流程复杂的企业 BCM或BCP比“可用性管理”有更大的范围和规模!,BCM: 一个好的平台,Quality management Public relationship Investment direction Security management Disaster recovery Safety management Facilities management IT/Other disaster recovery Supply chain management Risk managem
15、ent,BCM的步骤,理解你的业务 BIA (Business Impact Assessment) 业务持续性计划 BCP (Business Continuity Planning) 研究并实施BCM行动 建立并深入公司BCM文件 演练/维护及审核BCM,ISO27001 LA Training Course Day 2,Shanghai Feb. 19, 2008,建立ISMS的步骤,制定方针 确定边界 识别资产 风险评估 风险处置 风险接受 动态的风险管理,风险、威胁和脆弱性的概念,风险Risk: 特定的威胁利用资产漏洞的潜在可能,并可导致对组织的危害。它根据事件的可能性及后果进行测量
16、。 风险分析: 评估风险数量的系统化流程 风险评估: 包括风险定义,风险分析和风险评估的流程。,威胁Threat: 引起事故的潜在因素,可能对组织或系统产生损害 脆弱性Vulnerability: 资产的弱点,可能被一个或多个威胁利用 影响 Impact: 信息安全事故的结果,风险产生的原因,5大因素: 自然环境 社会经济环境 政治及法制因素 营运环境 意识及沟通因素,或者: 人 机:软硬件,需要维护 料:输入,包括客户需求 法:程序、方法,是否清楚、适当 环:大环境,资产类型,通常: 网络 机房 PC 台式机 笔记本 普通 营销部/中层干部 高层管理人员 人员 文档 电子 书面 客户要求 整
17、体实体(物理)安全,分类: 信息资产:数据文件、数据库 软件资产:系统软件、应用软件 物理资产:计算机、通讯设备 服务资产:电力、消防、打印机、复印机 人力资产:员工、工人 纸面资产:协议、合同 无形资产:公司形象、名誉、品牌 注意:IT部门可能拥有上述所有资产,其他部门可能只拥有其中1至2项,编制资产识别表,资产? 对组织有价值的任何事物 编制资产识别表的要点 找对owner 合并同类项,特性和风险相同的资产可以合并为一项 小窍门: 先按部门分别进行 对资产项合并同类项后,可跨部门再进行一次合并同类项,风险的计算,第一种方法:风险=严重性*可能性 影响程度的严重性(权重较大) 威胁发生的可能
18、性:按历史发生情况! 第二种方法:严重性*可能性*脆弱性 脆弱性:检验现有防护措施 RPN=S*O*W (servility* occurrence* weakness) 比如,美国地震工程研究所对“地震风险性”的定义 是地震危险性(致灾因子)、社会财富(承灾性)和脆弱性三者的乘积 FMEA:好方法! 行业内的叫法:RPN(风险优先指数),风险的计算(续),(第二种方法)根据资产识别的结果判断 严重性 威胁名称、威胁来源、威胁赋值 脆弱性类别、已有控制措施、脆弱性赋值 低:现有系统能够自动识别,且有充分有效的紧急响应 中:通过检查/监控能够看出趋势或有较充分的紧急响应 高:现有条件下不能探测或
19、一旦发生问题没有有效 风险计算 风险处理指标:风险处置措施、责任部门、完成时间,示例,风险的计算(续),剩余风险 剩余风险 资产严重性(不变的) 可能性(改进后的)脆弱性(改进后的) 脆弱性(需要自己定义,以下举例) 低:现有系统能够自动识别,且有充分有效的紧急响应 中:通过检查/监控能够看出趋势或有较充分的紧急响应 高:现有条件下不能探测或一旦发生问题没有有效响应 严重性(需要自己定义,以下举例) 低:不影响正常生产及客户满意度,对公司运营影响不大 中:停止4小时生产以下,被用户投诉 高:停止4小时生产以上,被用户投诉,补充,ISMS的范围和边界 是建立ISMS的第一步,明确覆盖哪些业务流程
20、 ISMS Policy信息安全管理体系方针 是信息安全策略(Information security policy)的扩展集 根据组织的实际情况,如业务性质、地理位置、资产情况和技术水平来定义,例如: 在线服务:对可用性要求高 金融机构:对完整性要求高 医院:对保密性要求高 需要考虑业务、法规及合同责任方面的要求 建立风险管理准则,明确可接受的风险水平 得到管理层的批准,Exercise 1,作业: 讲解ISO27001 a10-a12 以及12.5 和12.6,ISO27001 LA Training Course Day 3,Shanghai Feb. 20, 2008,ISO27001
