ISMS信息安全管理体系遵从性控制.doc

ISMS信息安全管理体系遵从性1.1 遵守法律要求目标：避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。详细而精确的法律要求方面的建议应该从组织的法律顾问，或者合格的法律从业人员处获得。从一个国家到另一个国家以及对于在一个国家产生的信息传送到另一国家（例如：跨国信息流动）的法律要求会有所不同。1识别现行的法律所有相关法律、法规和合同的要求应该针对每一个信息系统进行详细的定义和纪录。为满足这些要求而采取的控制措施和规定的个人责任相似的也应该进行详细的定义和纪录。2 知识产权（IPR）(1) 版权在使用可能与知识产权，如：版权、设计权、商标权相关的材料时，应采取适当程序来确保遵守法律规定。侵犯版权的行为可能导致法律诉讼甚至刑事诉讼。法律、法规和合同的要求可能对使用专利产品进行了限制。在某些情况下，法律、法规可能规定只有组织自己开发、或者取得了许可证或者由开发者提供给组织的产品，才能被使用。(2) 软件版权专利软件产品通常在许可协议下被提供，将产品的使用限制在特定的机器上，并且复制也只能用于备份。下面的控制措施应当被考虑：a） 公布一个软件版权遵守方针，定义对软件和信息产品的合法使用；b） 为取得软件产品的程序制定标准；c） 保持对软件版权和取得方针的注意，并提请注意：如果员工违反规定将受到惩罚；d） 保持适当的资产记录；e） 保有对拥有许可证、母盘和手册等权利的证据；f） 执行控制措施来确保任何产品使用者的数量都没有超过限制；g） 进行检查以确保只有经受权的软件和取得许可证的产品才能被安装；h） 为保证适当的许可证环境制订一个方针；i） 为处理和传递软件给他人制订一个方针；j） 使用恰当的审计工具；k） 遵守从公共网络取得软件和信息的条款和条件。（同样的看8.7.6）。3. 保护组织纪录组织的重要记录应该被保护以防止丢失、毁坏和被篡改。如同支持基本的商业活动一样，一些记录可能需要被安全的保留，以达到法律或法规的要求。相应的例子是一些被作为证据的记录，证明组织在法律、法规的范围内运营，或者确保足以防止潜在的民事、刑事诉讼，或者确认与股东、合作伙伴和审计人员相关的财务数据。信息的内容和保留的时间可能由国家法律、法规规定。记录应该被划分为不同种类，如：财务记录、数据库记录、处理日志、审计日志和操作程序，每一种记录都应详细规定保存期限和存储媒体的种类，如：纸、微缩胶片、磁介质、光介质。任何与加密文档和数字签名相关的密钥（看10.3.2和10.3.3）应该被安全的保管并在需要时能被经受权的人获得。应考虑到用于存储记录的媒体的损坏问题。应根据生产商的建议来执行存储和持有程序。一旦选择了电子存储媒体，应建立程序确保在整个保存期间对数据具有访问能力（储存媒体和储存格式的可读性），防止由于未来技术变化造成的数据丢失。应该选择这种数据存储系统，使所要求的数据能够以一种法庭所接受的方式被找回，如：所有被要求的数据能够被以可接受的时间结构和可接受的存储格式找回。存储和持有系统应该确保记录的明确分类和法律、法规所要求的保留其间。在该期间届满后，如果这些记录组织不需要，应该能够对这些数据以恰当的方式销毁。为了履行这些责任，下面的步骤应该在组织内采用：a） 应该公布保留、存储、持有、和处理记录与信息的指导原则。b） 应该草拟一个保留时间表来确认基本记录种类和它们应该被保留的时间。c） 应该保留一个关键信息资源的详细目录。d） 应该执行恰当的控制措施来保护基本记录和信息，防止丢失、损坏和被篡改。4. 数据保护和个人信息隐私一些国家已经制定法律对个人数据的处理和传送进行控制（与个人有关的信息，人们可以通过这些信息确认他的身份）。这类控制措施可能对收集、处理和传播个人信息设置了义务，并且可能对从一个国家到另一个国家传递这类数据设置了限制。遵守数据保护法需要适当的管理结构和控制。通常，最好的做法是由一个数据保护专员来进行指导，他应该针对管理者、使用者、和服务提供商的个人责任和应该遵守的详细程序提供指导。为了维护在结构性文件中的个人数据，并且确保意识到定义在相关法律中的数据保护原则，将相关建议告诉数据保护专员应该是信息所有者的责任。5. 防止对信息处理设备的滥用组织的信息处理设备是为了商业目的而提供的。管理层应该对信息设备的使用进行授权。在没有得到管理层的同意时，任何出于非商业或非经授权目的的使用，都应该被看作不适当得使用设备。如果这类活动通过监督或者其他途径被确认，就应该引起人员管理者的注意，考虑对此进行适当的惩罚。使用监督措施的合法性在不同的国家情况是不同的，并且可能要求事先通知雇员或者得到他们的同意。在实施监督程序前，应该听取法律建议。许多国家已经制定出或者正在制定防止计算机被滥用的法律。出于未经授权的目的使用计算机有可能成为犯罪行为。因此使所有的用户意识到他们被允许访问的详细范围是基本的要求。