The post 國家標準《信息安全技術 網絡數據處理安全要求》11月1日起實施 first appeared on 信息安全咨詢公司.

根據2022年4月15日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2022年第6號），全國信息安全標準化技術委員會歸口的10項國家標準正式發布。其中包括了一項數據安全方面的重點標準：GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》，是數據安全國家標準的核心標準之一，引起了社會的廣泛關注。本標準查閱和獲取方式附后！

本文由標準的牽頭編制單位中國網絡安全審查技術與認證中心的標準參編專家，針對該標準的編制背景、適用范圍、主要內容、關鍵問題等方面進行解讀，并提出應用實施建議，供各界參考：

數據安全審計

GB/T 41479-2022 《信息安全技術?網絡數據處理安全要求》

01? 編制背景

目前，數據安全成為熱點，國際國內均希望通過法律手段加強數據安全保障，一方面要保障國家安全，另一方面要保障公眾權益，同時還要推動數據的應用，保障組織的權益，相關的法律法規也相繼出臺。

為了落實網絡運營者在進行網絡數據處理時的法律責任，特別是落實《數據安全法》的要求，保障網絡運營者的運營數據安全，合法有序利用數據，中國網絡安全審查技術與認證中心牽頭，聯合中國電子技術標準化研究院等單位，研制了《信息安全技術 網絡數據處理安全要求》。

02? 標準主要內容

標準給出了網絡數據處理安全的總體要求、技術要求、管理要求以及突發公共衛生安全事件時的數據處理安全要求。

1.在標準第4章總體要求中，首先明確了網絡數據處理安全的數據識別是基礎、分類分級是根本、風險防控是核心、審計追溯是底線的四項基本原則，即需要完整識別需要保護的數據形成數據保護清單目錄；根據網絡運營者的實際在符合法律法規要求的前提下，對數據進行分類分級管理；全面分析安全影響和安全風險，積極采取有效措施保障數據安全；在整個數據處理過程保證完整的審計日志，確保處理可追溯。

2.標準主要要求體現在第5章中，該部分在進行安全影響分析和風險評估的通則要求基礎上，提出了數據處理安全的技術要求：

（1）標準5.2至5.8中，對應《數據安全法》中提出的數據處理（收集、存儲、使用、加工、傳輸、提供、公開）活動，明確了相應的安全要求：

數據收集方面，對網絡運營者收集個人信息提出了安全要求，并在個人信息保護政策、征得個人信息主體同意、不強制誤導收集等方面進行了細化，針對個人信息收集的具體要求，引用了GB/T 35273—2020的具體內容。此外，在網絡運營者應用標準時，如通過App收集個人信息，相關安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標準應用 | （附查閱渠道）GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路

數據存儲方面，對網絡運營者存儲網絡數據提出了安全要求，如安全措施、存儲期限及個人生物特征識別信息的存儲等；同時對于數據接收方存儲數據提出以合同約定安全措施的要求；

數據使用方面，針對定向推送及信息合成及第三方應用管理二方面對網絡運營者提出了要求；

數據加工方面，要求網絡運營者在開展轉換、匯聚、分析等數據加工活動的過程中，知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的，應立即停止加工活動。

數據傳輸方面，對網絡運營者傳輸重要數據及個人敏感信息的安全措施提出了要求，同時對于數據接收方傳輸數據提出以合同約定安全措施的要求；

數據提供方面，從向他人提供及數據出境二類數據提供場景提出了數據安全要求。在向他人提供場景下，要求提供前進行安全影響分析及風險評估，并針對提供個人信息、共享/轉讓重要數據、委托第三方處理數據，及發生收購/兼并/重組/破產情況下的具體要求進行了細化；

數據公開方面，提出公開市場預測、統計等信息的場景下，不應危害國家安全、公共安全、經濟安全和社會穩定。

（2）標準5.9中，提出了私人信息和可轉發信息的處理方式要求；

（3）標準5.10中，提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求，響應了《個人信息保護法》中對個人信息主體權益進行充分保護的相關要求；

（4）標準5.11中，提出了投訴、舉報受理處置的要求，這是平臺責任的角度對網絡運營者提出的具體要求；

（5）標準5.12中，提出了訪問控制與審計的要求；

（6）標準5.13中，提出了數據刪除和匿名化處理，對數據介質銷毀及個人信息的刪除及匿名化等場景下的要求進行了明確。

3.標準第6章中，從數據安全責任人、人力資源能力保障與考核、事件應急處置等三個方面提出了數據處理安全管理要求。但組織可以參考信息安全管理體系要求等相關國際、國家標準完善數據安全管理架構。

4.本標準專門針對突發公共衛生事件專項預案啟動Ⅰ級（特別重大）、Ⅱ級（重大）響應的事件時的數據處理安全要求，以規范性附錄的形式提出了要求，效用與正文等同。附錄就個人信息服務協議、個人信息收集、個人信息調用、人臉識別驗證、信息查閱服務、公開/向他人提供個人信息及改變個人信息用途、應對工作結束后的個人信息處理、日志留存等方面提出了具體要求。

03? 標準應用

（一）提升數據處理安全性

網絡運營者應用標準規范網絡數據處理活動，從而落實《數據安全法》等相關法律對數據安全保護的要求，履行社會責任。

（二）開展數據安全管理認證（DSM）

《數據安全法》第十八條明確指出，國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。

網絡運營者應用提升其數據處理安全性的基礎上，通過第三方認證來證明其滿足標準中提出的數據安全基線要求，從而給予社會、公眾和客戶信心。

2022年6月5日，國家市場監督管理總局與國家互聯網信息辦公室聯合發布《關于開展數據安全管理認證工作的公告》（閱讀原文可查看），鼓勵網絡運營者通過認證方式規范網絡數據處理活動，加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立，并按照《數據安全管理認證實施規則》實施認證。《數據安全管理認證實施規則》中，明確數據安全管理認證的依據為GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》。

The post GB/T 41479—2022《網絡數據處理安全要求》解讀及應用建議 first appeared on 信息安全咨詢公司.

