ISMS信息安全体系访问控制.doc

ISMS信息安全体系访问控制1.1 访问控制的商业要求目标：控制对信息的访问对信息和商业流程的访问应在商务和安全需求的基础上进行控制。访问控制应考虑到信息传播和授权方面的方针。1. 访问控制方针(1) 方针和商务需求访问控制的商务需求应进行定义和文档化。每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。访问控制方针应考虑下述问题：a） 不同的商务应用的安全需求b） 所有和商务应用相关的信息的辨认c） 信息传播和授权方针，如了解原则、信息的安全级别和分类的需求d） 不同系统和网络的访问控制和信息分类方针之间的一致性e） 关于保护对数据和服务的有关法规和合同义务（见12款）f） 对普通范畴工作的标准用户访问文件g） 对于公认一切类型的可用连接的分布式和网络化的环境的访问权限的管理(2) 访问控制规则为详细说明访问控制规则，应注意考虑以下各项：a） 区分必须执行的规则与可选的或有条件则应执行的规则；b） 所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；c） 信息标记的变化（见5.2），包括由信息处理设备自动引起的的或是有用户决定引起的；d） 由信息系统和管理人员引起的用户许可的变化；e） 规则在颁布之前需要管理人员的批准或其他形式的许可，而一些则不需要；1.2 用户访问管理目标：防止对信息系统的未授权访问应有正式的流程来控制对信息系统和服务的访问权的分配。流程应该涵盖用户访问的生存期的各个阶段，包括从新用户的注册，到不再需要访问信息系统和服务时的注销。在适当情况下，对于可以超越系统控制的访问特权的分配，控制时应给予特别的注意。1. 用户注册应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。应通过指示的用户注册流程控制对多用户信息服务的访问，这一流程应包括：a） 使用唯一的用户身份识别符，这样可将用户和其行为联系起来，并使用户为其行为负责。只有工作执行需要时，才允许使用群识别符；b） 检查用户是否获得了系统所有人对信息系统和服务的授权访问。管理人员的个别授权也是适当的；c） 检查所授予的访问级别对于商务目的是否合适，并且是否和组织安全方针相一致，访问级别不可危害职责的划分；d） 向用户颁发其访问权限的书面声明；e） 要求用户签订申明书，表明其了解自己的访问条件；f） 确保只有在授权流程完成之后，服务提供商才可以提供服务；g） 保留一份记录所有注册使用该服务的用户的正式名单；h） 对于改变工作或离开组织的用户，应立即取消其访问权；i） 定期的检查和取消冗余的用户身份识别符和账户；j） 确保冗余的用户身份识别符不分配给其他用户；若员工或服务代理商试图进行越权访问，应有条款对此详加说明，并考虑将其包含在员工合同和服务合同中（见6.1.4和6.3.5）。2. 特权管理应对特权的使用和分配（是多用户信息系统的特点或功能，它允许用户超越系统或应用控制措施的控制）进行限制和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤：a） 和系统产品相关联的特权，如操作系统、数据库管理系统和每个应用软件，及需要进行特权分配的用户的类别都要进行辨别；b） 应该在需要的时候才给用户分配特权，也就是说，只给最少的功能角色直至它们需要；c） 应保留授权流程和已分配的特权的记录。在授权过程完成之前，不得授予特权；d） 系统例行测试的开发和使用应避免对用户授予特权；e） 特权应分配给和正常业务使用所需的不同用户。3. 用户密码管理密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制，其步骤应是：a） 需要用户签订一份声明，确保个人密码的保密性和工作组密码只限于组成员之中（这可能包含在雇用条款和条件中，见6.1.4）；b） 在需要用户保留他们自己的密码的情况下，确保向他们提供了一个安全的、临时性的密码，此密码要立即进行更换。用户忘记密码时所提供的临时密码，必须通过用户明确的身份标识来提供；c） 需要在安全模式下提供临时密码。避免使用第三方或未受保护（明文）的电子邮件信息。用户需要对受到的密码进行确认。