第一篇:ISO27001信息安全體系培訓(條款A7-資產管理).
ISO27001培訓系列V1.0 ISO 27001信息安全體系培訓控制目標和控制措施(條款A7-資產管理 2009年11月
董翼楓(dongyifeng78@hotmail.com 條款A7
資產管理 A7.1對資產負責 ?目標: 實現和保持對組織資產的適當保護。
?所有資產應是可核查的,并且有指定的責任人。
?對于所有資產要指定責任人,并且要賦予保持相應控制措施的職責。特定控制措施的實施可以由責任人適當地委派別人承擔,但責任人仍有對資產提供適當保護的責任。
A7.1.1資產清單
控制措施
?應清晰的識別所有資產,編制并維護所有重要資產的清單。實施指南
?一個組織應識別所有資產并將資產的重要性形成文件。資產清單應包括所有為從災難中恢復而需要的信息,包括資產類型、格式、位置、備份信息、許可證信息和業務價值。該清單不應復制其他不必要的清單,但它應確保內容是相關聯的。
?另外,應商定每一資產的責任人(見A7.1.2和信息分類(見A7.2,并形成文件。基于資產的重要性、其業務價值和安全級別,應識別與資產重要性對應的保護級別。
A7.1.2資產責任人 控制措施
?與信息處理設施有關的所有信息和資產應由組織的指定部門或人員承擔責任。
實施指南
?資產責任人應負責: a確保與信息處理設施相關的信息和資產進行了適當的分類;b確定并周期性評審訪問限制和分類,要考慮到可應用的訪問控制策略。?所有權可以分配給: a業務過程;b已定義的活動集;
c應用;d已定義的數據集。A7.1.3資產的合格使用
?與信息處理設施有關的信息和資產使用允許規則應被確定、形成 文件并加以實施。
?所有雇員、承包方人員和第三方人員應遵循信息處理設施相關信息和資產 的可接受的使用規則,包括: a 電子郵件和互聯網使用(見 A10.8規則;b 移動設備,尤其是在組織外部使用設備(見 A11.7;1的使用指南;?具體規則或指南應由相關管理者提供。使用或擁有訪問組織資產權的雇員、承包方人員和第三方人員應意識到他們使用信息處理設施相關的信息和 資產以及資源時的限制條件。他們應對使用信息處理資源以及在他們職責 下的使用負責。
A7.2信息分類 ?目標 : 確保信息受到適當級別的保護。
?信息要分類,以在處理信息時指明保護的需求、優先級和期望程 度。?信息具有可變的敏感性和關鍵性。某些項可能要求附加等級的保 護或特殊處理。信息分類機制用來定義一組合適的保護等級并傳 達對特殊處理措施的需求。
A7.2.1分類指南
?信息應按照它對組織的價值、法律要求、敏感性和關鍵性予以分 類。?信息的分類及相關保護控制措施要考慮到共享或限制信息的業務需求以及與這種需求相關 的業務影響。
?分類指南應包括根據預先確定的訪問控制策略(見 A11.1.1進行初始分類及一段時間后 進行重新分類的慣例。
?確定資產的類別、對其周期性評審、確保其跟上時代并處于適當的級別,這些都應是資產 責任人(見 A7.1.2的職責。分類要考慮 A10.7.2提及的集合效應。
?應考慮分類類別的數目和從其使用中獲得的好處。過度復雜的方案可能對使用來說不方便 ,也不經濟,或許是不實際的。在解釋從其他組織獲取的文件的分類標記時應小心,因為 其他組織可能對于相同或類似命名的標記有不同的定義。
A7.2.2信息的標記和處理
?應按照組織所采納的分類機制建立和實施一組合適的信息標記和 處理程序。
?信息標記的程序需要涵蓋 物理和電子格式 的信息資產。
?包含分類為敏感或關鍵信息的系統輸出應在該輸出中攜帶合適的分類標記。該標記要根據 A7.2.1中所建立的規則反映出分類。待考慮的項目包括打 印報告、屏幕顯示、記錄介質(例如磁帶、磁盤、CD、電子消息和文件 傳送。
?對每種分類級別,要定義包括安全處理、儲存、傳輸、刪除、銷毀的處理 程序。還要包括一系列任何安全相關事態的監督和記錄程序。
?涉及信息共享的與其他組織的協議應包括識別信息分類和解釋其他組織分 類標記的程序。
END
Thank you!
