审核不能外包

A14包括硬件及软件开发

双机热备、双机互备

通网连接需要几条线路、热备、互备等均无法规要求

白名单、黑名单要有

拿机房巡检替代所有运维内容是不够的

容量使用率多少不行，目前没标准

中国政府与微软官司：要求提供原程序库，但微软不同意，因此推荐使用WPS

秘钥管理更强调私钥管理

信息安全体系专业条款：6.1.2,6.1.3,8.2,8.3，附录A9\10\11\13\14

A12、A17是否专业条款？有待讨论

如何保证缓存的信息被擦掉：简单的就是断电再开机

多数设备（系统）本身带策略

特殊岗位：系统管理员/网络管理员

内部云技术是方向

管理最优秀是文化管理

沟通渗透到企业业务各个过程

文件错是最大的错

记录作用：证实、可追溯

至少14个策略

制度不完整，6.1；制度落实不好，8.1

风险控制措施的思路：削减、消除、转移、接受

国际船级社老师：1、连续来3-4年文件不变，怀疑；2、目标也不变，良好体系应不断提升

文件及目标的调整应该是组织高层的行动

整合首先整合流程，也就是考虑标准要求，对组织而言，就是单一体系，满足多个标准要求。

理解组织及其环境：只局限于信息安全领域，不是从战略角度，目标不要扩大

规划中有信息安全专篇就足够

相关方：与信息安全相关的

ITSS协会联盟发布的标准

管理者代表不要求，但报告绩效职责要有

风险和机遇可以不增加内容，在风险评估环节做好就行

评价准则，风险清单，不可接受风险清单

建立原制度与标准要求索引--适用性说明

关于组卷，真值得讨论一下

找安全性和便利性平衡点

27003做咨询必要看下

做咨询模块化很重要，体现方法论

通用风险管理ISO30001，但太宽泛

27005比较细，值得细研究掌握

可否远程审核？如何审

20000中IS是站在客户角度，27001中IS是站在组织本身

加密机制是最重要的，其他机制均围绕加密机制派生的

27001最早2013年按高级架构编写的

维度14，目标35，措施114

建立ISMS七个步骤：识别要求、评估风险、处置风险、选择和实施控制、监视、改进

刘思腾：信息安全风险不能一次都解决，分布实施

控制域中114个控制点

信息安全技术标准滞后

建立体系不能丢掉原有的

客户需求：给政府及大的企业做外包需要27000等认证

中石化、中石油要求出现信息安全事件主要领导人要负第一责任

评估需要建两个模型：资产价值和风险分级

27005推荐一些评估方法可借鉴

附录A的选择：法规有要求无条件选择，法规无要求，综合成本效益

信息安全也需体现全生命周期管理：规划设计、购买、集成、再开发、使用、报废

27002附录A5-8与27001章节对应

不能脱离核心业务去考虑信息安全

专业之间的关联要深入要求

专业能力评价是二维的

分级管理：三颗星重要客户并可担任组长，二颗星一般客户及组长，一颗星只能组员

一二阶段放在一起可否？

时钟同步：保证日志可追溯

审核制造企业关注 工业自动化控制系统的信息安全

第 一部分。

ISMS的目的和意义与重要性。

案例，迁钢、中信重工、温州控制系统故障。信息系统故障导致业务出现问题。能源交通物流通讯等重点行业，护网行动，系统开展信息安全系统的管理。黑客机构、政府扶植黑客的攻击。

伊朗案例，控制系统故障。前沿数控案例数据丢失。