信息安全管理框架.pptx

1、信息安全管理框架Information Security Management Framework主讲 樊山1信息安全发展趋势及整体分析（一）1 1国家级网络信息安全战略有望出台国家级网络信息安全战略有望出台2012年10月，华为、中兴在美被调查事件引起业界热议，国内各界审视自身网络，对我国信息安全表现更加担忧,尤其是国内运营商的网络核心节点部署着大量国外路由器等设备。为此，工信部在2013年工作会议中表示，将推动发布中国的信息安全战略，推进信息安全法律及标准研究制定，开展重点领域网络与信息安全检查和风险评估。2 2中国网络安全产业与国外差距缩小中国网络安全产业与国外差距缩小与全球信息安全市场

2、相比，我国信息安全行业正处于快速成长期。根据赛迪顾问的统计数据，2013年我国信息安全产品的市场规模将增长至186.51亿元。迅速增长的国内市场，成就了多家国内信息安全厂商。3 3运营商安全防护走向集中化运营商安全防护走向集中化随着移动互联网、物联网、云计算等划时代技术潮流的迅速到来，通信产业在面临更大的创新机遇的同时，也面临着更加严峻的信息安全挑战。另一方面，宽带、3G、4G网络的快速发展，电信运营商网络越来越庞大，越来越复杂，任何小的安全漏洞都可能带来巨大安全事件，给网络和业务带来巨大损失，所以运营商将从多个角度加强安全系统建设。2信息安全发展趋势及整体分析（二）4 4云计算安全防护方案逐

3、步落地云计算安全防护方案逐步落地云安全正从前两年的热点宣传逐步转向实际应用，用户向各种云平台迁移的趋势非常明显，云安全市场正在出现大幅增长。目前云安全联盟、云计算服务商、安全厂商，分别在云安全规范与策略、云安全技术与架构、云安全产品与方案等方面作出自己的努力，提高云计算平台的可靠性、可用性、数据的保密性，确保云计算得到健康有序的发展。5 5云安全云安全SaaSSaaS市场将爆发式增长市场将爆发式增长业界一直认为，由于国内用户需求与国外大不相同，作为“云”的重要组成部分，SaaS（Security as a service，安全即服务）服务会在中国“水土不服”。然而，经过2012年的发展，安全S

4、aaS逐渐受到企业用户欢迎，尤其是中小企业用户，市场呈现快速发展态势。6 6移动智能终端恶意程序逐渐增加移动智能终端恶意程序逐渐增加我国是移动互联网安全的“重灾区”，移动恶意程序呈爆发性增长，严重威胁用户隐私与合法权益，甚至危害国家安全。趋势科技表示，受安卓系统普及率大幅提升的影响，恶意与高风险的安卓应用数量在2012年底达到35万个，而这个数字在2013年当中或将攀升四倍，达到140万个。3信息安全发展趋势及整体分析（三）7 7企业级移动安全市场进入企业级移动安全市场进入“井喷期井喷期”众多企业开始考虑BYOD。相比个人移动安全防护，企业级移动安全防护更加复杂。然而，随着移动警务、移动金融、

5、移动政务和移动办公快速发展，传统网络面临的移动安全威胁加剧。可以说，3G网络成熟带来了更多的移动应用，而移动安全与移动应用是共存的情况。8 8大数据与安全技术走向融合大数据与安全技术走向融合2012年已经进入大数据时代。大数据分析将带来网络安全防护技术的变革，大数据分析与安全技术的融合将成为必定趋势，基于传统安全的防病毒、防火墙和入侵防御系统的技术将加快向以大数据分析监控为基础的安全技术改变。9 9社会工程攻击威胁增多社会工程攻击威胁增多微博、社交网站等新业务具有两面性，安全管控的难度大。随着社会工程转移到社交网络，如Facebook等社交网络，攻击者越来越多地使用社会工程，这种方法超越了针对

6、性的员工的攻击，如黑客可能会调用一个员工的资料，并转移到有针对性的雇员，通过这样的战术获取企业员工内部资料后，把雇员的信息发布到其社交网络，可以做到社会工程滚动诈骗。1010增值业务安全成新难点增值业务安全成新难点近年来，百度、腾讯等国内互联网企业的增值电信业务规模不断扩大，用户数量剧增，而其遭到网络攻击、黑客入侵等威胁也日益复杂；由于缺乏风险意识、责任意识和必要的防护措施，一些增值电信企业用户信息泄露、业务中断、域名安全等事件时有发生，现实危害和负面社会影响越来越大。4信息安全发展趋势及整体分析（四）APT（Advanced Persistent Threat）-高级持续性威胁。是指组织(特

