信息安全管理体系标准培训课件.ppt

机密此报告仅供客户内部使用未经启明星辰团队公司的书面许可，其它任何机构不得擅自传阅、引用或复制此培训资料仅供客户内部使用未经启明星辰团队(北京启明星辰信息技术有限公司\深圳是诺恒管理策划有限公司)的书面许可，其它任何机构不得擅自传阅、引用或复制 信息安全管理系列培训信息安全管理系列培训 ISO27001 ISO27001信息安全管理标准信息安全管理标准二二○○○○七年五月七年五月 V1.01信息安全管理体系标准培训培训目的培训目的启明星辰团队p理解信息安全管理体系标准要求p了解建立信息安全管理体系的基本思路p了解信息安全风险的基本概念p掌握风险评估基本方法V1.02信息安全管理体系标准培训培训课程内容培训课程内容启明星辰团队p 第一部分第一部分 全球及中国面临的信息安全风险全球及中国面临的信息安全风险p 第二部分 信息安全概念与标准背景p 第三部分 ISO27001信息安全管理体系标准介绍V1.03信息安全管理体系标准培训组织业务对信息安全依赖组织业务对信息安全依赖启动项目项目开发过程项目开发项目测试项目结束XXXSERP系统VSS工具XXXX系统主机服务器监控系统存储设备核心交换机路由器传输设备安全设备 自动办公系统供电系统空调系统监控系统消防系统启明星辰团队V1.04信息安全管理体系标准培训全球面临的信息安全威胁全球面临的信息安全威胁p美国美国(CERT/CC)安全事件报告数量安全事件报告数量n1998 — 3734n2003 — 137528p英国英国900家不同企业的调查家不同企业的调查n一半的政府机构及三分之一的民营组织面临信息不法入侵、滥用和破坏p100家英国大型企业信息安全专业人员年度调查显示（家英国大型企业信息安全专业人员年度调查显示（2007年）年）n信息盗窃和合规性已经取代了恶意软件和黑客攻击成为企业最担心的安全问题启明星辰团队V1.05信息安全管理体系标准培训中国面临的信息安全威胁中国面临的信息安全威胁p中国国内80%网站有安全隐患p中国国内20％网站有严重安全问题p中国的银行过去两年损失1.6亿人民币p利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%启明星辰团队V1.06信息安全管理体系标准培训2006年年CNCERT/CC 年度工作报告年度工作报告p网络安全事件大幅度增加，影响最为严重的包括：Ø涉及国内政府/重要信息系统部门的网页篡改事件Ø涉及国内外商业机构网络仿冒类事件Ø针对互联网企业的拒绝服务攻击类事件p 僵尸网络和木马威胁依然非常严重p黑客地下产业链基本形成摘自摘自CNCERT/CC 2006年年度工作报告年年度工作报告启明星辰团队V1.07信息安全管理体系标准培训2006年年CNCERT/CC 年度工作报告年度工作报告p木马威胁方面Ø中国大陆约4.5万ＩＰ地址的主机被植入木马，与２００５年相比增长一倍p 僵尸网络方面Ø抽样监测发现大陆地区约一千多万个ＩＰ地址主机被植入僵尸程序；境外约1.6万个ＩＰ对我国境内的僵尸主机实施控制p网页篡改方面Ø监测到中国大陆被篡改网页达２４４７７个，比２００５年增长接近一倍，政府网站被篡改频繁摘自摘自CNCERT/CC 2006年年度工作报告年年度工作报告启明星辰团队V1.08信息安全管理体系标准培训CNCERT/CC2006年工作报告年工作报告CNCERT/CC = CNCERT/CC = 国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心接收非扫描性事件年度统计接收非扫描性事件年度统计启明星辰团队V1.09信息安全管理体系标准培训当今组织的信息安全管理状况当今组织的信息安全管理状况 根据最新的一份研究报告指出根据最新的一份研究报告指出,组织计算机系统的发展比保护他们组织计算机系统的发展比保护他们的系统要快的系统要快,很多组织存在以下信息安全问题很多组织存在以下信息安全问题:p 组织各级人员的信息安全意识薄弱p 组织缺乏对网络安全和应急响应有管理经验的人员p 由于组织的目的是制造收入，所以大部分组织不会花时间构建有 效的信息安全管理体系p 大部分组织几乎没有全职人员对信息安全进行管理启明星辰团队V1.010信息安全管理体系标准培训信息安全管理不当可能造成的后果信息安全管理不当可能造成的后果 很多组织几乎没有意识到，由于管理不充分而发生的信息安全事很多组织几乎没有意识到，由于管理不充分而发生的信息安全事件可能带来以下的后果件可能带来以下的后果:p 财产或生命损失p 公司倒闭p 法律责任p 客户流失p 损坏公司声誉启明星辰团队V1.011信息安全管理体系标准培训案例讨论案例讨论:启明星辰团队阅读学员培训手册案例练习一阅读学员培训手册案例练习一,讨论讨论:n 可能是什么原因造成案例中事件发生?n 请建议用什么措施防止这些事件再次发生?V1.012信息安全管理体系标准培训总结总结:启明星辰团队• 员工缺乏信息安全意识• 没有建立必要的信息安全管理机制（流程和程序）• 没有人执行信息安全管理制度• 缺乏必要的信息安全技术控制措施总之总之, ,针对信息安全风险缺乏必要的预防性控制措施针对信息安全风险缺乏必要的预防性控制措施大部分信息安全问题的发生是因为大部分信息安全问题的发生是因为:V1.013信息安全管理体系标准培训培训课程内容培训课程内容启明星辰团队p 第一部分 全球及中国面临的信息安全风险p 第二部分第二部分 信息安全概念与标准背景信息安全概念与标准背景p 第三部分 ISO27001信息安全管理体系标准介绍V1.014信息安全管理体系标准培训第二部分第二部分 信息安全概念及背景信息安全概念及背景启明星辰团队Ø 关于信息及信息资产关于信息及信息资产Ø 关于信息安全Ø 关于信息安全管理标准的发展Ø 关于其他相关标准及指南V1.015信息安全管理体系标准培训什么是信息什么是信息?启明星辰团队ISO/IEC IT安全指南安全指南(ISO/IEC TR 13335)定义定义:l信息是通过在数据上施加某些约定而赋予这些数据特殊的含义信息是通过在数据上施加某些约定而赋予这些数据特殊的含义.ISO27001标准对信息的解释标准对信息的解释:l任何对组织有价值的东西任何对组织有价值的东西l信息是一种资产信息是一种资产,和组织其他资产一样，是有价值的，应得到适和组织其他资产一样，是有价值的，应得到适当保护。

