信息安全管理框架v10

信息安全管理框架

InformationSecurityManagementFramework主讲樊山1信息安全发展趋势及整体分析（一）1国家级网络信息安全战略有望出台2012年10月，华为、中兴在美被调查事件引起业界热议，国内各界审视自身网络，对我国信息安全表现更加担忧,尤其是国内运营商的网络核心节点部署着大量国外路由器等设备。为此，工信部在2013年工作会议中表示，将推动发布中国的信息安全战略，推进信息安全法律及标准研究制定，开展重点领域网络与信息安全检查和风险评估。2中国网络安全产业与国外差距缩小与全球信息安全市场相比，我国信息安全行业正处于快速成长期。根据赛迪顾问的统计数据，2013年我国信息安全产品的市场规模将增长至186.51亿元。迅速增长的国内市场，成就了多家国内信息安全厂商。3运营商安全防护走向集中化随着移动互联网、物联网、云计算等划时代技术潮流的迅速到来，通信产业在面临更大的创新机遇的同时，也面临着更加严峻的信息安全挑战。另一方面，宽带、3G、4G网络的快速发展，电信运营商网络越来越庞大，越来越复杂，任何小的安全漏洞都可能带来巨大安全事件，给网络和业务带来巨大损失，所以运营商将从多个角度加强安全系统建设。2信息安全发展趋势及整体分析（二）4云计算安全防护方案逐步落地云安全正从前两年的热点宣传逐步转向实际应用，用户向各种云平台迁移的趋势非常明显，云安全市场正在出现大幅增长。目前云安全联盟、云计算服务商、安全厂商，分别在云安全规范与策略、云安全技术与架构、云安全产品与方案等方面作出自己的努力，提高云计算平台的可靠性、可用性、数据的保密性，确保云计算得到健康有序的发展。5云安全SaaS市场将爆发式增长业界一直认为，由于国内用户需求与国外大不相同，作为“云”的重要组成部分，SaaS（Securityasaservice，安全即服务）服务会在中国“水土不服”。然而，经过2012年的发展，安全SaaS逐渐受到企业用户欢迎，尤其是中小企业用户，市场呈现快速发展态势。6移动智能终端恶意程序逐渐增加我国是移动互联网安全的“重灾区”，移动恶意程序呈爆发性增长，严重威胁用户隐私与合法权益，甚至危害国家安全。趋势科技表示，受安卓系统普及率大幅提升的影响，恶意与高风险的安卓应用数量在2012年底达到35万个，而这个数字在2013年当中或将攀升四倍，达到140万个。3信息安全发展趋势及整体分析（三）7企业级移动安全市场进入“井喷期”众多企业开始考虑BYOD。相比个人移动安全防护，企业级移动安全防护更加复杂。然而，随着移动警务、移动金融、移动政务和移动办公快速发展，传统网络面临的移动安全威胁加剧。可以说，3G网络成熟带来了更多的移动应用，而移动安全与移动应用是共存的情况。8大数据与安全技术走向融合2012年已经进入大数据时代。大数据分析将带来网络安全防护技术的变革，大数据分析与安全技术的融合将成为必定趋势，基于传统安全的防病毒、防火墙和入侵防御系统的技术将加快向以大数据分析监控为基础的安全技术改变。9社会工程攻击威胁增多微博、社交网站等新业务具有两面性，安全管控的难度大。随着社会工程转移到社交网络，如Facebook等社交网络，攻击者越来越多地使用社会工程，这种方法超越了针对性的员工的攻击，如黑客可能会调用一个员工的资料，并转移到有针对性的雇员，通过这样的战术获取企业员工内部资料后，把雇员的信息发布到其社交网络，可以做到社会工程滚动诈骗。10增值业务安全成新难点近年来，百度、腾讯等国内互联网企业的增值电信业务规模不断扩大，用户数量剧增，而其遭到网络攻击、黑客入侵等威胁也日益复杂；由于缺乏风险意识、责任意识和必要的防护措施，一些增值电信企业用户信息泄露、业务中断、域名安全等事件时有发生，现实危害和负面社会影响越来越大。4信息安全发展趋势及整体分析（四）APT（AdvancedPersistentThreat）-高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。先进（Advanced）使用未知漏洞的攻击（零日攻击）使用不被任何杀毒软件或签名检测为基础的IDS/IPS产品的定制恶意软件使用混合攻击持久性（Persistent）几个月或几年，多阶段攻击持久攻击者正在致力于的目标威胁（Threat）针对特定的个人和组织内的团体，旨在危及机密信息不是随机的攻击5信息安全发展趋势及整体分析（五）APT案列：极光行动（英语：OperationAurora）1.侦察2.攻击google员工好友控制了google员工好友主机3.搭建一个伪相册站点上面放置了IE0DAY攻击代码4.伪造google员工好友发IM邀请打开恶意相册的URL5.Google员工中招访问站点攻击者控制google员工机器6.攻击者利用google员工身份社工和渗透其他人员7.攻击者通过多层渗透最后控制了gmail服务器8.攻击者通过SSL加密把敏感数据传回6轨道交通信息安全事件分析与探讨7某市地铁Wifi干扰事件7.23动车追尾事件2011年7月23日20时30分05秒，甬温线浙江省温州市境内，由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故，造成40人死亡、172人受伤，中断行车32小时35分，直接经济损失19371.65万元。87.23动车追尾事件经调查认定，导致事故发生的原因是：通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱，通号集团作为甬温线通信信号集成总承包商履行职责不力，致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。……当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后，采集数据不再更新，错误地控制轨道电路发码及信号显示，使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障。……由于轨道电路发码异常，导致其三次转目视行车模式起车受阻……。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息，使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯，向D301次列车发送无车占用码，导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员安全意识不强，在设备故障发生后，未认真正确地履行职责，故障处置工作不得力，未能起到可能避免事故发生或减轻事故损失的作用。摘自《国务院关于7.23动车追尾事故调查报告》9XX市公交卡破解事件2011年5月，张某发现可以利用技术手段对普通市政交通一卡通卡内的数据进行修改，并能更改卡的属性。随后的几个月间，张某在其位于本市石景山区的家中，多次对多张交通卡进行非法充值，并将数张普通卡的属性变更为员工卡。随后，张某使用上述非法交通卡进行乘车、消费，共造成北京市政交通一卡通公司资费损失7000余元。10北京地铁“王鹏你妹”10月8日下午北京地铁5号线信息显示屏上出现“王鹏你妹”四个字。北京地铁方面表示该信息显示系统正在调试中出现异常的原因是一名正在接受培训的学员将同事间的调侃聊天记录点击发布并向公众表示歉意。造成后果“王鹏你妹”事件引发了各方媒体争相报道导致了公众对北京地铁安全管理的质疑，虽然北京地铁已经诚恳的致歉但带来的负面影响已经无法消除。11北京地铁“王鹏你妹”1、受训学员接受的安全教育和规章学习不到位。学员PIS信息发布管理的相应规章规定缺乏最基本的认识并且没有基本的安全意识随意操作设备在设备操作工作站上进行聊天并且误操作将聊天记录发布于PIS显示屏上。2、PIS信息发布相应岗位人员监管不到位。在带教学员对设备进行操作的情况下没有严格的监管把控导致学员发布信息时无人阻拦。3、发现和处理不及时事件发生时间为2012年10月8日下午4时直至下午6时53分地铁乘客信息显示系统才逐站恢复。由事件发生到结束将近3个小时的时间“王鹏你妹”的信息画面没有被屏蔽或切换。12信息安全治理框架什么是信息安全？什么是信息安全管理探讨信息安全管理的目的与意义信息安全与业务安全信息安全保障框架信息安全管理体系信息系统安全工程项目管理13什么是信息安全14防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。信息安全的关键在于信息本身，而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。信息安全的基本目标信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。什么是信息安全机密性可用性完整性15（1）可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。（2）完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。（3）保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。什么是信息安全16信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。什么是信息安全1718信息安全管理概念管理体系的持续改进要求要求被满足管理职责分析改进产品实现资源管理输入输出19PDCA过程需求方信息安全需求与期望PLAN建立