21、的组成,主体部分: Clause 4, 5, 6, 7, 8 (所有ISO标准都有的,不可删减) A5-A15 11 条大的安全控制条款 39 个控制类(控制目标) 133 项控制措施,需验证的六大文件,4.3.1 g中需验证以下文件: 管理评审 内审 文件控制 ISMS特殊要求:online的才是有效的,打印的仅供参考! 标示文件的保密级别 电子文档(网上流转)的保护 质量记录控制 重要性:备证 纠正措施 预防措施,CHINA CISSP“易水寒江雪”认为: 信息安全策略 文件控制程序 记录控制程序 内部审核管理程序 纠正预防措施 标准中将纠正和预防是分别定义成两个文件的,因为这两个文件的结
22、构基本类似,目的也相似,因此通常将其合并来一起编写。 就认证而言,并没有对文件的多少有强制性的要求,但是就惯例而言,二级程序文件通常还包括: 管理评审控制程序 信息安全风险评估管理程序 BCP DRP 适用性声明 计算机和网络安全控制程序 等等。 至于三级文件,因各个机构情况不一,在此就没有一一列举。,物理安全和人员安全的要点,物理安全需检查: 平面布局图 标示出的敏感物理区域 人员安全需注意: 任何人发生变动而引起权限变更,都必须报告给HR,文件管理,Best practices: 绝密级的文件要受控发放(每页加“绝密”字样),当天发放、当天收回 绝密级的电子文件不允许放到网上 一句经典:o
23、nline的才是有效的,打印的仅供参考!,风险处置选项与适用性声明,Risk Treatment Options 降低风险 Risk reduction 采取控制措施 回避风险 Risk avoidance 抛弃某种技术或生产方式 转移风险 Risk transfer 保险、外包 接受风险 Risk acceptance Statement of applicability 概括了对风险处置的决定,About FILES Audit关于文审,Basic audit skills: 初审之前要求企业提供Two Initial requirements: Organizational chart组
24、织结构图 Files list文件清单 Files architecture: High level: Policy/ Manual(方针、手册) Medium level: Standard procedures (4W1H) Low Level: Working instructions (作业指导书,针对特定工艺、产品或岗位) Basic level: records(记录),Tips 4,初审时最重要的一件事:找出“风险”点! 针对核心系统进行风险评估,实施控制措施 考试小窍门: 很多问题的答案都应该选“Policy” ,审核类型,Types of audits First party
25、/ internal audit 内审,但不能审核与自己工作职责相同的范围 Second party/ external audit 客户对于供应商的审核 Third party/ external audit 独立、公正的认证机构的审核 Other audits Process audit (一般表现为受委托对第二方进行审核) Product audit(一般表现为企业对自身产品的抽样、破坏性试验),认可/认证的层次关系,由上至下: Department of Trade and Industry (DTI) 世界工业联合会 Accreditation Body (e.g. UKAS) 认可
26、机构 Certification Bodies (e.g. DNV) 认证机构 Organizations 组织 Suppliers 供应商,Certificate Processes,另类的标准,ISO 19011 审核标准 系统性 独立性 公正性 ISO 13335 IT最佳实践 VDA6.1 质量的checklist,很有参考价值!,ISO19011 - Auditor Attributes,Open minded:开放的思想 Observant:观察力 Diplomatic:外交能力 Perceptive:理解力 Versatile:多才多艺 Tenacious:不屈不挠 Decisi
27、ve:坚定 Self reliant:自信,审核输出与审核发现,What is the output of an audit? 审核的输出 Weakness Strengths Opportunities Risks Failures,Findings审核发现(需要定义) Noteworthy efforts值得努力(一般口头说说即可) Observations观察项 Non-conformities 一般不符合(如果无证据支撑,即使说做过了,也可认为是一般不符合) 严重不符合(在同一个区域多次发生或造成严重事故或后果,有严重失效),不符合定义 by DNV,Category I (Major
