《信息安全管理体系(isms)培训》由会员分享,可在线阅读,更多相关《信息安全管理体系(isms)培训(65页珍藏版)》请在金锄头文库上搜索。
1、信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日1推进标准化促进信息安全推进标准化促进信息安全信息安全国家标准宣贯培训信息安全国家标准宣贯培训信息安全国家标准宣贯培训信息安全国家标准宣贯培训之之之之信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系(ISMS)(ISMS)主讲人:闵京华主讲人:闵京华2009年年12月月28日日2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)3内容纲要内容纲要内容纲要内容纲要 第一部分 ISMS体系概念综述 第二部分 ISMS国际标准介绍 第三部分 ISMS国家标准解读 GB/T2208020
2、08信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)4内容纲要内容纲要内容纲要内容纲要 第一部分 ISMS体系概念综述第一部分 ISMS体系概念综述 第二部分 ISMS国际标准介绍 第三部分 ISMS国家标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/
3、T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)5第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位 1.3ISMS方法 1.4ISMS过程 1.5ISMS内容 1.6ISMS关键 1.7ISMS全貌2009年12月28日信息安全国家标准宣贯培
4、训之信息安全管理体系(ISMS)6第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述1.1 ISMS概念1.1 ISMS概念 1.2ISMS定位 1.3ISMS方法 1.4ISMS过程 1.5ISMS内容 1.6ISMS关键 1.7ISMS全貌信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日22009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)71.1ISMS1.1ISMS概念概念概念概念 概念要素 信息 安全 管理 体系 信息安全 信息安全管理 信息安全管理体系2009年12月28日信息安全国
5、家标准宣贯培训之信息安全管理体系(ISMS)81.1ISMS1.1ISMS概念概念概念概念 概念名称 信息安全管理体系(InformationSecurityManagementSystem,ISMS) 概念要素 信息(Information) 安全(Security) 管理(Management) 体系(System)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)91.1ISMS1.1ISMS概念概念概念概念 信息(Information) 概念体系:数据、信息、知识、智慧2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)101.1IS
6、MS1.1ISMS概念概念概念概念 信息(续) 信息资产 资产是具有价值的任何事物。 信息也是一种资产。在当今的信息时代,继物质和能源之后,信息成为又一战略资源,起着至关重要的全局作用。 信息具有广泛的内容,如国家政策、法律法规、公司战略、组织结构、规章制度、操作规程、日常记录、工作计划、技术资料、设计图纸、程序代码、产品手册、人员名簿、商业机密、公众形象等等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)111.1ISMS1.1ISMS概念概念概念概念 信息(续) 信息系统 信息本身是无形的,借助于载体而存在。 信息载体类型:处理载体、存储载体、传输载体和接口载
7、体。 信息载体实例:人的大脑与五官;计算机与网络。 信息系统范畴:计算机及其网络系统。 信息系统技术:信息技术(IT)或信息与通信技术(ICT)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)121.1ISMS1.1ISMS概念概念概念概念 信息(续) 信息系统(续) 计算机信息系统定义:“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。” (引自中华人民共和国计算机信息系统安全保护条例国务院令第147号1994年2月18日第二条)信息安全国家标准宣贯培训之信息安全管理体系(IS
8、MS)2009年12月28日32009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)131.1ISMS1.1ISMS概念概念概念概念 信息(续) 支撑环境 信息系统建立并运行在一定的环境之中,包括硬环境和软环境。 硬环境:机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施; 软环境:法律法规、规章制度、思想意识、政治经济、社会文化、组织机构、人员素质、教育培训、认证认可、监督管理等方面。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)141.1ISMS1.1ISMS概念概念概念概念 信息(续) 信息、信息系
9、统和支撑环境之间的依赖关系2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)151.1ISMS1.1ISMS概念概念概念概念 安全(Security/Safety) 任何有价值的事物(即资产)都存在安全问题。 两个近似的安全概念:“Security”和“Safety”。 Security:事物保持不受损害的一种能力属性。 Safety:事物处于不受损害的一种状态属性。 Safety定义:“摆脱了不可接受风险。”(引自ISO/IEC指南51:1999安全方面 标准中安全引入指南) 为与Safety区别,Security也译为安全性。 “信息安全管理体系”中考虑的“安全”
10、 是指安全能力,即Security。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)161.1ISMS1.1ISMS概念概念概念概念 管理(Management) 文化背景2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)171.1ISMS1.1ISMS概念概念概念概念 管理(续) 管理定义:通过规划、组织、领导、沟通和控制等环节来协调人力、物力、财力等资源,以期有效达成组织目标的过程。 管理特征:在群体活动中,在特定环境下,针对给定对象,遵循确定原则,运用恰当方法,按照规定程序,利用可用资源,进行一组活动(包括规划、组织、指导、沟通和控制
