信息安全新版标准培训PPT课件.ppt

1、信息安全新版标准培训2015.5目 录 信息安全重要性 信息安全管理体系标准 （ISO27001:2013） 信息安全管理体系内审及管理评审信息技术的便利性与安全威胁业务人员客户 A客户 BInternet信息系统业务人员客户 A客户 B信息安全的概念 保密性保密性 (Confidentiality) 信息不能被未授权的个人，实体或者过程利用或知悉的特性。 完整性完整性(Integrity) 保护资产的准确和完整的特性。 可用性可用性(Availability) 根据授权实体的要求可访问和利用的特性。信息安全信息安全CIACIA信息安全的发展态势 信息技术的发展颠覆了传统的数据存储和处理方式

2、业务运营愈加依赖信息系统的安全稳定运行 信息系统存在着未知的安全漏洞，受到来自多方面的安全威胁 信息安全有赖于安全技术和管理的结合信息安全现状特征p网络风险成为主要的商业风险p事件和经济影响彪升p员工成为最引人注目的事件肇事者p事件增加，安全投入却减少p基础安全措施较少p采取安全举措取得的成绩p从安全管理到网络风险管理的升级信息安全事件的影响 信息系统遭受破坏无法运行、业务中断 泄露机密信息而产生社会影响 经济或资金/资产损失 组织的信誉受损 丧失商业机会 降低业务伙伴对组织的信任度保障信息安全的途径？亡羊补牢?还是打打补丁?系统地全面整改?10信息安全管理体系（ISMS）信息安全追求的目标p

3、确保业务连续性p业务风险最小化p保护信息免受各种威胁的损害p投资回报和商业机遇最大化信息安全管理体系（ISMS） 国际标准化组织（ISO）于2013年10月1日发布了ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements ，该标准代替了ISO/IEC 27001:2005。 我国采用GB/T 22080-2008 信息技术 安全技术 信息安全 管理体系 要求（等同采用 ISO/IEC 27001:2005 ）信

4、息安全管理体系的架构三级文件二级文件一级文件信息安全手册安全方针策略文件适用性声明（SOA）过程/规程/制度文件 作业指导书、检查单、表格13信息安全管理体系的特点 重点关注，全面布防p基于对关键资产的风险评估，确定保护重点；p通过对114项控制的选择和落实，实现对信息安全的全面保障 通过PDCA的持续循环，确保管理体系适应内外环境的变化规范性附录表A.1 控制目的和控制A.5 信息安全策略A.6 信息安全组织A.7 人力资源安全A.8 资产管理A.9 访问控制A.10 密码A.11 物理和环境安全A.12 运行安全A.13 通信安全A.14 系统获取、开发和维护A.15 供应商关系A.16

5、信息安全事件管理A.17业务连续性管理的信息安全方面A.18 符合性高层管理者要做什么？确保建立了信息安全策略和信息安全目的，并与组织战略方向一致；确保将信息安全管理体系要求整合到组织过程中；确保信息安全管理体系所需资源可用；沟通有效的信息安全管理及符合信息安全管理体系要求的重要性；确保信息安全管理体系达到预期结果；指导并支持相关人员为信息安全管理体系的有效性做出贡献；促进持续改进；支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。（5.1 领导和承诺）最高管理层应建立信息安全方针（5.2 方针）最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。（5.3 组织的角色，责

6、任和权限）最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。（9.3管理评审）获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。（6.1.3 信息安全风险处置）高层管理者要做什么？ 制定信息安全方针、目的，并批准发布； 批准信息安全管理体系文件； 明确信息安全管理体系组织构架及职责； 保障信息安全体系运行所需的人员、技术、资金等资源； 表达领导层对信息安全重要性的关注； 了解信息安全管理运行情况（日常检查结果和内外审结果）； 参与管理评审，提出信息安全改进的方向； 批准风险处置计划中层管理者要做什么？ 了解自己的信息安全管理职责

