信息安全管理基础 ISO17799/BS7799 李 丹 BS7799 Lead Auditor 惠普咨询与服务 2002年11月

Presentation on theme: "信息安全管理基础 ISO17799/BS7799 李 丹 BS7799 Lead Auditor 惠普咨询与服务 2002年11月"— Presentation transcript:

1

2 信息安全管理基础 ISO17799/BS7799 李 丹 BS7799 Lead Auditor 惠普咨询与服务 2002年11月
2018年12月4日星期二

3 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

4 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

5 什么是信息？ 2018年12月4日星期二

6 什么是信息？ 计算机字典的解释 信息是在接受者的上下文环境中有意义的对象。一部分(如果不是全部)种类的信息可以被转化为数据并传送给另一个接收者。在计算机范畴内，我们可以说：信息可以分解为数据，并被输入计算机，在计算机中它被存储和处理，然后再以某种格式被输出，并再次表现为信息的形式。 法律字典的解释 信息-控方律师对于犯罪行为的一种正式的谴责，区别于大陪审团做出的控告 ISO17799 /BS 7799的解释 信息是一种资产，就像其它重要的业务资产一样，对于组织是有价值的，并且应该被适当的保护。 Transition Slide 2018年12月4日星期二

7 什么是信息？ 信息可以以多种形式存在。它可以打印或者书写到纸张上，以电子格式存放，通过邮递或者电子手段传递，以电影方式展现或者通过对话方式表现。 无论信息以何种形式存在，或者以何种形式存储和共享，信息都是需要得到正确的保护。 Transition Slide 2018年12月4日星期二

8 内部信息： 不希望竞争对手获取的信息 客户信息： 用户不希望泄漏的信息 需要和其它业务伙伴共享的信息
信息安全管理体系中的信息类型 内部信息： 不希望竞争对手获取的信息 客户信息： 用户不希望泄漏的信息 需要和其它业务伙伴共享的信息 Transition Slide 2018年12月4日星期二

9 信息处理方式 信息可以被： 创建 存储 处理 传递 使 用 丢失 损坏 2018年12月4日星期二

10 银行 软件开发商 国家安全部门 慈善机构 产品秘密 医疗保健 金融模式 警察记录 …………… 一份长长的名单
信息－活力源泉 2018年12月4日星期二

11 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

12 (一部分)种类的信息安全风险 信息失窃 信息系统的侵入与篡改 虚假信息 拒绝服务攻击 丢失 损坏
Transition Slide 2018年12月4日星期二

13 让我们想象。。。。。 通过这些信息，我可以统治世界 2018年12月4日星期二

14 信息联网的安全问题 急剧的膨胀速度 任何人可以从一个联网系统访问其它任何一个联网系统 上网人员良莠不齐 开放的网络体系架构(TCP/IP)
美国国防部从1995年以来遭受了250,000次攻击，其中，65%攻击是成功的 Transition Slide 2018年12月4日星期二

15 常见攻击举例 假造的电子邮件“发件人” 电子邮件中包含了可执行部分，可以启动病毒或者攻击程序
通过隐含下载的攻击性程序，并且可能是恶意的和破坏性的(例如特洛伊木马) 导致计算机崩溃的引导区病毒 通过欺诈手段隐瞒真实的消息来源 伪装成为合法的通信一方 。。。。。。。。 2018年12月4日星期二

16 对于操作系统的威胁 NT UNIX 新生操作系统 20年历史 未知漏洞 已知的漏洞 未知威胁 认识到威胁 需要提高 无法得到源代码
系统基本稳定 可以得到源代码 NT 新生操作系统 未知漏洞 未知威胁 需要提高 无法得到源代码 2018年12月4日星期二

17 专家们公认的 20个最危险的安全漏洞 影响所有系统的漏洞(G) G1—操作系统和应用软件的缺省安装 G2 – 没有口令或使用弱口令的帐号
G7 – 易被攻击的CGI程序 最危险的Windows系统漏洞(W) W1 -Unicode漏洞 W2 – ISAPI 缓冲区扩展溢出 W3 - IIS RDS的使用(Microsoft Remote Data Services) W4 – NETBIOS – 未保护的Windows网络共享 W5 – 通过空对话连接造成的信息泄露 W6 - Weak hashing in SAM (LM hash) Unix 系统漏洞（U） U1 - RPC 服务缓冲区溢出 U2 - Sendmail 漏洞 U3 - Bind 脆弱性 U4 - R 命令 U5 - LPD (remote print protocol daemon) U6 - sadmind and mountd U7 – 缺省 SNMP 字串 Transition Slide 2018年12月4日星期二

18 登录和明文问题 在网络上传输的信息使用明文 任何人，只要有适当的手段或者设备就可以看到登录信息 在内部网络中，大部分登录是明文的
NT以Hash值方式传递口令 Transition Slide 2018年12月4日星期二

19 通过这种手段可以看到登录过程 看到机密信息 引发人们的探秘欲望
探测器（Sniffer） 通过这种手段可以看到登录过程 看到机密信息 引发人们的探秘欲望 Transition Slide 2018年12月4日星期二

20 口令破解 （技术手段） 人们倾向于使用简单、容易记忆的口令 口令通常带有个人色彩，容易猜测 使用口令字典来破解口令 有提供口令破解的商业软件
根据最近的一项测试，使用破解程序成功的将一个大学的NT网络中的超过10,000个口令破解 Transition Slide 2018年12月4日星期二

