《iso27001主任审核员培训课件.ppt》由会员分享,可在线阅读,更多相关《iso27001主任审核员培训课件.ppt(76页珍藏版)》请在三一办公上搜索。
1、ISO27001 Lead Auditor Training Course,Neil YuShanghaiFeb. 18-22, 2008Version 1.6Updated on June 19, 2008,ISO27001 LA Training CourseDay 1,ShanghaiFeb. 18, 2008,典型的信息安全事件,HW事件HW到中东某国投标,、人住当地一家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘LM事件LM一直与中国军方关系密
2、切,承接过国家级信息安全项目骨干中一人离职出国,带出很多涉密文件,结果LM被封杀艳照门很傻很天真,什么叫管理体系,System Set of interrelated or interacting elements 体系 一系列相关关联相互作用的元素Work systematically To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence系统地工作 为保证工作效率,事情必须按合适的/可行的方法进行组织,并以一定的顺序完成
3、Management System System to establish policy and objectives and to achieve those objectives管理体系 建立方针和目标,并实现目标的体系,管理体系的4大要素,组织机构:明确职责、权限程序:告诉相关人员怎么做过程:具体的执行情况,如何做的?比如执行人是否每周2次检查了某个应用程序的日志?资源:可调配、使用的人员、设备等培训,常见的管理体系,质量管理:ISO9001环境管理:ISO14001职业安全:OHSAS18001社会责任:SA8000信息安全:ISO27001,什么是质量,质量3要素QCT符合客户的要求
4、(Q)不能导致成本上升(C)时间(T)以上三个方面的平衡的结果就是质量,质量管理体系一览,国际标准 ISO9001汽车行业(比ISO9001多了项目管理方面的要求)TS16949(汽车行业的质量管理体系)QS9000(美国的汽车行业标准)VDA6.1(德国大众的质量管理体系)其他行业ISO22000(食品行业)TL9000(通讯业)ISO20000(可称为IT业的服务质量标准)CMMI(适合软件研发和新技术开发),信息安全的3要素,Confidentiality the property that information is made available or disclosed to un
5、authorized individuals, entities or processes 保密性 信息被获取或泄漏给未经授权的个人、实体或流程Integrity the property of safeguarding the accuracy and completeness完整性 保护资产准确和完整Availability the property of being accessible and useable upon demand by an authorized entity可用性 资产仅对授权人员在需要的时候是可访问的或可用的,什么叫ISMS信息安全管理体系,Informatio
6、n 信息信息是一种重要资产,对组织的业务非常关键。 信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储、邮寄或使用电子手段传输,以影片播放或对话。Information Security信息安全对信息的保密性、完整性和可用性的保护,同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,Information Security Management System信息安全管理体系是管理体系的一部分,基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全。简单地说,是为了确保组织信息的“三性”,设立的组织机构、程序、过程和资源。,step1,如果,ISMS和其他体系的联系和区
7、别,联系所有管理体系的共性(需要分析的5大要素):人、机、料、法、环区别ISMS:%5的人:做95%的工作%95的人:执行(需要接受培训),本页及下页图片来源于BSI中国网站,ISMS适用的行业,以信息为生命线的行业:金融行业:银行、保险、证券、基金、期货等通信行业:电信、网通、移动、联通等皮包公司:外贸、进出口、HR、猎头、会计师事务所等对信息技术依赖度高的行业:钢铁、半导体、物流电力、能源外包(ITO或BPO):IT、软件、电信IDC、Call Center等工艺技术要求高、竞争对手渴望得到的:医药、精细化工研究机构,ISO27001, 20000 & CMMI,CMMI,ISO20000
