- 1移动平台质量跟踪系统对比-crashlytics、网易云捕、友盟、bugly_android bugly同类产品
- 2Docker连接Mysql
- 3IBM SPSS Statistics for Mac v27.0.1中文激活版
- 4Linux设备驱动---hub驱动_hub驱动配置是不是只要配置上行端口和i2c口
- 5初学报告(四):数组_输入一个正整数n(1
- 62021-08-12
- 7Tabs组件的使用
- 8关于鸿蒙通用属性的开发_alignrules9+
- 9Linux终端工具-Xshell和MobaXterm_mobaxterm和xshell
- 10系统调用创建进程 — fork初始_fork系统调用是如何创建进程的
ISO27001标准_iso27001条款
赞
踩
ISMS
ISMS是组织开展并改进安全工作的系统的一套思路、方法。(PDCA)
项目准备
项目范围确定
-
组织部门
-
无理地点
-
IT资源
初次做不建议做特别大,尽量周期比较快
项目的组织
-
高管
-
重点参与部门
-
协作部门
项目沟通机制
-
高层领导
-
各个部门
ISMS实施注意事项
现状调研
首先
-
业务特征、组织结构及职责
-
组织文化与管控模式
其次
-
IT规划、IT制度文件、IT基础设施资料、IT应用系统资料、IT运维程序等
-
信息安全与相关的政策、策略、程序、记录及相关报告
现状
-
控制措施有没有
-
是否充分
-
是否有效
期望
调研方式
-
文档审查
-
问卷调查
-
人员访谈
-
覆盖面
-
访谈提纲
-
现场走查必要性
-
技术评估
调研的范围不宜过大,时间跨度不宜过长
调研内容不仅14个域和114个控制项
把握访谈时间
访谈纪要
是否有补偿控制
调研报告的内容与形式:先写总结。领导一般就看看总结
风险管理
风险管理是信息安全的基础
基于资产的风险评估
资产评估与资产价值
-
分类的意义
-
关于人员、服务、无形资产
-
资产相对价值的确定
资产的意义
资产价值不同不能划为同一资产组
评估的不同层次与方法
层次
-
战略与治理
-
组织与管理
-
项目执行
-
日常运行方面
方法
-
基于详细资产
-
基于合规标准
-
基于应用系统
-
基于IT流程
-
基于数据分析
风险评估建议由客户主导,机构为辅
不要期望一次发现所有风险
前几次风险评估效果不佳是正常的
风险是动态的:需要风险监控
风险评估不是目的:需要进行风险处置
风险处置与安全规划
体系建立
SOA适用性声明
-
根据业务需求选择试用项
-
适用项最好映射到文件框架
文件框架
-
按照27001各个域来组织
-
按照企业的各个部门来组织
体系融合
-
ISO2W
-
CMMI
-
ISO9001
-
等保
-
其他规范
制度文件最好自己写,乙方协助
并非越复杂越好,言简意赅最好
不要追求太完美
策略
-
方针、策略、政策
-
四级文件体系
-
正式发布
-
传达相关人
-
更新与评审
安全组织
-
没有最好的,只有适合的安全组织
-
安全处(部)≠安全组织
-
通常的安全组织形态
-
安全自责落实到部门和岗位(最好与考核指标相关联)
-
关注职责分离与补偿控制
-
与外部机构建立联系(政府机构、监管机构、安全厂商、服务商、协会、论坛)
密码管理
-
分析针对哪些信息在什么环节采用密码保护
-
选择密码算法要考虑合规性(对称、非对称、哈希)
-
选择第三方或自建CA中心
-
针对密钥管理
人力资源安全
任用前
-
安全职责包含在岗位说明中
-
背景调查的必要性及成本控制
-
劳动合同中的条款与保密协议
任用中
-
入职培训时强调安全政策
-
制定一个提升人员安全意识和能力的计划
-
针对安全从业人员提供专业培训
-
针对安全联络员开展必要的技能培训
-
针对全员开展安全意识宣教工作
-
处理好全体员工开展安全意识宣教工作
开展网络安全意识和教育工作
网络安全法案
人是最薄弱的环节——社会工程学
安全培训≠意识宣教工作
安全意识宣教是安全投入性价比最高的
要系统、生动、持之以恒
任用变更与离职
-
违规处理的必要性
-
违规处理需要结合具体情况而定
-
注意权限蔓延问题
-
信息资产回收
-
账号与权限及时清除
-
强调保密责任,竞业限制协议
访问控制
原则
-
访问控制的申请与授权
-
知所必须
-
最小特权
-
职责分离
-
针对管理员实施安全控制
-
阶段性进行检查
内容
-
身份识别
-
身份验证(鉴别)
-
授权管理
-
审计
范围
-
网络
-
应用、中间件、数据库
-
主机
-
终端、移动智能设备
-
物理
综合信息资产分类分级、在不同层面上建立访问控制策略
删除或禁用不必要的实用工具软件
对于源代码的控制
通过技术手段落实口令策略!!!!!!
