The post 國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》11月1日起實(shí)施 first appeared on ISO27001信息安全咨詢公司.

根據(jù)2022年4月15日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2022年第6號(hào)），全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的10項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項(xiàng)數(shù)據(jù)安全方面的重點(diǎn)標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會(huì)的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專家，針對(duì)該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問(wèn)題等方面進(jìn)行解讀，并提出應(yīng)用實(shí)施建議，供各界參考：

數(shù)據(jù)安全審計(jì)

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點(diǎn)，國(guó)際國(guó)內(nèi)均希望通過(guò)法律手段加強(qiáng)數(shù)據(jù)安全保障，一方面要保障國(guó)家安全，另一方面要保障公眾權(quán)益，同時(shí)還要推動(dòng)數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺(tái)。

為了落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時(shí)的法律責(zé)任，特別是落實(shí)《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運(yùn)營(yíng)者的運(yùn)營(yíng)數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時(shí)的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識(shí)別是基礎(chǔ)、分類分級(jí)是根本、風(fēng)險(xiǎn)防控是核心、審計(jì)追溯是底線的四項(xiàng)基本原則，即需要完整識(shí)別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄；根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)者的實(shí)際在符合法律法規(guī)要求的前提下，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)管理；全面分析安全影響和安全風(fēng)險(xiǎn)，積極采取有效措施保障數(shù)據(jù)安全；在整個(gè)數(shù)據(jù)處理過(guò)程保證完整的審計(jì)日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對(duì)應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)）活動(dòng)，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人信息提出了安全要求，并在個(gè)人信息保護(hù)政策、征得個(gè)人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對(duì)個(gè)人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)時(shí)，如通過(guò)App收集個(gè)人信息，相關(guān)安全要求見(jiàn)GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個(gè)人信息基本要求》解讀及實(shí)踐思路

數(shù)據(jù)存儲(chǔ)方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲(chǔ)期限及個(gè)人生物特征識(shí)別信息的存儲(chǔ)等；同時(shí)對(duì)于數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對(duì)定向推送及信息合成及第三方應(yīng)用管理二方面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運(yùn)營(yíng)者在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中，知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。

數(shù)據(jù)傳輸方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者傳輸重要數(shù)據(jù)及個(gè)人敏感信息的安全措施提出了要求，同時(shí)對(duì)于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場(chǎng)景提出了數(shù)據(jù)安全要求。在向他人提供場(chǎng)景下，要求提供前進(jìn)行安全影響分析及風(fēng)險(xiǎn)評(píng)估，并針對(duì)提供個(gè)人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購(gòu)/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開(kāi)方面，提出公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息的場(chǎng)景下，不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對(duì)個(gè)人信息查閱、更正、刪除及用戶賬號(hào)注銷的要求，響應(yīng)了《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報(bào)受理處置的要求，這是平臺(tái)責(zé)任的角度對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問(wèn)控制與審計(jì)的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對(duì)數(shù)據(jù)介質(zhì)銷毀及個(gè)人信息的刪除及匿名化等場(chǎng)景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個(gè)方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國(guó)際、國(guó)家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專門針對(duì)突發(fā)公共衛(wèi)生事件專項(xiàng)預(yù)案啟動(dòng)Ⅰ級(jí)（特別重大）、Ⅱ級(jí)（重大）響應(yīng)的事件時(shí)的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個(gè)人信息服務(wù)協(xié)議、個(gè)人信息收集、個(gè)人信息調(diào)用、人臉識(shí)別驗(yàn)證、信息查閱服務(wù)、公開(kāi)/向他人提供個(gè)人信息及改變個(gè)人信息用途、應(yīng)對(duì)工作結(jié)束后的個(gè)人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，從而落實(shí)《數(shù)據(jù)安全法》等相關(guān)法律對(duì)數(shù)據(jù)安全保護(hù)的要求，履行社會(huì)責(zé)任。

（二）開(kāi)展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過(guò)第三方認(rèn)證來(lái)證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求，從而給予社會(huì)、公眾和客戶信心。

2022年6月5日，國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》實(shí)施認(rèn)證?！稊?shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

The post GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議 first appeared on ISO27001信息安全咨詢公司.

數(shù)據(jù)安全認(rèn)證咨詢

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定，規(guī)定了對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。

2 認(rèn)證依據(jù)

GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

上述標(biāo)準(zhǔn)原則上應(yīng)當(dāng)執(zhí)行國(guó)家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。

3 認(rèn)證模式

數(shù)據(jù)安全管理認(rèn)證的認(rèn)證模式為：

技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督

4 認(rèn)證實(shí)施程序

4.1 認(rèn)證委托

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求，包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書(shū)、相關(guān)證明文檔等。

認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料，認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托資料審查后及時(shí)反饋是否受理。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案，包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等，并通知認(rèn)證委托人。

4.2 技術(shù)驗(yàn)證

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證，并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告。

4.3 現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。

4.4 認(rèn)證結(jié)果評(píng)價(jià)和批準(zhǔn)

認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，作出認(rèn)證決定。對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書(shū)；對(duì)暫不符合認(rèn)證要求的，可要求認(rèn)證委托人限期整改，整改后仍不符合的，以書(shū)面形式通知認(rèn)證委托人終止認(rèn)證。

如發(fā)現(xiàn)認(rèn)證委托人、網(wǎng)絡(luò)運(yùn)營(yíng)者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實(shí)施的行為時(shí)，認(rèn)證不予通過(guò)。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)，對(duì)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄?shí)施獲證后監(jiān)督，確保獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者持續(xù)符合認(rèn)證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評(píng)價(jià)

認(rèn)證機(jī)構(gòu)對(duì)獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，評(píng)價(jià)通過(guò)的，可繼續(xù)保持認(rèn)證證書(shū)；不通過(guò)的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書(shū)的處理。

4.6 認(rèn)證時(shí)限

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)認(rèn)證各環(huán)節(jié)的時(shí)限作出明確規(guī)定，并確保相關(guān)工作按時(shí)限要求完成。認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證活動(dòng)予以積極配合。

5 認(rèn)證證書(shū)和認(rèn)證標(biāo)志

5.1 認(rèn)證證書(shū)

5.1.1 認(rèn)證證書(shū)的保持

認(rèn)證證書(shū)有效期為3年。在有效期內(nèi)，通過(guò)認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書(shū)的有效性。

證書(shū)到期需延續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前 6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對(duì)符合認(rèn)證要求的委托換發(fā)新證書(shū)。

5.1.2 認(rèn)證證書(shū)的變更

認(rèn)證證書(shū)有效期內(nèi)，若獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者名稱、注冊(cè)地址，或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時(shí)，認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機(jī)構(gòu)提出變更委托。認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容，對(duì)變更委托資料進(jìn)行評(píng)價(jià)，確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核，還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核。

5.1.3 認(rèn)證證書(shū)的注銷、暫停和撤銷

當(dāng)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者不再符合認(rèn)證要求時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書(shū)予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書(shū)有效期內(nèi)可申請(qǐng)認(rèn)證證書(shū)暫停、注銷。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對(duì)外公布被暫停、注銷和撤銷的網(wǎng)絡(luò)運(yùn)營(yíng)者認(rèn)證證書(shū)。

5.2 認(rèn)證標(biāo)志

“ABCD”代表認(rèn)證機(jī)構(gòu)識(shí)別信息。

5.3 認(rèn)證證書(shū)和認(rèn)證標(biāo)志的使用

在認(rèn)證證書(shū)有效期內(nèi)，獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書(shū)和認(rèn)證標(biāo)志，不得對(duì)公眾產(chǎn)生誤導(dǎo)。

6 認(rèn)證實(shí)施細(xì)則

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求，細(xì)化認(rèn)證實(shí)施程序，制定科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則，并對(duì)外公布實(shí)施。

7 認(rèn)證責(zé)任

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)現(xiàn)場(chǎng)審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)技術(shù)驗(yàn)證結(jié)論負(fù)責(zé)。

認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證委托資料的真實(shí)性、合法性負(fù)責(zé)。

The post 數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則 first appeared on ISO27001信息安全咨詢公司.

