電信信息安全管理培訓(xùn)

陜西電信信息安全管理培訓(xùn)Sunday,March26,2023當(dāng)前1頁，總共203頁。信息安全管理體系介紹第一天當(dāng)前2頁，總共203頁。什么是信息安全防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識，控制。即確保信息的完整性、保密性，可用性和可控性。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護(hù)用戶的利益和隱私。信息安全包括操作系統(tǒng)安全，數(shù)據(jù)庫安全，網(wǎng)絡(luò)安全，病毒防護(hù)，訪問控制，加密與鑒別七個方面。信息安全的關(guān)鍵在于信息本身，而信息安全的實質(zhì)是通過相應(yīng)的技術(shù)手段保護(hù)與信息相關(guān)的一切人、事、物。3當(dāng)前3頁，總共203頁。信息安全的基本目標(biāo)信息安全通常強調(diào)所謂AIC三元組的目標(biāo)，即保密性、完整性和可用性。AIC概念的闡述源自信息技術(shù)安全評估標(biāo)準(zhǔn)（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。什么是信息安全機密性可用性完整性4當(dāng)前4頁，總共203頁。（1）可用性（Availability）：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。（2）完整性（Integrity）：確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。（3）保密性（Confidentiality）：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。什么是信息安全5當(dāng)前5頁，總共203頁。信息安全還有一些其他原則，包括可追溯性（Accountability）、抗抵賴性（Non-repudiation）、真實性（Authenticity）、可控性（Controllable）等，這些都是對AIC原則的細(xì)化、補充或加強。什么是信息安全6當(dāng)前6頁，總共203頁。信息安全管理概念管理體系的持續(xù)改進(jìn)要求要求被滿足管理職責(zé)分析改進(jìn)產(chǎn)品實現(xiàn)資源管理輸入輸出7當(dāng)前7頁，總共203頁。信息安全管理體系ISO27001:2005簡介ISO/IEC27001：2005與ISO/IEC27001：2013差異對比ISMS@組織用戶的責(zé)任8當(dāng)前8頁，總共203頁。歷史BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息安全管理提供了一個依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英固工貿(mào)部、英固標(biāo)準(zhǔn)化協(xié)會（BSI）組織的相關(guān)專家共同開發(fā)制定的在1998年、1999年經(jīng)過兩次信訂之后出版BS7799-1：1999和BS7799-2：1999。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成為國際標(biāo)準(zhǔn)-ISO/IEC27001：2005版。2013年10月19日修訂原版，正式使用ISO/IEC27001:2013版。2000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799：2000版。2005年對ISO/IEC17799：2000版進(jìn)行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2007年上半年正式更名為ISO27002:2007。2013年與ISO27001:2013版同步更新為ISO27002:2013.9當(dāng)前9頁，總共203頁?，F(xiàn)在與未來ISO27002:2007CodeofpracticeFromISO17799ISO27003ImplementationGuideISO27001November2005ISO27000November2005ISO27004MeasurementStandardISO27005RiskManagementStandardFromBS7799-IIIISO27006RequirementsforBodiesprovidingaudit&CertificationISO/IEC18004IncidentManagementStandardSS507BC/DRStandard(Singapore)ISO17799Jun2005守則審核標(biāo)準(zhǔn)BS7799–PartIIIGuidelinesforISRiskManagementDec2005ISO13335–ITsecuritymanagement10當(dāng)前10頁，總共203頁。ISO27000標(biāo)準(zhǔn)族11當(dāng)前11頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799：分為BS7799-1和BS7799-2兩部份BS7799-1:2005/ISO17799:2005

主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含11個控制措施章節(jié)，但不作為評鑒與驗證標(biāo)準(zhǔn)。BS7799-2:2005/ISO27001:2005

系根據(jù)BS7799-1，提供信息安全管理系統(tǒng)(ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。當(dāng)前12頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799-1:2005/ISO17799:2005信息安全管理作業(yè)要點用意是做為參考文件提供廣泛性的安全控制措施現(xiàn)行信息安全之最佳作業(yè)方法包含11個控制章節(jié)無法作為評鑒與驗證當(dāng)前13頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799-2:2005/ISO27001:2005信息安全管理系統(tǒng)要求根據(jù)BS7799-1:2005ISMS之建立實施與文件化之具體要求依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。當(dāng)前14頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明關(guān)鍵的成功因素(Criticalsuccessfactors)

經(jīng)驗顯示，組織的信息安全能否成功實施，下列常為關(guān)鍵因素：能反映營運目標(biāo)的信息安全政策、目標(biāo)及活動。與組織文化一致之實施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。來自所有管理階層的實際支持和承諾。對信息安全要求、風(fēng)險評估以及風(fēng)險管理的深入了解。向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。資助信息安全管理活動。提供適切的認(rèn)知、訓(xùn)練及教育。制定有效的信息安全事故管理過程。實施ㄧ個用于評估ISMS的績效及改進(jìn)的回饋建議之量測系統(tǒng)。當(dāng)前15頁，總共203頁。管理體系的4大要素組織機構(gòu)：明確職責(zé)、權(quán)限程序：告訴相關(guān)人員怎么做過程：具體的執(zhí)行情況，如何做的？比如執(zhí)行人是否每周2次檢查了某個應(yīng)用程序的日志？資源：可調(diào)配、使用的人員、設(shè)備等培訓(xùn)當(dāng)前16頁，總共203頁。什么叫ISMS信息安全管理體系Information信息信息是一種重要資產(chǎn)，對組織的業(yè)務(wù)非常關(guān)鍵。信息可以以各種形式存在，可以印刷或?qū)懺诩埳?，以電子形式存儲、郵寄或使用電子手段傳輸，以影片播放或?qū)υ挕nformationSecurity信息安全對信息的保密性、完整性和可用性的保護(hù)，同時涉及真實性、責(zé)任區(qū)分、防止抵賴和可靠性等其他特性。InformationSecurityManagementSystem信息安全管理體系是管理體系的一部分，基于業(yè)務(wù)風(fēng)險的方法，建立、實施、運行、監(jiān)控、評審、維護(hù)和改進(jìn)信息安全。簡單地說，是為了確保組織信息的“三性”，設(shè)立的組織機構(gòu)、程序、過程和資源。step1如果當(dāng)前17頁，總共203頁。什么是好的ISMSGoodInformationSecurityManagement