身份管理解决方案的难点(4A)
通信安全
网络管理安全性
-
网络协议
-
网络流量
-
网络设备
-
人员管理
网络服务安全性
-
接入服务
-
网络运维服务
-
安全服务
网络隔离
-
内外网隔离
-
WLAN划分
-
准入控制
信息传输安全
-
site to site VPN
-
SSL VPN
-
信息交换
网络安全控制
-
下一代防火墙、WAF
-
网闸、信息交换系统
-
防垃圾邮件、病毒网关、UTM
-
网络沙箱、防APT攻击
-
上网行为管理、非法外联检测
-
IDS/IPS、攻击诱捕(蜜罐)
-
抗DDOS
无限安全
-
安全配置
-
热点检测
-
IDS/IPS
传统通信
-
PBX
-
电话
-
传真
操作安全
文件操作规程
- 三四级文件
变更流程
- 有变更走流程
容量管理
开发、测试和运行环境分离
防恶意代码
- 终端、移动设备、服务器
安全配置
- 建立安全配置基线
备份
- 与灾难恢复一起考虑
日志
- 日志保护
时钟同步
- 设置时钟服务器
限制软件安装
- 建立软件白名单
安全检查审计
-
基线配置
-
权限
-
违规操作
-
后续处理
管理漏洞
-
漏扫工具
-
漏洞挖掘
-
补丁流程
监控
-
威胁情报
-
态势感知
-
事件处理
物理安全
物理安全范畴
-
物理位置选择
-
建造安全
-
场所周边安全
-
内部区域划分与控制
-
线缆安全
-
设备安全
-
场内设备
-
场外设备
-
无人值守设备
-
环境安全
-
雷击
-
火灾预防与扑灭
-
温湿度
-
通风
-
电力供应
-
防干扰
物理计划要素
-
通过威慑预防犯罪和破坏
-
通过使用延迟机制减少损失(多重控制措施)
-
犯罪或破坏检测
-
安全事故评估
-
物理安全事件响应
常见的控制措施
-
门
-
锁
-
玻璃
-
栅栏
-
照明
-
文件柜
-
保安
-
门禁系统
-
CCTV
-
屏蔽线缆和机房
-
入侵检测系统
-
防雷击
-
HVAC(暖通空调)
-
水灾、火灾探测器
-
灭火系统
-
UPS和发电机(偶尔启动确定可用性)
-
场所撤离计划(需进行演练)
-
物理安全审计
信息系统获取,开发和运维
漏洞的成因
-
只关注功能实现,忽略安全需求
-
团队的安全开发经验欠缺
-
缺乏安全开发流程,或项目管理流程未包含安全机制
-
缺乏安全部署标准或部署
-
缺乏安全开发规范或安全开发规范没有融入项目
-
缺乏评审环节,没有人对交质量把关
-
缺乏上线、发布流程,未执行安全部署,验收审核
-
安全上缺少投入,寄希望于后期补救
安全开发过程SDL
-
安全需求
-
安全设计
-
安全编码
-
安全测试
-
安全上限
识别安全需求
-
业务特点
-
交易安全
-
防欺诈
-
合规需求
-
通用需求
-
威胁设计
-
威胁建模
-
攻击面缩减
-
安全开发
-
编码规范
-
安全测试
-
代码审核
-
模糊测试
-
安全发布
-
上线安全检查
-
渗透测试、众测
建立基本安全设计原则
建立安全开发环境
人
过程
技术
管理及监视外包开发
严格管理变更
保护测试数据
资产管理和供应关系
信息资产识别
建立信息资产分类分级标准
-
分类与分级的意义
-
简单性原则
-
是否与保密、商业秘密保护相结合
通过建立资产清单识别信息资产
- 明确所有者
建立信息资产管理流程
信息资产标记
-
物理资产贴标签
-
非结构化数据、结构化数据标记的问题
信息资产权限梳理
- 实施DLP的前提
介质管理
-
技术控制方法
-
管理的难点
-
介质在传输中的安全控制
-
介质的销毁
识别供应商
-
供应商服务
-
ISP提供商
-
网络提供商
-
网络安全服务
-
IT维护
-
支持服务
-
IT设备外包和运行外包
-
管理与业务咨询顾问及审计师
-
开发人员和测试人员
-
清洁工、餐饮人员及其他外包服务支持人员
