电信信息安全管理培训

《电信信息安全管理培训》由会员分享，可在线阅读，更多相关《电信信息安全管理培训（204页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2014/3/17,,‹#›,,,,陕西电,信,信信息,安,安全管,理,理培训,2022年11月4,日,日,信息安,全,全管理,体,体系介,绍,绍,第一天,什么是,信,信息安,全,全,3,防止信,息,息财产,被,被故意,的,的或偶,然,然的非,授,授权泄,露,露、更,改,改、破,坏,坏或使,信,信息被,非,非法的,系,系统辨,识,识，控,制,制。即,确,确保信,息,息的完,整,整性、,保,保密性,，,，可用,性,性和可,控,控性。,避,避免攻,击,击者利,用,用系统,的,的安全,漏,漏洞进,行,行窃听,、,、冒

2、充,、,、诈骗,等,等有损,于,于合法,用,用户的,行,行为。,本,本质上,是,是保护,用,用户的,利,利益和,隐,隐私。,信,信息安,全,全包括,操,操作系,统,统安全,，,，数据,库,库安全,，,，网络,安,安全，,病,病毒防,护,护，访,问,问控制,，,，加密,与,与鉴别,七,七个方,面,面。,信息安,全,全的关,键,键在于,信,信息本,身,身，而,信,信息安,全,全的实,质,质是通,过,过相应,的,的技术,手,手段保,护,护与信,息,息相关,的,的一切,人,人、事,、,、物。,信息安,全,全的基,本,本目标,信息安,全,全通常,强,强调所,谓,谓三元,组,组的目,标,标，即,保,保密性

3、,、,、完整,性,性和可,用,用性。,概,概念的,阐,阐述源,自,自信息,技,技术安,全,全评估,标,标准（,，,，）,，,，它也,是,是信息,安,安全的,基,基本要,素,素和安,全,全建设,所,所应遵,循,循的基,本,本原则,。,。,什么是信,息,息安全,机密性,可用性,完整性,4,（1）可,用,用性（）,：,：,确保授权,用,用户或实,体,体对信息,及,及资源的,正,正常使用,不,不会被异,常,常拒绝，,允,允许其可,靠,靠而及时,地,地访问信,息,息及资源,。,。,（2）完,整,整性（）,：,：,确保信息,在,在存储、,使,使用、传,输,输过程中,不,不会被非,授,授权用户,篡,篡改，同

4、,时,时还要防,止,止授权用,户,户对系统,及,及信息进,行,行不恰当,的,的篡改，,保,保持信息,内,内、外部,表,表示的一,致,致性。,（3）保,密,密性（）,：,：,确保信息,在,在存储、,使,使用、传,输,输过程中,不,不会泄漏,给,给非授权,用,用户或实,体,体。,什么是信,息,息安全,5,信息安全,还,还有一些,其,其他原则,，,，包括可,追,追溯性（,）,）、抗抵,赖,赖性（）,、,、真实性,（,（）、可,控,控性（）,等,等，这些,都,都是对原,则,则的细化,、,、补充或,加,加强。,什么是信,息,息安全,6,7,信息安全,管,管理概念,管理体系,的,的持续改,进,进,要求,要

5、求被满,足,足,,管理职责,分析改进,产品实现,资源管理,,,,,,,,,,输入,输出,信息安全,管,管理体系,27001:2005简介,27001：2005与27001：2013差异,对,对比,@ 组织,用户的责,任,任,8,9,历史,7799,7799-1,7799-2,27001,27002,1992,年,年在英固,首,首次作为,行,行业标准,发,发布，为,信,信息安全,管,管理提供,了,了一个依,据,据。,7799,标,标准最早,是,是由英固,工,工贸部、,英,英固标准,化,化协会（,）,）组织的,相,相关专家,共,共同开发,制,制定的,在1998年、1999年,经,经过两次,信,信订

6、之后,出,出版7799-1,：,：1999和7799-2,：,：1999。,2001,年,年修订7799-2：1999，同,年,年7799-2：2000,发,发布。,2002,年,年对7799-2,：,：2000进行了,修,修订发布,了,了7799-2：2002,版,版。,于2005年10,月,月15采,用,用7799-2：2002,版,版本成为,国,国际标准27001：2005版。,2013,年,年10月19日修,订,订原版，,正,正式使用27001:2013版。,2000,年,年4月，,将,将7799-1：1999,提,提交，同,年,年10月,获,获得通过,成,成为17799：2000,版

7、,版。,2005,年,年对17799：2000,版,版进行了,修,修订，于6月15,日,日发布了17799：2005版。,2007,年,年上半年,正,正式更名,为,为27002:2007。,2013,年,年与27001:2013,版,版同步更,新,新为27002:2013.,10,现在与未,来,来,27002:2007,,17799,27003,,27001,2005,27000,2005,27004,,27005,,7799,27006,,&,18004,,507,,(),17799,2005,守则,审核标准,7799,–,–,,2005,13335 –,,11,27000标准族,27001

8、:2005标准,说,说明,7799,：,：分为7799-1和7799-2,两,两部份,7799-1:2005/ 17799:2005,主,主要是,做,做为参考,文,文件，提,供,供广泛性,的,的安全控,制,制措施，,作,作为现行,信,信息安全,之,之最佳作,业,业方法，,其,其中包含11个控,制,制措施章,节,节，但不,作,作为评鉴,与,与验证标,准,准。,7799-2:2005/27001:2005,系,系,根,根据7799-1,，,，提,供,供信,息,息安,全,全管,理,理系,统,统()之,建,建立,实,实施,与,与书,面,面化,之,之具,体,体要,求,求，,依,依据,个,个别,组,组织,

9、的,的需,求,求，,规,规定,要,要实,施,施之,安,安全,控,控制,措,措施,的,的要,求,求。,27001:2005,标,标准,说,说明,7799-1:2005/17799:2005,信息,安,安全,管,管理,作,作业,要,要点,用意,是,是做,为,为参,考,考文,件,件,提供,广,广泛,性,性的,安,安全,控,控制,措,措施,现,行,行,信,信,息,息,安,安,全,全,之,之,最,最,佳,佳,作,作,业,业,方,方,法,法,包,含,含11,个,个,控,控,制,制,章,章,节,节,无,法,法,作,作,为,为,评,评,鉴,鉴,与,与,验,验,证,证,27001:2005,标,标,准,准,说,