密码不得以未受保护的形式储存在计算机内（见9.5.4）其他的用于用户识别和辨别的技术，比如生物技术，如指纹检验、签名验证和硬件标记，如芯片卡，都是可用的，在适当的时候应该考虑采用。4. 用户访问权的审查确保对数据和信息服务的访问的有效控制，管理人员应该定期的执行对用户访问权的检查工作来确保：a） 用户的访问权限的定期或变更后检查（建议6个月为一周期）；b） 特殊访问权的批准要更经常的进行审查，建议3个月为一个周期；c） 定期的审查特权分配，以确保不会获得未经授权的特权。1.3 用户职责目标：防止未授权的用户访问已授权用户的合作是有效的安全的基本条件。应使用户意识到其在维护有效的访问控制中的责任，特别是关系到密码的使用和用户设备的安全问题。1. 密码的使用用户应该在选择和使用密码时遵循良好的安全规范。密码提供了证实用户身份的一种方法，从而证实对信息处理设备的访问权。建议所有的用户：a） 保护密码的保密性；b） 避免保有密码的文字记录，除非这种记录可以被安全的保存起来；c） 如有迹象表明系统或密码受到危害，则应更改密码；d） 选择最小长度为六个字符的高质量的密码，密码应：1) 便于记忆；2) 不基于他人根据与本人有关的信息易于猜到或获得的任何事物，如名字，电话号码，和生日等；3) 不要采用连续同一字符或是全数字群或全字符群；e） 定期的或基于访问次数来更改密码（特权账户的密码和普通密码相比，要更换得更频繁一些）避免重新使用或循环使用旧密码；f） 第一次登录时即更换临时密码；g） 不把密码包含在任何自动登录的程序中，如保存在宏或功能键中；h） 不要共享个人密码；如果用户需要访问多项服务或平台，并需要保留多个密码，则建议用户在所有可以为所保存的密码提供合理保护级别的服务中使用唯一的、高质量的密码（见上述的d）。2. 无人看管的用户设备用户应确保对无人看管的设备有适当的保护。在用户区所安装的设备，如工作站或文件服务器，当长时间无人看管时，针对未授权访问需要有特殊的保护。要求用户和承包商意识到保护无人看管设备的安全要求和流程，以及他们在实施这种保护时的责任。建议用户：a） 使用完，终止活动的进程，除非有适当的锁定机制来保护，如屏保密码；b） 进程结束之后，应从主机上注销并退出系统（如，不仅仅是关闭个人电脑或终端）；c） 通过键盘锁或相似的办法避免对个人电脑或终端的未授权使用，如密码保护。1.4 网络访问控制目标：保护网络服务，控制对内部网络和外部网络服务的访问。为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性，确保以下各项是很必要的：a） 在组织内部网络和其他组织的网络以及公共网络之间的合适的接口程序；b） 对用户和设备的合适的认证机制；c） 控制用户对信息服务的访问；1. 使用网络服务的方针和网络服务的非安全性连接将会影响到整个组织。用户只可以直接访问已经明确授权访问的服务。这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要的，如在组织安全管理和控制之外的公共或外部区域。应制定关于网络和网络服务使用问题的方针：a） 所允许访问的网络和网络服务；b） 决定什么人可以访问那些网络和网络服务的授权流程；c） 保护对网络连接和网络服务的管理控制与流程；此方针要和商务访问控制方针相一致（见9.1）2. 强制路径应控制从用户终端到计算机服务的路径。网络应被设计成允许最大范围的资源共享和路由的灵活性。这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。限制在用户终端和允许用户访问的计算机服务之间的路由，如建立强制路径，包含有这样的控制措施的路径可以减小此类风险。强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径。这需要在路径的不同节点上实施一系列的控制措施。此原则是通过事先确定的选择来限制在网络中每个节点上的路由选择。此类的例子有：a） 分配专线或电话号码；b） 和特定的应用系统或安全网关的自动连接端口；c） 单独用户的有限的菜单和子菜单项；d） 防止无限制的网络漫游；e） 对外部网络用户，强制其使用特定的应用系统和/或安全网关；f） 主动控制所允许通过安全网关（如防火墙）的源地址和目的地址之间的通信；g） 对于在组织中的用户群，通过建立单独的逻辑域来限制网络访问，如虚拟私人网，对强制路径的要求应该基于商务访问控制方针（见9.1）；3. 