《理解ISO27001的理论与方法—与信息安全等级测评的相关联》由会员分享,可在线阅读,更多相关《理解ISO27001的理论与方法—与信息安全等级测评的相关联(29页珍藏版)》请在金锄头文库上搜索。
1、理解的理论与方法与信息安全等级测评的相关联内容地址:广东省广州市工作状态:寻求职位之前从事行业:信息安全行业、系统集成行业和信息安全等级测评编写时间:201年22月24日#/35目录一、前言3二、ISO2总7体0概0述13三、ISO2具7体0内0容13四、信息安全等级测评概述17五、信息系统等级保护(三级系统为例讲述管理部分)18六、信息安全等级保护安全管理部分1835七、总结#/35*%前言本书参考一些标准和书籍,然后经过自己的汇总和整合而形成的,同时,本文档的内容不能用于商业用途,只能网上交流。同时,如发布商业用途,所造成的后果自己负责。二、ISO2总7体0概0述1章节控制范围(个)控制目
2、标(个)控制方法(个)信息安全朿略信息安全组织资产管理人力资源安全物理和环境安全通讯与操作管理访问控制信息系统米集、开发和维护信息安全事故的管理业务连续性管理符合性三、ISO2具7体0内0容1序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容信息安全策略信息安全策略为信息安全提供符合业务需求和相关法律、法规,提供管理方向和支持;信息安全策略文件信息安全策略文件应经过管理层批准,向所有员工和相关外部团队发布和沟通;信息安全策略评审应按计划的时间间隔或在发生重大的变化时评审策略文件,确保策略的持续性、稳定性、充分性序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容和有效性。
3、信息安全组织内部组织在组织内部管理信息安全信息安全管理承诺管理者通过清晰的方向、可见的承诺、详细的分工、信息安全职责的沟通,去积极支持安全;信息安全协作信息安全活动应由组织相关部门及相关角色和职能的代表共同协作实施;信息安全责任划分应明确定义所有信息安全职责;信息处理设施授权过程应建立和实施对于新的信息处理设施的管理授权过程;保密协议根据影响组织信息保护的需求,保密或不泄露协议的需求应被定义和定期评审;与监管机构的联系与相关监管机构应维持适当的联系;与特殊利益集团的联系与特殊利益集团、其它专业安全协会或行业协会应维持适当联系;信息安全独立审查组织管理信息安全的方法及其实施(如:信息安全控制目标
4、、控制措施、策略、流程和程序)应在计划周期内或当重大变化发生时进行独立审查;外部组织维护组织信息及信息处理设施被外部识别外部组织风险应识别外部组织业务过程的信息及信息处理设施的风险,并在允许访问前实施适当的控制;序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容组织访问、处理、沟通或管理时的安全;当与客户接触时强调安全应在允许客户访问组织的信息或资产之前强调所有识别的安全需求;在第三方协议中强调安全在与第三方合约中应包含所有的安全要求,如访问、处理、沟通、管理组织的信息或信息处理设施,或增加信息处理设施的产品和服务;资产管理资产的责任实现和维持组织资产的适当保护;资产清单应清楚的识
5、别所有的资产,并编制和维持所有重要资产清单资产所有权所有信息和信息处理设施相关资产应指定其组织内的拥有者;资产的合理使用应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施;信息分类确保信息资产受到适当程度保护分类原则信息分类应根据其本身价值法律需求和对于组织的敏感性和重要性;信息标识及位置应制定一套符合组织所采用分类方案的信息标识及位置的程序,并实施。人力资源的安全雇佣之前确保员工、合同人员和第三方人员理解他们的责任,以及他们适用的角色减少偷窃欺诈角色和职责根据组织信息安全策略,应定义员工、合同人员及第三方人员的安全角色与职责,并形成文件化;人员筛选根据相关法律、法规、道德规范,对
6、员工、合同人员及第三方人员的应聘人员序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容或设施误用所造成的风险;进行背景调查,调查应符合业务需求、访问信息的类别及已知风险;雇用条款和条件作为合同的一部分,员工、合同人员及第三方人员应统一并签订他们的雇用合同条款和条件,这些条款和条件应规定他们和组织对于信息安全的责任;雇用中确保员工、合同方和第三方用户清楚信息安全威胁和相关事宜、他们的责任和义务并准备在他们日常工作中支持组织信息安全朿略,以减少人为错误的风险;管理职责管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全信息安全意识、教育与培训组织内所有员工、相关合
7、同人员及第三方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序;惩戒过程应建立一个正式的员工违反安全的惩戒过程。雇用终止和变更确保员工、合同人员及第三方人员离开组织和变更雇用关系有序地进行;终止责任应清晰的定义和分配执行雇用合同终止或变更的责任;资产归还在终止雇用、合同或协议时,所有员工、合同人员及第三方人员应归还所使用的全部组织资产;删除访问权限在终止雇用、合同、协议时,应删除所有员工、合同人员及第三方人员对于信息序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容和信息处理设施的访问权限,或根据变化调整;9物理和环境安全安全区域防止对组织办公场所及信息未经授权物