11、等),完成各项任务,评价执行成效,实现既定目标。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)181.1ISMS1.1ISMS概念概念概念概念 管理(续) 管理层面信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日42009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)191.1ISMS1.1ISMS概念概念概念概念 管理(续) 管理方法:管理是一种过程,应采用过程方法。 管理模型:PDCA模型是一种经实践证明的、被公认的有效管理模型。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)201
12、.1ISMS1.1ISMS概念概念概念概念 体系/系统(System) 一般定义:由一定范围内具有内在联系的要素组成的科学有机整体,它反映出要素间的互依赖和互影响。 “System”中译文:“体系”或“系统”。 当组成要素主要是人和文档这样的管理要素时,用“体系”来表述,例如,质量管理体系(QMS); 当组成要素以纯技术要素为主时,则用“系统”来表述,例如,入侵检测系统。 体系更多地需要人的参与才能运行,而系统更多地依赖于技术手段来达到自动或半自动运行。 ISMS属于管理层面,因此用“体系”来表述。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)211.1ISMS1
13、.1ISMS概念概念概念概念 信息安全(InformationSecurity) 广义的信息安全 泛指信息、信息系统及其支撑环境的安全性,将三者的安全性都包含在信息安全的概念范畴之内。 信息是核心,信息系统和支撑环境是保障;信息本身的安全性是目的,信息系统和支撑环境的安全性是手段。 狭义的信息安全 仅指信息本身的安全性。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)221.1ISMS1.1ISMS概念概念概念概念 信息安全(续) 信息安全属性:信息、信息系统及其支撑环境的安全特性 。 保密性(保密性(confidentiality) 完整性(完整性(integri
14、ty) 可用性(可用性(availability) 抗抵赖性(nonrepudiation) 可核查性(accountability) 真实性(authenticity) 可靠性(reliability) 可控性(controllability)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)231.1ISMS1.1ISMS概念概念概念概念 信息安全(续) 信息安全目标2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)241.1ISMS1.1ISMS概念概念概念概念 信息安全(续) 信息安全属性关系 信息安全基本属性之间不是相互孤立的,而是
15、相互关联的。一种安全属性的损失会导致另一种或多种安全属性的损失。 因此,更多关注某一方面的安全属性,不等于忽视其他方面的安全属性,而应依据安全目标的要求和安全属性的关联,在各安全属性之间进行权衡,以确保整体安全目标的达成。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日52009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)251.1ISMS1.1ISMS概念概念概念概念 信息安全管理(InformationSecurityManagement) 一般定义 在信息安全方面,通过规划、组织、领导、沟通和控制等环节来协调人力、物力、财力等资源,以期
16、有效达成组织信息安全目标的过程。 对信息、信息系统及其支撑环境安全性的管理。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)261.1ISMS1.1ISMS概念概念概念概念 信息安全管理(续) 广义的信息安全管理 包括宏观和微观两个层面。 在宏观层面,通常被称为“信息安全保障”,例如,国家信息安全保障体系。 狭义的信息安全管理 仅指微观层面。 通常所说的“信息安全管理”一般指微观层面,例如,信息安全管理体系(ISMS)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)271.1ISMS1.1ISMS概念概念概念概念 信息安全管理体系(In
17、formationSecurityManagementSystems,ISMS) 一般定义:对信息、信息系统及其支撑环境的安全性进行管理的体系。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)281.1ISMS1.1ISMS概念概念概念概念 信息安全管理体系(续) 考虑因素 定位问题:在哪里管?答:针对微观层面实体(即一个组织或机构)而开展的信息安全管理。 目的问题:为何而管?答:保护信息免受各种威胁的损害,以确保业务持续性,业务风险最小化,投资回报和商业机遇最大化。 主体问题:由谁来管?答:信息和信息系统的拥有者和使用者。2009年12月28日信息安全国家标准宣贯
18、培训之信息安全管理体系(ISMS)291.1ISMS1.1ISMS概念概念概念概念 信息安全管理体系(续) 考虑因素(续) 客体问题:管控什么?答:信息、信息系统及其支撑环境的安全性。 方法问题:怎么来管?答:系统的方法,包括过程方法、风险方法和测评方法等。 资源问题:靠什么管?答:提供必要的人力、物力、财力、信息、知识和技术等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)301.1ISMS1.1ISMS概念概念概念概念 信息安全管理体系(续) 考虑因素(续) 测评问题:管得怎样?答:通过对管理效果和效率的测量、审核和评审。 认证问题:如何相信?答:通过对管理能
19、力和安全状况的权威证明。 标准问题:遵循什么?答:通过标准化,规范信息安全管理的概念、要求、方法、技术、实践和准则,并提供相关指南。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日62009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)311.1ISMS1.1ISMS概念概念概念概念 信息安全管理体系(续) 层次架构(按信息系统的层次架构分) 数据安全管理 应用安全管理 系统安全管理 网络安全管理 通信安全管理 物理安全管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)32第一部分第一部分第一部分第一部分 ISMS