7、； 编制自己职责内的信息安全管理体系文件； 按文件要求进行信息安全管理活动（资产识别、风险评价、内审、管理评审、不符合纠正等）； 检查安全措施的实施效果员工要做什么？ 应了解信息安全方针； 其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处； 不符合信息安全管理体系要求带来的影响。（7.3意识） 管理使用职责内的资产 执行安全措施要求资产识别p 主要资产：业务过程和活动；信息。p 各种类型的支撑性资产（范围内的主要要素所依赖的）：硬件；软件；网络；人员；场所；组织结构。资产清单硬件硬件数据处理设备（主动的）自动信息处理设备，包括独立运行所需的项目。可移动设备便携式计算机设备。笔记

8、本电脑、平板、手机固定设备组织场所内所用的计算机设备。服务器、作为工作站使用的微机外围处理设备为输入、传送或传输数据，通过通信端口（串行、并行链接等）连接到计算机的设备。打印机、可移动硬盘驱动器数据介质（被动的）存储数据或功能的介质。电子介质可连接到计算机或计算机网络用于数据存储的信息介质。尽管体积小巧，这些介质可能含有大量的数据。它们可与标准的计算设备一起使用。软盘、CD ROM、备份磁带、可移动硬盘、存储钥匙、磁带。其他介质含有数据的静态的、非电子的介质。纸张、幻灯片，胶片，文件，传真。资产威胁类型威胁来源物理损害火灾A、D、E水灾A、D、E污染A、D、E重大事故A、D、E设备或介质毁坏A

9、、D、E灰尘、腐蚀、冻结A、D、E自然灾害气候现象E地震现象E火山现象E气象现象E洪水E基本服务丧失空调或供水系统故障A、D电力供应失去A、D、E电信设备故障A、D资产脆弱性类型脆弱性示例威胁示例硬件存储介质的维护不足/错误安装信息系统可维护性破坏定期更换计划的缺乏设备或介质毁坏对潮湿、灰尘、污染的敏感性灰尘、腐蚀、冻结对电磁辐射的敏感性电磁辐射有效配置变更控制的缺乏使用中的错误对电压变化的敏感性电力供应失去对温度变化的敏感性气候现象未保护的存储器介质或文件偷窃废物谨慎处置的缺乏介质或文件偷窃未控制的复制介质或文件偷窃风险值计算威胁发生的可能性低中高脆弱性利用的容易度低中高低中高低中高资产价值

10、00121232341123234345223434545633454565674456567678风险管理风险评估风险分析语境建立风险识别风险估算风险评价风险接受否是风险决策点1评估是否满意否是风险决策点2处置是否满意风险监视与评审风险处置风险沟通第一次或后续迭代的终点风险管理风险处置风险降低评估是否满意风险决策点1风险处置风险评估结果风险保留风险规避风险转移处置是否满意风险决策点2风险评估结果控制举例：A.18 符合性A.18.1 符合法律和合同要求目的： 避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。控控 制制A.18.1.1适用的法律和合同要求的识别对每一个信息系

11、统和组织而言，所有相关的法律、法规、规章和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。A.18.1.2知识产权应实现适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。A.18.1.3记录的保护应根据法律、法规、规章、合同和业务要求，对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。A.18.1.4隐私和个人可识别信息保护应依照相关的法律、法规和合同条款的要求，以确保隐私和个人可识别信息得到保护。A.18.1.5密码控制规则密码控制的使用应遵从所有相关的协议、法律和法规。 起因：为全国4500多家酒

12、店提供网络服务的浙江慧达驿站网络有限公司，由于安全漏洞问题，导致2000万条入住酒店的客户信息泄露。 结果：2014年某先生由于开房信息泄露，到当地法院起诉了汉庭星空（上海）酒店管理有限公司和浙江慧达驿站网络公司，索赔20万元。 点评：本案中，浙江慧达驿站公司为酒店提供技术系统服务，因此该公司对消费者信息有安全保障义务，如泄露也要承担侵权责任。控制举例：A.18 符合性控制举例： A . 7人力资源安全 人力资源安全领域强调如何降低人员交互作用对组织造成的内在风险，包括任用前的考察，任用中的管理和培训以及任用终止或变化的处置。 根据公安部统计 70的泄密犯罪来自于内部； 计算机应用单位80未设

