ISO27001信息安全管理體系介紹(52張)課件

1、招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)ISO27001信息安全管理體系介紹2009年3月第1頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第2頁，共54頁。幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)？信息的泄漏是否會(huì)給企業(yè)帶來重大影響？信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響？信息的可用性對(duì)企業(yè)是否帶來重大影響？我們是否清楚知道什么信息對(duì)企業(yè)是重要的？信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)？我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式，是否收到足夠保護(hù)？信息安全事件給企業(yè)造成的最

2、大/最壞影響？第3頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第4頁，共54頁。信息資產(chǎn)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排（fallback arrangement）、審核跟蹤記錄（audit trails）、歸檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序；物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備；服務(wù)：計(jì)算和通信服務(wù)（例如，網(wǎng)絡(luò)瀏覽、域名解析）、公用設(shè)施（例如，供暖，照明，能源，空調(diào)）

3、；人員，他們的資格、技能和經(jīng)驗(yàn)；無形資產(chǎn)，如組織的聲譽(yù)和形象。信息資產(chǎn)類型:第5頁，共54頁。信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式：第6頁，共54頁。信息資產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷毀/拋棄信息資產(chǎn)的生命周期：產(chǎn)生使用存貯傳輸銷毀/拋棄第7頁，共54頁。什么是信息安全? ISO27001 將信息安全定義如下:保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性保密性可用性保密性：信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性可用性：根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性 完整性：保護(hù)資產(chǎn)的準(zhǔn)確和完整的特

4、性 第8頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第9頁，共54頁。信息安全管理體系（ISMS）介紹Information Security Management System(ISMS)信息安全管理體系基于國際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)成員ISO/IEC JTC1/SC27/WG1（國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì) 聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1），WG1做為ISMS

5、標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南第10頁，共54頁。ISO 27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC 27000基礎(chǔ)與術(shù)語起草中，未發(fā)布ISO/IEC 27001ISMS Requirement ISMS要求 2005年10月ISO/IEC 27002Code of Practice for ISMS實(shí)用規(guī)則2007年4月ISO/IEC 27003ISMS Implementation Guidance ISMS實(shí)施指南起草中，未發(fā)布ISO/IEC 27004ISMS Metrics and Measurement ISMS的測(cè)量起草中，未發(fā)布ISO/IEC 27

6、005Information Security Risk Management 信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC 27006Certification and Registration process審核認(rèn)證機(jī)構(gòu)要求2007年2月第11頁，共54頁。ISO 27001 的歷史第12頁，共54頁。等同的國家標(biāo)準(zhǔn)GB/T 22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則 我國已將ISO27001和ISO27002系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月，經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，全國信息安全標(biāo)

7、準(zhǔn)化技術(shù)委員會(huì)發(fā)布兩個(gè)新的國家標(biāo)準(zhǔn)，并于2008年11月1日起實(shí)施。第13頁，共54頁。提升競爭力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率ISO 27001第14頁，共54頁。當(dāng)前獲得ISO27001證書的組織分布(2008年9月) 第15頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理

8、實(shí)用規(guī)則 第16頁，共54頁。ISO27001信息安全管理體系要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。 第17頁，共54頁。定義范圍和邊界定義安全策略定義風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)

9、風(fēng)險(xiǎn)處理的可選措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)準(zhǔn)備適用性聲明（SoA）建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS第18頁，共54頁。實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃管理ISMS的運(yùn)行 管理ISMS的資源應(yīng)急響應(yīng)、事故管理第19頁，共54頁。監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審IS

10、MS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施 ISMS有效性的定期評(píng)審 測(cè)量控制措施的有效性 定期實(shí)施ISMS內(nèi)部審核 定期進(jìn)行ISMS管理評(píng)審 第20頁，共54頁。保持和改進(jìn)ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施已識(shí)別的ISMS改進(jìn)措施 采取合適的糾正和預(yù)防措施 從安全經(jīng)驗(yàn)中吸取教訓(xùn) 向所有相關(guān)方溝通措施和改進(jìn)情況 第21頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第22頁，共54頁。風(fēng)

