CISP/03_第三章 信息安全管理/3.4 信息安全管理体系最佳实践.md

信息安全管理体系最佳实践

一、信息安全管理体系控制类型
    了解预防性、检测性、纠正性控制措施的差别及应用。

二、信息安全管理体系控制措施结构
    了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、安全事件管理、业务连续性管理及合规性14个控制章节的控制目标、控制措施并理解实施指南的相关要素。

三、信息安全管理体系控制措施

一、信息安全管理体系控制类型

1、预防性控制

        预防性控制是为了避免产生错误或尽量减少今后的更正性活动，是为了防止资金、时间或其他资源的损耗而采取的一种预防保证措施。预防性控制可防止不良事件的发生。例如，要求访问系统的用户ID和密码。它阻止未经授权的人访问系统。从理论的角度来看，出于显而易见的原因，首先选择预防性控制。

2、检测性控制

        建立检测性控制的目的是发现流程中可能发生的安全问题。被审计单位通过检测性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检测性控制通常是管理层用来监督实现流程目标的控制，可以由人工执行，也可以由信息系统自动执行。例如，记录系统上执行的所有活动将允许您查看日志以在事件发生后查找不适当的活动。

3、纠正性控制

        纠正性控制措施无法阻止安全事件的发生，但提供了一种系统的方式来检测何时发生了安全事件并对安全事件带来的影响进行纠正。例如，对信息系统中的数据进行备份，当发生系统故障或硬盘故障后，通过备份可以避免这些问题导致的数据丢失。

二、信息安全管理体系控制措施结构

1、结构

• 14个类别
• 35个目标
• 114个控制措施

2、描述方式（ISO 27002）

• 控制类
• 控制目标
• 控制措施
• 实施指南

BS 7799-1 → ISO 27002
BS 7799-2 → ISO 27001

三、信息安全管理体系控制措施

实施指南 （详见 ISO 27001），下方均不再赘述

1、信息安全方针（1/2）

• 信息安全管理指导

  • 控制目标：组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全。

  • 控制措施

    • 信息安全方针

      信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方

    • 信息安全方针评审

      宜按计划的时间间隔（通常1年）或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。

    

2、信息安全组织（2/7）

• 内部组织 - 5

  • 控制目标：建立一个管理框架，用以启动和控制的组织内信息安全的实施和运行；

  • 控制措施：信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全。

    • 信息安全角色：CEO、CIO、CFO、CISO/CSO、SA(Adminsitrator)、SA(Auditor)、SafeGuard（安保人员）
    • 职责分离

    

• 移动设备与远程办公 - 2

  • 控制目标：确保远程办公和使用移动设备时的安全性

  • 控制措施

    • 移动设备方针，管理移动带来的风险
    • 保护远程工作地点的信息访问、处理和存储

    

3、人力资源安全（3/6）

• 任用前 - 2

  • 控制目标：确保雇员、承包方理解其职责，对其考虑的角色是适合的

  • 控制措施：审查、任用条款及条件

    

• 任用中 - 3

  • 控制目标：确保雇员、承包方意识并履行其信息安全职责

  • 控制措施：管理职责、意识教育和培训、纪律处理

    

• 任用终止和变化 - 1

  • 控制目标：将聘用的变更或终止作为组织过程的一部分以保护组织的利益

  • 控制措施：雇佣责任的改变和终结

    

4、资产管理（3/10）

• 对资产负责 - 4

  • 控制目标：标识组织资产并确定适当的保护责任

  • 控制措施：资产清单、资产责任人、资产的可接受使用、资产归还

    

• 信息分类 - 3

  • 控制目标：确保信息受到适当级别的保护

  • 控制措施：分类指南、信息的标记、资产的处理

    

• 介质处理 - 3

  • 控制目标：防止介质存储信息的未授权泄露、修改、移动或销毁

  • 控制措施：可移动介质的管理、介质的处置、物理介质传输

    

5、访问控制（4/14）

• 访问控制的业务要求 - 2

  • 控制目标：限制对信息和信息处理设施的访问

  • 控制措施：访问控制方针、网络和网络服务的访问

    

• 用户访问管理 - 6

  • 控制目标：确保授权用户访问系统和服务，并防止未授权的访问

  • 控制措施：用户注册和注销、用户访问配置、特殊权限管理、用户的秘密验证信息管理、用户访问权的复查、访问权限的移除或调整

    

• 用户职责 - 1

  • 控制目标：使用户负责维护其授权信息

  • 控制措施：秘密验证信息的使用

    

• 系统和应用访问控制 - 5

  • 控制目标：防止对系统和应用的未授权访问

  • 控制措施：信息访问限制、安全登录规程、口令管理系统、特权实用程序的使用、程序源代码的访问控制

    

6、密码学（1/2）

• 加密控制 - 1

  • 控制目标：通过加密方法保护信息的保密性、真实性或完整性。

  • 控制措施：

    • 使用加密控制的策略
    • 密钥管理

    

7、物理与环境安全（2/15）

• 安全区域 - 6

  • 控制目标：防止对组织场所和信息过程设备的未授权物理访问、损坏和干扰。

  • 控制措施：物理安全边界、物理入口控制、办公室、房间和设施的安全保护、外部和环境威胁的安全防护、在安全区域工作、送货和装卸区。

    

