1、
1、
1、体系运行
运行跟踪、安全度量(测量、安全教育意识培训)、内部审核、管理评审
宣传培训(电子海报、张贴画、展板、信息安全培训手册)
27004建立测量指标、信息安全目标有效性测量表
内部审核&管理评审
管理评审由管理层来做,一般一年一次
内审的输入、形成管理评审报告
2、认证审核
风险评估
方法培训:基于标准将评估流程、评估范围确定下来,并预先将评估中的评估方法与标准进行统一。
风险评估参考标准:
ISO 27001、GBT 20984、谷安天下信息安全最佳实践
管风险评估特性:
信息安全风险汇总库
9.3 管理评审
管理层对信息安全工作情况进行
10. 改进
10.1 不符合项和措施
10.2 持续改进
四、信息安全管理体系实施过程(结合工作实践)
流程阶段:
现状调研-》风险评估-》安全规划-》体系建设-》体系运行-》认证审核
1. 现状调研
要求有调研方案
调研内容:外部监管要求,相关法律法规,ISO27001标准
调研方法:
资料评审:查看组织业务特征、组织架构、风险管理制度、记录资料
现场访谈:访谈员工,了解其期望和目前真实实施情况(需要准备访谈计划、访谈提纲,访谈纪要 )
问卷调查:可用于做数据分析(调查内容:主要业务系统开发安全、运维安全、、终端设备管理、机房物理安全管理、网络系统管理、服务器和存储系统、数据库管理、资产管理、安全管理)
技术评估:上机扫描、漏洞统计(通过工具扫描和漏洞检测,人工分析检查安全配置情况,综合得出信息系统的技术脆弱性和被黑客攻击的可能性)
现状总结:描述组织的信息安全现状(现场访谈结果与分析、技术评估结果与分析、信息安全管理体系状况分析、组织安全现状存在问题的综述)
2. 风险评估
梳理信息资产的安全隐患,制定风险处置计划
风险评估方法:
方法培训:制定培训计划、风险评估计划,培训风险评估的流程、评估标准等内容
资产识别:全面收集信息资产信息,并对新产进行重要程度分级
风险分析:
风险处置
评估总结
ISO27001
主题思想:PDCA
Plan(4-7):组织环境、领导力、规划、支持
Do(8-):运行
Check:绩效评价
Action:改进
4. 组织环境
4.1 明确内外部的环境情况
4.2 明确相关方(业务部门、客户、监管部门、供应商)以及其需求及期望
4.3 明确信息安全管理体系的范围(部门覆盖情况、地理覆盖情况、业务覆盖情况)
5. 领导力(执行力)
5.1 领导力和承诺——主要包含领导层的支持和承诺
经济支持、资源支持(人员、设备)
5.2 方针
高层应建立信息安全方针:目标、框架、要求、体系
信息安全方针赢形成文档、内部沟通确认、对外发布
5.3 组织角色、职责和权 利
月报信息安全管理角色和权力得到分配和沟通
6. 规划
6.1 处置风险和机遇的行动
6.1.1 总则
6.1.2 信息安全风险评估
组织应定义和实施信息安全风险评估流程
6.1.3 信息安全风险处置
组织应定义和实施信息安全风险处置过程
7. 支持
7.1 资源
组织应确定并提供建立、实施、维持和持续改进信息安全管理体系所需的资源
7.2 能力
确定员工有完成工作的安全技能
确保员工具备完成工作的教育、培训和经验
采取合适的措施确保员工具备以上技能,并对其能开展考核
保留相关文档作为证据
7.3 意识
员工应了解信息安全方针:
了解个人对信息安全管理的重要性
不符合信息安全管理体系要求会造成的影响
7.4 沟通
与不同职位、角色的人沟通的方式、内容均不同
7.5 文档要求
7.5.1 综述
组织的信息安全管理体系应包括:制度文件+证明体系有效性的记录文件
7.5.2 创建和更新
组织应明确合适创建和更新文档信息是合适的
7.5.3 文档控制
信息安全管理体系和本国际标准要求的文档信息应予以控制以确保:
在需要的时间和场合可用
文档可以得到充分保护
为做好文件控制,组织要明确以下文档控制活动:
分发、访问、回收和使用
存储保管
变更控制
归档和处置
8. 运行
8.1 运行计划与控制
8.2 信息安全风险评估
8.3 信息安全风险处置
9. 绩效评价
9.1 监控、度量、分析和评价
组织应明确:
监控和测量的内容、方法、时间、实施人、分析要求
组织应保留适当文档作为检测和测量开展的证据
9.2 内部审核
组织应定期开展内部审核:
是否符合国家标准
是否满足自身信息安全管理要求
是否有效落实和保持
