版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ISO27001LeadAuditorTrainingCourseNeilYuShanghaiFeb.18-22,2008Version1.6UpdatedonJune19,2008ISO27001LATrainingCourse
Day1ShanghaiFeb.18,2008典型的信息安全事件HW事件HW到中东某国投标,5、6人住当地一家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘……LM事件LM一直与中国军方关系密切,承接过国家级信息安全项目骨干中一人离职出国,带出很多涉密文件,结果LM被封杀艳照门很傻很天真什么叫管理体系System–Setofinterrelatedorinteractingelements体系–一系列相关关联相互作用的元素Worksystematically–Tobeeffective,thingshavetobeorganizedinasuitable/practicalwayandshouldbedoneinacertainsequence系统地工作–为保证工作效率,事情必须按合适的/可行的方法进行组织,并以一定的顺序完成ManagementSystem–Systemtoestablishpolicyandobjectivesandtoachievethoseobjectives管理体系–建立方针和目标,并实现目标的体系管理体系的4大要素组织机构:明确职责、权限程序:告诉相关人员怎么做过程:具体的执行情况,如何做的?比如执行人是否每周2次检查了某个应用程序的日志?资源:可调配、使用的人员、设备等培训资源过程程序组织结构管理体系常见的管理体系质量管理:ISO9001环境管理:ISO14001职业安全:OHSAS18001社会责任:SA8000信息安全:ISO27001什么是质量质量3要素QCT符合客户的要求(Q)不能导致成本上升(C)时间(T)以上三个方面的平衡的结果就是质量QualityCostTime质量管理体系一览国际标准ISO9001汽车行业(比ISO9001多了项目管理方面的要求)TS16949(汽车行业的质量管理体系)QS9000(美国的汽车行业标准)VDA6.1(德国大众的质量管理体系)其他行业ISO22000(食品行业)TL9000(通讯业)ISO20000(可称为IT业的服务质量标准)CMMI(适合软件研发和新技术开发)信息安全的3要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entitiesorprocesses保密性–信息被获取或泄漏给未经授权的个人、实体或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompleteness完整性–保护资产准确和完整Availability–thepropertyofbeingaccessibleanduseableupondemandbyanauthorizedentity可用性–资产仅对授权人员在需要的时候是可访问的或可用的什么叫ISMS信息安全管理体系Information信息信息是一种重要资产,对组织的业务非常关键。信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储、邮寄或使用电子手段传输,以影片播放或对话。InformationSecurity信息安全对信息的保密性、完整性和可用性的保护,同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。InformationSecurityManagementSystem信息安全管理体系是管理体系的一部分,基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全。简单地说,是为了确保组织信息的“三性”,设立的组织机构、程序、过程和资源。