当保护l信息本身是无形的信息本身是无形的,借助于媒体以多种形式存在或传播借助于媒体以多种形式存在或传播:Ø存储在计算机、磁带、纸张等介质中存储在计算机、磁带、纸张等介质中Ø存储在人的大脑里存储在人的大脑里Ø通过网络、机、打印机进行传播通过网络、机、打印机进行传播V1.016信息安全管理体系标准培训信息的类型信息的类型l 计算机及网络中的数据计算机及网络中的数据Ø 客户提供的各类信息客户提供的各类信息Ø 组织经营管理各类资料组织经营管理各类资料Ø 门户网站提供的信息门户网站提供的信息l 纸面文件纸面文件Ø 图纸图纸Ø 管理规章制度管理规章制度Ø 培训记录培训记录启明星辰团队V1.017信息安全管理体系标准培训 启明星辰团队信息的生命周期信息的生命周期产生　产生　贮存　贮存　损毁　损毁　处理　处理　传递　传递　使用　使用　丢失　丢失　滥用　滥用　V1.018信息安全管理体系标准培训信息资产信息资产对信息的保护应该是信息生命周期的各个阶段，因此，对信息的保对信息的保护应该是信息生命周期的各个阶段，因此，对信息的保护涉及信息及信息生命周期各个阶段的资产：护涉及信息及信息生命周期各个阶段的资产：l软件软件l计算机计算机l人员人员l打印机打印机l机机 启明星辰团队V1.019信息安全管理体系标准培训第二部分第二部分 信息安全概念及背景信息安全概念及背景启明星辰团队Ø 关于信息及信息资产Ø 关于信息安全关于信息安全Ø 关于信息安全管理标准的发展Ø 关于其他相关标准及指南V1.020信息安全管理体系标准培训什么是信息安全什么是信息安全?对一个门户网站而言对一个门户网站而言,其信息安全的核心是其信息安全的核心是:p 网站信息能够准确和及时发布p 保证网站随时随地可访问p 网站发布的所有新闻必须是合法的启明星辰团队V1.021信息安全管理体系标准培训什么是信息安全什么是信息安全?对网上银行而言，其信息安全的核心是对网上银行而言，其信息安全的核心是:p 客户信息资料的保密性得到充分保证p 客户信息资料不出现任何错误p 网上电子商务随时可获取启明星辰团队V1.022信息安全管理体系标准培训什么是信息安全什么是信息安全?启明星辰团队对一个提供对一个提供IDC服务的组织而言，其信息安全的核心是服务的组织而言，其信息安全的核心是:p 网络通信持续可用p 数据中心场地安全可靠p 避免客户财产因保管不当而遭受损坏V1.023信息安全管理体系标准培训什么是信息安全什么是信息安全?启明星辰团队保密性C完整性I可用性A确保只有授权的人员才能访问信息确保信息及处理方式的准确性和完整性确保经授权的人员在需要的时候可以访问信息及相关资产V1.024信息安全管理体系标准培训三者必须达到一个平衡三者必须达到一个平衡启明星辰团队保密性可用性完整性在有些组织在有些组织,完整性和完整性和/或可用性可能比保密性更重要或可用性可能比保密性更重要V1.025信息安全管理体系标准培训其他信息安全元素其他信息安全元素启明星辰团队还有其他信息安全元素来细化、补充还有其他信息安全元素来细化、补充CIA要素，例如：要素，例如：l 可追溯性（可追溯性（Accountability)l 抗抵赖性（抗抵赖性（Non-repudiation））l 真实性（真实性（Authenticity)V1.026信息安全管理体系标准培训与ＣＩＡ相反的三元素（ＤＡＤ）与ＣＩＡ相反的三元素（ＤＡＤ）启明星辰团队l　泄漏（　泄漏（Disclosure)Disclosure)l 篡改（篡改（AlterationAlteration））l 破坏（破坏（Destruction)Destruction)信息安全面临的最普遍的风险信息安全面临的最普遍的风险V1.027信息安全管理体系标准培训第二部分第二部分 信息安全概念及背景信息安全概念及背景启明星辰团队Ø 关于信息及信息资产Ø 关于信息安全Ø 关于信息安全管理标准的发展关于信息安全管理标准的发展Ø 关于其他相关标准及指南V1.028信息安全管理体系标准培训ISO27001/ISO17799的发展的发展启明星辰团队p 1995/21995/2月月 — BS7799-— BS7799-第一部分第一部分 信息安全管理实施细则信息安全管理实施细则p 1998/21998/2月月 — BS7799— BS7799第二部分第二部分 信息安全管理体系规范信息安全管理体系规范p 1999/41999/4月月 — BS7799 — BS7799 第一部分第一部分/ /第二部分第二部分p 2000/122000/12月月— ISO/IEC17799 — ISO/IEC17799 第一部分第一部分 信息安全管理实施细则信息安全管理实施细则p 2002/92002/9月月 — BS7799— BS7799 第二第二 部分部分 信息安全管理体系规范信息安全管理体系规范 p 2005/62005/6月月 — ISO17799:2005 — ISO17799:2005 --- --- 信息技术信息技术 – – 安全技术安全技术 ––信息安全管理体系实施细则信息安全管理体系实施细则p 2005/112005/11月月 — ISO27001:2005— ISO27001:2005 --- --- 信息技术信息技术 – – 安全技术安全技术 – – 信息安全管理体系要求规范信息安全管理体系要求规范V1.029信息安全管理体系标准培训信息安全管理体系标准信息安全管理体系标准启明星辰团队信息安全管理标准　信息安全管理标准　信息安全管理实施细则信息安全管理实施细则ISO17799:2005ISO17799:2005信息安全管理体系规范信息安全管理体系规范ISO27001:2005ISO27001:2005• 管理体系框架管理体系框架• 明确控制要求明确控制要求( (没有详细的指南没有详细的指南) )• 强制性要求强制性要求• 用于体系认证用于体系认证• 各类安全控制手段实施指南各类安全控制手段实施指南• 包括管理制度要求包括管理制度要求• 建立管理体系的参考建立管理体系的参考• 不用于认证不用于认证V1.030信息安全管理体系标准培训ISO27000系列标准介绍系列标准介绍启明星辰团队p ISO/IEC 27000 — ISO/IEC 27000 — 标准介绍及术语标准介绍及术语p ISO/IEC 27001 — ISO/IEC 27001 — 信息安全管理体系要求信息安全管理体系要求p ISO/IEC 27002 — ISO/IEC 27002 — 信息安全管理实施细则信息安全管理实施细则p ISO/IEC 27003 — ISO/IEC 27003 — 信息安全管理体系实施指南信息安全管理体系实施指南p ISO/IEC 27004 ISO/IEC 27004 — — 信息安全管理测量方法信息安全管理测量方法p ISO/IEC 27005 — ISO/IEC 27005 — 信息安全管理体系风险评估信息安全管理体系风险评估p ISO/IEC 27006 — ISO/IEC 27006 — 认证机构认可要求认证机构认可要求V1.031信息安全管理体系标准培训标准在全球的应用标准在全球的应用启明星辰团队l 已经被全球二十多个国家采用为国家标准已经被全球二十多个国家采用为国家标准l 截止截止2007年年4月月,全球全球ISO27001/BS7799认证证书应超过认证证书应超过3530张张l 中国发布的证书数量中国发布的证书数量47张张l ISMS IUG （信息安全管理体系国际用户组织）推进（信息安全管理体系国际用户组织）推进BS7799标准标准 在全球的应用在全球的应用l 有关有关ISO27001标准的应用及认证可查询：标准的应用及认证可查询： V1.032信息安全管理体系标准培训第二部分第二部分 信息安全概念及背景信息安全概念及背景启明星辰团队Ø 关于信息及信息资产Ø 关于信息安全Ø 关于信息安全管理标准的发展Ø 关于其他相关标准及指南关于其他相关标准及指南V1.033信息安全管理体系标准培训ISO/IEC13335 TRISO/IEC13335 TR启明星辰团队IT安全管理指南（安全管理指南（GMITS），），ISO/IEC技术报告技术报告l ISO/IEC 13335-1:2005 — IT安全概念与模型安全概念与模型l ISO/IEC 13335-2:1997 — IT安全管理与规划安全管理与规划l ISO/IEC 13335-3:1998 — IT安全管理技术安全管理技术l ISO/IEC 13335-4:2000 — 安全措施选择安全措施选择l ISO/IEC 13335-5:2001 — 网络安全管理指南网络安全管理指南V1.034信息安全管理体系标准培训CC — Common Criteria启明星辰团队信息安全产品和系统安全性测评标准，度量信息技术安全性的基准信息安全产品和系统安全性测评标准，度量信息技术安全性的基准l 1985 —— 1985 —— 美国可信计算机系统评估标准（美国可信计算机系统评估标准（TCSECTCSEC））l 1991 —— 1991 —— 欧洲信息技术安全评估标准（欧洲信息技术安全评估标准（ITSECITSEC））l 1993 —— 1993 —— 加拿大加拿大可信计算机系统评估标准（可信计算机系统评估标准（CTCSEC））l 1993 —— 1993 —— 美国信息技术安全评估联邦标准（美国信息技术安全评估联邦标准（FCFC））l 1996 —— 1996 —— 六国七方信息技术安全评估通用标准（六国七方信息技术安全评估通用标准（CCv1.0)CCv1.0)l 1998 —— 1998 —— 六国七方信息技术安全评估通用标准（六国七方信息技术安全评估通用标准（CCv2.0)l 1999 —— CC成为国际标准成为国际标准ISO/IEC15408l 2001 —— 我国等同采用我国等同采用CC标准：标准：GB/T18336:2001)V1.035信息安全管理体系标准培训CC （（ISO/IEC15408标准）标准）启明星辰团队ISO/IEC15408标准由三部分组成标准由三部分组成l ISO/IEC15408-1 — IT安全评估简介及通用模型安全评估简介及通用模型l ISO/IEC15408-2 — 安全功能要求安全功能要求l ISO/IEC15408-3 — 安全保证要求安全保证要求V1.036信息安全管理体系标准培训中国在信息安全管理相关法规中国在信息安全管理相关法规p 计算机信息系统安全保护条例计算机信息系统安全保护条例 — 1994— 1994p 计算机信息系统安全等级划分准则（计算机信息系统安全等级划分准则（GB17859-1999GB17859-1999））p 信息安全等级保护管理办法信息安全等级保护管理办法 – 2006– 2006年年3 3月月p 信息系统安全等级保护实施指南（送审稿）信息系统安全等级保护实施指南（送审稿）— 2006— 2006p 信息系统安全保护等级定级指南信息系统安全保护等级定级指南p 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 启明星辰团队V1.037信息安全管理体系标准培训对信息安全管理的等级划分对信息安全管理的等级划分 自主保护级指导保护级监督保护级强制保护级专控保护级根据不同等级，采取不同措施根据不同等级，采取不同措施启明星辰团队V1.038信息安全管理体系标准培训培训内容培训内容启明星辰团队p 第一部分 全球及中国面临的信息安全风险p 第二部分 信息安全概念与标准背景p 第三部分第三部分 ISO27001ISO27001信息安全管理体系标准介绍信息安全管理体系标准介绍V1.039信息安全管理体系标准培训第三部分第三部分 ISO27001信息安全管理体系标准信息安全管理体系标准ØISO27001:2005ISO27001:2005标准体系框架介绍标准体系框架介绍ØISO17799:2005标准控制目标与措施介绍启明星辰团队V1.040信息安全管理体系标准培训 启明星辰团队ISO27001:2005体系框架介绍体系框架介绍·标准结构及过程模型标准结构及过程模型·信息安全管理体系管理要求·案例练习二 标准理解（体系框架要求）V1.041信息安全管理体系标准培训ISO27001标准内容构成标准内容构成体系管理要求体系管理要求符合性要求符合性要求4 信息安全管理体系信息安全管理体系 5 管理职责管理职责6 内部内部ISMS审核审核7 管理评审管理评审8 ISMS持续改进持续改进附件附件A 控制目标和措施控制目标和措施符合性要求符合性要求附件附件BOECD原则原则与标准与标准• 标准的框架性要求标准的框架性要求• 与与ISO要求兼容要求兼容 (ISO9000/ISO14000)- ISO17799简化简化- 只谈要求只谈要求,不谈方法不谈方法- 11大管理要求大管理要求- 可以删减可以删减通过风险评估来确定通过风险评估来确定选择哪些控制措施选择哪些控制措施与与ISO9000、、ISO14000标准对照标准对照参考资料参考资料- OECD信息体系与信息体系与 网络安全指南与本网络安全指南与本 标准对照标准对照附件附件C与其他标准对照与其他标准对照参考资料参考资料启明星辰团队V1.042信息安全管理体系标准培训ISO27001:2005过程方法过程方法(PDCA模型模型)启明星辰团队相关方相关方信息安信息安全要求全要求和期望和期望建立体系建立体系 实施体系实施体系　　 策划策划 执行执行监控评审监控评审维持改进维持改进检查检查改进改进相关方相关方信息安全信息安全受控受控以组织业务流程为导向建立信息安全管理体系以组织业务流程为导向建立信息安全管理体系V1.043信息安全管理体系标准培训所谓过程方法所谓过程方法启明星辰团队若干活动若干活动相互作用相互作用输入输入输出输出顾客顾客 我满意我满意,是因是因为流程为我为流程为我创造了价值创造了价值资源资源V1.044信息安全管理体系标准培训IDC服务提供过程服务提供过程启明星辰团队业务承接服务准备服务启用例行服务应急响应服务终止服务合约工单制作客户工作证发放服务申请资源准备准备确认客户接待安装协助系统启用确认服务跟踪运行维护网络监控故障处理XXXXXXXXXXXXXXXX网络通信网络通信/ /基础设施保障基础设施保障V1.045信息安全管理体系标准培训PDCA模型要求模型要求启明星辰团队策划(建立ISMS)建立安全方针、目标、过程与程序，确保管理风险、改进信息安全，确保信息安全管理结果符合组织总体方针和目标。