ISMSCHECK监视和评审ISMSACT保持和改进管理责任ISMS过程需求方可管理状态下的信息安全DO实施和操作ISMS20建立ISMS范围&边界ISMS策略控制目标&控制手段风险评估途径威胁&脆弱性资产&所有者风险处置选项风险评估影响适用性声明1234569871011评审1221实施和操作ISMS风险处理计划和实施实施控制有效性测量操作管理培训&意识活动&事件管理资源管理1234567IS活动一个确定的发生可能违反信息安全保障政策或失败或一种前所未知的情况，可能是与安全相关的系统，服务或网络状态指示IS事件一个单一的或一系列不必要的或意外的信息安全事件，有一个显着的业务经营的影响和威胁信息安全的概率22监视和评审ISMS监视&审查程序评价有效性测量控制的有效性内部ISMS审计风险评估审查安全计划评审管理评审1234567改进&事件对ISMS的性能/有效性带来的影响823维护和改进ISMS实施改进采取CA-PA从教训中吸取经验（他人&自己）确认改进沟通行动&改进12345在组织层面–承诺在法律层面–遵守在操作层面–风险管理在商业层面–信誉和信心在财务层面–降低成本在人力层面–提高员工意识24信息安全管理的目的和意义风险Risk一种可能性，威胁利用资产的脆弱性，并造成资产的损害或损失。威胁Threat可能导致不期望事件的潜在原因，该不期望事件可能导致系统或组织受损脆弱点Vulnerability一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。25什么是风险26风险，威胁和脆弱性之间的关系威胁脆弱性利用风险资产价值保护需求增加增加信息资产控制