10、说,明,明,7799-2:2005/27001:2005,信,息,息,安,安,全,全,管,管,理,理,系,系,统,统,要,要,求,求,根,据,据7799-1:2005,之建立,实,实施与,文,文件化,之,之具体,要,要求,依据个,别,别组织,的,的需求,，,，规定,要,要实施,之,之安全,控,控制措,施,施的要,求,求。,27001:2005标准,说,说明,关键的,成,成功因,素,素(),经,经验显,示,示，组,织,织的信,息,息安全,能,能否成,功,功实施,，,，下列,常,常为关,键,键因素,：,：,能反映,营,营运目,标,标的信,息,息安全,政,政策、,目,目标及,活,活动。,与组织,文,

11、文化一,致,致之实,施,施、维,护,护、监,控,控、及,改,改进信,息,息安全,的,的方法,与,与框架,。,。,来自所,有,有管理,阶,阶层的,实,实际支,持,持和承,诺,诺。,对信息,安,安全要,求,求、风,险,险评估,以,以及风,险,险管理,的,的深入,了,了解。,向全体,管,管理人,员,员、受,雇,雇人员,、,、及相,关,关人员,有,有效推,广,广信息,安,安全以,达,达到认,知,知。,资助信,息,息安全,管,管理活,动,动。,提供适,切,切的认,知,知、训,练,练及教,育,育。,制定有,效,效的信,息,息安全,事,事故管,理,理过程,。,。,实施ㄧ,个,个用于,评,评估的,绩,绩效及,

12、改,改进的,回,回馈建,议,议之量,测,测系统,。,。,管理体,系,系的4,大,大要素,组织机,构,构：,明确职,责,责、权,限,限,程序：,告诉相,关,关人员,怎,怎么做,过程：,具体的,执,执行情,况,况，如,何,何做的,？,？比如,执,执行人,是,是否每,周,周2次,检,检查了,某,某个应,用,用程序,的,的日志,？,？,资源：,可调配,、,、使用,的,的人员,、,、设备,等,等,培训,管理体系,组织结构,程序,过程,资源,什么叫,信,信息安,全,全管理,体,体系,信息,信息是,一,一种重,要,要资产,，,，对组,织,织的业,务,务非常,关,关键。,信,信息,可,可以以,各,各种形,式,

13、式存在,，,，可以,印,印刷或,写,写在纸,上,上，以,电,电子形,式,式存储,、,、邮寄,或,或使用,电,电子手,段,段传输,，,，以影,片,片播放,或,或对话,。,。,信息安,全,全,对信息,的,的保密,性,性、完,整,整性和,可,可用性,的,的保护,，,，同时,涉,涉及真,实,实性、,责,责任区,分,分、防,止,止抵赖,和,和可靠,性,性等其,他,他特性,。,。,信息安,全,全管理,体,体系,是管理,体,体系的,一,一部分,，,，基于,业,业务风,险,险的方,法,法，建,立,立、实,施,施、运,行,行、监,控,控、评,审,审、维,护,护和改,进,进信息,安,安全。,简单地,说,说，是,为

14、,为了确,保,保组织,信,信息的,“,“三性,”,”，设,立,立的组,织,织机构,、,、程序,、,、过程,和,和资源,。,。,1,如果,什么是,好,好的,,系统的,方,方法,更好地,了,了解业,务,务方面,降低安,全,全漏洞,和,和/或,索,索赔,降低负,面,面宣传,改进保,险,险责任,评,评级,通过业,务,务风险,评,评估，,确,确定关,键,键资产,为持续改进,提,提供一个结,构,构，,内部和外部,是,是一个信心,的,的因素,提高管理水,平,平的知识和,与,与安全相关,的,的问题的重,要,要性,确保“知识,资,资本”将被,“,“存储”，,并,并在业务管,理,理系统管理,实施的关键,成,成功因

15、素,与组织文化,一,一致的信息,安,安全方法,老板的支持,对信息安全,的,的要求、风,险,险评估和风,险,险管理有好,的,的理解,向所有员工,和,和其他人分,发,发信息安全,指,指南,有效的对员,工,工和其他人,推,推销信息安,全,全（外部人,员,员也被要求,进,进行信息安,全,全培训）,足够的财务,支,支持，以及,满,满足要求的,现,现有系统的,能,能力和配置,水,水平,有效的信息,安,安全事故管,理,理过程,重要提示,（信息安全,管,管理体系）,和,和（信息技,术,术服务管理,）,）的整合需,求,求越来越大,：,：,来自最高管,理,理者的关注,增,增强,来自客户的,推,推动、压力,政府的推

16、动,并,并提供资金,的,的支持，如,“,“十百千”,工,工程,行业的普遍,关,关注，如电,信,信，移动，,电,电力系统，,海,海关总署，,国,国家质监总,局,局,目前，各大,银,银行和电力,企,企业正在实,施,施，每年有,的,的市场。,半导体业对,的,的要求非常,严,严格，甚至,高,高过金融业,！,！,重要提示,历史教训：,保,保安和清洁,工,工是信息安,全,全的重要威,胁,胁！（无意,伤,伤害对“阶,层,层” 感情,的,的好恶）,所有员工，,包,包括所有外,来,来人员，必,须,须接受信息,安,安全的培训,小窍门：在,门,门卫/传达,室,室放一个《,外,外来人员安,全,全须知》，,外,外来人员

17、,在,在阅读后要,签,签字，这是,对,对外来人员,进,进行了信息,安,安全培训的,证,证据,重要提示,信息安全容,易,易忽视的两,个,个的地方,（U盘，尽,量,量禁用！）,（域控制器,，,，加强管理,！,！）,:,人员发生变,动,动的时候，,一,一定要调整,访,访问权限,查看企业的,财,财产保险合,同,同,审核完毕后,一,一般都需要,提,提高保险级,别,别！,影响公司层,面,面业务持续,性,性的因素,供应链中断,：,：重要原料,、,、硬件,高层的错误,决,决策,客户不满,关键人员,流,流失,数据中心,重,重大事故,恐怖袭击,、,、战争,员工信心,天灾人祸,、,、火灾爆,炸,炸,联动点,法律法规