执行(实施ISMS)执行信息安全方针、控制措施、过程和程序检查(监视和评审ISMS)对照信息安全方针、目标和实践经验评价，合适时，测量过程绩效，并汇报评价结果供管理评审改进(维持和改进ISMS)在管理评审的基础上，采取纠正和预防措施，以持续改进ISMSV1.046信息安全管理体系标准培训信息安全管理控制措施信息安全管理控制措施启明星辰团队1 1 信息安全策略（方针）信息安全策略（方针）2 2 组织的信息安全组织的信息安全3 3 资产管理资产管理4 4 人力资源安全人力资源安全5 5 物理和环境安全物理和环境安全6 6 通信与操作（运行）安全通信与操作（运行）安全7 7 访问控制访问控制8 8 信息系统采购、开发和维护信息系统采购、开发和维护9 9 信息安全事件管理信息安全事件管理10 10 业务连续性管理业务连续性管理11 11 符合性符合性70%70%管理要求管理要求 + 30% + 30%技术控制措施，建立在风险评估基础上技术控制措施，建立在风险评估基础上V1.047信息安全管理体系标准培训 启明星辰团队ISO27001:2005体系框架介绍体系框架介绍·标准结构及过程模型·信息安全管理体系管理要求信息安全管理体系管理要求·案例练习二 标准理解（体系框架要求）V1.048信息安全管理体系标准培训4 信息安全管理体系信息安全管理体系启明星辰团队4.1 总要求总要求4.2 建立和管理信息安全管理体系（ＩＳＭＳ）建立和管理信息安全管理体系（ＩＳＭＳ）4.2.1 建立ＩＳＭＳ建立ＩＳＭＳ4.2.2 实施并运行ＩＳＭＳ实施并运行ＩＳＭＳ4.2.3 监视并评审ＩＳＭＳ监视并评审ＩＳＭＳ4.2.4 维持并改进ＩＳＭＳ维持并改进ＩＳＭＳ4.3 文件要求文件要求4.3.1 总则总则4.3.2 文件控制文件控制　　 4.3.3 记录控制记录控制V1.049信息安全管理体系标准培训建立信息安全管理体系建立信息安全管理体系启明星辰团队确定ＩＳＭＳ范围定义ＩＳＭＳ方针定义系统的风险评估方法识别风险评估风险识别并评价处置风险的各类措施选择处置风险的控制目标和措施制订ＳＯＡ获取高层批准V1.050信息安全管理体系标准培训监视并评审体系（测量目标）监视并评审体系（测量目标）启明星辰团队分类CTQ测量定义单位 测量周期优先级别下限上线目标单元机会流程要求的Zst完整性服务被中断的次数监控软件日志（ 5分钟）和邮件系统问题汇总表次/周周502013.0完整性服务被中断的时间监控软件日志和邮件系统问题汇总表分钟/周周5020014.5服务效率服务相应时间从服务调度收到服务请求，到完成服务的工作时间。

小时周548413.0安全性出现病毒率（Norton）Norton检查出的文件数量/总扫描的文件数量百分比周43%1%2%13.0安全性Norton不能扫描率Norton不能扫描的文件数量/总扫描的文件数量百分比周401%0%13.0V1.051信息安全管理体系标准培训监视并测量体系（测量结果）监视并测量体系（测量结果）启明星辰团队No.Name绩效指标名称目前为此上周定义2006 Value12341稳定性平均中断时间(分钟)37 23 服务被中断的次数10343　时间中断率(Percent)3.7%0.7%服务被中断的时间(分)370####70　时间中断率(Sigma)(Sigma)3.29 3.96 服务时间(分钟)30,240######　邮件服务安全指标测量邮件服务安全指标测量V1.052信息安全管理体系标准培训文件化管理体系文件化管理体系启明星辰团队p 信息安全方针及控制目标声明p ISMS范围p 支持ISMS的程序与控制措施p 风险评估方法的书面描述p 风险评价报告p 风险处置计划p 组织为保证有效策划、运行和控制ISMS的书面化程序p 标准要求的记录p SOA(适用性声明书)V1.053信息安全管理体系标准培训5 管理职责管理职责启明星辰团队５５.1 .1 管理承诺管理承诺5.2 5.2 资源管理资源管理5.2.1 5.2.1 提供资源提供资源5.2.2 5.2.2 培训、意识和能力培训、意识和能力V1.054信息安全管理体系标准培训6 内部审核内部审核启明星辰团队定期进行内部审核定期进行内部审核,确定确定ISMS的控制目标、措施、程序的控制目标、措施、程序和过程是否和过程是否:• 符合本标准及相关法律与法规要求• 符合识别的信息安全要求• 得到有效实施和维持• 达到预期绩效表现V1.055信息安全管理体系标准培训7 管理评审管理评审启明星辰团队p 管理层定期评审ISMSp 保证ISMS持续适宜、充分和有效p 应评价改进机会及对ISMS的修订，包括对方针和 目标的修订p 评审结果形成文件并进行保存V1.056信息安全管理体系标准培训8 持续改进持续改进启明星辰团队持续改进持续改进 纠正措施纠正措施 预防措施预防措施 应用信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审采取措施消除与实施和运行ISMS有关的不合格，防止问题重复发生。

应建立书面的程序明确纠正措施要求确定措施防止不合格发生，采取的预防措施应与潜在的问题相适应应建立书面的程序明确预防措施要求V1.057信息安全管理体系标准培训小结小结启明星辰团队ISO27001:2005 标准的终极目标标准的终极目标 — 提供信心提供信心p 需要有可审计的证据来提供信心• 全面完整的体系 — 不能缺失对某一重大风险的控制• 文件化的程序和规范 — 管理是有依据的• 可证实的控制措施 — 技术和产品• 高层管理的支持 — 可证实的证据• 通过绩效数据证明风险被控制 — 测量目标和结果V1.058信息安全管理体系标准培训 启明星辰团队ISO27001:2005体系框架介绍体系框架介绍·标准结构及过程模型·信息安全管理体系管理要求·案例练习二案例练习二 标准理解（体系框架要求）标准理解（体系框架要求）V1.059信息安全管理体系标准培训第三部分第三部分 ISO27001信息安全管理体系标准信息安全管理体系标准启明星辰团队ØISO27001:2005标准体系框架介绍ØISO17799:2005ISO17799:2005标准控制目标与措施介绍标准控制目标与措施介绍V1.060信息安全管理体系标准培训信息安全管理的核心内容信息安全管理的核心内容启明星辰团队信息资产信息资产n 客户资料与数据n 经营信息与数据n 个人隐私n 合作伙伴信息所依赖的系统信息所依赖的系统n应用系统（通关系统、缉私办案。