step1如果ISMS和其其他体系的联联系和区别联系所有管理体系系的共性(需需要分析的5大要素)::人、机、料料、法、环区别ISMS:%5的人:做做95%的工工作%95的人::执行(需要要接受培训))本页及下页图图片来源于BSI中国网网站ISMS适用用的行业以信息为生命命线的行业::金融行业:银银行、保险、、证券、基金金、期货等通信行业:电电信、网通、、移动、联通通等皮包公司:外外贸、进出口口、HR、猎猎头、会计师师事务所等对信息技术依依赖度高的行行业:钢铁、半导体体、物流电力、能源外包(ITO或BPO)):IT、软件、、电信IDC、CallCenter等工艺技术要求求高、竞争对对手渴望得到到的:医药、精细化化工研究机构ISO27001,20000&CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20000ISO27001ISO27001如何成为LA主任审核员员?要成为LA,,必须经过::2MDobserver->JuniorAuditor20MDjuniorauditor->Auditor15MDauditor->LeadAuditor注意:后两项经验需需分别从3个个新的、不同同的客户中获获取上述每一段经经验,均需在在2年内获得得DNV可以帮帮助进行IRCA注册什么是好的ISMSGoodInformationSecurityManagementSystematicapproachImprovedunderstandingofbusinessaspectsReductioninsecuritybreachesand/orclaimsReductioninadversepublicityImprovedinsuranceliabilityratingIdentifycriticalassetsviathebusinessriskassessmentProvideastructureforcontinuousimprovementBeaconfidencefactorinternallyaswellasexternallyEnhancetheknowledgeandimportanceofsecurity-relatedissuesatthemanagementlevelEnsurethat““knowledgecapital””willbe““stored”andmanagedinabusinessmanagementsystem实施ISMS的的关键键成功功因素素与组织织文化化一致致的信信息安安全方方法老板的的支持持对信息息安全全的要要求、、风险险评估估和风风险管管理有有好的的理解解向所有有员工工和其其他人人分发发信息息安全全指南南有效的的对员员工和和其他他人推推销信信息安安全((外部部人员员也被被要求求进行行信息息安全全培训训)足够的的财务务支持持,以以及满满足要要求的的现有有系统统的能能力和和配置置水平平有效的的信息息安全全事故故管理理过程程Tips1重要要提示示ISMS((信息息安全全管理理体系系)和和ITSM(信信息技技术服服务管管理))的整整合需需求越越来越越大::来自最最高管管理者者的关关注增增强来自客客户的的推动动、压压力政府的的推动动并提提供资资金的的支持持,如如“十十百千千”工工程行业的的普遍遍关注注,如如电信信IDC,,移动动,电电力系系统,,海关关总署署,国国家质质监总总局目前,,各大大银行行和电电力企企业正正在实实施ITIL,,每年年有VeryLarge的的市场场。半导体体业对对ISMS的要要求非非常严严格,,甚至至高过过金融融业!!Tips2历史教教训::保安安和清清洁工工是信信息安安全的的重要要威胁胁!((无意意伤害害对““阶层层”感感情情的好好恶))所有员员工,,包括括所有有外来来人员员,必必须接接受信信息安安全的的培训训小窍门门:在在门卫卫/传传达室室放一一个《《外来来人员员安全全须知知》,,外外来人人员在在阅读读后要要签字字,这这是对对外来来人员员进行行了信信息安安全培培训的的证据据Tips3信息安安全容容易忽忽视的的两个个的地地方Thumbdrive((U盘盘,尽尽量禁禁用!!)Domaincontroller(域域控制制器,,加强强管理理!))Goodpractices:人员发发生变变动的的时候候,一一定要要调整整访问问权限限查看企企业的的财产产保险险合同同审核完完毕后后一般般都需需要提提高保保险级级别!!很NB的缩缩写BlackBelt::黑带带#%!%!