第二篇:應收帳款管理培訓
應收帳款管理培訓
第一部分:應收賬款成因與分析
我們會根據企業現有的應收財款狀況,分析其形成的原因并找出相應的管理環節的疏漏或真空。
第二部分:應收帳款的功能與成本分析
根據對企業具體應收賬款的形成與應對措施的了解,及其應收帳款的功能分析不同應收帳款政策的相應成本。
應收賬款的成本包括:
○ 機會成本:分析及其計算○ 管理成本:內容及其分類○ 壞賬成本:確認及其處理
第三部分:確定企業應收賬款管理控制的目標:
與企業高層達成共識,確定企業應收帳款控制的目標,確定合理的信用額度和具體的管理措施,并以制度的形式確立。
第四部分:確定相關信用政策,對不同成因的應收帳款進行選擇與運用
本部分包括:
(一)信用標準
○ 信用標準的影響因素:定性分析○ 信用標準的確立:定量分析
(二)信用條件
○ 信用期限與折扣○ 信用條件方案的評價
第五部分:應收賬款的日常控制及制度基礎
(一)壞賬準備制度
(二)應收賬款預算控制
(三)應收賬款分類控制
(四)現金流量控制
(五)應收賬款報告
第六部分:應收賬款的評估與分析
(一)應收賬款的風險評估
○行業風險評估○ 經營風險評估○ 管理風險評估
(二)應收賬款的財務分析
○ 追蹤分析○ 賬齡分析○ 收現率分析
第七部分:應收賬款收賬政策與組織
(一)應收賬款收賬政策
(二)應收賬款收賬組織與策略
○ 應收賬款重整○ 應收賬款融資
第三篇:汽車工業有限公司IT資產及網絡信息安全管理規定
湖北汽車工業有限公司 IT資產及網絡信息安全管理規定
一、總則
1、為規范公司計算機及其網絡的管理,確保公司計算機及其網絡資源穩定、安全、高效地運行,保障公司各種工作正常開展,特制定本規定。
2、信息設備本著誰使用誰負責的原則,實行定人定編管理。每臺計算機由公司各部門落實其責任人。計算機責任人對計算機具有操作、使用的權限。
3、各部門負責人有對本部門所屬計算機使用情況進行監督、檢查的職責。
4、計算機管理人員有權對公司及下屬單位的計算機資源進行操作、管理、監督。
5、本規定中計算機資源管理是指: ? 計算機及其外設的硬件、軟件管理; ? 計算機網絡設備及其網絡資源管理; ? IT資產的申購、配發、上交、維修管理; ? 信息安全管理;
? 其它與計算機有關的使用管理。
6、本規定中的計算機是指:計算機主機、顯示器及其附件,包括鼠標、鍵盤、電源等。
7、本規定中所指的計算機附屬設備主要指計算機外部設備,如:各類打印機、移動硬盤、U盤、刻錄機、掃描儀、復印機、音箱等其它為提高工作效率所配備的硬件設備。
8、本規定中涉及的計算機網絡是指:公司使用的局域網、互聯網及網絡上提供的各類服務,所有應用平臺、業務平臺、管理平臺等。
9、本規定中的計算機網絡設備是指:交換機、路由器、防火墻、上網行為管理、USB無線網卡、網線等。
10、本規定中的軟件是指:
計算機操作系統; / 6
辦公軟件,如:OFFICE系列的WORD、EXCL、POWERPOINT等; 其它工作中必需的軟件,如:PDF、AUTOCAD、CORLDRAW、CATIA等; 計算機及網絡的安全管理軟件,如:殺毒軟件、計算機防火墻等; 各類計算機業務平臺和管理系統平臺; 其它計算機應用軟件、程序。
11、本規定適用于公司所轄一切計算機資源的應用范圍。
二、信息設備的申購、配發、回收、維修流程
1、計算機設備申請采購流程:
使用人提出OA申請>IT用品申領單申請>報經本單位(部門)負責人審批同意>部門分管領導審批>公司總經理審批>經營企劃部審批>采購>入庫手續(固定資產登記)>出庫手續>配發安裝
2、辦公外設設備的配發:
使用人提出OA申請>IT用品申領單申請>報經本單位(部門)負責人審批同意>經營企劃部審批>采購>領用人員簽字確認>IT工程師安裝調試
3、計算機更換流程
使用人提出OA申請>報經本單位(部門)負責人審批同意>OA填寫運維申請單>經營企劃部審批>領用人員簽字確認>IT工程師安裝調試>
4、計算機設備回收:
使用人提出OA申請>本單位(部門)負責人審批同意>OA填寫運維申請單>經營企劃部審批>IT工程師檢查回收設備>固定資產登記>使用人簽字確認>固定資產回收
5、計算機設備報修:
信息設備軟硬、件故障>使用人通過OA填寫運維申請單>經營企劃部審批>IT工程師確認故障并到場維修>計算機使用人確認故障已排除>IT工程師填寫運維申請單OA登記
三、計算機硬件使用及管理 / 6
1、在未經經營企劃部授權的情況下,其它任何人不得隨意對計算機設備搬移,調換;不得隨意拆、卸計算機設備,如有因此而造成的信息設備損壞,由當事人承擔相應產生的更換、維修費用。
2、計算機設備的安裝調試:
計算機設備的安裝調試由IT工程師完成,其它任何人不得擅自安裝計算機設備及其附屬設備,如音箱,掃描儀等。