7、别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。先进（Advanced）使用未知漏洞的攻击（零日攻击）使用不被任何杀毒软件或签名检测为基础的IDS/IPS产品的定制恶意软件使用混合攻击持久性（Persistent）几个月或几年，多阶段攻击持久攻击者正在致力于的目标威胁（Threat）针对特定的个人和组织内的团体，旨在危及机密信息不是随机的攻击5信息安全发展趋势及整体分析（五）APT案列：极光行动极光行动（英语：Operation Aurora）1.侦察2.攻击google员工好友控制了google员工好友主机3.搭建一个伪相册站点上面放置了IE 0DAY攻击代

8、码4.伪造google员工好友发IM邀请打开恶意相册的URL5.Google员工中招访问站点攻击者控制google员工机器6.攻击者利用google员工身份社工和渗透其他人员7.攻击者通过多层渗透最后控制了gmail服务器8.攻击者通过SSL加密把敏感数据传回6轨道交通信息安全事件分析与探讨7某市地铁某市地铁WifiWifi干扰事件干扰事件7.23动车追尾事件2011年7月23日20时30分05秒，甬温线浙江省温州市境内，由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故，造成40人死亡、172人受伤，中断行车32小时35分，直接经济损失19371

9、.65万元。87.23动车追尾事件经调查认定，导致事故发生的原因是：通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱，通号集团作为甬温线通信信号集成总承包商履行职责不力，致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后，采集数据不再更新，错误地控制轨道电路发码及信号显示，使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障。由于轨道电路发码异常，导致其三次转目视行车模式起车受阻。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的

10、占用状态信息，使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯，向D301次列车发送无车占用码，导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员安全意识不强，在设备故障发生后，未认真正确地履行职责，故障处置工作不得力，未能起到可能避免事故发生或减轻事故损失的作用。摘自国务院关于国务院关于7.237.23动车追尾事故调查报告动车追尾事故调查报告9XX市公交卡破解事件2011年5月，张某发现可以利用技术手段对普通市政交通一卡通卡内的数据进行修改，并能更改卡的属性。随后的几个月间，张某在其位于本市石景山区的家中，多次对多张交通卡进行非法充值，并

11、将数张普通卡的属性变更为员工卡。随后，张某使用上述非法交通卡进行乘车、消费，共造成北京市政交通一卡通公司资费损失7000余元。10北京地铁“王鹏你妹”10月8日下午北京地铁5号线信息显示屏上出现“王鹏你妹”四个字。北京地铁方面表示该信息显示系统正在调试中出现异常的原因是一名正在接受培训的学员将同事间的调侃聊天记录点击发布并向公众表示歉意。造成后果“王鹏你妹”事件引发了各方媒体争相报道导致了公众对北京地铁安全管理的质疑，虽然北京地铁已经诚恳的致歉但带来的负面影响已经无法消除。11北京地铁“王鹏你妹”1、受训学员接受的安全教育和规章学习不到位。学员PIS信息发布管理的相应规章规定缺乏最基本的认识并

12、且没有基本的安全意识随意操作设备在设备操作工作站上进行聊天并且误操作将聊天记录发布于PIS显示屏上。2、PIS信息发布相应岗位人员监管不到位。在带教学员对设备进行操作的情况下没有严格的监管把控导致学员发布信息时无人阻拦。3、发现和处理不及时事件发生时间为2012年10月8日下午4时直至下午6时53分地铁乘客信息显示系统才逐站恢复。由事件发生到结束将近3个小时的时间“王鹏你妹”的信息画面没有被屏蔽或切换。12信息安全治理框架什么是信息安全？什么是信息安全管理探讨信息安全管理的目的与意义信息安全与业务安全信息安全保障框架信息安全管理体系信息系统安全工程项目管理13什么是信息安全14防止信息财产被故

13、意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。信息安全的关键在于信息本身，而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。信息安全的基本目标信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluat

14、ion Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。什么是信息安全机密性可用性完整性15（1）可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。（2）完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。（3）保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。什么是信息安全16信息安全还有一些其他原则，包括可追溯性（A