n操作系统n应用工具运作依赖的基础设施运作依赖的基础设施n供电n消防n供水n空调信息系统依赖的信息系统依赖的IT架构架构n 个人计算机n 服务器n 主机n 交换机n 路由器n 安全设备（防火墙、入侵检测）保护资产保密性完整性/可用性V1.061信息安全管理体系标准培训信息安全控制措施考虑的几个角度信息安全控制措施考虑的几个角度启明星辰团队人•人员管理制度•技术措施针对重要的信息资产，采取预防性的保护措施针对重要的信息资产，采取预防性的保护措施V1.062信息安全管理体系标准培训十一个管理要求十一个管理要求启明星辰团队1 1 信息安全策略（方针）信息安全策略（方针）2 2 组织的信息安全组织的信息安全3 3 资产管理资产管理4 4 人力资源安全人力资源安全5 5 物理和环境安全物理和环境安全6 6 通信与操作（运行）安全通信与操作（运行）安全7 7 访问控制访问控制8 8 信息系统采购、开发和维护信息系统采购、开发和维护9 9 信息安全事件管理信息安全事件管理10 10 业务连续性管理业务连续性管理11 11 符合性符合性70%70%管理要求管理要求 + 30% + 30%技术控制措施，建立在风险评估基础上技术控制措施，建立在风险评估基础上V1.063信息安全管理体系标准培训A5 信息安全方针信息安全方针启明星辰团队信息安全信息安全方针文件方针文件控制目标：根据要求及相关法规为信息安全提供管理方向和支持控制目标：根据要求及相关法规为信息安全提供管理方向和支持评审与评估评审与评估管理层进行批准、发布并传达管理层进行批准、发布并传达给所有员工给所有员工对方针进行定期并在发生重大对方针进行定期并在发生重大变化时进行评审变化时进行评审V1.064信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队A6.1 内部组织内部组织控制目标：在组织内部对信息安全进行管理控制目标：在组织内部对信息安全进行管理信息安全信息安全管理承诺管理承诺• 明确方向明确方向• 进行管理承诺进行管理承诺• 提供充分资源提供充分资源• 确定各个业务领域代表确定各个业务领域代表• 组建跨部门工作委员会组建跨部门工作委员会• 协调信息安全管理措施的执行协调信息安全管理措施的执行• 明确保护各项信息资产的职责明确保护各项信息资产的职责• 明确从事具体信息安全过程的职责明确从事具体信息安全过程的职责• 对新启用的信息处理设施建立授权过程对新启用的信息处理设施建立授权过程信息安全信息安全工作协调工作协调(例例)明确信息明确信息安全职责安全职责信息处理信息处理设施授权设施授权V1.065信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队A6.1 内部组织内部组织控制目标：在组织内部对信息安全进行管理控制目标：在组织内部对信息安全进行管理与权威机构联络与权威机构联络• 保持与相关权威机构的联络保持与相关权威机构的联络与特定利益组织与特定利益组织联络联络与特定利益组织或专业安全论坛、行业协与特定利益组织或专业安全论坛、行业协会等保持联络会等保持联络信息安全信息安全独立评审独立评审对信息安全执行情况进行独立评审对信息安全执行情况进行独立评审保密协议保密协议•识别保密协议需求要求识别保密协议需求要求• 定期评审要求定期评审要求V1.066信息安全管理体系标准培训A6信息安全组织信息安全组织启明星辰团队与权威机构联络与权威机构联络?与特殊利益组织联络与特殊利益组织联络?• 法律机构法律机构• 消防部门消防部门• 行业主管部门行业主管部门• 互联网服务提供商互联网服务提供商在安全事件发生在安全事件发生/灾难发生灾难发生时及时响应并联络时及时响应并联络• 行业协会行业协会• 专家论坛专家论坛及时了解业界最新知识及时了解业界最新知识对信息安全环境有全面了对信息安全环境有全面了的认识的认识获取专家意见获取专家意见V1.067信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队信息安全的独立评审信息安全的独立评审?• 体系框架 6 信息安全管理体系审核• 与被评审范围相独立的人员进行• 可能包括使用审计工具对信息系统进行安全审计• ISO19011:2002提供了指南V1.068信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队A6.2外部组织控制目标：确保被外部访问的信息处理设施及资产的安全控制目标：确保被外部访问的信息处理设施及资产的安全识别外部组织识别外部组织相关的风险相关的风险• 识别与外部组织相关的风险识别与外部组织相关的风险• 采取必要的安全措施采取必要的安全措施在第三方协议中在第三方协议中说明安全事项说明安全事项• 第三方访问按照正式合同进行管理第三方访问按照正式合同进行管理• 合同中应包括所有必要的安全要求合同中应包括所有必要的安全要求与客户与客户说明安全事项说明安全事项• 允许客户访问公司前，说明所有安全事项允许客户访问公司前，说明所有安全事项V1.069信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队外部组织外部组织?• 可能接触到哪些信息及信息设施?• 接触的方式? - 物理访问? - 逻辑访问? - 网络连接(永久性的\远程的) - 现场进行还是非现场进行?• 所接触信息的价值?• 是否授权?授权程序?是否定期评审这些权限?• 访问不能提供造成的影响?访问接受到错误信息后的影响?• 安全事件处理程序?• 必须在正式确定合约并规定访问控制程序后向第三方开放外部组织可能的风险外部组织可能的风险?• 互联网服务提供商• 网络服务提供商• 服务提供商• 客户• 安全服务提供商• 设备设施外包提供商• 管理顾问• 临时工\见习生V1.070信息安全管理体系标准培训A6 信息安全组织信息安全组织启明星辰团队在合约中通常包含哪些安全要求在合约中通常包含哪些安全要求? ?• 说明公司的信息安全方针• 说明保护资产的程序,例如:对复印\拍照片的限制• 可能需要接受的培训• 更换人员时的程序• 硬件和软件安装的职责• 访问控制策略和程序,例如:允许的访问方法\访问授权程序• 目标服务水平,不可接受的服务水平•...... V1.071信息安全管理体系标准培训A7 资产管理资产管理启明星辰团队A7.1 资产责任资产责任控制目标：确保对组织资产进行适当保护控制目标：确保对组织资产进行适当保护资产清单资产清单(例例)建立并维护与信息系统相关的所有重要资建立并维护与信息系统相关的所有重要资产的登记清单产的登记清单 资产归属资产归属为所有资产指定责任单位为所有资产指定责任单位(?)资产合理使用资产合理使用(例例)•识别与信息及资产相关的处理设施合理的识别与信息及资产相关的处理设施合理的使用所需的方法使用所需的方法• 合理使用的方法应文件化并有效执行合理使用的方法应文件化并有效执行V1.072信息安全管理体系标准培训A7 资产管理资产管理启明星辰团队A7.2 信息分级信息分级控制目标：确保信息资产得到适当级别的保护。

控制目标：确保信息资产得到适当级别的保护 分级指南分级指南• 明确信息分级及有关的保护措施明确信息分级及有关的保护措施• 考虑组织分享或限制信息的业务需求以及考虑组织分享或限制信息的业务需求以及 与这些需求相关的业务影响与这些需求相关的业务影响 信息标识与处理信息标识与处理应根据组织信息分级方案对信息的分类和应根据组织信息分级方案对信息的分类和处理制定一系列的程序处理制定一系列的程序 例V1.073信息安全管理体系标准培训A8人力资源安全人力资源安全启明星辰团队A8.1 雇佣前雇佣前控制目标：确保雇员、承包方、第三方用户理解工作职责，降低偷盗、控制目标：确保雇员、承包方、第三方用户理解工作职责，降低偷盗、欺诈及误用设施的风险欺诈及误用设施的风险在职务说明书中规定安全职责人员筛选雇佣条款和条件对专职员工、分包方人员以及临时员工应在申请职位时进行验证检查例) 信息安全方针规定的安全职责应在职务说明书中描述雇佣条款和条件中描述信息安全职责 V1.074信息安全管理体系标准培训A8 人力资源安全人力资源安全启明星辰团队A8.2 雇佣中雇佣中控制目标：确保人员了解信息安全的威胁和关注问题，并在其日常工控制目标：确保人员了解信息安全的威胁和关注问题，并在其日常工作中能够执行组织信息安全方针。

作中能够执行组织信息安全方针 信息安全意识信息安全意识教育与培训教育与培训 组织所有员工以及相关的第三方用户组织所有员工以及相关的第三方用户应该就组织政策和程序接受适当的培应该就组织政策和程序接受适当的培训并定期了解最新变化训并定期了解最新变化 管理职责管理职责 管理层要求人员执行方针和程序管理层要求人员执行方针和程序纪律处置过程纪律处置过程 对违反组织信息安全方针和程序的员对违反组织信息安全方针和程序的员工通过正式的纪律处置过程进行处理工通过正式的纪律处置过程进行处理 V1.075信息安全管理体系标准培训A8 人力资源安全人力资源安全启明星辰团队A8.3 离职或转岗离职或转岗控制目标：尽量雇员、承包商以及第三方用户离开组织或转岗有序进行控制目标：尽量雇员、承包商以及第三方用户离开组织或转岗有序进行终止职责终止职责明确处理雇佣终止或变化的职责明确处理雇佣终止或变化的职责资产归还资产归还删除访问权限删除访问权限确保所有雇员、承包方及第三方用户确保所有雇员、承包方及第三方用户归还资产归还资产确保职责终止或岗位变化后，权限及确保职责终止或岗位变化后，权限及时删除或调整时删除或调整 案例V1.076信息安全管理体系标准培训A9 物理与环境安全物理与环境安全启明星辰团队A9.1 安全区域安全区域控制目标：防止对业务工作区域和信息的非授权访问、损害及影响。