3、計算機設備發生軟、硬件故障需通知IT工程師安排專業人員處理。在未經IT工程師授權的情況下不得擅自處理。
4、使用者不得擅自設置或更改計算機BIOS密碼,如發現有設置者,IT工程師有權清除并在公司內通報批評。
5、如因工作需要,需要調換、更換計算機及附件的需提前申請,由IT工程師調換。
6、IT工程師在對計算機及附屬設備進行安裝、維護、維修時需做好相應記錄。
7、禁止在未經許可的情況下,擅自安裝計算機硬件及其附件。
8、離職員工不得移除計算機內的軟、硬件和文件,并在離職前向信息科申請檢查,在IT工程師到場檢查信息設備軟、硬件和文件完整以后,在離職手續上簽字確認方可辦理離職手續,同時回收其IT設備。
四、計算機軟件使用及管理
1、計算機操作系統及軟件的安裝調試必須由IT工程師進行,其它任何人不得在未經經營企劃部授權的情況下擅自安裝、刪除計算機操作系統程序和軟件。
2、任何部門或個人不得擅自更改計算機的各項設置,如:計算機名、IP地址、MAC地址、IT工程師密碼、登陸方式等
3、計算機使用人員應經常整理計算機中的文件、數據,保持文件的有序存放。
4、使用者不得在計算機上存放有破壞公司形象及與網絡正常運行的軟件,如:各類黑客程序、有意帶病毒的文件,小說、娛樂電影以及其它不健康的文件,如:(黃色圖片、反動文章、視頻圖像等)。/ 6
5、嚴禁使用計算機設備做與工作無關的操作,如:玩游戲、看電影、網上賭博等。
6、禁止訪問與工作無關的網站。
五、計算機網絡管理
1、任何人不得擅自將私人計算機、筆記本、手機、U盤等設備接入公司計算機或公司計算機網絡。如確有需求,須先行通過經營企劃部備案。
2、任何人不得擅自挪用公司計算機設備、網絡資源,更不能破壞計算機及網絡設備。
3、任何人不得利用公司計算機網絡開展損害公司利益,和其它有損他人計算機、計算機網絡安全的活動,不得利用公司計算機網絡從事非法活動。
4、公司實行辦公,研發,生產設備網絡隔離制度。有訪問特定網絡需要的部門及個人,請在OA內提出“網絡申請單”,經營企劃部審批同意后由IT工程師安裝調試。
5、不得利用公司網絡下載與工作無關的軟件、電影等;不得擅自使用帶有P2P協議的軟件下載工具,如:迅雷,QQ旋風等,如有工作需要使用的軟件,須通過OA申請,經營企劃部審批同意以后由IT工程師下載完成后提交公司文件服務器中供大家使用,以避免重復下載,浪費網絡資源,影響網絡穩定。
6、不得在公司網絡使用黑客工具及危害公司計算機及計算機網絡安全、數據安全的軟件或程序。
7、不得使用黑客工具或網絡管理軟件影響公司網絡的正常運行。
8、不得擅自關閉、刪除、卸載其安裝在計算機上的殺毒軟件及防火墻,對收取的郵件應先確認無病毒后再打開,發現可疑情況請向經營企劃部反映。
9、任何人在未經許可的情況下,不得擅自發起與工作無關的多人對話、網絡會議、廣播信息;嚴禁利用計算機或計算機網絡發表有損公司、個人利益或形象的言論。
10、各部門、各公司員工不得在未經許可的情況下利用公司網絡架設各類服務器,如:Web服務器、FTP服務器、文件共享等。如果確有必要的,應該事先向經營企劃部提出申請,審核批準后方可設立。所設服務應指定專人負責管理,/ 6
并接受經營企劃部的監督。
六、計算機及其數據安全
1、計算機使用人必須為計算機設置系統密碼(Windows開機密碼),密碼至少6位,應由字母、數字和字符組成。
2、計算機使用人必需對用戶密碼和各類系統密碼妥善保管,不得將密碼泄露給他人,嚴防被竊。若因此造成公司或個人信息、文件外泄、丟失的,其責任自行承擔。
3、未經許可,嚴禁任何人將除工作、學習、培訓資料以外的私人光盤、VCD、DVD、移動存儲器(U盤)等在公司計算機設備上使用。
4、公司信息設備內的資料應該嚴格保密,未經許可嚴禁任何人員擅自復制、拷貝、轉移,更不得擅自帶出公司。
5、任何人不得利用各種手段、破解、攻擊公司計算機網絡系統和計算機服務平臺,不得擅自破解公司計算機各種用戶名和密碼或竊取公司文件、數據。
6、當使用人結束工作或長時間離開計算機時,應及時鎖定或關閉計算機以免他人操作,更不能將計算機讓他人操作使用(工作需要除外)。
7、如因工作原因需使用U盤或移動硬盤等設備,使用人在打開前必需對其進行殺毒確認無病毒后方可打開。
8、如有計算機使用人離職的,不得刪除計算機內部任何數據,如確有個人資料需要刪除的應有IT工程師在場方可刪除。
七、文件備份
1、公司及各部門使用的計算機內的數據應當定時備份,如需IT工程師配合時應及時聯系,不得擅自邀請外來人員進行備份。
2、對于重要數據及重要文件必需定期備份或由IT工程師集中備份,備份資料由檔案室統一保管,不得擅自帶出公司或邀請外來人員進行備份。
3、工作中重要數據或個人工作重要文件必須保存在D盤、E盤、F盤,并定期備份到公司的文件服務器,或公司提供的U盤、移動硬盤、光盤等移動設備中。/ 6
