第一篇:ISO27001信息安全体系培训(条款A7-资产管理).
ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施(条款A7-资产管理 2009年11月
董翼枫(dongyifeng78@hotmail.com 条款A7
资产管理 A7.1对资产负责 ✓目标: 实现和保持对组织资产的适当保护。
✓所有资产应是可核查的,并且有指定的责任人。
✓对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。
A7.1.1资产清单
控制措施
✓应清晰的识别所有资产,编制并维护所有重要资产的清单。实施指南
✓一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。
✓另外,应商定每一资产的责任人(见A7.1.2和信息分类(见A7.2,并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。
A7.1.2资产责任人 控制措施
✓与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。
实施指南
✓资产责任人应负责: a确保与信息处理设施相关的信息和资产进行了适当的分类;b确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。✓所有权可以分配给: a业务过程;b已定义的活动集;
c应用;d已定义的数据集。A7.1.3资产的合格使用
✓与信息处理设施有关的信息和资产使用允许规则应被确定、形成 文件并加以实施。
✓所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产 的可接受的使用规则,包括: a 电子邮件和互联网使用(见 A10.8规则;b 移动设备,尤其是在组织外部使用设备(见 A11.7;1的使用指南;✓具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和 资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责 下的使用负责。
A7.2信息分类 ✓目标 : 确保信息受到适当级别的保护。
✓信息要分类,以在处理信息时指明保护的需求、优先级和期望程 度。✓信息具有可变的敏感性和关键性。某些项可能要求附加等级的保 护或特殊处理。信息分类机制用来定义一组合适的保护等级并传 达对特殊处理措施的需求。
A7.2.1分类指南
✓信息应按照它对组织的价值、法律要求、敏感性和关键性予以分 类。✓信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关 的业务影响。
✓分类指南应包括根据预先确定的访问控制策略(见 A11.1.1进行初始分类及一段时间后 进行重新分类的惯例。
✓确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别,这些都应是资产 责任人(见 A7.1.2的职责。分类要考虑 A10.7.2提及的集合效应。
✓应考虑分类类别的数目和从其使用中获得的好处。过度复杂的方案可能对使用来说不方便 ,也不经济,或许是不实际的。在解释从其他组织获取的文件的分类标记时应小心,因为 其他组织可能对于相同或类似命名的标记有不同的定义。
A7.2.2信息的标记和处理
✓应按照组织所采纳的分类机制建立和实施一组合适的信息标记和 处理程序。
✓信息标记的程序需要涵盖 物理和电子格式 的信息资产。
✓包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。该标记要根据 A7.2.1中所建立的规则反映出分类。待考虑的项目包括打 印报告、屏幕显示、记录介质(例如磁带、磁盘、CD、电子消息和文件 传送。
✓对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理 程序。还要包括一系列任何安全相关事态的监督和记录程序。
✓涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分 类标记的程序。
END
Thank you!