數據安全認證咨詢

1 適用范圍

本規則依據《中華人民共和國認證認可條例》制定，規定了對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。

2 認證依據

GB/T 41479《信息安全技術 網絡數據處理安全要求》及相關標準規范。

上述標準原則上應當執行國家標準化行政主管部門發布的最新版本。

3 認證模式

數據安全管理認證的認證模式為：

技術驗證+現場審核+獲證后監督

4 認證實施程序

4.1 認證委托

認證機構應當明確認證委托資料要求，包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。

認證委托人應當按認證機構要求提交認證委托資料，認證機構在對認證委托資料審查后及時反饋是否受理。

認證機構應當根據認證委托資料確定認證方案，包括數據類型和數量、涉及的數據處理活動范圍、技術驗證機構信息等，并通知認證委托人。

4.2 技術驗證

技術驗證機構應當按照認證方案實施技術驗證，并向認證機構和認證委托人出具技術驗證報告。

4.3 現場審核

認證機構實施現場審核，并向認證委托人出具現場審核報告。

4.4 認證結果評價和批準

認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發認證證書；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書面形式通知認證委托人終止認證。

如發現認證委托人、網絡運營者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。

4.5 獲證后監督

4.5.1 監督的頻次

認證機構應當在認證有效期內，對獲得認證的網絡運營者進行持續監督，并合理確定監督頻次。

4.5.2 監督的內容

認證機構應當采取適當的方式實施獲證后監督，確保獲得認證的網絡運營者持續符合認證要求。

4.5.3 獲證后監督結果的評價

認證機構對獲證后監督結論和其他相關資料信息進行綜合評價，評價通過的，可繼續保持認證證書；不通過的，認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。

4.6 認證時限

認證機構應當對認證各環節的時限作出明確規定，并確保相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。

5 認證證書和認證標志

5.1 認證證書

5.1.1 認證證書的保持

認證證書有效期為3年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。

證書到期需延續使用的，認證委托人應當在有效期屆滿前 6個月內提出認證委托。認證機構應當采用獲證后監督的方式，對符合認證要求的委托換發新證書。

5.1.2 認證證書的變更

認證證書有效期內，若獲得認證的網絡運營者名稱、注冊地址，或認證要求、認證范圍等發生變化時，認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術驗證和/或現場審核，還應當在批準變更前進行技術驗證和/或現場審核。

5.1.3 認證證書的注銷、暫停和撤銷

當獲得認證的網絡運營者不再符合認證要求時，認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內可申請認證證書暫停、注銷。

認證機構應當采用適當方式對外公布被暫停、注銷和撤銷的網絡運營者認證證書。

5.2 認證標志

“ABCD”代表認證機構識別信息。

5.3 認證證書和認證標志的使用

在認證證書有效期內，獲得認證的網絡運營者應當按照有關規定在廣告等宣傳中正確使用認證證書和認證標志，不得對公眾產生誤導。

6 認證實施細則

認證機構應當依據本規則有關要求，細化認證實施程序，制定科學、合理、可操作的認證實施細則，并對外公布實施。

7 認證責任

認證機構應當對現場審核結論、認證結論負責。

技術驗證機構應當對技術驗證結論負責。

認證委托人應當對認證委托資料的真實性、合法性負責。

The post 數據安全管理認證實施規則 first appeared on 信息安全咨詢公司.

廣州安信達咨詢有限公司（安信達咨詢）是安信達咨詢下屬安全技術服務機構，成立于2017年。秉承“提升管理，為客戶創造價值”服務理念安信達咨詢專注于企業IT規劃、信息安全、風險管理、信息技術服務、業務連續性管理、企業安全資質及技術解決方案。總部位于羊城廣州，在深圳、珠海、南寧、福州、廈門、南昌、杭州、長沙、武漢等地設有辦公室及聯絡處。

安信達咨詢擁有一批來自HP，IBM等國內國際公司的資深信息安全顧問及國際和國內知名認證公司的資深審核人員組成的服務團隊。所有信息安全從業人員均具有10年以上的企業信息安全咨詢服務經驗。所有人員均具有ISO20000 LA、ISO27001 LA、ISO22301 LA、CISP、CISAW、CIW、 COBIT、ITIL Expert、注冊審核員、注冊咨詢師等資質。另外安全服務人員具有不同的背景專長，技能能夠覆蓋信息安全涉及的方方面面。

我們服務的客戶包括政府、金融、電信、制造、電力、互聯網和流程外包行業，在信息技術咨詢服務方面是專注的實踐者，積累了深厚的實施經驗 。是具有CMMI、ISO27001 和ISO20000、ISO22301、ISO9001等多體系集成及技術實現能力的咨詢專家。

The post 廣州ISO27001認證代辦，請看看安信達咨詢 first appeared on 信息安全咨詢公司.

