ISO27001总结

涉及的产品

• 漏洞扫描
• SOC日志审计
• VPN
• EDR
• 防火墙
• 堡垒机
• 基线核查
• WAF
• APT沙箱检测及高级威胁预警
• IPS
• 抗DDos
• DB审计（特权账号审计：当然你也可以通过应用开发实现，但非第三方）
• DB脱敏
• DLP数据防泄漏
• 文档加密和审计

涉及的服务

• 风险评估（需要按照ISMS标准进行）
• 安全事故应急响应
• 安全培训
• 安全加固
• 渗透测试

1.范围

2.引用标准

3.名词和定义

4.信息安全管理体系（ISMS）

4.2.1 要有识别风险的能力（漏洞扫描）
(d)要有识别风险的能力

1. 识别系统范围内资产所有者
2. 识别资产的威胁
3. 识别可能被威胁利用的脆弱点
4. 识别资产保密性、完整性和可用性损失带来的影响
   (e)分析和评估风险
   (f)识别和评价处置风险的选秀

4.3.3 记录控制（日志审计）
要求记录4.2列出的过程执行记录和所有安全事故发生相关的记录

5.管理职责

6.ISMS内部审核

7.ISMS管理评审

8.信息安全管理体系（ISMS）之整改

控制目标和控制措施（引用ISO/IEC 17799:2005里面的A.5-A.15）

A.5 信息安全方针

A.6 信息安全组织

A.7 资产管理

A.8 人力资源安全

A.9 物理和环境安全

A.9.1 安全区域：组织应有物理安全边界保护设备（访客机、门禁、机房刷卡机柜）
A.9.2 设备安全：预防资产遗失、损坏、失窃、损失、影响业务活动（支持bypass、链路冗余、设备状态监测、数据安全清除、放行条）

A.10 通讯与操作管理

A.10.1 操作程序及职责
A.10.2 第三方服务交付管理（外包管理：需要vpn+堡垒机）
A.10.3 系统规划和验收：最小化系统故障产生的风险（保障可用性：SOC监控、DDos防护）
A.10.4 防范恶意代码和管控移动写代码（恶意代码：EDR+APT，移动写代码也要管控风险）
A.10.5 定期备份策略
A.10.6 网络安全管理

• 网络控制：防范威胁，保护系统、应用、传输安全（IPS+防火墙+EDR+WAF+VPN）
• 网络服务安全：应识别所有网络服务的安全特性、服务级别和管理要求，并包括在网络服务协议中，无论网络服务是内部还是外包（NAT网络审计or上网行为管理）

A.10.7 介质处置

• 可移动介质管理
• 媒体销毁
• 信息处理程序(DLP:说得太含糊)
• 系统文档安全（文档加密or数据防泄漏DLP）

A.10.8 信息交换（网闸？事实上VPN或专线就可以；交换协议不可能去开发一个协议，所以这是协商交换内容叫做协议）
A.10.9 电子商务服务（SSL加密传输、中间人检测）
A.10.10 监督

• 审核日志（SOC）
• 监控系统的使用（SOC）
• 日志信息保护（SOC）
• 管理员和操作日志（SOC）
• 错误日志
• 时钟同步NTP

A.11 访问控制

A.11.1 访问控制和业务需求（需要有访问策略文档）
A.11.2 员工访问管理（只能应用开发控制，DB审计可以辅助）
A.11.3 员工行为准则
A.11.4 网络访问控制（防火墙）
A.11.5 操作系统访问控制（防火墙+堡垒机）
A.11.6 应用和信息访问控制（防火墙+应用开发）
A.11.7 移动计算和远程工作（VPN+堡垒机）
目标：确保使用移动计算和远程工作设备时的信息安全

A.12 信息系统的新增、开发及维护

A.12.1 信息系统安全要求（要形成文档）
A.12.2 应用程序中的正确处理（WAF）
A.12.3 加密控制（第三方加密密钥管理？飞天诚信？）
A.12.4 系统文件安全（EDR控制软件安装，DB脱敏，防火墙，DNS域名管理）
A.12.5 开发及辅助进程安全（堡垒机）
A.12.6 技术漏洞管理（漏洞扫描+EDR漏洞补丁管理+基线核查）

A.13 信息安全事故的管理

A.13.1 报告安全事件和弱点（SOC告警）
A.13.2 信息安全事故的管理和改进（渗透测试服务）

A.14 业务连续性管理

A.14.1 业务连续管理的信息安全方面

A.15 符合性

A.15.1 符合法律要求
A.15.2 符合安全策略、标准和技术符合性
A.15.3 信息系统审核的考虑因素

---

---

---

解决方案：

可推荐产品和服务：
EDR（补丁管理、系统加固）
漏洞扫描
SOC
DB审计
堡垒机
基线核查
风险评估服务
应急响应服务
PS：连防火墙、IPS、WAF、渗透测试服务都没法推？这个人总结得很有问题啊。

风险评估

1. 资产分类（分类的同时明确核心资产和数据）
2. 资产控制（访问控制和审计，生命周期控制和记录）
3. 风险评估和处理（威胁*弱点矩阵，风险避免、转移、接受残余风险）

系统开发与使用

1. 补丁管理（EDR）
2. 变更管理（堡垒机）
3. 备份及媒介管理（备份一体机：本地备份，异地远端备份）
4. 开发生命周期安全管理（SDL服务）
5. 项目运行管理

安全策略和管理

1. 安全业务目标
2. 安全检查目标（基线核查：质量控制，CTQ、抽样检查、分析）
3. 安全事件和日常运维指引指南
4. 安全培训（安全培训服务）

系统访问控制（IAM？）

1. 权限（授权记录，审计记录，取消/修改记录）
2. 角色（必备三权分立的三种角色）
3. 原则（最小权限，可审计无交叉使用）

计算机及操作管理

1. 服务器系统加固（EDR）
2. PC系统加固（EDR）
3. 网络设备管理（堡垒机）
4. 资源库存管理

业务连续性管理

要求明确team leader
要求有业务资产责任人表单
要求有记录员工行为的方法（DB审计：UEBA）
要求有风险应急预案（应急响应服务）
要求进行过应急预案模拟（录像、问答、纸质）

审计

SOC审计（可推SOC产品）
特权账号审计（可推DB审计：三层关联UEBA）
信息安全体系内审计（SOC报表）

信息安全事件（上升到管理层面）

信息安全事件报告
信息安全事件弱点分析（漏扫扫描）
纠正预防措施
效果检查（基线核查）

工作人员行为安全

重要岗位背景调查
重要岗位人员备份
保密协议签署
新员工安全培训
信息安全惩处实施

信息安全目标及度量

信息安全方针总纲
信息安全年度目标
信息安全月度报告
SOA适用性声明

安全组织

成立信息安全小组
第三方服务管理与评审

物理及环境安全

约束和法律遵从