13、立相应的安全管理体系； 58无严格的管理制度。 如果相关技术人员违规操作（如管理员泄露密码），即便组织有最好的安全技术的支持，也保证不了信息安全。控制举例： A . 7人力资源安全目 的A.7.1 任用前确保员工和合同方理解其责任，并适合其角色A.7.2 任用中确保员工和合同方意识到并履行其信息安全责任。A.7.3 任用的终止和变更在任用变更或终止过程中保护组织的利益。控制举例： A . 7人力资源安全标标准准正正文文1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导力6.策划7.支持8.运行9.绩效评价10.改进PLANDOCHECKACT4. 4.组织环境组织环境5. 5. 领导

14、领导6. 6. 规划规划6.16.1应对风险和机会的措施应对风险和机会的措施7 7 支持支持8. 8.运行运行9. 9.绩效评价绩效评价10.10.改进改进安安全全控控制制A.5 安全方针A.6 信息安全组织A.7 人力资源安全A.8 资产管理A.9 访问控制A.10 密码学(新增)A.11 物理与环境安全A.12 操作安全(由旧版A.10 独立出来)A.13 通信安全(由旧版A.10 独立出来)A.14 信息系统获取、开发和维护A.15 供应关系(新增)A.16 信息安全事件管理A.17 信息安全方面的业务连续性管理A.18 符合性A.5 信息安全策略A.5.1 信息安全管理指导目的：依据业

15、务要求和相关法律法规，为信息安全提供管理指导和支持。A.5.1.1信 息 安 全策略控制信息安全策略集应被定义，由管理者批准，并发布、传达给所有员工和外部相关方。A.5.1.2信 息 安 全策 略 的 评审控制应按计划的时间间隔或当重大变化发生时进行信息安全策略评审，以确保其持续的适宜性、充分性和有效性。A.6 信息安全组织A.6.1 内部组织目的：建立一个管理框架，以启动和控制组织内信息安全的实现和运行。A.6.1.1信息安全的角色和责任控制所有的信息安全责任应予以定义和分配。A.6.1.2职责分离控制应分离冲突的职责及其责任范围，以减少未授权或无意的修改或者不当使用组织资产的机会。A.6.

16、1.3与职能机构的联系控制应维护与相关职能机构的适当联系。A.6.1.4与特定相关方的联系控制应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。A.6.1.5项目管理中的信息安全控制应关注项目管理中的信息安全问题，无论何种类型的项目。A.6 信息安全组织A.6.2 移动设备和远程工作目的：确保移动设备远程工作及其使用的安全。A.6.2.1移动设备策略控制应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。A.6.2.2远程工作控制应实现相应的策略及其支持性的安全措施，以保护在远程工作地点上所访问的、处理的或存储的信息。A.7人力资源安全A.7.1 任用前目的：确保员

17、工和合同方理解其责任，并适合其角色A.7.1.1审查控制应按照相关法律法规和道德规范，对所有任用候选者的背景进行验证核查，并与业务要求、访问信息的等级和察觉的风险相适宜A.7.1.2任用条款及条件控制应在员工和合同方的合同协议中声明他们和组织对信息安全的责任。A.7人力资源安全A.7.2 任用中目的：确保员工和合同方意识到并履行其信息安全责任。A.7.2.1管理责任控制管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。A.7.2.2信 息 安 全 意识 、 教 育 和培训控制组织所有员工和相关的合同方，应按其工作职能，接受适当的意识教育和培训，及组织策略及规程的定期更新的信