18、,公众反应,非常重要,实施业务,连,连续性管,理,理的两条,途,途径,公司层面,的,的（适合,于,于 或企,业,业）,信息安全,层,层面的，,适,适合大型,制,制造业及,工,工艺流程,复,复杂的企,业,业,或比“可,用,用性管理,”,”有更大,的,的范围和,规,规模！,27001:2005标准,说,说明,标准/指南,27001 (2005~),2005,2000~2002,2000,信息安全管理系统要求,27001,27001:2005(7799-2:2005),7799-2:2002,7799-2:1999,信息安全管理作业要点,27002( 2007),17799:2005(

19、7799-1:2005),17799:2000,7799-1:1999,27001:2005标准,说,说明,7799,：,：分为7799-1和7799-2,两,两部份,7799-1:2005/ 17799:2005,主,主要是,做,做为参考,文,文件，提,供,供广泛性,的,的安全控,制,制措施，,作,作为现行,信,信息安全,之,之最佳作,业,业方法，,其,其中包含11个控,制,制措施章,节,节，但不,作,作为评鉴,与,与验证标,准,准。,7799-2:2005/ 27001:2005,系,系根据7799-1，提,供,供信息安,全,全管理系,统,统()之,建,建立实施,与,与书面化,之,之具体要

20、,求,求，依据,个,个别组织,的,的需求，,规,规定要实,施,施之安全,控,控制措施,的,的要求。,27001:2005,标,标,准,准,说,说,明,明,7799-1:2005/17799:2005,信,息,息,安,安,全,全,管,管,理,理,作,作,业,业,要,要,点,点,用,意,意,是,是,做,做,为,为,参,参,考,考,文,文,件,件,提,供,供,广,广,泛,泛,性,性,的,的,安,安,全,全,控,控,制,制,措,措,施,施,现,行,行,信,信,息,息,安,安,全,全,之,之,最,最,佳,佳,作,作,业,业,方,方,法,法,包,含,含11,个,个,控,控,制,制,章,章,节,节,无,法,

21、法,作,作,为,为,评,评,鉴,鉴,与,与,验,验,证,证,27001:2005,标,标,准,准,说,说,明,明,7799-2:2005/27001:2005,信,息,息,安,安,全,全,管,管,理,理,系,系,统,统,要,要,求,求,根,据,据7799-1:2005,之,建,建,立,立,实,实,施,施,与,与,文,文,件,件,化,化,之,之,具,具,体,体,要,要,求,求,依,据,据,个,个,别,别,组,组,织,织,的,的,需,需,求,求,，,，,规,规,定,定,要,要,实,实,施,施,之,之,安,安,全,全,控,控,制,制,措,措,施,施,的,的,要,要,求,求,。,。,27001:200

22、5,标,标,准,准,说,说,明,明,信,息,息,是,是,一,一,种,种,资,资,产,产,，,，,就,就,像,像,其,其,它,它,重,重,要,要,的,的,企,企,业,业,资,资,产,产,依,依,样,样,，,，,对,对,组,组,织,织,具,具,有,有,价,价,值,值,，,，,因,因,此,此,需,需,要,要,受,受,到,到,适,适,当,当,的,的,保,保,护,护,。,。,27001:2005,标,标准说明,信息的类型,书写或打印,于,于纸上,储存在电子,媒,媒体上,以邮寄或电,子,子储存媒体,传,传输,显示于企业,影,影片上,言语-在对,话,话中提出,不管信息的,形,形式是什么,，,，或者共享,或,

23、或储存的方,式,式是什么，,都,都应该受到,适,适当的保护,。,。,27001:2005,标,标准说明,信息安全,保护信息的,机,机密性、完,整,整性与可用,性,性；另外，,亦,亦可包含如,可,可鉴别性(,真,真实性)、,可,可归责性、,不,不可否认性,及,及可靠性等,特,特性。,27001:2005,标,标准说明,关键的成功,因,因素()经验显,示,示，组织的,信,信息安全能,否,否成功实施,，,，下列常为,关,关键因素：,能反映营运,目,目标的信息,安,安全政策、,目,目标及活动,。,。,与组织文化,一,一致之实施,、,、维护、监,控,控、及改进,信,信息安全的,方,方法与框架,。,。,

24、来自所有管,理,理阶层的实,际,际支持和承,诺,诺。,对信息安全,要,要求、风险,评,评估以及风,险,险管理的深,入,入了解。,向全体管理,人,人员、受雇,人,人员、及相,关,关人员有效,推,推广信息安,全,全以达到认,知,知。,资助信息安,全,全管理活动,。,。,提供适切的,认,认知、训练,及,及教育。,制定有效的,信,信息安全事,故,故管理过程,。,。,实施ㄧ个用,于,于评估的绩,效,效及改进的,回,回馈建议之,量,量测系统。,27001:2005,标,标准说明,4.,,4.1一般,要,要求组织,应,应在整体业,务,务活动与所,面,面临风险下,建,建立、实施,、,、操作、监,控,控、审查

25、、,维,维护及改进,一,一文件化，,为,为本国际标,准,准之目的，,所,所采用之过,程,程以下图所,示,示之模式为,基,基础。,4,4.2信息,安,安全管理系,统,统之建立及,管,管理,4.2.1,建,建立信息安,全,全管理系统,组,组织应：,依据业务、,组,组织、所在,位,位置、资产,及,及技术等特,性,性，定义信,息,息安全管理,系,系统之范围,及,及界限，并,包,包括任何自,范,范围排除之,细,细节及理由,。,。,依据业务、,组,组织、所在,位,位置、资产,及,及技术等特,性,性，定义信,息,息安全管理,系,系统之政策,，,，且：,包含设定目,标,标之框架，,并,并建立有关,信,信息安全

26、之,整,整体方向亦,是,是与行动原,则,则。,考虑企业及,法,法律或法规,要,要求，以及,合,合约性的安,全,全责任。,与组织策略,性,性之风险管,理,理内容配合,，,，使得以建,立,立及维持。,建立评估风,险,险之标准，,及,及被管理阶,层,层核准。,4.2信息,安,安全管理系,统,统之建立及,管,管理,定义组织之,风,风险评估办,法,法,鉴别一风险,评,评估方法论,，,，并适合其,、,、已鉴别之,企,企业信息安,全,全、以及法,律,律与法规要,求,求。,发展可接受,风,风险之标准,以,以及鉴别风,险,险至可接受,的,的程度。所,选,选择之风险,评,评估方法论,应,应确保产出,可,可比较及可