21 口令破解 （最直接的方法） 直接问某个人 不要忘记最薄弱的环节 Hi, It’s John isn’t it?
No, Dave Johnson, you can use D dot Johnson. My word, you’re a dead ringer, sorry old chap, what about today’s match, did you see it? No, Formula 1, is my sport, follow Ferrari, nearest I’ll get to one! …… Username: D.Johnson Password: Ferrari Transition Slide 2018年12月4日星期二

22 修改主页 窃取用户信息 接管管理员权限 。。。。。。。
网站破坏 修改主页 窃取用户信息 接管管理员权限 。。。。。。。 Transition Slide 2018年12月4日星期二

23 问题： 如果给你1,000,000的预算，你打算如何侵入一个高安全性的系统。
最薄弱的环节 问题： 如果给你1,000,000的预算，你打算如何侵入一个高安全性的系统。 2018年12月4日星期二

24 问题： 如何探听信息秘密？ （并不总是IT）
另一个薄弱的环节 问题： 如何探听信息秘密？ （并不总是IT） 2018年12月4日星期二

25 设备失败 缺乏有计划的灾难恢复和备份 没有UPS(Un-interruptible Power Supply) 2018年12月4日星期二

26 偷窃 在英国，计算机偷窃是增长率最快的犯罪 伦敦的每个地方部门都曾被计算机窃贼光顾 每1元的计算机设备被盗，会造成10元的业务损失
在1996年，计算机被盗给英国各产业造成的损失约10亿英镑 2018年12月4日星期二

27 爆炸威胁 许多著名的商业中心受到爆炸威胁影响的公司中，有43%对业务有巨大影响。 2018年12月4日星期二

28 缺乏灾难恢复计划 没有定期的磁带备份，并放置于防火保险柜中 没有信息备份存放在异地 备份的磁带没有经过测试和验证
重要的文件，例如合同，没有很好的保护和复印存档 2018年12月4日星期二

29 如果大楼不安全，消防队员是不会允许人们回到办公室中的。这会导致数周没法取出数据。
注意： 如果大楼不安全，消防队员是不会允许人们回到办公室中的。这会导致数周没法取出数据。 这是在DR规划中比较容易疏忽的一个问题。 2018年12月4日星期二

30 病毒威胁 最近的例子 不死毒王“求职信” 新欢乐时光病毒 蠕虫病毒“解密码” ｗｉｎ３２．ｆｏｒｏｕｘ 和平病毒Ｗｉｎ３２／ｃｎＰｅａｃｅ
ＪＳ＿ＦＯＲＴＮＩＧＨＴ．Ａ “中国黑客”病毒 “爱游戏病毒” 老“欢乐时光病毒” 不死“毒神”ＣＩＨ病毒 90%的企业在每个月中都会发现病毒的发作 现在总共有超过10,000中病毒会感染计算机，并且每天还会有 种新病毒面世 2018年12月4日星期二

31 非IT方面 纸质文档-在桌上、在废纸篓中、被遗忘在复印机上 白板和活动挂图 电话的偷听 在公共交通工具上的对话 2018年12月4日星期二

32 关于女王和其他皇室成员的健康记录被发现堆积在公里的一侧…..
1999年3月14日 关于女王和其他皇室成员的健康记录被发现堆积在公里的一侧….. 在这些文件中记录了以往王室出访采取的安全措施的详细情况，也包括了王室成员的血型和健康详细情况。 …这些文件有70页之多，其中许多文件上面表明为机密，记录了10位王室成员的信息，包括女王。 在文件中记录了过去8年中27次王室出访的信息，包括医生和保健顾问的名称 2018年12月4日星期二

33 事实？ BISS 指出了以下导致安全问题的原因 57% 意外 24% 恶意攻击 11% 设备故障 3% 软件错误 5% 其它原因
2018年12月4日星期二

34 事实？ BISS 发现以下是导致IT安全问题的主要原因： 电源故障 18% 用户错误 17% LAN故障 17% 病毒 14%
WAN故障 9% 员工故意行为 6% 中央处理设备故障 6% 2018年12月4日星期二

35 BISS 2000安全原因更新 60%的安全问题是由以下原因导致 40% 操作员错误 32% 供电设备故障 16% 病毒和软件错误
8% 非法使用 6% 偷窃 4% 非法访问 2018年12月4日星期二

36 ISBS 头条 60%的组织在过去两年中遭受到安全威胁 超过30%的组织没有认识到业务信息的重要性
将近75%的组织没有应对安全突发问题的措施 单个安全突发事件造成的损失大约在100,000英镑左右 2018年12月4日星期二

37 事实？ CESG 指出了如下的主要威胁 黑客行为 拒绝服务攻击(故意的) 技术故障 系统用户对于信息的分发 恶意软件 外部(<40%)
内部(>60%) 拒绝服务攻击(故意的) 技术故障 系统用户对于信息的分发 恶意软件 2018年12月4日星期二

38 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

39 信息安全管理和业务需求 业务要求 法律要求 基本模块 2018年12月4日星期二

40 ISMS业务需求 客户/资金管理人-对于合同和邀标书中的条件有要求 市场-在产品和服务方面保持竞争优势 向贸易伙伴展示在信息安全方面的承诺
内部管理攻击-控制和保密措施 2018年12月4日星期二

41 法律要求(UK) 企业法 1985 版权和发明专利权法 1988 数据保护法 1998 惩治计算机滥用法 1990 通讯监听法 1985
还有其它法律，例如社区建设法 2018年12月4日星期二

42 计算机犯罪法-联邦政府 美国电子通讯保密法 美国正当使用通讯法 1996 公正的信用制度 信息自由法 等等
法律要求（美国） 计算机犯罪法-联邦政府 美国电子通讯保密法 美国正当使用通讯法 1996 公正的信用制度 信息自由法 等等 2018年12月4日星期二