11、險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IEC GUIDE73將風(fēng)險(xiǎn)定義為：事件的概率及其結(jié)果的組合。第23頁，共54頁。風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。 風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。 風(fēng)險(xiǎn)管理的目標(biāo)：高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標(biāo)概率第24頁，共54頁。信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別 威

12、脅識(shí)別 分析和評(píng)價(jià)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理計(jì)劃識(shí)別脆弱性當(dāng)前控制措施分析風(fēng)險(xiǎn)監(jiān)控、檢查與溝通第25頁，共54頁。識(shí)別威脅威脅威脅可多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑幾種常見威脅：自然災(zāi)害計(jì)算機(jī)犯罪員工操作失誤商業(yè)間諜黑客ISO 27001將威脅定義如下：可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 第26頁，共54頁。識(shí)別脆弱性脆弱性常被成為漏洞幾種常見脆弱性：簡單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗(yàn)表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)脆弱性。ISO 270

13、01將脆弱性定義如下：可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn) 第27頁，共54頁。分析當(dāng)前控制ISO 27002將控制定義如下：管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的?？刂拼胧┮灿糜诜雷o(hù)措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率）第28頁，共54頁。風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)評(píng)價(jià):將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程存在定性、定量兩種風(fēng)險(xiǎn)分析方法實(shí)例：第29頁，共5

14、4頁。風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn)，接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃. 可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合:采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce) 風(fēng)險(xiǎn)。了解并客觀地接受( accept) 風(fēng)險(xiǎn), 倘若他們清除的符合公司策略并在可接受風(fēng)險(xiǎn)范圍之內(nèi)，或者如果采取控制（control）措施的話，成本太高。通過放棄當(dāng)前的某些活動(dòng)來規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其它組織， 例如保險(xiǎn)公司、供應(yīng)商等。第30頁，共54頁。定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi)初始風(fēng)險(xiǎn)水平（高）可接受的風(fēng)險(xiǎn)水平（Low）殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)級(jí)別高中

15、低殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施第31頁，共54頁?？刂拼胧┻x擇從針對(duì)性和實(shí)施方式來看，控制措施分三類：管理(Administrative)性: 安全策略,流程, 組織與職責(zé)等操作(Operation)性:人員職責(zé), 事故反應(yīng), 意識(shí)培訓(xùn),系統(tǒng)開發(fā)等等技術(shù)(Technical)性: 加密,訪問控制,審計(jì)等或者從功能上來分,控制措施類型包括：威懾性(Deterrent): 告示、標(biāo)語預(yù)防性(Preventive): 培訓(xùn)，操作手冊(cè)，加密，身份認(rèn)證檢測(cè)性(Detective): CCTV,保安，報(bào)警糾正性(Corrective):培訓(xùn)，問責(zé)，應(yīng)急響應(yīng)，災(zāi)備第32頁，共54頁。風(fēng)險(xiǎn)成本最佳投資點(diǎn)基

16、本原則實(shí)施安全控制措施的代價(jià)不應(yīng)該大于要保護(hù)的資產(chǎn)的價(jià)值選擇控制措施時(shí)的成本效益分析第33頁，共54頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第34頁，共54頁。ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針（Security Policy）二、組織信息安全（Organizing Information Security）三、資產(chǎn)管理（Asset Management）四、人力資源安全（Human Resource Security）五、物理及環(huán)境安全(Physical and Environ

17、mental Security) 六、通信與操作管理（Communications and Operations Management）八、系統(tǒng)獲取、開發(fā)與維護(hù)(Information System Acquisition, Development and Maintenance)七、訪問控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、業(yè)務(wù)持續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）11個(gè)安全域，39個(gè)控制目標(biāo)，133個(gè)控制點(diǎn)第35頁

18、，共54頁?？刂朴?：安全方針信息安全方針文件信息安全方針文件的評(píng)審1.1信息安全方針 依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全 第36頁，共54頁?？刂朴?：組織信息安全信息安全的管理承諾信息安全協(xié)調(diào) 信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議2.1內(nèi)部組織 在組織內(nèi)管理信息安全 與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全 第37頁，共54頁?？刂朴?：資產(chǎn)管理資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的合格使用3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù) 分類指南