27、,重,重复之结果,。,。,鉴别各项风,险,险,鉴别控制范,围,围内之资产,以,以及该资产,之,之拥有者()。拥有,者,者()一词,系,系指已核准,资,资产管理责,任,任之个人或,实,实体，针对,资,资产之生产,、,、开发、维,护,护、使用及,安,安全之管制,。,。拥有者()一词并不,是,是指实际具,有,有资产产权,之,之人员。,4.2信息,安,安全管理系,统,统之建立及,管,管理,分析,及,及评,估,估各,项,项风,险,险,鉴别,并,并评,估,估风,险,险处,理,理之,选,选项,方,方法,选择,控,控制,目,目标,及,及控,制,制措,施,施以,处,处理,风,风险,：,：,应选,择,择并,实,

28、实施,控,控制,目,目标,与,与控,制,制措,施,施，,以,以符,合,合风,险,险评,估,估与,风,风险,处,处理,过,过程,所,所鉴,别,别之,要,要求,。,。,控制,目,目标,与,与控,制,制措,施,施应,于,于本,标,标准,之,之附,录,录A,中,中加,以,以选,择,择，,为,为此,过,过程,的,的一,部,部份,并,并适,当,当满,足,足所,鉴,鉴别,之,之要,求,求。,4.2信,息,息安,全,全管,理,理系,统,统之,建,建立,及,及管,理,理,所提,出,出之,残,残余,风,风险,须,须取,得,得管,理,理阶,层,层之,核,核准,亦须,获,获得,授,授权,才,才能,实,实施,与,与操,

29、作,作,拟订,一,一份,适,适用,性,性声,明,明书,，,，须,包,包括,下,下列,：,：,于4.2.1,节,节所,选,选择,之,之管,制,制目,标,标与,控,控制,措,措施,，,，其,选,选择,之,之理,由,由。,现行,已,已实,施,施之,控,控制,目,目标,与,与控,制,制措,施,施。,附录A中,任,任何,排,排除,之,之控,制,制目,标,标与,控,控制,措,措施,，,，及,其,其排,除,除之,正,正当,理,理由,。,。,4.2信,息,息安,全,全管,理,理系,统,统之,建,建立,及,及管,理,理,4.2.2信,息,息安,全,全管,理,理系,统,统之,实,实施,与,与操,作,作,组,组织,

30、应,应,有系,统,统的,陈,陈述,一,一项,风,风险,处,处理,计,计划,以,以鉴,别,别适,当,当管,理,理措,施,施、,资,资源,、,、权,责,责及,优,优先,级,级，,以,以便,管,管理,信,信息,安,安全,风,风险,。,。,实施,风,风险,处,处理,计,计划,，,，以,达,达到,所,所鉴,别,别的,安,安全,目,目标,，,，计,划,划内,容,容包,括,括投,资,资的,考,考虑,以,以及,角,角色,与,与责,任,任的,分,分派,。,。,实施4.2.1所,选,选之,控,控制,措,措施,以,以符,合,合管,制,制目,标,标。,定义,如,如何,测,测量,所,所选,择,择控,制,制措,施,施或,

31、控,控制,措,措施,群,群组,织,织有,效,效，,及,及具,体,体说,明,明如,何,何使,用,用这,些,些测,量,量来,评,评估,控,控制,措,措施,之,之有,效,效性,，,，并,产,产出,可,可比,较,较即,可,可再,现,现的,结,结果,。,。,实施,训,训练,与,与认,知,知计,划,划。,管理,作,作业,。,。,管理,资,资源,。,。,实施,能,能实,时,时侦,知,知安,全,全事,故,故，,并,并予,以,以回,应,应安,全,全事,件,件处,理,理之,作,作业,程,程序,及,及其,他,他控,制,制措,施,施。,4.2信,息,息安,全,全管,理,理系,统,统之,建,建立,及,及管,理,理,4.

32、2.3信,息,息安,全,全管,理,理系,统,统之,监,监控,及,及审,查,查,执行,监,监控,与,与审,查,查程,序,序及,其,其他,控,控制,措,措施,，,，以,便,便：,立即,侦,侦知,系,系统,处,处理,结,结果,之,之错,误,误。,立即,鉴,鉴别,企,企图,及,及已,成,成功,之,之安,全,全破,坏,坏及,事,事故,。,。,促使管理,阶,阶层决定,是,是否委托,他,他人或藉,由,由信息技,术,术之实施,均,均已如预,期,期般实行,。,。,使用指标,帮,帮助侦测,安,安全事件,并,并防止安,全,全事故。,决定所采,取,取解决安,全,全漏洞之,措,措施是否,有,有效。,定期审查,之,之有效

33、性(包含符,合,合政策、,目,目标及控,制,制措施之,审,审查)，,并,并考虑来,自,自安全审,计,计、事件,、,、来自有,效,效性量测,之,之结果、,股,股东及利,害,害关系团,体,体之建议,及,及回馈之,结,结果。,测量控制,措,措施有效,性,性，以确,认,认符合安,全,全要求。,4.2信,息,息安全管,理,理系统之,建,建立及管,理,理,在规划期,间,间审查风,险,险评估及,审,审查残余,风,风险，与,鉴,鉴别之可,接,接受风险,等,等级，并,考,考虑下列,之,之变量：,组织,技术,企业目标,及,及过程,已鉴别之,威,威胁,控制措施,实,实施有效,性,性,外部事件,，,，例如法,律,律或

34、法规,环,环境之变,化,化、合约,责,责任之变,化,化，以及,社,社会环境,之,之变化。,在规划期,间,间执行内,部,部审计,内,内部审计,有,有时称为,第,第一方审,计,计，是由,组,组织自己,或,或其代表,基,基于内部,目,目的所实,施,施。,4.2信,息,息安全管,理,理系统之,建,建立及管,理,理,定期执行,管,管理阶层,审,审查，以,确,确保范围,保,保持适当,，,，及过程,之,之各项改,进,进均已鉴,别,别。,考虑监控,与,与审查活,动,动之发现,，,，更新安,全,全计划。,纪录对之,有,有效性或,绩,绩效有冲,击,击之活动,与,与事件。,4.2信,息,息安全管,理,理系统之,建,