第二篇:应收帐款管理培训
应收帐款管理培训
第一部分:应收账款成因与分析
我们会根据企业现有的应收财款状况,分析其形成的原因并找出相应的管理环节的疏漏或真空。
第二部分:应收帐款的功能与成本分析
根据对企业具体应收账款的形成与应对措施的了解,及其应收帐款的功能分析不同应收帐款政策的相应成本。
应收账款的成本包括:
○ 机会成本:分析及其计算○ 管理成本:内容及其分类○ 坏账成本:确认及其处理
第三部分:确定企业应收账款管理控制的目标:
与企业高层达成共识,确定企业应收帐款控制的目标,确定合理的信用额度和具体的管理措施,并以制度的形式确立。
第四部分:确定相关信用政策,对不同成因的应收帐款进行选择与运用
本部分包括:
(一)信用标准
○ 信用标准的影响因素:定性分析○ 信用标准的确立:定量分析
(二)信用条件
○ 信用期限与折扣○ 信用条件方案的评价
第五部分:应收账款的日常控制及制度基础
(一)坏账准备制度
(二)应收账款预算控制
(三)应收账款分类控制
(四)现金流量控制
(五)应收账款报告
第六部分:应收账款的评估与分析
(一)应收账款的风险评估
○行业风险评估○ 经营风险评估○ 管理风险评估
(二)应收账款的财务分析
○ 追踪分析○ 账龄分析○ 收现率分析
第七部分:应收账款收账政策与组织
(一)应收账款收账政策
(二)应收账款收账组织与策略
○ 应收账款重整○ 应收账款融资
第三篇:汽车工业有限公司IT资产及网络信息安全管理规定
湖北汽车工业有限公司 IT资产及网络信息安全管理规定
一、总则
1、为规范公司计算机及其网络的管理,确保公司计算机及其网络资源稳定、安全、高效地运行,保障公司各种工作正常开展,特制定本规定。
2、信息设备本着谁使用谁负责的原则,实行定人定编管理。每台计算机由公司各部门落实其责任人。计算机责任人对计算机具有操作、使用的权限。
3、各部门负责人有对本部门所属计算机使用情况进行监督、检查的职责。
4、计算机管理人员有权对公司及下属单位的计算机资源进行操作、管理、监督。
5、本规定中计算机资源管理是指: 计算机及其外设的硬件、软件管理; 计算机网络设备及其网络资源管理; IT资产的申购、配发、上交、维修管理; 信息安全管理;
其它与计算机有关的使用管理。
6、本规定中的计算机是指:计算机主机、显示器及其附件,包括鼠标、键盘、电源等。
7、本规定中所指的计算机附属设备主要指计算机外部设备,如:各类打印机、移动硬盘、U盘、刻录机、扫描仪、复印机、音箱等其它为提高工作效率所配备的硬件设备。
8、本规定中涉及的计算机网络是指:公司使用的局域网、互联网及网络上提供的各类服务,所有应用平台、业务平台、管理平台等。
9、本规定中的计算机网络设备是指:交换机、路由器、防火墙、上网行为管理、USB无线网卡、网线等。
10、本规定中的软件是指:
计算机操作系统; / 6
办公软件,如:OFFICE系列的WORD、EXCL、POWERPOINT等; 其它工作中必需的软件,如:PDF、AUTOCAD、CORLDRAW、CATIA等; 计算机及网络的安全管理软件,如:杀毒软件、计算机防火墙等; 各类计算机业务平台和管理系统平台; 其它计算机应用软件、程序。
11、本规定适用于公司所辖一切计算机资源的应用范围。
二、信息设备的申购、配发、回收、维修流程
1、计算机设备申请采购流程:
使用人提出OA申请>IT用品申领单申请>报经本单位(部门)负责人审批同意>部门分管领导审批>公司总经理审批>经营企划部审批>采购>入库手续(固定资产登记)>出库手续>配发安装
2、办公外设设备的配发:
