ISO-IEC 27001 SOA适用性说明原文+个人理解
0x200 安全管理目标
0x210 安全方针
目标:为信息安全提供管理指导和支持并确保与业务需求和相关法律法规相一致。
1-安全方针
- 系列信息安全方针应被定义、并由管理者批准、发布并传达给员工和外部相关方。
2-安全方针评审
- 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性;
0x212 我的理解
- 这部分主要是高管的事情,按照当前的法律法规,以及组织自身的战略目标,宏观的角度去识别威胁和风险;
- 定义至上而下的信息安全策略、信息安全管理制度;
- 要制定管理制度也要查是否被人正常使用了,高级管理层没有时间做到应尽关注,就要实现内部审查部门。
0x300 信息安全组织
0x310 内部组织
目标:建立管理架构,启动和控制信息安全在组织内的实施;
1-信息角色和职责
- 控制措施所有信息安全职责应被定义和分配;
2-职责分离
- 冲突责任与职责范围加以分割,以降低未授权或无意识的修改或不当使用组织资产的机会;
3-临管机构关系
- 应保持与政府相关部门的适当联系;
4-特定利益集团关系
- 应保持与特定利益集团、其他安全专家组和专业协会的适当联系;
5-项目管理信息安全
- 无论项目类型,项目管理中均应描述信息安全;
0x311 我的理解
- 职责落实到对应负责人明确的职责有助于减少踢皮球的现象,出现问题更加容易追责,员工更加专业,行动更加迅速;
- 知其所需,减少越权读取或者越权操作,保护组织机密数据安全;
- 这没啥可说,谁的地盘谁做主,多多汇报没有错的;
- 保证安全措施规划不会损害某个部门利益,避免人家抵触你的规划,同时适当的尊重下我们搞安全的,谁都不容易啊;
- 越大的项目越是需要注重信息安全,毕竟不想自己呕心沥血的工作成果,泄露给他人。
0x320 移动设备和远程工作
目标:确保使用移动设备的使用及远程工作的安全;
1-移动设备策略
- 应采用策略和相应的安全测量,以防范使用移动设备时所造成的风险;
2-远程工作
- 应实施策略和相应的安全测量,以防保护信息的访问、处理和存储在远程站点;
0x321我的理解
- 这里要使用安全措施管理,网络准入审计、移动设备标识管理、上网行为管理……;
- 这里要使用安全措施管理,VPN、数据交换管理、网闸隔离、远程访问控制、OA ……;
0x400 人力资源安全
0x410 任用前
目标:建立管理框架,以启动和控制组织内信息安全的实施;
1-审查
- 所有任用侯选者的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行;
2-任用条款和条件
- 与员工和合同方的合同应声明他们和组织的信息安全职责;
0x411 我的理解
- 雇佣之前需要执行背景调查,确保符合组织的用人原则,减少不必要信息泄露风险;
- 还需要签署NDA保护商业机密,行业保护协议[几年内不能执行同行业工作]并需要给予相应的报酬;
- 存在相应招聘管理制度;
0x420 任用中
目标:确保雇员和合同方知悉和实施他们的信息安全职责;
1-管理职责
- 管理者应要求所有雇员和合同方按照组织已建立的方针策略和程序对安全尽心尽力;
2-信息安全意识、教育和培训
- 组织应对组织的所有员工,适当时,还包括合同方和第三方用户进行与其工作职能相关的适当的意识教育和培训,以及组织方针策略及程序的定期更新培训;
3-纪律处理过程
- 应有一个正式和已传达的纪律处理过程,对于安全违规的雇员采取行动;
0x421我的理解
- 明确描述个人工作职责,保证每个人职位界限明确,可以适当执行双人互备原则,双人控制原则,审查可能的滥用职权;
- 意识 = 是什么,教育 = 怎么做,偏向流程,培训 = 为什么这么做 偏向理解策略;
- 奖罚分明,制定激励或者惩罚措施,确保奖惩有度,保证组织策略被充分履行完成;
0x430 任用的终止或变化
目标:保护组织的利益,作为改变或终止任用关系流程的一部分;