廣州安賽咨詢有限公司（安賽咨詢）是安信達(dá)咨詢下屬安全技術(shù)服務(wù)機(jī)構(gòu)，成立于2017年。秉承“提升管理，為客戶創(chuàng)造價(jià)值”服務(wù)理念安賽咨詢專注于企業(yè)IT規(guī)劃、信息安全、風(fēng)險(xiǎn)管理、信息技術(shù)服務(wù)、業(yè)務(wù)連續(xù)性管理、企業(yè)安全資質(zhì)及技術(shù)解決方案?？偛课挥谘虺菑V州，在深圳、珠海、南寧、福州、廈門、南昌、杭州、長(zhǎng)沙、武漢等地設(shè)有辦公室及聯(lián)絡(luò)處。

安賽咨詢擁有一批來(lái)自HP，IBM等國(guó)內(nèi)國(guó)際公司的資深信息安全顧問(wèn)及國(guó)際和國(guó)內(nèi)知名認(rèn)證公司的資深審核人員組成的服務(wù)團(tuán)隊(duì)。所有信息安全從業(yè)人員均具有10年以上的企業(yè)信息安全咨詢服務(wù)經(jīng)驗(yàn)。所有人員均具有ISO20000 LA、ISO27001 LA、ISO22301 LA、CISP、CISAW、CIW、 COBIT、ITIL Expert、注冊(cè)審核員、注冊(cè)咨詢師等資質(zhì)。另外安全服務(wù)人員具有不同的背景專長(zhǎng)，技能能夠覆蓋信息安全涉及的方方面面。

我們服務(wù)的客戶包括政府、金融、電信、制造、電力、互聯(lián)網(wǎng)和流程外包行業(yè)，在信息技術(shù)咨詢服務(wù)方面是專注的實(shí)踐者，積累了深厚的實(shí)施經(jīng)驗(yàn) 。是具有CMMI、ISO27001 和ISO20000、ISO22301、ISO9001等多體系集成及技術(shù)實(shí)現(xiàn)能力的咨詢專家。

The post 廣州ISO27001認(rèn)證代辦，請(qǐng)看看安賽咨詢 first appeared on ISO27001信息安全咨詢公司.

　　當(dāng)內(nèi)部網(wǎng)絡(luò)與囚特網(wǎng)連接后，就陸續(xù)出現(xiàn)了很多的網(wǎng)絡(luò)問(wèn)題，在沒(méi)有解決網(wǎng)絡(luò)安個(gè)問(wèn)題之前，一般來(lái)說(shuō)最簡(jiǎn)單的作法是先將網(wǎng)路完全斷開(kāi)，使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)不能直接進(jìn)行網(wǎng)絡(luò)聯(lián)機(jī)，以防止網(wǎng)絡(luò)的入侵攻擊。因此對(duì)網(wǎng)絡(luò)隔離的普遍認(rèn)知，是指在兩個(gè)網(wǎng)絡(luò)之間，實(shí)體線路互不連通，互相斷開(kāi)。但是沒(méi)有網(wǎng)絡(luò)聯(lián)機(jī)就沒(méi)有隔離的必要，因此網(wǎng)絡(luò)隔離的技術(shù)是在需要交換及資源共享的情況下出現(xiàn)。不需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離容易實(shí)現(xiàn)，只要將網(wǎng)絡(luò)完全斷開(kāi)，互不聯(lián)機(jī)即可達(dá)成。但在需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實(shí)現(xiàn)。在本研究所探討的網(wǎng)絡(luò)隔離技術(shù)，是指需要數(shù)據(jù)交換的網(wǎng)絡(luò)限離技術(shù)。

　　事實(shí)上在大多數(shù)的政府機(jī)關(guān)或企業(yè)的內(nèi)部網(wǎng)絡(luò)，仍然需要與外部網(wǎng)絡(luò)(或是因特網(wǎng))進(jìn)行交換。實(shí)施網(wǎng)絡(luò)斷開(kāi)的實(shí)體隔離，雖然切斷兩個(gè)網(wǎng)絡(luò)之間的直接數(shù)據(jù)交換，但是在單機(jī)最安全的情況下，也可能存亦著復(fù)制數(shù)據(jù)時(shí)遭受病毒感染與破壞的風(fēng)險(xiǎn)。

　　二、網(wǎng)絡(luò)安全管理

　　(一)網(wǎng)絡(luò)控制措施

　　在控件中，說(shuō)明應(yīng)采用的控制措施，對(duì)于網(wǎng)絡(luò)應(yīng)該要適當(dāng)?shù)募右怨芾砼c控制，使其不會(huì)受到安全的威脅，并且維護(hù)網(wǎng)絡(luò)上所使用的系統(tǒng)一與應(yīng)用程序的安全(包括傳愉中的資訊)。

　　建議組織應(yīng)采用適當(dāng)?shù)淖鞣ǎ跃S護(hù)網(wǎng)絡(luò)聯(lián)機(jī)安全。網(wǎng)絡(luò)管理者應(yīng)該建立計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全控管機(jī)制，以確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的安個(gè)，保護(hù)網(wǎng)絡(luò)連線作業(yè)，防止未經(jīng)授權(quán)的系統(tǒng)存取。特別需列入考慮的項(xiàng)目如下：

　　1、盡可能將網(wǎng)絡(luò)和計(jì)算機(jī)作業(yè)的權(quán)責(zé)區(qū)隔，以降低組織設(shè)備遭未經(jīng)授權(quán)的修改或誤用之機(jī)會(huì);2、建立遠(yuǎn)程設(shè)備(包括使用者區(qū)域的設(shè)備)的管理責(zé)仟和程序，例如管制遠(yuǎn)程登入設(shè)備，以避免未經(jīng)授權(quán)的使用;3、建立安個(gè)的加密機(jī)制控制措施，保護(hù)透過(guò)公眾網(wǎng)絡(luò)或無(wú)線網(wǎng)絡(luò)所傳送數(shù)據(jù)的機(jī)密性與完整性，并保護(hù)聯(lián)機(jī)的系統(tǒng)與應(yīng)用程序，以維持網(wǎng)絡(luò)服務(wù)和所聯(lián)機(jī)計(jì)算機(jī)的正常運(yùn)作;4、實(shí)施適當(dāng)?shù)匿浵翊驿浥c監(jiān)視，以取得相關(guān)事件紀(jì)錄;5、密切協(xié)調(diào)計(jì)算機(jī)及網(wǎng)絡(luò)管理作業(yè)，以確保網(wǎng)絡(luò)安全措施可在跨部門的基礎(chǔ)架構(gòu)上運(yùn)作。

　　(二)網(wǎng)絡(luò)服務(wù)的安全

　　1、組織應(yīng)賦予管理者稍核的權(quán)力，透過(guò)定期的稽核，監(jiān)督管理負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的J商;2、組織應(yīng)確認(rèn)負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的廠商，有實(shí)作特殊的服務(wù)所必需的安全招施，例如該項(xiàng)服務(wù)的安全特性、服務(wù)的安全等級(jí)和管理方法。歸納“網(wǎng)絡(luò)控制措施”及“網(wǎng)絡(luò)服務(wù)的安全”的控制措施，建議紅l織在網(wǎng)絡(luò)安全的控管措施，主要以采川防火墻、入侵偵測(cè)系統(tǒng)等撲制措施，及運(yùn)用網(wǎng)絡(luò)服務(wù)安全性的技術(shù)，例如認(rèn)證、加密及網(wǎng)絡(luò)聯(lián)機(jī)控制技術(shù)等，以建立安全的網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)聯(lián)機(jī)的安全。