系統(tǒng)的方法更好地了解業(yè)務(wù)方面降低安全漏洞和/或索賠降低負(fù)面宣傳改進(jìn)保險責(zé)任評級通過業(yè)務(wù)風(fēng)險評估，確定關(guān)鍵資產(chǎn)為持續(xù)改進(jìn)提供一個結(jié)構(gòu)，內(nèi)部和外部是一個信心的因素提高管理水平的知識和與安全相關(guān)的問題的重要性確?！爸R資本”將被“存儲”，并在業(yè)務(wù)管理系統(tǒng)管理當(dāng)前18頁，總共203頁。實施ISMS的關(guān)鍵成功因素與組織文化一致的信息安全方法老板的支持對信息安全的要求、風(fēng)險評估和風(fēng)險管理有好的理解向所有員工和其他人分發(fā)信息安全指南有效的對員工和其他人推銷信息安全（外部人員也被要求進(jìn)行信息安全培訓(xùn)）足夠的財務(wù)支持，以及滿足要求的現(xiàn)有系統(tǒng)的能力和配置水平有效的信息安全事故管理過程當(dāng)前19頁，總共203頁。重要提示ISMS（信息安全管理體系）和ITSM（信息技術(shù)服務(wù)管理）的整合需求越來越大：來自最高管理者的關(guān)注增強來自客戶的推動、壓力政府的推動并提供資金的支持，如“十百千”工程行業(yè)的普遍關(guān)注，如電信IDC，移動，電力系統(tǒng)，海關(guān)總署，國家質(zhì)監(jiān)總局目前，各大銀行和電力企業(yè)正在實施ITIL，每年有VeryLarge的市場。半導(dǎo)體業(yè)對ISMS的要求非常嚴(yán)格，甚至高過金融業(yè)！當(dāng)前20頁，總共203頁。重要提示歷史教訓(xùn)：保安和清潔工是信息安全的重要威脅?。o意傷害對“階層”感情的好惡）所有員工，包括所有外來人員，必須接受信息安全的培訓(xùn)小竅門：在門衛(wèi)/傳達(dá)室放一個《外來人員安全須知》，外來人員在閱讀后要簽字，這是對外來人員進(jìn)行了信息安全培訓(xùn)的證據(jù)當(dāng)前21頁，總共203頁。重要提示信息安全容易忽視的兩個的地方Thumbdrive（U盤，盡量禁用?。〥omaincontroller（域控制器，加強管理！）Goodpractices:人員發(fā)生變動的時候，一定要調(diào)整訪問權(quán)限查看企業(yè)的財產(chǎn)保險合同審核完畢后一般都需要提高保險級別！當(dāng)前22頁，總共203頁。影響公司層面業(yè)務(wù)持續(xù)性的因素供應(yīng)鏈中斷：重要原料、IT硬件高層的錯誤決策客戶不滿關(guān)鍵人員流失數(shù)據(jù)中心重大事故恐怖襲擊、戰(zhàn)爭員工信心天災(zāi)人禍、火災(zāi)爆炸聯(lián)動點法律法規(guī)公眾反應(yīng)當(dāng)前23頁，總共203頁。BCM非常重要實施ITSM業(yè)務(wù)連續(xù)性管理的兩條途徑公司層面的BCM（適合于ITOutsourcing或BPO企業(yè)）信息安全層面的BCM，適合大型制造業(yè)及工藝流程復(fù)雜的企業(yè)BCM或BCP比“可用性管理”有更大的范圍和規(guī)模！當(dāng)前24頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明ISMS標(biāo)準(zhǔn)/指南ISO27001serial(2005~)20052000~2002Before2000信息安全

管理系統(tǒng)要求ISO27001ISO27001:2005

(BS7799-2:2005)BS7799-2:2002BS7799-2:1999信息安全

管理作業(yè)要點ISO27002

(afterApril2007)ISO17799:2005

(BS7799-1:2005)ISO17799:2000BS7799-1:1999當(dāng)前25頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799：分為BS7799-1和BS7799-2兩部份BS7799-1:2005/ISO17799:2005

主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含11個控制措施章節(jié)，但不作為評鑒與驗證標(biāo)準(zhǔn)。BS7799-2:2005/ISO27001:2005

系根據(jù)BS7799-1，提供信息安全管理系統(tǒng)(ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。當(dāng)前26頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799-1:2005/ISO17799:2005信息安全管理作業(yè)要點用意是做為參考文件提供廣泛性的安全控制措施現(xiàn)行信息安全之最佳作業(yè)方法包含11個控制章節(jié)無法作為評鑒與驗證當(dāng)前27頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明BS7799-2:2005/ISO27001:2005信息安全管理系統(tǒng)要求根據(jù)BS7799-1:2005ISMS之建立實施與文件化之具體要求依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。當(dāng)前28頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對組織具有價值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。當(dāng)前29頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明信息的類型書寫或打印于紙上儲存在電子媒體上以郵寄或電子儲存媒體傳輸顯示于企業(yè)影片上言語-在對話中提出不管信息的形式是什么，或者共享或儲存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。當(dāng)前30頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明信息安全保護(hù)信息的機密性、完整性與可用性；另外，亦可包含如可鑒別性(真實性)、可歸責(zé)性、不可否認(rèn)性及可靠性等特性。當(dāng)前31頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明關(guān)鍵的成功因素(Criticalsuccessfactors)

經(jīng)驗顯示，組織的信息安全能否成功實施，下列常為關(guān)鍵因素：能反映營運目標(biāo)的信息安全政策、目標(biāo)及活動。與組織文化一致之實施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。來自所有管理階層的實際支持和承諾。對信息安全要求、風(fēng)險評估以及風(fēng)險管理的深入了解。向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。資助信息安全管理活動。提供適切的認(rèn)知、訓(xùn)練及教育。制定有效的信息安全事故管理過程。實施ㄧ個用于評估ISMS的績效及改進(jìn)的回饋建議之量測系統(tǒng)。當(dāng)前32頁，總共203頁。ISO27001:2005標(biāo)準(zhǔn)說明當(dāng)前33頁，總共203頁。4.Informationsecuritymanagementsystem4.1一般要求

組織應(yīng)在整體業(yè)務(wù)活動與所面臨風(fēng)險下建立、實施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所采用之過程以下圖所示之PDCA模式為基礎(chǔ)。當(dāng)前34頁，總共203頁。4.Informationsecuritymanagementsystem當(dāng)前35頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理建立信息安全管理系統(tǒng)

組織應(yīng)：依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義信息安全管理系統(tǒng)之范圍及界限，并包括任何自范圍排除之細(xì)節(jié)及理由。依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義信息安全管理系統(tǒng)之政策，且：包含設(shè)定目標(biāo)之框架，并建立有關(guān)信息安全之整體方向亦是與行動原則。考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。與組織策略性之風(fēng)險管理內(nèi)容配合，使ISMS得以建立及維持。建立評估風(fēng)險之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。當(dāng)前36頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理定義組織之風(fēng)險評估辦法鑒別一風(fēng)險評估方法論，并適合其ISMS、已鑒別之企業(yè)信息安全、以及法律與法規(guī)要求。發(fā)展可接受風(fēng)險之標(biāo)準(zhǔn)以及鑒別風(fēng)險至可接受的程度。所選擇之風(fēng)險評估方法論應(yīng)確保產(chǎn)出可比較及可重復(fù)之結(jié)果。鑒別各項風(fēng)險鑒別ISMS控制范圍內(nèi)之資產(chǎn)以及該資產(chǎn)之擁有者(owner)。