15、ccountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。什么是信息安全1718信息安全管理概念管理体系的持续改进管理体系的持续改进要求要求要求被满足要求被满足管理职责管理职责分析改进分析改进产品实现产品实现资源管理资源管理输入输入输出输出19PDCA过程需求方需求方信息安全信息安全需求与期望需求与期望PLAN建立建立 ISMSCHECK监视和监视和评审评审ISMSACT保持和改进保持和改进管理责任管理责任ISMS ISMS 过程过程过程过程需求方需求方可管理状态可

16、管理状态下的下的信息安全信息安全DO实施和操作实施和操作ISMS20建立ISMS 范围范围&边界边界ISMS策略策略控制目标控制目标&控制手段控制手段风险评估途径风险评估途径威胁威胁&脆弱性脆弱性资产资产&所有者所有者风险处置选项风险处置选项风险评估风险评估影响影响适用性声明适用性声明1234569871011评审评审1221实施和操作ISMS 风险处理风险处理计划计划和实施和实施实施控制实施控制有效性测量有效性测量操作管理操作管理培训培训&意识意识活动活动&事件管理事件管理资源管理资源管理1234567IS 活动活动一个确定的发生可能违反信息安全保障政策一个确定的发生可能违反信息安全保障政策

17、或失败或一种前所未知的情况，可能是与安或失败或一种前所未知的情况，可能是与安全相关的系统，服务或网络状态指示全相关的系统，服务或网络状态指示IS 事件事件一个单一的或一系列不必要的或意外一个单一的或一系列不必要的或意外的信息安全事件，有一个显着的业务的信息安全事件，有一个显着的业务经营的影响和威胁信息安全的概率经营的影响和威胁信息安全的概率22监视和评审ISMS 监视监视&审查程序审查程序评价有效性评价有效性测量控制的有效性测量控制的有效性内部内部ISMS审计审计风险评估审查风险评估审查安全计划评审安全计划评审管理评审管理评审1234567改进改进&事件对事件对ISMS的的性能性能/有效性有效

18、性带来的影响带来的影响823维护和改进ISMS 实施改进实施改进采取采取CA-PA从教训中吸取经验从教训中吸取经验（他人（他人&自己）自己）确认改进确认改进沟通沟通行动行动&改进改进12345在组织层面在组织层面 承诺在法律层面在法律层面 遵守在操作层面在操作层面 风险管理在商业层面在商业层面 信誉和信心在财务层面在财务层面 降低成本在人力层面在人力层面 提高员工意识24信息安全管理的目的和意义风险RiskRisk一种可能性，威胁利用资产的脆弱性，并造成资产的损害或损失。威胁ThreatThreat可能导致不期望事件的潜在原因，该不期望事件可能导致系统或组织受损脆弱点Vulnerability

19、Vulnerability一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。25什么是风险26风险，威胁和脆弱性之间的关系风险，威胁和脆弱性之间的关系威胁威胁脆弱性脆弱性利用利用风险风险资产价值资产价值保护需求保护需求增加增加增加增加信息资产信息资产控制控制*暴露暴露防范防范减少减少具有具有增加增加说明说明满足满足控制：降低风险的做法，程序或机制控制：降低风险的做法，程序或机制威胁元素代理：执行威胁的催化剂。人力设备自然动机：事物导致代理人采取行动。偶然故意只有激励因素，既可以是偶然的和故意的是人结果：所施加的威胁的结果。结果通常导致CIA的损失机密性完整性可用性27威胁识别员工外部各

20、方安全问题认识不足生长在网络和分布式计算黑客工具和病毒的复杂性和效益的增长自然灾害，例如。火灾，水灾，地震28威胁29威胁源源源动机机威威胁外部黑客的攻击挑战自负博弈系统的黑客社会工程垃圾箱内部黑客期限财务问题失望后门舞弊欠佳的文档恐怖分子复仇政治系统攻击社会工程邮件炸弹病毒拒绝服务没有受过良好训练的员工意外错误编程错误数据录入错误数据损坏引入恶意代码系统错误未经授权的访问30威胁类别序号序号威威胁类别示例示例1人力资源的失误或失败事故，员工失误2知识产权丢失盗版，侵犯版权3故意或者间谍或侵占未经授权的访问和/或数据收集4信息勒索的故意行为勒索信息曝光/披露5故意破坏/认为破坏破坏系统/信息6