如未按規定操作而造成文件丟失的,責任自行承擔。
八、計算機日常清潔及保養
1、不得在計算機主機箱旁邊堆放雜物文件,必需保持計算機正常通風散熱。
2、計算機使用人必需經常清潔計算機主機箱、顯示器、鍵盤、鼠標以保持計算機的清潔衛生。
注意:液晶顯示器不得用手指,鋼筆等硬物觸碰液晶面,在清潔液晶顯示器時應用干布輕輕擦去液晶面上的灰塵,不得用酒精等腐蝕性液體擦拭液晶面。
3、計算機使用人在離開或下班之后,必需安全關閉計算機,包括顯示器、打印機、復印機、掃描儀等計算機外部設備,并切斷其電源,以防止損壞或產生安全隱患。
九、其它
1、公司鼓勵員工最大限度地利用計算機及網絡資源進行工作。
2、在不影響計算機使用者正常工作的情況下,鼓勵員工在公司IT工程師指導下在指定的計算機上學習計算機應用知識。
十、附則
1、本規定由經營企劃部負責監督執行。
2、本規定由經營企劃部負責解釋、修訂。
3、本規定適用于湖北汽車工業有限公司內所有單位、部門和個人。
4、本規定自2017年10月份起開始執行。
湖北汽車工業有限公司
二〇一七年月日 / 6
第四篇:ISO27001信息安全體系培訓(條款A6-信息安全組織).
ISO27001培訓系列V1.0 ISO 27001信息安全體系培訓控制目標和控制措施(條款A6-信息安全組織 2009年11月
董翼楓(dongyifeng78@hotmail.com 條款A6
信息安全組織 A6.1內部組織 ?目標: 在組織內管理信息安全。
?應建立管理框架,以啟動和控制組織范圍內的信息安全的實施。?管理者應批準信息安全方針、指派安全角色以及協調和評審整個組織安全的實施。
?若需要,要在組織范圍內建立專家信息安全建議庫,并在組織內可用。要發展與外部安全專家或組織(包括相關權威人士的聯系,以便跟上行業趨勢、跟蹤標準和評估方法,并且當處理信息安全事件時,提供合適的聯絡點。應鼓勵采用多學科方法,解決信息安全問題。
控制措施
管理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配及確認,來積極支持組織內的安全。
實施指南 ?管理者應: a確保信息安全目標得以識別,滿足組織要求,并已被整合到相關過程中;b制定、評審、批準信息安全方針;c評審信息安全方針實施的有效性;d為安全啟動提供明確的方向和管理者明顯的支持;e為信息安全提供所需的資源;f批準整個組織內信息安全專門的角色和職責分配;g啟動計劃和程序來保持信息安全意識;h確保整個組織內的信息安全控制措施的實施是相互協調的(見A6.1.2。?管理者應識別對內外部專家的信息安全建議的需求,并在整個組織內評審和協調專家建議結果。
?根據組織的規模不同,這些職責可以由一個專門的管理協調小組或由一個已存在的機構(例如董事會承擔。
A6.1.2信息安全協調
信息安全活動應由來自組織不同部門并具備相關角色和工作職責 的代表進行協調。
A6.1.2信息安全協調
?典型的,信息安全協調應包括管理人員、用戶、行政人員、應用設計人員、審核員和安全專員,以及保險、法律、人力資源、IT 或風險管理等領域 專家的協調和協作。這些活動應: 確保安全活動的實施與信息安全方針相一致;確定如何處理不符合項;核準信息安全的方法和過程,例如風險評估、信息分類;識別重大的威脅變更和暴露于威脅下的信息和信息處理設施;評估信息安全控制措施實施的充分性和協調性;有效地促進整個組織內的信息安全教育、培訓和意識;評價在信息安全事件的監視和評審中獲得的信息,推薦適當的措施響應識別的信息安 全事件。
?如果組織沒有使用一個獨立的跨部門的小組,例如因為這樣的小組對組織 規模來說是不適當的,那么上面描述的措施應由其它合適的管理機構或單
A6.1.3信息安全職責的分配 所有的信息安全職責應予以清晰地定義。A6.1.3信息安全職責的分配
?信息安全職責的分配應和信息安全方針(見 A5相一致。各個資產的保護 和執行特定安全過程的職責應被清晰的識別。這些職責應在必要時加以補 充,來為特定地點和信息處理設施提供更詳細的指南。資產保護和執行特 定安全過程(諸如業務連續性計劃的局部職責應予以清晰地定義。?分配有安全職責的人員可以將安全任務委托給其他人員。盡管如此,他們 仍然負有責任,并且他們應能夠確定任何被委托的任務是否已被正確地執 行。
?個人負責的領域要予以清晰地規定;特別是,應進行下列工作: 與每個特殊系統相關的資產和安全過程應予以識別并清晰地定義;應分配每一資產或安全過程的實體職責,并且該職責的細節應形成文件(見 A7.1.2;授權級別應清晰地予以定義,并形成文件。
A6.1.4信息處理設施的授權過程 ?新信息處理設施應定義和實施一個管理授權過程。