　　三、網(wǎng)絡(luò)隔離技術(shù)與應(yīng)配合之控制措施

　　(一)采用完全實(shí)體隔離的管理措施

　　1、安全區(qū)域作業(yè)程序。組織需根據(jù)存取政策訂定安全區(qū)域的標(biāo)準(zhǔn)作業(yè)程序，以便相關(guān)人員能夠據(jù)以確實(shí)執(zhí)行，避免人為疏忽造成數(shù)據(jù)泄漏。標(biāo)準(zhǔn)作業(yè)程序應(yīng)制作成文件讓需要的所有使用者都可以取得。對(duì)于每一位使用者，都需要清楚的定義存取政策，這個(gè)政策必須依照組織的要求，設(shè)定允許存取的權(quán)限，一般的原則為僅提供使用者必要的權(quán)限，盡可能減少不必要的權(quán)限。并應(yīng)區(qū)分職務(wù)與責(zé)任的范圍，以降低遭受未經(jīng)授權(quán)或故意的進(jìn)入安全區(qū)域之機(jī)會(huì);2、資料存取稽核。數(shù)據(jù)存取的記錄，包括成功及不成功之登入系統(tǒng)之紀(jì)錄、存取資料之紀(jì)錄及使用的系統(tǒng)紀(jì)錄等。在完全實(shí)體隔離的作業(yè)下相關(guān)的稽核記錄，需要實(shí)施人工的稽核作業(yè)，特別是登入錯(cuò)誤時(shí)的紀(jì)錄，需要逐筆的梢核作業(yè)。并不定期稽核數(shù)據(jù)存取作業(yè)是否符合組織的存取政策與標(biāo)準(zhǔn)作業(yè)程序，并且需要特別稽核下列事項(xiàng)：(1)對(duì)于被授權(quán)的特權(quán)使用者，其存取紀(jì)錄應(yīng)定期稽核：(2)對(duì)于特權(quán)存取事件，應(yīng)檢查是否被冒用的情形發(fā)生。

　　(二)網(wǎng)絡(luò)存取控制措施

　　在實(shí)體隔離的政策要求卜，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個(gè)互不相連的網(wǎng)絡(luò)，數(shù)據(jù)交換時(shí)透過(guò)數(shù)據(jù)交換人員定時(shí)，或是不定時(shí)根據(jù)使用者的申請(qǐng)，至數(shù)據(jù)交換作業(yè)區(qū)域之專屬設(shè)備，以人_「執(zhí)行數(shù)據(jù)交換作業(yè)。因?yàn)閮?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間采用網(wǎng)絡(luò)線路的實(shí)體隔離作業(yè)，主要的網(wǎng)絡(luò)存取控制措施則著重在作業(yè)區(qū)域的管理控制措施。

　　為確保數(shù)據(jù)交換作業(yè)區(qū)域的數(shù)據(jù)存取安全，除將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個(gè)互不相連的網(wǎng)絡(luò)外，對(duì)數(shù)據(jù)交換作業(yè)區(qū)域的專屬設(shè)備，需實(shí)施不同于外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)的存取安全政策，確保網(wǎng)絡(luò)安全環(huán)境，以降低可能的安個(gè)風(fēng)險(xiǎn)。例如：內(nèi)部網(wǎng)絡(luò)處理機(jī)敏性數(shù)據(jù)、外部網(wǎng)絡(luò)處理一般辦公環(huán)境數(shù)據(jù)及數(shù)據(jù)交換作業(yè)區(qū)域的安個(gè)環(huán)境。機(jī)敏性數(shù)據(jù)建置于內(nèi)部網(wǎng)絡(luò)的專屬數(shù)據(jù)庫(kù)或檔案區(qū)內(nèi)，機(jī)敏性信息系統(tǒng)亦僅限于內(nèi)部網(wǎng)絡(luò)運(yùn)用，員工必須在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行信息處理作業(yè)。另為防止機(jī)敏性數(shù)據(jù)的外泄，在內(nèi)部網(wǎng)絡(luò)的終端訓(xùn)算機(jī)需要禁止使用下列設(shè)備，包含磁盤(pán)片、光盤(pán)片、隨身碟或行動(dòng)碟等可攜式儲(chǔ)存媒體。

　　為防止因特網(wǎng)的直接存取數(shù)據(jù)交換作業(yè)區(qū)域的專屬計(jì)算機(jī)，應(yīng)依照組織的存取政策，采用邏輯階離技術(shù)，將不同等級(jí)的作業(yè)分隔在不同的網(wǎng)段，例如：將數(shù)據(jù)交換作業(yè)與一般信息作業(yè)的網(wǎng)段區(qū)隔，藉由適當(dāng)?shù)姆獍^(guò)濾機(jī)制，防止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量互相流通，同時(shí)可管制數(shù)據(jù)的存取，避免數(shù)據(jù)被誤用之機(jī)會(huì)。而且需要建置入侵偵測(cè)系統(tǒng)，偵測(cè)組織內(nèi)網(wǎng)絡(luò)封包的進(jìn)出，以便提早發(fā)現(xiàn)可能的入侵行為。

The post 從信息安全管理角度探討網(wǎng)絡(luò)隔離技術(shù) first appeared on ISO27001信息安全咨詢公司.

　　我國(guó)已經(jīng)形成的信息安全管理標(biāo)準(zhǔn)主要包括GB/T 22080—2008(技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T 22081—2008(信息技術(shù)安全技術(shù)安全管理實(shí)用規(guī)則》。

　　隨著我國(guó)信息安全工作的發(fā)展，公安部制定了一系列標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)分等級(jí)保護(hù)，將信息系統(tǒng)劃分為五個(gè)安全等級(jí)，安全要求從第一級(jí)到第五級(jí)逐級(jí)遞增。主要標(biāo)準(zhǔn)包括《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》、《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等。其等級(jí)保護(hù)制度的推行，是為了進(jìn)一步落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))的要求“要重點(diǎn)保護(hù)基礎(chǔ)信息和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。因此推行等級(jí)保護(hù)制度，與建立信息安全管理體系之間有著緊密的關(guān)聯(lián)。

　　1、信息安全管理體系

　　1.1信息安全管理體系的結(jié)構(gòu)

　　信息安全管理體系，即Information security management system(ISMS)，是由信息安全最佳慣例組成的實(shí)施規(guī)則，主要內(nèi)容包括11個(gè)安全類別，39個(gè)控制目標(biāo)，133項(xiàng)控制措施。信息安全管理體系中提倡對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，其最終目的是通過(guò)風(fēng)險(xiǎn)控制，達(dá)到信息安全管理的目的。信息安全管理體系的安全類別包括以下幾個(gè)方面。

　　(1)安全方針

　　確定信息安全管理的方針、目標(biāo)。

　　(2)信息安全組織

　　對(duì)組織內(nèi)部和外部各方的信息安全進(jìn)行管理。

　　(3)資產(chǎn)管理

　　對(duì)組織的所有信息資產(chǎn)進(jìn)行分類，并實(shí)施有效管理。

　　(4)人力資源安全

　　對(duì)員工的所有可能影響信息安全的行為和過(guò)程列入信息安全管理范圍。

　　(5)物理和環(huán)境安全

　　對(duì)組織的辦公環(huán)境、設(shè)備所處環(huán)境等的安全管理。

　　(6)通信和操作管理

　　對(duì)所有涉及到通信和操作的所有內(nèi)容加以控制。

　　(7)訪問(wèn)控制

　　對(duì)信息、信息系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面的訪問(wèn)進(jìn)行控制。

　　(8)信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)

　　對(duì)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)收、維護(hù)等方面進(jìn)行管理。

　　(9)信息安全事件管理

　　對(duì)信息安全事件的劃分、發(fā)現(xiàn)、報(bào)告、處理程序進(jìn)行規(guī)范。

　　(10)業(yè)務(wù)連續(xù)性

　　為防止業(yè)務(wù)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程而進(jìn)行的管理。

　　(11)符合性

　　保證符合法律、法規(guī)要求及符合組織安全策略的管理。

　　信息安全管理體系中針對(duì)所有管理范圍都提出了管理要求。其管理體系雖然是針對(duì)“管理”建立的，但是其中亦涵蓋了所有針對(duì)技術(shù)方面所應(yīng)實(shí)施的內(nèi)容。

　　1.2信息安全管理體系的特點(diǎn)

　　信息安全管理體系ISMS具有如下特點(diǎn)：(1)基于一個(gè)組織;(2)目標(biāo)是體系化建設(shè);(3)立足于風(fēng)險(xiǎn)管理思想;(4)貫穿了“規(guī)劃-實(shí)施-檢查-處置”(PDCA)持續(xù)改進(jìn)的過(guò)程和活動(dòng);(5)根據(jù)組織自身的任務(wù)和應(yīng)對(duì)安全風(fēng)險(xiǎn)需求來(lái)選擇安全控制措施;(6)通過(guò)安全控制的測(cè)度和審核來(lái)檢查信息安全技術(shù)和管理運(yùn)用的合規(guī)性。