使用人提出OA申请>IT用品申领单申请>报经本单位(部门)负责人审批同意>经营企划部审批>采购>领用人员签字确认>IT工程师安装调试
3、计算机更换流程
使用人提出OA申请>报经本单位(部门)负责人审批同意>OA填写运维申请单>经营企划部审批>领用人员签字确认>IT工程师安装调试>
4、计算机设备回收:
使用人提出OA申请>本单位(部门)负责人审批同意>OA填写运维申请单>经营企划部审批>IT工程师检查回收设备>固定资产登记>使用人签字确认>固定资产回收
5、计算机设备报修:
信息设备软硬、件故障>使用人通过OA填写运维申请单>经营企划部审批>IT工程师确认故障并到场维修>计算机使用人确认故障已排除>IT工程师填写运维申请单OA登记
三、计算机硬件使用及管理 / 6
1、在未经经营企划部授权的情况下,其它任何人不得随意对计算机设备搬移,调换;不得随意拆、卸计算机设备,如有因此而造成的信息设备损坏,由当事人承担相应产生的更换、维修费用。
2、计算机设备的安装调试:
计算机设备的安装调试由IT工程师完成,其它任何人不得擅自安装计算机设备及其附属设备,如音箱,扫描仪等。
3、计算机设备发生软、硬件故障需通知IT工程师安排专业人员处理。在未经IT工程师授权的情况下不得擅自处理。
4、使用者不得擅自设置或更改计算机BIOS密码,如发现有设置者,IT工程师有权清除并在公司内通报批评。
5、如因工作需要,需要调换、更换计算机及附件的需提前申请,由IT工程师调换。
6、IT工程师在对计算机及附属设备进行安装、维护、维修时需做好相应记录。
7、禁止在未经许可的情况下,擅自安装计算机硬件及其附件。
8、离职员工不得移除计算机内的软、硬件和文件,并在离职前向信息科申请检查,在IT工程师到场检查信息设备软、硬件和文件完整以后,在离职手续上签字确认方可办理离职手续,同时回收其IT设备。
四、计算机软件使用及管理
1、计算机操作系统及软件的安装调试必须由IT工程师进行,其它任何人不得在未经经营企划部授权的情况下擅自安装、删除计算机操作系统程序和软件。
2、任何部门或个人不得擅自更改计算机的各项设置,如:计算机名、IP地址、MAC地址、IT工程师密码、登陆方式等
3、计算机使用人员应经常整理计算机中的文件、数据,保持文件的有序存放。
4、使用者不得在计算机上存放有破坏公司形象及与网络正常运行的软件,如:各类黑客程序、有意带病毒的文件,小说、娱乐电影以及其它不健康的文件,如:(黄色图片、反动文章、视频图像等)。/ 6
5、严禁使用计算机设备做与工作无关的操作,如:玩游戏、看电影、网上赌博等。
6、禁止访问与工作无关的网站。
五、计算机网络管理
1、任何人不得擅自将私人计算机、笔记本、手机、U盘等设备接入公司计算机或公司计算机网络。如确有需求,须先行通过经营企划部备案。
2、任何人不得擅自挪用公司计算机设备、网络资源,更不能破坏计算机及网络设备。
3、任何人不得利用公司计算机网络开展损害公司利益,和其它有损他人计算机、计算机网络安全的活动,不得利用公司计算机网络从事非法活动。
4、公司实行办公,研发,生产设备网络隔离制度。有访问特定网络需要的部门及个人,请在OA内提出“网络申请单”,经营企划部审批同意后由IT工程师安装调试。
5、不得利用公司网络下载与工作无关的软件、电影等;不得擅自使用带有P2P协议的软件下载工具,如:迅雷,QQ旋风等,如有工作需要使用的软件,须通过OA申请,经营企划部审批同意以后由IT工程师下载完成后提交公司文件服务器中供大家使用,以避免重复下载,浪费网络资源,影响网络稳定。
