iso27001主任审核员培训.ppt

ISO27001LeadAuditorTrainingCourse,NeilYuShanghaiFeb.18-22,2008Version1.6UpdatedonJune19,2008,ISO27001LATrainingCourseDay1,ShanghaiFeb.18,2008,典型的信息安全事件,HW事件HW到中东某国投标，、人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘LM事件LM一直与中国军方关系密切，承接过国家级信息安全项目骨干中一人离职出国，带出很多涉密文件，结果LM被封杀艳照门很傻很天真,什么叫管理体系,SystemSetofinterrelatedorinteractingelements体系一系列相关关联相互作用的元素WorksystematicallyTobeeffective,thingshavetobeorganizedinasuitable/practicalwayandshouldbedoneinacertainsequence系统地工作为保证工作效率，事情必须按合适的/可行的方法进行组织，并以一定的顺序完成ManagementSystemSystemtoestablishpolicyandobjectivesandtoachievethoseobjectives管理体系建立方针和目标，并实现目标的体系,管理体系的4大要素,组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训,常见的管理体系,质量管理：ISO9001环境管理：ISO14001职业安全：OHSAS18001社会责任：SA8000信息安全：ISO27001,什么是质量,质量3要素QCT符合客户的要求（Q）不能导致成本上升（C）时间（T）以上三个方面的平衡的结果就是质量,质量管理体系一览,国际标准ISO9001汽车行业（比ISO9001多了项目管理方面的要求）TS16949（汽车行业的质量管理体系）QS9000（美国的汽车行业标准）VDA6.1（德国大众的质量管理体系）其他行业ISO22000（食品行业）TL9000（通讯业）ISO20000（可称为IT业的服务质量标准）CMMI（适合软件研发和新技术开发）,信息安全的3要素,Confidentialitythepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entitiesorprocesses保密性信息被获取或泄漏给未经授权的个人、实体或流程Integritythepropertyofsafeguardingtheaccuracyandcompleteness完整性保护资产准确和完整Availabilitythepropertyofbeingaccessibleanduseableupondemandbyanauthorizedentity可用性资产仅对授权人员在需要的时候是可访问的或可用的,什么叫ISMS信息安全管理体系,Information信息信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。InformationSecurity信息安全对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,InformationSecurityManagementSystem信息安全管理体系是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。,step1,如果,ISMS和其他体系的联系和区别,联系所有管理体系的共性（需要分析的5大要素）：人、机、料、法、环区别ISMS：%5的人：做95%的工作%95的人：执行（需要接受培训）,本页及下页图片来源于BSI中国网站,ISMS适用的行业,以信息为生命线的行业：金融行业：银行、保险、证券、基金、期货等通信行业：电信、网通、移动、联通等皮包公司：外贸、进出口、HR、猎头、会计师事务所等对信息技术依赖度高的行业：钢铁、半导体、物流电力、能源外包（ITO或BPO）：IT、软件、电信IDC、CallCenter等工艺技术要求高、竞争对手渴望得到的：医药、精细化工研究机构,ISO27001,20000或目前的实践满足定义的需求的情况值得怀疑.Agroupofcategory2non-conformitiesindicatinginadequateimplementationofthesystemrelevanttoanelementofthestandard.针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施.Acategory2non-conformitythatispersistentshallbetreated(up-graded)asacategory1non-conformity.轻微不符合事项持续下去应该判断为严重不符合事项,不符合定义byDNV,CategoryII(Minor)Non-Conformity轻微不符合Alapseofeitherdisciplineorcontrolduringtheimplementationofsystem/proceduralrequirements,whichdoesnotindicateasystembreakdownorraisedoubtthatpracticeswillmeetrequirements.