外部连接的用户认证外部连接给未授权访问商务信息提供了潜在的可能，如拨号方式的访问。因此，远程用户的访问必须经过认证。认证方法有不同的类型，一些方法提供的安全级别要大一些，如基于使用加密技术的方法可提供很强的认证。通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法所需要的。对远程用户的认证可以通过使用，如基于加密技术，硬件令牌或询问/响应协议来达到。专用线路或网络用户地址检验设备也可以用来提供连接源地址的保证。反向拨号流程和控制，如使用回拨调制解调器，可以提供防止对组织信息处理设备的未授权和不需要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户。在使用此控制措施时，组织不得使用含有呼叫转接的网络服务，否则，这些服务必须禁止使用呼叫转接功能，来避免由此带来的缺陷。回拨过程保证在组织一方可以出现中断也是很重要的。否则，远程用户可以保持线路开放，而伪称已经进行了回拨认证。对于这种可能性，回拨流程和控制措施要彻底的进行测试。4. 节点认证自动连接到远程计算机的功能为商务应用的未授权访问提供了途径。因此对远程计算机的连接要进行认证。如果连接所用的是组织安全管理控制之外的网络，认证则是特别的重要。认证的例子和如何实现认证在上述9.4.3中已给出。节点认证可以作为验证连接到安全的、共享的计算机设备的远程用户群的可选方法。5. 远程诊断端口保护应该可靠的控制诊断端口的访问。很多计算机和通信系统都安装有维修工程师所用的拨号远程诊断设备。如果不加以保护，这些诊断端口则提供了未授权访问的途径。因此，应有适当的安全机制来进行保护，如使用键锁和程序来确保只有计算机服务管理人员和要求访问的软硬件支持人员之间的设备才可以访问这些端口。6. 网络的隔离网络正被日益地扩展到组织的传统边界之外，这是因为所建立的商务合作关系需要信息处理或网络设备的互联或共享。这种扩展增加了对现存的使用网络的信息系统的未授权访问的风险，其中有一些网络由于本身的敏感性或重要性，需要对来自其他网络用户的保护。在这种情况下，应考虑在网络内部引入控制措施，来隔离信息服务组、用户和信息系统。控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域，如组织内部的网络域，和外部网络域，每一个网域有所定义的安全边界来保护。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量（见9.4.7和9.4.8）和根据组织的访问控制方针来堵塞未授权访问（见9.1）。这种网关的一个例子就是通常所说的防火墙。网络隔离成区域的标准应以访问控制方针和访问需求为基础（见9.1），还应考虑相关的成本和包含有适当的网络路由或网关技术的性能影响（见9.4.7和9.4.8）7. 网络连接控制对于共享的网络，特别是超越了组织边界的网络的访问控制措施要求包含有限制用户连接容量的控制措施。这种控制措施的实施是通过网关来实现的，网关通过预先定义的路由表或路由规则来过滤通信量的。所实行的限制措施应基于商务应用的访问方针和需求，因此要给予维护和更新。应使用限制措施的应有的例子有：a） 电子邮件b） 单向文件传输c） 双向文件传输d） 交互式的访问e） 和时间与日期相关的网络连接8. 网络路由控制共享的网络，特别是扩展到组织边界之外的网络，需要具有路由控制措施来确保计算机的互连和信息流不会违背商务应用的访问控制方针（见9.1）。对和第三方（非本组织）用户共享的网络，这种控制措施是必须的。路由控制应基于明确的源地址和目的地址检查机制。网络地址翻译对于网络隔离和防止路由从一个组织的网络扩展到另一个组织的网络是一个很有效的机制。此功能可在软件和硬件上实现。实施时应意识到所采用的机制的强度。9. 网络服务的安全问题大范围的公共网络和私人网络的服务是可用的，其中有一些提供了增值服务。网络服务具有独特的、复杂的特点。使用网络服务的组织应确保提供一个对所使用的服务的安全特点的清晰的描述。1.5 操作系统访问控制目标：防止对计算机的未授权访问应使用操作系统级的安全设施来限制对计算机资源的访问。