ISMS
ISMS是组织开展并改进安全工作的系统的一套思路、方法。(PDCA)
项目准备
项目范围确定
- 组织部门
- 无理地点
- IT资源
初次做不建议做特别大,尽量周期比较快
项目的组织
- 高管
- 重点参与部门
- 协作部门
项目沟通机制
- 高层领导
- 各个部门
ISMS实施注意事项
现状调研
首先
- 业务特征、组织结构及职责
- 组织文化与管控模式
其次
- IT规划、IT制度文件、IT基础设施资料、IT应用系统资料、IT运维程序等
- 信息安全与相关的政策、策略、程序、记录及相关报告
现状
- 控制措施有没有
- 是否充分
- 是否有效
期望
调研方式
- 文档审查
- 问卷调查
- 人员访谈
- 覆盖面
- 访谈提纲
- 现场走查必要性
- 技术评估
调研的范围不宜过大,时间跨度不宜过长
调研内容不仅14个域和114个控制项
把握访谈时间
访谈纪要
是否有补偿控制
调研报告的内容与形式:先写总结。领导一般就看看总结
风险管理
风险管理是信息安全的基础
基于资产的风险评估
资产评估与资产价值
- 分类的意义
- 关于人员、服务、无形资产
- 资产相对价值的确定
资产的意义
资产价值不同不能划为同一资产组
评估的不同层次与方法
层次
- 战略与治理
- 组织与管理
- 项目执行
- 日常运行方面
方法
- 基于详细资产
- 基于合规标准
- 基于应用系统
- 基于IT流程
- 基于数据分析
风险评估建议由客户主导,机构为辅
不要期望一次发现所有风险
前几次风险评估效果不佳是正常的
风险是动态的:需要风险监控
风险评估不是目的:需要进行风险处置
风险处置与安全规划
体系建立
SOA适用性声明
- 根据业务需求选择试用项
- 适用项最好映射到文件框架
文件框架
- 按照27001各个域来组织
- 按照企业的各个部门来组织
体系融合
- ISO2W
- CMMI
- ISO9001
- 等保
- 其他规范
制度文件最好自己写,乙方协助
并非越复杂越好,言简意赅最好
不要追求太完美
策略
- 方针、策略、政策
- 四级文件体系
- 正式发布
- 传达相关人
- 更新与评审
安全组织
- 没有最好的,只有适合的安全组织
- 安全处(部)≠安全组织
- 通常的安全组织形态
- 安全自责落实到部门和岗位(最好与考核指标相关联)
- 关注职责分离与补偿控制
- 与外部机构建立联系(政府机构、监管机构、安全厂商、服务商、协会、论坛)
密码管理
- 分析针对哪些信息在什么环节采用密码保护
- 选择密码算法要考虑合规性(对称、非对称、哈希)
- 选择第三方或自建CA中心
- 针对密钥管理
人力资源安全
任用前
- 安全职责包含在岗位说明中
- 背景调查的必要性及成本控制
- 劳动合同中的条款与保密协议
任用中
- 入职培训时强调安全政策
- 制定一个提升人员安全意识和能力的计划
- 针对安全从业人员提供专业培训
- 针对安全联络员开展必要的技能培训
- 针对全员开展安全意识宣教工作
- 处理好全体员工开展安全意识宣教工作
开展网络安全意识和教育工作
- 网络安全法案
- 人是最薄弱的环节——社会工程学
- 安全培训≠意识宣教工作
- 安全意识宣教是安全投入性价比最高的
- 要系统、生动、持之以恒
任用变更与离职
- 违规处理的必要性
- 违规处理需要结合具体情况而定
- 注意权限蔓延问题
- 信息资产回收
- 账号与权限及时清除
- 强调保密责任,竞业限制协议
访问控制
原则
- 访问控制的申请与授权
- 知所必须
- 最小特权
- 职责分离
- 针对管理员实施安全控制
- 阶段性进行检查
内容
- 身份识别
- 身份验证(鉴别)
- 授权管理
- 审计
范围
- 网络
- 应用、中间件、数据库
- 主机
- 终端、移动智能设备
- 物理
综合信息资产分类分级、在不同层面上建立访问控制策略
删除或禁用不必要的实用工具软件
对于源代码的控制
通过技术手段落实口令策略!!!!!!