43 信息安全是对信息进行保护，以避免各种不同的威胁，从而保证业务的连续性，降低对于业务的损害，使得对于业务得投资可以获得最大得回报。
什么是信息安全？ 信息安全是对信息进行保护，以避免各种不同的威胁，从而保证业务的连续性，降低对于业务的损害，使得对于业务得投资可以获得最大得回报。 2018年12月4日星期二

44 什么是信息安全？ 哪个更重要？ 保密性 保证信息只能被哪些授权用户访问。 完整性 保护数据和处理方法的准确性和完整性 可用性
完整性 保护数据和处理方法的准确性和完整性 可用性 保证授权用户在需要的时候可以访问到信息和相关的资产 Transition Slide 2018年12月4日星期二

45 ISO17799/BS7799 是信息安全的最佳实践方法 (best practice)
信息安全体现为管理流程，而不是技术流程 2018年12月4日星期二

46 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

47 关于ISO17799/BS7799 历史 发展 现状 将来 其它文档 2018年12月4日星期二

48 业务守则(第一部分) 和 系统规范(第二部分)
ISO17799/BS7799 信息安全管理 业务守则(第一部分) 和 系统规范(第二部分) 2018年12月4日星期二

49 ISO17799/BS7799 发展历史 最早由英国贸易工业部出版作为操作规范;
进行ISO的认证：2000年11月成为ISO/IEC17799：2000 2002年9月修订版式，形成ISO/IEC17799：2002 2018年12月4日星期二

50 ISO17799:第一部分 信息安全管理的业务守则 倾向于作为参考文档使用 提供了丰富的控制措施 汇集了信息安全的最好的实际经验
包含了10个控制方面，127个控制手段 不可以用作评估和认证 2018年12月4日星期二

51 ISO17799:第二部分 信息安全管理的系统规范 基于ISO17799:part1
记录了信息安全管理系统(ISMS)的建立、实施和归档的要求 记录了单个组织需要实施的安全控制的要求 2018年12月4日星期二

52 其它文档 一系列指导性文档，可以从BSI获得，包括： PD3000-信息安全管理：简介 PD3001-准备BS 7799认证
2018年12月4日星期二

53 其它文档 ISO/IEC 技术报告13335：信息技术-IT安全管理的指导原则 第一部分、IT安全的概念和模式
第四部分、安全措施选择(1999) 第五部分、外部连接的安全措施(1999) 2018年12月4日星期二

54 其它文档 技术报告：ISO/TR 13569 银行和相关金融服务-信息安全指导原则 第二版： 2018年12月4日星期二

55 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

56 资产和风险评估 资产 风险管理 资产价值和潜在影响 漏洞 威胁 2018年12月4日星期二

57 资产(在BS 7799中适用概念) 必须是包含在信息安全管理系统范畴之内的资产对象
什么是资产？ 资产(在BS 7799中适用概念) 必须是包含在信息安全管理系统范畴之内的资产对象 2018年12月4日星期二

58 资产是对于组织有价值的对象，包括： 信息资产 纸质文档 软件资产 硬件资产 人员 公司形象和声誉 服务
什么是资产？ 资产是对于组织有价值的对象，包括： 信息资产 纸质文档 软件资产 硬件资产 人员 公司形象和声誉 服务 2018年12月4日星期二

59 对于BS 7799，资产概念并不需要涵盖所有对于组织有价值的对象。 每个组织都必须明确什么资产会影响产品、服务的实施
什么是资产？ 对于BS 7799，资产概念并不需要涵盖所有对于组织有价值的对象。 每个组织都必须明确什么资产会影响产品、服务的实施 2018年12月4日星期二

60 BS 7799第二部分要求必须进行风险评估以明晰对于资产的威胁。
2018年12月4日星期二

61 资产价值和潜在影响 如何确定资产的价值？ ？ 2018年12月4日星期二

62 威胁是指存在可能性，会导致非预期的事故，从而对系统或者组织及其资产造成损害 对于资产会存在多种威胁，威胁会利用资产存在的漏洞
威 胁 威胁是指存在可能性，会导致非预期的事故，从而对系统或者组织及其资产造成损害 对于资产会存在多种威胁，威胁会利用资产存在的漏洞 2018年12月4日星期二

63 漏洞本身并不会造成损害，在一些特定条件下，漏洞会被利用构成对于资产的威胁 漏洞是组织中资产本身所具有的薄弱方面
漏 洞 漏洞本身并不会造成损害，在一些特定条件下，漏洞会被利用构成对于资产的威胁 漏洞是组织中资产本身所具有的薄弱方面 2018年12月4日星期二

64 可能性 事故发生的可能性 2018年12月4日星期二

65 安全风险是指存在潜在的威胁，它会利用各种漏洞给一个资产或者一组资产带来损害的可能性。
2018年12月4日星期二

66 Exploit(注：指为达到某种目的而采用的一组工具或者方法)
安全风险模型 Exploit(注：指为达到某种目的而采用的一组工具或者方法) 威胁 (3.3) 漏洞 (3.4) 增加 增加 保护 暴露 降低 安全 控制 (3.7) 安全风险 (3.5) 资产 (3.1) 增加 有 形成 需求 安全需求 (3.6) 资产价值和 潜在影响 (3.2) 2018年12月4日星期二

67 风险评估流程 定义资产和 价值评估 定义漏洞 定义威胁 影响评估 业务风险 风险级别设定 现有安全控制 措施复审 定义新的安全 控制措施
策略和步骤 实施和降低风险 风险接收 (残留风险) 2018年12月4日星期二

