信息系统安全技术.pptVIP

二.信息安全标准（续87） （九）业务连续性管理 1.业务连续性管理的各方面（续） 5)检验、维护和重新评估业务连续性计划 (1)检验计划 a)会议检验各种情况（使用中断例子讨论业务恢复安排）； b)模拟（特别是按其事故后／危险期管理的角色来培训人们）； c)技术恢复检验（确保信息系统可以有效地予以恢复）； d)在可替换场地检验恢复（远离主场地，在恢复操作同时运行业务过程）； e)供应商设施和服务的检验（确保外部提供的服务和产品将满足合同的承诺）； f)完整的演习（组织、人员、设备、设施和过程能否应付中断的检验）； 二.信息安全标准（续88） （九）业务连续性管理 1.业务连续性管理的各方面（续） 5)检验、维护和重新评估业务连续性计划（续） (2)维护和重新评估计划 业务连续性计划要通过定期评审和更新来维护，以确保它们连续有效。 规程应包含在组织的变更管理大纲中，以确保相应地指出业务连续性事项。 对于每个业务连续性计划的定期评审应分配职责；在业务连续性计划中尚未反映业务安排变更的标识，应按适当的计划更新进行。这种正式的变更控制过程应确保通过整个计划的定期评审来分配和补充已更新的计划。 二.信息安全标准（续89） （十）符合性 1.符合性法律要求 目的：避免违反任何刑法与民法、法律法规的义务或合同的义务，以及任何安全要求的义务。 1）可用法律的标示 对每个信息系统应明确定义所有相关法律法规和合同的要求，并将其形成文档。为满足这些要求的特定控制和各个人员的职责应同样加以定义并形成文档。 二.信息安全标准（续90） （十）符合性（续） 1.符合性法律要求 2）知识产权 （1）版权 （2）软件版权 （3）保护组织的记录 （4）个人信息的数据保护和隐私 （5）防止滥用信息处理设施 （6）遵循密码控制的规章 （7）证据的收集 二.信息安全标准（续91） （十）符合性（续） 2.安全策略技术符合性的评审 目的：确保系统符合组织安全策略和标准。 1）符合安全策略 管理者应确保正确地执行其职责领域内的所有安全规程。另外，为确保符合安全策略和标准，应考虑对组织内各个领域进行定期评审。这些领域应包括如下： a) 信息系统； b) 系统提供者； c）信息和信息资产的责任人； d）用户； e）管理层。 信息系统责任人应支持定期评审其系统是否符合相应的安全策略、标准和其他安全要求。 二.信息安全标准（续92） （十）符合性（续） 2.安全策略技术符合性的评审 1）符合安全策略 管理者应确保正确地执行其职责领域内的所有安全规程。另外，为确保符合安全策略和标准，应考虑对组织内各个领域进行定期评审。这些领域应包括如下： a) 信息系统； b) 系统提供者； c）信息和信息资产的责任人； d）用户； e）管理层。 信息系统责任人应支持定期评审其系统是否符合相应的安全策略、标准和其他安全要求。 二.信息安全标准（续93） （十）符合性（续） 2.安全策略技术符合性的评审（续） 2）技术发挥性检验 为符合安全实施要求，应定期检验信息系统。技术符合性检验包括检查运行系统，以确保已正确实现的硬件和软件控制。这种类型的符合性检验需要有专家的技术帮助。它应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持）或者由技术专家用自动化软件包来执行，此软件包可生成供技术专家后续解释的技术报告。 符 合 性 检验还包括几个方面，例如渗人测试，该测试可以通过为此目的专门签约的独立专家来完成。符合性检验可用于检测系统的脆弱性，并用于检验这些控制在防止由于这些脆弱性引起的未授权访问中如何起作用。应当注意渗人测试成功可能导致危及系统的安全以及非故意地产生其他脆弱性的情况。 任 何 技 术符合性检验只能由有能力的已授权的人员来完成，或在他们的监督下完成。 二.信息安全标准（续94） （十）符合性（续） 3.系统审核考虑 目的：使系统审核过程效力最大，使对系统审核过程的干扰最小。 1）系统审核控制 应小心地规划和商定涉及运行系统检验的审核要求和活动，以使中断业务过程的风险减至最小。应遵守下列事项。 a)审核要求应与相应管理层商定； b)应商定和控制检验范围； c）检验应限于软件和数据的只读访问； d) 对只读以外的访问只允许针对系统文件的单独拷贝。当审核完成时，应擦除这些拷贝； e）应显式地标识和提供执行检验的IT资源； f) 应标识和商定特定的或附加的处理要求； g）应监视和记录所有访问，以产生参照踪迹； h）所有规程、要求和职责应形成文档。 二.信息安全标准（续95） （十）符合性（续） 3.系统审核考虑（续） 2）系统审核工具的保护 应保护对系统审核工具（即软件或数据文件）的访问，以防止任何可能的滥用或损坏。这些工具应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域