28、) Non-Conformity严重不符合 The absence of, or the ineffective implementation of, one or more required system elements, or a situation which raises significant doubt that practices will meet specified requirements. 一个或多个系统的要素缺失或无效实施;或目前的实践满足定义的需求的情况值得怀疑. A group of category 2 non-conformities indicating i
29、nadequate implementation of the system relevant to an element of the standard. 针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施. A category 2 non-conformity that is persistent shall be treated (up-graded) as a category 1 non-conformity. 轻微不符合事项持续下去应该判断为严重不符合事项,不符合定义 by DNV,Category II (Minor) Non-Conformity轻微不符合
30、A lapse of either discipline or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will meet requirements. 系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.,不符合,Non-conformity 审核报告中必须附证据 一个不符合事项是没有符合一个要求、失败和证据(很烂的翻译)
31、要求 the requirement 失败 the failing 证据 the evidence 尽量不要开条款4.2,Source of the requirements: 法令/法规的要求 组织的过程和运营 时间规范 程序 作业指导书 客户要求 详细说明 时间规范 体系标准 组织的管理手册,What is an observation?,Potential problem Risk Inefficiency Ineffectiveness Failure to apply best practice Misunderstanding Lack of communication,Tips
32、n,How to solve conflicts? LA职责:主持、确认,解决冲突 找对方的CISO! 对方可以找LA! 两条重要的审核路线: 资产清单-风险评估 文件审核(按4.3.1要求) 要求有涉及信息安全的法律法规 发现缺失的文件太多,企业基础太差怎么办? 列出缺失项,告诉对方 建议推迟审核,审核准备,启动阶段需要提前知道的: 企业简况 组织名称 地点 规模 审核范围 采用的标准(ISOXXXX) 组织结构图 审核时间 审核理由(第几方),编制审核计划 公司多sites的抽样方法: 抽样数=地点数量开平方+1 制订审核计划,发送给客户请他们确认,Case Study: GetRich
33、Bank,绘制Department-Roles Matrix Day1 高层访谈(15-30分钟了解高层关注的焦点问题) 审核前必须有一个opening meeting(30分钟) 练习:四人分两组,分别审核GetRich银行各个部门 每天审核结束前(4:00-4:30)开审核小组内部会议 审核小组同客户交流审核发现(4:30-5:00),确认当天的问题 Day2 中午开close meeting,内部会议,由LA主持,审核师交流需要交接的内容,主要目的是合并共性的问题 总结归纳,准备审查清单(e.g.),服务器的型号、购买时间、保修期、上门服务响应时间有记录吗? 服务器硬件配置、供应商联系方
34、式有更新吗? 服务器上的所有软件安装清单、版本有记录吗? 供应商提供的软硬件维修/维护有记录吗? 服务器administrator/su密码由专人负责维护吗? 服务器访问控制审计记录? 对服务器操作系统、支撑软件和数据库软件的关键更新(KB)、补丁(SP)和升级监控的系统弱点有监控吗? 对服务器操作系统、支撑软件和数据库软件的关键更新(KB)、补丁(SP)和升级时进行过测试吗?,准备审查清单-continued,审计失败的登录/存取日至的周期是多少? 服务器上的外部USB端口是否禁用? 通过什么方式监控服务器软件的漏洞,例如sql注入? 服务器DOWN掉之后通常如何处理?处理流程? 服务器上开
35、放的端口共有几个?非常用端口的用途是什么? 采用何种方式远程登录服务器? 是否有服务器的系统备份?备份到哪里? 多长时间检查一下登录服务器的帐户清单?各种帐户的权限是否满足ISMS的要求? 如何处理服务器故障警报(磁盘、内存或最大并发数?),ISO27001 LA Training Course Day 4,Shanghai Feb. 21, 2008,闪现的几道题的答案,Policy ,经验,每年都需要审查到的条款:(经验) 4-8:每次都要审查到(每个部门都会涉及到) 资产清单 职责、权限 事故管理 BCP 法律法规 结束会议: 交流信息,交接希望与他人沟通的内容,归纳不符合项! 对于不符