18、息。A.7.2.3违 规 处 理 过程控制应有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施。A.7人力资源安全A.7.3 任用的终止和变更目的：在任用变更或终止过程中保护组织的利益。A.7.3.1任用终止或变更的责任控制应确定任用终止或变更后仍有效的信息安全责任及其职责，传达至员工或合同方并执行。A.8 资产管理A.8.1有关资产的责任目的：识别组织资产并定义适当的保护责任。A.8.1.1资产清单控制应识别信息，以及与信息和信息处理设施相关的其他资产，并编制和维护这些资产的清单。A.8.1.2资产的所属关系控制应维护资产清单中资产的所属关系。A.8.1.3资产的可接受使用控制

19、应识别可接受的信息使用规则，以及与信息和信息处理设施有关的资产的可接受的使用规则，形成文件并加以实现A.8.1.4资产归还控制所有员工和外部用户在任用、合同或协议终止时，应归还其占用的所有组织资产。A.8 资产管理A.8.2 信息分级目的：确保信息按照其对组织的重要程度受到适当级别的保护。A.8.2.1信 息 的 分级控制信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。A.8.2.2信 息 的 标记控制应按照组织采用的信息分级方案，制定并实现一组适当的信息标记规程。A.8.2.3资 产 的 处理控制应按照组织采用的信息分级方案，制定并实现资产处理规程。A.8 资产管理A

20、.8.3 介质处理目的：防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。A.8.3.1移动介质的管理控制应按照组织采用的分级方案，实现移动介质管理规程。A.8.3.2介质的处置控制应使用正式的规程安全地处置不再需要的介质。A.8.3.3物理介质的转移控制包含信息的介质在运送中应受到保护，以防止未授权访问、不当使用或毁坏。A.9 访问控制A.9.1访问控制的业务要求目的：限制对信息和信息处理设施的访问。A.9.1.1访问控制策略控制应基于业务和信息安全要求，建立访问控制策略，形成文件并进行评审。A.9.1.2网络和网络服务的访问控制应仅向用户提供他们已获专门授权使用的网络和网络服务的访

21、问。A.9 访问控制A.9.2用户访问管理目的：确保授权用户对系统和服务的访问，并防止未授权的访问。A.9.2.1用户注册和注销控制应实现正式的用户注册及注销过程，以便可分配访问权。A.9.2.2用户访问供给控制应对所有系统和服务的所有类型用户，实现一个正式的用户访问供给过程以分配或撤销访问权。A.9.2.3特许访问权管理控制应限制并控制特许访问权的分配和使用。A.9.2.4用户的秘密鉴别信息管理控制应通过正式的管理过程控制秘密鉴别信息的分配。A.9.2.5用户访问权的评审控制资产拥有者应定期对用户的访问权进行评审。A.9.2.6访问权的移除或调整控制所有员工和外部用户对信息和信息处理设施的访

22、问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整。A.9 访问控制A.9.3 用户责任目的：让用户承担保护其鉴别信息的责任。A.9.3.1秘密鉴别信息的使用控制应要求用户遵循组织在使用秘密鉴别信息时的惯例。A.9 访问控制A.9.4系统和应用访问控制目的：防止对系统和应用的未授权访问。A.9.4.1信息访问限制控制应按照访问控制策略限制对信息和应用系统功能的访问。A.9.4.2安全登录规程控制当访问控制策略要求时，应通过安全登录规程控制对系统和应用的访问。A.9.4.3口令管理系统控制口令管理系统应是交互式的，并应确保优质的口令。A.9.4.4特权实用程序的使用控制对于可能超越系统

23、和应用控制的实用程序的使用应予以限制并严格控制。A.9.4.5程序源代码的访问控制控制应限制对程序源代码的访问。A.10 密码A.10.1 密码控制目的： 确保适当和有效地使用密码技术以保护信息的保密性、真实性和（或）完整性。A.10.1.1密码控制的使用策略控制应开发和实现用于保护信息的密码控制使用策略。A.10.1.2密钥管理控制应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。A.11 物理和环境安全A.11.1 安全区域目的：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。A.11.1.1物理安全边界控制应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域