　　當內部網絡與囚特網連接后，就陸續出現了很多的網絡問題，在沒有解決網絡安個問題之前，一般來說最簡單的作法是先將網路完全斷開，使得內部網絡與因特網不能直接進行網絡聯機，以防止網絡的入侵攻擊。因此對網絡隔離的普遍認知，是指在兩個網絡之間，實體線路互不連通，互相斷開。但是沒有網絡聯機就沒有隔離的必要，因此網絡隔離的技術是在需要交換及資源共享的情況下出現。不需要數據交換的網絡隔離容易實現，只要將網絡完全斷開，互不聯機即可達成。但在需要數據交換的網絡隔離卻不容易實現。在本研究所探討的網絡隔離技術，是指需要數據交換的網絡限離技術。

　　事實上在大多數的政府機關或企業的內部網絡，仍然需要與外部網絡(或是因特網)進行交換。實施網絡斷開的實體隔離，雖然切斷兩個網絡之間的直接數據交換，但是在單機最安全的情況下，也可能存亦著復制數據時遭受病毒感染與破壞的風險。

　　二、網絡安全管理

　　(一)網絡控制措施

　　在控件中，說明應采用的控制措施，對于網絡應該要適當的加以管理與控制，使其不會受到安全的威脅，并且維護網絡上所使用的系統一與應用程序的安全(包括傳愉中的資訊)。

　　建議組織應采用適當的作法，以維護網絡聯機安全。網絡管理者應該建立計算機網絡系統的安全控管機制，以確保網絡傳輸數據的安個，保護網絡連線作業，防止未經授權的系統存取。特別需列入考慮的項目如下：

　　1、盡可能將網絡和計算機作業的權責區隔，以降低組織設備遭未經授權的修改或誤用之機會;2、建立遠程設備(包括使用者區域的設備)的管理責仟和程序，例如管制遠程登入設備，以避免未經授權的使用;3、建立安個的加密機制控制措施，保護透過公眾網絡或無線網絡所傳送數據的機密性與完整性，并保護聯機的系統與應用程序，以維持網絡服務和所聯機計算機的正常運作;4、實施適當的錄像存錄與監視，以取得相關事件紀錄;5、密切協調計算機及網絡管理作業，以確保網絡安全措施可在跨部門的基礎架構上運作。

　　(二)網絡服務的安全

　　1、組織應賦予管理者稍核的權力，透過定期的稽核，監督管理負責網絡服務的J商;2、組織應確認負責網絡服務的廠商，有實作特殊的服務所必需的安全招施，例如該項服務的安全特性、服務的安全等級和管理方法。歸納“網絡控制措施”及“網絡服務的安全”的控制措施，建議紅l織在網絡安全的控管措施，主要以采川防火墻、入侵偵測系統等撲制措施，及運用網絡服務安全性的技術，例如認證、加密及網絡聯機控制技術等，以建立安全的網絡環境與網絡聯機的安全。

　　三、網絡隔離技術與應配合之控制措施

　　(一)采用完全實體隔離的管理措施

　　1、安全區域作業程序。組織需根據存取政策訂定安全區域的標準作業程序，以便相關人員能夠據以確實執行，避免人為疏忽造成數據泄漏。標準作業程序應制作成文件讓需要的所有使用者都可以取得。對于每一位使用者，都需要清楚的定義存取政策，這個政策必須依照組織的要求，設定允許存取的權限，一般的原則為僅提供使用者必要的權限，盡可能減少不必要的權限。并應區分職務與責任的范圍，以降低遭受未經授權或故意的進入安全區域之機會;2、資料存取稽核。數據存取的記錄，包括成功及不成功之登入系統之紀錄、存取資料之紀錄及使用的系統紀錄等。在完全實體隔離的作業下相關的稽核記錄，需要實施人工的稽核作業，特別是登入錯誤時的紀錄，需要逐筆的梢核作業。并不定期稽核數據存取作業是否符合組織的存取政策與標準作業程序，并且需要特別稽核下列事項：(1)對于被授權的特權使用者，其存取紀錄應定期稽核：(2)對于特權存取事件，應檢查是否被冒用的情形發生。

　　(二)網絡存取控制措施

　　在實體隔離的政策要求卜，將內部網絡與外部網絡隔離為兩個互不相連的網絡，數據交換時透過數據交換人員定時，或是不定時根據使用者的申請，至數據交換作業區域之專屬設備，以人_「執行數據交換作業。因為內部網絡與外部網絡間采用網絡線路的實體隔離作業，主要的網絡存取控制措施則著重在作業區域的管理控制措施。

　　為確保數據交換作業區域的數據存取安全，除將內部網絡與外部網絡隔離為兩個互不相連的網絡外，對數據交換作業區域的專屬設備，需實施不同于外部網絡及內部網絡的存取安全政策，確保網絡安全環境，以降低可能的安個風險。例如：內部網絡處理機敏性數據、外部網絡處理一般辦公環境數據及數據交換作業區域的安個環境。機敏性數據建置于內部網絡的專屬數據庫或檔案區內，機敏性信息系統亦僅限于內部網絡運用，員工必須在內部網絡的計算機進行信息處理作業。另為防止機敏性數據的外泄，在內部網絡的終端訓算機需要禁止使用下列設備，包含磁盤片、光盤片、隨身碟或行動碟等可攜式儲存媒體。

　　為防止因特網的直接存取數據交換作業區域的專屬計算機，應依照組織的存取政策，采用邏輯階離技術，將不同等級的作業分隔在不同的網段，例如：將數據交換作業與一般信息作業的網段區隔，藉由適當的封包過濾機制，防止未經授權的網絡流量互相流通，同時可管制數據的存取，避免數據被誤用之機會。而且需要建置入侵偵測系統，偵測組織內網絡封包的進出，以便提早發現可能的入侵行為。

The post 從信息安全管理角度探討網絡隔離技術 first appeared on 信息安全咨詢公司.