这能够通过一些方式做到，例如：给用户书面授权，该授权应该经用户签字并且被组织安全的保管。组织的雇员以及第三方用户应该被告知，除非经过授权否则一切访问都是被禁止的。登录警告信息应该在计算机屏幕上显示，指出将进入的系统是保密的并且未经授权的访问不被允许。用户必须认可屏幕上的信息并做出恰当的反应以继续该登录过程。6. 加密控制规则一些国家已经通过合同、法律、规章或其他工具来控制对加密措施的接触和使用。这类控制可能包括：a） 为实施加密功能的硬件和软件的进出口b） 本身具有加密功能的硬件和软件的进出口c） 国家针对信息通过硬件和软件加密来保证提供保密内容的强制和任意访问方法。应该寻求法律建议来确保对国家法律的遵守。在加密信息和加密措施被转移到另一个国家之前，法律建议同样应该被采纳。7. 证据收集(1) 证据规则收集足够的证据来支持针对一个人或组织的行动是必要的。只要这个行动是一个内部惩罚事件，所需的证据将通过内部程序描述。一旦该行动涉及到法律，无论是民法或刑法，所提供的证据应该符合被相关法律或者该案件的受审法院规定的规则。一般来讲，这些规则包括：a） 证据的有效性：能否在法庭上使用；b） 证据的证明力：证据的质量和完整性；c） 足够的证据证明控制措施在整个数据存储期间已经正确的和始终被执行（如过程控制证明）以确保要被恢复的证据被系统存储和处理。(2) 证据的有效性为了满足证据的有效性，组织应该确保他们的信息系统依从任何已公布的针对有效证据产品的标准或操作法规。(3) 证据的质量和完整性为了满足证据的质量和完整性，需要严格的证据记录。一般来讲，这种严格的记录能够在下面的情况下被建立。a） 对于纸介文件：原始版本应该被安全保管并且记录谁发现的它、在哪儿发现的它、什么时间发现的它以及谁能证明此发现的过程。所有的调查都应该确保原始版本没有被篡改。b） 对于存储于计算机媒体上的信息：应该将任何可移动媒体，硬盘上的或者记忆体中的信息进行拷贝以确保其可用性。在拷贝过程中的所有活动的日志应该被保存并且此过程应该被证明。媒体的拷贝以及该日志应该被安全保管。在一个事件刚被发现时，它是否将导致诉讼活动并不一定。因此，在事件的严重性被意识到之前，存在着必要证据被意外毁坏的危险。建议使律师和警察介入任何可能的法律活动并且对所需的证据提供建议。1.2 安全方针和技术依从情况检查目标：确保系统符合组织的安全方针和标准。信息系统的安全性应该被定期检查。根据恰当的安全方针和技术平台这些检查应该被执行，并且信息系统应该被审计以遵守安全实施标准。1. 遵守安全方针管理者应该确保在他们责任领域内的所有安全程序被正确的实施。另外，组织内的所有领域应该考虑进行定期检查来确保依从安全方针和标准。它们应该包括：a） 信息系统b） 系统提供商c） 信息和信息资产的所有人d） 用户e） 管理人员信息系统的所有人应该支持经常性的对系统是否依从了适当的安全方针、标准和所有得其它的安全需求的审查。2. 技术依从审查应定期的审查信息系统是否依从了安全实施标准。技术依从审查涉及到对操作系统的检验，以确保正确的实施了软件和硬件控制。这种类型的依从审查要求有专家的技术支持。此工作应由有经验的系统工程师手工进行，或是由软件包来自动进行，软件包可以生成由技术专家事后进行解释的技术报告。依从审查还包括，例如，渗透测试，此种测试可以由独立的专家进行，特别是为此目的签约的专家进行。依从审查对于发现系统的脆弱性和审查用来防止由此而导致的未授权访问的控制措施的有效性时很有用的。万一渗透测试危害到系统的安全性或意外的引起其他的脆弱点，则应实行警告。任何技术依从审查都只能由、或在有能力的、业经授权的人员来进行。1.3 系统审核事项目标：将系统审核过程的利益最大化，将其干扰最小化。在系统审核时，应有控制措施来保护操作系统和审核工具为保护审核工具的完整性和防止对其的误用，以需要有保护措施。1. 系统审核控制审核需求以及设计到对审查操作系统的活动，都应仔细的规划，并应适合尽量减小中断商务流程的风险。应该遵守以下各项：a） 审核需求应和适当的管理相一致。b） 审查的范围应该经过同意和得到控制。c） 审查应局限于对软件和数据的只读访问。d） 除了只读之外的访问只允许对系统文件的隔离复制，此复制件在审核之后应该删除。e） 为执行审核所需的IT资源应该进行明确的定义并保持其可用性。f） 特殊的和额外的处理的需求应进行定义和经过同意。g） 应监督和记录所有的访问，以生成参考记录。h） 对所有的流程，需求和责任都应文档化。2. 系统审核工具的保护对系统审核工具的保护，如软件或数据文件，都应给予保护来防止任何可能的误用和危害。这些工具应与开发和操作系统隔离开，不应保留在磁带库或用户区内，除非给予适当等级的附加保护。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”