21、故意盗窃非法没收设备或信息7故意软件攻击病毒，蠕虫，宏拒绝服务8从服务提供商的服务质量偏差电源和广域网问题9大自然的力量火灾，水灾，地震，雷击10技术硬件故障或错误设备故障/错误11技术软件失败或错误错误代码的问题，未知的漏洞12陈旧的技术陈旧或过时的技术31风险和威胁IT系统高级用户的知识系统高级用户的知识 盗窃，破坏，误用盗窃，破坏，误用恶意代码恶意代码攻击攻击系统和网络故障系统和网络故障缺乏文档缺乏文档失效的物理失效的物理安全安全自然灾害及火灾自然灾害及火灾32理解风险下雨下雨下雨下雨人人人人健康健康健康健康虚弱虚弱虚弱虚弱生病生病生病生病资产资产威胁威胁（来自自然环境）（来自自然环境）

22、脆弱性脆弱性接受接受接受接受风险风险降低降低降低降低风险风险规规避避避避风险风险转转嫁嫁嫁嫁风险风险 风险处置策略风险处置策略打打打打伞伞打打打打车车停止外出停止外出停止外出停止外出对对方来方来方来方来访访 风险处置风险处置残余风险残余风险效率效率成本成本可行性可行性业务业务就是为了达成某种目的或者结果需要处理的事务.业务风险指在处理事务过程中所面临的影响业务正常运行中的威胁所带来的影响。业务的风险来源于业务的每个环节中的入口和出口，包括业务流程、业务逻辑关系以及业务过程的成熟度。业务是一个组织的灵魂，没有业务对于组织而言也就失去了生命，业务流程如同一个人的大动脉，承载着全身的血液的输送，没有

23、流程的业务如同一条没有水的河流。分析业务流程实际上是整个业务评估的关键。33业务与业务风险业务构成要素业务识别业务识别业务流程业务流程分析分析关键业务关键业务目标目标目标实现目标实现技术识别技术识别管理识别管理识别流程合理性流程合理性审计手段审计手段技术保障技术保障管理保障管理保障技术策略技术策略管理策略管理策略业务评估是以业务为主线,涉及业务流程、组织架构、业务IT、用户、第三方支撑等5大元素。35业务评估36那么，我们如何克服这些问题呢？信息安全保障框架37信息系统生命周期安全管理策略组织规划开发采购实施交付运行维护废弃信息安全规划管理（MISP）系统开发管理（MSD）运行管理（MOD）应

24、急响应管理（MER）业务连续性与灾难恢复管理（MBD）信息安全策略（MSP）风险管理（MRM）PlanDoCheckAction信息系统生命周期安全管理策略建立信息安全需求挖掘建立基于业务的安全设计信息安全规划管理设计组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略方案设计开发管理控制控制采购管理控制选择开发采购计划系统开发管理设计组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略实施过程管理实施控制软件安全开发管理系统建设实施管理交验收安全验收测试管理交付物管理组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略运行维护规划风险评估基线检查日志分析变

25、更管理应急响应管理应急响应规划事件分类与分级事件处置灾难恢复与备份管理组织规划开发采购实施交付运行维护废弃信息系统生命周期安全管理策略安全废弃剩余信息管理系统重用管理信息删除与清除 组织规划开发采购实施交付运行维护废弃信息安全工程项目管理44交流与讨论EXCHANGE AND DISCUSSION“中国绝不缺少雄韬伟略的战略家，缺少的是精益求精的执行者。”汪中求45信息安全管理体系ISO 27001:2005简介ISO/IEC 27001：2005与ISO/IEC 27001：2013差异对比ISMS 组织用户的责任4647历史BS 7799BS 7799-1BS 7799-2ISO 2700

26、1ISO 270021992年在英固首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英固工贸部、英固标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次信订之后出版BS7799-1：1999和BS7799-2：1999。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。2013年年10月月19日修订日修订原版，正式原

27、版，正式使用使用ISO/IEC27001:2013版。版。2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年上半年正式更名为ISO27002:2007。2013年与年与ISO27001:2013版同步版同步更新更新为为ISO27002:2013.48现在与未来ISO 27002:2007Code of practice From ISO 17799ISO 27003Implementation Guide

28、ISO 27001November 2005ISO 27000November 2005ISO 27004Measurement StandardISO 27005Risk Management StandardFrom BS 7799-IIIISO 27006Requirements for Bodies providing audit&CertificationISO/IEC 18004Incident Management StandardSS 507BC/DR Standard(Singapore)ISO 17799Jun 2005守则守则审核标准审核标准BS 7799 Part II