20、ISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念1.2 ISMS定位1.2 ISMS定位 1.3ISMS方法 1.4ISMS过程 1.5ISMS内容 1.6ISMS关键 1.7ISMS全貌2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)331.2ISMS1.2ISMS定位定位定位定位 与信息安全保障体系的关系 与信息安全等级保护的关系 与信息安全风险评估/风险管理的关系 与其他管理体系的关系2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)341.2ISMS1.2ISMS定位定位定位定位 与信息安全保障体系的关系
21、 信息安全保障体系的框架2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)351.2ISMS1.2ISMS定位定位定位定位 与信息安全保障体系的关系(续) ISMS与信息安全保障体系的关系 信息安全保障体系面向整个社会和国家,属于宏观管理; ISMS面向各种机构、企业、部门等实体,属于微观管理。 ISMS是有效实现信息安全保障体系的重要管理手段。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)361.2ISMS1.2ISMS定位定位定位定位 与信息安全等级保护的关系 信息安全等级保护的地位 国家信息安全保障工作的基本制度、基本策略、基本方法
22、。 信息安全等级保护的作用 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。 信息安全等级保护的步骤 系统定级、备案审查、安全建设、测评自查、监督检查。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日72009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)371.2ISMS1.2ISMS定位定位定位定位 与信息安全等级保护的关系(续) ISMS与信息安全等级保护的关系 信息安全等级保护既是基本方法和策略,更是基本制度,具有强制性和监督性;ISMS是一种被公认为有效的信息安全管理方法和手段,具有推荐性和指导性。 建立和维护I
23、SMS,有助于有效实现信息安全等级保护。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)381.2ISMS1.2ISMS定位定位定位定位 与信息安全风险评估/风险管理的关系 信息安全风险评估的作用 通过评估面临的信息安全风险,导出信息安全需求,为信息安全初期建设提供依据,以做到适度安全。 通过持续的信息安全风险评估,把握信息安全状况,为信息安全持续改进提供建议,以做到恒久安全。 信息安全风险管理的作用 通过控制信息安全风险,实现信息安全目标。 信息安全风险评估与风险管理的关系 信息安全风险评估是信息安全风险管理的重要环节。2009年12月28日信息安全国家标准宣贯培
24、训之信息安全管理体系(ISMS)391.2ISMS1.2ISMS定位定位定位定位 与信息安全风险评估/风险管理的关系(续) ISMS与信息安全风险评估/风险管理的关系 信息安全风险管理是ISMS的基本方法。 信息安全风险评估是为ISMS选择适当控制方式和措施的先决条件。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)401.2ISMS1.2ISMS定位定位定位定位 与其他管理体系的关系 其他管理体系 战略与投资管理体系 环境管理体系(ISO14000) 质量管理体系(ISO9000) 企业客户满意度管理体系 投诉管理体系(ISO10002/BS8600) 财务管理体
25、系 人力资源管理体系(ISO10015) 职业安全健康管理体系(OHSAS18000) 信息技术服务管理体系(ISO20000/BS15000)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)411.2ISMS1.2ISMS定位定位定位定位 与其他管理体系的关系(续) ISMS与其他管理体系的关系2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)42第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位1.3 ISMS方法1.3 ISMS方法 1.4ISMS
26、过程 1.5ISMS内容 1.6ISMS关键 1.7ISMS全貌信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日82009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)431.3ISMS1.3ISMS方法方法方法方法 过程方法 风险方法 测量方法2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)441.3ISMS1.3ISMS方法方法方法方法 过程方法 过程:一组将输入转化为输出的、相互关联或相互作用的活动。这种转化通常是在计划和受控的条件下,使用一定的资源来进行。 过程关系 过程串联:一个过程的输出直接形成下一个过程
27、的输入。 过程分解:过程中的活动也是一个过程,即一个过程可分解成多个子过程。 过程方法:系统地识别、关联和控制组织中的各种过程。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)451.3ISMS1.3ISMS方法方法方法方法 过程方法(续) PDCA模型2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)461.3ISMS1.3ISMS方法方法方法方法 过程方法(续) PDCA特点 不间断循环:在组织的力量推动下,像车轮一样按PDCA顺序滚动前进,周而复始,持续循环。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
28、471.3ISMS1.3ISMS方法方法方法方法 过程方法(续) PDCA特点(续) 大环套小环:从整个组织、到各级部门、直至每个员工,均有各自PDCA循环,就像宇宙星系的运行一样,大环套小环,一级带一级,有机地构成一个运转体系。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)481.3ISMS1.3ISMS方法方法方法方法 过程方法(续) PDCA特点(续) 阶梯式上升:PDCA循环不是在同一水平上循环,每循环一次,就解决一部分问题,取得一部分成果,工作就前进一步,水平就提高一步。到了下一次循环,又有了新的目标和内容,更上一层楼。信息安全国家标准宣贯培训之信息安全