35、建立及管,理,理,4.2.4维持及,改,改进信息,安,安全管理,系,系统组,织,织应定期,进,进行下述,：,：,实施所鉴,定,定之改进,活,活动。,依据第8.2及8.3节采,取,取适当矫,正,正及预防,措,措施。采,用,用从其他,组,组织及本,身,身之安全,经,经验吸取,教,教训。,以适切于,情,情况的详,尽,尽程度与,所,所有利害,相,相关团体,就,就各项措,施,施及改进,活,活动进行,沟,沟通，并,在,在适当时,取,取得进行,方,方式的同,意,意。,确保各项,改,改进措施,达,达到预期,目,目标。,4.3文,件,件要求,4.3.1一,般,般要求,文,文件,应,应包括,管,管理决,策,策纪

36、录,，,，确保,相,相关活,动,动可追,溯,溯至管,理,理决策,与,与政策,，,，并确,保,保所纪,录,录之结,果,果是可,再,再现的,。,。重要,的,的是能,够,够证明,所,所选择,之,之控制,措,措施回,溯,溯至风,险,险评估,与,与风险,处,处理过,程,程结果,，,，及回,溯,溯至政,策,策及目,标,标之关,联,联性。,信,信息,安,安全管,理,理系统,文,文件应,包,包含：,政策与,安,安全目,标,标之书,面,面声明,信息安,全,全管理,系,系统之,范,范围,支援之,相,相关程,序,序书及,控,控制措,施,施,风险评,估,估方法,论,论之说,明,明书,风险处,理,理计划,4.3,文,文

37、件要,求,求,组织为,确,确保有,效,效规画,、,、操作,与,与控制,信,信息安,全,全过程,，,，及说,明,明如何,量,量测控,制,制措施,有,有效所,需,需之书,面,面程序,。,。,本国际,标,标准要,求,求之各,纪,纪录。,适用性,声,声明书,。,。,所有文,件,件应依,据,据之政,策,策要求,随,随时可,供,供取用,。,。,4.3,文,文件要,求,求,文件的,广,广度，,其,其范围,和,和细节,取,取决于,：,：,产品和,流,流程的,复,复杂性,顾客和,法,法规的,要,要求,工业标,准,准和规,范,范,教育、,经,经验和,训,训练,劳动力,的,的稳定,性,性,过去发,生,生的安,全,全

38、问题,4.3,文,文件要,求,求,1–安,全,全政策,手,手册,为,为管理,架,架构的,摘,摘要，,其,其中包,括,括了信,息,息安全,政,政策和,控,控制措,施,施目标,，,，以及,适,适用性,声,声明书,中,中所提,及,及已实,施,施的控,制,制措施,。,。,2–程,序,序程,序,序用来,实,实施所,要,要求的,控,控制措,施,施，描,述,述、、,、,、等安,全,全流程,和,和不同,部,部门间,的,的控制,措,措施。,4.3,文,文件要,求,求,3–工,作,作指导,书,书、检,查,查列表,、,、表格,等,等解,释,释特殊,工,工作和,活,活动的,细,细节，,以,以及如,何,何完成,特,

39、特定的,工,工作。,包,包括详,细,细的工,作,作指导,书,书、窗,体,体、流,程,程图、,服,服务标,准,准和系,统,统手册,…,…等。,4–纪,录,录纪,录,录活动,实,实行以,符,符合等,级,级1、2和3,文,文件要,求,求的客,观,观证据,。,。可能,是,是强制,性,性的隐,含,含在每,个,个7799条,款,款中。,例,例如：,机,机房访,客,客登记,簿,簿、审,计,计记录,和,和存取,授,授权…,等,等。,4.3,文,文件要,求,求,4.3.2文,件,件管制,所,所需,之,之文件,应,应受保,护,护和管,制,制。应,建,建立文,件,件化程,序,序，以,界,界定所,需,需之管,理,理

40、措施,，,，用以,：,：,在文件,发,发行前,核,核准其,适,适切性,。,。,必要时,，,，审查,和,和更新,并,并重新,核,核准文,件,件。,确保文,件,件之变,更,更与最,新,新改订,状,状况已,予,予以识,别,别。,确保在使用,场,场所备有相,关,关适用版次,文,文件。,确保文件保,持,持易于阅读,并,并容易识别,。,。,确保有需要,之,之人员均有,文,文件可用，,且,且依照其适,用,用之传递、,储,储存及最终,处,处理予以分,类,类。,确保外来原,始,始文件已加,以,以识别。,确保文件分,发,发已管制。,防止失效文,件,件被误用。,过期文件为,任,任何目的需,保,保留时，应,予,予以适

41、当识,别,别。,4.3文件,要,要求,4.3.3,纪,纪录管制,为提供符合,要,要求及有效,运,运作之证据,，,，所建立并,维,维持之纪录,，,，应予以保,护,护级管制。,应,应将相关,法,法律或法规,要,要求及合约,责,责任列入考,虑,虑。,纪录应清晰,易,易读，容易,检,检索及识别,。,。为了纪录,之,之鉴别、储,存,存、保护、,检,检索、保存,期,期限及报废,，,，应建立文,件,件化程序，,以,以界定所需,之,之管制。,所,所需之纪录,及,及其范围应,由,由管理过程,加,加以决定。,纪录应加以,保,保存，如4.2节所述,各,各项过程之,绩,绩效，以及,所,所有与有关,之,之重大安全,事,

42、事故纪录。,5.管理阶,层,层责任,5.1管理,阶,阶层承诺,管,管理阶层应,藉,藉由下列各,项,项，对之建,立,立、实施、,操,操作、监控,、,、审查、维,护,护与改进之,承,承诺提供证,据,据：,建立一份政,策,策。,确保建立各,项,项目标及计,划,划。,为信息安全,建,建立角色与,权,权责。,向全组织传,达,达符合信息,安,安全目标、,遵,遵守信息安,全,全政策、在,法,法律下要求,之,之权责，以,及,及持续改进,之,之需求。,提供充分资,源,源以建立、,实,实施、操作,、,、监控、审,查,查、维护与,改,改进。,决定可接风,险,险之标准，,以,以及可接受,风,风险之等级,。,。,确,保