　　2、等級(jí)保護(hù)中的安全管理

　　2.1安全管理基本要求

　　等級(jí)保護(hù)制度是根據(jù)國(guó)家等級(jí)保護(hù)管理規(guī)定，等級(jí)保護(hù)包含技術(shù)和管理兩個(gè)方面。其中安全管理要求分為五個(gè)方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。這五個(gè)方面貫穿了信息系統(tǒng)的全生命周期。其具體要求內(nèi)容隨著安全級(jí)別越高，要求的強(qiáng)度越高。

　　(1)安全管理制度

　　從建立安全管理制度的角度，要求對(duì)日常管理形成管理制度，并進(jìn)行適當(dāng)?shù)木S護(hù)。

　　(2)安全管理機(jī)構(gòu)

　　要求建立具有明確職責(zé)的信息安全管理機(jī)構(gòu)，并做好具體分工。

　　(3)人員安全管理

　　對(duì)人員的錄用、離崗、考核、教育及外部人員的安全進(jìn)行規(guī)范。

　　(4)系統(tǒng)建設(shè)管理

　　從系統(tǒng)生命周期角度，對(duì)系統(tǒng)的設(shè)計(jì)、采購(gòu)、實(shí)施等角度對(duì)信息系統(tǒng)進(jìn)行安全管理。

　　(5)系統(tǒng)運(yùn)維管理

　　在系統(tǒng)運(yùn)維過(guò)程中，對(duì)系統(tǒng)運(yùn)行過(guò)程中的全部安全問(wèn)題進(jìn)行管理。

　　2.2等級(jí)保護(hù)基本要求

　　等級(jí)保護(hù)的基本要求分為技術(shù)和管理兩個(gè)方面，在實(shí)際的技術(shù)要求中，亦涉及到了管理的內(nèi)容，比如在物理安全層面中對(duì)機(jī)房的管理、主機(jī)安全等層面中對(duì)安全審計(jì)的要求等，因此，等級(jí)保護(hù)中的管理與技術(shù)兩大類是密不可分的，其具有相互關(guān)聯(lián)性，能夠在某些方面互相彌補(bǔ)。是一個(gè)統(tǒng)一的整體。

　　3、信息安全管理體系與等級(jí)保護(hù)管理要求的關(guān)系

　　信息安全管理的目標(biāo)是保證信息系統(tǒng)資產(chǎn)的安全，不論是何種管理制度，其保護(hù)的對(duì)象都是信息和信息系統(tǒng)。因此，信息安全管理體系與等級(jí)保護(hù)的管理其最終目的都是一樣的，但是等級(jí)保護(hù)要求中將管理要求與技術(shù)要求進(jìn)行了區(qū)分，因此信息安全管理體系中所包含的管理內(nèi)容更加全面。本文就具體內(nèi)容進(jìn)行分析。

　　信息安全管理體系中，信息安全方針的管理與等保管理要求中的“安全管理制度：管理制度”的要求相同。

　　在信息安全組織類中，信息安全管理的承諾對(duì)應(yīng)“安全管理機(jī)構(gòu)：崗位設(shè)置”、“安全管理制度：制定和發(fā)布”;信息安全協(xié)調(diào)對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”;信息安全職責(zé)的分配對(duì)應(yīng)“安全管理機(jī)構(gòu)：崗位設(shè)置”;信息處理設(shè)施的授權(quán)過(guò)程對(duì)應(yīng)“系統(tǒng)建設(shè)管理：產(chǎn)品采賄私使用”，保密性協(xié)議對(duì)應(yīng)“人員安全管理：人員錄用”，與政府部門的聯(lián)系對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”，與特定利益集團(tuán)的聯(lián)系對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”，信息安全的獨(dú)立評(píng)審對(duì)應(yīng)“安全管理制度：制定和發(fā)布”，與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理與顧客有關(guān)的安全問(wèn)題對(duì)應(yīng)“人員安全管理：外部人員訪問(wèn)管理”，處理第三方協(xié)議中的安全問(wèn)題對(duì)應(yīng)“系統(tǒng)建設(shè)管理：安全服務(wù)商選擇”。

　　在資產(chǎn)管理安全類中，資產(chǎn)清單、資產(chǎn)責(zé)任人、資產(chǎn)的合格使用、信息分類指南、信息的標(biāo)記和處理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：資產(chǎn)管理”。

　　人力資源安全類中，任用前的角色和職責(zé)對(duì)應(yīng)“安全管理機(jī)構(gòu)：人員配置”、“安全管理機(jī)構(gòu)：崗位設(shè)置”，任用前的審查、任用條款和條件、人員任用中的管理職責(zé)對(duì)應(yīng)“人員安全：人員錄用”，信息安全意識(shí)、教育和培訓(xùn)對(duì)應(yīng)“人員安全管理：安全意識(shí)教育和培訓(xùn)”，紀(jì)律處理過(guò)程對(duì)應(yīng)“人員安全管理：人員考核”，任用終止職責(zé)、資產(chǎn)的歸還、撤銷訪問(wèn)權(quán)對(duì)應(yīng)“人員安全管理：人員離崗”。

　　物理安全管理類中，大部分內(nèi)容對(duì)應(yīng)等級(jí)保護(hù)要求中的“物理安全”層面，其中物理安全邊界、物理人口控制、辦公室、房間和設(shè)施的安全保護(hù)、在安全區(qū)域工作、支持性設(shè)施、資產(chǎn)的移動(dòng)對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：環(huán)境管理”，設(shè)備維護(hù)、組織場(chǎng)所外的設(shè)備安全對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：設(shè)備管理”，設(shè)備的安全處置和再利用對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：介質(zhì)管理”。

　　在通信和操作管理安全類中，文件化的操作程序?qū)?yīng)“安全管理制度：管理制度”中日常操作規(guī)程的要求，變更管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”，系統(tǒng)操作的責(zé)任分割對(duì)應(yīng)“安全管理機(jī)構(gòu)：人員配置”，開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施分離對(duì)應(yīng)“系統(tǒng)建設(shè)管理：自行軟件開(kāi)發(fā)”，第三方服務(wù)交付對(duì)應(yīng)“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，第三方服務(wù)的監(jiān)視和評(píng)審對(duì)應(yīng)“系統(tǒng)建設(shè)管理：工程實(shí)施”中關(guān)于實(shí)施過(guò)程管理、建立等方面的要求，第三方服務(wù)的變更管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”中關(guān)于系統(tǒng)變更的控制，系統(tǒng)容量管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)容量的要求，系統(tǒng)驗(yàn)收對(duì)應(yīng)“系統(tǒng)建設(shè)管理：測(cè)試驗(yàn)收”和“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，控制惡意代碼、控制移動(dòng)代碼對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：惡意代碼防范”，信息備份對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：備份與恢復(fù)管理”，網(wǎng)絡(luò)控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”，網(wǎng)絡(luò)服務(wù)安全對(duì)應(yīng)的是等級(jí)保護(hù)技術(shù)要求中的網(wǎng)絡(luò)安全層面，可移動(dòng)介質(zhì)的管理、介質(zhì)的處置對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：介質(zhì)管理”，系統(tǒng)文件安全對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，審計(jì)日志對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，監(jiān)視系統(tǒng)的使用對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：監(jiān)控管理和安全管理中心”，另外一些如日志信息的保護(hù)、管理員和操作員日志、故障日志、時(shí)鐘同步、電子消息發(fā)送、業(yè)務(wù)信息系統(tǒng)、電子商務(wù)、在線交易等對(duì)應(yīng)到等級(jí)保護(hù)要求中的“主機(jī)安全”、“應(yīng)用安全”、“安全”等多個(gè)瑟面。

　　在訪問(wèn)控制安全類里面，大部分都對(duì)應(yīng)著等級(jí)保護(hù)要求的“主機(jī)安全”、“應(yīng)用安全”、“網(wǎng)絡(luò)安全”中的“訪問(wèn)控制”控制點(diǎn)，另外，訪問(wèn)控制策略對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，網(wǎng)絡(luò)連接控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”。

　　系統(tǒng)安全要求分析和說(shuō)明對(duì)應(yīng)“系統(tǒng)建設(shè)管理：安全方案設(shè)計(jì)”，密鑰管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：密碼管理”，變更控制程序、操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”，外包軟件開(kāi)發(fā)對(duì)應(yīng)“系統(tǒng)建設(shè)管理：外包軟件開(kāi)發(fā)”，技術(shù)脆弱性的控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”和“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)漏洞及補(bǔ)丁的要求。