29、管理体系(ISMS)2009年12月28日92009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)491.3ISMS1.3ISMS方法方法方法方法 过程方法(续) PDCA特点(续) PDCA模型体现为嵌套式循环、阶梯式(或螺旋式)上升、可持续改进的管理模式。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)501.3ISMS1.3ISMS方法方法方法方法 过程方法(续) ISMS的PDCA模型2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)511.3ISMS1.3ISMS方法方法方法方法 风险方法 风险与事件 风险是
30、事物可能面临特定情形发生的一种潜在状态。 事件是事物已经面临特定情形发生的一种显在状态。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)521.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险:事件的可能性和其结果的结合。 结果可以是正面的(利益),也可以是负面的(损失)。 与之对应,风险可以是正面的(机遇),也可以是负面的(挑战)。 风险管理:以合理的风险控制成本来最大化因冒风险而有机会带来的利益和最小化因冒风险而可能导致的损失。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)531.3ISMS1.3ISMS方法方法方法方
31、法 风险方法(续) 合理并可行的安全管理应以风险为中心,从风险出发,最终再回到风险。 首先,对所保护资产面临的安全风险进行识别和评估; 然后,针对所识别的风险特点以及所评估的风险程度,选择和实施相应的、适度的安全控制措施; 其后,检查所实施安全控制措施的效果,监视安全控制措施的运行状况和安全风险的变化情况,及时发现问题并寻求改进; 从而,达到并保持将安全风险控制在可接受的程度。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)541.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险的概念模型 威胁主体可能可能可能可能利用信息、信息系统或支撑环境的
32、脆弱性,对信息、信息系统和支撑环境实施威胁行为,可能可能可能可能造成负面影响。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日102009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)551.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险的基本要素 资产(asset):对组织具有价值的任何东西。 威胁(threat):导致对系统或组织伤害事件的潜在原因。由威胁主体和威胁行为组成。 脆弱性(vulnerability):可能被一个或多个威胁利用的资产或资产组的弱点。 影响(impact):信息安全事件的结果。 控制措施(c
33、ontrol):处理风险的实践、规程或机制。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)561.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理的基本原理 信息安全风险管理围绕着上述信息安全的基本属性(简称安全属性)和信息安全风险的基本要素(简称风险要素)展开。 首先,从每个安全属性的角度对各个风险要素及其相互关系进行识别、分析和评价,得出反映风险重要程度的风险等级(即风险评估)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)571.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理
34、的基本原理(续) 然后,对照事先确定的风险接受准则,判断风险是否可接受;对于不可接受的风险,针对各个风险要素分别采取相应的控制措施:针对资产的保护和备份措施针对威胁主体的威慑和打击措施针对威胁行为的防范和抵御措施针对脆弱性的加固和补丁措施针对影响的抑制和弥补措施从而改进和完善现有的控制措施(即风险处理)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)581.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理的问题空间2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)591.3ISMS1.3ISMS方法方法方法方法
35、风险方法(续) 信息安全风险管理过程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)601.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理的运用时空 从时间角度看信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日112009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)611.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理的运用时空(续) 从时间角度看(续)信息安全风险管理与信息资产生命周期的过程嵌套关系2009年12月28日信息安全国家标准宣贯培训之信息安全管理
36、体系(ISMS)621.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 信息安全风险管理的运用时空(续) 从空间纵向角度看可被运用在组织的许多层面上,包括战略层面、战术层面和运行层面。可被应用在从组织级的广泛问题到项目或系统级的特定问题中。 从空间横向角度看可被运用于信息技术应用的所有领域中:政务、商务、财政、金融、保险、税务、海关、工商、质检、通信、交通、电力、制造、教育、医药、环保、传媒、娱乐、城管、公安、立法、司法、人事、外交、军事等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)631.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 背
37、景建立 建立组织的内外背景和风险管理背景的过程。 风险管理的准备,为后续过程建立活动背景。 信息安全风险管理过程总是发生在一定的背景之下,即组织背景和风险管理背景。 组织背景组织的外部和内部背景及其相互关系. 风险管理背景风险管理的目标、策略、范围、方法、依据、组织、对象、计划和文档以及风险测量的各项准则。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)641.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险评估 风险评估是风险识别、风险分析和风险评价的整个过程。 风险管理的依据,为其他过程提供决策依据。2009年12月28日信息安全国家标准宣贯培训之
