审核不能外包
审核不能外包
A14包括硬件及软件开发
双机热备、双机互备
通网连接需要几条线路、热备、互备等均无法规要求
白名单、黑名单要有
拿机房巡检替代所有运维内容是不够的
容量使用率多少不行,目前没标准
中国政府与微软官司:要求提供原程序库,但微软不同意,因此推荐使用WPS
秘钥管理更强调私钥管理
信息安全体系专业条款:6.1.2,6.1.3,8.2,8.3,附录A9\10\11\13\14
A12、A17是否专业条款?有待讨论
如何保证缓存的信息被擦掉:简单的就是断电再开机
多数设备(系统)本身带策略
特殊岗位:系统管理员/网络管理员
内部云技术是方向
管理最优秀是文化管理
沟通渗透到企业业务各个过程
文件错是最大的错
记录作用:证实、可追溯
至少14个策略
制度不完整,6.1;制度落实不好,8.1
风险控制措施的思路:削减、消除、转移、接受
国际船级社老师:1、连续来3-4年文件不变,怀疑;2、目标也不变,良好体系应不断提升
文件及目标的调整应该是组织高层的行动
整合首先整合流程,也就是考虑标准要求,对组织而言,就是单一体系,满足多个标准要求。
理解组织及其环境:只局限于信息安全领域,不是从战略角度,目标不要扩大
规划中有信息安全专篇就足够
相关方:与信息安全相关的
ITSS协会联盟发布的标准
管理者代表不要求,但报告绩效职责要有
风险和机遇可以不增加内容,在风险评估环节做好就行
评价准则,风险清单,不可接受风险清单
建立原制度与标准要求索引--适用性说明
关于组卷,真值得讨论一下
找安全性和便利性平衡点
27003做咨询必要看下
做咨询模块化很重要,体现方法论
通用风险管理ISO30001,但太宽泛
27005比较细,值得细研究掌握
可否远程审核?如何审
20000中IS是站在客户角度,27001中IS是站在组织本身
加密机制是最重要的,其他机制均围绕加密机制派生的
27001最早2013年按高级架构编写的
维度14,目标35,措施114
建立ISMS七个步骤:识别要求、评估风险、处置风险、选择和实施控制、监视、改进
刘思腾:信息安全风险不能一次都解决,分布实施
控制域中114个控制点
信息安全技术标准滞后
建立体系不能丢掉原有的
客户需求:给政府及大的企业做外包需要27000等认证
中石化、中石油要求出现信息安全事件主要领导人要负第一责任
评估需要建两个模型:资产价值和风险分级
27005推荐一些评估方法可借鉴
附录A的选择:法规有要求无条件选择,法规无要求,综合成本效益
信息安全也需体现全生命周期管理:规划设计、购买、集成、再开发、使用、报废
27002附录A5-8与27001章节对应
不能脱离核心业务去考虑信息安全
专业之间的关联要深入要求
专业能力评价是二维的
分级管理:三颗星重要客户并可担任组长,二颗星一般客户及组长,一颗星只能组员
一二阶段放在一起可否?
时钟同步:保证日志可追溯
审核制造企业关注 工业自动化控制系统的信息安全
第 一部分。
ISMS的目的和意义与重要性。
案例,迁钢、中信重工、温州控制系统故障。信息系统故障导致业务出现问题。能源交通物流通讯等重点行业,护网行动,系统开展信息安全系统的管理。黑客机构、政府扶植黑客的攻击。
伊朗案例,控制系统故障。前沿数控案例数据丢失。