这些设备应该可以：a） 辨认和认证身份，如有必要，认证用户的终端或地点b） 记录成功的和失败的系统访问c） 提供适当的认证方法，如果使用密码管理系统，应确保高质量的密码（见9.3.1d）d） 适当的情况下，限制用户的访问次数其他的访问控制方法如询问-响应方法，如果基于商务风险是合理的，也可采用。1. 自动终端识别应考虑自动终端识别来认证到特定位置和便携式设备的连接。如果会话只能由特定的位置或计算机终端发起是很重要的话，自动终端识别是一种可用的技术。在终端内或连接到终端上的识别器可用于识别特定的终端是否允许发起或接收特定的业务。对终端实施物理保护，维护终端识别器的安全是很必要的。还有很多其他的技术可用来认证用户（见9.4.3）。 2. 终端登录流程对信息服务的访问只有通过安全的登录流程才是可行的。计算机系统的登录流程应被设计成尽量减小未授权访问的可能。因此，登录流程应尽量少的泄漏系统信息，以避免为未授权用户提供不必要的信息。一个好的登录流程应该：a） 不显示系统或应用识别器，直到登录流程成功的完成之后；b） 显示一般性通知，提醒计算机只应被已经授权的用户访问；c） 在登录过程中，不提供可以帮助未授权用户的帮助信息；d） 在完成所有的输入数据时，才确认登录信息。当发生错误时，系统不应提示时数据的那个部分是错误的还是正确的；e） 限制所允许的不成功的登录企图的次数，（建议为3次），并考虑：1) 记录不成功的登录尝试；2) 在进一步的登录尝试之前，应强制有一个时间延迟，或是拒绝没有特定授权的进一步尝试；3) 断开数据链路连接；f） 对登录流程限制最大和最小时间，如果超时，系统则应终止登录过程g） 在成功的登录流程完成之后，显示如下信息：1) 上次不成功登录的日期和时间2) 从上一次成功登录以来的不成功的登录尝试的详细情况3. 用户识别和确认所有的用户（包括技术支持人员，如操作人员，网络管理人员，系统程序员和数据库管理人员）都应有唯一的用户识别标识为个人使用。以便于其行为可以最终追踪到责任者。用户的识别符不应显示用户特权级别的任何线索（见9.2.2），如经理，监督员。在例外的情况下，有明显的商务利益的时候，则用户群或特定的工作可以共享一个用户标识符。管理部门对此种情况的批示要加以记录。为维持责任，则需要有额外的控制措施。有不同的确认流程可以用来证实用户所声明的身份。密码（见9.3.1及下面）则是在只有用户知道的基础上，用于识别和确认的最常用的方法。使用加密技术和确认协议同样可以证实用户身份。用户拥有的记忆标记或智能卡一类的实物也可用于识别和确认用户身份。利用个人的特有的特点和属性的生物确认技术也可确认身份。安全连接的技术和机制的组合使用将会使识别更有力度。4. 密码管理系统密码是用来证实用户访问计算机服务的权力的主要的方法之一。密码管理系统应该提供有效的、交互的功能，来确保密码的质量（见9.3.1密码使用原则）。一些应用要求有独立的权力机构来分配用户密码。大多数情况下，密码的选择和维护都是由用户来进行的。 好的密码管理系统应：a） 主张使用个人密码，以维持责任性；b） 适当的情况下，允许用户选择和更换自己的密码，并包括一个允许输入错误的确认流程；c） 如上节条款中所述主张选择高质量密码；d） 在用户保有个人密码的情况下，主张更换密码，如上节条款所述；e） 用户自己选择密码的情况下，强制他们第一次登录时即更改临时密码；f） 保留一份以前的用户密码的记录，如前12个月的，以防止重用；g） 在输入密码时，屏幕上不要显示出来；h） 将密码文件和应用系统数据分开保存；i） 以加密的形式保存用单向加密算法加密的密码；j） 在软件安装之后，改变厂商的缺省密码5 系统工具的使用多数的计算机设备都有一套或多套可以超越系统和应用程序控制的系统工具。限制和控制其使用时很重要的。应考虑以下的控制措施：a） 对系统工具实施验证流程；b） 将系统工具和应用软件隔离开；c） 将对系统工具的使用限制到值得信任的、授权用户中的最小可行数量；d） 对系统工具的特殊使用的授权；e） 限制系统工具的可用性，如授权变动的持续时间的限制；f） 记录对系统工具的使用；g） 定义和记录系统工具的授权级别；h） 移去所有不必要的基于软件的工具和系统软件；6 保护用户的强制警报对可能成为强制对象的用户应考虑强制警报规定。是否提供这种警报的决定应基于对风险的评估。对强制警报的响应应有已经定义的责任和流程。7 终端超时处于高风险区的待用终端，如组织安全管理之外的公共的或外部的区域，或提供高风险服务的待用终端，在所规定的静止状态之后应该关机，以防止未授权的人员的访问。