8、,ISO27001,ISO27001,如何成为LA主任审核员?,要成为LA,必须经过:2 MD observer - Junior Auditor20MD junior auditor - Auditor15MD auditor - Lead Auditor注意:后两项经验需分别从3个新的、不同的客户中获取上述每一段经验,均需在2年内获得DNV可以帮助进行IRCA注册,什么是好的ISMS,Good Information Security Management Systematic approachImproved understanding of business aspectsReduct
9、ion in security breaches and/or claimsReduction in adverse publicityImproved insurance liability ratingIdentify critical assets via the business risk assessmentProvide a structure for continuous improvementBe a confidence factor internally as well as externallyEnhance the knowledge and importance of
10、 security-related issues at the management levelEnsure that “knowledge capital” will be “stored” and managed in a business management system,实施ISMS的关键成功因素,与组织文化一致的信息安全方法老板的支持对信息安全的要求、风险评估和风险管理有好的理解向所有员工和其他人分发信息安全指南有效的对员工和其他人推销信息安全(外部人员也被要求进行信息安全培训)足够的财务支持,以及满足要求的现有系统的能力和配置水平有效的信息安全事故管理过程,Tips1重要提示,I
11、SMS(信息安全管理体系)和ITSM(信息技术服务管理)的整合需求越来越大:来自最高管理者的关注增强来自客户的推动、压力政府的推动并提供资金的支持,如“十百千”工程行业的普遍关注,如电信IDC,移动,电力系统,海关总署,国家质监总局目前,各大银行和电力企业正在实施ITIL,每年有Very Large的市场。半导体业对ISMS的要求非常严格,甚至高过金融业!,Tips2,历史教训:保安和清洁工是信息安全的重要威胁!(无意伤害对“阶层” 感情的好恶)所有员工,包括所有外来人员,必须接受信息安全的培训小窍门:在门卫/传达室放一个外来人员安全须知, 外来人员在阅读后要签字,这是对外来人员进行了信息安全
12、培训的证据,Tips3,信息安全容易忽视的两个的地方Thumb drive (U盘,尽量禁用!)Domain controller(域控制器,加强管理!)Good practices: 人员发生变动的时候,一定要调整访问权限查看企业的财产保险合同审核完毕后一般都需要提高保险级别!,很NB的缩写,Black Belt:黑带#%!%!#¥#ERM:企业风险管理(目前最高级别的认证)BCM:业务持续性管理CSR:企业可持续发展报告(验证各项指标)RPN:风险优先指数BCM/BCP:业务持续战略Continual Improvement:持续改进,RA:风险分析ITDRMCABIARTO:recove
13、ry time objectiveRPO:recovery point objectiveLBC,BCP与灾难恢复等概念的比较,影响公司层面业务持续性的因素,供应链中断:重要原料、IT硬件高层的错误决策客户不满关键人员流失数据中心重大事故,恐怖袭击、战争员工信心天灾人祸、火灾爆炸联动点法律法规公众反应,BCM非常重要,实施ITSM业务连续性管理的两条途径公司层面的BCM(适合于IT Outsourcing或BPO企业)信息安全层面的BCM,适合大型制造业及工艺流程复杂的企业BCM或BCP比“可用性管理”有更大的范围和规模!,BCM: 一个好的平台,Quality managementPubli
14、c relationshipInvestment directionSecurity managementDisaster recoverySafety managementFacilities managementIT/Other disaster recoverySupply chain managementRisk management,BCM的步骤,理解你的业务 BIA (Business Impact Assessment)业务持续性计划 BCP (Business Continuity Planning)研究并实施BCM行动建立并深入公司BCM文件演练/维护及审核BCM,ISO27
15、001 LA Training CourseDay 2,ShanghaiFeb. 19, 2008,建立ISMS的步骤,制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理,风险、威胁和脆弱性的概念,风险Risk:特定的威胁利用资产漏洞的潜在可能,并可导致对组织的危害。它根据事件的可能性及后果进行测量。风险分析:评估风险数量的系统化流程风险评估:包括风险定义,风险分析和风险评估的流程。,威胁Threat:引起事故的潜在因素,可能对组织或系统产生损害脆弱性Vulnerability:资产的弱点,可能被一个或多个威胁利用影响 Impact:信息安全事故的结果,风险产生的原因,5大因素:自