··#¥¥···#………ERM:企企业风风险管管理((目前前最高高级别别的认认证))BCM:业业务持持续性性管理理CSR:企企业可可持续续发展展报告告(验验证各各项指指标))RPN:风风险优优先指指数BCM/BCP:业业务持持续战战略ContinualImprovement:持持续改改进RA::风险险分析析ITDRMCABIARTO:recoverytimeobjectiveRPO:recoverypointobjectiveLBCBCP与灾灾难恢恢复等等概念念的比比较影响公公司层层面业业务持持续性性的因因素供应链链中断断:重重要原原料、、IT硬件件高层的的错误误决策策客户不不满关键人人员流流失数据中中心重重大事事故恐怖袭袭击、、战争争员工信信心天灾人人祸、、火灾灾爆炸炸联动点点法律法法规公众反反应BCM非常常重要要实施ITSM业业务连连续性性管理理的两两条途途径公司层层面的的BCM((适合合于ITOutsourcing或或BPO企企业))信息安安全层层面的的BCM,,适合合大型型制造造业及及工艺艺流程程复杂杂的企企业BCM或BCP比““可用用性管管理””有更更大的的范围围和规规模!!BCM:一一个个好的的平台台QualitymanagementPublicrelationshipInvestmentdirectionSecuritymanagementDisasterrecoverySafetymanagementFacilitiesmanagementIT/OtherdisasterrecoverySupplychainmanagementRiskmanagementBCM的步步骤理解你你的业业务BIA(BusinessImpactAssessment)业务持持续性性计划划BCP(BusinessContinuityPlanning)研究并并实施施BCM行行动建立并并深入入公司司BCM文文件演练/维护护及审审核BCMISO27001LATrainingCourseDay2ShanghaiFeb.19,2008建立ISMS的的步骤骤制定方方针确定边边界识别资资产风险评评估风险处处置风险接接受动态的的风险险管理理制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理风险、、威胁胁和脆脆弱性性的概概念风险Risk::特定的的威胁胁利用用资产产漏洞洞的潜潜在可可能,,并可可导致致对组组织的的危害害。它它根据据事件件的可可能性性及后后果进进行测测量。。风险分分析::评估风风险数数量的的系统统化流流程风险评评估::包括风风险定定义,,风险险分析析和风风险评评估的的流程程。威胁Threat::引起事事故的的潜在在因素素,可可能对对组织织或系系统产产生损损害脆弱性性Vulnerability::资产的的弱点点,可可能被被一个个或多多个威威胁利利用影响Impact:信息安安全事事故的的结果果风险产产生的的原因因5大因因素::自然环环境社会经经济环环境政治及及法制制因素素营运环环境意识及及沟通通因素素或者::人机:软软硬件件,需需要维维护料:输输入,,包括括客户户需求求法:程程序、、方法法,是是否清清楚、、适当当环:大大环境境资产类类型通常::网络机房PC台式机机笔记本本普通营销部部/中中层干干部高层管管理人人员人员文档电子书面客户要要求整体实实体((物理理)安安全分类::信息资资产::数据据文件件、数数据库库软件资资产::系统统软件件、应应用软软件物理资资产::计算算机、、通讯讯设备备服务资资产::电力力、消消防、、打印印机、、复印印机人力资资产::员工工、工工人纸面资资产::协议议、合合同无形资资产::公司司形象象、名名誉、、品牌牌注意意::IT部部门门可可能能拥拥有有上上述述所所有有资资产产,,其其他他部部门门可可能能只只拥拥有有其其中中1至至2项项编制制资资产产识识别别表表资产产??对组组织织有有价价值值的的任任何何事事物物编制制资资产产识识别别表表的的要要点点找对对owner合并并同同类类项项,,特特性性和和风风险险相相同同的的资资产产可可以以合合并并为为一一项项小窍门::先按部门门分别进进行对资产项项合并同同类项后后,可跨跨部门再再进行一一次合并并同类项项风险的计计算第一种方方法:风风险=严严重性*可能性性影响程度度的严重重性(权权重较大大)威胁发生生的可能能性:按按历史发发生情况况!第二种方方法:严严重性*可能性性*脆弱弱性脆弱性::检验现现有防护护措施RPN=S*O*W(servility*occurrence*weakness)比如,美美国地震震工程研研究所对对“地震风风险性””的定义是地震危危险性((致灾因因子)、、社会财财富(承承灾性))和脆弱弱性三者者的乘积积FMEA:好方方法!