ISMS

ISMS是组织开展并改进安全工作的系统的一套思路、方法。（PDCA）

项目准备

项目范围确定

组织部门无理地点IT资源

初次做不建议做特别大，尽量周期比较快

项目的组织

高管重点参与部门协作部门

项目沟通机制

高层领导各个部门

ISMS实施注意事项

现状调研

首先

业务特征、组织结构及职责组织文化与管控模式

其次

IT规划、IT制度文件、IT基础设施资料、IT应用系统资料、IT运维程序等信息安全与相关的政策、策略、程序、记录及相关报告

现状

控制措施有没有是否充分是否有效

期望

调研方式

文档审查问卷调查人员访谈覆盖面访谈提纲现场走查必要性技术评估

调研的范围不宜过大，时间跨度不宜过长调研内容不仅14个域和114个控制项把握访谈时间访谈纪要是否有补偿控制调研报告的内容与形式：先写总结。领导一般就看看总结

风险管理

风险管理是信息安全的基础

基于资产的风险评估

资产评估与资产价值

分类的意义关于人员、服务、无形资产资产相对价值的确定

资产的意义

资产价值不同不能划为同一资产组

评估的不同层次与方法

层次

战略与治理组织与管理项目执行日常运行方面

方法

基于详细资产基于合规标准基于应用系统基于IT流程基于数据分析

风险评估建议由客户主导，机构为辅不要期望一次发现所有风险前几次风险评估效果不佳是正常的风险是动态的：需要风险监控风险评估不是目的：需要进行风险处置风险处置与安全规划

体系建立

SOA适用性声明

根据业务需求选择试用项适用项最好映射到文件框架

文件框架

按照27001各个域来组织按照企业的各个部门来组织

体系融合

ISO2WCMMIISO9001等保其他规范

制度文件最好自己写，乙方协助并非越复杂越好，言简意赅最好不要追求太完美

策略

方针、策略、政策四级文件体系正式发布传达相关人更新与评审

安全组织

没有最好的，只有适合的安全组织安全处（部）安全组织通常的安全组织形态安全自责落实到部门和岗位（最好与考核指标相关联）关注职责分离与补偿控制与外部机构建立联系（政府机构、监管机构、安全厂商、服务商、协会、论坛）

密码管理

分析针对哪些信息在什么环节采用密码保护选择密码算法要考虑合规性（对称、非对称、哈希）选择第三方或自建CA中心针对密钥管理

人力资源安全

任用前

安全职责包含在岗位说明中背景调查的必要性及成本控制劳动合同中的条款与保密协议

任用中

入职培训时强调安全政策制定一个提升人员安全意识和能力的计划针对安全从业人员提供专业培训针对安全联络员开展必要的技能培训针对全员开展安全意识宣教工作处理好全体员工开展安全意识宣教工作

开展网络安全意识和教育工作网络安全法案人是最薄弱的环节——社会工程学安全培训意识宣教工作安全意识宣教是安全投入性价比最高的要系统、生动、持之以恒

任用变更与离职

违规处理的必要性违规处理需要结合具体情况而定注意权限蔓延问题信息资产回收账号与权限及时清除强调保密责任，竞业限制协议

访问控制

原则

访问控制的申请与授权知所必须最小特权职责分离针对管理员实施安全控制阶段性进行检查

内容

身份识别身份验证（鉴别）授权管理审计

范围

网络应用、中间件、数据库主机终端、移动智能设备物理

综合信息资产分类分级、在不同层面上建立访问控制策略删除或禁用不必要的实用工具软件对于源代码的控制通过技术手段落实口令策略！！！！！！身份管理解决方案的难点(4A)

通信安全

网络管理安全性

网络协议网络流量网络设备人员管理

网络服务安全性

接入服务网络运维服务安全服务

网络隔离

内外网隔离WLAN划分准入控制

信息传输安全

site to site VPNSSL VPN信息交换

网络安全控制

下一代防火墙、WAF网闸、信息交换系统防垃圾邮件、病毒网关、UTM网络沙箱、防APT攻击上网行为管理、非法外联检测IDS/IPS、攻击诱捕（蜜罐）抗DDOS

无限安全

安全配置热点检测IDS/IPS

传统通信

PBX电话传真

操作安全

文件操作规程

三四级文件

变更流程

有变更走流程

容量管理

开发、测试和运行环境分离

防恶意代码

终端、移动设备、服务器

建立安全配置基线

备份

与灾难恢复一起考虑

日志

日志保护

时钟同步

设置时钟服务器

限制软件安装

建立软件白名单

安全检查审计

基线配置权限违规操作后续处理

管理漏洞

漏扫工具漏洞挖掘补丁流程

监控

威胁情报态势感知事件处理

物理安全

物理安全范畴

物理位置选择建造安全场所周边安全内部区域划分与控制线缆安全设备安全场内设备场外设备无人值守设备环境安全雷击火灾预防与扑灭温湿度通风电力供应防干扰

物理计划要素

通过威慑预防犯罪和破坏通过使用延迟机制减少损失（多重控制措施）犯罪或破坏检测安全事故评估物理安全事件响应

常见的控制措施

门锁玻璃栅栏照明文件柜保安门禁系统CCTV屏蔽线缆和机房入侵检测系统防雷击HVAC（暖通空调）水灾、火灾探测器灭火系统UPS和发电机（偶尔启动确定可用性）场所撤离计划（需进行演练）物理安全审计