?授權過程應考慮下列指南: 新設施要有適當的用戶管理授權,以批準其用途和使用;還要獲得負責維護本地系統 安全環境的管理人員授權,以確保所有相關的安全方針策略和要求得到滿足;若需要,硬件和軟件應進行檢查,以確保它們與其他系統組件兼容;使用個人或私有信息處理設施(例如便攜式電腦、家用電腦或手持設備處理業務信 息,可能引起新的脆弱性,因此應識別和實施必要的控制措施。
A6.1.5保密性協議
應識別并定期評審反映組織信息保護需要的保密性或不泄露協議 的要求。A6.1.5保密性協議
?保密或不泄露協議應使用合法可實施條款來解決保護機密信息的要求。要識別保密或不泄 露協議的要求,需考慮下列因素: a 定義 要保護的信息(如機密信息;b 協議的期望 持續時間 ,包括不確定的需要維持保密性的情形;c 協議終止時所需的 措施;
d 為避免未授權信息泄露的簽署者的 職責和行為;e 信息所有者、商業秘密和 知識產權 ,以及他們如何與機密信息保護相關聯;f 機密信息的許可使用,及簽署者使用信息的 權力;g 對涉及機密信息的活動的 審核和監視 權力;h 未授權泄露或機密信息破壞的 通知 和報告過程;i 關于協議終止時信息 歸檔或銷毀 的條款;j 違反協議后期望采取的 措施。
?基于一個組織的安全要求,在保密性或不泄露協議中可能需要其他因素。?保密性和不泄露協議應針對它適用的管轄范圍(見 A15.1.1遵循所有適用的法律法規。保密性和不泄露協議的要求應進行周期性 評審 ,當發生影響這些要求的變更時,也要進行
A6.1.6與政府部門的聯系
?應保持與政府相關部門的適當 聯系。
?組織應有規程指明什么時候應當與哪個部門(例如,執法部門、消防局、監管部門聯系,以及懷疑已識別的信息安全事件可能 觸犯了法律時,應如何及時報告。
?受到來自互聯網攻擊的組織可能需要外部第三方(例如互聯網服 務提供商或電信運營商采取措施以應對攻擊源。
?保持這樣的聯系可能是支持信息安全事件管理(A13.2或業務連續性和應急規劃過程(A14的要 求。與法規部門的聯系有助于預先知道組織必須遵循的法律法規方面預期的變化,并為這些變化做 好準備。與其他部門的聯系包括公共部門、緊急
服務和健康安全部門,例如消防局(A14章的業務 連續性有關、電信提供商(與路由和可用性有關、供水部門(與設備的冷卻設施有關。
A6.1.7與特定利益集團的聯系
?應保持與特定利益集團、其他安全專家組和專業協會的適當聯系。?應考慮成為特定利益集團或安全專家組的成員,以便: a 增進對最佳實踐和最新相關安全信息的了解;b 確保全面了解當前的信息安全環境;c 盡早收到關于攻擊和脆弱性的預警、建議和補丁;d 獲得信息安全專家的建議;e 分享和交換關于新的技術、產品、威脅或脆弱性的信息;f 提供處理信息安全事件時適當的聯絡點(見 A13.2.1。A6.1.8信息安全的獨立評審
?組織管理信息安全的方法及其實施(例如信息安全的控制目標、控制措施、策略、過程和程序應按計劃的時間間隔進行獨立評審,當安全實施發 生重大變化時,也要進行獨立評審。
?獨立評審應由管理者啟動。對于確保一個組織管理信息安全方法的持續的適宜性、充分性 和有效性,這種獨立評審是必須的。評審應包括評估安全方法改進的機會和變更的需要, 包括方針和控制目標。
?這樣的評審應由獨立于被評審范圍的人員執行,例如內部審核部門、獨立的管理人員或專 門進行這種評審的第三方組織。從事這些評審的人員應具備適當的技能和經驗。
?獨立評審的結果應被記錄并報告給啟動評審的管理者。這些記錄應加以保持。
?如果獨立評審識別出組織管理信息安全的方法和實施不充分,或不符合信息安全方針文件(見 A5.1.1中聲明的信息安全的方向,管理者應考慮糾正措施。
A6.2外部各方 ?目標: 保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全。
?組織的信息處理設施和信息資產的安全不應由于引入外部方的產品或服務而降低。
?任何外部方對組織信息處理設施的訪問、對信息資產的處理和通信都應予以控制。
?若有與外部方一起工作的業務需要,它可能要求訪問組織的信息和信息處理設施、從外部方獲得一個產品和服務,或提供給外部方一個產品和服務,應進行風險評估,以確定涉及安全的方面和控制要求。在與外部方簽訂的協議中要商定和定義控制措施。
外部各方
?服務提供商(例如互聯網服務提供商、網絡提供商、電話服務、維護和支持服務;?受管理的安全服務;?顧客;?設施和運行的外包,例如,IT系統、數據收集服務、中心呼叫業務;
?管理者,業務顧問和審核員;?開發者和提供商,例如軟件產品和IT系統的開發者和提供商;?保潔、餐飲和其他外包支持服務;?臨時人員、實習學生和其他臨時短期安排。控制措施
應識別涉及外部各方業務過程中組織的信息和信息處理設施的風險,并在允許訪問前實施適當的控制措施。
實施指南
?當需要允許外部方訪問組織的信息處理設施或信息時,應實施風險評估(見A4以識別特定控制措施的要求。