19、信息的標(biāo)記和處理3.2資產(chǎn)分類確保信息受到適當(dāng)級(jí)別的保護(hù) 第38頁，共54頁?？刂朴?：人力資源安全角色和職責(zé)背景審查任用條款和條件4.1任用之前確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn) 管理職責(zé)信息安全意識(shí)、教育和培訓(xùn) 紀(jì)律處理過程4.2任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風(fēng)險(xiǎn)終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)4.3任用的終止或變化確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系 第39頁，共

20、54頁?？刂朴?：物理和環(huán)境安全物理安全邊界 物理入口控制 辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域防止對(duì)組織場所和信息的未授權(quán)物理訪問、損壞和干擾 設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)組織場所外的設(shè)備安全設(shè)備的安全處置和再利用資產(chǎn)的移動(dòng)5.2設(shè)備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷 第40頁，共54頁?？刂朴?：通信和操作管理文件化的操作程序變更管理責(zé)任分割開發(fā)、測(cè)試和運(yùn)行設(shè)施分離6.1操作程序和職責(zé)確保正確、安全的操作信息處理設(shè)施 服務(wù)交付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理6.2第三方服務(wù)交付

21、管理實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn) 容量管理系統(tǒng)驗(yàn)收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小 第41頁，共54頁?？刂朴?：通信和操作管理（續(xù)）控制惡意代碼控制移動(dòng)代碼6.4防范惡意和移動(dòng)代碼保護(hù)軟件和信息的完整性 信息備份6.5備份保持信息和信息處理設(shè)施的完整性及可用性 網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施 第42頁，共54頁?？刂朴?：通信和操作管理（續(xù)）可移動(dòng)介質(zhì)的管理介質(zhì)的處置信息處理程序系統(tǒng)文件安全6.7介質(zhì)處置防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷 信息交換策略和程序交換協(xié)議運(yùn)輸中

22、的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)6.8信息的交換保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全 電子商務(wù)在線交易公共可用信息6.9電子商務(wù)服務(wù)確保電子商務(wù)服務(wù)的安全及其安全使用 第43頁，共54頁?？刂朴?：通信和操作管理（續(xù)）審計(jì)日志監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步6.10監(jiān)視檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng) 第44頁，共54頁?？刂朴?：訪問控制訪問控制策略7.1訪問控制的業(yè)務(wù)要求控制對(duì)信息的訪問 用戶注冊(cè)特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復(fù)查7.2用戶訪問管理確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問 口令使用無人值守的用戶設(shè)備清空桌面和屏幕策略7

23、.3用戶職責(zé)防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取 第45頁，共54頁。控制域7：訪問控制（續(xù)）使用網(wǎng)絡(luò)服務(wù)的策略外部連接的用戶鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)遠(yuǎn)程診斷和配置端口的保護(hù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制7.4網(wǎng)絡(luò)訪問控制防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問 安全登錄程序用戶標(biāo)識(shí)和鑒別口令管理系統(tǒng)系統(tǒng)實(shí)用工具的使用會(huì)話超時(shí)聯(lián)機(jī)時(shí)間的限定7.5操作系統(tǒng)訪問控制防止對(duì)操作系統(tǒng)的未授權(quán)訪問 信息訪問限制敏感系統(tǒng)隔離7.6應(yīng)用和信息訪問控制防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問 第46頁，共54頁?？刂朴?：訪問控制（續(xù)）移動(dòng)計(jì)算和通訊遠(yuǎn)程工作7.7移動(dòng)計(jì)算和遠(yuǎn)程工作確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信

24、息安全 第47頁，共54頁?？刂朴?：信息系統(tǒng)獲取、開發(fā)和維護(hù)安全要求分析和說明8.1信息系統(tǒng)的安全要求確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分 輸入數(shù)據(jù)驗(yàn)證內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗(yàn)證8.2應(yīng)用中的正確處理防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改及誤用 使用密碼控制的策略密鑰管理8.3密碼控制通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性 第48頁，共54頁?？刂朴?：信息系統(tǒng)獲取、開發(fā)和維護(hù)（續(xù)）運(yùn)行軟件的控制系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)對(duì)程序源代碼的訪問控制8.4系統(tǒng)文件的安全確保系統(tǒng)文件的安全 變更控制程序操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審軟件包變更的限制信息泄露外包軟件開發(fā)8.5開發(fā)和支持過