8、理访问、破坏及干扰;物理安全边界组织应有安全边界(如墙、门禁系统控制或人工接待台)以保护包含信息和信息处理设施的区域;物理进入控制安全域应有适当的进入控制保护,以确保只有经授权人员可以进入;办公室、房间及设施和安全应设计和实施保护办公室、房间及所及设备的物理安全防范外部和环境威胁应设计和实施针对于火灾、洪水、地震、爆炸、骚乱等其他天灾或人为灾难的物理保护措施;在安全区域工作应设计和实施在安全区域中工作有物理保护和指南;公共访问和装卸区域访问区域如装卸区域,及其他未经授权人员可能进入办公场所的地点应加以控制,如有可能话,信息处理设施应隔离以防止未经授权的访问;设备安全预防资产遗失、损害、偷窃或损
9、失和干扰企业业务活动;设备安置及保护应妥善安置设备安置及保护,以减少来自环境的威胁与危害以及未经授权访问支持设施应保护设备免于电力中断及其它因支持设施失效导致中断;应保护传输数据或序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容电缆安全支持信息服务的电力及通讯电缆,免遭中断或破坏设备危害应正确维护设备,以确保其持续的可用性及完整性;管辖区区域外设备安全应对组织办公区域外的设备设施安全防护,并考虑在组织外工作的不同风险;设备报废或重用应检查包含存储介质的所有设备,在报废前,确保任务敏感数据和授权软件被删除或被安全重写;财产转移未经授权,设备、信息及软件不得带出办公场所;)通讯与操作
10、管理操作程序及职责确保信息处理设施正确及安全的操作;文件化的操作程序作业程序应以文件化及维护,并确保需要的用户可以获得;变更管理对信息处理设施及系统的变更应加以控制职责分离应分离职责与责任区域以降低非授权更改或误用信息或服务的机会开发、测试与运营设施的分离开发及测试设备应与运营设备分离。减少未授权访问和对操作系统变更的风险;)第三方服务交付管理实施和维护信息安全的适当水平,确保第三方交付的服务符合协议要求;服务交付应确保包含在第三方服务交付协议中的安全控制、服务定义、交付级别应由第三方去实施、运营和维护;第三方服务的监督和评由第三方提供的服务、报告和记录应定期监控和评审,应有序号控制范围控制小
11、点分类控制目标(内容)控制方法具体控制的内容审规律的进行审核;第三方服务的变更管理服务提供的改变,包括维护、改进存在的信息安全朿略、程序和控制措施应被管理,考虑业务系统和过程的关键性并再次评估风险;系统规划和验收最小系统失败的风险;容量管理应监控、调整资源的使用,并反映将来容量的要求,以确保系统性能;系统验收应建立新信息系统、系统升级及新版本的验收标准,并且在开发过程中和验收前对系统进行适当的测试;防范恶意代码和移动代码保护软件和信息的完整性控制恶意代码应实施恶意代码检测、预防及恢复,以及适当的用户意识程序;控制移动代码配置管理应确保被授权的移动代码按照明确定义的安全策略运行,防止为授权移动代
12、码的执行;)备份维护信息和信息处理设施的完整性和有效性;信息备份根据已定义的备份策略备份信息和软件,并定期测试;)网络安全管理确保网络中信息以及支持性基础设施得到保护;网络控制应确保网络充分的管理和控制,以防范威胁、保护使用网络的系统和应用维护安全,包括传输的信息;网络服务安全应识别所有网络服务的安全特性、服务级别和管理要求,并序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容包括在网络服务协议中,无论网络服务是内部提供还是外包;介质处置防止资产的未授权暴露、修改、删除或破坏,使业务活动中断;可移动介质管理应建立可移动介质的管理程序;7媒体销毁当介质不在需要时,按照正式程序进行可靠
13、的、安全的处置;7信息处理程序应建立信息的处理及存储程序,以防范信息未授权的泄露或误用;)系统文档安全应保护系统文件以防未授权的访问;0信息交换在保持组织间或组织和外部组织之间交换时信息和软件的安全;信息交换策略和程序应建立正式的交换策略、程序和控制措施,以保护所有类型的通信设施交换信息的安全;交换协议应建立组织和外部组织之间的信息和软件交换的协议;物理介质传输在组织物理边界之外进行运输的过程中,应保护包含信息的介质免受未授权的访问、误用或损坏。电子消息应适当保护电子消息的信息;业务信息系统应开发和实施策略和程序,保护业务信息系统互联的信息;电子商务服务确保电子商务服务的安全及他们的安电子商务应保护电子商务中通过公共网络传输的信息,以避免欺诈行为、合同争议、未授权的泄露和修改;序号控制范围控制小点分类控制目标(内容)控制方法具体控制的内容全使用;在线交易应保护在线处理的信息,避免不完整的传输、路由错误、未授权的消息修改、未授权的泄露、未授权的信息复制和恢复;公共可用信息应保护公共可用系统中信息的完整性,并防止未授权的修改;监督检测未授权的信息处理活动;审核日志审核日志记录了用户的活动、意外和信息安全事件日志,并按照约定的期限进行保田,以支扌寸未来的调查和访问控制监控;监控系统的使用应建立监控信息处理设施使用的程序,并定