　　我國已經形成的信息安全管理標準主要包括GB/T 22080—2008(技術安全技術信息安全管理體系要求》和GB/T 22081—2008(信息技術安全技術安全管理實用規則》。

　　隨著我國信息安全工作的發展，公安部制定了一系列標準，進行信息系統分等級保護，將信息系統劃分為五個安全等級，安全要求從第一級到第五級逐級遞增。主要標準包括《計算機信息系統安全等級保護劃分準則》、《信息安全技術信息系統安全保護等級定級指南》、《信息安全技術信息系統安全等級保護基本要求》等。其等級保護制度的推行，是為了進一步落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)的要求“要重點保護基礎信息和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。因此推行等級保護制度，與建立信息安全管理體系之間有著緊密的關聯。

　　1、信息安全管理體系

　　1.1信息安全管理體系的結構

　　信息安全管理體系，即Information security management system(ISMS)，是由信息安全最佳慣例組成的實施規則，主要內容包括11個安全類別，39個控制目標，133項控制措施。信息安全管理體系中提倡對信息系統進行風險評估，其最終目的是通過風險控制，達到信息安全管理的目的。信息安全管理體系的安全類別包括以下幾個方面。

　　(1)安全方針

　　確定信息安全管理的方針、目標。

　　(2)信息安全組織

　　對組織內部和外部各方的信息安全進行管理。

　　(3)資產管理

　　對組織的所有信息資產進行分類，并實施有效管理。

　　(4)人力資源安全

　　對員工的所有可能影響信息安全的行為和過程列入信息安全管理范圍。

　　(5)物理和環境安全

　　對組織的辦公環境、設備所處環境等的安全管理。

　　(6)通信和操作管理

　　對所有涉及到通信和操作的所有內容加以控制。

　　(7)訪問控制

　　對信息、信息系統、網絡服務等方面的訪問進行控制。

　　(8)信息系統獲取、開發和維護

　　對信息系統的設計、開發、驗收、維護等方面進行管理。

　　(9)信息安全事件管理

　　對信息安全事件的劃分、發現、報告、處理程序進行規范。

　　(10)業務連續性

　　為防止業務中斷，保護關鍵業務過程而進行的管理。

　　(11)符合性

　　保證符合法律、法規要求及符合組織安全策略的管理。

　　信息安全管理體系中針對所有管理范圍都提出了管理要求。其管理體系雖然是針對“管理”建立的，但是其中亦涵蓋了所有針對技術方面所應實施的內容。

　　1.2信息安全管理體系的特點

　　信息安全管理體系ISMS具有如下特點：(1)基于一個組織;(2)目標是體系化建設;(3)立足于風險管理思想;(4)貫穿了“規劃-實施-檢查-處置”(PDCA)持續改進的過程和活動;(5)根據組織自身的任務和應對安全風險需求來選擇安全控制措施;(6)通過安全控制的測度和審核來檢查信息安全技術和管理運用的合規性。

　　2、等級保護中的安全管理

　　2.1安全管理基本要求

　　等級保護制度是根據國家等級保護管理規定，等級保護包含技術和管理兩個方面。其中安全管理要求分為五個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。這五個方面貫穿了信息系統的全生命周期。其具體要求內容隨著安全級別越高，要求的強度越高。

　　(1)安全管理制度

　　從建立安全管理制度的角度，要求對日常管理形成管理制度，并進行適當的維護。

　　(2)安全管理機構

　　要求建立具有明確職責的信息安全管理機構，并做好具體分工。

　　(3)人員安全管理

　　對人員的錄用、離崗、考核、教育及外部人員的安全進行規范。

　　(4)系統建設管理

　　從系統生命周期角度，對系統的設計、采購、實施等角度對信息系統進行安全管理。

　　(5)系統運維管理

　　在系統運維過程中，對系統運行過程中的全部安全問題進行管理。

　　2.2等級保護基本要求

　　等級保護的基本要求分為技術和管理兩個方面，在實際的技術要求中，亦涉及到了管理的內容，比如在物理安全層面中對機房的管理、主機安全等層面中對安全審計的要求等，因此，等級保護中的管理與技術兩大類是密不可分的，其具有相互關聯性，能夠在某些方面互相彌補。是一個統一的整體。

　　3、信息安全管理體系與等級保護管理要求的關系

　　信息安全管理的目標是保證信息系統資產的安全，不論是何種管理制度，其保護的對象都是信息和信息系統。因此，信息安全管理體系與等級保護的管理其最終目的都是一樣的，但是等級保護要求中將管理要求與技術要求進行了區分，因此信息安全管理體系中所包含的管理內容更加全面。本文就具體內容進行分析。

　　信息安全管理體系中，信息安全方針的管理與等保管理要求中的“安全管理制度：管理制度”的要求相同。

　　在信息安全組織類中，信息安全管理的承諾對應“安全管理機構：崗位設置”、“安全管理制度：制定和發布”;信息安全協調對應“安全管理機構：溝通和合作”;信息安全職責的分配對應“安全管理機構：崗位設置”;信息處理設施的授權過程對應“系統建設管理：產品采賄私使用”，保密性協議對應“人員安全管理：人員錄用”，與政府部門的聯系對應“安全管理機構：溝通和合作”，與特定利益集團的聯系對應“安全管理機構：溝通和合作”，信息安全的獨立評審對應“安全管理制度：制定和發布”，與外部各方相關風險的識別、處理與顧客有關的安全問題對應“人員安全管理：外部人員訪問管理”，處理第三方協議中的安全問題對應“系統建設管理：安全服務商選擇”。

　　在資產管理安全類中，資產清單、資產責任人、資產的合格使用、信息分類指南、信息的標記和處理對應“系統運維管理：資產管理”。

　　人力資源安全類中，任用前的角色和職責對應“安全管理機構：人員配置”、“安全管理機構：崗位設置”，任用前的審查、任用條款和條件、人員任用中的管理職責對應“人員安全：人員錄用”，信息安全意識、教育和培訓對應“人員安全管理：安全意識教育和培訓”，紀律處理過程對應“人員安全管理：人員考核”，任用終止職責、資產的歸還、撤銷訪問權對應“人員安全管理：人員離崗”。

　　物理安全管理類中，大部分內容對應等級保護要求中的“物理安全”層面，其中物理安全邊界、物理人口控制、辦公室、房間和設施的安全保護、在安全區域工作、支持性設施、資產的移動對應“系統運維管理：環境管理”，設備維護、組織場所外的設備安全對應“系統運維管理：設備管理”，設備的安全處置和再利用對應“系統運維管理：介質管理”。

