正文

ISO27001 Foudation考证经验

admin
admin V管理员 /0 评论 /113 阅读
0314
此篇文章发布距今已超过254天,您需要注意文章的内容或图片是否可用!
之前一直听别人安利这个证,于是就来试试了,价格便宜 ¥3500,永久证书,不用续费

考证两天上下午课程,听完课就可以开始考试,纯理论一共50个选择题,全英题目,考完证后大概一个月多点证书就能下来。

近期开班,有需要的可咨询hackctf55

ISO27001是什么

ISO27001全称是ISO/IEC 27001(International Standard Organization/International Electrotechnical Commission),是偏管理的信息安全体系认证

什么是信息安全管理体系?以作用而言,安全体系的作用:避免致命事件(小安全事件会有,也能有思路快速的解决掉,也会避免同类型或类似的事件再次发生,并提供一个方法,慢慢去做的越来越好

以前我对国际标准没什么概念,ISO27001 最初是英国的一个标准,从 BS7799(1992)→BS7799-1(1999)→BS7799-2(1999、2000、2002)→ISO/IEC17799(2000)→ISO27001(2005年10月15采用BS7799-2:2002版本)这会才成为国际标准,也就是说很多标准都要经过10余年才能成为国际标准)

其实一直搞不清楚 ISO27000 27001 xxx 这堆是啥

ISO/IEC 27000 ISMS(Information Security Management Systems)是一个标准族,其包含:

  • 27001 信息安全管理体系 —— 要求(也就是所谓的体系) <=> 和国标对应 GB/T 22080-2016

  • 27002 信息安全管理实用规则 <=> 和国标对应 GB/T 22081-2016

  • 27003 ISMS项目的实施指南

  • 27004 信息安全管理测量

  • 27005 信息安全风险管理

  • ….

  • 27007 信息安全管理体系审核指南

02/03/04/05/07 都是方法

  • ….

  • 27015 金融服务信息安全管理指南

  • ….

  • 27017 云计算服务信息安全管理指南

  • ….

  • 27036 供应商关系管理的信息安全

  • ….

  • 27039 入侵检测和防护系统的选择、部署和运行

  • ….

我们学 ISO27001 其实就是在学 27001和27002的东西,然后里面引用了很多270[03-05]和27007 的东西,然后 27001 的附录A部分就是 27002 的内容了,这编排还挺神奇的

ISO27001:2013正文部分(和 2005 有点不一样):

1. 范围

2. 规范性引用文件

3. 术语和定义

4. 组织的环境

5. 领导力

6. 计划

7. 支持

8. 运营

9. 绩效评价

10. 改进

有个比较大的变化就是使用导则83编写,规范了今后ISO管理体系认证标准的基础框架

导则 83 是对编写国际标准的要求,基于 P(plan 策划 - 确定范围 & 风险评估)D(实施 - 设计 & 实施)C(检查 - 监控 & 评审)A(改进 - 改进ISMS) 框架的目录章节,所以基于导则83编写的标准目录和章节都是一样的,方便整合

导则83的优点:永远没有止境,缺点:抽象

风险评估准备 → 资产识别、威胁识别、脆弱性识别 → 已有安全措施的确认 → 风险分析 → 实施风险管理 (⚠️ 顺序,是先风险评估在确认已有安全措施)