在规定的静止时间之后，超时功能应该清掉终端的屏幕，终止应用软件和网络会话。超时延迟应能反映地区和终端用户的安全风险。为一些个人电脑所提供的终端超时功能的有限形式，可以清屏，和防止未授权访问，但不能中断应用软件和网络会话。 8连接时间的限制限制连接时间可以对非高风险的应用提供额外的安全保护。对终端连接到计算机服务所允许的时间的限制可以降低未授权访问的机会。对于敏感的计算机应用，应该考虑这样的控制措施，特别是高风险区的终端，如组织安全管理之外的公共的或外部的区域，更应给予考虑。这种限制措施的例子有：a） 采用预定的时隙，如批文件传输，或规则的短时间的交互式会话；b） 如果没有超时的或延时的操作，将连接时间限制到正常的办公时间；1.6 应用访问控制目标：防止对信息系统内部的信息的未授权访问。在应用系统内，应采用安全设施来限制访问。对软件和信息的逻辑访问应该限制在授权用户中。应用系统应：a） 依照所定义的商务访问控制方针，控制用户对信息和应用系统功能的访问；b） 对所有可以忽视系统或应用控制的一切工具和操作系统软件给予保护，防止未授权访问；c） 不危害共享信息资源的其他系统的安全；d） 信息所有人，其他的指定的授权个人，或所规定的用户群才能够访问系统；1. 信息访问限制应该依照所规定的访问控制方针，基于不同的商务应用的需求，并和组织信息访问保持一致，来对应用系统的用户，包括支持人员提供访问信息和应用系统功能的权力。为支持访问限制需求应考虑应用下述控制措施：a） 为控制对应用系统功能的访问提供目录；b） 通过对用户文档进行适当的编辑，来限制用户了解没有被授权访问的应用系统的功能；c） 控制用户的访问权，如，读、写、删除、和执行；d） 确保处理敏感信息的应用系统的输出只能包含对输出使用有关的信息，并只能被发送到被授权的终端和地点，还要包括对这些输出进行周期性的检查以确保删除冗余信息。2. 敏感系统隔离敏感系统要求有专用的（隔离的）计算环境。有些应用系统敏感到有丢失的可能，需要进行特殊的处理。这种敏感性意味着应用系统应在专用的计算机上运行，只应和值得信赖的应用系统共享资源，或是没有限制。下述考虑的事项应用于：a） 应有所有人对应用系统的敏感性进行明确定义，并使之文档化。b） 在共享的环境中运行敏感应用时，和其共享资源的应用系统应该经敏感应用的所有人辨认和同意。1.7 监控系统访问与使用目标：检测未授权的行为应该对系统进行监控，以发现和访问控制方针相背离之处，并记录可监控事件，以便于在发生安全事故时提供线索。系统监控允许审查所采用的控制措施的有效性，和证实与访问方针模型的一致性1. 事件日志应建立记录意外事件和其他与安全相关事件的审核日志，并将其保留已经同意的一段时间，以协助以后的调查和访问控制控工作。审核日志应包括：a） 用户身份标识符；b） 登录和退出系统的日期和时间；c） 如有可能，终端的身份和位置；d） 成功的和被拒绝的系统访问尝试的记录；e） 成功的和被拒绝的数据和其他资源的访问尝试的记录。确定的审核日志应作为记录保留方针的一部分加以存档，或因为收集证据的需要而进行存档。2. 监控系统的使用(1) 流程和风险区应建立监控信息处理设备使用情况的流程。为确保用户只进行被授权的操作，这些流程是必须的。不同设备所需的监督级别应有风险评估来确定。应该给予考虑的方面有：a) 授权访问，包括如下的详细情况：1) 用户ID；2) 关键事件的日期和时间；3) 事件类型；4) 被访问的文件；5) 使用的程序和应用软件；b) 所有的特权操作，如：1) 使用系统管理员的账号；2) 系统启动和中止；3) 输入/输出设备的连接与拆卸；c) 未授权的访问尝试，如：1) 失败的尝试；2) 违反访问方针，网关和防火墙的通告；3) 入侵检测系统的报警d) 系统警报或故障，如：1) 控制台警报或信息；2) 系统登录异常；3) 网络管理警报；(2) 风险因素应经常检查监控行为的结果。检查的频繁程度要由所涉及的风险来决定。应给予考虑的风险因素包括：a） 应用程序的关键程度；b） 所涉及的信息的价值、敏感性或关键性；c） 系统渗透和误用的历史记录；d） 系统互连的广度（特别是公众网）；(3) 日志和审查事件日志审查包括了解系统所面临的威胁和威胁发生的方式。在9.7.1中给出了在发生安全事件时，需要深入调查的事件的例子。