68 风险评估的工具和方法 @Rish AnalyZ BDSS(Bayesian Decision Support System)
COBRA(Consultative,Objective and Bi-functional Risk Analysis) CONTROL-IT CRAMM(CCTA Risk Analysis and Management Method) DDIS IST/RAMP(International Security Technology/Risk analysis management program) LAVA(Los alamos Vulnerability Analysis) LRAM & ALRAM(Automated Livermore Risk Analysis Methodology) MELISA PREDICT RANK-IT Risiko RiskPAC Security By Analysis XRM(eXpert Risk Management) 2018年12月4日星期二

69 控制措施 有效的安全措施通常需要以下几个方面相结合： 发现 防御 保护 限制 更正 恢复 监控 意识 2018年12月4日星期二

70 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

71 信息安全维护 管理承诺 策略 教育 控制 检查 2018年12月4日星期二

72 业务经理需要参加和做出承诺(流程责任人) 主管领导或者总监需要做出承诺(风险管理决定)
管理承诺 业务经理需要参加和做出承诺(流程责任人) 主管领导或者总监需要做出承诺(风险管理决定) 2018年12月4日星期二

73 非常重要 没有安全策略，安全体系将是不完整的，并且一般是低效的。(不符合BS7799-2的要求)
2018年12月4日星期二

74 交流期望 保护用户 保护公司 减少错误 信息安全不能只依靠控制措施，还需要文化和使用者的支持
用户培训 交流期望 保护用户 保护公司 减少错误 信息安全不能只依靠控制措施，还需要文化和使用者的支持 2018年12月4日星期二

75 PC可能失窃 文件服务器不够大 需要物理访问控制 访问者需要员工陪同
控制措施 －硬件安全 PC可能失窃 文件服务器不够大 需要物理访问控制 访问者需要员工陪同 2018年12月4日星期二

76 控制措施 －软件补丁 软件补丁会定期发布，用以修补软件中的问题和发现的安全薄弱环节 通常补丁是免费的，可以从厂商的网站下载 组织经常忽略这些
没有经过兼容性测试就安全补丁可能会导致问题 操作系统、应用和数据的备份是非常重要的 2018年12月4日星期二

77 检查 －日志文件 设置 维护 事故监控 趋势分析 2018年12月4日星期二

78 对于攻击者的价值 环境 已知有问题的区域 位置 攻击者的数量 技术因素 使用的设施 累积的机会 开放度
考 虑 对于攻击者的价值 环境 已知有问题的区域 位置 攻击者的数量 技术因素 使用的设施 累积的机会 开放度 2018年12月4日星期二

79 CESG进行了超过40种健康检查 口令管理 信任关系 OEM补丁(很少安装)
常见问题 CESG进行了超过40种健康检查 口令管理 信任关系 OEM补丁(很少安装) 2018年12月4日星期二

80 安全必须通过一系列步骤进行维护 管理 策略 教育 控制措施 日常检查
总 结 安全必须通过一系列步骤进行维护 管理 策略 教育 控制措施 日常检查 2018年12月4日星期二

81 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

82 策略 范围 风险评估 风险管理 适用说明 成功的关键因素 ISMS框架
信息安全管理系统 的设计和实施 策略 范围 风险评估 风险管理 适用说明 成功的关键因素 ISMS框架 2018年12月4日星期二

83 信息安全管理系统 （ISMS） ISMS是BS 7799的基础 BS 7799-2定义了6个步骤 步骤1：定义策略
步骤3：进行风险评估 步骤4：风险管理 步骤5：选择控制目标和控制措施 步骤6：准备适用性说明 2018年12月4日星期二

84 ISMS建立流程 制定信息安全方针 定义ISMS的范围 进行风险评估 进行风险管理和控制 选择要实施的 控制目标及方法 准备适用性声明
信息安全现状 方针及策略文件 步骤1 制定信息安全方针 信息资产清单 威胁 弱点 影响 控制手段 定义ISMS的范围 ISMS范围 步骤2 进行风险评估 风险评估报告 步骤3 进行风险管理和控制 17799的控制目标 及措施 其它有效控制措施 风险管理方法及流程 步骤4 选择要实施的 控制目标及方法 技术实施方法及流程 步骤5 准备适用性声明 适用性声明 步骤6 2018年12月4日星期二

85 安全策略文档需要被管理层批准，并在所有员工中分发 为信息安全提供管理上的指导原则和支持 需要定期复审，当发生改变时，需要保证仍然适用
步骤1： ISMS－安全策略 安全策略文档需要被管理层批准，并在所有员工中分发 为信息安全提供管理上的指导原则和支持 需要定期复审，当发生改变时，需要保证仍然适用 2018年12月4日星期二

86 步骤1： ISMS－安全策略 要求： 执行安全策略是每一个个体的职责，每一个员工都需要有责任心按策略办事 策略类型： 策略内容：
小型组织可能只需要一个策略 大型组织则可能每个不同部门，甚至是每个不同的系统，都需要定义不同的策略 策略内容： 简介、扼要 概要策略的内容只要一张纸 详细策略的内容会覆盖各个方面 Transition Slide 2018年12月4日星期二

87 策略内容 可能包含： 建立高级管理层安全论坛/小组 个人安全意识培训 安全管理方法 承诺遵守ISO17799/BS 7799
承诺达到认证并维护 一系列具体策略 2018年12月4日星期二