ISO27001正文部分

关于 27001 正文部分,其实挺关键的,比如一个组织,他要想建设企业安全,那他不可避免需要对目前的安全现状进行分析(组织环境),并且需要获得公司领导层的支持,不然你定义或者想要实施什么东西根本没人理你,毕竟大家都不闲,然后需要定一个计划,第一步做什么,第二步做什么,需要什么人力、物力支持。比如现在需要搞第三方软件合规,黑鸦之类的总要买吧?用开源的也不是不行,但没一个成熟的方案好用,还有售后。做完一堆东西落地是使用后,总要有人去运营吧,比如,这些使用用的怎样,统计数据之类的,效果如何,如恶化评定绩效,毕竟花了这么多人力物力,跟老板汇报工作的时候,起码做了这么多,是有用的,是需要的,以及后面如何改进。
27001 强调的是过程管理(把事情想清楚了,把它定义出来),强调正确的做事(等保强调的是做正确的事)。安全该怎么做根据风险,风险通过风险评估得出,风险评估根据资产的重要性以及现状情况得出,有风险之后要处置,处置之后要看效果。这个过程遵从了就行,至于风险要评估几个,这就和它没关系了
过程管理比较适合大企业,会效率比较高,可以通过平台固化下来。
标准化后,可以把目标分解,使得每个人都可以干,好处是输出是统一的,容易做决策,好的可以统一,不好的也可以统一改掉
安全关注点:人、系统/技术、管理/策略
以银行ATM取钱举例:比如插卡输入密码,取钱还要输入一次密码,钱取出来忘了拿卡了,卡还在里面,然后别人可以继续取钱,钱就损失了,这时候通过技术如何解决呢?(如果是通过人解决,那可以竖个牌子提醒取款之后卡拿走),通过技术和流程解决就是取一次输入一次密码,办理一次流程输入一次密码,而不是输入一次密码,可以几分钟内不用输入密码,这里看似是技术问题,其实是管理策略的调整,即加了一个环节,还有就是,打印凭条,取完款自动出来了,但很多人不拿走,就有信息泄漏了,从管理制度上来说,打印的账号要用*号,不能全显示,或者就是在流程上设计一个环节,让用户选择打印才打印,选择不打印,就没有了。
ISO27001管理体系的认证要求
第一次审核:你定义的方法和标准是不是符合(过程)
第二次审核:你这样说的是不是这样做了(结果)
ISO27001附录A部分
其实是ISO27002的第5-8章,新版是 27002:2022,上课讲的是 27002:2013,其实差别没有很大,主要有以下内容:
  1. 安全方针
  1. 信息安全组织
  1. 人力资源安全*
    • 任用前:审查、背调,雇佣条款和条件中描述信息安全职责;外包 要和承包方人员签安全协议 或者 把责任转移给承包方
    • 任用中:宣贯和传达安全职责,使其充分了解所需遵循信息安全方面的规则
    • 任用终止或变更*:制定员工离职、转岗制度和流程,在员工离职转岗时及时回收或删除组织的资产、数据和权限(也可以设置账号有效期)
    4. 资产管理
    5. 访问控制 *
    6. 密码学
    7. 物理和环境安全
    8. 操作安全
    9. 通信安全
    10. 信息系统获取、开发和维护
    11. 供应关系
    12. 信息安全事件管理
    13. 信息安全业务连续性管理
    14. 符合性
    A.8资产管理
    1、对资产负责
    • 资产清单
    • 资产责任人:组织资产清单中,每项资产都定义了责任人
    • 资产可接受使用
    • 资产的归还
    如:主要是对电子文档划分为资产清单,而数据库里的信息没有放到资产清单上(没有站在攻防的角度思考)
    2、资产分类
    • 制定和正式发布了信息资产分类、分级的标准
    3、介质处理
    • 可移动介质的管理
    • 介质的处置
    • 物理介质传输*
    A.9访问控制
    1、访问控制的业务要求
    控制目标:限制对信息和信息处理设施的访问
    • 访问控制策略(如 最小化权限)
    • 网络和网络服务的使用策略
    2、用户访问管理
    控制目标:确保授权用户访问系统和服务,并防止未授权的访问
    • 用户注册及注销:建立各类系统、设备用户注册及注销的控制流程
    • 用户访问开通:制定用户访问权限的开通流程,并依照流程进行实施
    • 特殊访问权限管理
    • 用户口令管理
    • 用户访问权限的复查
    • 撤销或调整访问权限
    3、用户职责
    控制目标:使用户承担保护认证信息安全的责任
    • 制定口令规则等
    4、系统和应用访问控制
    • 特殊权限实用工具软件等使用:建立特权工具使用策略,包括:鉴别、使用前的审批、使用期限、使用记录、工具的删除等方面
    总结
    学习后比较感触深刻的是,平常在公司访问各种网段的零信任权限申请审批、权限申请基本都有时效性选项、进入公司有物理门禁,我的权限不是哪都能去、同事离职后账号不久后失效、SDL流程是怎么一步步落实的等都历历在目,和ISO里面的标准规范的每个点基本都息息相关。
    安全其实就是一个个点,一定要切合要具体的业务和实践中去。


    推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
    ZhouSa.com