系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.,不符合,Non-conformity审核报告中必须附证据一个不符合事项是没有符合一个要求、失败和证据（很烂的翻译）要求therequirement失败thefailing证据theevidence尽量不要开条款4.2,Sourceoftherequirements:法令/法规的要求组织的过程和运营时间规范程序作业指导书客户要求详细说明时间规范体系标准组织的管理手册,Whatisanobservation?,PotentialproblemRiskInefficiencyIneffectivenessFailuretoapplybestpracticeMisunderstandingLackofcommunication,Tipsn,Howtosolveconflicts？LA职责：主持、确认，解决冲突找对方的CISO！对方可以找LA！两条重要的审核路线：资产清单-风险评估文件审核（按4.3.1要求）要求有涉及信息安全的法律法规发现缺失的文件太多，企业基础太差怎么办？列出缺失项，告诉对方建议推迟审核,审核准备,启动阶段需要提前知道的：企业简况组织名称地点规模审核范围采用的标准（ISOXXXX）组织结构图审核时间审核理由（第几方）,编制审核计划公司多sites的抽样方法：抽样数=地点数量开平方+1制订审核计划，发送给客户请他们确认,CaseStudy:GetRichBank,绘制Department-RolesMatrixDay1高层访谈（15-30分钟了解高层关注的焦点问题）审核前必须有一个openingmeeting（30分钟）练习：四人分两组，分别审核GetRich银行各个部门每天审核结束前（4：00-4：30）开审核小组内部会议审核小组同客户交流审核发现（4：30-5：00），确认当天的问题Day2中午开closemeeting,内部会议,由LA主持，审核师交流需要交接的内容，主要目的是合并共性的问题总结归纳,准备审查清单（e.g.）,服务器的型号、购买时间、保修期、上门服务响应时间有记录吗？服务器硬件配置、供应商联系方式有更新吗？服务器上的所有软件安装清单、版本有记录吗？供应商提供的软硬件维修/维护有记录吗？服务器administrator/su密码由专人负责维护吗？服务器访问控制审计记录？对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级监控的系统弱点有监控吗？对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级时进行过测试吗？,准备审查清单-continued,审计失败的登录/存取日至的周期是多少？服务器上的外部USB端口是否禁用？通过什么方式监控服务器软件的漏洞，例如sql注入？服务器DOWN掉之后通常如何处理？处理流程？服务器上开放的端口共有几个？非常用端口的用途是什么？采用何种方式远程登录服务器？是否有服务器的系统备份？备份到哪里？多长时间检查一下登录服务器的帐户清单？各种帐户的权限是否满足ISMS的要求？如何处理服务器故障警报（磁盘、内存或最大并发数?),ISO27001LATrainingCourseDay4,ShanghaiFeb.21,2008,闪现的几道题的答案,Policy,经验,每年都需要审查到的条款：（经验）4-8：每次都要审查到（每个部门都会涉及到）资产清单职责、权限事故管理BCP法律法规结束会议：交流信息，交接希望与他人沟通的内容，归纳不符合项！对于不符合项，Closemeeting之前就应该进行了确认！,Conductanaudit,Openingmeeting自我介绍/介绍对方领导致词LA要宣布和确认如下内容：目的、适用标准和文件关注焦点（不一定，之前和高层领导交流）公司名称（最好包含部门）范围、地点（子公司、分公司，核心部门的外延，如机房、异地备份中心）审核计划LA介绍审核方法（抽样2-3个，若有问题再加1-2个）报告方法和不符合项的构成沟通方式、各种会议介绍末次会议时间及安排后勤事宜有无特殊区域、特殊穿戴、装备要求？LA作保密声明,审核技巧,Funneltechnique漏斗技术Open问题What?How?Why?Closed问题Who?Isit?AlternativeConfirm:抽样！