16、然环境社会经济环境政治及法制因素营运环境意识及沟通因素,或者:人机:软硬件,需要维护料:输入,包括客户需求法:程序、方法,是否清楚、适当环:大环境,资产类型,通常:网络机房PC台式机笔记本普通营销部/中层干部高层管理人员人员文档电子书面客户要求整体实体(物理)安全,分类:信息资产:数据文件、数据库软件资产:系统软件、应用软件物理资产:计算机、通讯设备服务资产:电力、消防、打印机、复印机人力资产:员工、工人纸面资产:协议、合同无形资产:公司形象、名誉、品牌注意:IT部门可能拥有上述所有资产,其他部门可能只拥有其中1至2项,编制资产识别表,资产?对组织有价值的任何事物编制资产识别表的要点找对own
17、er合并同类项,特性和风险相同的资产可以合并为一项小窍门:先按部门分别进行对资产项合并同类项后,可跨部门再进行一次合并同类项,风险的计算,第一种方法:风险=严重性*可能性影响程度的严重性(权重较大)威胁发生的可能性:按历史发生情况!第二种方法:严重性*可能性*脆弱性脆弱性:检验现有防护措施RPN=S*O*W (servility* occurrence* weakness)比如,美国地震工程研究所对“地震风险性”的定义是地震危险性(致灾因子)、社会财富(承灾性)和脆弱性三者的乘积FMEA:好方法!行业内的叫法:RPN(风险优先指数),风险的计算(续),(第二种方法)根据资产识别的结果判断严重性
18、威胁名称、威胁来源、威胁赋值脆弱性类别、已有控制措施、脆弱性赋值低:现有系统能够自动识别,且有充分有效的紧急响应中:通过检查/监控能够看出趋势或有较充分的紧急响应高:现有条件下不能探测或一旦发生问题没有有效风险计算风险处理指标:风险处置措施、责任部门、完成时间,示例,风险的计算(续),剩余风险剩余风险 资产严重性(不变的)可能性(改进后的)脆弱性(改进后的)脆弱性(需要自己定义,以下举例)低:现有系统能够自动识别,且有充分有效的紧急响应中:通过检查/监控能够看出趋势或有较充分的紧急响应高:现有条件下不能探测或一旦发生问题没有有效响应严重性(需要自己定义,以下举例)低:不影响正常生产及客户满意度
19、,对公司运营影响不大中:停止4小时生产以下,被用户投诉高:停止4小时生产以上,被用户投诉,补充,ISMS的范围和边界是建立ISMS的第一步,明确覆盖哪些业务流程ISMS Policy信息安全管理体系方针是信息安全策略(Information security policy)的扩展集根据组织的实际情况,如业务性质、地理位置、资产情况和技术水平来定义,例如:在线服务:对可用性要求高金融机构:对完整性要求高医院:对保密性要求高需要考虑业务、法规及合同责任方面的要求建立风险管理准则,明确可接受的风险水平得到管理层的批准,Exercise 1,作业:讲解ISO27001 a10-a12以及12.5 和1
20、2.6,ISO27001 LA Training CourseDay 3,ShanghaiFeb. 20, 2008,ISO27001的组成,主体部分:Clause 4, 5, 6, 7, 8 (所有ISO标准都有的,不可删减)A5-A15 11 条大的安全控制条款39 个控制类(控制目标)133 项控制措施,需验证的六大文件,4.3.1 g中需验证以下文件:管理评审内审文件控制ISMS特殊要求:online的才是有效的,打印的仅供参考!标示文件的保密级别电子文档(网上流转)的保护质量记录控制重要性:备证纠正措施预防措施,CHINA CISSP“易水寒江雪”认为:信息安全策略 文件控制程序 记
21、录控制程序 内部审核管理程序 纠正预防措施 标准中将纠正和预防是分别定义成两个文件的,因为这两个文件的结构基本类似,目的也相似,因此通常将其合并来一起编写。 就认证而言,并没有对文件的多少有强制性的要求,但是就惯例而言,二级程序文件通常还包括: 管理评审控制程序 信息安全风险评估管理程序 BCP DRP 适用性声明 计算机和网络安全控制程序 等等。 至于三级文件,因各个机构情况不一,在此就没有一一列举。,物理安全和人员安全的要点,物理安全需检查:平面布局图标示出的敏感物理区域人员安全需注意:任何人发生变动而引起权限变更,都必须报告给HR,文件管理,Best practices:绝密级的文件要受
22、控发放(每页加“绝密”字样),当天发放、当天收回绝密级的电子文件不允许放到网上一句经典:online的才是有效的,打印的仅供参考!,风险处置选项与适用性声明,Risk Treatment Options降低风险 Risk reduction采取控制措施回避风险 Risk avoidance抛弃某种技术或生产方式转移风险 Risk transfer保险、外包接受风险 Risk acceptanceStatement of applicability概括了对风险处置的决定,About FILES Audit关于文审,Basic audit skills: 初审之前要求企业提供Two Initial