身份管理解决方案的难点(4A)
通信安全
网络管理安全性
- 网络协议
- 网络流量
- 网络设备
- 人员管理
网络服务安全性
- 接入服务
- 网络运维服务
- 安全服务
网络隔离
- 内外网隔离
- WLAN划分
- 准入控制
信息传输安全
- site to site VPN
- SSL VPN
- 信息交换
网络安全控制
- 下一代防火墙、WAF
- 网闸、信息交换系统
- 防垃圾邮件、病毒网关、UTM
- 网络沙箱、防APT攻击
- 上网行为管理、非法外联检测
- IDS/IPS、攻击诱捕(蜜罐)
- 抗DDOS
无限安全
- 安全配置
- 热点检测
- IDS/IPS
传统通信
- PBX
- 电话
- 传真
操作安全
文件操作规程
- 三四级文件
变更流程
- 有变更走流程
容量管理
开发、测试和运行环境分离
防恶意代码
- 终端、移动设备、服务器
安全配置
- 建立安全配置基线
备份
- 与灾难恢复一起考虑
日志
- 日志保护
时钟同步
- 设置时钟服务器
限制软件安装
- 建立软件白名单
安全检查审计
- 基线配置
- 权限
- 违规操作
- 后续处理
管理漏洞
- 漏扫工具
- 漏洞挖掘
- 补丁流程
监控
- 威胁情报
- 态势感知
- 事件处理
物理安全
物理安全范畴
- 物理位置选择
- 建造安全
- 场所周边安全
- 内部区域划分与控制
- 线缆安全
- 设备安全
- 场内设备
- 场外设备
- 无人值守设备
- 环境安全
- 雷击
- 火灾预防与扑灭
- 温湿度
- 通风
- 电力供应
- 防干扰
物理计划要素
- 通过威慑预防犯罪和破坏
- 通过使用延迟机制减少损失(多重控制措施)
- 犯罪或破坏检测
- 安全事故评估
- 物理安全事件响应
常见的控制措施
- 门
- 锁
- 玻璃
- 栅栏
- 照明
- 文件柜
- 保安
- 门禁系统
- CCTV
- 屏蔽线缆和机房
- 入侵检测系统
- 防雷击
- HVAC(暖通空调)
- 水灾、火灾探测器
- 灭火系统
- UPS和发电机(偶尔启动确定可用性)
- 场所撤离计划(需进行演练)
- 物理安全审计
信息系统获取,开发和运维
漏洞的成因
- 只关注功能实现,忽略安全需求
- 团队的安全开发经验欠缺
- 缺乏安全开发流程,或项目管理流程未包含安全机制
- 缺乏安全部署标准或部署
- 缺乏安全开发规范或安全开发规范没有融入项目
- 缺乏评审环节,没有人对交质量把关
- 缺乏上线、发布流程,未执行安全部署,验收审核
- 安全上缺少投入,寄希望于后期补救
安全开发过程SDL
- 安全需求
- 安全设计
- 安全编码
- 安全测试
- 安全上限
识别安全需求
- 业务特点
- 交易安全
- 防欺诈
- 合规需求
- 通用需求
- 威胁设计
- 威胁建模
- 攻击面缩减
- 安全开发
- 编码规范
- 安全测试
- 代码审核
- 模糊测试
- 安全发布
- 上线安全检查
- 渗透测试、众测
建立基本安全设计原则
建立安全开发环境
- 人
- 过程
- 技术
管理及监视外包开发
严格管理变更
保护测试数据
资产管理和供应关系
信息资产识别
建立信息资产分类分级标准
- 分类与分级的意义
- 简单性原则
- 是否与保密、商业秘密保护相结合
通过建立资产清单识别信息资产
- 明确所有者
建立信息资产管理流程
信息资产标记
- 物理资产贴标签
- 非结构化数据、结构化数据标记的问题
信息资产权限梳理
- 实施DLP的前提
介质管理
- 技术控制方法
- 管理的难点
- 介质在传输中的安全控制
- 介质的销毁
识别供应商
- 供应商服务
- ISP提供商
- 网络提供商
- 网络安全服务
- IT维护
- 支持服务
- IT设备外包和运行外包
- 管理与业务咨询顾问及审计师
- 开发人员和测试人员
- 清洁工、餐饮人员及其他外包服务支持人员
- 临时人员、学生实习及其他人员
供应商管理
- 针对供应商工作场景建立安全策略
