【格式化文档】ISO27001控制措施+ISO27002实施指南 【上】_iso27002如何进行安全的打包部署

0x000 前言部分

来自ISO/IEC 27002:2013引言部分

 组织识别出其安全要求是非常重要的，安全要求有三个主要来源：   	
1. 对组织的风险进行评估，考虑组织的整体业务策略与目标。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响；
2. 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境；  	
3. 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
1
2
3
4

来自崇尚简洁的我

识别组织信息安全要求：

• 资产风险评估 基于整体业务或者战略目标，评估业务相关资产效益，识别资产可能存在脆弱性和面临威胁；
• 事业环境因素 基于组织外部相关方期望、社会期望、法律、法规、协议，安排信息安全要求；
• 组织数据治理 基于业务环境识别组织数据生命周期的过程中，发现薄弱的环节。

A5 信息安全策略

A5.1 [原文]信息安全管理方向

目标：为信息安全提供管理指导和支持并确保信息安全，符合业务需求和相关法律、法规；

A5.1-1信息安全策略声明内容

1. 管理者意图知道所有信息安全相关活动的信息安全、目标和原则的定义；
2. 已定义角色信息安全管理一般和特定职责的分配，专人专责维护信息安全策略；
3. 信息安全、整体目标和范围的定义，以及允许信息共享机制下安全的重要性；
4. 设置控制目标和控制措施的框架，包括风险评估和风险管理的结构；
5. 对组织特别重要的原则、标准和符合性要求的简要说明{法规、协议、安全教育、BCP、违反策略惩罚}
6. 更加详细的支持文件引用。

A5.1-2 信息安全策略属性

• 地位 [方针/策略]在信息安全管理体系[ISMS]中居于最高层次的核心地位；
• 作用 所有细化的管理制度、流程、规范、指南都必须与[方针/策略]相一致，在[方针/策略]的约束和指导下制定；
• 内容 阐述信息安全的目标、信息安全管理的范围、信息安全管理的基本原则等；
• 结构 由上至下渐进明细：[全局]总体安全策略–[全局]面向问题策略–[局部]面向信息系统策略。
• 周期 初次制定–> 评审-- 高层认可–> 周期评审–优化改进–高层认可–>组织重大变化–评审–优化改进–高层认可；

A5.1-2 信息安全策略特征

• 全面性 覆盖信息安全管理各个方面。
• 精确性 简洁明确描述信息安全基本原则和要求。
• 稳定性 不能频繁改变否则会影响员工落实具体信息安全管理工作活动。
• 条理性 基于不同属性进行分解组件，保持每个组件的用途唯一，方便分解任务和保持专注执行。

A6 信息安全组织

A6.1 [原文]内部组织

目标：建立一个管理框架，启动和控制组织内实施信息安全。

A6.1.1-1 信息安全角色和职责

• 分配信息安全职责 基于信息安全策略，识别需要保护的资产，分配给对应人员绑定信息安全职责。
• 风险评估活动过程 定义哪些需要处理风险，并对剩余风险进行记录。
• 下发安全管理任务 将防护工作细化分解，并将实施任务下发到具体执行人。
• 监督信息安全管理 监管具体执行人是否完成防护手段的部署，维护其有效性，保护资产免受威胁。

A6.1.1-2 信息安全管理任务下发流程

1. 识别并定义资产的实体负责人，将具体负责人与资产对应关系进行文档化信息；
2. 定义信息处理权限级别，形成文件；
3. 测量分配内部相关人员的能力是否胜任安全职责履行，如果没有需要进行培训；
4. 如果是外部供应商执行相关任务，需要进行监督，可能使用协议等约束文件。

A6.1.2-1 为啥需要与监管部门的联系

• 可能监管部门 公共措施、紧急服务、电力、消防、监管机构、监督部门、其它相关执法部门。
• 获取安全信息 最新信息安全法律变更、需要遵守的法律、法规、获取最新安全威胁。
• 上报安全信息 发现安全问题，请求政府部门协助处理，上报已知且处理完成的安全事件。

A6.1.3-1 为啥需要与特定利益集团联系

• 获取信息安全情报 实践知识、专家建议、新技术。
• 了解当前安全环境 脆弱性预警、最新行业动态、并提供适当的信息联络点。

A6.1.4-1 项目管理目标与信息安全目标

1. 项目管理中需要包括信息安全管理目标，并将信息安全管理活动加入项目管理计划；
2. 定义项目管理中信息安全管理角色和职责；
3. 需要在项目早期进行风险评估，并识别并定义必要安全措施；
4. 需要在每个项目阶段进行迭代评估，保证信息安全管理的有效性、适宜性。

A6.1.5-1 为啥要有职责分离

• 授权行为 默认生成帐号没有任何权限，没有监测时，不能执行任何操作。
• 监管行为 定义用户职责描述，定期审查具有过多特权的人员，知其所需，防止授权蠕变，减少误用资产信息情况。
• 职责分离 实施和审查帐号不能存在同一帐号，有可能会削弱信息安全管理公正性。

A6.2 [原文]移动设备和远程办公

目标：确保远程办公和移动设备使用的安全性。

A6.2.1-1 移动设备策略与业务数据

• 移动设备策略关注点 物理防护、信息注册、应用控制、补丁管理、访问控制、加密技术、防范恶意代码、数据备份等；
• 物理防护 使用物理方式保证，移动设备中存储设备，防窃，遗落，无人值守等问题；
• 信息注册 处理敏感信息类别，使用年限，使用人，访问权限，硬件编号；
• 人员相关 培训人员具备安全意识，签署保密协议，约束人员数据传播行为；
• 访问控制 注册–标识–授权–审计权限，时间范围，系统权限，内容权限，上下文关联，防止推理攻击；
• 数据保护 移动设备需要具有远程控制的能力，超过时限未使用擦除，密码错误超限擦除，拆机擦除，联网远控；
• 数据备份 数据备份是不能连接任何网络服务；
• 加密技术 传输中加密、静态加密、使用中加密，根据不同场景使用不同的特征水平；

A6.2.2-1 员工远程接入组织内网

• 远程接入关注点 物理安全、加密技术、存储安全、接入服务、安全基线、