6、不得在公司网络使用黑客工具及危害公司计算机及计算机网络安全、数据安全的软件或程序。
7、不得使用黑客工具或网络管理软件影响公司网络的正常运行。
8、不得擅自关闭、删除、卸载其安装在计算机上的杀毒软件及防火墙,对收取的邮件应先确认无病毒后再打开,发现可疑情况请向经营企划部反映。
9、任何人在未经许可的情况下,不得擅自发起与工作无关的多人对话、网络会议、广播信息;严禁利用计算机或计算机网络发表有损公司、个人利益或形象的言论。
10、各部门、各公司员工不得在未经许可的情况下利用公司网络架设各类服务器,如:Web服务器、FTP服务器、文件共享等。如果确有必要的,应该事先向经营企划部提出申请,审核批准后方可设立。所设服务应指定专人负责管理,/ 6
并接受经营企划部的监督。
六、计算机及其数据安全
1、计算机使用人必须为计算机设置系统密码(Windows开机密码),密码至少6位,应由字母、数字和字符组成。
2、计算机使用人必需对用户密码和各类系统密码妥善保管,不得将密码泄露给他人,严防被窃。若因此造成公司或个人信息、文件外泄、丢失的,其责任自行承担。
3、未经许可,严禁任何人将除工作、学习、培训资料以外的私人光盘、VCD、DVD、移动存储器(U盘)等在公司计算机设备上使用。
4、公司信息设备内的资料应该严格保密,未经许可严禁任何人员擅自复制、拷贝、转移,更不得擅自带出公司。
5、任何人不得利用各种手段、破解、攻击公司计算机网络系统和计算机服务平台,不得擅自破解公司计算机各种用户名和密码或窃取公司文件、数据。
6、当使用人结束工作或长时间离开计算机时,应及时锁定或关闭计算机以免他人操作,更不能将计算机让他人操作使用(工作需要除外)。
7、如因工作原因需使用U盘或移动硬盘等设备,使用人在打开前必需对其进行杀毒确认无病毒后方可打开。
8、如有计算机使用人离职的,不得删除计算机内部任何数据,如确有个人资料需要删除的应有IT工程师在场方可删除。
七、文件备份
1、公司及各部门使用的计算机内的数据应当定时备份,如需IT工程师配合时应及时联系,不得擅自邀请外来人员进行备份。
2、对于重要数据及重要文件必需定期备份或由IT工程师集中备份,备份资料由档案室统一保管,不得擅自带出公司或邀请外来人员进行备份。
3、工作中重要数据或个人工作重要文件必须保存在D盘、E盘、F盘,并定期备份到公司的文件服务器,或公司提供的U盘、移动硬盘、光盘等移动设备中。/ 6
如未按规定操作而造成文件丢失的,责任自行承担。
八、计算机日常清洁及保养
1、不得在计算机主机箱旁边堆放杂物文件,必需保持计算机正常通风散热。
2、计算机使用人必需经常清洁计算机主机箱、显示器、键盘、鼠标以保持计算机的清洁卫生。
注意:液晶显示器不得用手指,钢笔等硬物触碰液晶面,在清洁液晶显示器时应用干布轻轻擦去液晶面上的灰尘,不得用酒精等腐蚀性液体擦拭液晶面。
3、计算机使用人在离开或下班之后,必需安全关闭计算机,包括显示器、打印机、复印机、扫描仪等计算机外部设备,并切断其电源,以防止损坏或产生安全隐患。
九、其它
1、公司鼓励员工最大限度地利用计算机及网络资源进行工作。
2、在不影响计算机使用者正常工作的情况下,鼓励员工在公司IT工程师指导下在指定的计算机上学习计算机应用知识。
十、附则
1、本规定由经营企划部负责监督执行。
2、本规定由经营企划部负责解释、修订。
3、本规定适用于湖北汽车工业有限公司内所有单位、部门和个人。
4、本规定自2017年10月份起开始执行。
湖北汽车工业有限公司
二〇一七年月日 / 6
第四篇:ISO27001信息安全体系培训(条款A6-信息安全组织).
ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施(条款A6-信息安全组织 2009年11月
董翼枫(dongyifeng78@hotmail.com 条款A6
信息安全组织 A6.1内部组织 ✓目标: 在组织内管理信息安全。
✓应建立管理框架,以启动和控制组织范围内的信息安全的实施。✓管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。
✓若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。
控制措施
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
实施指南 ✓管理者应: a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;b制定、评审、批准信息安全方针;c评审信息安全方针实施的有效性;d为安全启动提供明确的方向和管理者明显的支持;e为信息安全提供所需的资源;f批准整个组织内信息安全专门的角色和职责分配;g启动计划和程序来保持信息安全意识;h确保整个组织内的信息安全控制措施的实施是相互协调的(见A6.1.2。✓管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。
✓根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。
A6.1.2信息安全协调
信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。
A6.1.2信息安全协调
✓典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT 或风险管理等领域 专家的协调和协作。这些活动应: 确保安全活动的实施与信息安全方针相一致;确定如何处理不符合项;核准信息安全的方法和过程,例如风险评估、信息分类;识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;评估信息安全控制措施实施的充分性和协调性;有效地促进整个组织内的信息安全教育、培训和意识;评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。
✓如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单
A6.1.3信息安全职责的分配 所有的信息安全职责应予以清晰地定义。A6.1.3信息安全职责的分配
✓信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。✓分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。
✓个人负责的领域要予以清晰地规定;特别是,应进行下列工作: 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 A7.1.2;授权级别应清晰地予以定义,并形成文件。
A6.1.4信息处理设施的授权过程 ✓新信息处理设施应定义和实施一个管理授权过程。
✓授权过程应考虑下列指南: 新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。
A6.1.5保密性协议
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。A6.1.5保密性协议
✓保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素: a 定义 要保护的信息(如机密信息;b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形;c 协议终止时所需的 措施;
d 为避免未授权信息泄露的签署者的 职责和行为;e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联;f 机密信息的许可使用,及签署者使用信息的 权力;g 对涉及机密信息的活动的 审核和监视 权力;h 未授权泄露或机密信息破坏的 通知 和报告过程;i 关于协议终止时信息 归档或销毁 的条款;j 违反协议后期望采取的 措施。
✓基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。✓保密性和不泄露协议应针对它适用的管辖范围(见 A15.1.1遵循所有适用的法律法规。保密性和不泄露协议的要求应进行周期性 评审 ,当发生影响这些要求的变更时,也要进行
A6.1.6与政府部门的联系
✓应保持与政府相关部门的适当 联系。
✓组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门联系,以及怀疑已识别的信息安全事件可能 触犯了法律时,应如何及时报告。
✓受到来自互联网攻击的组织可能需要外部第三方(例如互联网服 务提供商或电信运营商采取措施以应对攻击源。
✓保持这样的联系可能是支持信息安全事件管理(A13.2或业务连续性和应急规划过程(A14的要 求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做 好准备。与其他部门的联系包括公共部门、紧急
服务和健康安全部门,例如消防局(A14章的业务 连续性有关、电信提供商(与路由和可用性有关、供水部门(与设备的冷却设施有关。
A6.1.7与特定利益集团的联系
✓应保持与特定利益集团、其他安全专家组和专业协会的适当联系。✓应考虑成为特定利益集团或安全专家组的成员,以便: a 增进对最佳实践和最新相关安全信息的了解;b 确保全面了解当前的信息安全环境;c 尽早收到关于攻击和脆弱性的预警、建议和补丁;d 获得信息安全专家的建议;e 分享和交换关于新的技术、产品、威胁或脆弱性的信息;f 提供处理信息安全事件时适当的联络点(见 A13.2.1。A6.1.8信息安全的独立评审
✓组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序应按计划的时间间隔进行独立评审,当安全实施发 生重大变化时,也要进行独立评审。
✓独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性 和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要, 包括方针和控制目标。
✓这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专 门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。
✓独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。
✓如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件(见 A5.1.1中声明的信息安全的方向,管理者应考虑纠正措施。
A6.2外部各方 ✓目标: 保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