關于外部方訪問的風險的識別應考慮以下問題: a外部方需要訪問的信息處理設施;b外部方對信息和信息處理設施的訪問類型,例如: 物理訪問,例如進入辦公室,計算機機房,檔案室;邏輯訪問,例如訪問組織的數據庫,信息系統;組織和外部方之間的網絡連接,例如,固定連接、遠程訪問;現場訪問還是非現場訪問;c所涉及信息的價值和敏感性,及對業務運行的關鍵程度;d為保護不希望被外部方訪問到的信息所需的控制措施;e與處理組織信息有關的外部方人員;
f能夠識別組織或人員如何被授權訪問、如何進行授權驗證,以及多長時間需要再確認;g外部方在存儲、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制措施;h外部方需要時無法訪問,外部方輸入或接收不正確的或誤導的信息的影響;i處理信息安全事件和潛在破壞的慣例和程序,和當發生信息安全事件時外部方持續訪問的條款和條件;j應考慮與外部方有關的法律法規要求和其他合同責任;k這些安排對其他利益相關人的利益可能造成怎樣的影響。
?除非已實施了適當的控制措施,才可允許外部方訪問組織信息,可行時,應簽訂合同規定外部方連接或訪問以及工作安排的條款和條件,一般而言,與外部方合作引起的安全要求或內部控制措施應通過與外部方的協議反映出來(見A6.2.2和A6.2.3。
?應確保外部方意識到他們的責任,并且接受在訪問、處理、通信或管理組織的信息和信息處理設施所涉及的職責和責任。
A6.2.2處理與顧客有關的安全問題 控制措施
應在允許顧客訪問組織信息或資產之前處理所有確定的安全要求。A6.2.2處理與顧客有關的安全問題 實施指南
要在允許顧客訪問組織任何資產(依據訪問的類型和范圍,并不需要應用所有的條款)前解決安全問題,應考慮 下列條款: a 資產保護,包括: 及對已知脆弱性的管理;
保護組織資產(包括信息和軟件)的程序,以
判定資產是否受到損害(例如丟失數據或修改數據)的程序; 完整性; 對拷貝和公開信息的限制; b c d 擬提供的產品或服務的允許的訪問描述; 顧客訪問的不同原因、要求和利益; 訪問控制策略,包括: 方法,唯一標識符的控制和使用,例如用戶ID和口令; 權過程; 沒有明確授權的訪問均被禁止的聲明;
用戶訪問和權限的授
撤消訪問權或中斷系統間連接的處理; e 信息錯誤(例如個人信息的錯誤)、信息安全事件和安全違規的報告、通知和調查的安排; f g h i j k 每項可用服務的描述; 服務的目標級別和服務的不可接受級別; 監視和撤銷與組織資產有關的任何活動的權利; 組織和顧客各自的義務; 相關法律責任和如何確保滿足法律要求(例如,數據保護法律)。如果協議涉及與其他國家顧客的合作,特別要考慮到不同國家的法律體系(也 見A15.1); 知識產權(IPRs)和版權轉讓(見A15.1.2)以及任何合著作品的保護(見A6.1.5);-20-A6.2.3處理第三方協議中的安全問題 控制措施
涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信 的第三方協議,或在信息處理設施中增加產品或服務的第三方協 議,應涵蓋所有相關的安全要求。-21-A6.2.3處理第三方協議中的安全問題 實施指南
協議應確保在組織和第三方之間不存在誤解。組織應使第三方的保證滿足自己的需要。為滿足識別的安全要求(見A6.2.1),應考慮將下列條款包含在協議中: a b c d e f g h i j k l m n 信息安全方針; 確保資產保護的控制措施,對用戶和管理員在方法、程序和安全方面的培訓; 確保用戶意識到信息安全職責和問題; 若適宜,人員調動的規定; 關于硬件和軟件安裝和維護的職責; 一種清晰的報告結構和商定的報告格式; 一種清晰規定的變更管理過程; 訪問控制策略; 報告、通知和調查信息安全事件和安全違規以及違背協議中所聲明的要求的安排; 提供的每項產品和服務的描述,根據安全分類(見7.2.1)提供可獲得信息的描述; 服務的目標級別和服務的不可接受級別; 可驗證的性能準則的定義、監視和報告; 監視和撤銷與組織資產有關的任何活動的權利; o p q r s t u v 審核協議中規定的責任、第三方實施的審核、列舉審核員的法定權限等方面的權利; 建立逐級解決問題的過程; 服務連續性要求,包括根據一個組織的業務優先級對可用性和可靠性的測度; 協議各方的相關義務;
有關法律的責任和如何確保滿足法律要求(例如,數據保護法律)。如果該協議涉及與其他國家的組織的合作,特別要考慮到不同國家的法律體系(也見 15.1); 知識產權(IPRs)和版權轉讓(見15.1.2)以及任何合著作品的保護(見6.1.5); 涉及具有次承包商的第三方,應對這些次承包商需要實施安全控制措施; 重新協商/終止協議的條件。-22-END Thank you!