29、IGuidelines for IS Risk ManagementDec 2005ISO 13335 IT security management49ISO 27000标准族ISO27001:2005标准说明BS7799：分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别

30、组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明BS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005标准说明BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明关键的成功因素(Critical success factors)经验显示，组织的信

31、息安全能否成功实施，下列常为关键因素：能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评估以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。54ISO/IEC 27001：2005核心建立建立ISMS实施和运作实施和运作ISMS维护和改进维护和改进ISMS计划计划PLAN实施实施DO改造改造ACTION监控和评审

32、监控和评审ISMS检查检查CHECK开发、维护开发、维护和改进循坏和改进循坏相关单位相关单位管理状态管理状态下的信息下的信息安全安全相关单位相关单位信息信息安全需求安全需求和期望和期望55ISMS文档ISMS范围范围ISMS方针方针风险评估方法风险评估方法风险处置计划风险处置计划风险评估报告风险评估报告程序及指南程序及指南记录程序记录程序所需记录所需记录适用性声明适用性声明文件控制文件控制记录控制记录控制56控制视图安全方针安全方针访问控制访问控制物理和环境安全物理和环境安全信息安全组织信息安全组织资产管理资产管理合规性合规性人力资源安全人力资源安全安全事件管理安全事件管理业务连续性管理业务连

33、续性管理安全采购、开发与维护安全采购、开发与维护 通信及操作管理通信及操作管理技术技术组织组织物理物理 组织组织操作操作57信息管理11个控制域安全策略安全策略资产管理资产管理信息安全组织信息安全组织 人力资源管理人力资源管理物理和环境安全物理和环境安全通信和操作管理通信和操作管理访问控制访问控制信息安全事件管理信息安全事件管理信息系统采购、信息系统采购、开发与维护开发与维护合规性 业务连续性管理业务连续性管理 标准覆盖了所有标准覆盖了所有11 11个领域，个领域，3939个控制个控制目标，目标，133133个控制措个控制措施施控制（控制（39个目标，个目标，133个控制措施）个控制措施）安全

34、方针安全方针Organization ofInformation securityAsset ManagementHR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance方针文件方针文件方针评审方针评审控制（控制（39个目标，个目标，133个控制措施）个控制措施）Sec

35、urityPolicy信息安全组织信息安全组织Asset ManagementHR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance内部组织内部组织外部组织外部组织控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganiz

36、ation ofInformation security资产管理资产管理HR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance资产责任资产责任信息分类信息分类控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganizati

37、on ofInformation securityAsset Management人力资源安全人力资源安全Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance雇佣前雇佣前雇佣中雇佣中终止或变更雇佣责任终止或变更雇佣责任控制（控制（39个目标，个目标，133个控制措施）个控制措施）Secur

38、ityPolicyOrganization ofInformation securityAsset ManagementHR Security 物理和环境安全物理和环境安全Communication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance物理安全边界物理安全边界设备选址和保护设备选址和保护控制（控制（39个目标，个目标，133个控制措施）个控制措施）Securit

39、yPolicyOrganization ofInformation securityAsset ManagementHR Security Physical&Environmental Security通信和操作管理通信和操作管理IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access ControlCompliance操作程序和责任操作程序和责任第三方服务交付管理第三方服务交付管理系统规划和验收系统规划和验收防范恶意和移动代码防范恶意和移动代码备份备份介质

40、处置介质处置信息交换信息交换Electronic commerce services 监视监视电子商务服务控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganization ofInformation securityAsset ManagementHR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Cont

41、inuity Management 访问控制访问控制Compliance访问控制业务需求访问控制业务需求用户访问管理用户访问管理用户责任用户责任网络访问控制网络访问控制操作系统访问控制操作系统访问控制应用和信息访问控制应用和信息访问控制移动计算和远程办公移动计算和远程办公控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganization ofInformation securityAsset ManagementHR Security Physical&Environmental SecurityCommunication&OperationsM

42、anagement 信息系统采购、开发与维护信息系统采购、开发与维护IS IncidentManagementBusiness Continuity Management Access ControlCompliance信息系统安全需求信息系统安全需求正确处理应用正确处理应用密码控制密码控制系统文件安全系统文件安全开发开发和支持过程中的安全性和支持过程中的安全性技术脆弱性管理技术脆弱性管理控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganization ofInformation securityAsset ManagementHR Secur