• 设备安全 - 9

  • 控制目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。

  • 控制措施：设备安置和保护、支持性设施、布缆安全、设备维护、资产的移动、组织场所外的设备安全、设备的安全处置和再利用、无人值守的用户设备清空桌面和屏幕方针。

    

8、操作安全（7/14）

• 操作规程和职责 - 4

  • 控制目标：确保正确、安全的操作信息处理设施

  • 控制措施：文件化的操作规程、变更管理、容量管理、开发、测试和运行环境分离

    

• 恶意代码防范 - 1

  • 控制目标：保护信息和信息处理设施以防恶意代码

  • 控制措施：控制恶意代码

    

• 备份 - 1

  • 控制目标：防止数据丢失

  • 控制措施：信息备份

    

• 日志记录和监视 - 4

  • 控制目标：记录事件并生成证据

  • 控制措施：事件日志、日志信息的保护、管理员和操作员日志、时钟同步

    

• 操作软件控制 - 1

  • 控制目标：确保操作系统的完整性

  • 控制措施：操作系统软件的安装

    

• 技术漏洞管理 - 2

  • 控制目标：防止对技术漏洞的利用

  • 控制措施：技术脆弱性管理、软件安装限制

    

• 信息系统审计的考虑 - 1

  • 控制目标：极小化审计行为对业务系统带来的影响。

  • 控制措施：信息系统审计控制。

    

9、通讯安全（2/7）

• 网络安全管理 - 3

  • 控制目标：确保网络中信息和支持性基础设施的安全性。

  • 控制措施：网络控制、网络服务安全、网络隔离。

    

• 信息的交换 - 4

  • 控制目标：保持组织内以及与组织外信息交换的安全。

  • 控制措施：信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议。

    

10、信息的获取开发及维护（3/13）

• 信息系统的安全要求 - 3

  • 控制目标：确保信息安全是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求。

  • 控制措施：安全需求分析和说明、公共网络上的安全应用服务、应用服务交换的保护。

    

• 开发和支持过程中的安全 - 9

  • 控制目标：确保信息系统开发的生命周期中设计和实施的信息安全。

  • 控制措施：安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、开发环境的安全、外包软件开发、系统安全测试、系统验收测试。

    

    

• 测试数据 - 1

  • 控制目标：确保用于测试的数据得到保护。

  • 控制措施：测试数据的保护。

    

11、供应商关系（2/5）

• 供应商关系中的信息安全 - 3

  • 控制目标：确保供应商可访问的组织资产受到保护。

  • 控制措施：供应商关系的信息安全方针、供应商协议中解决安全问题、信息和通信技术的供应链。

    

• 供应商服务交付管理 - 2

  • 控制目标：根据供应协议，维持信息安全和服务交付在协定的等级。

  • 控制措施：监控和审查供应商服务、供应商服务变更管理。

    

12、信息安全事件管理（1/7）

• 信息安全事件的管理和改进 - 7

  • 控制目标：确保采用一致和有效的方法对信息安全事件进行管理，包括通信安全事件和弱点。

  • 控制措施：

    • 职责和规程
    • 信息安全事态报告
    • 信息安全弱点报告
    • 信息安全事态的评估和决策
    • 信息安全事件的响应
    • 从信息安全事件中学习
    • 证据的收集

    

13、业务连续性管理（2/4）

• 信息安全的连续性 - 3

  • 控制目标：应将信息安全连续性嵌入组织业务连续性管理之中。

  • 控制措施：信息安全连续性的计划、信息安全连续性的实施、信息安全连续性的确认、审查和评估。

    

• 冗余 - 1

  • 控制目标：确保信息过程设施的可用性。

  • 控制措施：信息过程设施的可用性。

    

14、符合性（2/8）

• 符合法律和合同规定 - 5

  • 控制目标：避免违反任何法律、法令、法规或合同义务，以及任何安全要求。

  • 控制措施：可用法律和合同要求的识别、知识产权、记录的保护、个人身份信息的隐私和保护、加密控制的监管。

    

• 信息安全审核 - 3

  • 控制目标：确保信息安全依据组织方针和规程实施和操作。

  • 控制措施：信息安全的独立审核、符合安全策略和标准、技术符合性核查。

    

    组织在规定的时间间隔（一般是一年）或重大变化发生时，组织的信息安全管理和实施方法（如信息安全的控制目标、控制措施、方针、过程和规程）应独立审查。独立评审宜由管理者启动，由独立于被评审范围的人员执行，例如交叉审核（审核员A审查B的信息安全管理工作）、内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。内部审查的结果应该形成正式文件并长期留存。

    管理人员宜对自已职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行定期评审（一般是一年一次）。为了日常评审的效率，可以考虑使用自动测量和报告工具。评审结果和管理人员采取的纠正措施应该被记录，形成管理评审报告，并对这些记录进行维护。如果在管理评审中发现重大不符合项，则必须启动纠正改进措施。

    信息系统应被定期核查（一般为半年一次或一年一次）是否符合组织的信息安全方针和标准。技术符合性核查宜由有经验的系统工程师手动地（如必要，由适当的软件工具支持）和在自动化工具辅助下实施，以产生供技术专家进行后续解释的技术报告。如果使用渗透测试或脆弱性评估，则宜格外小心，需要提前制定应急预案和做好应急准备，因为这些活动可能导致系统安全的损害。这样的测试宜预先计划，形成文件，且可重复执行。任何技术符合性核查应由有能力的、已授权的人员来实施或在他们的监督下完成。