-
临时人员、学生实习及其他人员
供应商管理
-
针对供应商工作场景建立安全策略
-
其他注意事项
-
供应商分类与筛选
-
招投标管理、供应商协议
-
人员管理、变更管理、风险管理、应急管理
-
管理供应商服务交付
-
供应商评价
信息安全事件管理
事件响应是一种能力
-
事件响应的重要性
-
安全模型的演进
-
自适应的安全机构
-
事件响应能力的要素
-
最关键:人
-
技术、工具、流程、写作
事件管理
-
信息安全事件分类分级
-
应鼓励人员报告可疑事件
-
建立安全事件处理流程
-
预案-检测-评估-响应-恢复-总结
-
注意事件升级与汇报渠道
-
注意证据收集
-
注意多方协作
业务连续性
在业务连续性中考虑安全问题
管理恢复过程
-
确定灾难恢复时的安全服务需求和级别
-
确定信息安全服务恢复方案并落实
-
开发恢复计划并纳入到BCP/DRP中
-
在演练过程中检验信息安全服务恢复
符合性
-
法律法规、行业监管、组织要求、相关合同
-
符合性清单建立与维护
-
理解符合性要求落实到ISMS制度要求
-
针对相关记录、表单、电子日志等提供必要的保护
保护知识产权
-
识别组织相关版权、商标、专利
-
文件、邮件等增加声明或水印等
-
防止盗版软件、建立软件白名单
-
建立组织商业秘密规范
-
落实商业秘密保护
-
DRM、DLP、云桌面≠DLP
-
数据安全、商业秘密保护项目成功的关键
保护隐私
-
确定负责人、识别隐私范围
-
建立组织内的隐私声明
-
落实隐私保护控制
-
内外部环境变化时开展隐私评估
-
大数据平台带来的新问题
符合性检查
-
多标准合规体系的必要性
-
针对集团行组织、建立信息安全管理工作平台的必要性
-
组织定期的安全检查
-
技术性检查(渗透测试、众测)
-
第三方审核
体系运行
试运行启动
-
制定详细的试运行计划
-
召开试运行启动会
-
组织级领导、各部门领导、及信息安全联络员
落实相关工作
-
基于前期现状调研发现的问题和风险评估的结果,落实处置计划
-
相关任务落实到部门和责任人
-
对于整改任务进行跟踪
-
配置基线、资产标签、物理安全区域
-
定期向管理小组汇报整改进展
-
各部门按照文件体系要求执行
-
反馈文件执行结果进行修订
体系测量
-
指定适合的测量指标
-
年度、季度、月、周
-
整体、部门、个人
-
指标的多或少
-
不能照搬别人的指标体系
-
指标不是一成不变的
-
指标必须要有数据来源
全员安全意识宣教
-
如何选择安全意识服务商
-
确定本年度安全意识宣教的内容与形式
-
针对管理层进行开展意识培训
-
开展安全意识宣传周
-
发放安全手册、安全台历
-
动画、宣传片、微电影、课件、电子期刊、知识图片
-
海报、易拉宝、展板、现场培训、测试系统
内审
内审的目的
-
验证安全控制的有效性,发现问题
-
确保ISMS体系正常运转
内审过程
-
计划
-
准备
-
实施
-
报告
-
跟踪
确定内审范围与时间
根据被审对象制定内审检查表
组件内审团队、进行内审培训、交叉审核
管理评审
-
纳入安全组织决策层职责中
-
评审的评率
-
评审的内容
-
管理评审报告
评审的内容
-
内部审核或外部审核的结果
-
以往管理评审的跟踪措施
-
有效性测量的结果
-
合规与隐私符合情况
-
安全任务完成的情况
-
重大安全事件及处理情况
-
风险评估结果及整改落实状况
-
信息安全管理体系的变更
-
业务变化引出新的安全需求
-
安全架构变化
-
安全预算及资源需求
认证
-
认证机构的选择(国际,国内)
-
认证的范围与证书
-
认证的费用
-
认证审核阶段
-
审核前的准备
现场审核注意事项
-
首末次会议
-
时间安排
-
审核陪同
-
后勤保障
-
面对不满足项
-
与审核员的关系
-
年度复审