23、 requirements:Organizational chart组织结构图Files list文件清单Files architecture:High level: Policy/ Manual(方针、手册)Medium level: Standard procedures (4W1H)Low Level: Working instructions (作业指导书,针对特定工艺、产品或岗位)Basic level: records(记录),Tips 4,初审时最重要的一件事:找出“风险”点!针对核心系统进行风险评估,实施控制措施考试小窍门:很多问题的答案都应该选“Policy”,审核类型,Ty
24、pes of auditsFirst party/ internal audit内审,但不能审核与自己工作职责相同的范围Second party/ external audit客户对于供应商的审核Third party/ external audit独立、公正的认证机构的审核Other auditsProcess audit (一般表现为受委托对第二方进行审核)Product audit(一般表现为企业对自身产品的抽样、破坏性试验),认可/认证的层次关系,由上至下:Department of Trade and Industry (DTI)世界工业联合会Accreditation Body (
25、e.g. UKAS)认可机构Certification Bodies (e.g. DNV)认证机构Organizations组织Suppliers供应商,Certificate Processes,另类的标准,ISO 19011 审核标准系统性独立性公正性ISO 13335IT最佳实践VDA6.1质量的checklist,很有参考价值!,ISO19011 - Auditor Attributes,Open minded:开放的思想Observant:观察力Diplomatic:外交能力Perceptive:理解力Versatile:多才多艺Tenacious:不屈不挠Decisive:坚定Se
26、lf reliant:自信,审核输出与审核发现,What is the output of an audit? 审核的输出WeaknessStrengthsOpportunitiesRisksFailures,Findings审核发现(需要定义)Noteworthy efforts值得努力(一般口头说说即可)Observations观察项Non-conformities一般不符合(如果无证据支撑,即使说做过了,也可认为是一般不符合)严重不符合(在同一个区域多次发生或造成严重事故或后果,有严重失效),不符合定义 by DNV,Category I (Major) Non-Conformity严重
27、不符合The absence of, or the ineffective implementation of, one or more required system elements, or a situation which raises significant doubt that practices will meet specified requirements.一个或多个系统的要素缺失或无效实施;或目前的实践满足定义的需求的情况值得怀疑.A group of category 2 non-conformities indicating inadequate implementat
28、ion of the system relevant to an element of the standard. 针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施.A category 2 non-conformity that is persistent shall be treated (up-graded) as a category 1 non-conformity.轻微不符合事项持续下去应该判断为严重不符合事项,不符合定义 by DNV,Category II (Minor) Non-Conformity轻微不符合A lapse of either discip
29、line or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will meet requirements.系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.,不符合,Non-conformity审核报告中必须附证据一个不符合事项是没有符合一个要求、失败和证据(很烂的翻译)要求 the requirement失败 the fai
30、ling证据 the evidence尽量不要开条款4.2,Source of the requirements:法令/法规的要求组织的过程和运营时间规范程序作业指导书客户要求详细说明时间规范体系标准组织的管理手册,What is an observation?,Potential problemRiskInefficiencyIneffectivenessFailure to apply best practiceMisunderstandingLack of communication,Tips n,How to solve conflicts?LA职责:主持、确认,解决冲突找对方的CIS