擁有者(owner)一詞系指已核準(zhǔn)資產(chǎn)管理責(zé)任之個人或?qū)嶓w，針對資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。擁有者(owner)一詞并不是指實際具有資產(chǎn)產(chǎn)權(quán)之人員。當(dāng)前37頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理分析及評估各項風(fēng)險鑒別并評估風(fēng)險處理之選項方法選擇控制目標(biāo)及控制措施以處理風(fēng)險：應(yīng)選擇并實施控制目標(biāo)與控制措施，以符合風(fēng)險評估與風(fēng)險處理過程所鑒別之要求。控制目標(biāo)與控制措施應(yīng)于本標(biāo)準(zhǔn)之附錄A中加以選擇，為此過程的一部份并適當(dāng)滿足所鑒別之要求。當(dāng)前38頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理所提出之殘余風(fēng)險須取得管理階層之核準(zhǔn)ISMS亦須獲得授權(quán)才能實施與操作擬訂一份適用性聲明書，須包括下列：于節(jié)所選擇之管制目標(biāo)與控制措施，其選擇之理由。現(xiàn)行已實施之控制目標(biāo)與控制措施。附錄A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。當(dāng)前39頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理信息安全管理系統(tǒng)之實施與操作

組織應(yīng)有系統(tǒng)的陳述一項風(fēng)險處理計劃以鑒別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先級，以便管理信息安全風(fēng)險。實施風(fēng)險處理計劃，以達(dá)到所鑒別的安全目標(biāo)，計劃內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。實施所選之控制措施以符合管制目標(biāo)。定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，并產(chǎn)出可比較即可再現(xiàn)的結(jié)果。實施訓(xùn)練與認(rèn)知計劃。管理ISMS作業(yè)。管理ISMS資源。實施能實時偵知安全事故，并予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。當(dāng)前40頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理信息安全管理系統(tǒng)之監(jiān)控及審查執(zhí)行監(jiān)控與審查程序及其他控制措施，以便：立即偵知系統(tǒng)處理結(jié)果之錯誤。立即鑒別企圖及已成功之安全破壞及事故。促使管理階層決定是否委托他人或藉由信息技術(shù)之實施均已如預(yù)期般實行。使用指標(biāo)幫助偵測安全事件并防止安全事故。決定所采取解決安全漏洞之措施是否有效。定期審查ISMS之有效性(包含符合ISMS政策、目標(biāo)及控制措施之審查)，并考慮來自安全審計、事件、來自有效性量測之結(jié)果、股東及利害關(guān)系團(tuán)體之建議及回饋之結(jié)果。測量控制措施有效性，以確認(rèn)符合安全要求。當(dāng)前41頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理在規(guī)劃期間審查風(fēng)險評估及審查殘余風(fēng)險，與鑒別之可接受風(fēng)險等級，并考慮下列之變量：組織技術(shù)企業(yè)目標(biāo)及過程已鑒別之威脅控制措施實施有效性外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會環(huán)境之變化。在規(guī)劃期間執(zhí)行內(nèi)部ISMS審計

內(nèi)部ISMS審計有時稱為第一方審計，是由組織自己或其代表基于內(nèi)部目的所實施。當(dāng)前42頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理定期執(zhí)行ISMS管理階層審查，以確保范圍保持適當(dāng)，及ISMS過程之各項改進(jìn)均已鑒別?？紤]監(jiān)控與審查活動之發(fā)現(xiàn)，更新安全計劃。紀(jì)錄對ISMS之有效性或績效有沖擊之活動與事件。當(dāng)前43頁，總共203頁。4.2信息安全管理系統(tǒng)之建立及管理維持及改進(jìn)信息安全管理系統(tǒng)

組織應(yīng)定期進(jìn)行下述：實施ISMS所鑒定之改進(jìn)活動。依據(jù)第8.2及8.3節(jié)采取適當(dāng)矯正及預(yù)防措施。采用從其他組織及本身之安全經(jīng)驗吸取教訓(xùn)。以適切于情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項措施及改進(jìn)活動進(jìn)行溝通，并在適當(dāng)時取得進(jìn)行方式的同意。確保各項改進(jìn)措施達(dá)到預(yù)期目標(biāo)。當(dāng)前44頁，總共203頁。4.3文件要求一般要求

文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動可追溯至管理決策與政策，并確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險評估與風(fēng)險處理過程結(jié)果，及回溯至ISMS政策及目標(biāo)之關(guān)聯(lián)性。

信息安全管理系統(tǒng)文件應(yīng)包含：ISMS政策與安全目標(biāo)之書面聲明信息安全管理系統(tǒng)之范圍支援ISMS之相關(guān)程序書及控制措施風(fēng)險評估方法論之說明書風(fēng)險處理計劃當(dāng)前45頁，總共203頁。4.3文件要求組織為確保有效規(guī)畫、操作與控制信息安全過程，及說明如何量測控制措施有效所需之書面程序。本國際標(biāo)準(zhǔn)要求之各紀(jì)錄。適用性聲明書。所有文件應(yīng)依據(jù)ISMS之政策要求隨時可供取用。當(dāng)前46頁，總共203頁。4.3文件要求ISMS文件的廣度，其范圍和細(xì)節(jié)取決于：產(chǎn)品和流程的復(fù)雜性顧客和法規(guī)的要求工業(yè)標(biāo)準(zhǔn)和規(guī)范教育、經(jīng)驗和訓(xùn)練勞動力的穩(wěn)定性過去發(fā)生的安全問題當(dāng)前47頁，總共203頁。4.3文件要求Level1–安全政策手冊

為管理架構(gòu)的摘要，其中包括了信息安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實施的控制措施。Level2–程序

程序用來實施所要求的控制措施，描述who、what、when、where等安全流程和不同部門間的控制措施。當(dāng)前48頁，總共203頁。4.3文件要求Level3–工作指導(dǎo)書、檢查列表、表格等

解釋特殊工作和活動的細(xì)節(jié)，以及如何完成特定的工作。包括詳細(xì)的工作指導(dǎo)書、窗體、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊…等。Level4–紀(jì)錄

紀(jì)錄活動實行以符合等級1、2和3文件要求的客觀證據(jù)?？赡苁菑娭菩缘碾[含在每個BS7799條款中。例如：機房訪客登記簿、審計記錄和存取授權(quán)…等。當(dāng)前49頁，總共203頁。4.3文件要求文件管制

