总体要求

根据集团制定并下发的信息系统安全标准 制定出信息系统(包括操作系统、数据库、网络)从用户、服务、端口、日志等几方面的安全标准 用户和密码管理、网络安全管理、操作系统安全管理 数据安全管理、应用系统安全管理、主机安全管理 终端安全管理、病毒木马防治、机房安全管理等方面

信息安全

整体安全管理

控制目标:运维部建立一套完整的政策和流程以保证组织信息的完整与安全 风险因素:组织的信息安全无法被有效控制及实施

用户密码管理 操作系统密码管理、数据库密码管理、应用系统密码管理

控制目标:通过实施有效的密码策略,保证系统逻辑控制的有效性 风险因素:密码被轻易破解,对信息安全产生威胁

用户权限管理 操作系统用户权限管理、数据库用户权限管理、应用系统用户权限管理

控制目标:用户权限的赋予、变更或撤销应遵循正式的安全管理流程,并得到运维部良好的监控 风险因素:用户权限的授予无法被有效控制,产生系统和数据被非法修改的风险

日志检查

控制目标:用户权限的赋予、变更或撤销应遵循正式的安全管理流程,并得到运维部良好的监控 风险因素:用户权限的授予无法被有效控制,产生系统和数据被非法修改的风险

参数配置管理

控制目标:保证系统配置变更符合要求 风险因素:未经授权的系统配置变更

数据库访问

控制目标:对数据直接访问进行控制,保证数据安全 风险因素:数据发生未经授权的篡改或丢失,影响财务数据的准确性和完整性,并且无法被及时解决

网络安全

控制目标: 能够在合理的范围内确保对企业内部网络的外部网络采取了足够的安全保障措施 以防止未经授权的外部人员接触公司信息系统与资源 风险因素: 内部网络无法正常运转,从而影响业务的正常运行及业务数据的准确性 增加外部远程访问攻击发生的可能性,增加业务数据/系统遭到破坏的可能性

物理安全

控制目标:存在适当的物理访问控制 风险因素: 无法保证机房的物理安全是有效的,增加机房被破坏的潜在风险 增加系统配置及业务数据被破坏的潜在风险

防病毒管理

控制目标:防病毒措施严密、完全,并保证所有的终端和服务器均进行及时病毒库更新 风险因素: 公司内部主机系统/终端受到电脑病毒的攻击机会增多 导致潜在的业务中断以及数据安全无法保证的风险增多

日常操作与维护

批处理作业及计划任务管理

控制目标: 建立政策程序规定批处理作业及计划任务 批处理作业及计划任务经过授权,且在系统中进行正确设置 批处理作业及计划任务的执行经过监控,保证其能正确、完整、及时执行 风险因素: 未建立相关制度以规范批处理及计划任务的系统设置 未经授权的对批处理及计划任务系统设置更改的发生 执行过的批处理如果出现错误,管理层无法及时发现并解决 存在影响正常业务运行及数据准确,完整性的风险 批作业及计划任务不能按照规定的时间进行,对业务数据的准确性、完整性产生潜在影响及业务中断的潜在风险增加

备份与恢复

控制目标:建立完善的备份策略及问题解决流程,以保证业务连续性需求 风险因素: 未建立有关备份的制度和策略 备份策略的设置及执行情况不正确,但运维部不能及时发现及解决 备份失败后,未能及时发现及解决,存在无法恢复原有数据的潜在风险 备份介质未被妥善保管,造成介质受到损害,业务中断的潜在风险 未进行有效的备份恢复性测试,备份数据无法恢复而影响业务的连续性

灾难恢复

控制目标: 系统得到良好的保护,远离风险和意外损害 对意外事件的应对措施经过充分准备,具备应对意外的能力 风险因素: 意外事件发生后,无法进行紧急妥善地处理,以确保业务能够及时恢复 导致意外事件发生后,设备及数据被破坏,无法恢复

环境控制

控制目标:服务器设备被完善安置与保护,以防止意外事件的发生(如火灾、水灾、灰尘、电磁辐射等) 风险因素:服务器设备未被完善安置与保护,容易受到意外事件的影响而导致不能提供服务或数据安全受到影响

问题管理流程

控制目标:保证日志及时记录所有的关键事件、安全事件及登录信息 风险因素:发生过的安全事件,操作记录无法跟踪调查

ISO27001(信息管理安全实用手册)

主要内容

安全策略:指定信息安全方针,为信息安全提供管理指引和支持,并定期评审 信息安全的组织:建立信息安全管理组织体系,在内部开展和控制信息安全的实施 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护

人力资源安全:确保所有员工,合同方和第三方了解信息安全威胁和相关事宜 以及各自的责任,义务,以减少人为差错,盗窃,欺诈或误用设施的风险

物理和环境安全:定义安全区域,防止对办公场所和信息的未授权访问,破坏和干扰 保护设备的安全,防止信息资产的丢失,损坏或被盗,以及对企业业务的干扰 同时,还要做好一般控制,防止信息和信息处理设施的损坏和被盗

通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作 建立系统规划和验收准则,将系统失效的风险降到最低 防范恶意代码和移动代码,保护软件和信息的完整性 做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护 建立媒体处置和安全的规程,防止资产损坏和业务活动的中断 防止信息和软件在组织之间交换时丢失,修改或误用

访问控制:制定访问控制策略,避免信息系统的非授权访问,并让用户了解其职责和义务 包括网络访问控制,操作系统访问控制,应用系统和信息访问控制,监视系统访问和使用 定期检测未授权的活动,当使用移动办公和远程控制时,也要确保信息安全

系统采集、开发和维护:标示系统的安全要求,确保安全成为信息系统的内置部分 控制应用系统的安全,防止应用系统中用户数据的丢失,被修改或误用 通过加密手段保护信息的保密性,真实性和完整性 控制对系统文件的访问,确保系统文档,源程序代码的安全 严格控制开发和支持过程,维护应用系统软件和信息安全

信息安全事故管理:报告信息安全事件和弱点,及时采取纠正措施 确保使用持续有效的方法管理信息安全事故,并确保及时修复

业务连续性管理:目的是为减少业务活动的中断,是关键业务过程免受主要故障或天灾的影响,并确保及时恢复 符合性:信息系统的设计,操作,使用过程和管理要符合法律法规的要求 符合组织安全方针和标准,还要控制系统审计,使信息审核过程的效力最大化,干扰最小化

ISO27001的效益

通过定义、评估和控制风险,确保经营的持续性和能力 减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 通过遵守国际标准提高企业竞争能力,提升企业形象 明确定义所有组织的内部和外部的信息接口目标,谨防数据的误用和丢失 建立安全工具使用方针 谨防技术诀窍的丢失 在组织内部增强安全意识 可作为公共会计审计的证据