审核开始时最好由对方多讲，从职责讲起切记不要当tutor,GetRichBankOrganizationalChart,Justfortrainingdrawing,Also末次会议,末次会议10分钟之前有一个auditteam的会议，合并所有问题感谢通报审核结果总结：优势和劣势发现沟通/提问和确认发现审核发现的行动要求（客户写原因，要有改进计划和证据）签署确认书/定期审核安排（再次确认公司名称、地点）保密要求,ISO27001LATrainingCourseDay5,ShanghaiFeb.22,2008,Prepareforexamination,上午复习下午准备考试,ISO27001主要条款一览,4信息安全管理体系4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运作ISMS4.2.3监控和评审ISMS4.2.4维护和改进ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.3记录控制5管理职责5.1管理承诺5.2资源管理5.2.1提供资源5.2.2培训、意识和能力6信息安全管理体系内部审核7信息安全管理体系管理评审7.1总则7.2评审输入7.3评审输出8ISMS改进8.1持续改进8.2纠正措施8.3预防措施,A.5信息安全策略A.5.1信息安全策略A5.1.1信息安全策略文件（DOC）A5.1.2信息安全策略评审（Reviewed）A.6信息安全组织A.6.1内部组织A.6.1.1信息安全管理承诺A.6.1.2信息安全协作A.6.1.3信息安全责任划分A.6.1.4信息处理设施授权过程A.6.1.5保密协议A.6.1.6与监管机构的联系A.6.1.7与特殊利益团体适当的联系A.6.1.8信息安全独立审查A.6.2外部组织A.6.2.1识别外部组织风险A.6.2.2当与客户接触时强调安全A.6.2.3在第三方协议中强调安全A.7资产管理A.7.1资产的责任A.7.1.1资产清单A.7.1.2资产所有权A.7.1.3资产的合理使用（DOC）A.7.2信息分类A.7.2.1分类原则A.7.2.2信息标识及处理,A.8人力资源的安全A.8.1雇佣之前（员工、合同人员、第三方人员）A.8.1.1角色和职责（DOC）A.8.1.2人员筛选（背景调查）A.8.1.3雇佣条款和条件A.8.2雇佣中A.8.2.1管理职责（员工、合同人员、第三方人员）A.8.2.2信息安全意识、教育与培训A.8.2.3惩戒过程A.8.3雇佣终止和变更A.8.3.1终止责任A.8.3.2资产归还A.8.3.3删除访问权限A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全边界A.9.1.2物理进入控制A.9.1.3办公室、房间及设施和安全A.9.1.4防范外部和环境威胁A.9.1.5在安全区域工作A.9.1.6公共访问和装卸区域A.9.2设备安全A.9.2.1设备安置及保护,ISO27001主要条款一览,A.9.2.2支持设施A.9.2.3电缆安全A.9.2.4设备维护A.9.2.5管辖区域外设备安全A.9.2.6设备报废或重用A.9.2.7财产转移A.10通讯与操作管理A.10.1操作程序及职责A.10.1.1文件化的操作程序（）A.10.1.2变更管理A.10.1.3职责分离A.10.1.4开发、测试与运营设施的分离A.10.2第三方服务交付管理A.10.2.1服务交付A.10.2.2第三方服务的监督和评审（Review）A.10.2.3第三方服务的变更管理A.10.3系统规划和验收A.10.3.1容量管理A.10.3.2系统验收（测试）A.10.4防范恶意代码和移动代码A.10.4.1控制恶意代码（病毒）A.10.4.2控制移动代码A.10.5备份A.10.5.1信息备份（Regularly）,A.10.6网络安全管理A.10.6.1网络控制A.10.6.2网络服务安全（网络服务级别）A.10.7介质处理A.10.7.1可移动介质管理A.10.7.2媒体销毁A.10.7.3信息处理程序A.10.7.4系统文档安全A.10.8信息交换A.10.8.1信息交换策略和程序A.10.8.2交换协议A.10.8.3物理介质传输A.10.8.4电子消息A.10.8.5业务信息系统A.10.9电子商务A.10.9.1电子商务A.10.9.2在线交易A.10.9.3公共可用信息A.10.10监督A.10.10.1审核日志A.10.10.2监控系统的使用A.10.10.3日志信息保护A.10.10.4管理员和操作员日志A.10.10.5错误日志A.10.10.6时钟同步,A.11访问控制A.11.1访问控制的业务需求A.11.1.1访问控制策略（DOC）A.11.2用户访问管理A.11.2.1用户注册A.11.2.2特权管理A.11.2.3用户口令管理A.11.2.4用户访问权限的评审（Review）A.11.3用户责任A.11.3.1口令使用A.11.3.2无人值守的用户设备A.11.3.3清除桌面机屏幕策略A.11.4网络访问控制A.11.4.1网络服务使用策略A.11.4.2外部连接用户的鉴别（远程访问）A.11.4.3网络设备的识别A.11.4.4远程诊断和配置端口保护A.11.4.5网内隔离A.11.4.6网络连接控制A.11.4.7网络路由控制A.11.5操作系统访问控制A.11.5.1安全登录程序A.11.5.2用户标识和鉴别（唯一的UID）A.11.5.3口令管理系统A.11.5.4系统设施的使用A.11.5.5会话超时A.11.5.6联机时间限制A.11.6应用系统和信息访问控制A.11.6.1信息访问限制A.11.6.2敏感系统隔离,ISO27001主要条款一览,A.11.7移动计算和远程工作A.11.7.1移动计算和通讯A.11.7.2远程工作A.12信息系统采集、开发及维护A.12.1信息系统安全要求A.12.1.1安全要求分析及规范A.12.2应用程序中的正确处理A.12.2.1输入数据验证A.12.2.2内部处理控制A.12.2.3消息完整性A.12.2.4输出数据