43、,保,实,实,施,施,内,内,部,部,审,审,计,计,。,。,执,行,行,之,之,管,管,理,理,阶,阶,层,层,审,审,查,查,。,。,5.2,资,资,源,源,管,管,理,理,5.2.1,资,资,源,源,提,提,供,供,组,组,织,织,应,应,决,决,定,定,并,并,提,提,供,供,下,下,列,列,工,工,作,作,必,必,要,要,之,之,资,资,源,源,：,：,建,立,立,、,、,实,实,施,施,、,、,操,操,作,作,、,、,监,监,控,控,、,、,审,审,查,查,、,、,维,维,护,护,与,与,改,改,进,进,。,。,确,保,保,信,信,息,息,安,安,全,全,程,程,序,序,足,足,以

44、,以,支,支,持,持,企,企,业,业,的,的,需,需,求,求,。,。,藉,由,由,修,修,改,改,所,所,有,有,实,实,行,行,的,的,控,控,制,制,措,措,施,施,，,，,来,来,维,维,持,持,适,适,当,当,的,的,安,安,全,全,。,。,5.2.2,训,训,练,练,、,、,认,认,知,知,及,及,能,能,力,力,组,组,织,织,应,应,确,确,保,保,在,在,中,中,规,规,定,定,有,有,责,责,任,任,之,之,所,所,有,有,员,员,工,工,，,，,有,有,能,能,力,力,藉,藉,由,由,下,下,述,述,执,执,行,行,所,所,要,要,求,求,的,的,工,工,作,作,，,，,包

45、,包,括,括,：,：,决,定,定,执,执,行,行,影,影,响,响,工,工,作,作,之,之,人,人,员,员,其,其,所,所,需,需,之,之,能,能,力,力,。,。,提,供,供,训,训,练,练,或,或,采,采,取,取,其,其,他,他,措,措,施,施(,如,如,：,：,雇,雇,用,用,具,具,备,备,能,能,力,力,之,之,人,人,员,员),，,，,以,以,满,满,足,足,该,该,需,需,求,求,。,。,评,估,估,所,所,提,提,供,供,训,训,练,练,及,及,所,所,采,采,取,取,措,措,施,施,之,之,有,有,效,效,性,性,。,。,维,持,持,教,教,育,育,、,、,训,训,练,练,、,、

46、,技,技,巧,巧,、,、,经,经,验,验,及,及,资,资,格,格,之,之,纪,纪,录,录,。,。,组,织,织,亦,亦,应,应,确,确,保,保,所,所,有,有,相,相,关,关,人,人,员,员,已,已,认,认,知,知,其,其,所,所,从,从,事,事,的,的,信,信,息,息,安,安,全,全,活,活,动,动,之,之,相,相,关,关,性,性,及,及,重,重,要,要,性,性,，,，,以,以,及,及,他,他,们,们,如,如,何,何,对,对,之,之,目,目,标,标,达,达,成,成,有,有,所,所,贡,贡,献,献,。,。,6.,内,内,部,部,审,审,计,计,组,织,织,应,应,定,定,期,期,进,进,行,行,

47、内,内,部,部,审,审,计,计,已,已,决,决,定,定,其,其,控,控,制,制,措,措,施,施,目,目,标,标,、,、,过,过,程,程,及,及,程,程,序,序,是,是,否,否,：,：,符合,本,本标,准,准及,相,相关,法,法律,或,或管,理,理的,要,要求,符合,所,所识,别,别的,信,信息,安,安全,要,要求,有效,的,的实,作,作与,维,维护,如预,期,期的,执,执行,审计,计,计划,应,应事,先,先规,划,划，,考,考虑,审,审计,的,的过,程,程与,区,区域,之,之状,况,况及,重,重要,性,性，,以,以及,先,先前,审,审计,的,的结,果,果。,审,审计,准,准则,、,、范,围,围

48、、,频,频率,及,及方,法,法应,予,予以,界,界定,。,。,审,审计,人,人员,的,的选,择,择与,审,审计,的,的执,行,行应,确,确保,审,审计,过,过程,的,的客,观,观及,公,公平,。,。另,外,外，,审,审计,人,人员,不,不应,审,审计,其,其本,身,身的,工,工作,。,。,6.,内,内部,审,审计,规划,与,与执,行,行审,计,计，,及,及报,告,告结,果,果与,维,维持,纪,纪录,之,之责,任,任与,要,要求,。,。应,以,以书,面,面程,序,序予,以,以界,定,定。,被审计,区,区域管,理,理阶层,之,之责任,，,，应确,保,保实行,措,措施没,有,有不当,之,之延误,，,

49、，以消,除,除所发,现,现之不,符,符合与,其,其原因,。,。跟催,活,活动应,包,包括所,实,实行措,施,施之查,证,证，与,查,查证结,果,果之报,告,告。,7之管,理,理阶层,审,审查,7.1,概,概述,管,管理阶,层,层应在,规,规划期,间,间内(,至,至少一,年,年一次)，审,查,查组织,的,的，以,确,确保其,持,持续的,适,适用性,、,、适切,性,性及有,效,效性。,审,审查应,包,包含改,进,进时机,之,之评估,，,，以及,变,变更之,需,需求，,含,含信息,安,安全政,策,策与信,息,息安全,目,目标。,审,审查,结,结果应,予,予以清,楚,楚的文,件,件化，,纪,纪录应,予

50、,予以维,持,持。,7之管,理,理阶层,审,审查,7.2,审,审查输,入,入管,理,理阶层,审,审查输,入,入应包,括,括下列,信,信息：,审计与,审,审查之,结,结果。,来自利,害,害相关,团,团体之,回,回馈。,可用以,改,改进组,织,织绩效,及,及有效,性,性之技,术,术、产,品,品或程,序,序。,预防与,矫,矫正措,施,施之状,况,况。,先前风,险,险评估,未,未适切,提,提出之,脆,脆弱性,或,或威胁,。,。,来自有,效,效性量,测,测之结,果,果。,先前管,理,理阶层,审,审查之,跟,跟催措,施,施。,可能影,响,响之任,何,何变更,。,。,改进之,建,建议。,7之管,理,理阶层