ISMS所需之文件應(yīng)受保護(hù)和管制。應(yīng)建立文件化程序，以界定所需之管理措施，用以：在文件發(fā)行前核準(zhǔn)其適切性。必要時，審查和更新并重新核準(zhǔn)文件。確保文件之變更與最新改訂狀況已予以識別。確保在使用場所備有相關(guān)適用版次文件。確保文件保持易于閱讀并容易識別。確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類。確保外來原始文件已加以識別。確保文件分發(fā)已管制。防止失效文件被誤用。過期文件為任何目的需保留時，應(yīng)予以適當(dāng)識別。當(dāng)前50頁，總共203頁。4.3文件要求紀(jì)錄管制為提供ISMS符合要求及有效運作之證據(jù)，所建立并維持之紀(jì)錄，應(yīng)予以保護(hù)級管制。

ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考慮。紀(jì)錄應(yīng)清晰易讀，容易檢索及識別。為了紀(jì)錄之鑒別、儲存、保護(hù)、檢索、保存期限及報廢，應(yīng)建立文件化程序，以界定所需之管制。

所需之紀(jì)錄及其范圍應(yīng)由管理過程加以決定。紀(jì)錄應(yīng)加以保存，如4.2節(jié)所述各項過程之績效，以及所有與ISMS有關(guān)之重大安全事故紀(jì)錄。當(dāng)前51頁，總共203頁。5.管理階層責(zé)任5.1管理階層承諾

管理階層應(yīng)藉由下列各項，對ISMS之建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)：建立一份ISMS政策。確保建立各項ISMS目標(biāo)及計劃。為信息安全建立角色與權(quán)責(zé)。向全組織傳達(dá)符合信息安全目標(biāo)、遵守信息安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。提供充分資源以建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。決定可接風(fēng)險之標(biāo)準(zhǔn)，以及可接受風(fēng)險之等級。確保實施內(nèi)部ISMS審計。執(zhí)行ISMS之管理階層審查。當(dāng)前52頁，總共203頁。5.2資源管理資源提供

組織應(yīng)決定并提供下列工作必要之資源：建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。確保信息安全程序足以支持企業(yè)的需求。藉由修改所有實行的控制措施，來維持適當(dāng)?shù)陌踩?。?xùn)練、認(rèn)知及能力

組織應(yīng)確保在ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括：決定執(zhí)行影響ISMS工作之人員其所需之能力。提供訓(xùn)練或采取其他措施(如：雇用具備能力之人員)，以滿足該需求。評估所提供訓(xùn)練及所采取措施之有效性。維持教育、訓(xùn)練、技巧、經(jīng)驗及資格之紀(jì)錄。 組織亦應(yīng)確保所有相關(guān)人員已認(rèn)知其所從事的信息安全活動之相關(guān)性及重要性，以及他們?nèi)绾螌SMS之目標(biāo)達(dá)成有所貢獻(xiàn)。當(dāng)前53頁，總共203頁。6.內(nèi)部ISMS審計組織應(yīng)定期進(jìn)行內(nèi)部ISMS審計已決定其控制措施目標(biāo)、過程及程序是否：符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求符合所識別的信息安全要求有效的實作與維護(hù)如預(yù)期的執(zhí)行審計計劃應(yīng)事先規(guī)劃，考慮審計的過程與區(qū)域之狀況及重要性，以及先前審計的結(jié)果。審計準(zhǔn)則、范圍、頻率及方法應(yīng)予以界定。

審計人員的選擇與審計的執(zhí)行應(yīng)確保審計過程的客觀及公平。另外，審計人員不應(yīng)審計其本身的工作。當(dāng)前54頁，總共203頁。6.內(nèi)部ISMS審計規(guī)劃與執(zhí)行審計，及報告結(jié)果與維持紀(jì)錄之責(zé)任與要求。應(yīng)以書面程序予以界定。被審計區(qū)域管理階層之責(zé)任，應(yīng)確保實行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。跟催活動應(yīng)包括所實行措施之查證，與查證結(jié)果之報告。當(dāng)前55頁，總共203頁。7.ISMS之管理階層審查7.1概述

管理階層應(yīng)在規(guī)劃期間內(nèi)(至少一年一次)，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。審查應(yīng)包含改進(jìn)時機之評估，以及ISMS變更之需求，含信息安全政策與信息安全目標(biāo)。

審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。當(dāng)前56頁，總共203頁。7.ISMS之管理階層審查7.2審查輸入

管理階層審查輸入應(yīng)包括下列信息：ISMS審計與審查之結(jié)果。來自利害相關(guān)團(tuán)體之回饋?？捎靡愿倪M(jìn)組織ISMS績效及有效性之技術(shù)、產(chǎn)品或程序。預(yù)防與矯正措施之狀況。先前風(fēng)險評估未適切提出之脆弱性或威脅。來自有效性量測之結(jié)果。先前管理階層審查之跟催措施?？赡苡绊慖SMS之任何變更。改進(jìn)之建議。當(dāng)前57頁，總共203頁。7.ISMS之管理階層審查7.3審查輸出

管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施：ISMS有效性之改進(jìn)。更新風(fēng)險評估及風(fēng)險處理計劃。未因應(yīng)可能影響ISMS之內(nèi)部或外部事件，必要時將影響信息安全之程序及控制措施予以修訂，包括營運需求安全需求影響既有營運需求之營運過程法令或法規(guī)要求合約責(zé)任風(fēng)險等級風(fēng)險可接受程度之標(biāo)準(zhǔn)資源需求。測量控制措施有效性之改進(jìn)。當(dāng)前58頁，總共203頁。8.ISMS之改進(jìn)8.1持續(xù)的改進(jìn)尋求持續(xù)的改進(jìn)透過下列改進(jìn)ISMS的有效性安全政策安全目標(biāo)安全審查的結(jié)果安全審計矯正措施預(yù)防措施管理審查當(dāng)前59頁，總共203頁。8.ISMS之改進(jìn)8.2矯正措施應(yīng)該采取措施以消除不合格的原因，避免復(fù)發(fā)。在ISMS內(nèi)的書面程序應(yīng)該定義：鑒別不符合事項確定原因評估避免復(fù)發(fā)所需的活動確定和實施矯正措施紀(jì)錄結(jié)果審查行動的有效性當(dāng)前60頁，總共203頁。8.ISMS之改進(jìn)8.3預(yù)防措施

為防止不符合事項發(fā)生，組織應(yīng)決定措施，消除ISMS要求之潛在不符合事項之原因，以防止其發(fā)生。所采取之預(yù)防措施應(yīng)與潛在問題之影響相稱。