1-作用职责的终止或改变
- 任用终止或任用变更后,仍保持有效的信息安全责任和职责应被定义和传达到雇员或合同方,并强制执行;
0x431 我的理解
- 人力资源还需要进行面谈,确保其执行相关的数据保密和行业保护条例等附加条款;
- 结算相应的保障待遇和福利待遇;
- 解雇需要确保完成工作交接,关闭员工的内部权限帐号和网络连接权限,由保安人员进行陪同下走出办公地点;
0x500 资产管理
0x510 资产职责
目标:识别组织资产,定义适当的保护职责
1-资产清单
- 应识别信息和信息处理设施相关的资产,编制并维护所有资产的清单;
2-资产责任人
- 资产清单中维护的资产应有责任人;
3-资产的可接受使用
- 与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施;
4-资产的归还
- 所有的雇员和外部人员在终止任用、合同或协议时,应归还他们使用的所有组织资产;
0x511 我的理解
- 通过一定自动化软件管理,电子台账、集中身份管理、资产标识化管理、结合审计类工具等;
- 定义相关责任人负责守护或者使用相关资产,便于事后审计溯源;
- 文档化设施相关信息,包括但不限于资产状态、资产处理信息登记、资产使用人、资产用途、资产报废等;
- 还是电子台账,就要明确资产在哪里,怎么用,还能用多长时间。
0x520 信息分类
目标:根据信息对组织的重要性,确保受到适当级别的保护
1-分类指南
- 信息应按照未授权泄露或篡改的法律要求、价值、敏感性和关键性予以分类;
2-信息的标记
- 应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记程序;
3-资产的处理
- 应按照组织所采纳的信息分类机制建立和实施资产处理程序;
0x521 我的理解
- 需要识别资产,然后看有哪些数据,接着关键性=这些数据是否重要,敏感性=泄露会造成什么影响;
- 识别数据,对所有数据进行标记,还要建立合适策略机制,来保护对应标识的数据,这里可以使用网络DLP预先收集数据;
- 这里需要使用安全措施管理,网络DLP、终端DLP、数据交换管理平台
0x530 介质管理
目标:防止未泄露、修改、移动或销毁存储在介质上的信息
1-可移动介质的管理
- 应按照组织所采纳的信息分类机制实施可移动介质的管理规程;
2-介质的报废处置
- 不再需要的介质,应使用正式的规程安全地处置;
3-物理介质转移
- 包含信息的介质应防止未授权的访问、不当使用或毁坏;
0x531 我的理解
- 基于信息分类实施包括但不限于 权限控制、时段控制、标识控制、访问控制、设备管理禁用等安全策略;
- 磁盘、磁带、 固态硬盘等存储介质,存储了敏感信息后重用。需要进行擦除、清除、清扫等工作,保证原数据不可读,必要时销毁;
- 备份数据、工作站存储、归档数据等静态数据,应使用AES、3DES 等加密手段保存,防止未授权访问;
0x600 访问控制
0x610 访问控制业务要求
目标:控制访问信息和信息处理设施
1-访问控制策略
- 应建立文件化的访问控制策略,并基于业务和安全要求进行评审
2-访问网络和网络服务的策略
- 用户应仅能访问已获专门授权使用的网络和网络服务;
0x611 我的理解
- 访问控制策略建立成文件,评审可能包括问题排查、工作交接、策略梳理、汇总周报、版本回滚等功能;
- 除了访问控制,终端网络准入也能达到此功能,不过一般防火墙拥有区域掌控权,建议使用防火墙来处理此类事件;
0x620 用户访问管理
目标:确保授权用户的访问,并预防信息系统的非授权访问
1-用户注册和注销
- 应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问
2-用户访问规定
- 应实施正式提供用户访问规程,为所有系统和服务的所有用户类型分派和撤销访问权限;
3-特权访问权限管理
- 应限制和控制特权访问权限的分配和使用;
4-用户密码认证信息的管理