31、O!对方可以找LA!两条重要的审核路线:资产清单-风险评估文件审核(按4.3.1要求)要求有涉及信息安全的法律法规发现缺失的文件太多,企业基础太差怎么办?列出缺失项,告诉对方建议推迟审核,审核准备,启动阶段需要提前知道的:企业简况组织名称地点规模审核范围采用的标准(ISOXXXX)组织结构图审核时间审核理由(第几方),编制审核计划公司多sites的抽样方法:抽样数=地点数量开平方+1制订审核计划,发送给客户请他们确认,Case Study: GetRich Bank,绘制Department-Roles MatrixDay1高层访谈(15-30分钟了解高层关注的焦点问题)审核前必须有一个ope
32、ning meeting(30分钟)练习:四人分两组,分别审核GetRich银行各个部门每天审核结束前(4:00-4:30)开审核小组内部会议审核小组同客户交流审核发现(4:30-5:00),确认当天的问题Day2中午开close meeting,内部会议,由LA主持,审核师交流需要交接的内容,主要目的是合并共性的问题总结归纳,准备审查清单(e.g.),服务器的型号、购买时间、保修期、上门服务响应时间有记录吗?服务器硬件配置、供应商联系方式有更新吗?服务器上的所有软件安装清单、版本有记录吗?供应商提供的软硬件维修/维护有记录吗?服务器administrator/su密码由专人负责维护吗?服务器
33、访问控制审计记录?对服务器操作系统、支撑软件和数据库软件的关键更新(KB)、补丁(SP)和升级监控的系统弱点有监控吗?对服务器操作系统、支撑软件和数据库软件的关键更新(KB)、补丁(SP)和升级时进行过测试吗?,准备审查清单-continued,审计失败的登录/存取日至的周期是多少?服务器上的外部USB端口是否禁用?通过什么方式监控服务器软件的漏洞,例如sql注入?服务器DOWN掉之后通常如何处理?处理流程?服务器上开放的端口共有几个?非常用端口的用途是什么?采用何种方式远程登录服务器?是否有服务器的系统备份?备份到哪里?多长时间检查一下登录服务器的帐户清单?各种帐户的权限是否满足ISMS的要
34、求?如何处理服务器故障警报(磁盘、内存或最大并发数?),ISO27001 LA Training CourseDay 4,ShanghaiFeb. 21, 2008,闪现的几道题的答案,Policy,经验,每年都需要审查到的条款:(经验)4-8:每次都要审查到(每个部门都会涉及到)资产清单职责、权限事故管理BCP法律法规结束会议:交流信息,交接希望与他人沟通的内容,归纳不符合项!对于不符合项,Close meeting之前就应该进行了确认!,Conduct an audit,Opening meeting自我介绍/介绍对方领导致词LA要宣布和确认如下内容:目的、适用标准和文件关注焦点(不一定,
35、之前和高层领导交流)公司名称(最好包含部门)范围、地点(子公司、分公司,核心部门的外延,如机房、异地备份中心)审核计划LA介绍审核方法(抽样2-3个,若有问题再加1-2个)报告方法和不符合项的构成沟通方式、各种会议介绍末次会议时间及安排后勤事宜有无特殊区域、特殊穿戴、装备要求?LA作保密声明,审核技巧,Funnel technique漏斗技术Open问题What? How? Why?Closed问题Who? Is it?AlternativeConfirm: 抽样!审核开始时最好由对方多讲,从职责讲起切记不要当tutor,GetRich Bank Organizational Chart,Ju
36、st for training drawing,Also 末次会议,末次会议10分钟之前有一个audit team的会议,合并所有问题感谢通报审核结果总结:优势和劣势发现沟通/提问和确认发现审核发现的行动要求(客户写原因,要有改进计划和证据)签署确认书/定期审核安排( 再次确认公司名称、地点) 保密要求,ISO27001 LA Training CourseDay 5,ShanghaiFeb. 22, 2008,Prepare for examination,上午复习下午准备考试,ISO27001主要条款一览,4 信息安全管理体系4.1 总要求4.2 建立和管理ISMS4.2.1 建立ISMS
37、4.2.2 实施和运作ISMS4.2.3 监控和评审ISMS4.2.4 维护和改进ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5 管理职责5.1 管理承诺5.2 资源管理5.2.1 提供资源5.2.2 培训、意识和能力6 信息安全管理体系内部审核7 信息安全管理体系管理评审7.1 总则7.2 评审输入7.3 评审输出8 ISMS改进8.1 持续改进8.2 纠正措施8.3 预防措施,A.5 信息安全策略A.5.1 信息安全策略A5.1.1 信息安全策略文件 (DOC)A5.1.2 信息安全策略评审(Reviewed)A.6 信息安全组织A.6.1 内部组织A.