38、信息安全管理体系(ISMS)651.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险评估(续) 风险评估原理风险识别解决风险是什么(What)、在哪里(Where)和何时(When)发生的问题;风险分析解决风险为什么(Why)发生和相对级别(Level)的问题;风险评价解决风险有多么(How)严重的问题。各项风险评估活动均围绕着风险要素(即资产、威胁、脆弱性、影响和控制措施)进行。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)661.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险评估(续) 风险要素评估资产价值的高低资产获取价值的贵廉
39、资产作用价值的高低威胁潜力的大小威胁主体动机的强弱威胁行为能力的大小脆弱性被利用的难易影响程度的轻重控制措施效果的好坏信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日122009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)671.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险评估(续) 风险评估方法基线评估法:仅评估资产和控制措施详细评估法:风险五要素均评估组合评估法:基线评估法详细评估法2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)681.3ISMS1.3ISMS方法方法方法方法 风险方法(续)
40、 风险评估(续) 风险评估工具综合性评估工具。安全性检查工具,如安全测试与评价(ST&E)和安全审计系统等;脆弱性检测工具,如漏洞扫描等;渗透性测试工具,如黑客工具等;辅助性评估工具,如入侵检测系统、资产表、威胁库、漏洞库、安全知识库等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)691.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险评估(续) 风险评估的工作形式自评估:由机构内部(包括决策层、管理层和操作层)发起,以对内改进机构安全状态和对外展示机构安全状态的符合性和有效性为目的。检查评估:由机构外部(包括上级主管、检查机关和合作伙伴等)发起,
41、以监督机构安全状态的符合性和有效性为目的。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)701.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理 选择和实施控制措施来减轻风险的过程。 风险管理的主体,为缓解风险做出直接贡献。 安全需求当前风险等级超出可接受风险等级的差值就是安全需求,需要采取相应的处理方式和控制措施来解决。 风险处理的目的将当前风险等级降低到可接受程度。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)711.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理(续) 风险处理方式风险规避风
42、险转移风险降低风险接受2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)721.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理(续) 风险处理计划遵循的原则和策略选定的控制措施实现的优先顺序所需的资源和成本分配的责任和权力人员的沟通和培训实施的时机和进度过程的报告和监视绩效的测量和评价等信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日132009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)731.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理(续) 残余风险风险处理实施之后仍然
43、存在的风险。可能是原有风险的残存,也可能是新的风险的引入,还包括未识别的风险。 残余风险的保留出于残余风险已减少到可接受程度或者机构目前尚没有足够的资源或能力进一步处理残余风险等原因。当事方和决策者应意识到残余风险的性质和程度,特别是对于尚未达到可接受程度的残余风险应设定保留期限和适当约束,因此,残余风险应被记录在案并受到监视和评审。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)741.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理(续) 风险处理过程首先,对风险评估阶段输出的风险评价结果,对照背景建立阶段确立的风险接受准则,判定哪些风险是可接
44、受的,哪些是不可接受。然后,对于那些可接受的风险,只需进行必要的风险接受处理后,便可进入监视与评审阶段,以保持对其变化的注视;对于那些不可接受的风险,需要在风险规避、风险转移和风险降低中选择合适的处理方式。在许多情况下,一种处理方式不太可能是一个完整的解决方案,需要多种处理方式的组合。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)751.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险处理(续) 风险处理过程(续)在实施了所选处理方式之后,再次进行风险接受判断,即判断残余风险(residualrisk)是否可接受。如果仍然不可接受,或者继续挖掘风险处
45、理的潜力,以期风险的进一步缓解;或者重新回到背景建立阶段,以期通过调整背景因素来改变风险,并经过风险评估后为风险处理提供新的可能。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)761.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 监视与评审 风险管理的监查,为有效地管理风险提供保障。 监视与评审途径持续监视所有风险要素、风险管理过程要素和风险管理过程整体状态的变化,检查这些要素的符合性和有效性,进而把握风险管理过程的整体状态。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)771.3ISMS1.3ISMS方法方法方法方法 风