24、。A.11.1.2物理入口控制控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。A.11.1.3办公室、房间和设施的安全保护控制应为办公室、房间和设施设计并采取物理安全措施。A.11.1.4外部和环境威胁的安全防护控制应设计和应用物理保护以防自然灾害、恶意攻击和意外。A.11.1.5在安全区域工作控制应设计和应用安全区域工作规程。A.11.1.6交接区控制访问点（例如交接区）和未授权人员可进入的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。A.11 物理和环境安全A.11.2 设备目的：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.1

25、1.2.1设备安置和保护控制应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。A.11.2.2支持性设施控制应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。A.11.2.3布缆安全控制应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏A.11.2.4设备维护控制设备应予以正确地维护，以确保其持续的可用性和完整性。A.11.2.5资产的移动控制设备、信息或软件在授权之前不应带出组织场所。A.11.2.6组织场所外的设备与资产安全控制应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险A.11.2.7设备的安全处置或再利用

26、控制包含储存介质的设备的所有部分应进行核查，以确保在处置或再利用之前，任何敏感信息和注册软件已被删除或安全的重写。A.11.2.8无人值守的用户设备控制用户应确保无人值守的用户设备有适当的保护。A.11.2.9清理桌面和屏幕策略控制应针对纸质和可移动存储介质，采取清理桌面策略；应针对信息处理设施，采用清理屏幕策略。A.12 运行安全A.12.1 运行规程和责任目的：确保正确、安全的操作信息处理设施。A.12.1.1文件化的操作规程控制操作规程应形成文件，并对所需用户可用。A.12.1.2变更管理控制应控制影响信息安全的变更，包括组织、业务过程、信息处理设施和系统变更。A.12.1.3容量管理控

27、制应对资源的使用进行监视，调整和预测未来的容量需求，以确保所需的系统性能。A.12.1.4开发、测试和运行环境的分离控制应分离开发、测试和运行环境，以降低对运行环境未授权访问或变更的风险。A.12 运行安全A.12.2恶意软件防范目的：确保信息和信息处理设施防范恶意软件。A.12.2.1恶意软件的控制控制应实现检测、预防和恢复控制以防范恶意软件，并结合适当的用户意识教育。A.12 运行安全A.12.3 备份目的：防止数据丢失A.12.3.1信息备份控制应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。A.12 运行安全A.12.4 日志和监视目的：记录事态并生成证据。A.12.

28、4.1事态日志控制应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。A.12.4.2日志信息的保护控制记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。A.12.4.3管理员和操作员日志控制系统管理员和系统操作员活动应记入日志，并对日志进行保护和定期评审。A.12.4.4时钟同步控制一个组织或安全域内的所有相关信息处理设施的时钟，应与单一一个基准的时间源同步。A.12 运行安全A.12.5 运行软件控制目的：确保运行系统的完整性。A.12.5.1运行系统的软件安装控制应实现运行系统软件安装控制规程。A.12 运行安全A.12.6 技术脆弱性管理目的：防止对技术

29、脆弱性的利用。A.12.6.1技术脆弱性的管理控制应及时获取在用的信息系统的技术脆弱性信息，评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。A.12.6.2软件安装限制控制应建立并实现控制用户安装软件的规则。A.12 运行安全A.12.7 信息系统审计的考虑目的：使审计活动对运行系统的影响最小化。A.12.7.1信 息 系 统审 计 的 控制控制涉及运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化业务过程的中断。A.13 通信安全A.13.1 网络安全管理目的：确保网络中的信息及其支持性的信息处理设施得到保护。A.13.1.1网络控制控制应管理和控制网络以保护

30、系统和应用中的信息。A.13.1.2网络服务的安全控制所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。A.13.1.3网络隔离控制应在网络中隔离信息服务、用户及信息系统。A.13 通信安全A.13.2 信息传输目的： 保持在组织内及与外部实体间传输信息的安全。A.13.2.1信息传输策略和规程控制应有正式的传输策略、规程和控制，以保护通过使用各种类型通信设施进行的信息传输。A.13.2.2信息传输协议控制协议应解决组织与外部方之间业务信息的安全传输。A.13.2.3电子消息发送控制应适当保护包含在电子消息发送中的信息。A.13.