　　在信息安全事件管理的安全類里面，報(bào)告信息安全事態(tài)、報(bào)告安全弱點(diǎn)、職責(zé)和程序、對(duì)信息安全事件的總結(jié)、證據(jù)的收集都對(duì)應(yīng)著“系統(tǒng)運(yùn)維管理：安全事件處置”。

　　在業(yè)務(wù)連續(xù)性管理安全類中，主要對(duì)應(yīng)等級(jí)保護(hù)要求中的“系統(tǒng)運(yùn)維管理：應(yīng)急預(yù)案管理”，但是業(yè)務(wù)連續(xù)性管理中提到了要進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果開(kāi)發(fā)連續(xù)性計(jì)射，這與等級(jí)保護(hù)政策中開(kāi)展等級(jí)測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行信息系統(tǒng)改建的要求是相一致的。

　　在符合性要求類中，主要涉及等級(jí)保護(hù)要求中的“安全管理機(jī)構(gòu)：審核和檢查”及一些技術(shù)要求。

　　4、結(jié)束語(yǔ)

　　信息安全管理體系的建立是為了保障組織的信息和信息系統(tǒng)的安全，與等級(jí)保護(hù)的最終目標(biāo)是一致的，雖然信息安全管理體系的名為管理，實(shí)際上涵蓋了所有對(duì)技術(shù)實(shí)施方面的要求，是一個(gè)綜合的管理體系。等級(jí)保護(hù)基本要求中的管理要求是按照組織實(shí)施管理過(guò)程的五個(gè)基本方面來(lái)進(jìn)行約束的，對(duì)組織的信息安全、提供服務(wù)迸行保障。兩者之間既有區(qū)別又有聯(lián)系，但是其最終目的都是為了保障組織的信息安全。

The post ISO27001信息安全管理體系與等級(jí)保護(hù)管理要求 first appeared on ISO27001信息安全咨詢公司.

　　安永大中華區(qū)科技風(fēng)險(xiǎn)與審計(jì)咨詢服務(wù)合伙人阮祺康表示，“實(shí)施信息安全轉(zhuǎn)型旨在縮小脆弱性現(xiàn)狀和安全性目標(biāo)之間日趨擴(kuò)大的差距，這不依靠復(fù)雜的技術(shù)解決方案，而是需要領(lǐng)導(dǎo)力、承諾、能力和行動(dòng)的勇氣，不是在一兩年之后而是當(dāng)下?！?/p>

　　調(diào)查報(bào)告顯示，企業(yè)在信息安全所面臨的挑戰(zhàn)不可小覷，主要的挑戰(zhàn)如下：

　　u 外部威脅有增無(wú)減，令企業(yè)深感擔(dān)憂: 77%受訪者表示其所在企業(yè)面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計(jì)算快速應(yīng)用的步伐:從2010年至2012年，云計(jì)算的應(yīng)用增長(zhǎng)已翻倍 ，但仍有38%的受訪者表示所在企業(yè)沒(méi)有采取任何措施，緩解云計(jì)算所帶來(lái)的安全風(fēng)險(xiǎn)。

　　u 移動(dòng)應(yīng)用大幅增長(zhǎng)，但安全防護(hù)技術(shù)部署明顯滯后: 44%的受訪企業(yè)允許員工在工作中使用企業(yè)或者個(gè)人的平板電腦，但其中只有40%的企業(yè)對(duì)移動(dòng)設(shè)備采用了加密技術(shù)。

　　u 社交媒介廣泛普及，成為企業(yè)安全隱患：31%的受訪者表示其企業(yè)并未采取相應(yīng)的機(jī)制來(lái)處理社交媒介的安全風(fēng)險(xiǎn)。

　　u 安全預(yù)算和能力匱乏，差距持續(xù)擴(kuò)大：62%的受訪問(wèn)企業(yè)表示預(yù)算受限，是信息安全工作的主要障礙之一。此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴(yán)重阻礙了安全目標(biāo)的實(shí)現(xiàn)。

　　該報(bào)告的結(jié)論指出：“企業(yè)只有從根本上轉(zhuǎn)變信息安全管理策略，才能有效應(yīng)對(duì)現(xiàn)有安全威脅，及由新興技術(shù)帶來(lái)的新的安全風(fēng)險(xiǎn) ?！?/p>

　　不斷升級(jí)的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發(fā)，企業(yè)也意識(shí)到所面臨的風(fēng)險(xiǎn)環(huán)境正不斷地改變。盡管企業(yè)做出種種改進(jìn)，仍然跟不上風(fēng)險(xiǎn)變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數(shù)字升至72%;而在2012年，這個(gè)比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動(dòng)、有組織的犯罪、以及恐怖主義等。同時(shí)，企業(yè)也注意到內(nèi)部安全方面的挑戰(zhàn)不斷增加。該報(bào)告顯示，近一半的受訪者(46%)表示已關(guān)注到這一點(diǎn)，他們認(rèn)為員工信息安全意識(shí)薄弱是成功實(shí)施信息安全項(xiàng)目的最大挑戰(zhàn)。

　　勢(shì)不可擋的云服務(wù)的應(yīng)用

　　新技術(shù)在為企業(yè)帶來(lái)無(wú)限商機(jī)的同時(shí)，也引發(fā)了一些新的潛在威脅。云計(jì)算是業(yè)務(wù)模式創(chuàng)新的主要驅(qū)動(dòng)因素之一，在過(guò)去兩年中，應(yīng)用云計(jì)算的企業(yè)數(shù)量已經(jīng)翻倍。然而，仍有38%的受訪者表示其所在的企業(yè)沒(méi)有采取任何措施應(yīng)對(duì)風(fēng)險(xiǎn);例如諸多企業(yè)并未對(duì)云計(jì)算服務(wù)提供商的合同管理開(kāi)展相對(duì)更嚴(yán)格的監(jiān)管流程，以及采用加密技術(shù)。

　　方興未艾的移動(dòng)應(yīng)用

　　在移動(dòng)互聯(lián)網(wǎng)發(fā)展趨勢(shì)下，企業(yè)員工購(gòu)買并使用智能手機(jī)與服務(wù)的情況將越來(lái)越多。利用個(gè)人設(shè)備接入企業(yè)應(yīng)用，有助于企業(yè)降低整體的設(shè)備采購(gòu)成本，并有助于提高員工的工作效率，且能激發(fā)員工的創(chuàng)造力。然而，風(fēng)險(xiǎn)總是與機(jī)遇并存。企業(yè)亟需找到引導(dǎo)員工正確使用工作設(shè)備與個(gè)人設(shè)備的解決方案，為此也必須深入考慮其中的信息安全問(wèn)題。

　　安永大中華區(qū)信息科技風(fēng)險(xiǎn)與審計(jì)咨詢服務(wù)總監(jiān)林育民表示，“在2011年的調(diào)查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調(diào)查結(jié)果顯示，有44%的企業(yè)允許員工在工作中使用企業(yè)或者個(gè)人的平板電腦。這導(dǎo)致企業(yè)內(nèi)外信息交互量激增，也令相應(yīng)的安全管控變得更加困難?！比欢?，在快速發(fā)展的移動(dòng)應(yīng)用環(huán)境中，對(duì)應(yīng)的安全技術(shù)與軟件的使用率仍然較低，調(diào)查中發(fā)現(xiàn)，只有40%的企業(yè)對(duì)其移動(dòng)設(shè)備采用了加密技術(shù)。

　　日漸盛行的社交媒介

　　社交媒體在創(chuàng)造眾多機(jī)遇的同時(shí)，也帶來(lái)許多新的挑戰(zhàn);通過(guò)社交媒體，企業(yè)能迅速建立品牌與開(kāi)拓市場(chǎng)，同樣也可以快速地對(duì)企業(yè)形象造成重大的負(fù)面沖擊。此外，隨之而來(lái)的挑戰(zhàn)，還包括數(shù)據(jù)安全、隱私隱患、監(jiān)管與合規(guī)要求，以及對(duì)員工生產(chǎn)力的影響。今年的調(diào)查結(jié)果顯示，約31%的受訪者表示其所在的企業(yè)，沒(méi)有設(shè)計(jì)相應(yīng)的機(jī)制來(lái)應(yīng)對(duì)社交媒介使用所帶來(lái)的風(fēng)險(xiǎn);這不但造成企業(yè)整體風(fēng)險(xiǎn)的上升，更嚴(yán)重沖擊企業(yè)未來(lái)全面利用社交媒體渠道行銷的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來(lái)看，信息安全應(yīng)該成為他們關(guān)注的重點(diǎn)之一，安全管理應(yīng)得到充分的支持;然而，信息安全的資源與能力問(wèn)題，依舊困擾著信息安全工作。在今年的調(diào)查報(bào)告中顯示， 62%的受訪問(wèn)企業(yè)表示預(yù)算受限，是信息安全工作的主要障礙之一;此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴(yán)重阻礙了安全目標(biāo)的實(shí)現(xiàn)。

