摘要:防病毒管理目的是规范防病毒管理过程,加强病毒的预防和治理,提高病毒防范能力,提升病毒处置水平,防范和化解病毒带来的信息安全风险,保障信息系统安全稳定运行。 ▼▼防病毒管理原则 病毒防治工作遵循“预防为主、综合防御、及时治理”的原则。防病毒产品应选择企业版标准产品,应实现在组织范围内统一部署、统一升级 阅读全文
信息安全管理32_通用安全管理checklist
2021-06-30 09:19 by 微言晓意, 379 阅读, 0 推荐, 收藏, 编辑
摘要:通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾。内容包含安全策略与计划、组织和人员安全、安全工程管理、安全产品管理与符合性五部分。 一、安全策略与安全计划 ▼▼安全策略 是否建立组织的安全策略体系?包括总体安全策略、问 阅读全文
信息安全管理31_信息安全符合性管理策略
2021-06-25 17:11 by 微言晓意, 314 阅读, 0 推荐, 收藏, 编辑
摘要:信息安全符合性管理策略目的是为了增强自我约束能力,确保信息安全管理体系符合国家信息安全相关的法律法规、标准要求。 一、法律法规符合性 ▼▼法律条款识别 组织应识别出适用的信息安全方面的法律法规,并确定具体适用的条款,将识别出的法律法规登记在《信息安全法律法规清单》中。要识别的信息安全方面法律法规包括 阅读全文
信息安全管理30_运行管理checklist
2021-06-25 17:08 by 微言晓意, 306 阅读, 0 推荐, 收藏, 编辑
摘要:运行管理checklist内容包括日常操作与维护管理、变更管理、备份与故障恢复、应急与业务连续性管理等内容。 一、日常操作与维护管理 ▼▼制度与流程 是否建立日常运行操作制度与流程?包括网络、主机、应用等方面的操作制度与流程? 是否明确相关部门和人员的职责?如:网络负责人、应用负责人。 ▼▼网络管理 阅读全文
信息安全管理29_业务连续性管理策略
2021-06-24 10:28 by 微言晓意, 798 阅读, 0 推荐, 收藏, 编辑
摘要:业务连续性管理策略定义了业务连续性管理标准,是业务连续性计划制定和维护的准则。内容包括业务影响分析、业务连续性计划、业务连续性培训与演练等方面的管理。 一、业务连续性管理组织 信息安全领导小组负责建立业务连续性工作组。工作组应满足以下原则: 高级管理人员担任协调官 包含资深业务人员 包含职能、危机处 阅读全文
信息安全管理28_灾备与业务连续性管理checklist
2021-03-05 13:40 by 微言晓意, 511 阅读, 0 推荐, 收藏, 编辑
摘要:灾备与业务连续性管理checklist包括业务连续性管理过程、业务影响分析、业务连续性计划、业务连续性实施、业务连续性测试与演练五部分内容。 一、业务连续性管理过程 ▼▼业务连续性管理职责 1.1是否指定专人或部门全面负责业务连续性计划或管理流程及其测试方案的的开发、实施及维护? 1.2是否有必要的 阅读全文
信息安全管理27_信息安全事件管理策略
2021-03-05 13:39 by 微言晓意, 650 阅读, 0 推荐, 收藏, 编辑
摘要:信息安全事件管理的目的是规范突发安全事件的处理,降低其对信息资产造成机密性、完整性、可用性方面的负面影响,包括信息安全事件分类、报告、处理、分析、总结等方面的内容。 一、事件分类分级 ▼▼事件分类 根据信息安全事件发生的原因、表现形式等,把信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信 阅读全文
信息安全管理26_供应商与外包安全管理checklist
2021-03-05 13:37 by 微言晓意, 720 阅读, 0 推荐, 收藏, 编辑