38、6.1.1 信息安全管理承诺A.6.1.2 信息安全协作A.6.1.3 信息安全责任划分A.6.1.4 信息处理设施授权过程A.6.1.5 保密协议A.6.1.6 与监管机构的联系A.6.1.7 与特殊利益团体适当的联系A.6.1.8 信息安全独立审查A.6.2 外部组织A.6.2.1 识别外部组织风险A.6.2.2 当与客户接触时强调安全A.6.2.3 在第三方协议中强调安全A.7 资产管理A.7.1 资产的责任A.7.1.1 资产清单A.7.1.2 资产所有权A.7.1.3 资产的合理使用(DOC)A.7.2 信息分类A.7.2.1 分类原则A.7.2.2 信息标识及处理,A.8 人力资源
39、的安全A.8.1 雇佣之前 (员工、合同人员、第三方人员)A.8.1.1 角色和职责 (DOC)A.8.1.2 人员筛选 ( 背景调查)A.8.1.3雇佣条款和条件A.8.2 雇佣中A.8.2.1 管理职责(员工、合同人员、第三方人员)A.8.2.2 信息安全意识、教育与培训A.8.2.3 惩戒过程A.8.3 雇佣终止和变更A.8.3.1 终止责任A.8.3.2 资产归还A.8.3.3 删除访问权限A.9 物理和环境安全A.9.1 安全区域A.9.1.1 物理安全边界A.9.1.2 物理进入控制A.9.1.3 办公室、房间及设施和安全A.9.1.4防范外部和环境威胁A.9.1.5 在安全区域工
40、作A.9.1.6 公共访问和装卸区域A.9.2设备安全A.9.2.1 设备安置及保护,ISO27001主要条款一览,A.9.2.2 支持设施A.9.2.3 电缆安全A.9.2.4 设备维护A.9.2.5 管辖区域外设备安全A.9.2.6 设备报废或重用A.9.2.7 财产转移A.10 通讯与操作管理A.10.1 操作程序及职责A.10.1.1 文件化的操作程序 ()A.10.1.2 变更管理 A.10.1.3 职责分离A.10.1.4 开发、测试与运营设施的分离A.10.2 第三方服务交付管理A.10.2.1 服务交付A.10.2.2 第三方服务的监督和评审(Review)A.10.2.3 第
41、三方服务的变更管理A.10.3 系统规划和验收A.10.3.1 容量管理A.10.3.2 系统验收 (测试) A.10.4 防范恶意代码和移动代码A.10.4.1 控制恶意代码 (病毒)A.10.4.2 控制移动代码A.10.5 备份A.10.5.1 信息备份 (Regularly),A.10.6 网络安全管理A.10.6.1 网络控制A.10.6.2 网络服务安全 (网络服务级别)A.10.7 介质处理A.10.7.1 可移动介质管理A.10.7.2 媒体销毁A.10.7.3 信息处理程序A.10.7.4 系统文档安全A.10.8 信息交换A.10.8.1 信息交换策略和程序A.10.8.2
42、 交换协议A.10.8.3 物理介质传输A.10.8.4 电子消息A.10.8.5 业务信息系统A.10.9电子商务A.10.9.1 电子商务A.10.9.2 在线交易A.10.9.3 公共可用信息A.10.10 监督A.10.10.1 审核日志A.10.10.2 监控系统的使用A.10.10.3日志信息保护A.10.10.4 管理员和操作员日志A.10.10.5 错误日志A.10.10.6 时钟同步,A.11 访问控制A.11.1 访问控制的业务需求A.11.1.1 访问控制策略 (DOC)A.11.2 用户访问管理A.11.2.1 用户注册A.11.2.2 特权管理A.11.2.3 用户口
43、令管理A.11.2.4 用户访问权限的评审(Review)A.11.3 用户责任A.11.3.1 口令使用A.11.3.2无人值守的用户设备A.11.3.3 清除桌面机屏幕策略A.11.4 网络访问控制A.11.4.1 网络服务使用策略A.11.4.2 外部连接用户的鉴别(远程访问)A.11.4.3 网络设备的识别A.11.4.4 远程诊断和配置端口保护A.11.4.5 网内隔离A.11.4.6 网络连接控制A.11.4.7网络路由控制A.11.5 操作系统访问控制A.11.5.1 安全登录程序A.11.5.2 用户标识和鉴别 (唯一的UID)A.11.5.3 口令管理系统A.11.5.4 系
44、统设施的使用A.11.5.5 会话超时A.11.5.6 联机时间限制A.11.6应用系统和信息访问控制A.11.6.1 信息访问限制A.11.6.2 敏感系统隔离,ISO27001主要条款一览,A.11.7 移动计算和远程工作A.11.7.1 移动计算和通讯A.11.7.2 远程工作A.12 信息系统采集、开发及维护A.12.1 信息系统安全要求A.12.1.1安全要求分析及规范A.12.2 应用程序中的正确处理A.12.2.1 输入数据验证A.12.2.2 内部处理控制A.12.2.3 消息完整性A.12.2.4 输出数据验证A.12.3 加密控制A.12.3.1 使用加密控制的策略A.12
45、.3.2 密钥管理A.12.4 系统文档安全A.12.4.1操作软件控制A.12.4.2系统测试数据的保护A.12.4.3 源代码库的访问控制A.12.5 开发及支持过程的安全A.12.5.1 变更控制程序A.12.5.2 操作系统变更的技术审查A.12.5.3 软件包变更限制A.12.5.4 信息泄露A.12.5.5 软件外包开发A.12.6 技术漏洞管理A.12.6.1 控制技术漏洞A.13 信息安全事故的管理A.13.1报告安全时间和弱点,A.13.1.1 信息安全事件报告A.13.1.2 报告信息安全弱点(员工、合同人员、第三方人员)A.13.2 信息安全事故的管理和改进A.13.2.