行业内的的叫法::RPN(风险险优先指指数)风险的计计算(续续)(第二种种方法))根据资资产识别别的结果果判断严重性威胁名称称、威胁胁来源、、威胁赋赋值脆弱性类类别、已已有控制制措施、、脆弱性性赋值低:现有有系统能能够自动动识别,,且有充充分有效效的紧急急响应中:通过过检查/监控能能够看出出趋势或或有较充充分的紧紧急响应应高:现有有条件下下不能探探测或一一旦发生生问题没没有有效效风险计算算风险处理理指标::风险处处置措施施、责任任部门、、完成时时间示例严重性…………风险接受/残余风险可能性脆弱性残余风险风险的计计算(续续)剩余风险险剩余风险险=资资产严严重性((不变的的)*可可能性性(改进进后的))*脆弱弱性(改改进后的的)脆弱性(需要自自己定义义,以下下举例))低:现有有系统能能够自动动识别,,且有充充分有效效的紧急急响应中:通过过检查/监控能能够看出出趋势或或有较充充分的紧紧急响应应高:现有有条件下下不能探探测或一一旦发生生问题没没有有效效响应严重性(需要自自己定义义,以下下举例))低:不影影响正常常生产及及客户满满意度,,对公司司运营影影响不大大中:停止止4小时时生产以以下,被被用户投投诉高:停止止4小时时生产以以上,被被用户投投诉补充ISMS的范围围和边界界是建立ISMS的第一一步,明明确覆盖盖哪些业业务流程程ISMSPolicy信息息安全管管理体系系方针是信息安安全策略略(Informationsecuritypolicy)的的扩展集集根据组织织的实际际情况,,如业务务性质、、地理位位置、资资产情况况和技术术水平来来定义,,例如::在线服务务:对可可用性要要求高金融机构构:对完完整性要要求高医院:对对保密性性要求高高需要考虑虑业务、、法规及及合同责责任方面面的要求求建立风险险管理准准则,明明确可接接受的风风险水平平得到管理理层的批批准Exercise1作业:讲解ISO27001a10-a12以及12.5和和12.6ISO27001LATrainingCourseDay3ShanghaiFeb.20,2008ISO27001的组组成主体部分分:Clause4,5,6,7,8((所有ISO标标准都有有的,不不可删减减)A5-A1511条条大的安安全控制制条款39个个控制类类(控制制目标))133项项控制制措施需验证的的六大文文件4.3.1g中需验验证以下下文件::管理评审审内审文件控制制ISMS特殊要要求:[online的才是是有效的的,打印印的仅供供参考!!]标示文件件的保密密级别电子文档档(网上上流转))的保护护质量记录录控制重要性::备证纠正措施施预防措施施CHINACISSP“易易水寒江江雪”认认为:《信息安安全策略略》《文件控控制程序序》《记录控控制程序序》《内部审审核管理理程序》》《纠正预预防措施施》标准中将将纠正和和预防是是分别定定义成两两个文件件的,因因为这两两个文件件的结构构基本类类似,目目的也相相似,因因此通常常将其合合并来一一起编写写。就认证而而言,并并没有对对文件的的多少有有强制性性的要求求,但是是就惯例例而言,,二级程程序文件件通常还还包括::《管理评评审控制制程序》》《信息安安全风险险评估管管理程序序》《BCP》《DRP》《适用性性声明》》《计算机机和网络络安全控控制程序序》等等。至至于三三级文件件,因各各个机构构情况不不一,在在此就没没有一一一列举。。物理安全全和人员员安全的的要点物理安全全需检查查:平面布局局图标示出的的敏感物物理区域域人员安全全需注意意:任何人发发生变动动而引起起权限变变更,都都必须报报告给HR文件管理理Bestpractices:绝密级的的文件要要受控发发放(每每页加““绝密””字样)),当天天发放、、当天收收回绝密级的的电子文文件不允允许放到到网上一句经典典:online的才才是有效效的,打打印的仅仅供参考考!风险处置置选项与与适用性性声明RiskTreatmentOptions降低风险险Riskreduction采取控制制措施回避风险险Riskavoidance抛弃某种种技术或或生产方方式转移风险险Risktransfer保险、外外包接受风险险Riskacceptance……Statementofapplicability概括了对对风险处处置的决决定AboutFILESAudit关于于文审Basicauditskills:初审之前前要求企企业提供供TwoInitialrequirements:Organizationalchart组织结构构图Fileslist文件清单单Filesarchitecture:Highlevel:Policy/Manual(方方针、手手册)Mediumlevel:Standardprocedures(4W1H)LowLevel:Workinginstructions(作作业指导导书,针针对特定定工艺、、产品或或岗位)Basiclevel:records(记记录)Tips4初审时最最重要的的一件事事:找出出“风险险”点!!