控制目标：防止对业务工作区域和信息的非授权访问、损害及影响 物理安全区物理安全区隔离带隔离带组织应使用安全隔离带保护存放信息安全处理设施的区域 物理进入控制物理进入控制应通过适当的进入控制方法保护安全区域，以确保只有授权人员才能进行出入访问 办公室、房间办公室、房间和设施的安全和设施的安全 应设立安全区域以保护有特别安全要求的办公室、房间和设施V1.077信息安全管理体系标准培训A9 物理环境安全物理环境安全 启明星辰团队周边环境是否安全周边环境是否安全?进入是否控制进入是否控制?工作区域内是否安全工作区域内是否安全?• 单独办公大楼• 物理隔离空间(锁/门禁)• 加固的安全区域 • 接待台• 身份识别• 出入登记• 是否有消防设施• 是否有应急照明• 温度和湿度要求• 是否可以使用录象\录音等设备?V1.078信息安全管理体系标准培训A9 物理与环境安全物理与环境安全启明星辰团队A9.1 安全区域安全区域控制目标：防止对业务工作区域和信息的非授权访问、损害及影响控制目标：防止对业务工作区域和信息的非授权访问、损害及影响 在安全区域在安全区域工作工作采取额外的控制措施和指南来控制安采取额外的控制措施和指南来控制安全区域的工作。

全区域的工作 公共访问、卸货公共访问、卸货和上货区和上货区卸货和上货区应进行控制，在可能的卸货和上货区应进行控制，在可能的情况下，应与信息处理设施隔离，以情况下，应与信息处理设施隔离，以防止非授权的出入访问防止非授权的出入访问 保护外部及环境保护外部及环境威胁威胁应设计并应用物理保护措施，预防火应设计并应用物理保护措施，预防火灾、洪水、爆炸、社会动荡等威胁灾、洪水、爆炸、社会动荡等威胁 V1.079信息安全管理体系标准培训物理环境安全物理环境安全启明星辰团队机房安全机房安全安全区域工作安全区域工作卸货卸货\上货上货\公共访问区域公共访问区域• 卸货和上货区仅限于授权人员进出• 上货和卸货区安全设计• 除人员进出门外，其他出口应进行安全控制(关闭\保安守护• 独立的多回路供电系统• 精密空调• 防静电地板• 气体灭火• 温湿控制• 机房内工作指南• 双人相互监督• 禁止使用任何影像设备V1.080信息安全管理体系标准培训A9 物理环境安全物理环境安全启明星辰团队A9.2 设备安全设备安全控制目标：防止资产丢失、损害或损坏以及对业务活动的影响控制目标：防止资产丢失、损害或损坏以及对业务活动的影响。

设备选址及保护设备选址及保护 应对设备进行选址考虑或保护，以降应对设备进行选址考虑或保护，以降低环境方面的威胁和危险以及非授权低环境方面的威胁和危险以及非授权访问的机会访问的机会 支持性设施支持性设施应保护设备免受停电及其它支持设施应保护设备免受停电及其它支持设施故障的影响故障的影响电缆线路安全电缆线路安全应保护携带数据或支持信息服务的电应保护携带数据或支持信息服务的电力及通讯电缆，使其免遭拦截或损坏力及通讯电缆，使其免遭拦截或损坏 V1.081信息安全管理体系标准培训A8 物理与环境安全物理与环境安全启明星辰团队设备放置地点设备放置地点支持性设施安全支持性设施安全电缆安全电缆安全• 减少不必要的访问接触• 处理高敏感信息的信息处理设施放置角度不易被人看到处理信息• 防止灰尘\雨水\震动等等 • 供电\空调\通风\照明等充分• 巡视检查/测试• 发电机燃料充分• 通讯电缆和和供电电缆隔离• 电缆保护充分• 电缆清晰标识• 楼层数据电缆房进出控制V1.082信息安全管理体系标准培训A9 物理与环境安全物理与环境安全启明星辰团队A9.2 设备安全设备安全控制目标：防止资产丢失、损害或损坏以及对业务活动的影响。

控制目标：防止资产丢失、损害或损坏以及对业务活动的影响 设备维护设备维护应对设备进行正确维护，以确保其连应对设备进行正确维护，以确保其连续的可用性及完整性续的可用性及完整性 场外设备安全场外设备安全任何在组织现场外使用设备进行信息任何在组织现场外使用设备进行信息处理的情况应经过管理授权处理的情况应经过管理授权 确保设备报废或确保设备报废或回用安全回用安全设备在报废或回用前，应清除其中的设备在报废或回用前，应清除其中的信息信息物资搬移物资搬移设备、信息或软件转移在未经授权的设备、信息或软件转移在未经授权的情况下不允许进行搬移情况下不允许进行搬移V1.083信息安全管理体系标准培训A9 物理与环境安全物理与环境安全启明星辰团队设备维护设备维护非现场设备安全非现场设备安全设备报废或再使用设备报废或再使用• 设备报废前检查• 敏感信息删除处理并考虑处理方式 (不可恢复)• 再使用前的处理 • 建立维护规程• 只允许维护人员接触设备• 第三方提供的维护需要考虑现场 工作的风险• 带出组织外设备和媒介安全 • 在家工作使用信息处理设施• 出差在外的使用信息处理设施财产转移财产转移• 设备带出公司的管理• 设备进出管理• 设备带出时间限制,返还时检查V1.084信息安全管理体系标准培训A10通信和运行管理通信和运行管理启明星辰团队A10.1 操作程序及职责控制目标：确保信息处理设施的正确和安全操作控制目标：确保信息处理设施的正确和安全操作书面化的操作程序书面规定并维持信息安全方针中识别的操作程序运行变更控制应对信息处理设施及系统的变更进行控制V1.085信息安全管理体系标准培训A10 通信和运行管理通信和运行管理启明星辰团队书面化操作程序?变更管理?• 信息处理和通信设施 - 计算机开机/关机程序 - 备份程序 - 机房作业 - 处理常见故障程序 - 系统故障后重启动和恢复程序 - 出现异常情况时联络人信息 - 审计痕迹及系统支持信息的管理 - …• 操作系统和应用系统软件\设备\操作程序- 系统升级管理- 设备变更- 安装新软件- 原有的书面化操作程序变更V1.086信息安全管理体系标准培训A10 通信和运行管理通信和运行管理启明星辰团队A10.2 第三方服务交付管理控制目标：确保第三方服务与协议要求一致控制目标：确保第三方服务与协议要求一致服务交付确保第三方交付协议中规定的安全控制要求、服务定义和交付水平有效执行监视并评审第三方服务• 定期监视并评审第三方服务、报告和记录• 应定期进行审计管理第三方服务变更•应对第三方服务提供进行变更管理• 考虑业务系统、过程的关键程度及风险再评估结果V1.087信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.3 系统规划与接受容量规划应对容量需求进行监视，并对未来容量要求进行预测，以确保足够的处理能力及存储空间 系统接受对新的信息处理系统、系统升级以及新版本应建立接受准则，在接受前，应对系统进行适当的测试 控制目标：尽量降低系统失效的风险控制目标：尽量降低系统失效的风险 V1.088信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.4 防止恶意软件及移动代码控制恶意软件控制恶意软件•采取侦测和预防措施防止恶意软件•执行适当的人员意识管理程序 控制移动代码控制移动代码• 使用移动代码进行授权• 确保移动代码按照规定的方针操作控制目标：防止恶意造成的损害，保护软件和信息的完整性。

控制目标：防止恶意造成的损害，保护软件和信息的完整性 V1.089信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队防止恶意代码防止恶意代码?• 建立正式策略禁止使用非授权软件•建立正式策略,预防与网络下载软件或其他形式软件获取方式相关的风险• 定期检查系统中软件和数据,对存在的非授权软件进行正式调查• 安装并及时更新防病毒软件,对浏览网页\接受邮件等进行扫描• 定义病毒管理程序和职责，规定病毒使用培训程序\发现病毒报告和处理程序• 通过浏览网站等获取最新的病毒信息V1.090信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.5 备份备份信息备份信息备份应对基本的业务信息和软件进行备份，应对基本的业务信息和软件进行备份，并定期测试并定期测试 控制目标：确保信息处理及通信服务的完整性和可用性控制目标：确保信息处理及通信服务的完整性和可用性 • 定义备份信息不同的级别(备份频次\方式\保存)• 书面的备份信息恢复程序• 备份信息的储存,确定储存环境的级别,包括储存地点• 备份介质定期测试与恢复V1.091信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.6 网络安全管理网络安全管理网络控制网络控制• 应有效管理和控制网络应有效管理和控制网络• 保护使用网络的系统和应用免遭威保护使用网络的系统和应用免遭威胁胁控制目标：确保网络信息以及支持架构安全。