　　在通信和操作管理安全類中，文件化的操作程序對應“安全管理制度：管理制度”中日常操作規程的要求，變更管理對應“系統運維管理：變更管理”，系統操作的責任分割對應“安全管理機構：人員配置”，開發、測試和運行設施分離對應“系統建設管理：自行軟件開發”，第三方服務交付對應“系統建設管理：系統交付”，第三方服務的監視和評審對應“系統建設管理：工程實施”中關于實施過程管理、建立等方面的要求，第三方服務的變更管理對應“系統運維管理：變更管理”中關于系統變更的控制，系統容量管理對應“系統運維管理：系統安全管理”中關于系統容量的要求，系統驗收對應“系統建設管理：測試驗收”和“系統建設管理：系統交付”，控制惡意代碼、控制移動代碼對應“系統運維管理：惡意代碼防范”，信息備份對應“系統運維管理：備份與恢復管理”，網絡控制對應“系統運維管理：網絡安全管理”，網絡服務安全對應的是等級保護技術要求中的網絡安全層面，可移動介質的管理、介質的處置對應“系統運維管理：介質管理”，系統文件安全對應“系統運維管理：系統安全管理”，審計日志對應“系統運維管理：系統安全管理”，監視系統的使用對應“系統運維管理：監控管理和安全管理中心”，另外一些如日志信息的保護、管理員和操作員日志、故障日志、時鐘同步、電子消息發送、業務信息系統、電子商務、在線交易等對應到等級保護要求中的“主機安全”、“應用安全”、“安全”等多個瑟面。

　　在訪問控制安全類里面，大部分都對應著等級保護要求的“主機安全”、“應用安全”、“網絡安全”中的“訪問控制”控制點，另外，訪問控制策略對應“系統運維管理：系統安全管理”，網絡連接控制對應“系統運維管理：網絡安全管理”。

　　系統安全要求分析和說明對應“系統建設管理：安全方案設計”，密鑰管理對應“系統運維管理：密碼管理”，變更控制程序、操作系統變更后應用的技術評審對應“系統運維管理：變更管理”，外包軟件開發對應“系統建設管理：外包軟件開發”，技術脆弱性的控制對應“系統運維管理：網絡安全管理”和“系統運維管理：系統安全管理”中關于系統漏洞及補丁的要求。

　　在信息安全事件管理的安全類里面，報告信息安全事態、報告安全弱點、職責和程序、對信息安全事件的總結、證據的收集都對應著“系統運維管理：安全事件處置”。

　　在業務連續性管理安全類中，主要對應等級保護要求中的“系統運維管理：應急預案管理”，但是業務連續性管理中提到了要進行風險評估，并根據評估結果開發連續性計射，這與等級保護政策中開展等級測評，并根據測評結果進行信息系統改建的要求是相一致的。

　　在符合性要求類中，主要涉及等級保護要求中的“安全管理機構：審核和檢查”及一些技術要求。

　　4、結束語

　　信息安全管理體系的建立是為了保障組織的信息和信息系統的安全，與等級保護的最終目標是一致的，雖然信息安全管理體系的名為管理，實際上涵蓋了所有對技術實施方面的要求，是一個綜合的管理體系。等級保護基本要求中的管理要求是按照組織實施管理過程的五個基本方面來進行約束的，對組織的信息安全、提供服務迸行保障。兩者之間既有區別又有聯系，但是其最終目的都是為了保障組織的信息安全。

The post ISO27001信息安全管理體系與等級保護管理要求 first appeared on 信息安全咨詢公司.

　　安永大中華區科技風險與審計咨詢服務合伙人阮祺康表示，“實施信息安全轉型旨在縮小脆弱性現狀和安全性目標之間日趨擴大的差距，這不依靠復雜的技術解決方案，而是需要領導力、承諾、能力和行動的勇氣，不是在一兩年之后而是當下。”

　　調查報告顯示，企業在信息安全所面臨的挑戰不可小覷，主要的挑戰如下：

　　u 外部威脅有增無減，令企業深感擔憂: 77%受訪者表示其所在企業面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計算快速應用的步伐:從2010年至2012年，云計算的應用增長已翻倍 ，但仍有38%的受訪者表示所在企業沒有采取任何措施，緩解云計算所帶來的安全風險。

　　u 移動應用大幅增長，但安全防護技術部署明顯滯后: 44%的受訪企業允許員工在工作中使用企業或者個人的平板電腦，但其中只有40%的企業對移動設備采用了加密技術。

　　u 社交媒介廣泛普及，成為企業安全隱患：31%的受訪者表示其企業并未采取相應的機制來處理社交媒介的安全風險。

　　u 安全預算和能力匱乏，差距持續擴大：62%的受訪問企業表示預算受限，是信息安全工作的主要障礙之一。此外，44%的企業表示，安全管理和執行人員的能力偏低，嚴重阻礙了安全目標的實現。

　　該報告的結論指出：“企業只有從根本上轉變信息安全管理策略，才能有效應對現有安全威脅，及由新興技術帶來的新的安全風險 。”

　　不斷升級的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發，企業也意識到所面臨的風險環境正不斷地改變。盡管企業做出種種改進，仍然跟不上風險變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數字升至72%;而在2012年，這個比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動、有組織的犯罪、以及恐怖主義等。同時，企業也注意到內部安全方面的挑戰不斷增加。該報告顯示，近一半的受訪者(46%)表示已關注到這一點，他們認為員工信息安全意識薄弱是成功實施信息安全項目的最大挑戰。