- 秘密认证信息的分配应使用正式的管理过程来进行控制;
5-用户访问权处的评审
- 资产所有者应定期对用户的访问权利进行复查;
6-访问权利的撤销或调整
- 当任用、合同或协议终止或调整变更时,应删除或调整所有雇员和外部用户对信息和信息处理设施的访问权利;
0x621 我的理解
- 用户标识、可使用用户名、智能卡、磁条卡、生物识别技术等;
- 用户权限管理[ DAC MAC RBAC],根据不同组织需求选择;
- 管理员特权访问不能同时存在,请求者和处理者权限合并分配,需要执行权限分离,同时特权账户只能在特定时间段使用;
- 用密码保护不应该使用明文的方式存储,可以使用证书、公钥基础设施、一次一密、密码HaSH存储、密码加盐存储等;
- 检查用户账户的目的可以使防止权限蠕变,需要实施知其所需原则;
- 可以防止权限蠕动、减少未授权访问,关闭已经不存在员工帐号
0x630 用户职责
目标:确保用户保护他们验证信息
1- 秘密认证信息的使用
- 使用秘密验证信息时,应要求用户遵守组织安全实施;
0x631 我的理解
- 密码短语、动态密码验证、用户问题验证、令牌验证、密保问题等常用于自助找回密码;
0x640 系统和应用控制
目标:防止对系统和应用的未授权访问
1-信息访问限制
- 信息和应用系统功能的访问应依据访问控制策略来限制;
2-安全登录程序
- 如果访问控制策略需要,应通过安全登录程序控制对操作系统和应用的访问;
3-口令管理系统
- 口令管理系统应是交互式的,并应确保口令的质量;
4-特权实用程序的使用
- 可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制;
5-程序源代码的访问控制
- 对程序源代码的访问应被限制;
0x641 我的理解
- 没啥可说的,啥系统不需要呢;
- 单点登录Token证书认证、多因素认证、认证登录后审计;
- 要用户设置用户密码不能使用简单数字,词语,不能记录,需要时间段更换;
- 终端配置黑名单禁止启动系统管理工具,限制一些存在驱动级别应用,SRENG、冰刃等黑客工具;
- 这里可以使用版本管理工具,或者直接云桌面处理,一人一号,不允许直接拷贝到本机编写,远程环境;
0x700 密码
0x710 密码控制
目标:确保适当和有效的密码学的使用以保护信息的保密性、真实性或完整性
1-使用密码控制的策略
- 应开发和实施用于保护信息的密码控制使用策略;
2-密钥管理
- 应开发密钥的使用、保护和生命周期的策略,并在整个生命周期中实施
0x711 我的理解
- 要用户设置用户密码不能使用简单数字,词语,不能记录,需要时间段更换,必要时使用密码记录设备,防止来回使用相同密码;
- 动态数据加密技术,非对称加密保护密钥信息,单点登录,联合登录等;
0x800 物理与环境安全
0x810 安全区域
目标:防止对组织办公场所和信息的非授权物理访问、破坏和干扰
1-物理安全边界
- 组织应使用安全边界(障碍物,如墙、控制进入大门的卡或人工接待台)来保护包含信息和信息处理设施的区域
2-物理入口控制
- 安全区域应由合适的入口控制所保护,以确保只有经过授权的人员才可以访问
3-办公室、场所和设施的安全
- 应为办公室、房间和设施设计并采取物理安全措施;
4-外部和环境威胁的安全防护
- 应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施;
5-在安全工作区域
- 应设计和运用在安全区域工作的流程或程序;
6-公共访问和装卸区域
- 访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问;
0x811 我的理解
- 保安只在物理访问控制较严密的情况下才很有用,属于检测性保护措施,成本很高的;
- 可以使用多因素认证,智能卡+面部识别 、指纹+ID卡等方式;
- 办公室要有锁,有的办公室还看到过人脸识别,可以直接显示人名的那种,很有趣;
- 这没啥可说的吧,墙要厚,锁要大,狗要狠;