针对核心心系统进进行风险险评估,,实施控控制措施施考试小窍窍门:很多问题题的答案案都应该该选“Policy””审核类型型TypesofauditsFirstparty/internalaudit内审,但但不能审审核与自自己工作作职责相相同的范范围Secondparty/externalaudit客户对于于供应商商的审核核Thirdparty/externalaudit独立、公公正的认认证机构构的审核核OtherauditsProcessaudit(一一般表现现为受委委托对第第二方进进行审核核)Productaudit(一般般表现为为企业对对自身产产品的抽抽样、破破坏性试试验)认可/认认证的层层次关系系由上至下下:DepartmentofTradeandIndustry(DTI)世界工业业联合会会AccreditationBody(e.g.UKAS)认可机构构CertificationBodies(e.g.DNV)认证机构构Organizations组织Suppliers供应商CertificateProcesses预审Preliminaryassessment(optional)文件审核Documentreview(stage1)初访Initialvisit(stage1)初审Initialaudit(stage2)---follow-upvisit---跟踪访问follow-upvisit定期审核Periodicaudits换证审核Recertificationaudit另类的标标准ISO19011审审核标标准系统性独立性公正性ISO13335IT最佳佳实践VDA6.1质量的checklist,,很有参参考价值值!ISO19011-AuditorAttributesOpenminded:开开放的思思想Observant::观察力力Diplomatic:外交交能力Perceptive:理解解力Versatile::多才多多艺Tenacious::不屈不不挠Decisive:坚坚定Selfreliant::自信Observant:观察力Diplomatic:外交能力Perceptive:理解力Versatile:多才多艺Tenacious:不屈不挠Decisive:坚定Selfreliant:自信Openminded:开放的思想AuditorAttributes审核输出出与审核核发现Whatistheoutputofanaudit?审核核的输出出WeaknessStrengthsOpportunitiesRisksFailuresFindings审核核发现((需要定定义)Noteworthyefforts值值得努力力(一般般口头说说说即可可)Observations观观察项Non-conformities一般不符符合(如如果无证证据支撑撑,即使使说做过过了,也也可认为为是一般般不符合合)严重不符符合(在在同一个个区域多多次发生生或造成成严重事事故或后后果,有有严重失失效)不符合定义byDNVCategoryI(Major)Non-Conformity严重不符合Theabsenceof,ortheineffectiveimplementationof,oneormorerequiredsystemelements,orasituationwhichraisessignificantdoubtthatpracticeswillmeetspecifiedrequirements.一个或多个系系统的要素缺缺失或无效实实施;或目前的实践践满足定义的的需求的情况况值得怀疑.Agroupofcategory2non-conformitiesindicatinginadequateimplementationofthesystemrelevanttoanelementofthestandard.针对标准的某某个条款一组组轻微不符合合事项发现,说明需求没有有得到充分的的实施.Acategory2non-conformitythatispersistentshallbetreated(up-graded)asacategory1non-conformity.