组织应:
制定内审计划(频率、方法、责任、计划)
审核标准和范围
审核执行人员
件审核结果上报公司领导
123
风险评估---风险管理---
理发了,好帅
27001 14个安全领域,
分为4级,
第1级 信息安全方针,
第2级信息安全要求
第3级 XXX手册,XXX流程,XXX指南
整个文件体系必须 领导批准,通过正当渠道发放给员工,
很多企业规章制度,员工都不清楚,
强调建立 规章制度,告知第三方,员工,
应该周期性对体系文件进行不断的更新,变化 ,
将监管要求转化为体系要求,
一年,半年评审一下相关制度,
有安全岗位,
安全组织建立 ,
组织 的信息安全管理部门,
执行组织 :包括,所有IT职能部门和业务部门,
首先去定义我们的信息安全组织 ,
岗位分工,
职责 分离:开发和测试分离,会计和出纳分离,
系统程序员和系统管理员分离
防止开发人员安装后门,
央企;人员不足,
设置堡垒机,
与政府部门的适当联系,有相关信息的获取 ,
CNCERT,安全事件处理,
与特定利益集团的联系,安全服务商,
ISO20000
2301
在原来的基础上,信息安全,
动员会,领导讲话,各部门配合,
做一个纲领性讲解,工作计划,工作流程,
领导小组,参加部门,都有哪些,工作内容,
包括对意识进行培训,
宣传培训
安全意识不是一次性的,是长期的,
意识是大脑皮层的条件反射,
不能光一次培训,看什么东西,没有后续 工作是起不了太大作用的。
不要讲的太死板,太枯燥,
加点动画,电影片段,加点感兴趣的,
最后讲公司规定,挑主要的讲,
海报,安全手册,电子 课件,安全动画,宣传片,
有效性测量:测量指标,参考27004,开发指标,
结合实情开发适合自己的指标,每年,每季度,
不合格要有证据,说明
管理评审管理层做的,一年一次,
风险评估报告,管理评审的输入,
会议记录,管理评审的输出 ,
文件审核通过后才进行认证审核
账号不知道给谁创建,
系统开发安全问题,
规范人员分类,
量化计分 考核办法,
相关奖惩措施,
为什么做风险评估,意义何在?
资产识别,资产价值相同,归为统一类别 安全组,
普通 员工资产和领导资产不一样,
公式法,都属于定性风险评估,
规划:怎么去做,做什么事情 ?
什么是安全架构 ?有什么意义?
短期达不到,未来两到三年达到,
现实有很多问题,未来要达到目标,
现实和未来有 很大差距,
将存在问题分类,分成不同项目群,
做任务排序--确定先后顺序,要有方法,为什么,凭什么,
价值高,风险小,先做,
制定评价指标,实施难易程度,
具体情况具体分析,
给客户做了一个三年的规划,工作任务,
安全蓝图,
任务的目标是什么,牵头是谁?应对风险有什么风险措施,
更详细的做专项规划,技术优势是什么,怎么部署,
针对 客户比较关注点在哪,
适用性声明,来阐述内容,
能落地的越简单越好,
规划文件体系清单,按27001,14个安全领域,
以客户视角,怎么开展工作,
按部门角度来规划,组织结构 不一样,
现实条件,企业文化,
二级某某文件,
三级,满足要求怎么去做,
四级:记录表彰,和三级配套使用,
一定和客户讨论,沟通确认好,
咨询顾问不能单独确认,
相关格式,要求,
客户自己来写是好的,把安全控制 要求,关键控制要求,客户来写,我们提供指导,
不要期望一闪把体系文件写得多么完美,体系文件也要随环境变化 ,做更新,
多长时间,多大精力,容易疲劳
发布体系,要让大家都知道,按要求去做,通过一个渠道,发布到相关部门,
什么是信息安全
27001有什么风险
27001标准怎么说的
基于27001怎么实施?实施过程,
新增
密码学
供应商管理
27001
1 安全策略
2 组织信息安全:建立安全组织,人员(外部内部)
3 资产管理
4 访问控制 信息安全核心zhi'yi
信息标记:
企业建议用商密(123或ABC)
1. 安全的目的是为了保障业务连续稳定的运行,进而为企业创造价值
安全组织-执行组织:
IT职能部门和业务部分
体系运行-运行计划-运行跟踪
体系运行-有效性度量-有效性测量表
体系运行-内部审核-内审检查表
体系运行-管理评审-评审报告
体系运行-认证审核
为资产编制清单
基于不同层面的风险评估
价值高风险小的项目优先做
提前制定访谈提纲,访谈后形成访谈纪要
现状调研-现状总结
一个资产可能面临多个威胁
风险控制策略:规避、降低、转移、接受
成本效益原则