✓组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。
✓任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。
✓若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。
外部各方
✓服务提供商(例如互联网服务提供商、网络提供商、电话服务、维护和支持服务;✓受管理的安全服务;✓顾客;✓设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;
✓管理者,业务顾问和审核员;✓开发者和提供商,例如软件产品和IT系统的开发者和提供商;✓保洁、餐饮和其他外包支持服务;✓临时人员、实习学生和其他临时短期安排。控制措施
应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
实施指南
✓当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见A4以识别特定控制措施的要求。
关于外部方访问的风险的识别应考虑以下问题: a外部方需要访问的信息处理设施;b外部方对信息和信息处理设施的访问类型,例如: 物理访问,例如进入办公室,计算机机房,档案室;逻辑访问,例如访问组织的数据库,信息系统;组织和外部方之间的网络连接,例如,固定连接、远程访问;现场访问还是非现场访问;c所涉及信息的价值和敏感性,及对业务运行的关键程度;d为保护不希望被外部方访问到的信息所需的控制措施;e与处理组织信息有关的外部方人员;
f能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;g外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;h外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;i处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;j应考虑与外部方有关的法律法规要求和其他合同责任;k这些安排对其他利益相关人的利益可能造成怎样的影响。
✓除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见A6.2.2和A6.2.3。
✓应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。
A6.2.2处理与顾客有关的安全问题 控制措施
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A6.2.2处理与顾客有关的安全问题 实施指南
要在允许顾客访问组织任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题,应考虑 下列条款: a 资产保护,包括: 及对已知脆弱性的管理;
保护组织资产(包括信息和软件)的程序,以
判定资产是否受到损害(例如丢失数据或修改数据)的程序; 完整性; 对拷贝和公开信息的限制; b c d 拟提供的产品或服务的允许的访问描述; 顾客访问的不同原因、要求和利益; 访问控制策略,包括: 方法,唯一标识符的控制和使用,例如用户ID和口令; 权过程; 没有明确授权的访问均被禁止的声明;
用户访问和权限的授
撤消访问权或中断系统间连接的处理; e 信息错误(例如个人信息的错误)、信息安全事件和安全违规的报告、通知和调查的安排; f g h i j k 每项可用服务的描述; 服务的目标级别和服务的不可接受级别; 监视和撤销与组织资产有关的任何活动的权利; 组织和顾客各自的义务; 相关法律责任和如何确保满足法律要求(例如,数据保护法律)。如果协议涉及与其他国家顾客的合作,特别要考虑到不同国家的法律体系(也 见A15.1); 知识产权(IPRs)和版权转让(见A15.1.2)以及任何合著作品的保护(见A6.1.5);-20-A6.2.3处理第三方协议中的安全问题 控制措施
涉及访问、处理或管理组织的信息或信息处理设施以及与之通信 的第三方协议,或在信息处理设施中增加产品或服务的第三方协 议,应涵盖所有相关的安全要求。-21-A6.2.3处理第三方协议中的安全问题 实施指南
协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。为满足识别的安全要求(见A6.2.1),应考虑将下列条款包含在协议中: a b c d e f g h i j k l m n 信息安全方针; 确保资产保护的控制措施,对用户和管理员在方法、程序和安全方面的培训; 确保用户意识到信息安全职责和问题; 若适宜,人员调动的规定; 关于硬件和软件安装和维护的职责; 一种清晰的报告结构和商定的报告格式; 一种清晰规定的变更管理过程; 访问控制策略; 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排; 提供的每项产品和服务的描述,根据安全分类(见7.2.1)提供可获得信息的描述; 服务的目标级别和服务的不可接受级别; 可验证的性能准则的定义、监视和报告; 监视和撤销与组织资产有关的任何活动的权利; o p q r s t u v 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利; 建立逐级解决问题的过程; 服务连续性要求,包括根据一个组织的业务优先级对可用性和可靠性的测度; 协议各方的相关义务;
有关法律的责任和如何确保满足法律要求(例如,数据保护法律)。如果该协议涉及与其他国家的组织的合作,特别要考虑到不同国家的法律体系(也见 15.1); 知识产权(IPRs)和版权转让(见15.1.2)以及任何合著作品的保护(见6.1.5); 涉及具有次承包商的第三方,应对这些次承包商需要实施安全控制措施; 重新协商/终止协议的条件。-22-END Thank you!
董翼枫(dongyf@fugle.info)-23
第五篇:构建信息安全保密体系
构建信息安全保密体系
摘 要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。关键词:信息 安全 保密 体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。图 1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理)地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生 加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系 信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系 信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献:
[1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006 [3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
点击咨询 