46、险方法(续) 沟通与咨询 风险管理的通道,为顺畅地管理风险提供保障。 沟通与咨询做法在适当的时候就风险要素、风险管理过程要素和风险管理过程整体在组织内部和外部方中进行沟通和咨询。 沟通与咨询途径和作用通过畅通的交流和充分的沟通,达成相关人员就风险管理在认知上的相互理解和在行动上的协调一致;通过有效的培训和便捷的咨询,保证相关人员为参与风险管理具备适当的知识和技能。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)781.3ISMS1.3ISMS方法方法方法方法 风险方法(续) 风险管理过程要点 第一轮风险管理周期的工作是开创性的,应该本着可持续发展的原则全面考虑,为今
47、后的工作打好基础。 风险管理过程是持续的、循序渐进的过程,不是一两轮就能解决全部风险,况且新的风险会不断出现。 任何新的一轮风险管理周期的工作都应建立的前面各轮工作结果的基础上,是对现有风险管理的改进和完善。 监视与评审和沟通与咨询至始至终贯穿于整个风险管理周期,是风险管理得以有效发挥和顺畅进行的保障。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日142009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)791.3ISMS1.3ISMS方法方法方法方法 风险方法(续) ISMS应采用风险方法,即信息安全风险管理。 信息安全风险是ISMS的核心
48、内容和基本途径。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)801.3ISMS1.3ISMS方法方法方法方法 测量方法 测量目的:为了比较或评价事物的某种属性(例如,信息系统的安全性、信息安全管理的有效性),需要对这种属性赋予量值。 测量属于计量学的范畴,涉及到计量学中的一些基本概念和术语。 量、值、量制、基本量、导出量、单位、单位制、测量、测量方法、测量程序、测量结果等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)811.3ISMS1.3ISMS方法方法方法方法 测量方法(续) 信息安全测量是计量学在信息安全领域的应用。 信息安
49、全测量模型 测量需求 测量客体 测量函数 分析模型 指标 决定准则2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)82第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位 1.3ISMS方法1.4 ISMS过程1.4 ISMS过程 1.5ISMS内容 1.6ISMS关键 1.7ISMS全貌2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)831.4ISMS1.4ISMS过程过程过程过程 ISMS的PDCA:建立、实施和运行、监视和评审、保持和改进。2009
50、年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)841.4ISMS1.4ISMS过程过程过程过程 建立阶段的活动信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日152009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)851.4ISMS1.4ISMS过程过程过程过程 实施和运行阶段的活动2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)861.4ISMS1.4ISMS过程过程过程过程 监视和评审阶段的活动2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)871.4ISMS1
51、.4ISMS过程过程过程过程 保持和改进阶段的活动2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)88第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位 1.3ISMS方法 1.4ISMS过程1.5 ISMS内容1.5 ISMS内容 1.6ISMS关键 1.7ISMS全貌2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)891.5ISMS1.5ISMS内容内容内容内容 ISMS控制域2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISM
52、S)901.5ISMS1.5ISMS内容内容内容内容 安全策略 信息安全策略是ISMS的灵魂,它指导和规范信息安全管理的所有活动。 信息安全策略具有层次结构,由高至低分为总体方针、管理制度、操作流程和执行记录四个层次,应按照适用对象(包括主体和客体)分别制定相应的安全策略。 信息安全策略的管理包括策略文件的制定、审批、发布、宣贯和培训以及定期评审和变更记录。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日162009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)911.5ISMS1.5ISMS内容内容内容内容 安全组织 信息安全组织是ISMS的
53、动力,它建立和执行信息安全策略。 信息安全管理通常是跨部门的,涉及到一个组织的多个相关部门,因此需要建立能够统筹全局和协调关系的领导班子和工作班子,以及具有足够人力和技能的管理部门和执行部门。 信息安全组织应与其他方面的组织管理协调和融合。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)921.5ISMS1.5ISMS内容内容内容内容 资产管理 信息资产包括类型 有形资产:数据、软件、硬件、服务和人员等。 无形资产:知识、信誉和品牌等。 信息资产的价值 获取价值:购置和维护资产时的成本。 作用价值:资产对业务的重要程度,或者说,资产失效时对业务造成的损失。 资产管理
54、包括资产清单、资产使用和资产分级。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)931.5ISMS1.5ISMS内容内容内容内容 人员安全 人是信息安全管理中最活跃和最不确定的因素,既能够成为“最可靠防线”,也可能成为“最大威胁”。 管理人力资源安全的目的就是通过一系列管理措施把人从潜在的“最大威胁”变为“最可靠防线”,形成“人力防火墙”。 人力资源安全管理包括筛选、职责、素质、培训、奖罚和离岗等方面。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)941.5ISMS1.5ISMS内容内容内容内容 物理安全 信息、信息系统及其支撑环境的
55、物理区域和设施设备应受到保护,包括区域安全和设备安全两方面。 区域安全:防止对组织场所内信息资产的未授权物理访问、损坏和干扰。 设备安全:保护设备(包括在组织之外使用的)免受物理的和环境的威胁。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)951.5ISMS1.5ISMS内容内容内容内容 运行安全 信息系统及其支撑环境的运行安全应得到保证和维持。 运行安全涉及到操作规程、操作权限、变更管理、运行环境、外包服务、病毒防范、信息保护、移动代码、网络安全、运行监视等方面。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)961.5ISMS1.5