轻微不符合事事项持续下去去应该判断为为严重不符合合事项不符合定义byDNVCategoryII(Minor)Non-Conformity轻微不符合Alapseofeitherdisciplineorcontrolduringtheimplementationofsystem/proceduralrequirements,whichdoesnotindicateasystembreakdownorraisedoubtthatpracticeswillmeetrequirements.系统或程序需需求方面的一一种过失,这这种过失不说说明体系的崩崩溃,或引起起实践满足需需求的怀疑.不符合Non-conformity审核报告中必必须附证据一个不符合事事项是没有符符合一个要求求、失败和证证据(很烂的的翻译)要求therequirement失败thefailing证据theevidence尽量不要开条条款4.2Sourceoftherequirements:法令/法规的的要求组织的过程和和运营时间规范程序作业指导书客户要求详细说明时间规范体系标准组织的管理手手册Whatisanobservation?PotentialproblemRiskInefficiencyIneffectivenessFailuretoapplybestpracticeMisunderstandingLackofcommunicationTipsnHowtosolveconflicts?LA职责:主主持、确认,,解决冲突找对方的CISO!对方可以找LA!两条重要的审审核路线:资产清单->风险评估文件审核(按按4.3.1要求)要求有涉及信信息安全的法法律法规发现缺失的文文件太多,企企业基础太差差怎么办?列出缺失项,,告诉对方建议推迟审核核审核准备启动阶段需要要提前知道的的:企业简况组织名称地点规模审核范围采用的标准((ISOXXXX)组织结构图审核时间审核理由(第第几方)编制审核计划划公司多sites的抽样样方法:抽样数=地点点数量开平方方+1制订审核计划划,发送给客客户请他们确确认CaseStudy:GetRichBank绘制Department-RolesMatrixDay1高层访谈(15-30分分钟了解高层层关注的焦点点问题)审核前必须有有一个openingmeeting(30分钟)练习:四人分分两组,分别别审核GetRich银银行各个部门门每天审核结束束前(4:00-4:30)开审核核小组内部会会议审核小组同客客户交流审核核发现(4::30-5::00),确确认当天的问问题Day2中午开closemeeting内部会议由LA主持,,审核师交流流需要交接的的内容,主要要目的是合并并共性的问题题总结归纳准备审查清单单(e.g.)服务器的型号号、购买时间间、保修期、、上门服务响响应时间有记记录吗?服务器硬件配配置、供应商商联系方式有有更新吗?服务器上的所所有软件安装装清单、版本本有记录吗??供应商提供的的软硬件维修修/维护有记记录吗?服务器administrator/su密码码由专人负责责维护吗?服务器访问控控制审计记录录?对服务器操作作系统、支撑撑软件和数据据库软件的关关键更新(KB)、补丁丁(SP)和和升级监控的的系统弱点有有监控吗?对服务器操作作系统、支撑撑软件和数据据库软件的关关键更新(KB)、补丁丁(SP)和和升级时进行行过测试吗??准备审查清单单-continued审计失败的登登录/存取日日至的周期是是多少?服务器上的外外部USB端端口是否禁用用?通过什么方式式监控服务器器软件的漏洞洞,例如sql注入?服务器DOWN掉之后通通常如何处理理?处理流程程?服务器上开放放的端口共有有几个?非常常用端口的用用途是什么??采用何种方式式远程登录服服务器?是否有服务器器的系统备份份?备份到哪哪里?多长时间检查查一下登录服服务器的帐户户清单?各种种帐户的权限限是否满足ISMS的要要求?如何处理服务务器故障警报报(磁盘、内内存或最大并并发数?)ISO27001LATrainingCourse
