7.9 KiB
信息安全管理体系最佳实践
★ 信息安全管理体系控制类型
了解预防性、检测性、纠正性控制措施的差别及应用。
★ 信息安全管理体系控制措施结构
了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、安全事件管理、业务连续性管理及合规性14个控制章节的控制目标、控制措施并理解实施指南的相关要素。
一、信息安全管理体系控制类型
1、预防性控制
预防性控制是为了避免产生错误或尽量减少今后的更正性活动,是为了防止资金、时间或其他资源的损耗而采取的一种预防保证措施。预防性控制可防止不良事件的发生。例如,要求访问系统的用户ID和密码。它阻止未经授权的人访问系统。从理论的角度来看,出于显而易见的原因,首先选择预防性控制。
2、检测性控制
建立检测性控制的目的是发现流程中可能发生的安全问题。被审计单位通过检测性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检测性控制通常是管理层用来监督实现流程目标的控制,可以由人工执行,也可以由信息系统自动执行。例如,记录系统上执行的所有活动将允许您查看日志以在事件发生后查找不适当的活动。
3、纠正性控制
纠正性控制措施无法阻止安全事件的发生,但提供了一种系统的方式来检测何时发生了安全事件并对安全事件带来的影响进行纠正。例如,对信息系统中的数据进行备份,当发生系统故障或硬盘故障后,通过备份可以避免这些问题导致的数据丢失。
二、信息安全管理体系控制措施结构
1、结构
- 14个类别
- 35个目标
- 114个控制措施
2、描述方式(ISO 27002)
- 控制类
- 控制目标
- 控制措施
- 实施指南
BS 7799-1 → ISO 27002
BS 7799-2 → ISO 27001
三、信息安全管理体系控制措施
实施指南 (详见 ISO 27001),下方均不再赘述
1、信息安全方针(1/2)
-
控制目标:组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全。
-
控制措施
-
信息安全方针
信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方
-
信息安全方针评审
宜按计划的时间间隔(通常1年)或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
-
2、信息安全组织(2/7)
-
内部组织 - 5
-
控制目标:建立一个管理框架,用以启动和控制的组织内信息安全的实施和运行;
-
控制措施:信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全。
- 信息安全角色:CEO、CIO、CFO、CISO/CSO、SA(Adminsitrator)、SA(Auditor)、SafeGuard(安保人员)
- 职责分离
-
-
移动设备与远程办公 - 2
-
控制目标:确保远程办公和使用移动设备时的安全性
-
控制措施
- 移动设备方针,管理移动带来的风险
- 保护远程工作地点的信息访问、处理和存储
-
3、人力资源安全(3/6)
-
任用前 - 2
-
控制目标:确保雇员、承包方理解其职责,对其考虑的角色是适合的
-
控制措施:审查、任用条款及条件
-
-
任用中 - 3
-
控制目标:确保雇员、承包方意识并履行其信息安全职责
-
控制措施:管理职责、意识教育和培训、纪律处理
-
-
任用终止和变化 - 1
-
控制目标:将聘用的变更或终止作为组织过程的一部分以保护组织的利益
-
控制措施:雇佣责任的改变和终结
-
4、资产管理(3/10)
-
对资产负责 - 4
-
控制目标:标识组织资产并确定适当的保护责任
-
控制措施:资产清单、资产责任人、资产的可接受使用、资产归还
-
-
信息分类 - 3
-
控制目标:确保信息受到适当级别的保护
-
控制措施:分类指南、信息的标记、资产的处理
-
-
介质处理 - 3
-
控制目标:防止介质存储信息的未授权泄露、修改、移动或销毁
-
控制措施:可移动介质的管理、介质的处置、物理介质传输
-
5、访问控制(4/14)
-
访问控制的业务要求 - 2
-
控制目标:限制对信息和信息处理设施的访问
-
控制措施:访问控制方针、网络和网络服务的访问
-
-
用户访问管理 - 6
-
控制目标:确保授权用户访问系统和服务,并防止未授权的访问
-
控制措施:用户注册和注销、用户访问配置、特殊权限管理、用户的秘密验证信息管理、用户访问权的复查、访问权限的移除或调整
-
-
用户职责 - 1
-
控制目标:使用户负责维护其授权信息
-
控制措施:秘密验证信息的使用
-
-
系统和应用访问控制 - 5
-
控制目标:防止对系统和应用的未授权访问
-
控制措施:信息访问限制、安全登录规程、口令管理系统、特权实用程序的使用、程序源代码的访问控制
-