預(yù)防措施之文件化程序應(yīng)訂出以下要求：鑒別潛在的不符合與其原因。評估采取預(yù)防發(fā)生不符合措施的需求。決定并實施所需之措施。紀(jì)錄所采取措施之結(jié)果。審查所采用之預(yù)防措施。組織應(yīng)鑒別已變化之風(fēng)險及鑒別預(yù)防措施要求之焦點放在顯著變化之風(fēng)險上。預(yù)防措施之優(yōu)先級應(yīng)依據(jù)風(fēng)險評估之結(jié)果加以決定。當(dāng)前61頁，總共203頁。ISO/IEC27001：2005核心建立ISMS實施和運作ISMS維護(hù)和改進(jìn)ISMS計劃PLAN實施DO改造ACTION監(jiān)控和評審ISMS檢查CHECK開發(fā)、維護(hù)和改進(jìn)循壞相關(guān)單位管理狀態(tài)下的信息安全相關(guān)單位信息安全需求和期望62當(dāng)前62頁，總共203頁。PDCA過程需求方信息安全需求與期望PLAN建立

ISMSCHECK監(jiān)視和評審ISMSACT保持和改進(jìn)管理責(zé)任ISMS過程需求方可管理狀態(tài)下的信息安全DO實施和操作ISMS63當(dāng)前63頁，總共203頁。建立ISMS范圍&邊界ISMS策略控制目標(biāo)&控制手段風(fēng)險評估途徑威脅&脆弱性資產(chǎn)&所有者風(fēng)險處置選項風(fēng)險評估影響適用性聲明1234569871011評審1264當(dāng)前64頁，總共203頁。實施和操作ISMS風(fēng)險處理計劃和實施實施控制有效性測量操作管理培訓(xùn)&意識活動&事件管理資源管理1234567IS活動一個確定的發(fā)生可能違反信息安全保障政策或失敗或一種前所未知的情況，可能是與安全相關(guān)的系統(tǒng)，服務(wù)或網(wǎng)絡(luò)狀態(tài)指示IS事件一個單一的或一系列不必要的或意外的信息安全事件，有一個顯著的業(yè)務(wù)經(jīng)營的影響和威脅信息安全的概率65當(dāng)前65頁，總共203頁。監(jiān)視和評審ISMS監(jiān)視&審查程序評價有效性測量控制的有效性內(nèi)部ISMS審計風(fēng)險評估審查安全計劃評審管理評審1234567改進(jìn)&事件對ISMS的性能/有效性帶來的影響866當(dāng)前66頁，總共203頁。維護(hù)和改進(jìn)ISMS實施改進(jìn)采取CA-PA從教訓(xùn)中吸取經(jīng)驗（他人&自己）確認(rèn)改進(jìn)溝通行動&改進(jìn)1234567當(dāng)前67頁，總共203頁。在組織層面–承諾在法律層面–遵守在操作層面–風(fēng)險管理在商業(yè)層面–信譽和信心在財務(wù)層面–降低成本在人力層面–提高員工意識信息安全管理的目的和意義68當(dāng)前68頁，總共203頁。新標(biāo)準(zhǔn)正文部分架構(gòu)變化內(nèi)容新調(diào)整核心內(nèi)容變化附錄A變化控制項的增刪與調(diào)整ISO/IEC27001：2005與ISO/IEC27001：2013差異對比69當(dāng)前69頁，總共203頁。新標(biāo)準(zhǔn)正文部分架構(gòu)變化1.范圍2.規(guī)范性引用文件3.術(shù)語和定義4.信息安全管理體系（ISMS）4.

1總體要求4.

2建立和管理ISMS4.

3文件要求5.管理職責(zé)6.審核7.ISMS的管理評審8.

ISMS改進(jìn)1.范圍2.規(guī)范性引用文件3.術(shù)語和定義4.組織的環(huán)境5.領(lǐng)導(dǎo)力6.

計劃7.支持8.運營9.績效評價10.改進(jìn)70當(dāng)前70頁，總共203頁。內(nèi)容新調(diào)整71當(dāng)前71頁，總共203頁。核心內(nèi)容變化27001:20054.1建立ISMSISO27001:20134.組織的背景通過以下方面定義ISMS的范圍和邊界：?業(yè)務(wù)的特點;?組織;?位置;?資產(chǎn)和技術(shù);?任何范圍刪減的細(xì)節(jié)與合理性。通過確定外部和內(nèi)部的情況，判斷有關(guān)ISMS目的和影響，以實現(xiàn)預(yù)期的結(jié)果。確定ISMS相關(guān)的要求與信息安全相關(guān)的利害關(guān)系人。通過以下方面，確定ISMS的邊界和適用性，建立ISMS的范圍：?以往的外部和內(nèi)部情況;?利益相關(guān)方的需求;?組織運轉(zhuǎn)內(nèi)外部的接口和依賴關(guān)系;72當(dāng)前72頁，總共203頁。附錄A變化ISO/IEC27001：2005ISO/IEC27001：2013A.5安全方針A.5安全針A.6信息安全組織A.6信息安全組織A.8人力資源安全A.7人力資源安全A.7資產(chǎn)管理A.8資產(chǎn)管理A.11訪問控制A.9訪問控制A.10密碼學(xué)A.9物理與環(huán)境安全A.11物理與環(huán)境安全A.10通信與操作管理A.12操作安全A.13通信安全A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)A.14信息系統(tǒng)獲取、開發(fā)和維護(hù)A.15供應(yīng)關(guān)系A(chǔ).13信息安全事件管理A.16信息安全事件管理A.14業(yè)務(wù)連續(xù)性管理A.17信息安全面的業(yè)務(wù)連續(xù)性管理A.15符合性A.18符合性73當(dāng)前73頁，總共203頁?？刂祈椀脑鰟h與調(diào)整增加項14.2.1安全開發(fā)策略（軟件和信息系統(tǒng)開發(fā)規(guī)則)14.2.5系統(tǒng)開發(fā)程序（系統(tǒng)工程的原則)14.2.6安全的開發(fā)環(huán)境（建立和保護(hù)開發(fā)環(huán)境)14.2.8系統(tǒng)安全測試（安全功能的測試)16.1.4信息安全事件的評估和決策（這是事件管理的一部分)17.2.1信息處理設(shè)施的可用性（實現(xiàn)冗余)刪除項6.2.2處理與顧客有關(guān)的安全問題10.4.2控制移動代碼10.7.3信息處理規(guī)程10.7.4系統(tǒng)文件安全10.8.5業(yè)務(wù)信息系統(tǒng)10.9.3公共可用信息11.4.2外部連接的用戶鑒別11.4.3網(wǎng)絡(luò)上的設(shè)備標(biāo)識11.4.4遠(yuǎn)程診斷和配置端口的保護(hù)11.4.6網(wǎng)絡(luò)連接控制11.4.7網(wǎng)絡(luò)路由控制11.5.5會話超時11.5.6聯(lián)機時間的限定11.6.2敏感系統(tǒng)隔離12.2.1輸入數(shù)據(jù)確認(rèn)內(nèi)部處理的控制12.2.3消息完整性12.2.4輸出數(shù)據(jù)確認(rèn)12.5.4信息泄露14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險評估14.1.3制訂和實施業(yè)務(wù)連續(xù)性計劃14.1.4業(yè)務(wù)連續(xù)性計劃框架15.1.5防止濫用信息處理設(shè)施15.3.2信息系統(tǒng)審計工具的保護(hù)74當(dāng)前74頁，總共203頁。ISMS文檔ISMS范圍ISMS方針風(fēng)險評估方法風(fēng)險處置計劃風(fēng)險評估報告程序及指南記錄程序所需記錄適用性聲明文件控制記錄控制75當(dāng)前75頁，總共203頁。控制視圖安全方針訪問控制物理和環(huán)境安全信息安全組織資產(chǎn)管理合規(guī)性人力資源安全安全事件管理業(yè)務(wù)連續(xù)性管理安全采購、開發(fā)與維護(hù)