*暴露防范减少具有增加说明满足控制：降低风险的做法，程序或机制威胁元素代理：执行威胁的催化剂。人力设备自然动机：事物导致代理人采取行动。偶然故意只有激励因素，既可以是偶然的和故意的是人结果：所施加的威胁的结果。结果通常导致CIA的损失机密性完整性可用性27威胁识别员工外部各方安全问题认识不足生长在网络和分布式计算黑客工具和病毒的复杂性和效益的增长自然灾害，例如。火灾，水灾，地震28威胁29威胁源源动机威胁外部黑客的攻击挑战自负博弈系统的黑客社会工程垃圾箱内部黑客期限财务问题失望后门舞弊欠佳的文档恐怖分子复仇政治系统攻击社会工程邮件炸弹病毒拒绝服务没有受过良好训练的员工意外错误编程错误数据录入错误数据损坏引入恶意代码系统错误未经授权的访问30威胁类别序号威胁类别示例1人力资源的失误或失败事故，员工失误2知识产权丢失盗版，侵犯版权3故意或者间谍或侵占未经授权的访问和/或数据收集4信息勒索的故意行为勒索信息曝光/披露5故意破坏/认为破坏破坏系统/信息6故意盗窃非法没收设备或信息7故意软件攻击病毒，蠕虫，宏拒绝服务8从服务提供商的服务质量偏差电源和广域网问题9大自然的力量火灾，水灾，地震，雷击10技术硬件故障或错误设备故障/错误11技术软件失败或错误错误代码的问题，未知的漏洞12陈旧的技术陈旧或过时的技术31风险和威胁IT系统高级用户的知识盗窃，破坏，误用恶意代码攻击系统和网络故障缺乏文档失效的物理安全自然灾害及火灾32理解风险下雨人健康虚弱生病资产威胁（来自自然环境）脆弱性接受风险降低风险规避风险转嫁风险风险处置策略打伞打车停止外出对方来访风险处置残余风险效率成本可行性业务业务就是为了达成某种目的或者结果需要处理的事务.业务风险指在处理事务过程中所面临的影响业务正常运行中的威胁所带来的影响。业务的风险来源于业务的每个环节中的入口和出口，包括业务流程、业务逻辑关系以及业务过程的成熟度。业务是一个组织的灵魂，没有业务对于组织而言也就失去了生命，业务流程如同一个人的大动脉，承载着全身的血液的输送，没有流程的业务如同一条没有水的河流。分析业务流程实际上是整个业务评估的关键。33业务与业务风险业务构成要素业务识别业务流程分析关键业务目标目标实现技术识别管理识别流程合理性审计手段技术保障管理保障技术策略管理策略业务评估是以业务为主线,涉及业务流程、组织架构、业务IT、用户、第三方支撑等5大元素。35业务评估36那么，我们如何克服这些问题呢？信息安全保障框架37信息系统生命周期安全管理策略组织规划开发采购实施交付运行维护废弃信息安全规划管理（MISP）系统开发管理（MSD）运行管理（MOD）应急响应管理（MER）业务连续性与灾难恢复管理（MBD）信息安全策略（MSP）风险管理（MRM）PlanDoCheckAction信息系统生命周期安全管理策略建立信息安全需求挖掘建立基于业务的安全设计信息安全规划管理设计组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略方案设计开发管理控制控制采购管理控制选择开发\采购计划系统开发管理设计组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略实施过程管理实施控制软件安全开发管理系统建设实施管理交验收安全验收测试管理交付物管理组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略运行维护规划风险评估基线检查日志分析变更管理应急响应管理应急响应规划事件分类与分级事件处置灾难恢复与备份管理组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略安全废弃剩余信息管理系统重用管理信息删除与清除组织规划开发采购实施交付运行维护废弃信息安全工程项目管理44交流与讨论