摘要:供应商与外包安全管理包括供应商与外包管理制度与风险评估、外包需求定义与与服务商选择、供应商与外包服务合约管理、供应商与外包服务合约管理四方面的内容。 一、供应商与外包管理制度与风险评估 ▼▼外包管理流程 是否建立供应商与外包管理规范、流程? 供应商与外包管理是否包括需求定义、服务商选择、服务合约签订 阅读全文
信息安全管理25_信息安全组织管理策略
2021-01-13 15:05 by 微言晓意, 821 阅读, 0 推荐, 收藏, 编辑
摘要:信息安全组织管理目的是建立信息安全责任体系和定义组织内的信息安全责任,建立清晰的信息安全责任体系是实现信息安全目标的保证。 一、信息安全组织架构与职责定义 信息安全组织为跨部门协调组织,由信息安全领导组、信息安全管理组、信息安全执行组、信息安全审计组组成。 ▼▼信息安全领导组 信息安全领导组是信息安 阅读全文
信息安全管理24_网络设计安全评估checklist
2021-01-13 15:01 by 微言晓意, 380 阅读, 0 推荐, 收藏, 编辑
摘要:网络设计安全评估内容包括网络整体架构、网络访问控制、网络通信保密、威胁防护、网络管理、网络可用性六个方面。 一、网络整体架构 ▼▼网络结构 网络结构是否合理? ▼▼安全隔离 内外网之间是否采用合适的隔离措施? 内外网之间是否采用NAT? ▼▼安全域 内网是否划分安全域,明确安全防护边界? 二、网络访 阅读全文
信息安全管理23_供应商安全管理策略
2021-01-11 17:31 by 微言晓意, 797 阅读, 0 推荐, 收藏, 编辑
摘要:供应商安全管理目的是对供应商在服务过程中的信息安全管理提供规范、指导,内容包括供应商的调查、合同协议、服务交付及日常监督等管理过程。 一、供应商风险分析与评估调查 ▼▼供应商风险分析 当供应商在业务往来过程中需要访问组织的场所、信息、设备及应用系统时,应充分评估第三方访问所带来的信息安全风险,并应确 阅读全文
信息安全管理22_外包人员安全管理checklist
2021-01-11 17:29 by 微言晓意, 867 阅读, 1 推荐, 收藏, 编辑
摘要:外包人员安全管理目的是控制外包人员管理不善带来的信息泄露、违规操作等安全风险,内容包括外包人员入场、驻场、离场三个方面的安全控制内容。 一、外包人员入场安全管理 ▼▼外包人员调查 是否对外包人员的能力、资质进行调查及验证? 是否对外包人员背景(履历、行为)进行调查? 是否要求外包人员入场时提供个人简 阅读全文
信息安全管理21_密码控制与密钥安全管理策略
2020-12-17 09:26 by 微言晓意, 881 阅读, 0 推荐, 收藏, 编辑
摘要:密码控制与密钥安全管理策略目的是确保使用恰当并有效的控制措施来保护信息的保密性、真实性或完整性,主要内容包括密码控制使用策略,密钥管理人员配备,密钥的生成、分发与传送、装载和启用、保管与交接、删除与销毁等内容。 01.密码控制使用策略 在信息系统建设过程中,应通过使用适当的加密控制措施实现不同的安全 阅读全文
信息安全管理20_开发测试安全管理checklist
2020-12-17 09:24 by 微言晓意, 404 阅读, 0 推荐, 收藏, 编辑
摘要:开发测试安全管理包括安全需求、安全设计、安全编码测试、系统部署上线、商用及开源软件使用、开发测试资源安全六个部分的内容。 01.安全需求 在信息系统需求阶段是否考虑安全需求? 信息系统安全需求是否经过论证? 信息系统安全需求过程是否有业务部门参与? 信息系统安全需求是否有合规部门参与? 信息系统安全 阅读全文
信息安全管理19_信息系统开发与维护安全控制要点与管理策略
2020-12-10 09:14 by 微言晓意, 896 阅读, 0 推荐, 收藏, 编辑
摘要:信息系统开发与维护安全管理是为了提高软件开发安全水准,规范软件安全开发过程活动,适用于信息系统软件开发生命周期的安全技术及安全开发过程的全面管理。 01.软件开发生命周期及安全活动 整个软件开发生命周期分成六步:软件需求、软件设计、软件实现、软件上线、软件的运维、软件的废弃。在整个软件开发生命周期中 阅读全文