通信及操作管理技術(shù)組織物理

組織操作76當(dāng)前76頁，總共203頁。信息管理11個控制域安全策略資產(chǎn)管理信息安全組織

人力資源管理物理和環(huán)境安全通信和操作管理訪問控制信息安全事件管理信息系統(tǒng)采購、開發(fā)與維護(hù)合規(guī)性

業(yè)務(wù)連續(xù)性管理

標(biāo)準(zhǔn)覆蓋了所有11個領(lǐng)域，39個控制目標(biāo)，133個控制措施77當(dāng)前77頁，總共203頁。控制（39個目標(biāo)，133個控制措施）安全方針OrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance方針文件方針評審當(dāng)前78頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicy信息安全組織AssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance內(nèi)部組織外部組織當(dāng)前79頁，總共203頁。控制（39個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurity資產(chǎn)管理HRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance資產(chǎn)責(zé)任信息分類當(dāng)前80頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagement人力資源安全Physical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance雇傭前雇傭中終止或變更雇傭責(zé)任當(dāng)前81頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurity物理和環(huán)境安全Communication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance物理安全邊界設(shè)備選址和保護(hù)當(dāng)前82頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurity通信和操作管理ISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance操作程序和責(zé)任第三方服務(wù)交付管理系統(tǒng)規(guī)劃和驗收防范惡意和移動代碼備份介質(zhì)處置信息交換Electroniccommerceservices監(jiān)視電子商務(wù)服務(wù)當(dāng)前83頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagement訪問控制Compliance訪問控制業(yè)務(wù)需求用戶訪問管理用戶責(zé)任網(wǎng)絡(luò)訪問控制操作系統(tǒng)訪問控制應(yīng)用和信息訪問控制移動計算和遠(yuǎn)程辦公當(dāng)前84頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagement信息系統(tǒng)采購、開發(fā)與維護(hù)ISIncidentManagementBusinessContinuityManagementAccessControlCompliance信息系統(tǒng)安全需求正確處理應(yīng)用密碼控制系統(tǒng)文件安全開發(fā)和支持過程中的安全性技術(shù)脆弱性管理當(dāng)前85頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenance信息系統(tǒng)事件管理BusinessContinuityManagementAccessControlCompliance報告事件和弱點IS事故管理及改進(jìn)當(dāng)前86頁，總共203頁?？刂疲?9個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagement業(yè)務(wù)連續(xù)性管理

AccessControlCompliance業(yè)務(wù)連續(xù)性和風(fēng)險評估開發(fā)和實施BCPBCP框架測試，維護(hù)和重新評估BCP包含在信息系統(tǒng)中的BCM過程當(dāng)前87頁，總共203頁。控制（39個目標(biāo)，133個控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControl合規(guī)性符合法律要求安全方針&標(biāo)準(zhǔn)和技術(shù)的符合性信息系統(tǒng)審計的考慮當(dāng)前88頁，總共203頁。風(fēng)險管理基礎(chǔ)與風(fēng)險評估務(wù)實當(dāng)前89頁，總共203頁。風(fēng)險Risk一種可能性，威脅利用資產(chǎn)的脆弱性，并造成資產(chǎn)的損害或損失。威脅Threat可能導(dǎo)致不期望事件的潛在原因，該不期望事件可能導(dǎo)致系統(tǒng)或組織受損脆弱點Vulnerability一個或一組資產(chǎn)所具有的、可能被一個或多個威脅所利用的弱點。什么是風(fēng)險90當(dāng)前90頁，總共203頁。風(fēng)險，威脅和脆弱性之間的關(guān)系威脅脆弱性利用風(fēng)險資產(chǎn)價值保護(hù)需求增加增加信息資產(chǎn)控制*暴露防范減少具有增加說明滿足控制：降低風(fēng)險的做法，程序或機制91當(dāng)前91頁，總共203頁。威脅元素代理：執(zhí)行威脅的催化劑。人力設(shè)備自然動機：事物導(dǎo)致代理人采取行動。偶然故意只有激勵因素，既可以是偶然的和故意的是人結(jié)果：所施加的威脅的結(jié)果。結(jié)果通常導(dǎo)致CIA的損失機密性完整性可用性威脅識別92當(dāng)前92頁，總共203頁。員工外部各方安全問題認(rèn)識不足生長在網(wǎng)絡(luò)和分布式計算黑客工具和病毒的復(fù)雜性和效益的增長自然災(zāi)害，例如?；馂?zāi)，水災(zāi)，地震威脅93當(dāng)前93頁，總共203頁。威脅源源動機威脅外部黑客的攻擊挑戰(zhàn)自負(fù)博弈系統(tǒng)的黑客社會工程垃圾箱內(nèi)部黑客期限財務(wù)問題失望后門舞弊欠佳的文檔恐怖分子復(fù)仇政治系統(tǒng)攻擊社會工程郵件炸彈病毒拒絕服務(wù)沒有受過良好訓(xùn)練的員工意外錯誤編程錯誤數(shù)據(jù)錄入錯誤數(shù)據(jù)損壞引入惡意代碼系統(tǒng)錯誤未經(jīng)授權(quán)的訪問94當(dāng)前94頁，總共203頁。威脅類別序號威脅類別示例1人力資源的失誤或失敗事故，員工失誤2知識產(chǎn)權(quán)丟失盜版，侵犯版權(quán)3故意或者間諜或侵占未經(jīng)授權(quán)的訪問和/或數(shù)據(jù)收集4信息勒索的故意行為勒索信息曝光/披露5故意破壞/認(rèn)為破壞破壞系統(tǒng)/信息6故意盜竊非法沒收設(shè)備或信息7故意軟件攻擊病毒，蠕蟲，宏拒絕服務(wù)8從服務(wù)提供商的服務(wù)質(zhì)量偏差電源和廣域網(wǎng)問題9大自然的力量火災(zāi)，水災(zāi)，地震，雷擊10技術(shù)硬件故障或錯誤設(shè)備故障/錯誤11技術(shù)軟件失敗或錯誤錯誤代碼的問題，未知的漏洞12陳舊的技術(shù)陳舊或過時的技術(shù)95當(dāng)前95頁，總共203頁。風(fēng)險和威脅IT系統(tǒng)高級用戶的知識盜竊，破壞，誤用惡意代碼攻擊系統(tǒng)和網(wǎng)絡(luò)故障缺乏文檔失效的物理安全自然災(zāi)害及火災(zāi)96當(dāng)前96頁，總共203頁。風(fēng)險與風(fēng)險評估假定的威脅利用資產(chǎn)的脆弱點,從而對組織造成損害的潛在。單個或多個威脅可能利用單個或多個脆弱點。ISO/IEC