56、ISMS内容内容内容内容 访问控制 对信息、信息系统及其支撑环境的访问应得到控制。 访问控制涉及到控制策略、用户身份、用户口令、用户权限、用户职责、鉴别机制、访问机制、超时机制、在外办公等方面信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日172009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)971.5ISMS1.5ISMS内容内容内容内容 系统建设 在信息系统的获取、开发和维护过程中,包括两个方面的安全建设: 自身安全机制(内在安全性):信息系统各子系统(包括网络系统、操作系统、数据库管理系统、中间件系统和应用系统等)自身具备的。 专用安
57、全系统(外加安全性):物理隔离装置、防火墙、防病毒系统、入侵检测系统、漏洞扫描系统、补丁分发系统和终端管理系统等。 两者相辅相成,共同形成纵深防御体系。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)981.5ISMS1.5ISMS内容内容内容内容 系统建设(续) 建设过程包括需求分析、方案设计、实施计划、产品采购、功能开发、项目管理、工程监理、验收交付和后期维护等。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)991.5ISMS1.5ISMS内容内容内容内容 事件管理 三个基本概念 信息安全风险(InformationSecurity
58、Risk) 信息安全事态(InformationSecurityEvent) 信息安全事件(InformationSecurityIncident)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1001.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全风险(InformationSecurityRisk) 威胁主体可能可能可能可能利用信息、信息系统或支撑环境的脆弱性,对信息、信息系统和支撑环境实施威胁行为,可能可能可能可能造成负面影响。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1011.5ISMS1.5ISMS内
59、容内容内容内容 事件管理(续) 信息安全事态(InformationSecurityEvent) 威胁主体已经已经已经已经利用信息、信息系统或支撑环境的脆弱性,对信息、信息系统和支撑环境实施威胁行为,可能可能可能可能造成负面影响。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1021.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事件(InformationSecurityIncident) 威胁主体已经已经已经已经利用信息、信息系统或支撑环境的脆弱性,对信息、信息系统和支撑环境实施威胁行为,已经已经已经已经造成负面影响。信息安全国家标准宣贯培
60、训之信息安全管理体系(ISMS)2009年12月28日182009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1031.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全风险、信息安全事态和信息安全事件的演变过程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1041.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 安全不是绝对的 任何安全防护措施都不能完全避免安全事件的发生。 成本高于效益的安全措施也是没有意义的。 安全总是动态的 负面因素:安全风险层出不穷,安全事件各式各样。 正面因素:安全技术日新月异,安全管理
61、不断完善。 管理是必然出路 采用结构严谨、计划周全的管理方法,全程管理信息安全事件十分必要。 信息安全事件管理是信息安全管理的重要组成部分。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1051.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 总会有信息安全事件发生,往往是意料之外的,甚至是未知的。 在发生信息安全事件时,有序、有力、有效地采取应对措施,稳定局面,降低负面影响并尽快恢复系统是至关重要的。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1061.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事
62、件分类(InformationSecurityIncidentCategoriztion) 起因角度:人为的(故意破坏、无意破坏)、客观的(自然灾害、技术故障) 行为角度:恶意代码、网络攻击、信息破坏、有害内容、人身侵害、责任逃避、系统故障 安全属性角度:保密性破坏、完整性破坏、可用性破坏、真实性破坏、抗抵赖性破坏、可核查性破坏、可靠性破坏、可控性破坏 后果角度:财务损失、利益丧失、个人伤害、法规触犯、运行妨碍、声誉损害2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1071.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事件分级(Informa
63、tionSecurityIncidentClassification) 依据信息系统的重要程度事件影响的严重程度 目的:准确判断事件的严重性,从而做到适度响应,以避免响应不足:错过控制事态发展的最佳时机,使事件失控,导致本不该发生的更大损失;响应过度:不仅浪费资源,还会造成比事件本身更糟糕的影响。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1081.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事件分级(续) GB/Z209862007信息安全技术信息安全事件分类分级指南综合信息系统的重要程度、系统损失和社会影响这三方面的因素从国家层面将信息