　　林育民說(shuō)，“對(duì)于有些企業(yè)來(lái)說(shuō)，安全專業(yè)人士、安全成熟度或安全預(yù)算也許在決策過(guò)程中起到一定作用;然而，這些修補(bǔ)式或簡(jiǎn)單疊加的應(yīng)付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 ?！?/p>

　　此次調(diào)查也顯示，目前企業(yè)僅采用治標(biāo)式和修補(bǔ)式的解決方案提高信息安全能力，卻忽略了對(duì)信息安全威脅的整體與全面的應(yīng)對(duì);僅約8%的受訪者表示在過(guò)去兩年中，企業(yè)發(fā)生的信息安全事故的數(shù)量有所減少， 因此建立一個(gè)強(qiáng)健的安全體系成為企業(yè)的當(dāng)務(wù)之急。然而，約有63%的受訪者稱其所在企業(yè)尚未建立信息安全整體架構(gòu)體系，只有約16%的受訪者認(rèn)為其所在企業(yè)的信息安全職能完全符合業(yè)務(wù)需求。

　　展望未來(lái)，阮祺康先生總結(jié)道，“盡管我們已經(jīng)發(fā)現(xiàn)信息安全現(xiàn)狀與企業(yè)的目標(biāo)之間存在著不小差距，但是隨著新的政府監(jiān)管要求的出現(xiàn)與安全威脅的不斷變化，此差距還會(huì)進(jìn)一步擴(kuò)大。 如果企業(yè)不立刻采取措施建立全面的信息安全體系，那么現(xiàn)有的問(wèn)題加上未知的隱患，只會(huì)讓企業(yè)面臨的信息安全環(huán)境更加惡化。應(yīng)對(duì)這樣的形勢(shì)，縮小差距的唯一途徑只有對(duì)信息安全進(jìn)行結(jié)構(gòu)性的轉(zhuǎn)變。”

　　阮祺康還表示，“實(shí)現(xiàn)這樣的調(diào)整并不一定需要復(fù)雜的技術(shù)解決方案，它需要的是領(lǐng)導(dǎo)力及承諾，再加上能力與行動(dòng)的決心。不要總說(shuō)在未來(lái)如何做，關(guān)鍵是當(dāng)下的創(chuàng)新實(shí)踐。安永建議企業(yè)應(yīng)該采取將信息安全戰(zhàn)略與企業(yè)戰(zhàn)略相聯(lián)系，重新設(shè)計(jì)架構(gòu)，持續(xù)實(shí)施轉(zhuǎn)型，深入了解新技術(shù)的風(fēng)險(xiǎn)與機(jī)遇等重要舉措。唯有如此，企業(yè)才能夠根本性地轉(zhuǎn)變其信息安全部門運(yùn)作的方式，更有效地縮小不斷擴(kuò)大的信息安全風(fēng)險(xiǎn)差距。”

The post 實(shí)施信息安全管理轉(zhuǎn)型刻不容緩 first appeared on ISO27001信息安全咨詢公司.

　　當(dāng)今我國(guó)市場(chǎng)規(guī)模的不斷發(fā)展，企業(yè)競(jìng)爭(zhēng)已經(jīng)從單一企業(yè)間的競(jìng)爭(zhēng)朝著企業(yè)供應(yīng)鏈之間的競(jìng)爭(zhēng)發(fā)展、企業(yè)僅靠自身資源已經(jīng)無(wú)法有效地參與市場(chǎng)競(jìng)爭(zhēng)，還必須把經(jīng)營(yíng)過(guò)程中的有關(guān)各方納入一個(gè)緊密的供應(yīng)鏈中，才能有效地安排企業(yè)的產(chǎn)、供、銷活動(dòng)，滿足企業(yè)利用全社會(huì)一切市場(chǎng)資源快速高效地進(jìn)行生產(chǎn)經(jīng)營(yíng)的需求，以進(jìn)一步提高效率和在市場(chǎng)上獲得競(jìng)爭(zhēng)優(yōu)勢(shì)、針對(duì)這一需求，企業(yè)紛紛引進(jìn)ERP系統(tǒng)，構(gòu)建企業(yè)信息化平臺(tái)、當(dāng)前ERP系統(tǒng)是指針對(duì)物資資源管理、人力資源管理、財(cái)務(wù)資源管理、資源管理集成一體化的企業(yè)管理軟件、ERP系統(tǒng)實(shí)現(xiàn)了對(duì)整個(gè)企業(yè)供應(yīng)鏈的管理、適應(yīng)了企業(yè)在知識(shí)經(jīng)濟(jì)時(shí)代市場(chǎng)競(jìng)爭(zhēng)的需要、鑒于ERP系統(tǒng)的巨大優(yōu)勢(shì)、目前絕大多數(shù)大型企業(yè)均實(shí)現(xiàn)了ERP系統(tǒng)的部署實(shí)施、然而，由于上存在大量的攻擊、木馬、蠕蟲(chóng)等網(wǎng)絡(luò)威脅。而ERP系統(tǒng)的正常運(yùn)行依賴于大量的網(wǎng)絡(luò)傳輸、處理和消息交互這就阻礙了ERP系統(tǒng)的應(yīng)用與實(shí)施、因此，研究ERP系統(tǒng)所面對(duì)的安全威脅并采取相應(yīng)措施進(jìn)行規(guī)避是一項(xiàng)非常重要的課題。

　　二、ERP系統(tǒng)信息安全威脅

　　安全問(wèn)題的產(chǎn)生是一個(gè)非常復(fù)雜的問(wèn)題，包含了多種因素的相互作用、總結(jié)起來(lái)，企業(yè)ERP系統(tǒng)所面臨的信息安全威脅主要包括來(lái)自以下幾個(gè)方面的內(nèi)容。

　　(一)ERP網(wǎng)絡(luò)應(yīng)用的威脅

　　來(lái)自網(wǎng)絡(luò)層面的威脅主要來(lái)自遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部系統(tǒng)所造成的信息泄漏隱患、隨著企業(yè)規(guī)模的不斷擴(kuò)展，對(duì)外的銷售和物流網(wǎng)絡(luò)也隨之?dāng)U大。出差的業(yè)務(wù)員和某些客戶經(jīng)常需要在異地遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)資源、為此，ERP專門提供了a/s的訪問(wèn)模式，使得異地用戶能夠使用瀏覽器通過(guò)虛擬專用網(wǎng)絡(luò)VPN訪問(wèn)公司內(nèi)部資源、由于異地訪問(wèn)行為不受約束，泄密行為時(shí)有發(fā)生，因此價(jià)值較高的商業(yè)機(jī)密有可能流失，比如企業(yè)產(chǎn)品的底價(jià)、設(shè)計(jì)圖紙等等、此外，內(nèi)部網(wǎng)絡(luò)的竊聽(tīng)行為也給ERP系統(tǒng)的安全使用造成威脅、ERP系統(tǒng)應(yīng)用時(shí)。其服務(wù)器端與客戶端數(shù)據(jù)的傳輸、都是通過(guò)明文傳輸?shù)?、用戶只需要在網(wǎng)絡(luò)上安裝一個(gè)監(jiān)聽(tīng)軟件、就可以全面的了解用戶訪問(wèn)的內(nèi)容。跳過(guò)客戶端的權(quán)限設(shè)置，從而達(dá)到網(wǎng)絡(luò)數(shù)據(jù)竊聽(tīng)的目的。

