一句话总结
ISO是源于英国的国际信息安全标准,它的作用在于规范企业的信息安全,提高企业信息安全短板和下限。 具体的实施要求主要在ISO17799里面的A5-A15,可以归类两大块:
- 技术要求(访问控制、物理安全、操作安全、通信安全、开发测试维护安全)
- 管理要求(设立专业安全组、资产管理、人力资源管理、供应商管理、事故管理、业务连续性管理)
1.范围
2.引用标准
3.名词和定义
4.信息安全管理体系(ISMS)
4.2.1 要有识别风险的能力(漏洞扫描) (d)要有识别风险的能力
- 识别系统范围内资产所有者
- 识别资产的威胁
- 识别可能被威胁利用的脆弱点
- 识别资产保密性、完整性和可用性损失带来的影响 (e)分析和评估风险 (f)识别和评价处置风险的选秀
4.3.3 记录控制(日志审计) 要求记录4.2列出的过程执行记录和所有安全事故发生相关的记录
5.管理职责
6.ISMS内部审核
7.ISMS管理评审
8.信息安全管理体系(ISMS)之整改
控制目标和控制措施(引用ISO/IEC 17799:2005里面的A.5-A.15)
A.5 信息安全方针
A.6 信息安全组织
A.7 资产管理
A.8 人力资源安全
A.9 物理和环境安全
A.9.1 安全区域:组织应有物理安全边界保护设备(访客机、门禁、机房刷卡机柜) A.9.2 设备安全:预防资产遗失、损坏、失窃、损失、影响业务活动(支持bypass、链路冗余、设备状态监测、数据安全清除、放行条)
A.10 通讯与操作管理
A.10.1 操作程序及职责 A.10.2 第三方服务交付管理(外包管理:需要vpn+堡垒机) A.10.3 系统规划和验收:最小化系统故障产生的风险(保障可用性:SOC监控、DDos防护) A.10.4 防范恶意代码和管控移动写代码(恶意代码:EDR+APT,移动写代码也要管控风险) A.10.5 定期备份策略 A.10.6 网络安全管理
- 网络控制:防范威胁,保护系统、应用、传输安全(IPS+防火墙+EDR+WAF+VPN)
- 网络服务安全:应识别所有网络服务的安全特性、服务级别和管理要求,并包括在网络服务协议中,无论网络服务是内部还是外包(NAT网络审计or上网行为管理)
A.10.7 介质处置
- 可移动介质管理
- 媒体销毁
- 信息处理程序(DLP:说得太含糊)
- 系统文档安全(文档加密or数据防泄漏DLP)
A.10.8 信息交换(网闸?事实上VPN或专线就可以;交换协议不可能去开发一个协议,所以这是协商交换内容叫做协议) A.10.9 电子商务服务(SSL加密传输、中间人检测) A.10.10 监督
- 审核日志(SOC)
- 监控系统的使用(SOC)
- 日志信息保护(SOC)
- 管理员和操作日志(SOC)
- 错误日志
- 时钟同步NTP
A.11 访问控制
A.11.1 访问控制和业务需求(需要有访问策略文档) A.11.2 员工访问管理(只能应用开发控制,DB审计可以辅助) A.11.3 员工行为准则 A.11.4 网络访问控制(防火墙) A.11.5 操作系统访问控制(防火墙+堡垒机) A.11.6 应用和信息访问控制(防火墙+应用开发) A.11.7 移动计算和远程工作(VPN+堡垒机) 目标:确保使用移动计算和远程工作设备时的信息安全
A.12 信息系统的新增、开发及维护
A.12.1 信息系统安全要求(要形成文档) A.12.2 应用程序中的正确处理(WAF) A.12.3 加密控制(第三方加密密钥管理?飞天诚信?) A.12.4 系统文件安全(EDR控制软件安装,DB脱敏,防火墙,DNS域名管理) A.12.5 开发及辅助进程安全(堡垒机) A.12.6 技术漏洞管理(漏洞扫描+EDR漏洞补丁管理+基线核查)
A.13 信息安全事故的管理
A.13.1 报告安全事件和弱点(SOC告警) A.13.2 信息安全事故的管理和改进(渗透测试服务)
A.14 业务连续性管理
A.14.1 业务连续管理的信息安全方面
A.15 符合性
A.15.1 符合法律要求 A.15.2 符合安全策略、标准和技术符合性 A.15.3 信息系统审核的考虑因素
解决方案:
如何理解PDCA
P:(定战略)进行风险评估,并制定风险处置计划 D:(出体系)依据风险评估结果进行体系制定和发布 C:(风险评估实施)持续进行风险评估和审计,进行质量监控及改进监控 A:(改进实施)改进C中发现的问题,落实预防措施和纠正措施
举例1:发生安全事故
举例2:上线扩展新服务器
举例3:发布更新
涉及的产品
- 漏洞扫描
- SOC日志审计
- VPN
- EDR
- 防火墙
- 堡垒机
- 基线核查
- WAF
- APT沙箱检测及高级威胁预警
- IPS
- 抗DDoS
- DB审计(特权账号审计:当然你也可以通过应用开发实现,但非第三方)
- DB脱敏
- DLP数据防泄漏
- 文档加密和审计
涉及的服务
- 风险评估(需要按照ISMS标准进行)
- 安全事故应急响应
- 安全培训
- 安全加固
- 渗透测试
风险评估
- 资产分类(分类的同时明确核心资产和数据)
- 资产控制(访问控制和审计,生命周期控制和记录)
- 风险评估和处理(威胁*弱点矩阵,风险避免、转移、接受残余风险)
系统开发与使用
- 补丁管理(EDR)
- 变更管理(堡垒机)
- 备份及媒介管理(备份一体机:本地备份,异地远端备份)
- 开发生命周期安全管理(SDL服务)
- 项目运行管理
安全策略和管理
- 安全业务目标
- 安全检查目标(基线核查:质量控制,CTQ、抽样检查、分析)
- 安全事件和日常运维指引指南
- 安全培训(安全培训服务)
系统访问控制(IAM)
- 权限(授权记录,审计记录,取消/修改记录)
- 角色(必备三权分立的三种角色)
- 原则(最小权限,可审计无交叉使用)
计算机及操作管理
- 服务器系统加固(EDR)
- PC系统加固(EDR)
- 网络设备管理(堡垒机)
- 资源库存管理
业务连续性管理
要求明确team leader 要求有业务资产责任人表单 要求有记录员工行为的方法(DB审计:UEBA) 要求有风险应急预案(应急响应服务) 要求进行过应急预案模拟(录像、问答、纸质)
审计
SOC审计(可推SOC产品) 特权账号审计(可推DB审计:三层关联UEBA) 信息安全体系内审计(SOC报表)
信息安全事件(上升到管理层面)
信息安全事件报告 信息安全事件弱点分析(漏扫扫描) 纠正预防措施 效果检查(基线核查)
工作人员行为安全
重要岗位背景调查 重要岗位人员备份 保密协议签署 新员工安全培训 信息安全惩处实施
信息安全目标及度量
信息安全方针总纲 信息安全年度目标 信息安全月度报告 SOA适用性声明
安全组织
成立信息安全小组 第三方服务管理与评审
