控制类型:预防、检测、纠正、威慑
控制措施结构:14方面
方针、组织、人力资源安全、资产管理、访问控制
加密技术、物理和环境安全、操作安全、通信安全、系统的获取开发及维护
供应商关系、信息安全事件管理、业务连续性管理中的信息安全、符合性
信息安全策略
特点:适宜、充分、有效
组织
内部组织:角色和职责分离,与政府部门联系。与相关者联系、项目管理中的信息安全
移动设备与远程办公:设备加密、认证、远程VPN访问
人力资源安全
任用前:审查能力、教育背景、职业背景,因岗定人机制,合约声明安全责任
任用中:管理职责,安全意识、教育和培训、惩戒措施
任用终止或变化:账户删除、权限收回、隐含信息处理、归还软件硬件资产
资产管理
资产负责
建立资产清单:物理的、软件的、业务信息、服务设施、人员、无形资产
明确资产所有权:区分资产负责人,明确保护对象,分类保护
资产的可接受使用,资产归还
信息分类
按法规,价值和对泄露或篡改的敏感性和关键性分类
定义分类类别,分类标准,分类保护机制,定期审查分类与所有权的程序,员工意识培养
标记资产:有利有弊,标记重要容易被攻击者识别
介质处置
可移动介质、物理介质传输,比如笔记本不允许接入U盘