- 需要出入口记录,抵押身份证,或者换出入证,机房穿鞋套等等;
- 设置办公区域,保护敏感信息处理,可能敏感信息有 源代码、商业数据、新功能开发、客户资料、市场调研、人力资源信息等等。
0x820 设备安全
目标:防止资产的丢失、损坏或被盗,以及组织运营的中断
1-设备安置和保护
- 应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会
2-支持性设施
- 应保护设备免受电力中断或其他因为支持性设施失效所导致的中断
3-电缆安全
- 应保护承载数据或支持信息服务的电力和通讯电缆免遭窃听、中断或破坏
4-设备维护
- 应正确维护设备,以确保其持续的可用性和完整性
5-资产的移动
- 设备、信息或软件在授权之前不应带出组织场所;
6-场外设备和资产安全
- 应对场外设备采取安全措施,要考虑工作在组织场所以外工作的不同风险
7-设备的安全销毁或重用
- 应检查包含存储介质的设备,以确保在处置和再利用之前任何敏感信息和许可软件已被删除或安全重写
8-无人值守的用户设备
- 用户应确保无人值守的用户设备有适当的保护;
9-清空桌面和屏幕策略
- 应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略;
0x811 我的理解
- 物理保护措施:保险柜、上锁的机房、辅助门禁,软件保护措施:入侵检测、防火墙、网络准入;
- 发电机、UPS、稳流器、大型配电架、双路市电等等;
- 电磁窃听=TEMPTEST、法拉第笼、白噪、屏蔽双绞线,网络窃听=链路加密、端到端加密、访问控制;
- 完整性=可以考虑纠正补救型的数据备份、RAID、远程镜像、远程日志;可用性:物理:热站点、服务器农场、两地三中心;
- 出入审计记录,可以是行政部授权、可以是相关资产负责人授权;
- 考虑物理风险、人员误操作、恶意代码入侵,其实组织内这个些风险也是存在的;
- 保证组织的敏感信息不能被泄漏,需要做覆写:无关数据覆写、覆写次数、删除是最不安全的清除数据方法;
- 物理保护、动检、隔离区域、尽量减少接触可能性;
- 清空桌面敏感信息,图纸、员工薪资、商业记录、产品缺陷、源代码、特权工具等信息,设置屏保恢复需要密码,自动锁屏;
0x900 操作安全
0x910 操作程序以及职责
目标:确保信息处理设施的正确和安全操作
1-文件化的操作程序
- 应编制并保持文件化的操作程序,并确保所有需要的用户可以获得
2-变更管理
- 对于影响信息安全的组织、业务流程、信息处理设施和系统的变更应加以控制;
3-容量管理
- 资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能;
4-开发、测试和运行环境分离
-应分离开发、测试和运行环境,以减少未授权访问或对运行环境变更的风险
0x911 我的理解
- 文件化操作程序,其实不是软件是一个基于策略的指南类型流程性操作方法,可以确保准确无误执行完成,同时便于审查更新;
- 变更控制:变更请求,变更审批,变更执行,变更记录;这个也是一条龙服务的,形成审计文档方便审查;
- 这里其实现在有了云计算就不用了,已经弹性拓展,即插即用,推荐执虚拟化平台有点类似横向拓展;
- 研发、测试、生产环境,防止研发直接修改上线,如果出现故障不好及时修复,造成组织声誉损失;
0x920 恶意软件防护
目标:确保信息和信息处理设施不受恶意软件侵害
1-控制恶意软件
- 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的用户意识;
0x921 我的理解
- 使用网络数据流、终端检测方式、APT云,前者是基于签名特征检测,,后者可以记录详细攻击过程;
- 恢复措施,单机恢复一般就是镜像或者冰点还原,建议使用云桌面的方式可以快速恢复办公环境;
- 用户意识可以自上而下进行,安全讲座,安全防范培训;
0x930 备份
目标:防止数据的丢失;
1-信息备份