　　(二)ERP統(tǒng)應(yīng)用的威脅

　　如果ERP系統(tǒng)本身管理不當(dāng)，也不會(huì)存在數(shù)據(jù)泄露的危險(xiǎn)、從ERP系統(tǒng)的角度出發(fā)。主要的安全威脅就是權(quán)限配置不當(dāng)所造成的。這類威脅主要在敏感數(shù)據(jù)缺乏分級(jí)管理機(jī)制，比如某個(gè)報(bào)表，只要有查看權(quán)限的都能夠看到全部信息，并且能夠?qū)С?。這就給敏感數(shù)據(jù)造成了很大的威脅、此外，很多員工的終端系統(tǒng)密碼設(shè)置較為簡(jiǎn)單，大多使用生日或者電話，有的其至使用“12345″等簡(jiǎn)單數(shù)字作為密碼，這類密碼強(qiáng)度不高，容易被破解。

　　(三)ERP統(tǒng)漏洞的威脅

　　ERP系統(tǒng)的構(gòu)建需要大量的軟硬件系統(tǒng)，涉及到網(wǎng)絡(luò)傳輸、Web瀏覽以及服務(wù)總線等多方面的技術(shù)，這些技術(shù)的實(shí)現(xiàn)需要大量的軟件，軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務(wù)器的權(quán)限，從而擾亂系統(tǒng)的正常運(yùn)行，并竊取重要的商業(yè)機(jī)密。

　　三、ERP信息安全保障措施

　　ERP系統(tǒng)的安全最重要，為了保障ERP系統(tǒng)在應(yīng)用中的信息安全，針對(duì)上述三類威脅，具體來(lái)說(shuō)有以下幾種方法進(jìn)行應(yīng)對(duì)。

　　(一)網(wǎng)絡(luò)傳輸安全保障ERP系統(tǒng)的傳輸安全可以從兩方面進(jìn)行強(qiáng)化

　　1、對(duì)遠(yuǎn)程訪問(wèn)權(quán)限采用指紋、密碼等多種身份識(shí)別機(jī)制，同時(shí)限制遠(yuǎn)程訪問(wèn)行為所能夠接觸到資源的數(shù)量，在保障業(yè)務(wù)的同時(shí)避免泄密。

　　2、對(duì)數(shù)據(jù)報(bào)表采用嵌入水印的方式講行保護(hù)，比如一份報(bào)表如果事后被發(fā)現(xiàn)竊密了，可以通過(guò)水印的方式檢測(cè)出其它信息，并結(jié)合ERP日志進(jìn)行輔助案件偵破。

　　(二)信息應(yīng)用安全保障

　　ERP信息應(yīng)用安全保障主要包括對(duì)重要數(shù)據(jù)進(jìn)行分級(jí)管理，同時(shí)對(duì)所有合法用戶進(jìn)行分級(jí)，確保他們所能訪問(wèn)的數(shù)據(jù)級(jí)別和類型、比如某個(gè)員工只具有中級(jí)數(shù)據(jù)訪問(wèn)權(quán)限，而某個(gè)報(bào)表的一些屬性項(xiàng)是高密級(jí)，它就無(wú)法查看該屬性項(xiàng)，而只能看到其他低密級(jí)選項(xiàng)。

　　(三)系統(tǒng)漏洞安全保障

　　ERP系統(tǒng)的漏洞修復(fù)工作主要依賴專業(yè)測(cè)評(píng)機(jī)構(gòu)的工作、通過(guò)定期安全測(cè)評(píng)、管理員能夠發(fā)現(xiàn)系統(tǒng)中存在的軟硬件漏洞，并及時(shí)采取相應(yīng)措施進(jìn)行修補(bǔ)、同時(shí)在配置上的問(wèn)顆也要依賴系統(tǒng)管理員的經(jīng)驗(yàn)，盡量少開(kāi)放端口，并目保證一些不安全的服務(wù)必須受限、比如一些微軟公告所描述的信息往往包含ERP涉及軟件的漏洞。需要認(rèn)即進(jìn)行修補(bǔ)、因此，管理員的安全意識(shí)更需要進(jìn)一步提高。

　　四、完善網(wǎng)絡(luò)信息安全保障體系

　　首先，需要制定完善的法律政策，以法制手段來(lái)強(qiáng)化網(wǎng)絡(luò)安全;其次，從管理上維護(hù)系統(tǒng)的安全，確定信息安全管理機(jī)構(gòu)和切實(shí)可行的網(wǎng)絡(luò)管理規(guī)章制度，加強(qiáng)信息安全教育、提高高層管理者的安全意識(shí)，以保證網(wǎng)絡(luò)信息安全;最后，從技術(shù)上采取措施，在企業(yè)內(nèi)部和互聯(lián)網(wǎng)之間要加一道防火墻，防止黑客或計(jì)算機(jī)病毒的襲擊，保護(hù)企業(yè)內(nèi)部的敏感數(shù)據(jù)。

　　五、加強(qiáng)對(duì)操作人品的培訓(xùn)

　　企業(yè)信息化管理涉及整個(gè)企業(yè)經(jīng)營(yíng)管理模式的變革，它把信息技術(shù)與管理相結(jié)合，利用先進(jìn)技術(shù)不斷提高管理水平、加強(qiáng)財(cái)務(wù)管理信息化建設(shè)，必須從公司主要領(lǐng)導(dǎo)開(kāi)始到所有工作人員進(jìn)行動(dòng)員，充分認(rèn)識(shí)到信息化對(duì)提高管理水平的重要性、工作人員要在思想觀念上更新和轉(zhuǎn)變對(duì)管理的理解和認(rèn)識(shí)，必須在系統(tǒng)上建立健全工作人員培訓(xùn)制度，并在系統(tǒng)建設(shè)的全過(guò)程中貫徹落實(shí)，以提高員工的業(yè)務(wù)素質(zhì)以及熟練使用軟件的能力、具有創(chuàng)新能力的人員是企業(yè)順利而有效地開(kāi)展管理創(chuàng)新的基礎(chǔ)，有針對(duì)性地對(duì)人員進(jìn)行網(wǎng)絡(luò)技術(shù)培訓(xùn)，可以提高人員的適應(yīng)能力和創(chuàng)新能力、同時(shí)企業(yè)要樹(shù)立與網(wǎng)絡(luò)環(huán)境，適應(yīng)的信息觀念、協(xié)作競(jìng)爭(zhēng)觀念、以人為本觀念和開(kāi)放型管理模式。

　　ERP系統(tǒng)的廣泛使用是信息化推進(jìn)和企業(yè)市場(chǎng)規(guī)模發(fā)展到一定階段的產(chǎn)物、如何在利用ERP帶來(lái)的企業(yè)運(yùn)營(yíng)和管理便利的同時(shí)、盡可能避免安全威脅、是在ERP系統(tǒng)應(yīng)用過(guò)程中需要詳細(xì)考慮的問(wèn)題、隨著信息安全技術(shù)的不斷發(fā)展，不斷有新的威脅會(huì)出現(xiàn)，也需要ERP系統(tǒng)進(jìn)一步提高安全意識(shí)，防范可能的網(wǎng)絡(luò)攻擊行為。

The post 淺析ERP系統(tǒng)環(huán)境下的企業(yè)信息安全管理 first appeared on ISO27001信息安全咨詢公司.