88 会包含以下内容： 组织意外处理计划 数据备份 病毒防范 系统和数据的访问控制 安全事件的报告 对于恶意行为和不当使用的对策
策略实施文件 会包含以下内容： 组织意外处理计划 数据备份 病毒防范 系统和数据的访问控制 安全事件的报告 对于恶意行为和不当使用的对策 2018年12月4日星期二

89 步骤2： ISMS－范围 文档是否对于ISMS的范围给出了明确的定义 不包含在范围之内的重大部分是否明确指出和解释
界线和阶段必须明确无误(这对于管理用户/供应商/合作伙伴的关系很重要) 关系的管理通常是ISMS中最困难的一个区域 2018年12月4日星期二

90 步骤3： ISMS－风险评估 是否实施了正式的风险评估，并记录在案 是否有风险评估的方法遵循，并且次方法被大家认可
风险评估是否指出了资产漏洞，威胁和对组织潜在的影响 风险评估是否定期进行，在系统、组织发生变化是否重新评估 2018年12月4日星期二

91 是否定义了组织的风险管理方法 相应的保证措施是否定义 是否为管理层决策提供了多种控制措施选择
步骤4： ISMS－风险管理 是否定义了组织的风险管理方法 相应的保证措施是否定义 是否为管理层决策提供了多种控制措施选择 2018年12月4日星期二

92 步骤5： ISMS－控制措施 选择的控制措施是否基于风险评估的结果
从风险评估结果中是否可以清楚的了解哪些控制措施是底线，哪些控制措施是必须的，哪些控制措施是可选的 控制措施是否反映了组织的风险管理方针 2018年12月4日星期二

93 步骤6： ISMS－适用性声明 适用性说明中指出了对于每个控制措施和控制目标的最后决定的正当性 注意： 这是评估中一个关键的文档
它是联系BS 7799和ISMS的纽带 它在认证中会被引用 2018年12月4日星期二

94 步骤6： ISMS－适用性声明 对于组织选择出的针对业务需求的控制措施和目标，适用性说明是对于它的一个鉴定。
在说明中也会指出哪些控制措施被排除在外，这体现了一个组织如何对风险进行控制。 适用性说明不需要十分详细，避免为那些想钻安全漏洞的人提供有价值的信息。 最好为一份单独的文档，它可以提供给潜在的贸易伙伴使用，或者作为提供给认证实体的认证文档附件，如果是这样，这份文档内容就成为公开的。 2018年12月4日星期二

95 影响安全策略实施的原因 风险－风险还没有被确定 预算－财务限制 环境－保安系统，天气、空间限制 技术－一些需求技术不易实现 文化－认识限制
时间－一些要求现在不能立即实施 N/A－不适用 其它原因 2018年12月4日星期二

96 合乎目标 ISO17799/BS 7799指出并不是所有的控制措施在所有场合都适用 每个组织需要根据自己的目标解释标准
业务决定不会因为上述原因而引入控制措施 2018年12月4日星期二

97 成功的关键因素 安全策略： 安全策略，可以反映业务目标的行为； 信息安全实施的方法同组织文化相一致； 管理层的支持和承诺；
对于安全需求的良好理解，良好的风险评估和风险管理； 对于所有的管理人员和员工有效的灌输安全思想； 将信息安全策略、指导原则和标准散发给每个员工； 提供适当的培训； 对于信息安全管理有一套评估机制，可以评定它的执行情况和提供改进意见； 2018年12月4日星期二

98 ISMS文档结构 文档必须包括： 反映BS 7799-2中的六个步骤的数据 管理框架的总结 实施控制措施的步骤 ISMS的管理和运维流程
2018年12月4日星期二

99 ISMS文档结构 级别1 政策 范围 安全手册 风险评估 适用性声明 级别2 流程描述 BS7799-2:4.1～4.10 安全流程
工作说明书 表格登记 控制列表 级别3 具体描述安全任务与指定行为 记录 级别4 提供与17799要求一直的目标证据 2018年12月4日星期二

100 记住，还有其它ISMS要求的文档 法律文件 公司文件 合同 其它没有被ISO17799/BS 7799覆盖的控制措施
2018年12月4日星期二

101 在ISMS的运维期间，会有记录证明了流程的过程，并与标准相符 手工的 自动的
记录和证据 在ISMS的运维期间，会有记录证明了流程的过程，并与标准相符 手工的 自动的 2018年12月4日星期二

102 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

103 10个控制方面的详细条款 控制措施的法律含义 控制措施的最好经验共享 其它控制措施
7799控制措施总览 10个控制方面的详细条款 控制措施的法律含义 控制措施的最好经验共享 其它控制措施 2018年12月4日星期二

104 ISO17799/BS7799的10个控制方面 前 言 范 围 术语和定义 安全策略 人 员 安 全 资产分类 控制 系统开发 和维护
资产分类 控制 系统开发 和维护 访问 控制 前 言 范 围 业务 连续性 管理 一致性 安全组织 内部沟通 与 日常运维 物理 和环境 安全 术语和定义 2018年12月4日星期二

105 控制目标和控制措施 ISO17799/BS7799包含： 36个控制目标 127个控制措施
不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有的人都适用 2018年12月4日星期二

106 重要的控制措施 ISO17799/BS7799定义了10个重要的控制方面作为管理系统的基础
2018年12月4日星期二

107 知识版权 保护组织数据 数据保护和个人信息隐私 防止信息处理设备的不当适用 加密算法管理 证据
控制的法律含义 知识版权 保护组织数据 数据保护和个人信息隐私 防止信息处理设备的不当适用 加密算法管理 证据 2018年12月4日星期二