董翼楓(dongyf@fugle.info)-23
第五篇:構建信息安全保密體系
構建信息安全保密體系
摘 要:信息安全保密已經成為當前保密工作的重點。本文從策略和機制的角度出發,給出了信息安全保密的服務支持、標準規范、技術防范、管理保障和工作能力體系,體現了技術與管理相結合的信息安全保密原則。關鍵詞:信息 安全 保密 體系
一、引言
構建信息安全保密體系,不能僅僅從技術層面入手,而應該將管理和技術手段有機結合起來,用規范的制度約束人,同時建立、健全信息安全保密的組織體制,改變現有的管理模式,彌補技術、制度、體制等方面存在的不足,從標準、技術、管理、服務、策略等方面形成綜合的信息安全保密能力,如圖1所示。圖 1 信息安全保密的體系框架
該保密體系是以信息安全保密策略和機制為核心,以信息安全保密服務為支持,以標準規范、安全技術和組織管理體系為具體內容,最終形成能夠滿足信息安全保密需求的工作能力。
二、信息安全保密的策略和機制 所謂信息安全保密策略,是指為了保護信息系統和信息網絡中的秘密,對使用者(及其代理)允許什么、禁止什么的規定。從信息資產安全管理的角度出發,為了保護涉密信息資產,消除或降低泄密風險,制訂的各種綱領、制度、規范和操作流程等,都屬于安全保密策略。例如:禁止(工作或技術人員)將涉密軟盤或移動存儲設備帶出涉密場所;嚴禁(使用人員將)涉密計算機(連)上互聯網;不允許(參觀人員)在涉密場所拍照、錄像等。
信息安全保密機制,是指實施信息安全保密策略的一種方法、工具或者規程。例如,針對前面給出的保密策略,可分別采取以下機制:為涉密移動存儲設備安裝射頻標識,為涉密場所安裝門禁和報警系統;登記上網計算機的(物理)地址,實時監控上網設備;進入涉密場所前,托管所有攝錄像設備等。
根據信息系統和信息網絡的安全保密需求,在制定其安全保密策略時,應主要從物理安全保密策略,系統或網絡的訪問控制策略,信息的加密策略,系統及網絡的安全管理策略,人員安全管理策略,內容監管策略等方面入手。在安全保密機制方面,應主要從組織管理、安全控制和教育培訓等方面,針對給出的安全保密策略,確定詳細的操作或運行規程,技術標準和安全解決方案。
三、信息安全保密的服務支持體系
信息安全保密的服務支持體系,主要是由技術檢查服務、調查取證服務、風險管理服務、系統測評服務、應急響應服務和咨詢培訓服務組成的,如圖2所示。其中,風險管理服務必須貫穿到信息安全保密的整個工程中,要在信息系統和信息網絡規劃與建設的初期,就進行專業的安全風險評估與分析,并在系統或網絡的運營管理過程中,經常性地開展保密風險評估工作,采取有效的措施控制風險,只有這樣才能提高信息安全保密的效益和針對性,增強系統或網絡的安全可觀性、可控性。其次,還要大力加強調查取證服務、應急響應服務和咨詢培訓服務的建設,對突發性的失泄密事件能夠快速反應,同時盡可能提高信息系統、信息網絡管理人員的安全技能,以及他們的法規意識和防范意識,做到“事前有準備,事后有措施,事中有監察”。
加強信息安全保密服務的主要措施包括: 借用安全評估服務幫助我們了解自身的安全性
通過安全掃描、滲透測試、問卷調查等方式對信息系統及網絡的資產價值、存在的脆弱性和面臨的威脅進行分析評估,確定失泄密風險的大小,并實施有效的安全風險控制。采用安全加固服務來增強信息系統的自身安全性 具體包括操作系統的安全修補、加固和優化;應用服務的安全修補、加固和優化;網絡設備的安全修補、加固和優化;現有安全制度和策略的改進與完善等。部署專用安全系統及設備提升安全保護等級
借助目前成熟的安全技術和產品來幫助我們提升整個系統及網絡的安全防護等級,可采用的產品包括防火墻、IDS、VPN、防病毒網關等。
運用安全控制服務增強信息系統及網絡的安全可觀性、可控性
通過部署面向終端、服務器和網絡邊界的安全控制系統,以及集中式的安全控制平臺,增強對整個信息系統及網絡的可觀性,以及對使用網絡的人員、網絡中的設備及其所提供服務的可控性。
加強安全保密教育培訓來減少和避免失泄密事件的發生 加強信息安全基礎知識及防護技能的培訓,尤其是個人終端安全技術的培訓,提高使用和管理人員的安全保密意識,以及檢查入侵、查處失泄密事件的能力。引入應急響應服務及時有效地處理重大失泄密事件
具體包括:協助恢復系統到正常工作狀態;協助檢查入侵來源、時間、方法等;對網絡進行安全評估,找出存在的安全隱患;做出事件分析報告;制定并貫徹實施安全改進計劃。采用安全通告服務來對竊密威脅提前預警 具體包括對緊急事件的通告,對安全漏洞和最新補丁的通告,對最新防護技術及措施的通告,對國家、軍隊的安全保密政策法規和安全標準的通告等。