TR

13335-1

IT安全的概念和模型信息安全風(fēng)險informationsecurityrisk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。GB/T

20984

:2007信息安全風(fēng)險評估規(guī)范當(dāng)前97頁，總共203頁。風(fēng)險各相關(guān)要素脆弱點威脅風(fēng)險資產(chǎn)影響防護(hù)措施保護(hù)要求增加增加增加增加減小意味當(dāng)前98頁，總共203頁。風(fēng)險評估（信息安全）風(fēng)險評估（informationsecurity）riskassessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。GB/T

20984

:2007信息安全風(fēng)險評估規(guī)范當(dāng)前99頁，總共203頁。理解風(fēng)險與風(fēng)險評估下雨人健康虛弱生病資產(chǎn)威脅（來自自然環(huán)境）脆弱性接受風(fēng)險降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)嫁風(fēng)險風(fēng)險處置策略打傘打車停止外出對方來訪風(fēng)險處置殘余風(fēng)險效率成本可行性當(dāng)前100頁，總共203頁。相關(guān)術(shù)語資產(chǎn)asset對組織具有價值的信息或資源，是安全策略保護(hù)的對象。資產(chǎn)價值assetvalue資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。威脅threat可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性vulnerability可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。安全措施securitymeasure保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。當(dāng)前101頁，總共203頁。風(fēng)險評估流程當(dāng)前102頁，總共203頁。GB/T20984實施流程當(dāng)前103頁，總共203頁。風(fēng)險評估實戰(zhàn)流程分析當(dāng)前104頁，總共203頁。風(fēng)險評估準(zhǔn)備階段當(dāng)前105頁，總共203頁。大綱當(dāng)前106頁，總共203頁。確定目標(biāo)與范圍確定物理邊界地理位置(物理區(qū)域定義)本地樓宇樓層區(qū)域邊界異地跨國確定邏輯邊界(網(wǎng)絡(luò)拓?fù)?縱向邏輯:可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界橫向邏輯:第三方接入邊界當(dāng)前107頁，總共203頁。示例本次風(fēng)險評估的邊界范圍為XXX數(shù)據(jù)處理中心機房設(shè)備和系統(tǒng)、18個地市分局XX系統(tǒng)和Web網(wǎng)站平臺。主要業(yè)務(wù)應(yīng)用系統(tǒng)共有N個，包括A1網(wǎng)站、A2網(wǎng)、S1系統(tǒng)、S2系統(tǒng)、S3系統(tǒng)……等但不局限于上述系統(tǒng)。當(dāng)前108頁，總共203頁。建立項目團(tuán)隊建立實施方團(tuán)隊項目管理/管理評估系統(tǒng)網(wǎng)絡(luò)滲透建立甲方團(tuán)隊項目協(xié)調(diào)人系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)管理員應(yīng)用管理員……當(dāng)前109頁，總共203頁。示例序號姓名角色現(xiàn)場評估實施小組1P1項目經(jīng)理、管理評估2P2網(wǎng)絡(luò)技術(shù)、安全掃描3P3操作系統(tǒng)、數(shù)據(jù)庫4P4應(yīng)用系統(tǒng)滲透測試小組7P5滲透測試序號姓名角色1U1甲方協(xié)調(diào)人2U2系統(tǒng)管理員3U3網(wǎng)絡(luò)管理員4…………當(dāng)前110頁，總共203頁。系統(tǒng)調(diào)研a）業(yè)務(wù)戰(zhàn)略及管理制度；b）主要的業(yè)務(wù)功能和要求；c）網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；d）系統(tǒng)邊界；e）主要的硬件、軟件；f）數(shù)據(jù)和信息；g）系統(tǒng)和數(shù)據(jù)的敏感性；h）支持和使用系統(tǒng)的人員；i）其他當(dāng)前111頁，總共203頁。方式問卷調(diào)查現(xiàn)場面談當(dāng)前112頁，總共203頁。示例業(yè)務(wù)系統(tǒng)名稱門戶網(wǎng)站系統(tǒng)編號系統(tǒng)承載業(yè)務(wù)情況業(yè)務(wù)類型□生產(chǎn)作業(yè)□指揮調(diào)度□管理控制□內(nèi)部辦公

●公眾服務(wù)□其他業(yè)務(wù)描述系統(tǒng)服務(wù)情況服務(wù)范圍□全國□跨省（區(qū)、市）跨個□全?。▍^(qū)、市）□跨地（市、區(qū)）跨個□地（市、區(qū)）內(nèi)

●其它服務(wù)對象□單位內(nèi)部人員●社會公眾人員□兩者均包括□其他系統(tǒng)網(wǎng)絡(luò)平臺覆蓋范圍□局域網(wǎng)□城域網(wǎng)□廣域網(wǎng)

●其他網(wǎng)絡(luò)性質(zhì)□業(yè)務(wù)專網(wǎng)

●互聯(lián)網(wǎng)□其它

系統(tǒng)互聯(lián)情況□與其他行業(yè)系統(tǒng)連接□與本行業(yè)其他單位系統(tǒng)連接□與本單位其他系統(tǒng)連接

●其它

業(yè)務(wù)流程描述生產(chǎn)廠商版本號系統(tǒng)結(jié)構(gòu)□單機系統(tǒng)