108 目标：通过避免非法拷贝而导致的安全问题 拷贝限制 许可协议 符合策略 合同中的要求
知识版权 目标：通过避免非法拷贝而导致的安全问题 拷贝限制 许可协议 符合策略 合同中的要求 2018年12月4日星期二

109 目标：防止重要数据的丢失、销毁和伪造 保存 存储 处理 公司法案
保护组织数据 目标：防止重要数据的丢失、销毁和伪造 保存 存储 处理 公司法案 2018年12月4日星期二

110 目标：遵从国家制订的数据保护的法律 数据保护法案 1998(英国) 8个原则 数据保护注册
数据保护和 个人信息隐私 目标：遵从国家制订的数据保护的法律 数据保护法案 1998(英国) 8个原则 数据保护注册 2018年12月4日星期二

111 E-Mail和互联网的使用 适用系统和信息干私活 上载个人用软件
防止信息处理设备 的不当适用 和互联网的使用 适用系统和信息干私活 上载个人用软件 2018年12月4日星期二

112 国家法律和国际法的规定 商业使用情况 需要良好的密钥管理
加密算法管理 国家法律和国际法的规定 商业使用情况 需要良好的密钥管理 2018年12月4日星期二

113 法律要求，软件，数据保护 操作员/用户日志 安全复审 清理工作
证 据 法律要求，软件，数据保护 操作员/用户日志 安全复审 清理工作 2018年12月4日星期二

114 信息安全策略文档 分派信息安全责任 信息安全教育和培训 安全事件报告 业务连续性管理
控制措施的最佳实践 信息安全策略文档 分派信息安全责任 信息安全教育和培训 安全事件报告 业务连续性管理 2018年12月4日星期二

115 信息安全策略文档 目标： 为信息安全提供管理指导原则和支持 2018年12月4日星期二

116 目标： 通过分派安全责任，使得在整个组织内部，安全都可以得到有效的管理 职责 责任人 角色
分派信息安全责任 目标： 通过分派安全责任，使得在整个组织内部，安全都可以得到有效的管理 职责 责任人 角色 2018年12月4日星期二

117 目标： 保证用户了解对于信息安全的威胁，每个用户有适当的配备以支持组织的安全策略的实施 需要培训建立安全意识
信息安全教育和培训 目标： 保证用户了解对于信息安全的威胁，每个用户有适当的配备以支持组织的安全策略的实施 需要培训建立安全意识 2018年12月4日星期二

118 目标： 降低安全事故造成的影响，从安全事件中吸取教训 定义 流程
安全事件报告 目标： 降低安全事故造成的影响，从安全事件中吸取教训 定义 流程 2018年12月4日星期二

119 目标： 当故障和灾难发生时，保证重要的业务流程的进行，将业务中断时间降到最低 业务连续的关键步骤
业务连续性管理 目标： 当故障和灾难发生时，保证重要的业务流程的进行，将业务中断时间降到最低 业务连续的关键步骤 2018年12月4日星期二

120 控制措施总览 2018年12月4日星期二

121 4.1 信息安全策略 信息安全策略文档 复审和评估 2018年12月4日星期二

122 目标： 在组织内部管理信息安全 基础架构 第三方访问 服务外包
4.2 安全组织 目标： 在组织内部管理信息安全 基础架构 第三方访问 服务外包 2018年12月4日星期二

123 信息安全管理论坛 信息安全相关的谐调工作 分派信息安全职责 信息处理流程授权 信息安全建议 组织之间的合作 信息安全的独立复审
4.2.1 信息安全基础架构 信息安全管理论坛 信息安全相关的谐调工作 分派信息安全职责 信息处理流程授权 信息安全建议 组织之间的合作 信息安全的独立复审 2018年12月4日星期二

124 明确第三方访问的风险 与第三方合同中安全要求
4.2.2 第三方访问 明确第三方访问的风险 与第三方合同中安全要求 2018年12月4日星期二

125 4.2.3 外包服务 服务外包合同中的安全要求 2018年12月4日星期二

126 目标： 为组织拥有的资产提供适当的保护措施 资产管理职责 信息分类
4.3 资产分类和控制 目标： 为组织拥有的资产提供适当的保护措施 资产管理职责 信息分类 2018年12月4日星期二

127 4.3.1 资产管理责任 资产的详细目录 2018年12月4日星期二

128 4.3.2 信息分类 分类原则 信息标签和处理 最高机密 机密 保密 限制 2018年12月4日星期二

129 目标： 降低由于个人错误操作，设备的被盗、不当使用带来的风险 在工作职责中明确安全责任 用户培训 对于安全事件的响应
4.4 个人安全 目标： 降低由于个人错误操作，设备的被盗、不当使用带来的风险 在工作职责中明确安全责任 用户培训 对于安全事件的响应 2018年12月4日星期二

130 在工作职责中包括安全事项 个人屏幕保护和策略 保密协议 雇佣的条款
4.4.1 在职责中明确安全责任 在工作职责中包括安全事项 个人屏幕保护和策略 保密协议 雇佣的条款 2018年12月4日星期二

131 4.4.2 用户培训 信息安全的教育和培训 2018年12月4日星期二

132 报告安全事件 报告安全薄弱环节 报告软件中的错误 从安全事件中吸取教训 按照规定流程办事
4.4.3 对安全事件的响应 报告安全事件 报告安全薄弱环节 报告软件中的错误 从安全事件中吸取教训 按照规定流程办事 2018年12月4日星期二

133 目标： 防止未授权的访问对于业务和信息造成损害 区域安全 设备安全 通用控制措施
4.5 物理和环境安全 目标： 防止未授权的访问对于业务和信息造成损害 区域安全 设备安全 通用控制措施 2018年12月4日星期二