ExchangeandDiscussion“中国绝不缺少雄韬伟略的战略家，缺少的是精益求精的执行者。”——汪中求45信息安全管理体系ISO27001:2005简介ISO/IEC27001：2005与ISO/IEC27001：2013差异对比ISMS@组织用户的责任4647历史BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英固工贸部、英固标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次信订之后出版BS7799-1：1999和BS7799-2：1999。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。2013年10月19日修订原版，正式使用ISO/IEC27001:2013版。2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年上半年正式更名为ISO27002:2007。2013年与ISO27001:2013版同步更新为ISO27002:2013.48现在与未来ISO27002:2007CodeofpracticeFromISO17799ISO27003ImplementationGuideISO27001November2005ISO27000November2005ISO27004MeasurementStandardISO27005RiskManagementStandardFromBS7799-IIIISO27006RequirementsforBodiesprovidingaudit&CertificationISO/IEC18004IncidentManagementStandardSS507BC/DRStandard(Singapore)ISO17799Jun2005守则审核标准BS7799–PartIIIGuidelinesforISRiskManagementDec2005ISO13335–ITsecuritymanagement49ISO27000标准族ISO27001:2005标准说明BS7799：分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005

主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005

系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明BS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005标准说明BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明关键的成功因素(Criticalsuccessfactors)

经验显示，组织的信息安全能否成功实施，下列常为关键因素：能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评估以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。54ISO/IEC27001：2005核心建立ISMS实施和运作ISMS维护和改进ISMS计划PLAN实施DO改造ACTION监控和评审ISMS检查CHECK开发、维护和改进循坏相关单位管理状态下的信息安全相关单位信息安全需求和期望55ISMS文档ISMS范围ISMS方针风险评估方法风险处置计划风险评估报告程序及指南记录程序所需记录适用性声明文件控制记录控制56控制视图安全方针访问控制物理和环境安全信息安全组织资产管理合规性人力资源安全安全事件管理业务连续性管理安全采购、开发与维护

通信及操作管理技术组织物理

组织操作57信息管理11个控制域安全策略资产管理信息安全组织

人力资源管理物理和环境安全通信和操作管理访问控制信息安全事件管理信息系统采购、开发与维护合规性

业务连续性管理

标准覆盖了所有11个领域，39个控制目标，133个控制措施控制（39个目标，133个控制措施）安全方针OrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance方针文件方针评审控制（39个目标，133个控制措施）SecurityPolicy信息安全组织AssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance内部组织外部组织控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurity资产管理HRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance资产责任信息分类控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagement人力资源安全Physical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance雇佣前雇佣中终止或变更雇佣责任控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurity物理和环境安全Communication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance物理安全边界设备选址和保护控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurity通信和操作管理ISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance操作程序和责任第三方服务交付管理系统规划和验收防范恶意和移动代码备份介质处置信息交换Electroniccommerceservices监视电子商务服务控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagement访问控制Compliance访问控制业务需求用户访问管理用户责任网络访问控制操作系统访问控制应用和信息访问控制移动计算和远程办公控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagement信息系统采购、开发与维护ISIncidentManagementBusinessContinuityManagementAccessControlCompliance信息系统安全需求正确处理应用密码控制系统文件安全开发和支持过程中的安全性技术脆弱性管理控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenance信息系统事件管理BusinessContinuityManagementAccessControlCompliance报告事件和弱点IS事故管理及改进控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagement业务连续性管理

AccessControlCompliance业务连续性和风险评估开发和实施BCPBCP框架测试，维护和重新评估BCP包含在信息系统中的BCM过程控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControl合规性符合法律要求安全方针&标准和技术的符合性信息系统审计的考虑新标准正文部分架构变化内容新调整核心内容变化附录A变化控制项的增删与调整69ISO/IEC27001：2005与ISO/IEC27001：2013差异对比70新标准正文部分架构变化1.范围2.规范性引用文件3.术语和定义4.