36、合项,Close meeting之前就应该进行了确认!,Conduct an audit,Opening meeting 自我介绍/介绍对方 领导致词 LA要宣布和确认如下内容: 目的、适用标准和文件 关注焦点(不一定,之前和高层领导交流) 公司名称(最好包含部门) 范围、地点(子公司、分公司,核心部门的外延,如机房、异地备份中心) 审核计划 LA介绍 审核方法(抽样2-3个,若有问题再加1-2个) 报告方法和不符合项的构成 沟通方式、各种会议介绍末次会议时间及安排 后勤事宜 有无特殊区域、特殊穿戴、装备要求? LA作保密声明,审核技巧,Funnel technique漏斗技术 Open问题
37、What? How? Why? Closed问题 Who? Is it? Alternative Confirm: 抽样! 审核开始时最好由对方多讲,从职责讲起 切记不要当tutor,GetRich Bank Organizational Chart,Just for training drawing,Also 末次会议,末次会议10分钟 之前有一个audit team的会议,合并所有问题 感谢 通报审核结果 总结:优势和劣势 发现沟通/提问和确认发现 审核发现的行动要求(客户写原因,要有改进计划和证据) 签署确认书/定期审核安排( 再次确认公司名称、地点) 保密要求,ISO27001 LA
38、Training Course Day 5,Shanghai Feb. 22, 2008,Prepare for examination,上午复习 下午准备考试,ISO27001主要条款一览,4 信息安全管理体系 4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 4.2.2 实施和运作ISMS 4.2.3 监控和评审ISMS 4.2.4 维护和改进ISMS 4.3 文件要求 4.3.1 总则 4.3.2 文件控制 4.3.3 记录控制5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 提供资源 5.2.2 培训、意识和能力6 信息安全管理体系内部审核7 信息安全管
39、理体系管理评审 7.1 总则 7.2 评审输入 7.3 评审输出8 ISMS改进 8.1 持续改进 8.2 纠正措施 8.3 预防措施,A.5 信息安全策略 A.5.1 信息安全策略 A5.1.1 信息安全策略文件 (DOC) A5.1.2 信息安全策略评审(Reviewed)A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全管理承诺 A.6.1.2 信息安全协作 A.6.1.3 信息安全责任划分 A.6.1.4 信息处理设施授权过程 A.6.1.5 保密协议 A.6.1.6 与监管机构的联系 A.6.1.7 与特殊利益团体适当的联系 A.6.1.8 信息安全独立审查A.6.
40、2 外部组织 A.6.2.1 识别外部组织风险 A.6.2.2 当与客户接触时强调安全 A.6.2.3 在第三方协议中强调安全A.7 资产管理 A.7.1 资产的责任 A.7.1.1 资产清单 A.7.1.2 资产所有权 A.7.1.3 资产的合理使用(DOC) A.7.2 信息分类 A.7.2.1 分类原则 A.7.2.2 信息标识及处理,A.8 人力资源的安全A.8.1 雇佣之前 (员工、合同人员、第三方人员) A.8.1.1 角色和职责 (DOC) A.8.1.2 人员筛选 ( 背景调查) A.8.1.3雇佣条款和条件A.8.2 雇佣中 A.8.2.1 管理职责(员工、合同人员、第三方人
41、员) A.8.2.2 信息安全意识、教育与培训 A.8.2.3 惩戒过程A.8.3 雇佣终止和变更 A.8.3.1 终止责任 A.8.3.2 资产归还 A.8.3.3 删除访问权限A.9 物理和环境安全A.9.1 安全区域 A.9.1.1 物理安全边界 A.9.1.2 物理进入控制 A.9.1.3 办公室、房间及设施和安全 A.9.1.4防范外部和环境威胁 A.9.1.5 在安全区域工作 A.9.1.6 公共访问和装卸区域A.9.2设备安全 A.9.2.1 设备安置及保护,ISO27001主要条款一览,A.9.2.2 支持设施 A.9.2.3 电缆安全 A.9.2.4 设备维护 A.9.2.5