　　通知公告

　　通過(guò)信息安全相關(guān)公告通知發(fā)放的方式，在企業(yè)中滲透信息安全各方面的和知識(shí)，逐漸形成信息安全無(wú)處不在的工作氛圍，提升全員信息安全意識(shí)。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定，通過(guò)企業(yè)內(nèi)部使用的公共信息發(fā)布平臺(tái)、電子郵件、電子期刊等形式均可。

　　帳號(hào)管理

　　建議企業(yè)對(duì)各類帳號(hào)進(jìn)行嚴(yán)格管理，包括基本帳號(hào)(員工入職后默認(rèn)都需開(kāi)通的帳號(hào)，例如郵箱帳號(hào)，OA帳號(hào)，所在部門的公共文件夾等)、工作所需的各類應(yīng)用系統(tǒng)帳號(hào)(通常根據(jù)崗位職責(zé)所需開(kāi)通的帳號(hào))、特殊權(quán)限的帳號(hào)(例如應(yīng)用系統(tǒng)管理員的帳號(hào)，數(shù)據(jù)庫(kù)管理員的帳號(hào)，域管理員的帳號(hào)等)，VPN等特殊應(yīng)用的帳號(hào)。從管理角度，不同類別的帳號(hào)申請(qǐng)需要不同級(jí)別的管理人員授權(quán)，一方面企業(yè)需清晰識(shí)別各類賬號(hào)并定義申請(qǐng)流程和授權(quán)方式;同時(shí)也需要保留必要的申請(qǐng)記錄以便查證，及測(cè)量體系實(shí)施的有效性。從使用角度，需要加強(qiáng)對(duì)員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號(hào)共享，密碼定期修改等策略)，以確保帳號(hào)不被濫用誤用，從而降低信息安全事件的發(fā)生。

　　人員安全

　　員工作為企業(yè)信息使用和傳遞的重要載體，員工變動(dòng)可能會(huì)給企業(yè)的信息安全帶來(lái)很大影響。在員工發(fā)生變動(dòng)，即員工入職、轉(zhuǎn)崗和離職幾個(gè)關(guān)鍵點(diǎn)進(jìn)行控制，可大大降低其對(duì)企業(yè)信息安全的影響。因此在入職前，許多企業(yè)會(huì)對(duì)關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄，簽訂保密協(xié)議等;發(fā)生內(nèi)部職責(zé)變動(dòng)時(shí)，要求員工填寫(xiě)工作交接單，刪除其原有崗位賬號(hào)等措;離職時(shí)，要求員工填寫(xiě)離職交接單，清理，歸還物品。同樣，在這些關(guān)鍵點(diǎn)，企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。

　　設(shè)備安全

　　通常企業(yè)在資產(chǎn)管理方面相對(duì)完善，但對(duì)設(shè)備自身的信息安全管理相對(duì)弱很多，IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù)，在維護(hù)過(guò)程中無(wú)論是對(duì)設(shè)備自身進(jìn)行的更換、更新，還是對(duì)其承造的系統(tǒng)、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整、結(jié)構(gòu)調(diào)整等變更均有可能對(duì)其中的信息數(shù)據(jù)造成不利影響，甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因?yàn)閷?duì)IT設(shè)備變更進(jìn)行控制是至關(guān)重要的，在實(shí)施變更前，須根據(jù)變更的緊急程度和可能帶來(lái)的影響程度進(jìn)行變更分類和風(fēng)險(xiǎn)評(píng)估，制定詳細(xì)的變更計(jì)劃并得到相應(yīng)級(jí)別的授權(quán);變更實(shí)施后須對(duì)變更結(jié)果進(jìn)行記錄且進(jìn)行回顧，以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié)，具體實(shí)施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn)。

　　軟件安全

　　自主研發(fā)軟件的專利及外購(gòu)軟件的許可證管理均已成為企業(yè)不得不重視的問(wèn)題，一旦疏忽就有可能給企業(yè)帶來(lái)很大的經(jīng)濟(jì)和名譽(yù)損失。通過(guò)信息安全管理體系的建設(shè)，許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理，使用須進(jìn)行登記，采購(gòu)須申請(qǐng)，到期須提醒。人員變動(dòng)、業(yè)務(wù)變動(dòng)都有可能導(dǎo)致軟件的變更，因此對(duì)軟件許可證的管理并不是采購(gòu)后進(jìn)行登記一勞永逸的事情，在日常工作中需要保證一旦發(fā)生變化即更新許可證信息，且提前做好許可證過(guò)期的準(zhǔn)備工作。

　　數(shù)據(jù)安全

　　數(shù)據(jù)對(duì)于企業(yè)是至關(guān)重要的，對(duì)其進(jìn)行的安全管理措施更需加大力度。對(duì)存儲(chǔ)數(shù)據(jù)的移動(dòng)介質(zhì)要做到登記并限制使用人群;對(duì)于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行;同時(shí)數(shù)據(jù)備份須落實(shí)到位，從業(yè)務(wù)角度識(shí)別數(shù)據(jù)備份需求，清晰定義數(shù)據(jù)備份策略(包括備份方式頻率等)，的;數(shù)據(jù)備份需要進(jìn)行記錄，并定期進(jìn)行恢復(fù)性測(cè)試保留記錄，從而降低數(shù)據(jù)損失的風(fēng)險(xiǎn)。

　　物理安全

　　大多數(shù)企業(yè)都設(shè)立了門衛(wèi)、保安、前臺(tái)等崗位，通過(guò)信息安全管理體系的建立，也采用了訪客登記，應(yīng)用門禁系統(tǒng)等措施，對(duì)于敏感區(qū)域(例如財(cái)務(wù)、機(jī)房、研發(fā)中心等)進(jìn)行了隔離或更高權(quán)限的物理訪問(wèn)控制。但訪客登記進(jìn)入后是否可以到處參觀，是否有專人陪同并登記，進(jìn)入和離開(kāi)的時(shí)間是否進(jìn)行了記錄，必要時(shí)是否提交參觀申請(qǐng)得到授權(quán);員工門禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記，敏感區(qū)的訪問(wèn)是否提交了申請(qǐng)等這些方面均是物理安全的以保障的控制點(diǎn)。

　　安全檢查

　　安全檢查與年度或半年度的內(nèi)審并不同，審核通常會(huì)基于行業(yè)要求、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發(fā)生的風(fēng)險(xiǎn)，可以是隨機(jī)，也可是定期的。每次檢查結(jié)果可保存，可作為日后改進(jìn)和信息安全管理體系(ISMS)有效性測(cè)量的依據(jù)。

　　安全事件

　　信息安全事件一旦發(fā)生，就須快速響應(yīng)妥善處理，否則可能會(huì)給企業(yè)帶來(lái)更大損失。首先，企業(yè)須清晰定義什么是信息安全事件，使大家對(duì)信息安全事件形成相同的認(rèn)識(shí);第二，可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級(jí)，定義不同級(jí)別的事件匯報(bào)途徑、升級(jí)時(shí)間和處理要求;且在整個(gè)公司公布相關(guān)要求，做到發(fā)生安全事件即報(bào)告記錄并快速響應(yīng)處理。對(duì)于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn)的事件管理章節(jié)。

　　安全培訓(xùn)

　　安全培訓(xùn)也是一項(xiàng)應(yīng)持續(xù)的長(zhǎng)期活動(dòng)，安全培訓(xùn)可針對(duì)不同對(duì)象分成不同的培訓(xùn)，可以定期組織面向管理層的信息安全標(biāo)準(zhǔn)、法律法規(guī)解讀的管理培訓(xùn);面向全員的信息安全意識(shí)普及性培訓(xùn);針對(duì)IT相關(guān)技術(shù)人員的信息安全技術(shù)知識(shí)的專業(yè)培訓(xùn);面向信息安全運(yùn)維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)(CISSP、CISP、ISO27001主任審核員等)。建議企業(yè)對(duì)培訓(xùn)過(guò)程、結(jié)果進(jìn)行記錄，可作為信息安全體系建設(shè)的記錄和有效性測(cè)量的依據(jù)。

　　由此可看出，信息安全管理體系的落地貌似簡(jiǎn)單，并非易事，貴在堅(jiān)持，以上工作均需長(zhǎng)期執(zhí)行，才可起到效果，逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個(gè)角落中形成安全的工作環(huán)境。

　　從上文中可看出，基本每塊內(nèi)容都提及了記錄保留相關(guān)信息等字眼，對(duì)這些長(zhǎng)期工作的記錄保留目前各個(gè)企業(yè)采取不同的形式，有的領(lǐng)域采用紙張記錄，有些領(lǐng)域利用公司的一些操作平臺(tái)進(jìn)行記錄(例如OA、IT服務(wù)管理系統(tǒng)等)，目前市面上協(xié)助信息安全管理體系落地的工具很稀缺，谷安天下數(shù)名信息安全領(lǐng)域的資深顧問(wèn)共同總結(jié)多年信息安全管理方面經(jīng)驗(yàn)結(jié)合各行業(yè)特點(diǎn)，開(kāi)發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護(hù)信息安全管理體系的一套工具(如下圖所示)，涵蓋了上文提及到的各個(gè)領(lǐng)域的安全運(yùn)營(yíng)管理。管理+工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實(shí)施并持續(xù)改進(jìn)。

The post ISO27001信息安全管理體系如何落到實(shí)處 first appeared on ISO27001信息安全咨詢公司.

The post 等保制度與ISO27001的區(qū)別 first appeared on ISO27001信息安全咨詢公司.