□客戶端/服務(wù)器模式(C/S)●瀏覽器/服務(wù)器模式(B/S)□混合模式(C/S+B/S)服務(wù)器情況類

型軟

件系統(tǒng)開發(fā)語言處理的數(shù)據(jù)格式系統(tǒng)功能描述當(dāng)前113頁，總共203頁。簽署相關(guān)協(xié)議保密協(xié)議合同授權(quán)書開工單當(dāng)前114頁，總共203頁。編寫方案a）團(tuán)隊組織：包括評估團(tuán)隊成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；b）工作計劃：風(fēng)險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；c）時間進(jìn)度安排：項目實施的時間進(jìn)度安排。當(dāng)前115頁，總共203頁。獲得支持形成較為完整的風(fēng)險評估實施方案，得到組織最高管理者的支持、批準(zhǔn)；對管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。當(dāng)前116頁，總共203頁。工具準(zhǔn)備調(diào)查問卷調(diào)查問卷由一組相關(guān)的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。配置檢查列表配置檢查列表用于人工檢查系統(tǒng)存在的各種安全弱點/脆弱性，它針對不同的系統(tǒng)列出待檢查的條目，以保證人工檢查結(jié)果數(shù)據(jù)的完備性。遠(yuǎn)程工具掃描遠(yuǎn)程工具掃描是使用一個或一組自動化工具檢測網(wǎng)絡(luò)層、主機層設(shè)備以及應(yīng)用層軟件可能存在的漏洞。其他網(wǎng)絡(luò)抓包工具應(yīng)用掃描工具當(dāng)前117頁，總共203頁。風(fēng)險評估實施階段當(dāng)前118頁，總共203頁。大綱當(dāng)前119頁，總共203頁。啟動會議會議議程會議通知會議記錄獲得高層承諾當(dāng)前120頁，總共203頁。示例1會議目的由于信息系統(tǒng)風(fēng)險評估是一項極其復(fù)雜的工作過程，它不僅是信息技術(shù)問題，它的完成需要業(yè)務(wù)、技術(shù)及其其他相關(guān)部門緊密合作和配合，因此高層管理者的支持是信息系統(tǒng)安全評估是否有效的關(guān)鍵。本次會議的目的為了更好的實施XXX安全服務(wù)工作，落實服務(wù)工作中風(fēng)險評估內(nèi)容的開展實施，建立評估工作小組，并明確雙方的責(zé)任和義務(wù)為目的的協(xié)調(diào)會議。參會人員甲方：XXX、……乙方：XXX、……時間2010年X月X日地點XXXXXXXX當(dāng)前121頁，總共203頁。示例2序號議程發(fā)言備注1主持人介紹會議議程2乙方介紹項目3甲方領(lǐng)導(dǎo)講話，確定工作思路，指定甲方項目負(fù)責(zé)人4乙方領(lǐng)導(dǎo)講話，指定乙方項目負(fù)責(zé)人5雙方確定項目負(fù)責(zé)人并講話介紹甲方參與項目相關(guān)人員介紹乙方項目主要參與人員61、雙方協(xié)商正式入場時間2、確定項目對口聯(lián)系人，主機：系統(tǒng)：網(wǎng)絡(luò)：應(yīng)用：管理：系統(tǒng)開發(fā)：7討論項目實施計劃8相關(guān)問題交流9風(fēng)險評估基礎(chǔ)培訓(xùn)當(dāng)前122頁，總共203頁。培訓(xùn)培訓(xùn)目的安全意識與風(fēng)險評估意義了解本次評估的方法論和基本流程介紹甲乙雙方的角色和職責(zé)學(xué)習(xí)風(fēng)險評估理論培訓(xùn)范圍甲方參與評估相關(guān)人員甲方風(fēng)險評估小組乙方風(fēng)險評估小組培訓(xùn)時間半天當(dāng)前123頁，總共203頁。資產(chǎn)識別當(dāng)前124頁，總共203頁。資產(chǎn)分類分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等當(dāng)前125頁，總共203頁。示例1資產(chǎn)識別表――信息資產(chǎn)序號資產(chǎn)名稱當(dāng)前版本責(zé)任人應(yīng)用描述數(shù)量備份形式資產(chǎn)價值備注機密性等級機密性分析完整性等級完整性分析可用性等級可用性分析

資產(chǎn)識別表――硬件資產(chǎn)序號資產(chǎn)名稱資產(chǎn)編號責(zé)任人IP地址操作系統(tǒng)應(yīng)用描述業(yè)務(wù)數(shù)據(jù)數(shù)量資產(chǎn)價值備注機密性等級機密性分析完整性等級完整性分析可用性等級可用性分析

資產(chǎn)識別表――軟件資產(chǎn)序號資產(chǎn)名稱當(dāng)前版本責(zé)任人應(yīng)用描述數(shù)量資產(chǎn)價值備注機密性等級機密性分析完整性等級完整性分析可用性等級可用性分析

當(dāng)前126頁，總共203頁。示例2資產(chǎn)識別表――服務(wù)資產(chǎn)序號資產(chǎn)名稱責(zé)任人應(yīng)用描述數(shù)量備份形式資產(chǎn)價值備注機密性等級機密性分析完整性等級完整性分析可用性等級可用性分析

資產(chǎn)識別表――人力資產(chǎn)序號崗位名稱崗位描述人數(shù)人員姓名備注

資產(chǎn)識別表――支持設(shè)施序號系統(tǒng)名稱相關(guān)設(shè)備使用范圍描述數(shù)量資產(chǎn)價值備注機密性等級機密性分析完整性等級完整性分析可用性等級可用性分析

當(dāng)前127頁，總共203頁。資產(chǎn)賦值1機密性賦值賦值標(biāo)識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值賦值標(biāo)識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補3中完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補1很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略當(dāng)前128頁，總共203頁。資產(chǎn)賦值2可用性賦值賦值標(biāo)識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10min3中可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上，或系統(tǒng)允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上，或系統(tǒng)允許中斷時間小于60min1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%資產(chǎn)等級及含義描述賦值標(biāo)識定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計當(dāng)前129頁，總共203頁。威脅識別來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊威脅來源當(dāng)前130頁，總共203頁。威脅識別基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護(hù)錯誤、操作失誤等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等當(dāng)前131頁，總共203頁。威脅識別種類描述威脅子類越權(quán)和濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等當(dāng)前132頁，總共203頁。威脅賦值等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生當(dāng)前133頁，總共203頁。脆弱性識別技術(shù)脆弱性識別對象識別內(nèi)容物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護(hù)等方面進(jìn)行識別當(dāng)前134頁，總共203頁。脆弱性識別管理脆弱性識別對象識別內(nèi)容技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別當(dāng)前135頁，總共203頁。脆弱性賦值等級標(biāo)識定義5很高如果被威脅利用,將對資產(chǎn)造成完全損害4高如果被威脅利用,將對資產(chǎn)造成重大損害3中等如果被威脅利用,將對資產(chǎn)造成一般損害2低如果被威脅利用,將對資產(chǎn)造成較小損害1很低如果被威脅利用,將對資產(chǎn)造成的損害可以忽略當(dāng)前136頁，總共203頁。已有安全措施確認(rèn)安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。當(dāng)