ITIL与ISO27001

整体要求

根据集团制定并下发的信息系统安全标准
制定出信息系统（包括操做系统、数据库、网络）从用户、服务、端口、日志等几方面的安全标准
用户和密码管理、网络安全管理、操做系统安全管理
数据安全管理、应用系统安全管理、主机安全管理
终端安全管理、病毒***防治、机房安全管理等方面

信息安全

总体安全管理

控制目标：运维部创建一套完整的政策和流程以保证组织信息的完整与安全
风险因素：组织的信息安全没法被有效控制及实施

用户密码管理
操做系统密码管理、数据库密码管理、应用系统密码管理

控制目标：经过实施有效的密码策略，保证系统逻辑控制的有效性
风险因素：密码被轻易破解，对信息安全产生威胁

用户权限管理
操做系统用户权限管理、数据库用户权限管理、应用系统用户权限管理

控制目标：用户权限的赋予、变动或撤销应遵循正式的安全管理流程，并获得运维部良好的监控
风险因素：用户权限的授予没法被有效控制，产生系统和数据被非法修改的风险

日志检查

控制目标：用户权限的赋予、变动或撤销应遵循正式的安全管理流程，并获得运维部良好的监控
风险因素：用户权限的授予没法被有效控制，产生系统和数据被非法修改的风险

参数配置管理

控制目标：保证系统配置变动符合要求
风险因素：未经受权的系统配置变动

数据库访问

控制目标：对数据直接访问进行控制，保证数据安全
风险因素：数据发生未经受权的篡改或丢失，影响财务数据的准确性和完整性，而且没法被及时解决

网络安全

控制目标：
可以在合理的范围内确保对企业内部网络的外部网络采起了足够的安全保障措施
以防止未经受权的外部人员接触公司信息系统与资源
风险因素：
内部网络没法正常运转，从而影响业务的正常运行及业务数据的准确性
增长外部远程访问***发生的可能性，增长业务数据/系统遭到破坏的可能性

物理安全

控制目标：存在适当的物理访问控制
风险因素：
没法保证机房的物理安全是有效的，增长机房被破坏的潜在风险
增长系统配置及业务数据被破坏的潜在风险

防病毒管理

控制目标：防病毒措施严密、彻底，并保证全部的终端和服务器均进行及时病毒库更新
风险因素：
公司内部主机系统/终端受到电脑病毒的***机会增多
致使潜在的业务中断以及数据安全没法保证的风险增多

平常操做与维护

批处理做业及计划任务管理

控制目标：
创建政策程序规定批处理做业及计划任务
批处理做业及计划任务通过受权，且在系统中进行正确设置
批处理做业及计划任务的执行通过监控，保证其能正确、完整、及时执行
风险因素：
未创建相关制度以规范批处理及计划任务的系统设置
未经受权的对批处理及计划任务系统设置更改的发生
执行过的批处理若是出现错误，管理层没法及时发现并解决
存在影响正常业务运行及数据准确，完整性的风险
批做业及计划任务不能按照规定的时间进行，对业务数据的准确性、完整性产生潜在影响及业务中断的潜在风险增长

备份与恢复

控制目标：创建完善的备份策略及问题解决流程，以保证业务连续性需求
风险因素：
未创建有关备份的制度和策略
备份策略的设置及执行状况不正确，但运维部不能及时发现及解决
备份失败后，未能及时发现及解决，存在没法恢复原有数据的潜在风险
备份介质未被妥善保管，形成介质受到损害，业务中断的潜在风险
未进行有效的备份恢复性测试，备份数据没法恢复而影响业务的连续性

灾难恢复

控制目标：
系统获得良好的保护，远离风险和意外损害
对意外事件的应对措施通过充分准备，具有应对意外的能力
风险因素：
意外事件发生后，没法进行紧急妥善地处理，以确保业务可以及时恢复
致使意外事件发生后，设备及数据被破坏，没法恢复

环境控制

控制目标：服务器设备被完善安置与保护，以防止意外事件的发生（如火灾、水灾、灰尘、电磁辐射等）
风险因素：服务器设备未被完善安置与保护，容易受到意外事件的影响而致使不能提供服务或数据安全受到影响

问题管理流程

控制目标：保证日志及时记录全部的关键事件、安全事件及登陆信息
风险因素：发生过的安全事件，操做记录没法跟踪调查

ISO27001（信息管理安全实用手册）

主要内容

安全策略：指定信息安全方针，为信息安全提供管理指引和支持，并按期评审
信息安全的组织：创建信息安全管理组织体系，在内部开展和控制信息安全的实施
资产管理：核查全部信息资产，作好信息分类，确保信息资产受到适当程度的保护

人力资源安全：确保全部员工，合同方和第三方了解信息安全威胁和相关事宜
以及各自的责任，义务，以减小人为差错，盗窃，欺诈或误用设施的风险

物理和环境安全：定义安全区域，防止对办公场所和信息的未受权访问，破坏和干扰
保护设备的安全，防止信息资产的丢失，损坏或被盗，以及对企业业务的干扰
同时，还要作好通常控制，防止信息和信息处理设施的损坏和被盗

通讯和操做管理：制定操做规程和职责，确保信息处理设施的正确和安全操做
创建系统规划和验收准则，将系统失效的风险降到最低
防范恶意代码和移动代码，保护软件和信息的完整性
作好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基础设施获得保护
创建媒体处置和安全的规程，防止资产损坏和业务活动的中断
防止信息和软件在组织之间交换时丢失，修改或误用

访问控制：制定访问控制策略，避免信息系统的非受权访问，并让用户了解其职责和义务
包括网络访问控制，操做系统访问控制，应用系统和信息访问控制，监视系统访问和使用
按期检测未受权的活动，当使用移动办公和远程控制时，也要确保信息安全

系统采集、开发和维护：标示系统的安全要求，确保安全成为信息系统的内置部分
控制应用系统的安全，防止应用系统中用户数据的丢失，被修改或误用
经过加密手段保护信息的保密性，真实性和完整性
控制对系统文件的访问，确保系统文档，源程序代码的安全
严格控制开发和支持过程，维护应用系统软件和信息安全

信息安全事故管理：报告信息安全事件和弱点，及时采起纠正措施
确保使用持续有效的方法管理信息安全事故，并确保及时修复

业务连续性管理：目的是为减小业务活动的中断，是关键业务过程免受主要故障或天灾的影响，并确保及时恢复
符合性：信息系统的设计，操做，使用过程和管理要符合法律法规的要求
符合组织安全方针和标准，还要控制系统审计，使信息审核过程的效力最大化，干扰最小化

ISO27001的效益

经过定义、评估和控制风险，确保经营的持续性和能力减小因为合同违规行为以及直接触犯法律法规要求所形成的责任经过遵照国际标准提升企业竞争能力，提高企业形象明肯定义全部组织的内部和外部的信息接口目标，谨防数据的误用和丢失创建安全工具使用方针谨防技术诀窍的丢失在组织内部加强安全意识可做为公共会计审计的证据