信息安全管理18_系统安全管理checklist
2020-12-07 17:16 by 微言晓意, 598 阅读, 0 推荐, 收藏, 编辑
摘要:系统安全管理包括身份鉴别、访问控制、可靠性与可用性、系统监控、日志审计、管理员行为审计、系统安全评估与加固、数据备份、系统安全应急九个部分的内容。操作系统、数据库、应用系统可以酌情裁剪。 01.身份鉴别 是否使用双因素认证来进行身份鉴别? 账号权限是否具有集中管理系统(如堡垒主机系统)? 是否制定了 阅读全文
信息安全管理17_访问控制安全管理策略
2020-12-07 17:15 by 微言晓意, 1273 阅读, 0 推荐, 收藏, 编辑
摘要:访问控制管理是为了防止信息及信息(资产)系统未经授权的访问,信息系统包括各种应用系统、操作平台、数据库、中间件、网络设备、安全系统和设备等。 01.访问控制业务需求 访问授权与控制是对访问信息资源的用户赋予使用权限并在对资源访问时按授予的权限进行控制。关于访问授权与控制的方针定义如下: 最小授权:应 阅读全文
信息安全管理16_网络安全管理checklist
2020-11-24 09:29 by 微言晓意, 610 阅读, 0 推荐, 收藏, 编辑
摘要:网络安全管理checklist包括网络架构设计、网络可靠性与可用性、账号权限管理、远程访问、网络监控与审计、网络安全评估与加固、网络安全应急七个部分内容。 01.网络架构设计 是否具有完善的网络设计文档和网络拓扑图? 当前网络运行情况是否与网络拓扑结构图相符? 网络是否网络是否划分安全域,明确安全防 阅读全文
信息安全管理15_通信与操作安全控制要点与管理策略
2020-11-24 09:27 by 微言晓意, 547 阅读, 0 推荐, 收藏, 编辑
摘要:通信与操作安全目的是保障信息处理设施及网络中信息的安全性,以及确保正确、安全地操作信息处理设施。内容涉及网络隔离与管理、网络服务安全管理及信息传递安全管理,以及信息系统及基础设施的安全运行与维护等。 01.网络隔离与安全管理 应采取有效措施对网络进行必要的安全隔离,保证系统之间的相互独立,使系统之间 阅读全文
信息安全管理14_普通员工信息安全管理checklist
2020-11-24 09:24 by 微言晓意, 422 阅读, 0 推荐, 收藏, 编辑
摘要:普通员工信息安全管理checklist包括终端安全、软件安装、终端防病毒、网络访问管理、移动终端安全、资料安全、移动介质安全、人事安全管理、物理安全控制九个部分内容。 01.终端安全管理 工作中使用的终端电脑是否公司配备? 工作过程中是否终端电脑为自己专用而不需要共用? 工作电脑是否加入公司域进行统 阅读全文
信息安全管理13_人力资源安全控制要点与管理策略
2020-11-06 09:42 by 微言晓意, 630 阅读, 0 推荐, 收藏, 编辑
摘要:人力资源安全管理的目的是定义人员安全职责,规范人员安全行为,规避或降低日常工作中因人员因素所导致的信息安全风险。人力资源安全管理范围包括内部员工、承包方人员和第三方人员。 01.雇佣前 应对任用的候选人员进行充分的筛选审查,特别是对于关键岗位、关键职务人员,以及其他会大量接触敏感信息的人员。人力资源 阅读全文
信息安全管理12_聊聊物理安全那些最佳实践案例
2020-11-06 09:39 by 微言晓意, 584 阅读, 0 推荐, 收藏, 编辑
摘要:最早在2019年时我写了篇《闲扯物理环境安全的那些坑》,对十几年中了解的物理安全风险与事故进行了一个总结。今年在信息安全与IT风险管理系列文章中,也物理安全控制要点与策略、机房安全管理进行了介绍。今天这篇文章介绍下在物理安全方面,我所了解的一些最佳实践案例,来作为物理安全这一小节的收官。 一、区域进 阅读全文
信息安全管理11_机房安全管理checklist
2020-11-06 09:35 by 微言晓意, 395 阅读, 0 推荐, 收藏, 编辑