Day4ShanghaiFeb.21,2008闪现的几道题题的答案Policy……经验每年都需要审审查到的条款款:(经验))4-8:每次次都要审查到到(每个部门门都会涉及到到)资产清单职责、权限事故管理BCP法律法规结束会议:交流信息,交交接希望与他他人沟通的内内容,归纳不不符合项!对于不符合项项,Closemeeting之之前就应该进进行了确认!!ConductanauditOpeningmeeting自我介绍/介介绍对方领导致词LA要宣布和和确认如下内内容:目的、适用标标准和文件关注焦点(不不一定,之前前和高层领导导交流)公司名称(最最好包含部门门)范围、地点((子公司、分分公司,核心心部门的外延延,如机房、、异地备份中中心)审核计划LA介绍审核方法(抽抽样2-3个个,若有问题题再加1-2个)报告方法和不不符合项的构构成沟通方式、各各种会议介绍绍末次会议时时间及安排后勤事宜有无特殊区域域、特殊穿戴戴、装备要求求?LA作保密声声明审核技巧Funneltechnique漏斗技术Open问题题What?How?Why?Closed问题Who?Isit?AlternativeConfirm:抽样样!审核开始时最最好由对方多多讲,从职责责讲起切记不要当tutorPeter,CIOITsystemandnetworksupport[Steve]Softwareapplication[Karen]Systemadministrator[James]SeniorprogrammerSystemadministrator[Jason]Programmer1Programmer2DBAGetRichBankOrganizationalChartJustfortrainingdrawingTodeathIfyouareourenemyYouwillbealwaystiredAlso末末次会议末次会议[10分钟][之前有一个个auditteam的会议,合合并所有问题题]感谢通报审核结果果总结:优势和和劣势发现沟通/提提问和确认发发现审核发现的行行动要求(客客户写原因,,要有改进计计划和证据))签署确认书/定期审核安安排(再次次确认公司名名称、地点))保密要求ISO27001LATrainingCourse
Day5ShanghaiFeb.22,2008Prepareforexamination上午复习下午准备考试试ISO27001主要条条款一览4信息安全全管理体系4.1总要要求4.2建立立和管理ISMS4.2.1建建立ISMS4.2.2实实施和运作作ISMS4.2.3监监控控和和评评审审ISMS4.2.4维维护护和和改改进进ISMS4.3文文件件要要求求4.3.1总总则则4.3.2文文件件控控制制4.3.3记记录录控控制制5管管理理职职责责5.1管管理理承承诺诺5.2资资源源管管理理5.2.1提提供供资资源源5.2.2培培训训、、意意识识和和能能力力6信信息息安安全全管管理理体体系系内内部部审审核核7信信息息安安全全管管理理体体系系管管理理评评审审7.1总总则则7.2评评审审输输入入7.3评评审审输输出出8ISMS改改进进8.1持持续续改改进进8.2纠纠正正措措施施8.3预预防防措措施施A.5信信息息安安全全策策略略A.5.1信信息息安安全全策策略略A5.1.1信信息息安安全全策策略略文文件件((DOC))A5.1.2信信息息安安全全策策略略评评审审((Reviewed))A.6信信息息安安全全组组织织A.6.1内内部部组组织织A.6.1.1信信息息安安全全管管理理承承诺诺A.6.1.2信信息息安安全全协协作作A.6.1.3信信息息安安全全责责任任划划分分A.6.1.4信信息息处处理理设设施施授授权权过过程程A.6.1.5保保密密协协议议A.6.1.6与与监监管管机机构构的的联联系系A.6.1.7与与特特殊殊利利益益团团体体适适当当的的联联系系A.6.1.8信信息息安安全全独独立立审审查查A.6.2外外部部组组织织A.6.2.1识识别别外外部部组组织织风风险险A.6.2.2当当与与客客户户接接触触时时强强调调安安全全A.6.2.3在在第第三三方方协协议议中中强强调调安安全全A.7资资产产管管理理A.7.1资资产产的的责责任任A.7.1.1资资产产清清单单A.7.1.2资资产产所所有有权权A.7.1.3资资产产的的合合理理使使用用((DOC))A.7.2信信息息分分类类A.7.2.1分分类类原原则则A.7.2.2信信息息标标识识及及处处理理A.8人人力力资资源源的的安安全全A.8.1雇雇佣佣之之前前((员员工工、、合合同同人人员员、、第第三三方方人人员员))A.8.1.1角角色色和和职职责责((DOC))A.8.1.2人人员员筛筛选选((背背景景调调查查))A.8.1.3雇雇佣佣条条款款和和条条件件A.8.2雇雇佣佣中中A.8.2.1管管理理职职责责((员员工工、、合合同同人人员员、、第第三三方方人人员员))A.8.2.2信信息息安安全全意意识识、、教教育育与与培培训训A.8.2.3惩惩戒戒过过程程A.8.3雇