42、 管辖区域外设备安全 A.9.2.6 设备报废或重用 A.9.2.7 财产转移A.10 通讯与操作管理A.10.1 操作程序及职责 A.10.1.1 文件化的操作程序 () A.10.1.2 变更管理 A.10.1.3 职责分离 A.10.1.4 开发、测试与运营设施的分离A.10.2 第三方服务交付管理 A.10.2.1 服务交付 A.10.2.2 第三方服务的监督和评审(Review) A.10.2.3 第三方服务的变更管理A.10.3 系统规划和验收 A.10.3.1 容量管理 A.10.3.2 系统验收 (测试) A.10.4 防范恶意代码和移动代码 A.10.4.1 控制恶意代码 (
43、病毒) A.10.4.2 控制移动代码A.10.5 备份 A.10.5.1 信息备份 (Regularly),A.10.6 网络安全管理 A.10.6.1 网络控制 A.10.6.2 网络服务安全 (网络服务级别)A.10.7 介质处理 A.10.7.1 可移动介质管理 A.10.7.2 媒体销毁 A.10.7.3 信息处理程序 A.10.7.4 系统文档安全A.10.8 信息交换 A.10.8.1 信息交换策略和程序 A.10.8.2 交换协议 A.10.8.3 物理介质传输 A.10.8.4 电子消息 A.10.8.5 业务信息系统A.10.9电子商务 A.10.9.1 电子商务 A.10
44、.9.2 在线交易 A.10.9.3 公共可用信息A.10.10 监督 A.10.10.1 审核日志 A.10.10.2 监控系统的使用 A.10.10.3日志信息保护 A.10.10.4 管理员和操作员日志 A.10.10.5 错误日志 A.10.10.6 时钟同步,A.11 访问控制A.11.1 访问控制的业务需求 A.11.1.1 访问控制策略 (DOC) A.11.2 用户访问管理 A.11.2.1 用户注册 A.11.2.2 特权管理 A.11.2.3 用户口令管理 A.11.2.4 用户访问权限的评审(Review) A.11.3 用户责任 A.11.3.1 口令使用 A.11.3
45、.2无人值守的用户设备 A.11.3.3 清除桌面机屏幕策略 A.11.4 网络访问控制 A.11.4.1 网络服务使用策略 A.11.4.2 外部连接用户的鉴别(远程访问) A.11.4.3 网络设备的识别 A.11.4.4 远程诊断和配置端口保护 A.11.4.5 网内隔离 A.11.4.6 网络连接控制 A.11.4.7网络路由控制 A.11.5 操作系统访问控制 A.11.5.1 安全登录程序 A.11.5.2 用户标识和鉴别 (唯一的UID) A.11.5.3 口令管理系统 A.11.5.4 系统设施的使用 A.11.5.5 会话超时 A.11.5.6 联机时间限制 A.11.6应用
46、系统和信息访问控制 A.11.6.1 信息访问限制 A.11.6.2 敏感系统隔离,ISO27001主要条款一览,A.11.7 移动计算和远程工作 A.11.7.1 移动计算和通讯 A.11.7.2 远程工作A.12 信息系统采集、开发及维护A.12.1 信息系统安全要求 A.12.1.1安全要求分析及规范 A.12.2 应用程序中的正确处理 A.12.2.1 输入数据验证 A.12.2.2 内部处理控制 A.12.2.3 消息完整性 A.12.2.4 输出数据验证 A.12.3 加密控制 A.12.3.1 使用加密控制的策略 A.12.3.2 密钥管理 A.12.4 系统文档安全 A.12.
47、4.1操作软件控制 A.12.4.2系统测试数据的保护 A.12.4.3 源代码库的访问控制 A.12.5 开发及支持过程的安全 A.12.5.1 变更控制程序 A.12.5.2 操作系统变更的技术审查 A.12.5.3 软件包变更限制 A.12.5.4 信息泄露 A.12.5.5 软件外包开发 A.12.6 技术漏洞管理 A.12.6.1 控制技术漏洞A.13 信息安全事故的管理A.13.1报告安全时间和弱点,A.13.1.1 信息安全事件报告 A.13.1.2 报告信息安全弱点(员工、合同人员、第三方人员) A.13.2 信息安全事故的管理和改进 A.13.2.1职责和程序 A.13.2.
48、2 从安全事故中学习 A.13.2.3 收集证据A.14 业务连续性管理A.14.1 业务连续管理信息的安全方面 A.14.1.1 包含信息安全的业务连续性管理过程 A.14.1.2 业务连续性及风险评估 A.14.1.3开发和实施包括信息安全的持续计划 A.14.1.4 业务连续性计划架构 A.14.1.5 业务连续计划的测试、维护与再评估(Regularly)A.15 符合性A.15.1法律要求的符合性 A.15.1.1 识别使用的法律法规 A.15.1.2 知识产权 A.15.1.3 保护组织记录 A.15.1.4 个人信息的隐私及数据保护 A.15.1.5 防护信息处理设施用于未授权的目的 A.15.1.6 加密控制法规 A.15.2 符合安全策略、标准和技术的适用性 A.15.2.1符合安全策略和标准 A.15.2.2 技术符合性检查(regularly) A.15.3信息系统审核的考虑因素 A.15.3.1 信息系统审核控制 A.15.3.2 信息系统审核工具保护,The end.,Thanks gods,