控制目标：确保网络信息以及支持架构安全 网络服务的安全网络服务的安全• 识别所有网络服务的安全特点、服识别所有网络服务的安全特点、服务级别以及管理要求应明确规定，并务级别以及管理要求应明确规定，并在协议中说明（包括内部网络与外部在协议中说明（包括内部网络与外部网络服务）网络服务）V1.092信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队网络控制网络控制• 网络运行管理职责与计算机 操作职责分离•明确用户区域设备管理职责与 程序• 对网络进行必要的监视• 协调所有的管理活动，优化 网络服务并保证必要的控制网络服务安全网络服务安全• 接入服务、专用网服务、增值服务、网络安全解决方案（防火墙、入侵检测系统）•对网络服务提供商的能力需 要确定，必要时,应对其能力 进行审计• 对一些特别的网络服务，需要定义安全特性、服务水平以及管理要求•安全特性包括：安全技术（身份验证、加密、网络连接控制）等V1.093信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.7 媒介处理媒介处理可移动电脑媒介可移动电脑媒介管理管理应对可移动电脑媒介（例如：磁带、磁盘、盒式磁带以及打印报告）的管理进行控制 媒介报废处理媒介报废处理媒介不再使用时，应安全地进行处理 信息处理程序信息处理程序应建立信息处理和保管程序，以防止信息的非授权泄露或误用 系统文件安全系统文件安全应对系统文件进行保护以防止非授权访问（应用过程描述、数据结构） 控制目标：控制目标：防止资产损害以及对业务活动的影响。

防止资产损害以及对业务活动的影响 V1.094信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.8 信息和软件交换信息和软件交换信息和软件方针信息和软件方针与程序与程序针对使用各类通信设施进行信息交换的活动，规定正式的方针、程序和控制要求媒介传递安全媒介传递安全应对运输过程中的媒介进行保护，防止非授权访问、误用或滥用 交换协议交换协议组织与外部机构进行信息和软件交换应建立协议控制目标：防止对组织间交换的信息造成丢失、更改或滥用控制目标：防止对组织间交换的信息造成丢失、更改或滥用 V1.095信息安全管理体系标准培训A10通信与运行管理通信与运行管理 启明星辰团队信息交换信息交换 – 使用电子通信设施交换信息使用电子通信设施交换信息• E-MAIL• 视频会议系统• 录音• 手提电脑• FTP• 即时通信工具V1.096信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.8 信息交换信息交换电子讯息电子讯息与电子讯息相关的信息应进行适当保护业务信息系统业务信息系统•对业务信息系统之间的相互连接应明确并执行方针和程序 控制目标：防止对组织间交换的信息造成丢失、更改或滥用。

控制目标：防止对组织间交换的信息造成丢失、更改或滥用 V1.097信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.9 电子商务电子商务控制目标：确保电子商务服务的安全以及安全使用控制目标：确保电子商务服务的安全以及安全使用电子商务的安全电子商务的安全应对电子商务进行保护，防止欺诈行应对电子商务进行保护，防止欺诈行为、合同纠纷和泄露或对信息的修改为、合同纠纷和泄露或对信息的修改 交易交易交易使用的信息尽心保护，防止交易使用的信息尽心保护，防止不完整的传输、错误路由、非授权的不完整的传输、错误路由、非授权的信息更改等等信息更改等等 公共可访问信息公共可访问信息信息在对外正式公布前应经过正式的信息在对外正式公布前应经过正式的授权过程控制，应对信息的完整性进授权过程控制，应对信息的完整性进行保护以防止非授权的修改行保护以防止非授权的修改V1.098信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.10 监视审计日志审计日志应建立并按规定的时间保存记录异常应建立并按规定的时间保存记录异常及其他安全相关事件的审计日志，为及其他安全相关事件的审计日志，为今后调查和访问控制监视提供帮助今后调查和访问控制监视提供帮助对系统使用管理对系统使用管理进行监控进行监控应建立程序，对信息处理设施的使用应建立程序，对信息处理设施的使用进行监视控制，监视活动记录应定期进行监视控制，监视活动记录应定期评审评审保护日志信息保护日志信息对日志设施和信息进行保护，防止企对日志设施和信息进行保护，防止企图性及未授权的访问图性及未授权的访问V1.099信息安全管理体系标准培训A10 通信与运行管理通信与运行管理启明星辰团队A10.10 监视管理者和管理者和操作者日志操作者日志• 应建立系统管理员和操作员日志应建立系统管理员和操作员日志时钟同步时钟同步电脑时钟应进行同步处理，以确保准电脑时钟应进行同步处理，以确保准确的记录确的记录 错误日志错误日志错误操作应登记、分析并采取纠正措错误操作应登记、分析并采取纠正措施施 控制目标：防止非授权的信息处理活动。

控制目标：防止非授权的信息处理活动 V1.0100信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.1 访问控制的业务需求访问控制的业务需求访问控制方针访问控制方针（例）（例）•明确访问控制的业务要求并形成文件明确访问控制的业务要求并形成文件•根据访问控制方针的规定对访问进行根据访问控制方针的规定对访问进行 限制限制 控制目标：控制对信息的访问控制目标：控制对信息的访问 V1.0101信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.2 用户访问管理用户访问管理用户注册用户注册通过建立正式的用户注册和注销程序通过建立正式的用户注册和注销程序获取多用户信息系统及服务的权限获取多用户信息系统及服务的权限特权管理特权管理应对特权分配和使用进行限制和控制应对特权分配和使用进行限制和控制 用户口令管理用户口令管理口令分配应通过正式的管理过程进行口令分配应通过正式的管理过程进行控制控制 控制目标：确保信息系统的访问权限经适当的授权、分配及维护控制目标：确保信息系统的访问权限经适当的授权、分配及维护 用户访问权限用户访问权限评审评审管理层应定期对用户访问权限进行正管理层应定期对用户访问权限进行正式评审式评审 V1.0102信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.3 用户职责用户职责口令的使用口令的使用应要求用户在选择和使用口令时遵守应要求用户在选择和使用口令时遵守优秀的安全惯例优秀的安全惯例无人值守的无人值守的用户设备用户设备应要求用户确保对无人值守的设备进应要求用户确保对无人值守的设备进行适当的保护行适当的保护 控制目标：防止非授权的用户访问以及对信息及处理设施的破坏控制目标：防止非授权的用户访问以及对信息及处理设施的破坏 工作台及电脑工作台及电脑屏幕空净政策屏幕空净政策明确工作台及电脑屏幕空净政策。

明确工作台及电脑屏幕空净政策 V1.0103信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.4 网络访问控制网络访问控制网络服务网络服务使用方针使用方针用户只能直接访问经过访问授权的服用户只能直接访问经过访问授权的服务务 外部连接的外部连接的用户身份鉴别用户身份鉴别 远程用户访问应进行鉴别远程用户访问应进行鉴别 网络中的设备网络中的设备识别识别 应考虑自动设备识别，作为鉴别特定应考虑自动设备识别，作为鉴别特定位置和设备的方法位置和设备的方法控制目标：控制目标：保护使用网络进行的服务活动保护使用网络进行的服务活动 V1.0104信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.4 网络访问控制网络访问控制远程诊断端口的远程诊断端口的保护保护 对诊断端口的访问应进行安全控制对诊断端口的访问应进行安全控制网络隔离网络隔离应采取控制措施，在网络中隔离信息应采取控制措施，在网络中隔离信息服务、用户以及信息系统服务、用户以及信息系统 网络链接控制网络链接控制应根据访问控制方针对用户在共享网应根据访问控制方针对用户在共享网络中的链接能力进行限制络中的链接能力进行限制控制目标：控制目标：保护使用网络进行的服务活动。

保护使用网络进行的服务活动 网络路由控制网络路由控制应对共享网络进行路由控制以确保电应对共享网络进行路由控制以确保电脑连接及信息流不违反访问控制方针脑连接及信息流不违反访问控制方针V1.0105信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.5 操作系统访问控制操作系统访问控制安全登陆程序安全登陆程序应使用安全登陆程序控制操作系统的访问用户识别与鉴别用户识别与鉴别•用户应使用唯一的身份识别（用户代 码） 供其个人单独使用，以确保追溯个人责任• 应选择合适的鉴别技术以证实用户身份 口令管理系统口令管理系统口令管理系统应提供有效的及交叉功能，以确保有效的口令质量 控制目标：防止非授权的电脑访问控制目标：防止非授权的电脑访问 V1.0106信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.5 操作系统访问控制操作系统访问控制系统实用程序系统实用程序使用使用对系统实用程序的使用应进行限制并对系统实用程序的使用应进行限制并严密进行控制严密进行控制终端超时终端超时对高风险区域的对高风险区域的\或为高风险系统提供服务或为高风险系统提供服务的非活跃性终端的非活跃性终端.在其非活动时间超过规定在其非活动时间超过规定时限后时限后,应进行关闭以防止非授权访问应进行关闭以防止非授权访问连接时间限制连接时间限制应对高风险系统的应用进行连接时间应对高风险系统的应用进行连接时间限制，以提供更多安全控制限制，以提供更多安全控制 控制目标：防止非授权的电脑访问。