雇佣佣终终止止和和变变更更A.8.3.1终终止止责责任任A.8.3.2资资产产归归还还A.8.3.3删删除除访访问问权权限限A.9物物理理和和环环境境安安全全A.9.1安安全全区区域域A.9.1.1物物理理安安全全边边界界A.9.1.2物物理理进进入入控控制制A.9.1.3办办公公室室、、房房间间及及设设施施和和安安全全A.9.1.4防防范范外外部部和和环环境境威威胁胁A.9.1.5在在安安全全区区域域工工作作A.9.1.6公公共共访访问问和和装装卸卸区区域域A.9.2设设备备安安全全A.9.2.1设设备备安安置置及及保保护护ISO27001主主要要条条款款一一览览A.9.2.2支支持持设设施施A.9.2.3电电缆缆安安全全A.9.2.4设设备备维维护护A.9.2.5管管辖辖区区域域外外设设备备安安全全A.9.2.6设设备备报报废废或或重重用用A.9.2.7财财产产转转移移A.10通通讯讯与与操操作作管管理理A.10.1操操作作程程序序及及职职责责A.10.1.1文文件件化化的的操操作作程程序序((DDOOCC))A.10.1.2变变更更管管理理A.10.1.3职职责责分分离离A.10.1.4开开发发、、测测试试与与运运营营设设施施的的分分离离A.10.2第第三三方方服服务务交交付付管管理理A.10.2.1服服务务交交付付A.10.2.2第第三三方方服服务务的的监监督督和和评评审审((Review))A.10.2.3第第三三方方服服务务的的变变更更管管理理A.10.3系系统统规规划划和和验验收收A.10.3.1容容量量管管理理A.10.3.2系系统统验验收收((测测试试))A.10.4防防范范恶恶意意代代码码和和移移动动代代码码A.10.4.1控控制制恶恶意意代代码码((病病毒毒))A.10.4.2控控制制移移动动代代码码A.10.5备备份份A.10.5.1信信息息备备份份((Regularly))A.10.6网网络络安安全全管管理理A.10.6.1网网络络控控制制A.10.6.2网网络络服服务务安安全全((网网络络服服务务级级别别))A.10.7介介质质处处理理A.10.7.1可可移移动动介介质质管管理理A.10.7.2媒媒体体销销毁毁A.10.7.3信信息息处处理理程程序序A.10.7.4系系统统文文档档安安全全A.10.8信信息交交换A.10.8.1信信息交换换策略和和程序A.10.8.2交交换协议议A.10.8.3物物理介质质传输A.10.8.4电电子消息息A.10.8.5业业务信息息系统A.10.9电电子商务务A.10.9.1电电子商务务A.10.9.2在在线交易易A.10.9.3公公共可用用信息A.10.10监督督A.10.10.1审审核日日志A.10.10.2监监控系系统的使使用A.10.10.3日日志信息息保护A.10.10.4管管理员员和操作作员日志志A.10.10.5错错误日日志A.10.10.6时时钟同同步A.11访问问控制A.11.1访访问控控制的业业务需求求A.11.1.1访访问控制制策略((DOC)A.11.2用用户访访问管理理A.11.2.1用用户注册册A.11.2.2特特权管理理A.11.2.3用用户口令令管理A.11.2.4用用户访问问权限的的评审((Review)A.11.3用用户责责任A.11.3.1口口令使用用A.11.3.2无人人值守的的用户设设备A.11.3.3清清除桌面面机屏幕
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026温岭医疗面试题目及答案
- 小企业借款合同范本
- 人力资源招聘与面试技巧指导书
- 海沙买卖合同协议
- 食堂设备移交协议书
- 趣味故事会:让故事充满童趣小学主题班会课件
- 电商平台物流配送优化提升方案
- 博物馆珍贵文物失窃警情处置供安保部门预案
- 社交媒体公关危机系统制定与执行方案团队预案
- 感恩教育珍惜家人小学主题班会课件
- 2026年春国开大学《形势与政策》大作业参考答案(2篇)范文
- 重症患者的舒适护理与人文关怀
- 新生儿心律失常的护理
- 办公文档扫描错误紧急预案
- 建筑类毕业设计说明书模板
- 干燥综合征相关间质性肺病诊疗指南(2025年版)
- 教师资格备考(幼儿园)《综合素质》模拟试题及答案解析
- 2026年中考历史一轮复习:八年级上册知识点背诵提纲
- SMT设备介绍教学课件
- 儿童生理特点与护理
- 2026年兴业银行招聘风险管理专业题含答案
评论
0/150
提交评论