- 根据既定的备份策略备份信息、软件和系统映象的拷贝,并定期测试;
0x931 我的理解
- 一般可以使用策略集中管控系统,进行策略统管方便备份与测试,避免用户解除不同的安全设备界面,可以做策略梳理;
0x940 日志和监视
目标:记录事件并生成证据;
1-事件记录
- 应产生记录用户活动、异常、故障和信息安全事态的审核日志,并保持和定期评审;
2-日志信息的保护
- 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问;
3-管理员和操作员日志
- 系统管理员和系统操作员活动应记入日志,日志应被保护并定期评审;
4-时钟同步
- 一个组织或安全域内的所有相关信息处理系统的时钟应使用单个时间源进行同步;
0x941 我的理解
- 需要一个审计类设备,日志审计是把所有网络设备、网络安全设备、操作系统日志都放到一起看;
- 日志传输过程中加密,存储过程加密,保证除了相关设备可以解析,其它设备限制解析的过程;
- 特权用户必须审查,因为这种用户账户权限最大,要注意登录时间,登陆方式,操作权限是否发生蔓延;
- 就是日志时间戳的问题,否则日志就没有一致性了;
0x950 运行软件的控制
目标:确保操作系统的完整性;
1-操作系统上软件的安装
- 控制在操作系统上软件安装的程序应被落实;
0x951 我的理解
- 这种一般用户黑名单或者白名单,windows 也可以使用组策略或者第三方终端安全监控工具,linux 一般问题不大;
0x960 技术脆弱性管理
目标:避免技术脆弱性的利用
1-技术脆弱性的控制
- 应及时获得信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险;
2-软件安装的限制
- 应建立和实施规则,控制用户安装软件
0x961 我的理解
- 基线核查、网络漏扫、主机漏扫,可以检查终端运行软件是否存在问题,需要配合企业补丁审判流程;
- 这里需要一个动态策略集中管控方式,需要审计主机的操作动作,控制一部分动作,终端行为审计与控制系统;
0x970 信息系统审计的考虑
目标:审计活动对运行系统干扰最小化
1-信息系统审计控制措施
- 涉及对运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险;
0x971 我的理解
- 变更验证、补丁验证,最好有并行测试系统,优先处理好灾难恢复计划,测试系统完成后可以生产环境进行处理;
0xA00 网络安全管理
目标:确保网络和其支持信息处理设施中信息的保护;
1-网络控制
- 应充分管理和控制网络,以保护系统和应用中的信息;
2-网络服务的安全
- 所有网络服务的安全机制、服务水平和管理要求,应予以明确并列入网络服务协议中,无论这些服务是由公司内部提供的还是外包的;
3-网络隔离
- 应在网络中隔离信息服务分类、用户及信息系统;
0xA01 我的理解
- 典型的网络准入的需求,没有条件就是防火控制也行吧!
- 保证传输中的数据安全,服务安全,不是要加密流量就是要严格验证机制,证书、密钥管理、单点登录、联合认证;
- 分层部署防火墙、网闸、数据交换管理、网络划分区域,数据流转对外屏蔽;
0xA10信息传输
目标:维护组织与任何外部实体的信息传输安全;
1-信息交换策略和程序
- 应建立正式的交换策略、程序和控制措施,以保证所有类型的通讯设施间信息传输安全;
2-信息传输协议
- 应建立组织和外部组织之间的信息和软件交换的协议;
3-电子消息
- 涉及电子消息的信息应适当保护;
4-保密性协议
- 应确定组织信息保护需要的保密性或不泄露协议的要求,定期审核并记录;
0xA11 我的理解
- 仍然是传输中的数据处理,主要 就是 看不懂、知不道、拿不走;
- SSL VPN、TLS 、RSA、EDCA;
- 数据库多实例、数据属性脱敏、防统方;
- 对需要保护信息识别并定级,编制对应级别数据处理方式,尽量通过电子版的方式流转重要数据,防止私自拷贝;
0xB00 操作安全信息系统的获取、开发和维护