43、ity Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance 信息系统事件管理信息系统事件管理Business Continuity Management Access ControlCompliance报告事件和弱点报告事件和弱点IS IS事故管理及改进事故管理及改进控制（控制（39个目标，个目标，133个控制措施）个控制措施）SecurityPolicyOrganization ofInformation securityAsset M

44、anagementHR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagement业务连续性管理业务连续性管理 Access ControlCompliance业务连续性和风险评估业务连续性和风险评估开发和实施开发和实施BCPBCPBCPBCP框架框架测试，维护和重新评估测试，维护和重新评估BCPBCP包含在信息系统中的包含在信息系统中的BCMBCM过程过程控制（控制（39个目标，个目

45、标，133个控制措施）个控制措施）SecurityPolicyOrganization ofInformation securityAsset ManagementHR Security Physical&Environmental SecurityCommunication&OperationsManagement IS Acquisition,development&maintenance IS IncidentManagementBusiness Continuity Management Access Control合规性合规性符合法律要求符合法律要求安全方针安全方针&标准和技术标准和

46、技术的符合性的符合性 信息系统审计的考虑信息系统审计的考虑新标准正文部分架构变化内容新调整核心内容变化附录A变化控制项的增删与调整69ISO/IEC 27001：2005与与ISO/IEC 27001：2013差异对比差异对比70新标准正文部分架构变化1.范围2.规范性引用文件3.术语和定义4.信息安全管理体系（ISMS）4.1 总体要求4.2 建立和管理ISMS4.3 文件要求5.管理职责6.审核7.ISMS的管理评审8.ISMS改进1.范围2.规范性引用文件3.术语和定义4.组织的环境5.领导力6.计划7.支持8.运营9.绩效评价10.改进71内容新调整72核心内容变化27001:2005

47、27001:20054.14.1建立建立ISMSISMSISO 27001:2013ISO 27001:20134.4.组织的背景组织的背景通过以下方面定义ISMS的范围和边界：业务的特点;组织;位置;资产和技术;任何范围删减的细节与合理性。通过确定外部和内部的情况，判断有关ISMS目的和影响，以实现预期的结果。确定ISMS相关的要求与信息安全相关的利害关系人。通过以下方面，确定ISMS的边界和适用性，建立ISMS的范围：以往的外部和内部情况;利益相关方的需求;组织运转内外部的接口和依赖关系;73附录A变化 ISO/IEC 27001ISO/IEC 27001：20052005ISO/IEC

48、27001ISO/IEC 27001：20132013A.5 安全方针A.5 安全针A.6 信息安全组织A.6 信息安全组织A.8 人力资源安全A.7 人力资源安全A.7 资产管理A.8 资产管理A.11 访问控制A.9 访问控制A.10 密码学A.9 物理与环境安全A.11 物理与环境安全A.10 通信与操作管理A.12 操作安全A.13 通信安全A.12 信息系统获取、开发和维护A.14 信息系统获取、开发和维护A.15 供应关系A.13 信息安全事件管理A.16 信息安全事件管理A.14 业务连续性管理A.17 信息安全面的业务连续性管理A.15 符合性A.18 符合性控制项的增删与调整

49、增加项增加项14.2.1 安全开发策略（软件和信息系统开发规则)14.2.5 系统开发程序（系统工程的原则)14.2.6 安全的开发环境（建立和保护开发环境)14.2.8 系统安全测试（安全功能的测试)16.1.4 信息安全事件的评估和决策（这是事件管理的一部分)17.2.1 信息处理设施的可用性（实现冗余)删除项删除项 6.2.2 处理与顾客有关的安全问题 10.4.2 控制移动代码 10.7.3 信息处理规程 10.7.4 系统文件安全 10.8.5 业务信息系统 10.9.3 公共可用信息 11.4.2 外部连接的用户鉴别 11.4.3 网络上的设备标识 11.4.4 远程诊断和配置端口

50、的保护 11.4.6 网络连接控制 11.4.7 网络路由控制 11.5.5 会话超时 11.5.6 联机时间的限定 11.6.2 敏感系统隔离 12.2.1 输入数据确认 12.2.2内部处理的控制 12.2.3 消息完整性 12.2.4 输出数据确认 12.5.4 信息泄露 14.1.2 业务连续性和风险评估 14.1.3 制订和实施业务连续性计划 14.1.4 业务连续性计划框架 15.1.5 防止滥用信息处理设施 15.3.2 信息系统审计工具的保护74管理策略技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全