31、2.4保密或不泄露协议控制应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。A.14 系统获取、开发和维护A.14.1信息系统的安全要求目的： 确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求A.14.1.1信息安全要求分析和说明控制新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。A.14.1.2公共网络上应用服务的安全保护控制应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。A.14.1.3应用服务事务的保护控制应保护应用服务事务中的信息，以防止不完整的传输、错误路由、未授

32、权的消息变更、未授权的泄露、未授权的消息复制或重放。A.14 系统获取、开发和维护A.14.2开发和支持过程中的安全目的：确保信息安全在信息系统开发生命周期中得到设计和实现。A.14.2.1安全的开发策略控制针对组织内的开发，应建立软件和系统开发规则并应用。A.14.2.2系统变更控制规程控制应使用正式的变更控制规程来控制开发生命周期内的系统变更。A.14.2.3运行平台变更后对应用的技术评审控制当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。A.14.2.4软件包变更的限制控制应不鼓励对软件包进行修改，仅限于必要的变更，且对所有变更加以严格控制A

33、.14.2.5系统安全工程原则控制应建立、文件化和维护系统安全工程原则，并应用到任何信息系统实现工作中A.14.2.6安全的开发环境控制组织应针对覆盖系统开发生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。A.14.2.7外包开发控制组织应督导和监视外包系统开发活动A.14.2.8系统安全测试控制应在开发过程中进行安全功能测试。A.14.2.9系统验收测试控制应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。A.14 系统获取、开发和维护A.14.3 测试数据目的：确保用于测试的数据得到保护。A.14.3.1测 试 数 据 的保护控制测试数据应认真地加以选择、保护和控

34、制。A.15 供应商关系A.15.1 供应商关系中的信息安全目的：确保供应商可访问的组织资产得到保护。A.15.1.1供应商关系的信息安全策略控制为降低供应商访问组织资产的相关风险，应与供应商就信息安全要求达成一致，并形成文件A.15.1.2在供应商协议中强调安全控制应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求，并达成一致。A.15.1.3信息与通信技术供应链控制供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。A.15 供应商关系A.15.2 供应商服务交付管理目的：维护与供应商协议一致的信息安全和服务

35、交付的商定级别。A.15.2.1供应商服务的监视和评审控制组织应定期监视、评审和审核供应商服务交付。A.15.2.2供应商服务的变更管理控制应管理供应商所提供服务的变更，包括维护和改进现有的信息安全策略、规程和控制，管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。A.16 信息安全事件管理A.16.1 信息安全事件的管理和改进目的： 确保采用一致和有效的方法对信息安全事件进行管理，包括对安全事态和弱点的沟通。A.16.1.1责任和规程控制应建立管理责任和规程，以确保快速、有效和有序地响应信息安全事件。A.16.1.2报告信息安全事态控制应通过适当的管理渠道尽快地报告信息安全

36、事态。A.16.1.3报告信息安全弱点控制应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。A.16.1.4信息安全事态的评估和决策控制应评估信息安全事态并决定其是否属于信息安全事件。A.16.1.5信息安全事件的响应控制应按照文件化的规程响应信息安全事件。A.16.1.6从信息安全事件中学习控制应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。A.16.1.7证据的收集控制组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。A.17业务连续性管理的信息安全方面A.17.1 信息安全的连续性目的：应将信息安全

37、连续性纳入组织业务连续性管理之中。A.17.1.1规划信息安全连续性控制组织应确定在不利情况（如危机或灾难）下，对信息安全及信息安全管理连续性的要求。A.17.1.2实现信息安全连续性控制组织应建立、文件化、实现并维护过程、规程和控制，以确保在不利情况下信息安全连续性达到要求的级别。A.17.1.3验证、评审和评价信息安全连续性控制组织应定期验证已建立和实现的信息安全连续性控制，以确保这些控制在不利情况下是正当和有效的。A.17业务连续性管理的信息安全方面A.17.2 冗余目的：确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性控制信息处理设施应具有足够的冗余以满足可用性要求。A.