46、1职责和程序A.13.2.2 从安全事故中学习A.13.2.3 收集证据A.14 业务连续性管理A.14.1 业务连续管理信息的安全方面A.14.1.1 包含信息安全的业务连续性管理过程A.14.1.2 业务连续性及风险评估A.14.1.3开发和实施包括信息安全的持续计划A.14.1.4 业务连续性计划架构A.14.1.5 业务连续计划的测试、维护与再评估(Regularly)A.15 符合性A.15.1法律要求的符合性A.15.1.1 识别使用的法律法规A.15.1.2 知识产权A.15.1.3 保护组织记录A.15.1.4 个人信息的隐私及数据保护A.15.1.5 防护信息处理设施用于未授
47、权的目的A.15.1.6 加密控制法规A.15.2 符合安全策略、标准和技术的适用性A.15.2.1符合安全策略和标准A.15.2.2 技术符合性检查(regularly)A.15.3信息系统审核的考虑因素A.15.3.1 信息系统审核控制A.15.3.2 信息系统审核工具保护,The end.,Thanks gods,(第14讲)考场作文开拓文路能力分解层次(网友来稿)江苏省镇江中学 陈乃香说明:本系列稿共24讲,20XX年1月6日开始在资源上连载【要义解说】文章主旨确立以后,就应该恰当地分解层次,使几个层次构成一个有机的整体,形成一篇完整的文章。如何分解层次主要取决于表现主旨的需要。【策略
48、解读】一般说来,记人叙事的文章常按时间顺序分解层次,写景状物的文章常按时间顺序、空间顺序分解层次;说明文根据说明对象的特点,可按时间顺序、空间顺序或逻辑顺序分解层次;议论文主要根据“提出问题分析问题解决问题”顺序来分解层次。当然,分解层次不是一层不变的固定模式,而应该富于变化。文章的层次,也常常有些外在的形式:1小标题式。即围绕话题把一篇文章划分为几个相对独立的部分,再给它们加上一个简洁、恰当的小标题。如世界改变了模样四个小标题:寿命变“长”了、世界变“小”了、劳动变“轻”了、文明变“绿”了。 2序号式。序号式作文与小标题作文有相同的特点。序号可以是“一、二、三”,可以是“A、B、C”,也可以
49、是“甲、乙、丙”从全文看,序号式干净、明快;但从题目上看,却看不出文章内容,只是标明了层次与部分。有时序号式作文,也适用于叙述性文章,为故事情节的展开,提供了明晰的层次。 3总分式。如高考佳作人生也是一张答卷。开头:“人生就是一张答卷。它上面有选择题、填空题、判断题和问答题,但它又不同于一般的答卷。一般的答卷用手来书写,人生的答卷却要用行动来书写。”主体部分每段首句分别为:选择题是对人生进行正确的取舍,填空题是充实自己的人生,判断题是表明自己的人生态度,问答题是考验自己解决问题的能力。这份“试卷”设计得合理而且实在,每个人的人生都是不同的,这就意味着这份人生试卷的“答案是丰富多彩的”。分解层次
50、,应追求作文美学的三个价值取向:一要匀称美。什么材料在前,什么材料在后,要合理安排;什么材料详写,什么材料略写,要通盘考虑。自然段是构成文章的基本单位,恰当划分自然段,自然就成为分解层次的基本要求。该分段处就分段,不要老是开头、正文、结尾“三段式”,这种老套的层次显得呆板。二要波澜美。文章内容应该有张有弛,有起有伏,如波如澜。只有这样才能使文章起伏错落,一波三折,吸引读者。三要圆合美。文章的开头与结尾要遥相照应,把开头描写的事物或提出的问题,在结尾处用各种方式加以深化或回答,给人首尾圆合的感觉。【例文解剖】 话题:忙忙,不亦乐乎 忙,是人生中一个个步骤,每个人所忙的事务不同,但是不能是碌碌无为
