iso27001主任审核员培训.ppt

资产类型 通常： 网络 机房 PC 台式机 笔记本 普通 营销部/中层干部 高层管理人员 人员 文档 电子 书面 客户要求 整体实体（物理）安全 分类： 信息资产：数据文件、数据库 软件资产：系统软件、应用软件 物理资产：计算机、通讯设备 服务资产：电力、消防、打印机、复印机 人力资产：员工、工人 纸面资产：协议、合同 无形资产：公司形象、名誉、品牌 注意：IT部门可能拥有上述所有资产，其他部门可能只拥有其中1至2项 第三十页，编辑于星期二：十七点 四十分。 编制资产识别表 资产？ 对组织有价值的任何事物 编制资产识别表的要点 找对owner 合并同类项，特性和风险相同的资产可以合并为一项 小窍门： 先按部门分别进行 对资产项合并同类项后，可跨部门再进行一次合并同类项 第三十一页，编辑于星期二：十七点 四十分。 风险的计算 第一种方法：风险=严重性*可能性 影响程度的严重性（权重较大） 威胁发生的可能性：按历史发生情况！ 第二种方法：严重性*可能性*脆弱性 脆弱性：检验现有防护措施 RPN=S*O*W (servility* occurrence* weakness) 比如，美国地震工程研究所对“地震风险性”的定义 是地震危险性（致灾因子）、社会财富（承灾性）和脆弱性三者的乘积 FMEA：好方法！ 行业内的叫法：RPN（风险优先指数） 第三十二页，编辑于星期二：十七点 四十分。 风险的计算（续） （第二种方法）根据资产识别的结果判断 严重性 威胁名称、威胁来源、威胁赋值 脆弱性类别、已有控制措施、脆弱性赋值 低：现有系统能够自动识别，且有充分有效的紧急响应 中：通过检查/监控能够看出趋势或有较充分的紧急响应 高：现有条件下不能探测或一旦发生问题没有有效 风险计算 风险处理指标：风险处置措施、责任部门、完成时间 第三十三页，编辑于星期二：十七点 四十分。 示例 严重性 …… …… 风险接受/残余风险 可能性 脆弱性 残余风险 第三十四页，编辑于星期二：十七点 四十分。 风险的计算（续） 剩余风险 剩余风险 ＝ 资产严重性（不变的）＊　可能性（改进后的）＊脆弱性（改进后的） 脆弱性（需要自己定义，以下举例） 低：现有系统能够自动识别，且有充分有效的紧急响应 中：通过检查/监控能够看出趋势或有较充分的紧急响应 高：现有条件下不能探测或一旦发生问题没有有效响应 严重性（需要自己定义，以下举例） 低：不影响正常生产及客户满意度，对公司运营影响不大 中：停止4小时生产以下，被用户投诉 高：停止4小时生产以上，被用户投诉　 第三十五页，编辑于星期二：十七点 四十分。 补充 ISMS的范围和边界 是建立ISMS的第一步，明确覆盖哪些业务流程 ISMS Policy信息安全管理体系方针 是信息安全策略（Information security policy）的扩展集 根据组织的实际情况，如业务性质、地理位置、资产情况和技术水平来定义，例如： 在线服务：对可用性要求高 金融机构：对完整性要求高 医院：对保密性要求高 需要考虑业务、法规及合同责任方面的要求 建立风险管理准则，明确可接受的风险水平 得到管理层的批准 第三十六页，编辑于星期二：十七点 四十分。 Exercise 1 作业： 讲解ISO27001 a10-a12 以及12.5 和12.6 第三十七页，编辑于星期二：十七点 四十分。 ISO27001 LA Training CourseDay 3 Shanghai Feb. 20, 2008 第三十八页，编辑于星期二：十七点 四十分。 ISO27001的组成 主体部分： Clause 4, 5, 6, 7, 8 （所有ISO标准都有的，不可删减） A5-A15 11 条大的安全控制条款 39 个控制类（控制目标） 133 项控制措施 第三十九页，编辑于星期二：十七点 四十分。 需验证的六大文件 4.3.1 g中需验证以下文件： 管理评审 内审 文件控制 ISMS特殊要求：[online的才是有效的，打印的仅供参考！] 标示文件的保密级别 电子文档（网上流转）的保护 质量记录控制 重要性：备证 纠正措施 预防措施 CHINA CISSP“易水寒江雪”认为： 《信息安全策略》 《文件控制程序》 《记录控制程序》 《内部审核管理程序》 《纠正预防措施》 标准中将纠正和预防是分别定义成两个文件的，因为这两个文件的结构基本类似，目的也相似，因此通常将其合并来一起编写。 就认证而言，并没有对文件的多少有强制性的要求，但是就惯例而言，二级程序文件通常还包括： 《管理评审控制程序》 《信息安全风险评估管理程序》 《BCP》 《DRP》 《适用性声明》 《计算机和网络安全控制程序》 等等。 至于三级文件，因各个机构情况