51、,审,审查,7.3,审,审查输,出,出管,理,理阶层,审,审查之,输,输出应,包,包括下,列,列有关,之,之任何,决,决定与,措,措施：,有效性,之,之改进,。,。,更新风,险,险评估,及,及风险,处,处理计,划,划。,未因应,可,可能影,响,响之内,部,部或外,部,部事件,，,，必要,时,时将影,响,响信息,安,安全之,程,程序及,控,控制措,施,施予以,修,修订，,包,包括,营运需,求,求,安全需,求,求,影响既,有,有营运,需,需求之,营,营运过,程,程,法令或,法,法规要,求,求,合约责,任,任,风险等,级,级风险,可,可接受,程,程度之,标,标准,资源需,求,求。,测量控,制,制措

52、施,有,有效性,之,之改进,。,。,8之改,进,进,8.1,持,持续的,改,改进,寻求持,续,续的改,进,进,透过下,列,列改进,的,的有效,性,性,安全政,策,策,安全目,标,标,安全审,查,查的结,果,果,安全审,计,计,矫正措,施,施,预防措,施,施,管理审,查,查,8之改,进,进,8.2,矫,矫正措,施,施,应该采,取,取措施,以,以消除,不,不合格,的,的原因,，,，避免,复,复发。,在内的,书,书面程,序,序应该,定,定义：,鉴别不,符,符合事,项,项,确定原,因,因,评估避,免,免复发,所,所需的,活,活动,确定和,实,实施矫,正,正措施,纪录结,果,果,审查行,动,动的有,效,

53、效性,8之改,进,进,8.3,预,预防措,施,施为,防,防止不,符,符合事,项,项发生,，,，组织,应,应决定,措,措施，,消,消除要,求,求之潜,在,在不符,合,合事项,之,之原因,，,，以防,止,止其发,生,生。所,采,采取之,预,预防措,施,施应与,潜,潜在问,题,题之影,响,响相称,。,。预,防,防措施,之,之文件,化,化程序,应,应订出,以,以下要,求,求：,鉴别潜,在,在的不,符,符合与,其,其原因,。,。,评估采,取,取预防,发,发生不,符,符合措,施,施的需,求,求。,决定并,实,实施所,需,需之措,施,施。,纪录所,采,采取措,施,施之结,果,果。,审查所,采,采用之,预

54、,预防措,施,施。,组织应鉴别,已,已变化之风,险,险及鉴别预,防,防措施要求,之,之焦点放在,显,显著变化之,风,风险上。,预防措施之,优,优先级应依,据,据风险评估,之,之结果加以,决,决定。,62,27001,：,：2005,核,核心,,,建立,ISMS,实施和运作,ISMS,维护和改进,ISMS,计划,PLAN,实施,DO,改造,ACTION,监控和评审,ISMS,检查,CHECK,开发、维护,和改进循坏,相关单位,,,,,,,,,,管理状态,下的信息,安全,相关单位,,,,,,,,,,信息,安全需求,和期望,,,63,过程,需求方,信息安全,需求与期望,,PLAN,建立,,ISMS,

55、CHECK,监视和,评审,ISMS,ACT,保持和改进,管理责任,ISMS,过程,,需求方,可管理状态,下的,信息安全,,DO,实施和操作,ISMS,,,64,建立,范围&边界,策略,控制目标&,控制手段,风险评估途,径,径,威胁&脆弱,性,性,资产&所有,者,者,风险处置选,项,项,风险评估,影响,适用性声明,1,2,3,4,5,6,9,8,7,10,11,评审,12,,65,实施和操,作,作,风险处理,计划和实,施,施,实施控制,有效性测,量,量,操作管理,培训&意,识,识,活动&事,件,件管理,资源管理,1,2,3,4,5,6,7,,活,动,动,一,个,个,确,确,定,定,的,的,发,发

56、,生,生,可,可,能,能,违,违,反,反,信,信,息,息,安,安,全,全,保,保,障,障,政,政,策,策,或,或,失,失,败,败,或,或,一,一,种,种,前,前,所,所,未,未,知,知,的,的,情,情,况,况,，,，,可,可,能,能,是,是,与,与,安,安,全,全,相,相,关,关,的,的,系,系,统,统,，,，,服,服,务,务,或,或,网,网,络,络,状,状,态,态,指,指,示,示,事件,一个单,一,一的或,一,一系列,不,不必要,的,的或意,外,外的信,息,息安全,事,事件，,有,有一个,显,显着的,业,业务经,营,营的影,响,响和威,胁,胁信息,安,安全的,概,概率,66,监视和,评,评审

57、,监视&,审,审查程,序,序,评价有,效,效性,测量控,制,制的有,效,效性,内部审,计,计,风险评,估,估审查,安全计,划,划评审,管理评,审,审,1,2,3,4,5,6,7,改进&事,件,件对,的,的,性能/有,效,效性,带来,的,的影,响,响,8,,67,维护,和,和改,进,进,实施改进,采取,CA-PA,从教训中吸取经验,（他人,&,自己）,确认改进,沟通,行动,&,改进,1,2,3,4,5,,在组,织,织层,面,面,–,–,承,承诺,在法,律,律层,面,面,–,–,遵,遵守,在操,作,作层,面,面,–,–,风,风险,管,管理,在商,业,业层,面,面,–,–,信,信誉,和,和信,心,心

58、,在财,务,务层,面,面,–,–,降,降低,成,成本,在人,力,力层,面,面,–,–,提,提高,员,员工,意,意识,68,信息,安,安全,管,管理,的,的目,的,的和,意,意义,新标,准,准正,文,文部,分,分架,构,构变,化,化,内容,新,新调,整,整,核心,内,内容,变,变化,附录A变,化,化,控制,项,项的,增,增删,与,与调,整,整,69,27001：2005,与,与27001：2013,差,差异,对,对比,70,新标,准,准正,文,文部,分,分架,构,构变,化,化,1.,范,范围,2.,规,规范,性,性引,用,用文,件,件,3.,术,术语,和,和定,义,义,4.,信,信,息,息安,全