控制目标：防止非授权的电脑访问 V1.0107信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.6 应用系统及信息访问控制应用系统及信息访问控制信息访问限制信息访问限制应根据访问控制方针对信息及应用系应根据访问控制方针对信息及应用系统功能的访问进行限制统功能的访问进行限制 敏感信息隔离敏感信息隔离对敏感系统应提供隔离的计算机工作对敏感系统应提供隔离的计算机工作环境环境控制目标：防止非授权访问信息系统的信息控制目标：防止非授权访问信息系统的信息 V1.0108信息安全管理体系标准培训A11 访问控制访问控制启明星辰团队A11.7可移动计算机工作及远程工作可移动计算机工作及远程工作可移动计算及可移动计算及通讯通讯应建立正式的方针并采取合适的控制应建立正式的方针并采取合适的控制措施措施,预防应用可移动计算及通讯设预防应用可移动计算及通讯设施工作施工作\特别在非保护环境下进行工特别在非保护环境下进行工作的风险作的风险 远程工作远程工作应制订方针、程序和标准，对远程工应制订方针、程序和标准，对远程工作进行授权和控制作进行授权和控制控制目标：确保使用可移动计算机及远程设施进行工作时的信息安全。

控制目标：确保使用可移动计算机及远程设施进行工作时的信息安全 V1.0109信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.1 信息系统安全要求信息系统安全要求安全要求安全要求分析与规范分析与规范新系统以及现有系统改进的业务需求新系统以及现有系统改进的业务需求应规定安全控制要求应规定安全控制要求控制目标：确保安全是信息系统的一部分控制目标：确保安全是信息系统的一部分 V1.0110信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.2 应用中的正确处理应用中的正确处理输入数据确认输入数据确认应对输入应用系统的数据进行确认以应对输入应用系统的数据进行确认以确保数据准确性和适应性确保数据准确性和适应性内部处理过程内部处理过程控制控制应在系统中设置确认检查功能以监测应在系统中设置确认检查功能以监测对处理数据的滥用对处理数据的滥用 消息完整性消息完整性识别在应用中消息的可认证性及完整识别在应用中消息的可认证性及完整性的要求，并识别和采取控制措施性的要求，并识别和采取控制措施输入数据确认输入数据确认应对应用系统输出数据进行确认以确应对应用系统输出数据进行确认以确保对存储数据的处理正确及合适保对存储数据的处理正确及合适 控制目标：防止应用系统中用户数据丢失、修改或滥用。

控制目标：防止应用系统中用户数据丢失、修改或滥用 V1.0111信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.3 加密控制加密控制加密控制方针加密控制方针对使用加密控制技术保护信息应制订对使用加密控制技术保护信息应制订方针方针密钥管理密钥管理应使用密钥管理系统支持加密技术，应使用密钥管理系统支持加密技术，密钥管理系统应以相互商定的标准、密钥管理系统应以相互商定的标准、程序和方法为基础程序和方法为基础 控制目标：保护信息的保密性、真实性和完整性控制目标：保护信息的保密性、真实性和完整性 V1.0112信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.4系统文件安全系统文件安全操作软件控制操作软件控制应建立程序控制在操作系统上执行的应建立程序控制在操作系统上执行的软件软件系统测试数据系统测试数据保护保护测试数据应进行保护和控制测试数据应进行保护和控制.系统源程序库系统源程序库访问访问对系统源程序库的访问应进行严格控对系统源程序库的访问应进行严格控制制控制目标：确保控制目标：确保IT项目及辅助性活动以安全的方式进行。

项目及辅助性活动以安全的方式进行 V1.0113信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.5 开发与支持过程的安全变更控制应使用正式的变更控制程序以严格控制变更实施对运行系统变更进行技术评审应用系统变更时，应进行评审和测试软件包变更限制应限制对软件包的更改，基本变更进行严格控制控制目标：维护应用系统软件及信息的安全控制目标：维护应用系统软件及信息的安全V1.0114信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.5 开发与支持过程的安全开发与支持过程的安全信息泄露信息泄露防止信息泄露防止信息泄露外包的软件开发外包的软件开发应采取控制措施保护外包软件开发的应采取控制措施保护外包软件开发的安全安全控制目标：维护应用系统软件及信息的安全控制目标：维护应用系统软件及信息的安全V1.0115信息安全管理体系标准培训A12 信息系统获取、开发及维护信息系统获取、开发及维护启明星辰团队A12.6 技术脆弱性管理技术脆弱性管理控制技术脆弱性控制技术脆弱性• 应及时获取在用信息系统的技术脆应及时获取在用信息系统的技术脆弱性弱性• 评估脆弱性并采取适当措施评估脆弱性并采取适当措施控制目标：降低由于公开的脆弱性而导致的风险。

控制目标：降低由于公开的脆弱性而导致的风险 V1.0116信息安全管理体系标准培训A13 信息安全事件管理信息安全事件管理启明星辰团队A13.1 报告信息安全事件和弱点报告信息安全事件和弱点报告安全事件报告安全事件应尽快通过合适的管理渠道报告安全应尽快通过合适的管理渠道报告安全事件 报告安全弱点报告安全弱点报告软件故障报告软件故障从事件中从事件中吸取教训吸取教训应要求用户注意并报告任何系统或服应要求用户注意并报告任何系统或服务中已发现或怀疑的安全弱点务中已发现或怀疑的安全弱点 应建立报告软件故障的程序应建立报告软件故障的程序 应建立相应的管理机制以量化和监视应建立相应的管理机制以量化和监视事件和故障的类型、大小和成本事件和故障的类型、大小和成本 纪律处置过程纪律处置过程对违反组织信息安全方针和程序的员对违反组织信息安全方针和程序的员工通过正式的纪律处置过程进行处理工通过正式的纪律处置过程进行处理 控制目标：确保与信息系统相关的信息安全事件和弱点得到沟通，以控制目标：确保与信息系统相关的信息安全事件和弱点得到沟通，以及时采取纠正措施及时采取纠正措施V1.0117信息安全管理体系标准培训A13 信息安全事件管理信息安全事件管理启明星辰团队A13.2 管理信息安全事件并改进管理信息安全事件并改进控制目标：确保采取持续有效的措施管理信息安全事件控制目标：确保采取持续有效的措施管理信息安全事件职责和程序职责和程序从事件中从事件中吸取教训吸取教训明确管理职责，制订程序以确保快速明确管理职责，制订程序以确保快速有效地响应信息安全事件有效地响应信息安全事件应建立相应的管理机制以量化和监视应建立相应的管理机制以量化和监视事件和故障的类型、大小和成本。

事件和故障的类型、大小和成本 证据收集证据收集信息安全事件涉及后续调查及法律行信息安全事件涉及后续调查及法律行为，应根据相关司法要求收集证据为，应根据相关司法要求收集证据V1.0118信息安全管理体系标准培训A14 业务连续性管理业务连续性管理启明星辰团队A14.1 与信息安全相关的业务连续与信息安全相关的业务连续性管理性管理在业务连续性在业务连续性管理过程中包含管理过程中包含信息安全信息安全在组织全面的业务连续性管理过程中在组织全面的业务连续性管理过程中明确信息安全管理要求明确信息安全管理要求业务连续性及业务连续性及风险评估风险评估识别造成组织业务中断的事件，并考识别造成组织业务中断的事件，并考虑中断的可能性以及对信息安全造成虑中断的可能性以及对信息安全造成的影响的影响控制目标：控制目标：防止由于重大信息系统故障或灾难导致的业务活动中断，保护组织关键业务防止由于重大信息系统故障或灾难导致的业务活动中断，保护组织关键业务活动 制订并执行制订并执行包含信息安全的包含信息安全的连续性计划连续性计划制订并执行计划，确保信息可用性，制订并执行计划，确保信息可用性，以保证在组织关键业务过程遭到影响以保证在组织关键业务过程遭到影响或发生瘫痪时维持或及时恢复业务运或发生瘫痪时维持或及时恢复业务运行行V1.0119信息安全管理体系标准培训A14 业务连续性管理业务连续性管理启明星辰团队A14.1与信息安全相关的业务连续与信息安全相关的业务连续性管理性管理业务连续性计划业务连续性计划框架框架应维持统一的业务连续性计划框架以应维持统一的业务连续性计划框架以确保所有计划的一致性，并确定进行确保所有计划的一致性，并确定进行测试和实施的优先排序测试和实施的优先排序计划测试计划测试\维护维护与再评估与再评估应对业务连续性计划进行定期测试，应对业务连续性计划进行定期测试，并通过定期评审以保持连续性计划保并通过定期评审以保持连续性计划保持最新及有效持最新及有效控制目标：控制目标：防止由于重大故障或灾难导致的业务活动中断，保护组织关键业务活动。