25、程中的安全維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全 技術(shù)脆弱性的控制8.6技術(shù)脆弱性管理降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn) 第49頁，共54頁。控制域9：信息安全事件管理報(bào)告信息安全事態(tài)報(bào)告安全弱點(diǎn)9.1報(bào)告信息安全事態(tài)和弱點(diǎn)確保與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá)，以便及時(shí)采取糾正措施 職責(zé)和程序?qū)π畔踩录目偨Y(jié)證據(jù)的收集9.2信息安全事件和改進(jìn)的管理確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理第50頁，共54頁?？刂朴?0：業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理過程中包含的信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃框架測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃1

26、0.1業(yè)務(wù)連續(xù)性管理的信息安全方面防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保它們的及時(shí)恢復(fù) 第51頁，共54頁。控制域11：符合性 可用法律的識(shí)別知識(shí)產(chǎn)權(quán)（IPR）保護(hù)組織的記錄數(shù)據(jù)保護(hù)和個(gè)人信息的隱私防止濫用信息處理設(shè)施密碼控制措施的規(guī)則11.1符合法律要求避免違反任何法律、法令、法規(guī)或合同義務(wù)，以及任何安全要求 符合安全策略和標(biāo)準(zhǔn)技術(shù)符合性檢查11.2符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性確保系統(tǒng)符合組織的安全策略及標(biāo)準(zhǔn) 信息系統(tǒng)審核控制措施信息系統(tǒng)審核工具的保護(hù)11.3信息系統(tǒng)審核考慮將信息系統(tǒng)審核過程的有效性最大化，干擾最小化 第52頁，共54頁。1、不是井里

27、沒有水，而是你挖的不夠深。不是成功來得慢，而是你努力的不夠多。2、孤單一人的時(shí)間使自己變得優(yōu)秀，給來的人一個(gè)驚喜，也給自己一個(gè)好的交代。3、命運(yùn)給你一個(gè)比別人低的起點(diǎn)是想告訴你，讓你用你的一生去奮斗出一個(gè)絕地反擊的故事，所以有什么理由不努力!4、心中沒有過分的貪求，自然苦就少?？诶锊徽f多余的話，自然禍就少。腹內(nèi)的食物能減少，自然病就少。思緒中沒有過分欲，自然憂就少。大悲是無淚的，同樣大悟無言。緣來盡量要惜，緣盡就放。人生本來就空，對(duì)人家笑笑，對(duì)自己笑笑，笑著看天下，看日出日落，花謝花開，豈不自在，哪里來的塵埃!5、心情就像衣服，臟了就拿去洗洗，曬曬，陽光自然就會(huì)蔓延開來。陽光那么好，何必自尋煩

28、惱，過好每一個(gè)當(dāng)下，一萬個(gè)美麗的未來抵不過一個(gè)溫暖的現(xiàn)在。6、無論你正遭遇著什么，你都要從落魄中站起來重振旗鼓，要繼續(xù)保持熱忱，要繼續(xù)保持微笑，就像從未受傷過一樣。7、生命的美麗，永遠(yuǎn)展現(xiàn)在她的進(jìn)取之中;就像大樹的美麗，是展現(xiàn)在它負(fù)勢(shì)向上高聳入云的蓬勃生機(jī)中;像雄鷹的美麗，是展現(xiàn)在它搏風(fēng)擊雨如蒼天之魂的翱翔中;像江河的美麗，是展現(xiàn)在它波濤洶涌一瀉千里的奔流中。8、有些事，不可避免地發(fā)生，陰晴圓缺皆有規(guī)律，我們只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改變它的軌跡。9、與其埋怨世界，不如改變自己。管好自己的心，做好自己的事，比什么都強(qiáng)。人生無完美，曲折亦風(fēng)景。別把失去看得過

