20170613
27001:2013新版标准(讲的挺好)
4组织和环境 环境是指内外部监管要求 具体风险和威胁等情况 其实就是IS的需求和期望
组织和环境 对应PM中的项目背景和范围
6策划 说明风险和机遇 机遇是指信息安全做的好可以提升业务竞争力 改善投入产出比 这块具体要好好想想
6.1.2风险评估不限于IT资产 基于信息的风险评估(而不是基于资产)能够更便于识别组织上和业务流程上给信息带来的风险 资产owner+风险owner 后者是2013新增的角色 不一定等于资产owner
例如某个员工没有签保密协议 这个风险的owner就是HR而不是其主管
所以 基于应用系统 基于组织架构或者业务流程的风险评估 现在也能纳入27001(以前仅限于资产 就无法纳入)
6.1.3原来是由管理者对残留风险进行审核确认 现在是由风险属主来做
6.1.4信息安全工作的输入来源 风险和目标 目标根据smart原则来定义
8.1isms运行阶段的风险评估 当环境组织架构发生大的变化 例如大的系统上线 机房搬迁等 需要进行专项风险评估 以及每年也需要进行风险再评估和再处置
下面的都是控制措施 编号前面都要加A
7人力资源安全 移走了资产归还(放到资产管理)和权限收回(放在访问控制)逻辑上更顺 但是实际操作中还是更需要关注合同终止和职责变化时的资产和权限管理
9访问控制 实际操作中要和网络那一章结合起来
9.2.1用户注册后面增加了注销
9.2.4强调用户认证信息的安全管理 例如加密保管和传输 个人认为用户身份资料当然也应该加密
12.6.2操作安全 新增软件的安装限制 主要指客户端软件 服务端软件由变更控制来限制
14系统获取、开发及维护 这一章改动较大 较05版本增加了不少要求
14.1 安全需求 特别是互联网应用和在线交易类应用这两类对于安全要求比较高的应用类型需要重点留意
14.2.6开发环境的安全 主要是指开发环境的网络 服务器的安全
开发安全主要强调安全需求14.1 安全测试14.2 和测试数据14.3
27001暂时还没有强调安全编码(实际工作还是要留意编码的)
15.1.3供应商安全 增加了供应商的供应链要求(重要供应商的重要供应商)控制措施主要是SLA BCP 补偿协议 备用供应商
SOA statement of applicability
适用性声明
方针vs策略 方针只有一个策略可以有多个 英文都叫policy 策略属于控制措施