134 物理安全边界 入口控制 办公室、设施安全 在安全区域工作 分离运输和卸货区域
4.5.1 区域安全 物理安全边界 入口控制 办公室、设施安全 在安全区域工作 分离运输和卸货区域 2018年12月4日星期二

135 设备放置地点和保护 电源 线路安全 设备维护 在安全区域外的设备安全 设备报废和再使用
4.5.2 设备安全 设备放置地点和保护 电源 线路安全 设备维护 在安全区域外的设备安全 设备报废和再使用 2018年12月4日星期二

136 4.5.3 通用控制 桌面清理原则 财产的移动 2018年12月4日星期二

137 4.6 通信和运维管理 目标： 保证信息处理的操作过程是正确的和安全的 操作步骤和职责 系统规划和验收 防止恶意软件 清理工作 网络管理
介质处理和安全 信息和软件交换 2018年12月4日星期二

138 降操作步骤记录在案 操作改变控制 事故管理步骤 职责明确 开发环境与生产环境分离 外部设备管理
4.6.1 操作步骤和职责 降操作步骤记录在案 操作改变控制 事故管理步骤 职责明确 开发环境与生产环境分离 外部设备管理 2018年12月4日星期二

139 4.6.2 系统规划与验收 容量规划 系统验收 2018年12月4日星期二

140 4.6.3 防止恶意软件 对于恶意软件的控制 2018年12月4日星期二

141 4.6.4 清理工作 信息备份 操作日志 错误记录 2018年12月4日星期二

142 4.6.5 网络管理 网络控制 2018年12月4日星期二

143 对可移动的计算机介质的管理 介质报废 信息处理流程 系统文档的安全
4.6.6 介质处理和安全 对可移动的计算机介质的管理 介质报废 信息处理流程 系统文档的安全 2018年12月4日星期二

144 信息和软件交换 介质传递中的安全 电子化商业信息安全 电子邮件安全 电子化办公的安全 对外公开的系统 其它形式的信息交换
4.6.7 信息和软件的交换 信息和软件交换 介质传递中的安全 电子化商业信息安全 电子邮件安全 电子化办公的安全 对外公开的系统 其它形式的信息交换 2018年12月4日星期二

145 4.7 访问控制 目标： 控制对于信息的访问 访问控制的业务要求 用户访问管理 用户职责 网络访问控制 操作系统访问控制 应用访问控制
监控系统访问和使用 移动电脑和远程办公 2018年12月4日星期二

146 4.7.1 访问控制的业务要求 访问控制策略 2018年12月4日星期二

147 用户注册 权限管理 用户口令管理 用户访问权限复审
4.7.2 用户访问管理 用户注册 权限管理 用户口令管理 用户访问权限复审 2018年12月4日星期二

148 4.7.3 用户职责 口令的使用 没有使用的用户设备 2018年12月4日星期二

149 4.7.4 网络访问控制 网络服务的使用策略 强制路径 用户使用外部连接时的认证 节点认证 远程诊断端口的保护 网络中功能分离 网络连接控制
网络路由控制 网络服务安全 2018年12月4日星期二

150 自动的终端识别 终端登录流程 用户标识和认证 口令管理系统 系统设备的使用 对于用户的告警 终端超时 连接时间的限制
4.7.5 操作系统访问控制 自动的终端识别 终端登录流程 用户标识和认证 口令管理系统 系统设备的使用 对于用户的告警 终端超时 连接时间的限制 2018年12月4日星期二

151 4.7.6 应用访问控制 信息访问限制 敏感系统的隔离 2018年12月4日星期二

152 4.7.7 监控系统访问和使用 日志 监控系统使用情况 时钟同步 2018年12月4日星期二

153 4.7.8 移动电脑和远程办公 移动电脑 远程办公 2018年12月4日星期二

154 目标： 保证信息系统中建立了相应的安全体制 系统的安全要求 应用系统的安全 加密算法控制 系统文件的安全 开发和支持流程中的安全
4.8 系统开发和维护 目标： 保证信息系统中建立了相应的安全体制 系统的安全要求 应用系统的安全 加密算法控制 系统文件的安全 开发和支持流程中的安全 2018年12月4日星期二

155 4.8.1 系统的安全要求 安全要求的分析和规范 2018年12月4日星期二

156 输入数据的正确性验证 内部处理流程控制 消息验证 输出数据的正确性验证
4.8.2 应用系统的安全 输入数据的正确性验证 内部处理流程控制 消息验证 输出数据的正确性验证 2018年12月4日星期二

157 加密算法的使用策略 加密 数字签名 防抵赖服务 密钥管理
4.8.3 加密算法控制 加密算法的使用策略 加密 数字签名 防抵赖服务 密钥管理 2018年12月4日星期二

158 操作系统软件的控制 系统测试数据的保护 程序源码的访问控制
4.8.4 系统文件的安全 操作系统软件的控制 系统测试数据的保护 程序源码的访问控制 2018年12月4日星期二

159 变更控制 操作系统变更的技术复审 对于软件包变更的限制 后门或者特洛伊木马 外包的软件开发
4.8.5 开发和支持流程的安全 变更控制 操作系统变更的技术复审 对于软件包变更的限制 后门或者特洛伊木马 外包的软件开发 2018年12月4日星期二

160 目标： 再发生故障或者灾难时，保证业务流程的不间断性，将对业务的影响尽量减小
4.9 业务连续性计划 目标： 再发生故障或者灾难时，保证业务流程的不间断性，将对业务的影响尽量减小 2018年12月4日星期二