防止由于重大故障或灾难导致的业务活动中断，保护组织关键业务活动 V1.0120信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队在发生以下重大信息系统故障或灾难导致的业务活动中断，我在发生以下重大信息系统故障或灾难导致的业务活动中断，我们的关键系统在多长时间能够恢复们的关键系统在多长时间能够恢复, ,如何恢复如何恢复? ?自然灾害意外事件人为事件地震、海啸、台风、暴雨、洪水大规模传染病、火灾、通信故障（网络中断）、设备故障、软件故障、停电黑客入侵、爆炸V1.0121信息安全管理体系标准培训业务连续性风险分析业务连续性风险分析启明星辰团队业务连续性计划启始于业务连续性风险分析业务连续性计划启始于业务连续性风险分析• 影响业务连续性的事件• 可能的危机类型• 业务影响分析• 业务连续性管理策略• 业务功能分类• 业务连续性恢复目标• 确定业务恢复的顺序V1.0122信息安全管理体系标准培训影响业务连续性的事件影响业务连续性的事件启明星辰团队在风险评估结果已经识别出相关事件在风险评估结果已经识别出相关事件,例如例如:自然灾害意外事件人为事件地震、海啸、台风、暴雨、洪水地震、海啸、台风、暴雨、洪水大规模传染病、火灾、通信故障（网络中大规模传染病、火灾、通信故障（网络中断）、设备故障、软件故障、停电断）、设备故障、软件故障、停电黑客入侵、爆炸黑客入侵、爆炸风险评估中已经对部分业务中断确定了相应的预防措施风险评估中已经对部分业务中断确定了相应的预防措施V1.0123信息安全管理体系标准培训后果严重程度后果严重程度启明星辰团队各类事件造成的后果程度可能不同，大致分为各类事件造成的后果程度可能不同，大致分为:• 单一业务功能中断• 多个业务功能中断 • 公司现场不可用• 城市不可用• 国家暴乱V1.0124信息安全管理体系标准培训业务影响分析业务影响分析启明星辰团队业务影响分析的是对各个业务单元的重要程度进行分析业务影响分析的是对各个业务单元的重要程度进行分析:• 描述各个业务单元• 对各个业务单元重要程度进行分析• 确定业务功能分类• 确定业务单元允许中断的最长时间V1.0125信息安全管理体系标准培训业务影响分析业务影响分析启明星辰团队业务影响分析需要考虑以下因素：业务影响分析需要考虑以下因素：序号评价因素理解要点评价分值1战略影响对公司战略影响程度1 – 10分2业务功能重要程度可容忍缺损时间(没有该业务功能不会造成任何业务影响和损失)1 – 10分3运作影响缺损该业务功能,对其他业务运作的影响程度1 – 10分4财务影响由于该失去该业务功能，造成的销售损失1 – 10分5法律影响缺损该业务功能,是否造成违反法律要求\合同要求\罚款或法律诉讼1 – 10分6客户信任度影响是否影响与客户的关系1 – 10分7市场占有率影响是否导致失去市场占有率1 – 10分8竞争力影响是否影响在行业的排名1 – 10分9未来业务机会的影响是否影响未来销售1 – 10分10最大可容忍中断时间根据客户需求、公司整体运作需求，对可容忍的中断时间进行定义用小时表达V1.0126信息安全管理体系标准培训业务功能分类业务功能分类启明星辰团队根据业务影响分析结果，确定各个业务单元的关键程度：根据业务影响分析结果，确定各个业务单元的关键程度：• 关键业务功能（critical functions） - 完全危害公司业务• 基础业务功能（essential functions）- 影响组织长久运作能力• 必要业务功能（necessary functions）- 组织可以继续运作， 但影响运作有效性V1.0127信息安全管理体系标准培训业务连续性恢复目标业务连续性恢复目标启明星辰团队在业务影响分析过程中，应根据恢复需求，确定：在业务影响分析过程中，应根据恢复需求，确定：• 业务功能允许最长中断时间• 目标恢复时间 — 灾难发生后，恢复关键业务功能的时间• 目标恢复容量 — 灾难发生后，恢复关键业务功能的容量（完全 还是部分）V1.0128信息安全管理体系标准培训确定恢复顺序确定恢复顺序启明星辰团队根据业务功能分类以及恢复需求，确定恢复现有顺序：根据业务功能分类以及恢复需求，确定恢复现有顺序：V1.0129信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队编制具体的业务连续性计划：编制具体的业务连续性计划：• 业务连续性计划的编制需要各相关业务领域人员参与• 一个完整的业务连续性计划应包含：• 应急响应程序• 业务重新开始程序• 灾难恢复程序• 业务连续程序V1.0130信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队应急响应程序应包括应急响应程序应包括•应急响应资源需求 —— 描述进行应急影响需要的资源以及这些资源的配置、备份等信息。

•响应通知联络表 —— 描述在应急情况下信息沟通联络方式，包括联络人（说明岗位）、联络、地址、EMAIL等等•疏散要求 —— 应急情况如产生伤害，应说明疏散程序•灾难评估 —— 应详细描述针对灾难进行分析评估的方法•何时宣布灾难 —— 说明在什么情况可以宣布灾难，并应说明灾难类型，以帮助启动业务连续性计划•业务连续性计划启动标准 —— 说明在什么情况下启动业务连续性计划，例如：网络服务或服务器在24小时内不能启用、或者主工作现场在48小时内不可能恢复工作V1.0131信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队业务重新开始程序保证在备份现场及时启用业务重新开始程序保证在备份现场及时启用• 确定启用哪个备份现场可以保障关键业务功能的恢复• 冷备份现场 (cold site)• 热备份现场(hot site)• 暖备份现场(warm site)• 移动现场(mobile site)• 镜相现场(mirror site)•描述备份现场所需要的资源,包括:•这些资源的来源，配置标准等等•恢复备份现场环境的程序，包括基础设施、通信、网络、必要的工作站等等V1.0132信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队灾难恢复程序应包括的内容灾难恢复程序应包括的内容:• 操作系统恢复• 按照应用系统关键程度恢复应用系统• 数据恢复程序• 确认恢复状态• 关键业务功能开始正常运行的程序V1.0133信息安全管理体系标准培训业务连续性管理业务连续性管理启明星辰团队业务持续保证所有业务在主现场正常运作业务持续保证所有业务在主现场正常运作• 现场恢复组织• 现场物理环境\基础设施等维修• 如果现场完全不能恢复，选择其他场地的要求，包括基础架构、设备、硬件、网络、应用系统等等• 测试并确认现场条件满足要求• 数据恢复程序• 所有业务恢复的程序，包括各个业务单元搬迁顺序、恢复程序等等V1.0134信息安全管理体系标准培训A15 符合性符合性启明星辰团队控制目标：防止违反任何刑事及民事法律、法规或合同义务以及任何安全要求。

控制目标：防止违反任何刑事及民事法律、法规或合同义务以及任何安全要求 适用法规识别适用法规识别对每一信息系统应清晰识别所有相关对每一信息系统应清晰识别所有相关的法律、法规及合同要求，并形成文的法律、法规及合同要求，并形成文件件知识产权知识产权应执行合适的程序，以确保在使用涉应执行合适的程序，以确保在使用涉及知识产权的材料及专利软件产品时及知识产权的材料及专利软件产品时符合法律限制要求符合法律限制要求组织记录保护组织记录保护应对组织重要记录进行保护，防止丢应对组织重要记录进行保护，防止丢失、破坏和造假失、破坏和造假A15.1 符合法律要求符合法律要求V1.0135信息安全管理体系标准培训A15 符合性符合性启明星辰团队A15.1 符合法律要求符合法律要求个人信息数据及个人信息数据及隐私保护隐私保护应采取控制措施以确保按照相关法规应采取控制措施以确保按照相关法规要求保护个人信息要求保护个人信息防止信息处理防止信息处理设施滥用设施滥用管理人员应授权信息处理设施的使用，管理人员应授权信息处理设施的使用，并应采取控制措施防止设施误用并应采取控制措施防止设施误用控制目标：防止违反任何刑事及民事法律、法规或合同义务以及任何安全要求。

控制目标：防止违反任何刑事及民事法律、法规或合同义务以及任何安全要求 加密控制规章加密控制规章应采取控制措施以确保按照国家协议、应采取控制措施以确保按照国家协议、法律、法规或其他工具控制加密措施法律、法规或其他工具控制加密措施的访问或使用的访问或使用 V1.0136信息安全管理体系标准培训A15 符合性符合性启明星辰团队A15.2 符合安全方针及标准，以及符合安全方针及标准，以及技术符合性技术符合性信息安全方针信息安全方针与标准符合性与标准符合性经理人员应采取措施确保其职责范围内的经理人员应采取措施确保其职责范围内的信息安全程序得到正确执行，组织所有区信息安全程序得到正确执行，组织所有区域应定期进行评审以确保符合信息安全方域应定期进行评审以确保符合信息安全方针和标准针和标准 技术符合性检查技术符合性检查应定期对信息系统进行检查以确保符应定期对信息系统进行检查以确保符合安全实施标准合安全实施标准 控制目标：确保系统符合组织信息安全方针及标准控制目标：确保系统符合组织信息安全方针及标准 V1.0137信息安全管理体系标准培训案例练习三案例练习三启明星辰团队理解标准要求理解标准要求 —— 控制目标及控制措施控制目标及控制措施V1.0138信息安全管理体系标准培训。