信息安全管理体系（ISMS）4.

1总体要求4.

2建立和管理ISMS4.

3

文件要求5.管理职责6.审核7.ISMS的管理评审8.

ISMS改进1.范围2.规范性引用文件3.术语和定义4.组织的环境5.领导力6.

计划7.支持8.运营9.绩效评价10.改进71内容新调整72核心内容变化27001:20054.1建立ISMSISO27001:20134.组织的背景通过以下方面定义ISMS的范围和边界：•业务的特点;•组织;•位置;•资产和技术;•任何范围删减的细节与合理性。通过确定外部和内部的情况，判断有关ISMS目的和影响，以实现预期的结果。确定ISMS相关的要求与信息安全相关的利害关系人。通过以下方面，确定ISMS的边界和适用性，建立ISMS的范围：•以往的外部和内部情况;•利益相关方的需求;•组织运转内外部的接口和依赖关系;73附录A变化ISO/IEC27001：2005ISO/IEC27001：2013A.5安全方针A.5安全针A.6信息安全组织A.6信息安全组织A.8人力资源安全A.7人力资源安全A.7资产管理A.8资产管理A.11访问控制A.9访问控制A.10密码学A.9物理与环境安全A.11物理与环境安全A.10通信与操作管理A.12操作安全A.13通信安全A.12信息系统获取、开发和维护A.14信息系统获取、开发和维护A.15供应关系A.13信息安全事件管理A.16信息安全事件管理A.14业务连续性管理A.17信息安全面的业务连续性管理A.15符合性A.18符合性控制项的增删与调整增加项14.2.1安全开发策略（软件和信息系统开发规则)14.2.5系统开发程序（系统工程的原则)14.2.6安全的开发环境（建立和保护开发环境)14.2.8系统安全测试（安全功能的测试)16.1.4信息安全事件的评估和决策（这是事件管理的一部分)17.2.1信息处理设施的可用性（实现冗余)删除项•6.2.2处理与顾客有关的安全问题•10.4.2控制移动代码•10.7.3信息处理规程•10.7.4系统文件安全•10.8.5业务信息系统•10.9.3公共可用信息•11.4.2外部连接的用户鉴别•11.4.3网络上的设备标识•11.4.4远程诊断和配置端口的保护•11.4.6网络连接控制•11.4.7网络路由控制•11.5.5会话超时•11.5.6联机时间的限定•11.6.2敏感系统隔离•12.2.1输入数据确认•12.2.2内部处理的控制•12.2.3消息完整性•12.2.4输出数据确认•12.5.4信息泄露•14.1.2业务连续性和风险评估•14.1.3制订和实施业务连续性计划•14.1.4业务连续性计划框架•15.1.5防止滥用信息处理设施•15.3.2信息系统审计工具的保护74管理策略技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实三分技术，七分管理组织与人员组织信息安全领导小组信息安全决策小组信息安全执行小组信息安全审计组织与人员人员安全背景检查签署保密协议安全职责说明技能意识培训内部职位调整及离职检查流程绩效考核和奖惩组织与人员第三方人员应该识别来自第三方的风险：保安、清洁、基础设施维护、供应商或外包人员，低质量的外包服务也被视作一种安全风险签署第三方协议时应包含安全要求，必要时需签署不扩散协议第三方若需访问敏感信息，需经检查和批准，其访问将受限制任何第三方禁止无人陪同访问生产网络环境第三方访问所用工具应经过相关部门检查，确认安全可靠，其访问应经过认证负责第三方访问的人员需对三方人员进行必要的安全培训资产分类资产所有者数据的属主（OM/PM）决定所属数据的敏感级别确定必要的保护措施最终批准并Review用户访问权限管理者受Owner委托管理数据通常是IT人员或部门系统（数据）管理员向Owner提交访问申请并按Owner授意为用户授权执行数据保护措施，实施日常维护和管理用户公司或第三方职员因工作需要而请求访问数据遵守安全规定和控制报告安全事件和隐患信息分级管理公开内部用户秘密缺省机密信息标识管理示例信息属主或创建者可确定恰当的信息标注方式电子邮件或纸质信函的标题栏应该注明敏感级别光盘、磁带等存储介质上应该妥善标注如果内部包含多个级别的数据，以最高级为准“公开”信息不需标注：市场宣传册/媒体发布/网站公开信息“内部用户”可以根据需要标注（缺省）“秘密”必须标注“机密”必须标注配置与运行一线二线三线四线驻点维护团队网络应用安全技术支撑团队专家组甲乙双方共同组建CERT一般性维护重点系统维护一般性维护指导技术后援重点系统维护指导专家咨询审计指导应急响应网络信息安全域与通信安全访问控制基本原则：未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则而授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查，防止滥用系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则异常事件与审计事先制定可行的安全事件响应计划建立事件响应小组，以管理不同风险级别的安全事件员工有责任向其上级报告任何已知或可疑的安全问题或违规行为必要时，管理层可决定引入法律程序做好证据采集和保留工作应提交安全事件和相关问题的定期管理报告，以备管理层检查应该定期检查应急计划的有效性物理与环境关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施前台接待负责检查外来访客证件并进行登记，访客进入内部需持临时卡并由相关人员陪同实施7×24小时保安服务，检查保安记录所有入口和内部安全区都需部署有摄像头，大门及各楼层入口都被实时监控禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理物理与环境节[公司]信息安全策略有效期:小节物理与环境安全更改控制号策略在安全区域中工作批准人目标为了支持信息安全,[公司]将监视和控制在安全区域中工作的人员和第三方执行的工作目的这个策略的目的是保护信息资产,防止对安全区域的未经授权的访问和损坏受众本策略适用于所有设施策略l