38、18 符合性A.18.1 符合法律和合同要求目的：避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。A.18.1.1适用的法律和合同要求的识别控制对每一个信息系统和组织而言，所有相关的法律、法规、规章和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。A.18.1.2知识产权控制应实现适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。A.18.1.3记录的保护控制应根据法律、法规、规章、合同和业务要求，对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。A.18.1.4隐私和个人可识别信

39、息保护控制应依照相关的法律、法规和合同条款的要求，以确保隐私和个人可识别信息得到保护。A.18.1.5密码控制规则控制密码控制的使用应遵从所有相关的协议、法律和法规。A.18 符合性A.18.2 信息安全评审目的：确保依据组织策略和规程来实现和运行信息安全。A.18.2.1信息安全的独立评审控制应按计划的时间间隔或在重大变化发生时，对组织的信息安全管理方法及其实现（如信息安全的控制目的、控制、方针策略、过程和规程）进行独立评审。A.18.2.2符合安全策略和标准控制管理者应定期评审其责任范围内的信息处理和规程与适当的安全策略、标准和任何其他安全要求的符合性。A.18.2.3技术符合性评审控制应

40、定期评审信息系统与组织的信息安全策略和标准的符合性。信息安全管理体系内审组织应按计划的时间间隔进行内部审核，以提供信息，确定信息安全管理体系：是否符合组织自身对信息安全管理体系的要求；本标准的要求。是否得到有效实现和维护。组织应：规划、建立、实现和维护审核方案（一个或多个），包括审核频次、方法、责任、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果；定义每次审核的审核准则和范围；选择审核员并实施审核，确保审核过程的客观性和公正性；确保将审核结果报告至相关管理层；保留文件化信息作为审核方案和审核结果的证据。 信息安全管理体系内审需要的记录：p内审计划p内审记录（首末次会议签到表，检

41、查清单）p不符合及纠正措施实施、验证记录p内审报告 信息安全管理体系内审内审计划包括：p内审目的：例如：评价体系是否满足审核准则要求p内审依据：标准、公司文件p内审范围：档案软件开发的信息安全相关活动p内审时间及成员： 信息安全管理体系内审 内审检查表内审检查表序号审核要求证据合格否14.2 理解相关方的需求和期望组织应确定：信息安全管理体系相关方；这些相关方与信息安全相关的要求。注：相关方的要求可包括法律、法规要求和合同义务。查相关方清单，覆盖完整定期更新合格内审员： XXXX 日期：XXXX信息安全管理体系内审 内审不符合内审不符合发现部门：不符合事实：XX已离职，但其系统账号未关闭不符合

42、条款/文件A.7.3.1任用终止或变更的责任纠正措施（分析原因/纠正/纠正措施）验证 （措施是否实施/是否防止问题再出现）信息安全管理体系管理评审9.3管理评审最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。管理评审应考虑：以往管理评审提出的措施的状态；与信息安全管理体系相关的外部和内部事项的变化；有关信息安全绩效的反馈，包括以下方面的趋势：不符合和纠正措施；监视和测量结果；审核结果；信息安全目的完成情况；相关方反馈；风险评估结果及风险处置计划的状态；持续改进的机会。管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。组织应保留文件化信息作为管理评审结果的证据。信息安全管理体系管理评审需要的记录：p管理评审通知p管理评审会议记录（签到表）p管理评审输入（方针目标的实现情况、风险评价结果、风险处置计划、安全措施实施情况、）p管理评审输出（管理评审报告）信息安全管理体系管理评审管理评审报告内容：p信息安全方针、目的的分析p信息安全管理体系的适宜性、有效性和充分性p风险评价活动的有效性p上次管理评审决议的落实情况p 改进要求THANKS