ISO27001总结

涉及的产品

  • 漏洞扫描
  • SOC日志审计
  • VPN
  • EDR
  • 防火墙
  • 堡垒机
  • 基线核查
  • WAF
  • APT沙箱检测及高级威胁预警
  • IPS
  • 抗DDos
  • DB审计(特权账号审计:当然你也可以通过应用开发实现,但非第三方)
  • DB脱敏
  • DLP数据防泄漏
  • 文档加密和审计

涉及的服务

  • 风险评估(需要按照ISMS标准进行)
  • 安全事故应急响应
  • 安全培训
  • 安全加固
  • 渗透测试

1.范围

2.引用标准

3.名词和定义

4.信息安全管理体系(ISMS)

4.2.1 要有识别风险的能力(漏洞扫描)
(d)要有识别风险的能力

  1. 识别系统范围内资产所有者
  2. 识别资产的威胁
  3. 识别可能被威胁利用的脆弱点
  4. 识别资产保密性、完整性和可用性损失带来的影响
    (e)分析和评估风险
    (f)识别和评价处置风险的选秀

4.3.3 记录控制(日志审计)
要求记录4.2列出的过程执行记录和所有安全事故发生相关的记录

5.管理职责

6.ISMS内部审核

7.ISMS管理评审

8.信息安全管理体系(ISMS)之整改

控制目标和控制措施(引用ISO/IEC 17799:2005里面的A.5-A.15)

A.5 信息安全方针

A.6 信息安全组织

A.7 资产管理

A.8 人力资源安全

A.9 物理和环境安全

A.9.1 安全区域:组织应有物理安全边界保护设备(访客机、门禁、机房刷卡机柜)
A.9.2 设备安全:预防资产遗失、损坏、失窃、损失、影响业务活动(支持bypass、链路冗余、设备状态监测、数据安全清除、放行条)

A.10 通讯与操作管理

A.10.1 操作程序及职责
A.10.2 第三方服务交付管理(外包管理:需要vpn+堡垒机)
A.10.3 系统规划和验收:最小化系统故障产生的风险(保障可用性:SOC监控、DDos防护)
A.10.4 防范恶意代码和管控移动写代码(恶意代码:EDR+APT,移动写代码也要管控风险)
A.10.5 定期备份策略
A.10.6 网络安全管理

  • 网络控制:防范威胁,保护系统、应用、传输安全(IPS+防火墙+EDR+WAF+VPN)
  • 网络服务安全:应识别所有网络服务的安全特性、服务级别和管理要求,并包括在网络服务协议中,无论网络服务是内部还是外包(NAT网络审计or上网行为管理)

A.10.7 介质处置

  • 可移动介质管理
  • 媒体销毁
  • 信息处理程序(DLP:说得太含糊)
  • 系统文档安全(文档加密or数据防泄漏DLP)

A.10.8 信息交换(网闸?事实上VPN或专线就可以;交换协议不可能去开发一个协议,所以这是协商交换内容叫做协议)
A.10.9 电子商务服务(SSL加密传输、中间人检测)
A.10.10 监督

  • 审核日志(SOC)
  • 监控系统的使用(SOC)
  • 日志信息保护(SOC)
  • 管理员和操作日志(SOC)
  • 错误日志
  • 时钟同步NTP

A.11 访问控制

A.11.1 访问控制和业务需求(需要有访问策略文档)
A.11.2 员工访问管理(只能应用开发控制,DB审计可以辅助)
A.11.3 员工行为准则
A.11.4 网络访问控制(防火墙)
A.11.5 操作系统访问控制(防火墙+堡垒机)
A.11.6 应用和信息访问控制(防火墙+应用开发)
A.11.7 移动计算和远程工作(VPN+堡垒机)
目标:确保使用移动计算和远程工作设备时的信息安全

A.12 信息系统的新增、开发及维护

A.12.1 信息系统安全要求(要形成文档)
A.12.2 应用程序中的正确处理(WAF)
A.12.3 加密控制(第三方加密密钥管理?飞天诚信?)
A.12.4 系统文件安全(EDR控制软件安装,DB脱敏,防火墙,DNS域名管理)
A.12.5 开发及辅助进程安全(堡垒机)
A.12.6 技术漏洞管理(漏洞扫描+EDR漏洞补丁管理+基线核查)

A.13 信息安全事故的管理

A.13.1 报告安全事件和弱点(SOC告警)
A.13.2 信息安全事故的管理和改进(渗透测试服务)

A.14 业务连续性管理

A.14.1 业务连续管理的信息安全方面

A.15 符合性

A.15.1 符合法律要求
A.15.2 符合安全策略、标准和技术符合性
A.15.3 信息系统审核的考虑因素






解决方案:

可推荐产品和服务:
EDR(补丁管理、系统加固)
漏洞扫描
SOC
DB审计
堡垒机
基线核查
风险评估服务
应急响应服务
PS:连防火墙、IPS、WAF、渗透测试服务都没法推?这个人总结得很有问题啊。

风险评估

  1. 资产分类(分类的同时明确核心资产和数据)
  2. 资产控制(访问控制和审计,生命周期控制和记录)
  3. 风险评估和处理(威胁*弱点矩阵,风险避免、转移、接受残余风险)

系统开发与使用

  1. 补丁管理(EDR)
  2. 变更管理(堡垒机)
  3. 备份及媒介管理(备份一体机:本地备份,异地远端备份)
  4. 开发生命周期安全管理(SDL服务)
  5. 项目运行管理

安全策略和管理

  1. 安全业务目标
  2. 安全检查目标(基线核查:质量控制,CTQ、抽样检查、分析)
  3. 安全事件和日常运维指引指南
  4. 安全培训(安全培训服务)

系统访问控制(IAM?)

  1. 权限(授权记录,审计记录,取消/修改记录)
  2. 角色(必备三权分立的三种角色)
  3. 原则(最小权限,可审计无交叉使用)

计算机及操作管理

  1. 服务器系统加固(EDR)
  2. PC系统加固(EDR)
  3. 网络设备管理(堡垒机)
  4. 资源库存管理

业务连续性管理

要求明确team leader
要求有业务资产责任人表单
要求有记录员工行为的方法(DB审计:UEBA)
要求有风险应急预案(应急响应服务)
要求进行过应急预案模拟(录像、问答、纸质)

审计

SOC审计(可推SOC产品)
特权账号审计(可推DB审计:三层关联UEBA)
信息安全体系内审计(SOC报表)

信息安全事件(上升到管理层面)

信息安全事件报告
信息安全事件弱点分析(漏扫扫描)
纠正预防措施
效果检查(基线核查)

工作人员行为安全

重要岗位背景调查
重要岗位人员备份
保密协议签署
新员工安全培训
信息安全惩处实施

信息安全目标及度量

信息安全方针总纲
信息安全年度目标
信息安全月度报告
SOA适用性声明

安全组织

成立信息安全小组
第三方服务管理与评审

物理及环境安全

约束和法律遵从

你可能感兴趣的:(ISO27001总结)