　　勢不可擋的云服務的應用

　　新技術在為企業帶來無限商機的同時，也引發了一些新的潛在威脅。云計算是業務模式創新的主要驅動因素之一，在過去兩年中，應用云計算的企業數量已經翻倍。然而，仍有38%的受訪者表示其所在的企業沒有采取任何措施應對風險;例如諸多企業并未對云計算服務提供商的合同管理開展相對更嚴格的監管流程，以及采用加密技術。

　　方興未艾的移動應用

　　在移動互聯網發展趨勢下，企業員工購買并使用智能手機與服務的情況將越來越多。利用個人設備接入企業應用，有助于企業降低整體的設備采購成本，并有助于提高員工的工作效率，且能激發員工的創造力。然而，風險總是與機遇并存。企業亟需找到引導員工正確使用工作設備與個人設備的解決方案，為此也必須深入考慮其中的信息安全問題。

　　安永大中華區信息科技風險與審計咨詢服務總監林育民表示，“在2011年的調查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調查結果顯示，有44%的企業允許員工在工作中使用企業或者個人的平板電腦。這導致企業內外信息交互量激增，也令相應的安全管控變得更加困難。”然而，在快速發展的移動應用環境中，對應的安全技術與軟件的使用率仍然較低，調查中發現，只有40%的企業對其移動設備采用了加密技術。

　　日漸盛行的社交媒介

　　社交媒體在創造眾多機遇的同時，也帶來許多新的挑戰;通過社交媒體，企業能迅速建立品牌與開拓市場，同樣也可以快速地對企業形象造成重大的負面沖擊。此外，隨之而來的挑戰，還包括數據安全、隱私隱患、監管與合規要求，以及對員工生產力的影響。今年的調查結果顯示，約31%的受訪者表示其所在的企業，沒有設計相應的機制來應對社交媒介使用所帶來的風險;這不但造成企業整體風險的上升，更嚴重沖擊企業未來全面利用社交媒體渠道行銷的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來看，信息安全應該成為他們關注的重點之一，安全管理應得到充分的支持;然而，信息安全的資源與能力問題，依舊困擾著信息安全工作。在今年的調查報告中顯示， 62%的受訪問企業表示預算受限，是信息安全工作的主要障礙之一;此外，44%的企業表示，安全管理和執行人員的能力偏低，嚴重阻礙了安全目標的實現。

　　林育民說，“對于有些企業來說，安全專業人士、安全成熟度或安全預算也許在決策過程中起到一定作用;然而，這些修補式或簡單疊加的應付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 。”

　　此次調查也顯示，目前企業僅采用治標式和修補式的解決方案提高信息安全能力，卻忽略了對信息安全威脅的整體與全面的應對;僅約8%的受訪者表示在過去兩年中，企業發生的信息安全事故的數量有所減少， 因此建立一個強健的安全體系成為企業的當務之急。然而，約有63%的受訪者稱其所在企業尚未建立信息安全整體架構體系，只有約16%的受訪者認為其所在企業的信息安全職能完全符合業務需求。

　　展望未來，阮祺康先生總結道，“盡管我們已經發現信息安全現狀與企業的目標之間存在著不小差距，但是隨著新的政府監管要求的出現與安全威脅的不斷變化，此差距還會進一步擴大。 如果企業不立刻采取措施建立全面的信息安全體系，那么現有的問題加上未知的隱患，只會讓企業面臨的信息安全環境更加惡化。應對這樣的形勢，縮小差距的唯一途徑只有對信息安全進行結構性的轉變。”

　　阮祺康還表示，“實現這樣的調整并不一定需要復雜的技術解決方案，它需要的是領導力及承諾，再加上能力與行動的決心。不要總說在未來如何做，關鍵是當下的創新實踐。安永建議企業應該采取將信息安全戰略與企業戰略相聯系，重新設計架構，持續實施轉型，深入了解新技術的風險與機遇等重要舉措。唯有如此，企業才能夠根本性地轉變其信息安全部門運作的方式，更有效地縮小不斷擴大的信息安全風險差距。”

The post 實施信息安全管理轉型刻不容緩 first appeared on 信息安全咨詢公司.

　　當今我國市場規模的不斷發展，企業競爭已經從單一企業間的競爭朝著企業供應鏈之間的競爭發展、企業僅靠自身資源已經無法有效地參與市場競爭，還必須把經營過程中的有關各方納入一個緊密的供應鏈中，才能有效地安排企業的產、供、銷活動，滿足企業利用全社會一切市場資源快速高效地進行生產經營的需求，以進一步提高效率和在市場上獲得競爭優勢、針對這一需求，企業紛紛引進ERP系統，構建企業信息化平臺、當前ERP系統是指針對物資資源管理、人力資源管理、財務資源管理、資源管理集成一體化的企業管理軟件、ERP系統實現了對整個企業供應鏈的管理、適應了企業在知識經濟時代市場競爭的需要、鑒于ERP系統的巨大優勢、目前絕大多數大型企業均實現了ERP系統的部署實施、然而，由于上存在大量的攻擊、木馬、蠕蟲等網絡威脅。而ERP系統的正常運行依賴于大量的網絡傳輸、處理和消息交互這就阻礙了ERP系統的應用與實施、因此，研究ERP系統所面對的安全威脅并采取相應措施進行規避是一項非常重要的課題。

　　二、ERP系統信息安全威脅

　　安全問題的產生是一個非常復雜的問題，包含了多種因素的相互作用、總結起來，企業ERP系統所面臨的信息安全威脅主要包括來自以下幾個方面的內容。

　　(一)ERP網絡應用的威脅

　　來自網絡層面的威脅主要來自遠程訪問企業內部系統所造成的信息泄漏隱患、隨著企業規模的不斷擴展，對外的銷售和物流網絡也隨之擴大。出差的業務員和某些客戶經常需要在異地遠程訪問企業網絡資源、為此，ERP專門提供了a/s的訪問模式，使得異地用戶能夠使用瀏覽器通過虛擬專用網絡VPN訪問公司內部資源、由于異地訪問行為不受約束，泄密行為時有發生，因此價值較高的商業機密有可能流失，比如企業產品的底價、設計圖紙等等、此外，內部網絡的竊聽行為也給ERP系統的安全使用造成威脅、ERP系統應用時。其服務器端與客戶端數據的傳輸、都是通過明文傳輸的、用戶只需要在網絡上安裝一個監聽軟件、就可以全面的了解用戶訪問的內容。跳過客戶端的權限設置，從而達到網絡數據竊聽的目的。