- 其他注意事项
- 供应商分类与筛选
- 招投标管理、供应商协议
- 人员管理、变更管理、风险管理、应急管理
- 管理供应商服务交付
- 供应商评价
信息安全事件管理
事件响应是一种能力
- 事件响应的重要性
- 安全模型的演进
- 自适应的安全机构
- 事件响应能力的要素
- 最关键:人
- 技术、工具、流程、写作
事件管理
- 信息安全事件分类分级
- 应鼓励人员报告可疑事件
- 建立安全事件处理流程
- 预案-检测-评估-响应-恢复-总结
- 注意事件升级与汇报渠道
- 注意证据收集
- 注意多方协作
业务连续性
在业务连续性中考虑安全问题
管理恢复过程
- 确定灾难恢复时的安全服务需求和级别
- 确定信息安全服务恢复方案并落实
- 开发恢复计划并纳入到BCP/DRP中
- 在演练过程中检验信息安全服务恢复
符合性
- 法律法规、行业监管、组织要求、相关合同
- 符合性清单建立与维护
- 理解符合性要求落实到ISMS制度要求
- 针对相关记录、表单、电子日志等提供必要的保护
保护知识产权
- 识别组织相关版权、商标、专利
- 文件、邮件等增加声明或水印等
- 防止盗版软件、建立软件白名单
- 建立组织商业秘密规范
- 落实商业秘密保护
- DRM、DLP、云桌面≠DLP
- 数据安全、商业秘密保护项目成功的关键
保护隐私
- 确定负责人、识别隐私范围
- 建立组织内的隐私声明
- 落实隐私保护控制
- 内外部环境变化时开展隐私评估
- 大数据平台带来的新问题
符合性检查
- 多标准合规体系的必要性
- 针对集团行组织、建立信息安全管理工作平台的必要性
- 组织定期的安全检查
- 技术性检查(渗透测试、众测)
- 第三方审核
体系运行
试运行启动
- 制定详细的试运行计划
- 召开试运行启动会
- 组织级领导、各部门领导、及信息安全联络员
落实相关工作
- 基于前期现状调研发现的问题和风险评估的结果,落实处置计划
- 相关任务落实到部门和责任人
- 对于整改任务进行跟踪
- 配置基线、资产标签、物理安全区域
- 定期向管理小组汇报整改进展
- 各部门按照文件体系要求执行
- 反馈文件执行结果进行修订
体系测量
- 指定适合的测量指标
- 年度、季度、月、周
- 整体、部门、个人
- 指标的多或少
- 不能照搬别人的指标体系
- 指标不是一成不变的
- 指标必须要有数据来源
全员安全意识宣教
- 如何选择安全意识服务商
- 确定本年度安全意识宣教的内容与形式
- 针对管理层进行开展意识培训
- 开展安全意识宣传周
- 发放安全手册、安全台历
- 动画、宣传片、微电影、课件、电子期刊、知识图片
- 海报、易拉宝、展板、现场培训、测试系统
内审
内审的目的
- 验证安全控制的有效性,发现问题
- 确保ISMS体系正常运转
内审过程
- 计划
- 准备
- 实施
- 报告
- 跟踪
确定内审范围与时间
根据被审对象制定内审检查表
组件内审团队、进行内审培训、交叉审核
管理评审
- 纳入安全组织决策层职责中
- 评审的评率
- 评审的内容
- 管理评审报告
评审的内容
- 内部审核或外部审核的结果
- 以往管理评审的跟踪措施
- 有效性测量的结果
- 合规与隐私符合情况
- 安全任务完成的情况
- 重大安全事件及处理情况
- 风险评估结果及整改落实状况
- 信息安全管理体系的变更
- 业务变化引出新的安全需求
- 安全架构变化
- 安全预算及资源需求
认证
- 认证机构的选择(国际,国内)
- 认证的范围与证书
- 认证的费用
- 认证审核阶段
- 审核前的准备
现场审核注意事项
- 首末次会议
- 时间安排
- 审核陪同
- 后勤保障
- 面对不满足项
- 与审核员的关系
- 年度复审
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/200367.html原文链接:https://javaforall.net
