ITIL與ISO27001

整體要求

根據集團制定並下發的信息系統安全標準
制定出信息系統（包括操做系統、數據庫、網絡）從用戶、服務、端口、日誌等幾方面的安全標準
用戶和密碼管理、網絡安全管理、操做系統安全管理
數據安全管理、應用系統安全管理、主機安全管理
終端安全管理、病毒***防治、機房安全管理等方面

信息安全

總體安全管理

控制目標：運維部創建一套完整的政策和流程以保證組織信息的完整與安全
風險因素：組織的信息安全沒法被有效控制及實施

用戶密碼管理
操做系統密碼管理、數據庫密碼管理、應用系統密碼管理

控制目標：經過實施有效的密碼策略，保證系統邏輯控制的有效性
風險因素：密碼被輕易破解，對信息安全產生威脅

用戶權限管理
操做系統用戶權限管理、數據庫用戶權限管理、應用系統用戶權限管理

控制目標：用戶權限的賦予、變動或撤銷應遵循正式的安全管理流程，並獲得運維部良好的監控
風險因素：用戶權限的授予沒法被有效控制，產生系統和數據被非法修改的風險

日誌檢查

控制目標：用戶權限的賦予、變動或撤銷應遵循正式的安全管理流程，並獲得運維部良好的監控
風險因素：用戶權限的授予沒法被有效控制，產生系統和數據被非法修改的風險

參數配置管理

控制目標：保證系統配置變動符合要求
風險因素：未經受權的系統配置變動

數據庫訪問

控制目標：對數據直接訪問進行控制，保證數據安全
風險因素：數據發生未經受權的篡改或丟失，影響財務數據的準確性和完整性，而且沒法被及時解決

網絡安全

控制目標：
可以在合理的範圍內確保對企業內部網絡的外部網絡採起了足夠的安全保障措施
以防止未經受權的外部人員接觸公司信息系統與資源
風險因素：
內部網絡沒法正常運轉，從而影響業務的正常運行及業務數據的準確性
增長外部遠程訪問***發生的可能性，增長業務數據/系統遭到破壞的可能性

物理安全

控制目標：存在適當的物理訪問控制
風險因素：
沒法保證機房的物理安全是有效的，增長機房被破壞的潛在風險
增長系統配置及業務數據被破壞的潛在風險

防病毒管理

控制目標：防病毒措施嚴密、徹底，並保證全部的終端和服務器均進行及時病毒庫更新
風險因素：
公司內部主機系統/終端受到電腦病毒的***機會增多
致使潛在的業務中斷以及數據安全沒法保證的風險增多

平常操做與維護

批處理做業及計劃任務管理

控制目標：
創建政策程序規定批處理做業及計劃任務
批處理做業及計劃任務通過受權，且在系統中進行正確設置
批處理做業及計劃任務的執行通過監控，保證其能正確、完整、及時執行
風險因素：
未創建相關制度以規範批處理及計劃任務的系統設置
未經受權的對批處理及計劃任務系統設置更改的發生
執行過的批處理若是出現錯誤，管理層沒法及時發現並解決
存在影響正常業務運行及數據準確，完整性的風險
批做業及計劃任務不能按照規定的時間進行，對業務數據的準確性、完整性產生潛在影響及業務中斷的潛在風險增長

備份與恢復

控制目標：創建完善的備份策略及問題解決流程，以保證業務連續性需求
風險因素：
未創建有關備份的制度和策略
備份策略的設置及執行狀況不正確，但運維部不能及時發現及解決
備份失敗後，未能及時發現及解決，存在沒法恢復原有數據的潛在風險
備份介質未被妥善保管，形成介質受到損害，業務中斷的潛在風險
未進行有效的備份恢復性測試，備份數據沒法恢復而影響業務的連續性

災難恢復

控制目標：
系統獲得良好的保護，遠離風險和意外損害
對意外事件的應對措施通過充分準備，具有應對意外的能力
風險因素：
意外事件發生後，沒法進行緊急妥善地處理，以確保業務可以及時恢復
致使意外事件發生後，設備及數據被破壞，沒法恢復

環境控制

控制目標：服務器設備被完善安置與保護，以防止意外事件的發生（如火災、水災、灰塵、電磁輻射等）
風險因素：服務器設備未被完善安置與保護，容易受到意外事件的影響而致使不能提供服務或數據安全受到影響

問題管理流程

控制目標：保證日誌及時記錄全部的關鍵事件、安全事件及登陸信息
風險因素：發生過的安全事件，操做記錄沒法跟蹤調查

ISO27001（信息管理安全實用手冊）

主要內容

安全策略：指定信息安全方針，爲信息安全提供管理指引和支持，並按期評審
信息安全的組織：創建信息安全管理組織體系，在內部開展和控制信息安全的實施
資產管理：覈查全部信息資產，作好信息分類，確保信息資產受到適當程度的保護

人力資源安全：確保全部員工，合同方和第三方瞭解信息安全威脅和相關事宜
以及各自的責任，義務，以減小人爲差錯，盜竊，欺詐或誤用設施的風險

物理和環境安全：定義安全區域，防止對辦公場所和信息的未受權訪問，破壞和干擾
保護設備的安全，防止信息資產的丟失，損壞或被盜，以及對企業業務的干擾
同時，還要作好通常控制，防止信息和信息處理設施的損壞和被盜

通訊和操做管理：制定操做規程和職責，確保信息處理設施的正確和安全操做
創建系統規劃和驗收準則，將系統失效的風險降到最低
防範惡意代碼和移動代碼，保護軟件和信息的完整性
作好信息備份和網絡安全管理，確保信息在網絡中的安全，確保其支持性基礎設施獲得保護
創建媒體處置和安全的規程，防止資產損壞和業務活動的中斷
防止信息和軟件在組織之間交換時丟失，修改或誤用

訪問控制：制定訪問控制策略，避免信息系統的非受權訪問，並讓用戶瞭解其職責和義務
包括網絡訪問控制，操做系統訪問控制，應用系統和信息訪問控制，監視系統訪問和使用
按期檢測未受權的活動，當使用移動辦公和遠程控制時，也要確保信息安全

系統採集、開發和維護：標示系統的安全要求，確保安全成爲信息系統的內置部分
控制應用系統的安全，防止應用系統中用戶數據的丟失，被修改或誤用
經過加密手段保護信息的保密性，真實性和完整性
控制對系統文件的訪問，確保系統文檔，源程序代碼的安全
嚴格控制開發和支持過程，維護應用系統軟件和信息安全

信息安全事故管理：報告信息安全事件和弱點，及時採起糾正措施
確保使用持續有效的方法管理信息安全事故，並確保及時修復

業務連續性管理：目的是爲減小業務活動的中斷，是關鍵業務過程免受主要故障或天災的影響，並確保及時恢復
符合性：信息系統的設計，操做，使用過程和管理要符合法律法規的要求
符合組織安全方針和標準，還要控制系統審計，使信息審覈過程的效力最大化，干擾最小化

ISO27001的效益

經過定義、評估和控制風險，確保經營的持續性和能力減小因爲合同違規行爲以及直接觸犯法律法規要求所形成的責任經過遵照國際標準提升企業競爭能力，提高企業形象明肯定義全部組織的內部和外部的信息接口目標，謹防數據的誤用和丟失創建安全工具使用方針謹防技術訣竅的丟失在組織內部加強安全意識可做爲公共會計審計的證據