161 业务连续性管理流程 业务连续和影响分析 书写和实施业务连续计划 业务连续性计划框架 业务连续性计划的测试、维护和评估
4.9.1 业务连续性管理 业务连续性管理流程 业务连续和影响分析 书写和实施业务连续计划 业务连续性计划框架 业务连续性计划的测试、维护和评估 2018年12月4日星期二

162 目标： 遵守各项法律、法规，遵守和约规定中规定的责任、管理和安全要求 遵守法律 对于安全策略和技术的复审 系统审计考虑
4.10 遵从性 目标： 遵守各项法律、法规，遵守和约规定中规定的责任、管理和安全要求 遵守法律 对于安全策略和技术的复审 系统审计考虑 2018年12月4日星期二

163 明晰适用法律条款 知识版权 保护组织拥有的信息 数据保护和个人信息隐私 防止信息处理设备的不当使用 加密算法的控制管理 证据的收集
遵守法律 明晰适用法律条款 知识版权 保护组织拥有的信息 数据保护和个人信息隐私 防止信息处理设备的不当使用 加密算法的控制管理 证据的收集 2018年12月4日星期二

164 安全策略和技术的复审 与安全策略相符 技术遵从性检查 2018年12月4日星期二

165 系统审计考虑 系统审计控制 系统审计工具的保护 2018年12月4日星期二

166 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

167 第九部分 评估和认证 流程 维护 2018年12月4日星期二

168 认证前： 预先评估(可选的) 文档审计 实施审计 认证后： 持续的评估 每隔三年再次评估
评估的组成阶段 认证前： 预先评估(可选的) 文档审计 实施审计 认证后： 持续的评估 每隔三年再次评估 2018年12月4日星期二

169 审计 根据BS 7799-2进行评估 BS 7799-2中引用了BS 7799-1中的控制措施，作为规范出现
2018年12月4日星期二

170 文档审计 一般在现场进行 检查ISMS框架是否与BS7799-2中的第三个条款相符
检查策略、范围、风险评估、风险管理、控制措施的选择和适用性说明 审计人员也许不会深入检查每个步骤，但会查看足够多的标准、步骤和工作说明 需要牢牢记住文档审计是BS7799的一个重要构成部分 2018年12月4日星期二

171 实施审计 检查是否与文档审计中相一致 通过审计验证ISMS的实施和运维 评估组组长会对认证结果给出建议但不做最后决定
同ISO9000的方法一致 目标明确 细化的工作 评估组组长会对认证结果给出建议但不做最后决定 如果在评估中发现了不符合的地方，则组织需要在3个月内采取纠正措施 2018年12月4日星期二

172 认证的有效期为三年，除非冻结、收回或者取消 认证委员会会签发BS7799认证书 在认证书中会包含特定的词语，并会引用实用性说明。
2018年12月4日星期二

173 持续评估 认证实体每年至少进行一次监督性的审计 目标是在两年时间内可以覆盖认证的内容范围
如果在监督性设计中发现重大问题，认证实体可以决定实施中间性的审计 2018年12月4日星期二

174 认证的有效期为三年 在三年有效期到期时，认证单位可以通过主动的再次评估将认证在延期三年
每隔三年再评估 认证的有效期为三年 在三年有效期到期时，认证单位可以通过主动的再次评估将认证在延期三年 2018年12月4日星期二

175 评估的时间要求 BS 7799评估的时间取决于若干因素，包括ISO 9000范围的预估，评估覆盖的人员数量，安全组织的大小，组织物理的分布情况，服务线和业务部门的数量等。 虽然ISO 9000不是必须的，但认证范围是一个需要认真考虑的问题。 2018年12月4日星期二

176 认证成本包括： 申请费用 预估和评估期间评估员的费用 管理年费 持续审计费用 其它花费
2018年12月4日星期二

177 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理
第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 2018年12月4日星期二

178 第十部分 鉴定 现在的发展情况 选项 2018年12月4日星期二

179 在标准ISO9000，ISO14000或者BS7799的指导下，组织通过认证实体的检查而得到认证资格。
认证实体则是通过鉴定单位(如UKAS和IRCA)得到认证资质，才能进行评估工作和签发相应标准的认证。 2018年12月4日星期二

180 C:CURE DTI发起的标准 1998年发布在Infosecurity 以BS7799-2:1999为认证标准
BSI DISC是DTI指定的C:CURE的管理者 2018年12月4日星期二

181 UKAS 根据BS7799-2:1999制订了鉴定标准 同欧洲相关组织密切合作 基于ISO/IEC 62/EN45012
同C:CURE的要求类似 认证实体有责任验证认证员资质 2018年12月4日星期二

182 RvA (Raad voor Accreditatie)
荷兰的鉴定机构 它也定义了自认证的流程 基于BS7799-1:1995 接受UKAS制订的标准 2018年12月4日星期二

183 将会制订一套标准。它将会采用BS7799和国防部现有规范 需要行业需求 现在美国客户使用UKAS标准
RAB(USA) 将会制订一套标准。它将会采用BS7799和国防部现有规范 需要行业需求 现在美国客户使用UKAS标准 2018年12月4日星期二

184 没有通过鉴定的认证实体 在一些国家，由于鉴定单位不被承认，所以对于组织来说，通过鉴定并没有什么真正的意义 鉴定实体之间的承认 在欧洲 全球
其它选择 没有通过鉴定的认证实体 在一些国家，由于鉴定单位不被承认，所以对于组织来说，通过鉴定并没有什么真正的意义 鉴定实体之间的承认 在欧洲 全球 2018年12月4日星期二

185 谢谢大家！ End of Training 2018年12月4日星期二

186