安全区域中的所有工作都将受到监督。l

不允许第三方访问安全区域或信息处理设施，除非得到信息所有者或信息安全官的明确授权。l第三方对安全区域的访问将受到监视。l如果没有系统所有者或信息安全官的授权，将禁止把移动数据存储设备或者任何类型的记录设备带人安全区域中并且可能不允许使用它们例外情况无纪律处分违反本策略可能会导致纪律处分，这可能包括解雇员工和临时工；就承包商或顾问来说，将会解除雇佣关系；或者解雇实习生和志愿者。此外，保留对个人进行民事和刑事诉讼的权利物理与环境节[公司]信息安全策略有效期:小节物理与环境安全更改控制号：策略清扫桌面和清除屏幕批准人：目标为了支持信息安全,[公司]将逐渐灌输一些行为和规程，保护信息免遭曝光和窃取目的这个策略的目的是把组织的信息资源暴露给未经授权的访问的风险减至最小,以及保护它们免遭损坏或破坏受众本策略适用于所有设施和使用策略●当无人看管时或者尤其是在非工作时间，必须从桌面上清除所有的关键业务信息。●应该把敏感或关键的业务信息（介质、文档等）锁在安全的、适当保护的办公室设备中。●当无人看管时，应该注销工作站，并利用访问控制保护它们。●传人的邮件和传出的邮件应该位于受保护的区域中。●应该立即消除敏感材料的影印件。●应该立即收回敏感的打印工作例外情况无纪律处分违反本策略可能会导致纪律处分，这可能包括解雇员工和临时工；就承包商或顾问来说，将会解除雇佣关系；或者解雇实习生和志愿者。此外，保留对个人进行民事和刑事诉讼的权利开发与维护安全培训安全计划启动

并

统一注册安全设计最佳做法安全体系结构和攻击面审核使用安全开发工具以及安全开发和测试最佳做法创建产品安全文档和工具准备安全响应计划安全推动活动渗透

测试最终安全审核安全维护和响应执行功能列表

质量指导原则

体系结构文档

日程表设计规范测试和验证编写新代码故障修复代码签发+

CheckpointPress签发RTM产品支持

服务包/

QFE安全更新需求设计实施验证发行支持和维护威胁建模功能规范传统软件开发生命周期的任务