摘要:1-机房门禁及进出管理 机房区域是否使用门禁系统? 机房区域大门是否默认处于关闭状态? 进入机房区域的门禁卡是否做到每人一张? 保洁人员是否需要进入机房? 保洁人员是否拥有可以进入机房的门禁卡? 外部人员进入机房是否进行审批? 外部人员进入机房是否有专人进行陪同? 外部人员进入机房是否需要填写机房进 阅读全文
信息安全管理10_物理安全控制要点与管理策略
2020-10-16 11:08 by 微言晓意, 1288 阅读, 0 推荐, 收藏, 编辑
摘要:物理安全是最基础的,同时也是最重要的,是整体信息安全的基础,如果管控不善会导致致命的损失,这一点在《闲扯物理环境安全的那些坑》已经足以能够说明问题了。 物理安全管理与控制的目的是避免由于物理环境管理不善所带来的各种安全风险,涉及到物理区域划分、物理安全控制措施实施、IT设备维护与管理等方面。物理安全 阅读全文
信息安全管理09_信息安全风险评估总结与展望
2020-10-14 09:23 by 微言晓意, 464 阅读, 0 推荐, 收藏, 编辑
摘要:信息安全风险评估除了定性评估、半定量评估、基于业务线LOB评估外,还包括合规基线评估、基于流程的安全评估、基于应用生命周期评估等等,这些都是在基本的风险评估的基础上,按评估目的进行了局部必要的改变,其评估的核心方法并没有改变,在此就不再一一进行介绍。 前面六篇文章将信息安全风险评估大体上进行了一个梳 阅读全文
信息安全管理08_基于业务线LOB风险评估方法
2020-10-14 09:21 by 微言晓意, 357 阅读, 0 推荐, 收藏, 编辑
摘要:基于资产的半定量风险评估方法虽然逻辑比较严谨,但在真正实施时却有一个非常大的不足,就是识别出来的资产特别多的话,会存在大量的风险是重复的,即很多资产都存在同样的风险,尤其是安全风险并不是资产本身的原因所带来的更是如此。 针对这个问题,很多人可能会提出那只识别关键资产来进行风险评估,不就能够把这个问题 阅读全文
信息安全管理07_基于资产半定量风险评估方法
2020-10-13 09:16 by 微言晓意, 595 阅读, 0 推荐, 收藏, 编辑
摘要:基于资产半定量风险评估方法多应用于信息安全管理体系(ISMS)建设及ISO27001认证,该评估方法相对于定性评估来讲,资产识别更加详细,风险计算更加合理,逻辑也更加严密成体系。 本文就以资产识别、威胁评估、弱点评估、风险评价、风险处置、评价残余风险六个阶段步骤,来介绍基于资产半定量风险评估方法。 阅读全文
信息安全管理06_定性信息安全风险评估方法
2020-09-04 11:04 by 微言晓意, 603 阅读, 0 推荐, 收藏, 编辑
摘要:定性信息安全风险评估方法常用于专业安全评估团队对特定系统或平台的安全评估中,本文就以安全评估项目过程为主线,从评估准备、现状调研、现状分析、检查与测试、分析评价、评估报告六个阶段步骤,来介绍定性信息安全风险评估方法。 一、评估准备 评估准备阶段需要确定评估目标和范围、成立评估组、制定评估实施计划、收 阅读全文
信息安全管理05_定量信息安全风险评估方法
2020-09-04 10:59 by 微言晓意, 685 阅读, 0 推荐, 收藏, 编辑
摘要:定量信息安全风险评估方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量评估就是试图从数字上对安全风险进行分析评价的一种方法。定量风险 阅读全文
信息安全管理04_信息安全风险评估过程与方法
2020-08-03 15:19 by 微言晓意, 1036 阅读, 0 推荐, 收藏, 编辑
摘要:在上一篇《信息安全是基于风险的管理》介绍了风险管理、风险控制以及信息安全风险各要素的定义,今天在介绍信息安全风险评估过程与方法之前,先对信息安全风险做一个定义总结,所谓信息安全风险即是: 一个特定的威胁利用一个或一组信息资产技术或管理中的弱点导致资产(或业务)损失或者破坏的潜在可能性。 通过定义我们 阅读全文