0xB10 信息系统安全要求
目标:确保安全是信息系统整个生命周期的一个有机组成部分。包括面向公共网络提供服务的信息系统要求;
1-信息安全需求分析和说明
- 在新的信息系统或增加已有信息系统的业务要求描述中,应规定对安全控制措施的要求;
2-保护公共网络上的应用服务
- 公网上应用服务中传输的信息应被保护,以免遭受欺诈、合同纠纷和未经授权的披露和篡改;
3-保护应用服务交易
- 应用服务传输中涉及的信息应加以保护,以防止不完整的传输、路由错误、未授权信息修改、未授权披露、未授权信息复制或重放;
0xB11 我的理解
- 安全控制措施,防火墙、入侵防御、主机防病毒、堡垒机、上网行为管理、网路准入;
- TLS 或者 VPN 吧,一般非定向连接用前者;
- 不完整连接可能造成拒绝服务攻击,重放攻击
0xB20开发和支持过程中的安全
目标:确保在信息系统开发生命周期中的信息安全设计和实施;
1-安全开发策略
- 应制定及应用关于软件和系统开发规则;
2-系统变更控制程序
- 在开发生命周期中系统的变更应由正式的变更控制程序来控制;
3-操作平台变更后以应用的技术评审
- 当操作平台发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响;
4-软件包变更的限制
- 应对软件包的修改进行劝阻,限制必要的变更,且对所有的变更加以严格控制;
5-安全系统工程原则
- 安全系统工程原则应被建立、形成文件、维护并应用到任何信息系统实施工作;
6-安全的开发环境
- 组织应建立并适当的保护安全开发环境,并覆盖整个系统开发生命周期;
7.外包软件开发
- 组织应管理和监视外包软件的开发活动;
8-系统安全测试
- 开发过程中,应测试安全功能;
9-系统验收测试
- 在建立新系统、升级系统和更新版本时,必须建立验收测试程序和相关标准;
0xB21 我的理解
- 应用安全功能应该尽早设计,开发成本不但很低,以减少后期使用补丁添加的可能造成的风险;
- 需要完善的变更机制的用途:审查已经批准的变更,是否已经执行或者操作方式是否违规;
- 创建操作规范,并为了保证操作规范被正确实施,需要定期进行审查;
- 软件外包需要注意的是代码托管的方式,防止外包公司突然倒闭导致开发代码流失;
- 重大系统变更都要重新重新进行集成测试或者回归测试;
0xB30 测试数据
目标:确保测试数据的保护;
1-系统测试数据的保护
- 测试数据的使用应被仔细筛选、保护和控制;
0xB31 我的理解
- 测试数据应该确保随机性,模糊性,非生产数据,否则可能造成意外的泄露,威胁组织信息安全;
- 测试数据必须有广泛性,可以完成整体系统问题的发现;
0xC00 供方关系
0xC10 供方关系的信息安全
目标:确保保护供方访问的组织资产的安全;
1-供方关系的信息安全策略
- 为降低与供应商访问组织资产关联的风险,所涉及的信息安全要求应与供应商协商一致并被记录;
2-供方协议中描述安全
- 应建立所有相关信息安全要求,并与可能为组织信息进行访问、处置、存储、沟通或提供IT基础设施组件的每个供应商进行协商;
3-信息和通讯技术供应链
- 与供应商的协议应包含与信息、通信技术服务和产品供应链相关的信息安全风险解决的要求;
0xC11 我的理解
- 基于自己国家的数据安全保护法案处理信息;
- 制定数据访问 创建、标识、存储、处理、归档、销毁,全生命周期的策略维护;
- 通讯技术服务过程,出现数据泄露风险的预防,做好密钥管理,加密存储,不用非涉密设备存储或者处理敏感数据;
0xC20 供方服务交付管理
目标:维持与供应商协议中商定的信息安全和服务交付的水平;
1-供方服务的监控和评审
- 组织应定期监控、评审和审计供方服务交付;
2-供方服务的变更管理
- 应管理供方服务提供的变更,包括保持和改进现有的信息安全方针策略、规程和控制措施,应将商业信息的关键性、系统、流程和风险的重新评估考虑在内;
0xC11 我的理解
- 这里一般使用合同、协议、SLA等方式来处理,如有违约相应的惩罚;