信息系统获取，开发和运维

漏洞的成因

只关注功能实现，忽略安全需求团队的安全开发经验欠缺缺乏安全开发流程，或项目管理流程未包含安全机制缺乏安全部署标准或部署缺乏安全开发规范或安全开发规范没有融入项目缺乏评审环节，没有人对交质量把关缺乏上线、发布流程，未执行安全部署，验收审核安全上缺少投入，寄希望于后期补救

安全开发过程SDL

安全需求安全设计安全编码安全测试安全上限

识别安全需求

业务特点交易安全防欺诈合规需求通用需求威胁设计威胁建模攻击面缩减安全开发编码规范代码审核模糊测试安全发布上线安全检查渗透测试、众测

建立基本安全设计原则建立安全开发环境人过程技术

管理及监视外包开发严格管理变更保护测试数据

资产管理和供应关系

信息资产识别

建立信息资产分类分级标准

分类与分级的意义简单性原则是否与保密、商业秘密保护相结合

通过建立资产清单识别信息资产

明确所有者

建立信息资产管理流程

信息资产标记

物理资产贴标签非结构化数据、结构化数据标记的问题

信息资产权限梳理

实施DLP的前提

介质管理

技术控制方法管理的难点介质在传输中的安全控制介质的销毁

识别供应商

供应商服务ISP提供商网络提供商网络安全服务IT维护支持服务IT设备外包和运行外包管理与业务咨询顾问及审计师开发人员和测试人员清洁工、餐饮人员及其他外包服务支持人员临时人员、学生实习及其他人员

供应商管理

针对供应商工作场景建立安全策略其他注意事项供应商分类与筛选招投标管理、供应商协议人员管理、变更管理、风险管理、应急管理管理供应商服务交付供应商评价

信息安全事件管理

事件响应是一种能力

事件响应的重要性安全模型的演进自适应的安全机构事件响应能力的要素最关键：人技术、工具、流程、写作

事件管理

信息安全事件分类分级应鼓励人员报告可疑事件建立安全事件处理流程预案-检测-评估-响应-恢复-总结注意事件升级与汇报渠道注意证据收集注意多方协作

业务连续性

在业务连续性中考虑安全问题

管理恢复过程

确定灾难恢复时的安全服务需求和级别确定信息安全服务恢复方案并落实开发恢复计划并纳入到BCP/DRP中在演练过程中检验信息安全服务恢复

符合性

法律法规、行业监管、组织要求、相关合同符合性清单建立与维护理解符合性要求落实到ISMS制度要求针对相关记录、表单、电子日志等提供必要的保护

保护知识产权

识别组织相关版权、商标、专利文件、邮件等增加声明或水印等防止盗版软件、建立软件白名单建立组织商业秘密规范落实商业秘密保护DRM、DLP、云桌面DLP数据安全、商业秘密保护项目成功的关键

保护隐私

确定负责人、识别隐私范围建立组织内的隐私声明落实隐私保护控制内外部环境变化时开展隐私评估大数据平台带来的新问题

符合性检查

多标准合规体系的必要性针对集团行组织、建立信息安全管理工作平台的必要性组织定期的安全检查技术性检查（渗透测试、众测）第三方审核

体系运行

试运行启动

制定详细的试运行计划召开试运行启动会组织级领导、各部门领导、及信息安全联络员

落实相关工作

基于前期现状调研发现的问题和风险评估的结果，落实处置计划相关任务落实到部门和责任人对于整改任务进行跟踪配置基线、资产标签、物理安全区域定期向管理小组汇报整改进展各部门按照文件体系要求执行反馈文件执行结果进行修订

体系测量

指定适合的测量指标年度、季度、月、周整体、部门、个人指标的多或少不能照搬别人的指标体系指标不是一成不变的指标必须要有数据来源

全员安全意识宣教

如何选择安全意识服务商确定本年度安全意识宣教的内容与形式针对管理层进行开展意识培训开展安全意识宣传周发放安全手册、安全台历动画、宣传片、微电影、课件、电子期刊、知识图片海报、易拉宝、展板、现场培训、测试系统

内审

内审的目的

验证安全控制的有效性，发现问题确保ISMS体系正常运转

内审过程

计划准备实施报告跟踪

确定内审范围与时间根据被审对象制定内审检查表组件内审团队、进行内审培训、交叉审核

管理评审

纳入安全组织决策层职责中评审的评率评审的内容管理评审报告

内部审核或外部审核的结果以往管理评审的跟踪措施有效性测量的结果合规与隐私符合情况安全任务完成的情况重大安全事件及处理情况风险评估结果及整改落实状况信息安全管理体系的变更业务变化引出新的安全需求安全架构变化安全预算及资源需求

认证

认证机构的选择（国际，国内）认证的范围与证书认证的费用认证审核阶段审核前的准备

现场审核注意事项

首末次会议时间安排审核陪同后勤保障面对不满足项与审核员的关系年度复审

相关标签：