本文详细介绍了ISO27001中的信息安全策略,包括信息安全管理方向、信息安全组织、人力资源安全、资产管理等方面,强调了策略声明的内容、信息安全角色和职责、员工培训、资产管理和访问控制的重要性。内容涵盖从任用前的背景调查到任用后的责任变更,以及移动设备和远程办公的安全措施,旨在确保组织信息安全管理的全面性和有效性。
0x000 前言部分
来自ISO/IEC 27002:2013引言部分
组织识别出其安全要求是非常重要的,安全要求有三个主要来源:
1. 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
2. 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;
3. 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
来自崇尚简洁的我
识别组织信息安全要求:
- 资产风险评估 基于整体业务或者战略目标,评估业务相关资产效益,识别资产可能存在脆弱性和面临威胁;
- 事业环境因素 基于组织外部相关方期望、社会期望、法律、法规、协议,安排信息安全要求;
- 组织数据治理 基于业务环境识别组织数据生命周期的过程中,发现薄弱的环节。
A5 信息安全策略
A5.1 [原文]信息安全管理方向
目标:为信息安全提供管理指导和支持并确保信息安全,符合业务需求和相关法律、法规;
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 5.1.1 | 信息安全策略 | 控制类 | 信息安全方针文件应由管理这批准 ,发布传达给所有员工和外部相关方。 |
| 5.1.2 | 安全策略评审 | 控制类 | 应计划时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性 |
A5.1-1信息安全策略声明内容
- 管理者意图知道所有信息安全相关活动的信息安全、目标和原则的定义;
- 已定义角色信息安全管理一般和特定职责的分配,专人专责维护信息安全策略;
- 信息安全、整体目标和范围的定义,以及允许信息共享机制下安全的重要性;
- 设置控制目标和控制措施的框架,包括风险评估和风险管理的结构;
- 对组织特别重要的原则、标准和符合性要求的简要说明{法规、协议、安全教育、BCP、违反策略惩罚}
- 更加详细的支持文件引用。
A5.1-2 信息安全策略属性
- 地位 [方针/策略]在信息安全管理体系[ISMS]中居于最高层次的核心地位;
- 作用 所有细化的管理制度、流程、规范、指南都必须与[方针/策略]相一致,在[方针/策略]的约束和指导下制定;
- 内容 阐述信息安全的目标、信息安全管理的范围、信息安全管理的基本原则等;
- 结构 由上至下渐进明细:[全局]总体安全策略–[全局]面向问题策略–[局部]面向信息系统策略。
- 周期 初次制定–> 评审-- 高层认可–> 周期评审–优化改进–高层认可–>组织重大变化–评审–优化改进–高层认可;
A5.1-2 信息安全策略特征
- 全面性 覆盖信息安全管理各个方面。
- 精确性 简洁明确描述信息安全基本原则和要求。
- 稳定性 不能频繁改变否则会影响员工落实具体信息安全管理工作活动。
- 条理性 基于不同属性进行分解组件,保持每个组件的用途唯一,方便分解任务和保持专注执行。
A6 信息安全组织
A6.1 [原文]内部组织
目标:建立一个管理框架,启动和控制组织内实施信息安全。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 6.1.1 | 信息安全角色和职责 | 控制类 | 所有信息安全职责定义和分配。 |
| 6.1.2 | 与监管机构的联系 | 控制类 | 与监管机构保持适当的接触 |
| 6.1.3 | 与特殊利益团体的联系 | 控制类 | 与特定利益团队,其它专业安全论坛或行业协会应保持适当联系。 |
| 6.1.4 | 项目管理中的信息安全 | 控制类 | 项目类型应融入项目管理,与项目类型无关。 |
| 6.1.5 | 职责分离 | 控制类 | 冲突的职责和权限应该被分离,减少对资产未经授权或者无意的修改或者误用。 |
A6.1.1-1 信息安全角色和职责
- 分配信息安全职责 基于信息安全策略,识别需要保护的资产,分配给对应人员绑定信息安全职责。
- 风险评估活动过程 定义哪些需要处理风险,并对剩余风险进行记录。
- 下发安全管理任务 将防护工作细化分解,并将实施任务下发到具体执行人。
- 监督信息安全管理 监管具体执行人是否完成防护手段的部署,维护其有效性,保护资产免受威胁。
A6.1.1-2 信息安全管理任务下发流程
- 识别并定义资产的实体负责人,将具体负责人与资产对应关系进行文档化信息;
- 定义信息处理权限级别,形成文件;
- 测量分配内部相关人员的能力是否胜任安全职责履行,如果没有需要进行培训;
- 如果是外部供应商执行相关任务,需要进行监督,可能使用协议等约束文件。
A6.1.2-1 为啥需要与监管部门的联系
- 可能监管部门 公共措施、紧急服务、电力、消防、监管机构、监督部门、其它相关执法部门。
- 获取安全信息 最新信息安全法律变更、需要遵守的法律、法规、获取最新安全威胁。
- 上报安全信息 发现安全问题,请求政府部门协助处理,上报已知且处理完成的安全事件。
A6.1.3-1 为啥需要与特定利益集团联系
- 获取信息安全情报 实践知识、专家建议、新技术。
- 了解当前安全环境 脆弱性预警、最新行业动态、并提供适当的信息联络点。
A6.1.4-1 项目管理目标与信息安全目标
- 项目管理中需要包括信息安全管理目标,并将信息安全管理活动加入项目管理计划;
- 定义项目管理中信息安全管理角色和职责;
- 需要在项目早期进行风险评估,并识别并定义必要安全措施;
- 需要在每个项目阶段进行迭代评估,保证信息安全管理的有效性、适宜性。
A6.1.5-1 为啥要有职责分离
- 授权行为 默认生成帐号没有任何权限,没有监测时,不能执行任何操作。
- 监管行为 定义用户职责描述,定期审查具有过多特权的人员,知其所需,防止授权蠕变,减少误用资产信息情况。
- 职责分离 实施和审查帐号不能存在同一帐号,有可能会削弱信息安全管理公正性。
A6.2 [原文]移动设备和远程办公
目标:确保远程办公和移动设备使用的安全性。
| 序号 | 标识 | 类型 | 描述 |
|---|---|---|---|
| 6.2.1 | 移动设备策略 | 控制类 | 应使用配套策略和安全措施来防止移动设备带来的风险 |
| 6.2.2 | 远程办公 | 控制类 | 应使用配套策略和安全措施来保护 信息访问,处理或远程存储 |
A6.2.1-1 移动设备策略与业务数据
- 移动设备策略关注点 物理防护、信息注册、应用控制、补丁管理、访问控制、加密技术、防范恶意代码、数据备份等;
- 物理防护 使用物理方式保证,移动设备中存储设备,防窃,遗落,无人值守等问题;
- 信息注册 处理敏感信息类别,使用年限,使用人,访问权限,硬件编号;
- 人员相关 培训人员具备安全意识,签署保密协议,约束人员数据传播行为;
- 访问控制 注册–标识–授权–审计权限,时间范围,系统权限,内容权限,上下文关联,防止推理攻击;
- 数据保护 移动设备需要具有远程控制的能力,超过时限未使用擦除,密码错误超限擦除,拆机擦除,联网远控;
- 数据备份 数据备份是不能连接任何网络服务;
- 加密技术 传输中加密、静态加密、使用中加密,根据不同场景使用不同的特征水平;
A6.2.2-1 员工远程接入组织内网
- 远程接入关注点 物理安全、加密技术、存储安全、接入服务、安全基线、
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