59、,全管,理,理体,系,系（,）,）,4.1,总,总,体,体要,求,求,4.2,建,建,立,立和,管,管理,4.3,文,文,件,件要,求,求,5.,管,管,理,理职,责,责,6.,审,审核,7的,管,管理,评,评审,8.,改,改,进,进,1.,范,范围,2.,规,规范,性,性引,用,用文,件,件,3.,术,术语,和,和定,义,义,4.,组,组,织,织的,环,环境,5.,领,领,导,导力,6.,计,计划,7. 支,持,持,8.运营,9. 绩,效,效评价,10.,改,改进,71,内容新调,整,整,72,核心内容,变,变化,27001:2005,4.1建立,27001:2013,4.组织的背景,通过以

60、下方面定义的范围和边界：,•业务的特点;,•组织;,•位置;,•资产和技术;,•任何范围删减的细节与合理性。,通过确定外部和内部的情况，判断有关目的和影响，以实现预期的结果。,确定相关的要求与信息安全相关的利害关系人。,通过以下方面，确定的边界和适用性，建立的范围：,•以往的外部和内部情况;,•利益相关方的需求;,•组织运转内外部的接口和依赖关系;,73,附录A变,化,化,27001：2005,27001：2013,A.5 安全方针,A.5 安全针,A.6 信息安全组织,A.6 信息安全组织,A.8 人力资源安全,A.7 人力资源安全,A.7 资产管理,A.8 资产管理,A.11 访问控制,A

61、.9 访问控制,,A.10 密码学,A.9 物理与环境安全,A.11 物理与环境安全,A.10 通信与操作管理,A.12 操作安全,,A.13 通信安全,A.12 信息系统获取、开发和维护,A.14 信息系统获取、开发和维护,,A.15 供应关系,A.13 信息安全事件管理,A.16 信息安全事件管理,A.14 业务连续性管理,A.17 信息安全面的业务连续性管理,A.15 符合性,A.18 符合性,控制项的,增,增删与调,整,整,增加项,14.2.1 安,全,全开发策,略,略（软件,和,和信息系,统,统开发规,则,则),14.2.5 系,统,统开发程,序,序（系统,工,工程的原,则,则),1

62、4.2.6 安,全,全的开发,环,环境（建,立,立和保护,开,开发环境),14.2.8 系,统,统安全测,试,试（安全,功,功能的测,试,试),16.1.4 信,息,息安全事,件,件的评估,和,和决策（,这,这是事件,管,管理的一,部,部分),17.2.1 信,息,息处理设,施,施的可用,性,性（实现,冗,冗余),删除项,6.2.2 处理,与,与顾客有,关,关的安全,问,问题,10.4.2 控,制,制移动代,码,码,10.7.3 信,息,息处理规,程,程,10.7.4 系,统,统文件安,全,全,10.8.5 业,务,务信息系,统,统,10.9.3 公,共,共可用信,息,息,11.4.2 外,部

63、,部连接的,用,用户鉴别,11.4.3 网,络,络上的设,备,备标识,11.4.4 远,程,程诊断和,配,配置端口,的,的保护,11.4.6 网,络,络连接控,制,制,11.4.7 网,络,络路由控,制,制,11.5.5 会,话,话超时,11.5.6 联,机,机时间的,限,限定,11.6.2 敏,感,感系统隔,离,离,12.2.1 输,入,入数据确,认,认,12.2.2内部,处,处理的控,制,制,12.2.3 消,息,息完整性,12.2.4 输,出,出数据确,认,认,12.5.4 信,息,息泄露,14.1.2 业,务,务连续性,和,和风险评,估,估,14.1.3 制,订,订和实施,业,业务连续

64、,性,性计划,14.1.4 业,务,务连续性,计,计划框架,15.1.5 防,止,止滥用信,息,息处理设,施,施,15.3.2 信,息,息系统审,计,计工具的,保,保护,74,75,文档,范围,方针,风险评估,方,方法,风险处置,计,计划,风险评估,报,报告,程序及指,南,南,记录程序,所需记录,适用性声,明,明,文件控制,记录控制,76,控制视图,安全方针,访问控制,物理和环,境,境安全,信息安,全,全组织,资产管,理,理,合规性,人力资,源,源安全,安全事,件,件管理,业务连,续,续性管,理,理,安全采,购,购、开,发,发与维,护,护,通信及,操,操作管,理,理,,,,技术,组织,物理,,

65、,组织,操作,77,信息管,理,理11,个,个控制,域,域,安全策,略,略,资产管,理,理,信息安,全,全组织,人力资,源,源管理,物理和,环,环境安,全,全,通信和,操,操作管,理,理,访问控制,信息安全事,件,件管理,信息系统采,购,购、开发与,维,维护,合规性,业务连续性,管,管理,标准覆盖了,所,所有11个,领,领域，39,个,个控制目标,，,，133个,控,控制措施,控制（39,个,个目标，133个控制,措,措施）,安全方针,,,,,&,&,,, &,,,,,,,,方针文件,方针评审,控制（39,个,个目标，133个控制,措,措施）,,信息安全组,织,织,,,&,&,,, &,,

66、,,,,,,内部组织,外部组织,控制（39,个,个目标，133个控制,措,措施）,,,,资产管理,,&,&,,, &,,,,,,,,资产责任,信息分类,控制（39,个,个目标，133个控制,措,措施）,,,,,人力资源安,全,全,&,&,,, &,,,,,,,,雇佣前,雇佣中,终止或变更,雇,雇佣责任,控制（39,个,个目标，133个控制,措,措施）,,,,,,物理和环境,安,安全,&,,, &,,,,,,,,物理安全边,界,界,设备选址和,保,保护,控制（39,个,个目标，133个控制,措,措施）,,,,,,&,通信和操作,管,管理,, &,,,,,,,,操作程序和,责,责任,第三方服务,交,交付管理,系统规划和,验,验收,防范恶意和,移,移动代码,备份,介质处置,信息交换,,监视,电子商务服,务,务,控制（39,个,个目标，133个控制,措,措施）,,,,,,&,&,,, &,,,,,访问控制,,,访问控制业,务,务需求,用户访问管,理,理,用户责任,网络访问控,制,制,操作系统访,问,问控制,应用和信息,访,访问控制,移动计算和,远,远程办公,控制（39,个,个目标，1