涉及的产品
- 漏洞扫描
- SOC日志审计
- VPN
- EDR
- 防火墙
- 堡垒机
- 基线核查
- WAF
- APT沙箱检测及高级威胁预警
- IPS
- 抗DDos
- DB审计(特权账号审计:当然你也可以通过应用开发实现,但非第三方)
- DB脱敏
- DLP数据防泄漏
- 文档加密和审计
涉及的服务
- 风险评估(需要按照ISMS标准进行)
- 安全事故应急响应
- 安全培训
- 安全加固
- 渗透测试
1.范围
2.引用标准
3.名词和定义
4.信息安全管理体系(ISMS)
4.2.1 要有识别风险的能力(漏洞扫描)
(d)要有识别风险的能力
- 识别系统范围内资产所有者
- 识别资产的威胁
- 识别可能被威胁利用的脆弱点
- 识别资产保密性、完整性和可用性损失带来的影响
(e)分析和评估风险
(f)识别和评价处置风险的选秀
4.3.3 记录控制(日志审计)
要求记录4.2列出的过程执行记录和所有安全事故发生相关的记录
5.管理职责
6.ISMS内部审核
7.ISMS管理评审
8.信息安全管理体系(ISMS)之整改
控制目标和控制措施(引用ISO/IEC 17799:2005里面的A.5-A.15)
A.5 信息安全方针
A.6 信息安全组织
A.7 资产管理
A.8 人力资源安全
A.9 物理和环境安全
A.9.1 安全区域:组织应有物理安全边界保护设备(访客机、门禁、机房刷卡机柜)
A.9.2 设备安全:预防资产遗失、损坏、失窃、损失、影响业务活动(支持bypass、链路冗余、设备状态监测、数据安全清除、放行条)
A.10 通讯与操作管理
A.10.1 操作程序及职责
A.10.2 第三方服务交付管理(外包管理:需要vpn+堡垒机)
A.10.3 系统规划和验收:最小化系统故障产生的风险(保障可用性:SOC监控、DDos防护)
A.10.4 防范恶意代码和管控移动写代码(恶意代码:EDR+APT,移动写代码也要管控风险)
A.10.5 定期备份策略
A.10.6 网络安全管理
- 网络控制:防范威胁,保护系统、应用、传输安全(IPS+防火墙+EDR+WAF+VPN)
- 网络服务安全:应识别所有网络服务的安全特性、服务级别和管理要求,并包括在网络服务协议中,无论网络服务是内部还是外包(NAT网络审计or上网行为管理)
A.10.7 介质处置
- 可移动介质管理
- 媒体销毁
- 信息处理程序(DLP:说得太含糊)
- 系统文档安全(文档加密or数据防泄漏DLP)
A.10.8 信息交换(网闸?事实上VPN或专线就可以;交换协议不可能去开发一个协议,所以这是协商交换内容叫做协议)
A.10.9 电子商务服务(SSL加密传输、中间人检测)
A.10.10 监督
- 审核日志(SOC)
- 监控系统的使用(SOC)
- 日志信息保护(SOC)
- 管理员和操作日志(SOC)
- 错误日志
- 时钟同步NTP
A.11 访问控制
A.11.1 访问控制和业务需求(需要有访问策略文档)
A.11.2 员工访问管理(只能应用开发控制,DB审计可以辅助)
A.11.3 员工行为准则
A.11.4 网络访问控制(防火墙)
A.11.5 操作系统访问控制(防火墙+堡垒机)
A.11.6 应用和信息访问控制(防火墙+应用开发)
A.11.7 移动计算和远程工作(VPN+堡垒机)
目标:确保使用移动计算和远程工作设备时的信息安全
A.12 信息系统的新增、开发及维护
A.12.1 信息系统安全要求(要形成文档)
A.12.2 应用程序中的正确处理(WAF)
A.12.3 加密控制(第三方加密密钥管理?飞天诚信?)
A.12.4 系统文件安全(EDR控制软件安装,DB脱敏,防火墙,DNS域名管理)
A.12.5 开发及辅助进程安全(堡垒机)
A.12.6 技术漏洞管理(漏洞扫描+EDR漏洞补丁管理+基线核查)
A.13 信息安全事故的管理
A.13.1 报告安全事件和弱点(SOC告警)
A.13.2 信息安全事故的管理和改进(渗透测试服务)
A.14 业务连续性管理
A.14.1 业务连续管理的信息安全方面
A.15 符合性
A.15.1 符合法律要求
A.15.2 符合安全策略、标准和技术符合性
A.15.3 信息系统审核的考虑因素
解决方案:
可推荐产品和服务:
EDR(补丁管理、系统加固)
漏洞扫描
SOC
DB审计
堡垒机
基线核查
风险评估服务
应急响应服务
PS:连防火墙、IPS、WAF、渗透测试服务都没法推?这个人总结得很有问题啊。
风险评估
- 资产分类(分类的同时明确核心资产和数据)
- 资产控制(访问控制和审计,生命周期控制和记录)
- 风险评估和处理(威胁*弱点矩阵,风险避免、转移、接受残余风险)
系统开发与使用
- 补丁管理(EDR)
- 变更管理(堡垒机)
- 备份及媒介管理(备份一体机:本地备份,异地远端备份)
- 开发生命周期安全管理(SDL服务)
- 项目运行管理
安全策略和管理
- 安全业务目标
- 安全检查目标(基线核查:质量控制,CTQ、抽样检查、分析)
- 安全事件和日常运维指引指南
- 安全培训(安全培训服务)
系统访问控制(IAM?)
- 权限(授权记录,审计记录,取消/修改记录)
- 角色(必备三权分立的三种角色)
- 原则(最小权限,可审计无交叉使用)
计算机及操作管理
- 服务器系统加固(EDR)
- PC系统加固(EDR)
- 网络设备管理(堡垒机)
- 资源库存管理
业务连续性管理
要求明确team leader
要求有业务资产责任人表单
要求有记录员工行为的方法(DB审计:UEBA)
要求有风险应急预案(应急响应服务)
要求进行过应急预案模拟(录像、问答、纸质)
审计
SOC审计(可推SOC产品)
特权账号审计(可推DB审计:三层关联UEBA)
信息安全体系内审计(SOC报表)
信息安全事件(上升到管理层面)
信息安全事件报告
信息安全事件弱点分析(漏扫扫描)
纠正预防措施
效果检查(基线核查)
工作人员行为安全
重要岗位背景调查
重要岗位人员备份
保密协议签署
新员工安全培训
信息安全惩处实施
信息安全目标及度量
信息安全方针总纲
信息安全年度目标
信息安全月度报告
SOA适用性声明
安全组织
成立信息安全小组
第三方服务管理与评审
网友评论