29、重，放棄是另一種擁有;不要經(jīng)常艷羨他人，人做到了，心悟到了，相信屬于你的風(fēng)景就在下一個(gè)拐彎處。10、有些事想開了，你就會(huì)明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎樣，最后收拾殘局的還是要靠你自己。11、人生的某些障礙，你是逃不掉的。與其費(fèi)盡周折繞過去，不如勇敢地攀登，或許這會(huì)鑄就你人生的高點(diǎn)。12、有些壓力總是得自己扛過去，說出來就成了充滿負(fù)能量的抱怨。尋求安慰也無濟(jì)于事，還徒增了別人的煩惱。13、認(rèn)識(shí)到我們的所見所聞都是假象，認(rèn)識(shí)到此生都是虛幻，我們才能真正認(rèn)識(shí)到佛法的真相。錢多了會(huì)壓死你，你承受得了嗎?帶，帶不走，放，放不下。時(shí)時(shí)刻刻發(fā)悲心，饒益眾生為他人。

30、14、夢(mèng)想總是跑在我的前面。努力追尋它們，為了那一瞬間的同步，這就是動(dòng)人的生命奇跡。15、懶惰不會(huì)讓你一下子跌倒，但會(huì)在不知不覺中減少你的收獲;勤奮也不會(huì)讓你一夜成功，但會(huì)在不知不覺中積累你的成果。人生需要挑戰(zhàn)，更需要堅(jiān)持和勤奮!16、人生在世：可以缺錢，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盜名;可以低落，但不能墮落;可以放松，但不能放縱;可以虛榮，但不能虛偽;可以平凡，但不能平庸;可以浪漫，但不能浪蕩;可以生氣，但不能生事。17、人生沒有筆直路，當(dāng)你感到迷茫、失落時(shí)，找?guī)撞窟@種充滿正能量的電影，坐下來靜靜欣賞，去發(fā)現(xiàn)生命中真正重要的東西。18、在人生的舞臺(tái)

31、上，當(dāng)有人愿意在臺(tái)下陪你度過無數(shù)個(gè)沒有未來的夜時(shí)，你就更想展現(xiàn)精彩絕倫的自己。但愿每個(gè)被努力支撐的靈魂能吸引更多的人同行。第53頁，共54頁。1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅(jiān)持運(yùn)動(dòng)。人最失敗的，莫過于對(duì)自己不負(fù)責(zé)任，連答應(yīng)自己的事都辦不到，又何必抱怨這個(gè)世界都和你作對(duì)？人生的道理很簡單，你想要什么，就去付出足夠的努力。2、時(shí)間是最公平的，活一天就擁有24小時(shí)，差別只是珍惜。你若不相信努力和時(shí)光，時(shí)光一定第一個(gè)辜負(fù)你。有夢(mèng)想就立刻行動(dòng)，因?yàn)楝F(xiàn)在過的每一天，都是余生中最年輕的一天。3、無論正在經(jīng)歷什么，都請(qǐng)不要輕言放棄，因?yàn)閺膩頉]有一種堅(jiān)持會(huì)被辜負(fù)。誰的人生不是荊棘前行，生

32、活從來不會(huì)一蹴而就，也不會(huì)永遠(yuǎn)安穩(wěn)，只要努力，就能做獨(dú)一無二平凡可貴的自己。4、努力本就是年輕人應(yīng)有的狀態(tài)，是件充實(shí)且美好的事，可一旦有了表演的成分，就會(huì)顯得廉價(jià)，努力，不該是為了朋友圈多獲得幾個(gè)贊，不該是每次長篇贅述后的自我感動(dòng)，它是一件平凡而自然而然的事，最佳的努力不過是：但行好事，莫問前程。愿努力，成就更好的你！5、付出努力卻沒能實(shí)現(xiàn)的夢(mèng)想，愛了很久卻沒能在一起的人，活得用力卻平淡寂寞的青春，遺憾是每一次小的挫折，它磨去最初柔軟的心智、讓我們懂得累積時(shí)間的力量；那些孤獨(dú)沉寂的時(shí)光，讓我們學(xué)會(huì)守候內(nèi)心的平和與堅(jiān)定。那些脆弱的不完美，都會(huì)在努力和堅(jiān)持下，改變模樣。6、人生中總會(huì)有一段艱難的路，需要自己獨(dú)自走完，沒人幫助，沒人陪伴，不必畏懼，昂頭走過去就是了，經(jīng)歷所有的挫折與磨難，你會(huì)發(fā)現(xiàn)，自己遠(yuǎn)比想象中要強(qiáng)大得多。多走彎路，才會(huì)