系统日志包括大量的信息，其中很多信息和安全控无关。为帮助辨认出对安全监控目的有意义的事件，应考虑将适当的信息类型自动的复制到第二日志中，或使用适当的系统工具软件或审核工具来执行文件审查工作。分配日志审查责任时，应考虑在执行审查工作的人员和被监督人员之间进行角色划分。应特别关注记录设备的安全，因为设备遭到损害，将会提供对安全的错误判断。控制措施应针对防止其受到未授权更改和操作问题，此类问题包括：a） 记录设备无效；b） 更改记录的信息类型；c） 日志文件被编辑或删除；d） 日志文件的媒体被耗尽，不能记录事件，自身不可重写；3. 时钟同步对计算机时钟的正确设置对于确保审核日志的准确性是很重要的，因为这些日志是调查所需要的，或是法律事件或违规事件的证据。不准确的审核日志会妨碍调查和毁坏这些证据的可信性。 计算机或通信设备有能力运行时钟的情况下，它应被设置成公认的标准，如都用协调时间，或标准时间。有些时钟会随时间出现偏差，应有流程来检查和矫正一切明显的偏差。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”1.8 移动计算和远程工作目标：确保使用可移动的计算和远程工作设施时的信息的安全。所需要的保护应和工作的特定方式所引起的风险相一致。当时用移动机算时，应考虑在未受保护的环境中的风险，并应给予适当的保护。在远程工作的情况下，组织应该对远程工作地点应用保护，并确保对这种方式的工作有适当的安排。1. 移动计算 当使用移动计算设备时，如笔记本，掌上电脑和移动电话，应该特别注意，以确保商务信息不受到危害。应采用考虑使用移动计算设备而带来的风险的正式方针，特别这种使用是在未受保护的环境中进行的。例如这样一种方针应包括对物理保护、访问控制、加密技术、备份和病毒防护的需求。方针还应包括对移动设备连到网络上的规则和建议，以及在公共场所使用此类设备的原则。在公共场所、会议室和其他的组织边界之外的未受保护的地区，使用移动的计算设备时，应给予注意。应给予保护，以避免对这些设备储存和处理的信息的未授权保护或泄漏，如利用加密技术进行保护。 当这些设备在公共场所使用时，应加以注意，避免未授权的人员的窥视问题很重要的。应有防护恶意软件的流程并时常更新。应有可用设备可以快速方便的备份信息。这些备份应给予充足的保护，来防止，诸如信息的盗用或丢失。对于连接到网络上的可移动设备，也应加以保护。利用移动的计算设备，通过公共网远程访问商务信息，只有经过成功的辨识和确认，并有适当的访问控制措施时才可以进行。对移动的计算设备应加以保护，以防止盗用，特别是如遗忘在车子里，和其他形式的交通工具、旅馆房间、会议中心和会议室。携带重要的、敏感的或关键性的商务信息的设备不应无人照管，如有可能，应在进行物理锁定，或使用特殊的锁定法来保护设备。对移动设备的物理保护的更多信息可查7.2.5。对进行移动计算的员工应安排培训，提高他们对这种工作方式所引起的附加风险的意识，并实施控制措施。2远程工作远程工作利用通信技术，使员工在组织之外的远方进行工作。对远程工作地点给予适当的保护，以防止设备和信息的盗用，非授权的泄漏信息，对组织内部系统的未授权的远程访问，或对设备的滥用。管理人员对远程工作的授权和控制是很重要的，同时对这种形式的工作的合适的安排也是很重要的。组织应考虑制订一种方针、流程和标准来控制远程工作活动。有合适的安全的安排和控制，并且这些安排和控制依从了组织的安全方针，如果组织满足了以上的条件，才可以授权进行远程工作活动。应考虑以下各项：a） 远程工作地点的当前的物理安全，应当考虑到建筑物和当地环境的物理安全；b） 推荐的远程工作环境；c） 通信安全需求，应当考虑对组织内部系统的远程访问的需要，可以通过通信连接访问的或传播的信息的敏感性，内部系统的敏感性；d） 使用设备的其他人员，如家属和朋友，对信息或资源的未授权访问的威胁；应考虑的控制措施和安排有：e） 对远程工作所用的合适的设备和储存设备的规定；f） 所允许的工作的定义，工作的时间，所包含的信息的分类，远程工作人员被授权访问的内部系统和服务；g） 对合适的通信设备的规定，包括安全的远程访问的方法的规定；h） 物理安全；i） 家属和访问者访问设备和信息的规则和指导；j） 软件和硬件支持和维护的规定；k） 备份和商务持续性流程；l） 审核和安全监控；m） 远程工作截止时，授权和访问权的撤回，以及设备的归还。