　　(二)ERP統應用的威脅

　　如果ERP系統本身管理不當，也不會存在數據泄露的危險、從ERP系統的角度出發。主要的安全威脅就是權限配置不當所造成的。這類威脅主要在敏感數據缺乏分級管理機制，比如某個報表，只要有查看權限的都能夠看到全部信息，并且能夠導出。這就給敏感數據造成了很大的威脅、此外，很多員工的終端系統密碼設置較為簡單，大多使用生日或者電話，有的其至使用“12345″等簡單數字作為密碼，這類密碼強度不高，容易被破解。

　　(三)ERP統漏洞的威脅

　　ERP系統的構建需要大量的軟硬件系統，涉及到網絡傳輸、Web瀏覽以及服務總線等多方面的技術，這些技術的實現需要大量的軟件，軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務器的權限，從而擾亂系統的正常運行，并竊取重要的商業機密。

　　三、ERP信息安全保障措施

　　ERP系統的安全最重要，為了保障ERP系統在應用中的信息安全，針對上述三類威脅，具體來說有以下幾種方法進行應對。

　　(一)網絡傳輸安全保障ERP系統的傳輸安全可以從兩方面進行強化

　　1、對遠程訪問權限采用指紋、密碼等多種身份識別機制，同時限制遠程訪問行為所能夠接觸到資源的數量，在保障業務的同時避免泄密。

　　2、對數據報表采用嵌入水印的方式講行保護，比如一份報表如果事后被發現竊密了，可以通過水印的方式檢測出其它信息，并結合ERP日志進行輔助案件偵破。

　　(二)信息應用安全保障

　　ERP信息應用安全保障主要包括對重要數據進行分級管理，同時對所有合法用戶進行分級，確保他們所能訪問的數據級別和類型、比如某個員工只具有中級數據訪問權限，而某個報表的一些屬性項是高密級，它就無法查看該屬性項，而只能看到其他低密級選項。

　　(三)系統漏洞安全保障

　　ERP系統的漏洞修復工作主要依賴專業測評機構的工作、通過定期安全測評、管理員能夠發現系統中存在的軟硬件漏洞，并及時采取相應措施進行修補、同時在配置上的問顆也要依賴系統管理員的經驗，盡量少開放端口，并目保證一些不安全的服務必須受限、比如一些微軟公告所描述的信息往往包含ERP涉及軟件的漏洞。需要認即進行修補、因此，管理員的安全意識更需要進一步提高。

　　四、完善網絡信息安全保障體系

　　首先，需要制定完善的法律政策，以法制手段來強化網絡安全;其次，從管理上維護系統的安全，確定信息安全管理機構和切實可行的網絡管理規章制度，加強信息安全教育、提高高層管理者的安全意識，以保證網絡信息安全;最后，從技術上采取措施，在企業內部和互聯網之間要加一道防火墻，防止黑客或計算機病毒的襲擊，保護企業內部的敏感數據。

　　五、加強對操作人品的培訓

　　企業信息化管理涉及整個企業經營管理模式的變革，它把信息技術與管理相結合，利用先進技術不斷提高管理水平、加強財務管理信息化建設，必須從公司主要領導開始到所有工作人員進行動員，充分認識到信息化對提高管理水平的重要性、工作人員要在思想觀念上更新和轉變對管理的理解和認識，必須在系統上建立健全工作人員培訓制度，并在系統建設的全過程中貫徹落實，以提高員工的業務素質以及熟練使用軟件的能力、具有創新能力的人員是企業順利而有效地開展管理創新的基礎，有針對性地對人員進行網絡技術培訓，可以提高人員的適應能力和創新能力、同時企業要樹立與網絡環境，適應的信息觀念、協作競爭觀念、以人為本觀念和開放型管理模式。

　　ERP系統的廣泛使用是信息化推進和企業市場規模發展到一定階段的產物、如何在利用ERP帶來的企業運營和管理便利的同時、盡可能避免安全威脅、是在ERP系統應用過程中需要詳細考慮的問題、隨著信息安全技術的不斷發展，不斷有新的威脅會出現，也需要ERP系統進一步提高安全意識，防范可能的網絡攻擊行為。

The post 淺析ERP系統環境下的企業信息安全管理 first appeared on 信息安全咨詢公司.

　　通知公告

　　通過信息安全相關公告通知發放的方式，在企業中滲透信息安全各方面的和知識，逐漸形成信息安全無處不在的工作氛圍，提升全員信息安全意識。信息安全公告的內容可以包括行業在信息安全方面的新要求或指引的發布;企業內部信息安全相關要求的發布;近期信息安全相關新聞的以及發生的信息安全事件等信息。信息安全公告的發布周期和發布形式可以根據企業自身情況而定，通過企業內部使用的公共信息發布平臺、電子郵件、電子期刊等形式均可。

　　帳號管理

　　建議企業對各類帳號進行嚴格管理，包括基本帳號(員工入職后默認都需開通的帳號，例如郵箱帳號，OA帳號，所在部門的公共文件夾等)、工作所需的各類應用系統帳號(通常根據崗位職責所需開通的帳號)、特殊權限的帳號(例如應用系統管理員的帳號，數據庫管理員的帳號，域管理員的帳號等)，VPN等特殊應用的帳號。從管理角度，不同類別的帳號申請需要不同級別的管理人員授權，一方面企業需清晰識別各類賬號并定義申請流程和授權方式;同時也需要保留必要的申請記錄以便查證，及測量體系實施的有效性。從使用角度，需要加強對員工的培訓并制定必要的規范(例如不允許帳號共享，密碼定期修改等策略)，以確保帳號不被濫用誤用，從而降低信息安全事件的發生。