四、信息安全保密的標準規范體系 信息安全保密的標準規范體系,主要是由國家和軍隊相關安全技術標準構成的,如圖3所示。這些技術標準和規范涉及到物理場所、電磁環境、通信、計算機、網絡、數據等不同的對象,涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關安全保密防護規定,也有對人員的管理和操作要求。因此,它們是設計信息安全保密解決方案,提供各種安全保密服務,檢查與查處失泄密事件的準則和依據。各部門應該根據本單位信息系統、信息網絡的安全保密需求,以及組織結構和使用維護人員的配置情況,制定相應的,操作性和針對性更強的技術和管理標準。
五、信息安全保密的技術防范體系 信息安全保密的技術防范體系,主要是由電磁防護技術、信息終端防護技術、通信安全技術、網絡安全技術和其他安全技術組成的。這些技術措施的目的,是為了從信息系統和信息網絡的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性,進而保障信息及信息系統的安全,提高信息系統和信息網絡的抗攻擊能力和安全可靠性。安全保密技術是隨著信息技術、網絡技術,以及各種入侵與攻擊技術的發展不斷完善和提高的,一些最新的安全防護技術,如可信計算技術、內網監控技術等,可以極大地彌補傳統安全防護手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統和信息網絡的安全可控性和可用性,奠定了技術基礎。因此,信息安全保密的技術防范體系,是構建信息安全保密體系的一個重要組成部分,應該在資金到位和技術可行的情況下,盡可能采用最新的、先進的技術防護手段,這樣才能有效抵御不斷出現的安全威脅。
六、信息安全保密的管理保障體系
俗話說,信息安全是“三分靠技術,七分靠管理”。信息安全保密的管理保障體系,主要是從技術管理、制度管理、資產管理和風險管理等方面,加強安全保密管理的力度,使管理成為信息安全保密工作的重中之重。
技術管理主要包括對泄密隱患的技術檢查,對安全產品、系統的技術測評,對各種失泄密事件的技術取證;制度管理主要是指各種信息安全保密制度的制定、審查、監督執行與落實;資產管理主要包括涉密人員的管理,重要信息資產的備份恢復管理,涉密場所、計算機和網絡的管理,涉密移動通信設備和存儲設備的管理等;風險管理主要是指保密安全風險的評估與控制。
現有的安全管理,重在保密技術管理,而極大地忽視了保密風險管理,同時在制度管理和資產管理等方面也存在很多問題,要么是管理制度不健全,落實不到位;要么是一些重要的資產監管不利,這就給失竊密和遭受網絡攻擊帶來了人為的隱患。加強安全管理,不但能改進和提高現有安全保密措施的效益,還能充分發揮人員的主動性和積極性,使信息安全保密工作從被動接受變成自覺履行。
七、信息安全保密的工作能力體系
將技術、管理與標準規范結合起來,以安全保密策略和服務為支持,就能合力形成信息安全保密工作的能力體系,如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現,也能反映出當前信息安全保密工作是否到位。它以防護、檢測、響應、恢復為核心,對信息安全保密的相關組織和個人進行工作考評,并通過標準化、流程化的方式加以持續改進,使信息安全保密能力隨著信息化建設的進展不斷提高。
八、結論
技術與管理相結合,是構建信息安全保密體系應該把握的核心原則。為了增強信息系統和信息網絡的綜合安全保密能力,重點應該在健全上述保密體系,尤其是組織體系、管理體系、服務體系和制度(技術標準及規范)體系的基礎上,規范數據備份、密鑰管理、訪問授權、風險控制、身份認證、應急響應、系統及應用安全等管理方案,努力提高系統漏洞掃描、信息內容監控、安全風險評估、入侵事件檢測、病毒預防治理、系統安全審計、網絡邊界防護等方面的技術水平。
參考文獻:
[1]信息與網絡安全研究新進展.全國計算機安全學術交流會論文集.第二十二卷[C].合肥:中國科技大學出版社, 2007 [2]中國計算機學會信息保密專業委員會論文集.第十六卷[C].合肥:中國科技大學出版社, 2006 [3]胡建偉.網絡安全與保密[M].西安:西安電子科技大學出版社, 2003
點擊咨詢 