- 需要更改安全策略,可能面临着对向右商业业务环境、事业环境因素、业务需求、相关方利益组成重新评估;
- 对安全措施的进行成本效益分析,确保效益大于成本;
0xD00 信息安全事故管理
0xD10 信息安全事件和改进的管理
目标:确保采用一致和有效的方法对信息安全事件进行管理,包括安全事态和弱点的沟通;
1-职责和程序
- 应建立管理职责和程序,以确保快速、有效和有序地响应信息安全事件;
2-报告信息安全事态
- 信息安全事态应该尽可能快地通过适当的管理渠道进行报告;
3-报告信息安全弱点
- 为了预防信息安全事件,所有员工和外包方应尽可能的将安全事件进行上报,报告机制应尽可能的容易、可理解和可用;
4-信息安全事态评估和决策
- 信息安全事态应被评估与决策,以决定是否属于信息安全事件;
5-信息安全事件响应
- 信息安全事件应根据程序文件进行响应;
6-对信息安全事件的总结
- 从分析和解决信息安全事件中获取知识,以减少未来事件发生的可能性或影响;
7-证据的收集
- 组织应定义和应用程序,以识别、收集、获取和保存可作为证据的信息;
0xD11 我的理解
- 建立职责描述,专人专事,定义事件响应流程,发生问题时立即启动相关流程,落实到个人责任规划;
- 响应安全事件后需要针对问题根本原因上报高级管理,方便管理层进行决策;
- 安全事件发生后尽快找出根本原因,找到可用解决方式进行补救处理,并总结经验教训报告,以便于以后增量预防策略;
- 常见的事件处理流程:发现 识别 确认 响应 修复 报告 经验 优化策略;
- 证据收集是必要的,包括IPS日志、网络流量捕获分析,终端设备中主要和次要存储设备上确证方式;
0xE00 信息安全方面的业务连续性管理
0xE10 信息安全连续性
目标:信息安全连续性应嵌入组织的业务连续性管理体系中(BCM);
1-规划信息安全连续性
- 组织应确定在不利情况下信息安全和信息安全管理连续性要求,如危机或灾难;
2-实施信息安全连续性
- 组织应建立、记录、实施和维护流程、程序、控制措施,以确保在不利情况下保证要求的信息安全的连续性等级;
3-验证、评审和评估信息安全连续性
- 组织应定期验证已建立和实施的信息安全连续性控制措施,以确保在不利情况下是有效和生效的;
0xE11 我的理解
- BCP 不是强制性,但是做了有好处的,你说呢?
0xE20 冗余
目标:确保信息处理设施的可用性;
1-信息处理设施的可用性
- 信息处理设施应实现足够的冗余,以满足可用性的需求;
0xE21 我的理解
- 物理措施:热站点、冷战点、温站点、 移动站点;
- 技术措施:远程日志、远程镜像、数据跃迁;
0xF00 符合性
0xF10与法律法规要求的符合性
目标:避免违反法律、法规、规章、合同要求和其他的安全要求
1-识别使用的法律法规
- 对每一个信息系统和组织而言,所有相关的法令、法规和合同要求、以及为满足这些要求组织所采用的方法,应加以明确和定义、形成文件并保持更新;
2-知识产权(IPR)
- 应实施适当的程序,以确保在使用与知识产权有关的材料和软件时符合法律法规和合同要求
3-组织记录的保护
- 应按照法律法规、合同和业务需求保护记录,以免遭受损失、破坏、篡改、未经授权的访问和未授权的发布;
4-数据保护和个人信息的隐私
- 应依照相关的法律、法规和合同条款的要求,确保隐私和个人可识别信息的保护;
5-密码控制措施的监管
- 使用密码控制措施应遵从相关的协议、法律和法规;
0xF20信息安全审查
目标:确保信息安全依照组织的策略和程序运行和实施;
1-信息安全的独立评审
- 组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔或发生重大变更时进行独立评审;
2-符合安全策略和标准
- 管理者应定期审查其职责范围内的信息安全处理和规定被正确的执行,以确保符合安全策略、标准和其它安全要求;
3-技术符合性检查
- 应定期检查信息系统与组织安全策略和标准的符合性;