　　人員安全

　　員工作為企業信息使用和傳遞的重要載體，員工變動可能會給企業的信息安全帶來很大影響。在員工發生變動，即員工入職、轉崗和離職幾個關鍵點進行控制，可大大降低其對企業信息安全的影響。因此在入職前，許多企業會對關鍵崗位的員工進行背景調查并形成記錄，簽訂保密協議等;發生內部職責變動時，要求員工填寫工作交接單，刪除其原有崗位賬號等措;離職時，要求員工填寫離職交接單，清理，歸還物品。同樣，在這些關鍵點，企業最好能制定明確的交接審批流程并妥善保留記錄。

　　設備安全

　　通常企業在資產管理方面相對完善，但對設備自身的信息安全管理相對弱很多，IT設備承載大量的企業信息數據，在維護過程中無論是對設備自身進行的更換、更新，還是對其承造的系統、應用和數據進行的配置調整、結構調整等變更均有可能對其中的信息數據造成不利影響，甚至有可能導致應用不能使用影響到企業的正常業務操作。因為對IT設備變更進行控制是至關重要的，在實施變更前，須根據變更的緊急程度和可能帶來的影響程度進行變更分類和風險評估，制定詳細的變更計劃并得到相應級別的授權;變更實施后須對變更結果進行記錄且進行回顧，以確保變更實施的成功和經驗總結，具體實施方法可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準。

　　軟件安全

　　自主研發軟件的專利及外購軟件的許可證管理均已成為企業不得不重視的問題，一旦疏忽就有可能給企業帶來很大的經濟和名譽損失。通過信息安全管理體系的建設，許多企業要求軟件許可證也作為固定資產由專門部門管理，使用須進行登記，采購須申請，到期須提醒。人員變動、業務變動都有可能導致軟件的變更，因此對軟件許可證的管理并不是采購后進行登記一勞永逸的事情，在日常工作中需要保證一旦發生變化即更新許可證信息，且提前做好許可證過期的準備工作。

　　數據安全

　　數據對于企業是至關重要的，對其進行的安全管理措施更需加大力度。對存儲數據的移動介質要做到登記并限制使用人群;對于大批量的數據清楚需要經授權才可執行;同時數據備份須落實到位，從業務角度識別數據備份需求，清晰定義數據備份策略(包括備份方式頻率等)，的;數據備份需要進行記錄，并定期進行恢復性測試保留記錄，從而降低數據損失的風險。

　　物理安全

　　大多數企業都設立了門衛、保安、前臺等崗位，通過信息安全管理體系的建立，也采用了訪客登記，應用門禁系統等措施，對于敏感區域(例如財務、機房、研發中心等)進行了隔離或更高權限的物理訪問控制。但訪客登記進入后是否可以到處參觀，是否有專人陪同并登記，進入和離開的時間是否進行了記錄，必要時是否提交參觀申請得到授權;員工門禁卡和鑰匙的領取是否進行了登記，敏感區的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點。

　　安全檢查

　　安全檢查與年度或半年度的內審并不同，審核通常會基于行業要求、標準規定和內部規范進行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發生的風險，可以是隨機，也可是定期的。每次檢查結果可保存，可作為日后改進和信息安全管理體系(ISMS)有效性測量的依據。

　　安全事件

　　信息安全事件一旦發生，就須快速響應妥善處理，否則可能會給企業帶來更大損失。首先，企業須清晰定義什么是信息安全事件，使大家對信息安全事件形成相同的認識;第二，可根據信息安全事件的嚴重程度進行分級，定義不同級別的事件匯報途徑、升級時間和處理要求;且在整個公司公布相關要求，做到發生安全事件即報告記錄并快速響應處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準的事件管理章節。

　　安全培訓

　　安全培訓也是一項應持續的長期活動，安全培訓可針對不同對象分成不同的培訓，可以定期組織面向管理層的信息安全標準、法律法規解讀的管理培訓;面向全員的信息安全意識普及性培訓;針對IT相關技術人員的信息安全技術知識的專業培訓;面向信息安全運維和管理人員提供的信息安全相關資質認證培訓(CISSP、CISP、ISO27001主任審核員等)。建議企業對培訓過程、結果進行記錄，可作為信息安全體系建設的記錄和有效性測量的依據。

　　由此可看出，信息安全管理體系的落地貌似簡單，并非易事，貴在堅持，以上工作均需長期執行，才可起到效果，逐步提升企業的信息安全管理水平并將信息安全滲透到企業的各個角落中形成安全的工作環境。

　　從上文中可看出，基本每塊內容都提及了記錄保留相關信息等字眼，對這些長期工作的記錄保留目前各個企業采取不同的形式，有的領域采用紙張記錄，有些領域利用公司的一些操作平臺進行記錄(例如OA、IT服務管理系統等)，目前市面上協助信息安全管理體系落地的工具很稀缺，谷安天下數名信息安全領域的資深顧問共同總結多年信息安全管理方面經驗結合各行業特點，開發了協助各行業企業建立并維護信息安全管理體系的一套工具(如下圖所示)，涵蓋了上文提及到的各個領域的安全運營管理。管理+工具的使用協助您將信息安全管理體系在貴企業中落地實施并持續改進。

The post ISO27001信息安全管理體系如何落到實處 first appeared on 信息安全咨詢公司.

The post 等保制度與ISO27001的區別 first appeared on 信息安全咨詢公司.