64、安全事件划分为四级:?级:特别重大事件?级:重大事件?级:较大事件?级:一般事件信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日192009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1091.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 方法:采用一种结构严谨、计划周全的方法来全程管理信息安全事件。 过程:事前做好规划和准备,事中及时发现、报告、评估和判别并有效抑制和取证,事后消除根源、恢复系统、总结经验和实施改进,以及不论事件是否发生均定期和/或应需评审和持续改进。 活动:规划、准备、发现、报告、评估、判别、抑制、取证、根除、
65、恢复、总结、评审和改进。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1101.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事件管理的PDCA2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1111.5ISMS1.5ISMS内容内容内容内容 事件管理(续) 信息安全事件管理的PDCA P阶段:规划和准备活动:规划、准备 D阶段:使用活动:发现、报告、评估、判别、抑制、取证、根除、恢复 C阶段:评审活动:总结、评审 A阶段:改进活动:改进2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)11
66、21.5ISMS1.5ISMS内容内容内容内容 业务持续 随着信息系统在业务系统中发挥着越来越重要的作用,并已成为不可或缺的组成部分,信息系统的持续性直接关系着业务的持续性。 保障信息系统持续性已成为保障业务持续性的必要条件,是业务持续性计划的重要内容之一。 应急预案、应急培训、容灾备份、系统恢复是保证信息系统持续性的重要环节。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1131.5ISMS1.5ISMS内容内容内容内容 合规管理 合规性是信息安全管理的重要方面,体现在遵守法律法规、符合技术标准、信守合同规定和遵循安全策略等方面,应采取措施加以管理。2009年1
67、2月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)114第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位 1.3ISMS方法 1.4ISMS过程 1.5ISMS内容1.6 ISMS关键1.6 ISMS关键 1.7ISMS全貌信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日202009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1151.6ISMS1.6ISMS关键关键关键关键 ISMS的关键成功因素 方向因素对业务目标支持 驱动因素高管承诺
68、和支持 资源因素资源提供和保障 能力因素专业队伍和技能 意识因素全员意识和参与 环境因素与组织环境融合 风险因素与安全风险相适 测评因素结果测量和评价2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)116第一部分第一部分第一部分第一部分 ISMSISMS体系概念综述体系概念综述体系概念综述体系概念综述 1.1ISMS概念 1.2ISMS定位 1.3ISMS方法 1.4ISMS过程 1.5ISMS内容 1.6ISMS关键1.7 ISMS全貌1.7 ISMS全貌2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1171.7ISMS1.7ISMS
69、全貌全貌全貌全貌 方法 过程方法、风险方法、测量方法 内容 安全策略、安全组织、资产管理、人员安全、物理安全、运行安全、访问控制、系统建设、事件管理、业务持续、合规管理 关键 对业务目标支持、高管承诺和支持、资源提供和保障、专业队伍和技能、全员意识和参与、与组织环境融合、与安全风险相适、结果测量和评价2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1181.7ISMS1.7ISMS全貌全貌全貌全貌2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)119内容纲要内容纲要内容纲要内容纲要 第一部分 ISMS体系概念综述 第二部分 ISMS国际标
70、准介绍第二部分 ISMS国际标准介绍 第三部分 ISMS国家标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)120第二部分第二部分第二部分第二部分 ISMSISMS国际标准介绍国际标准介绍国际标准介绍国际标准介绍 2.1历史沿革 2.2国际标准 2.
71、3他国标准信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日212009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)121第二部分第二部分第二部分第二部分 ISMSISMS国际标准介绍国际标准介绍国际标准介绍国际标准介绍2.1 历史沿革2.1 历史沿革 2.2国际标准 2.3他国标准2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1222.12.1历史沿革历史沿革历史沿革历史沿革 ISMS标准的发展历程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)123第二部分第二部分第二部分第二部分
72、ISMSISMS国际标准介绍国际标准介绍国际标准介绍国际标准介绍 2.1历史沿革2.2 国际标准2.2 国际标准 2.3他国标准2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1242.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27 2005年4月正式启动了ISMS的标准化项目,即ISO/IEC27000系列标准,或称ISMS标准族。 ISMS标准族包括体系、行业和领域三大类,标准编号分别从27000、27010和27030开始。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1252.22.2国际标准国际标准国
73、际标准国际标准 ISO/IECJTC1SC27(续) 体系类2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1262.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续) 体系类(续) ISO/IEC27000:2009信息安全管理体系 概述和词汇 ISO/IEC27001:2005信息安全管理体系 要求 ISO/IEC27002:2005信息安全管理实用规则 ISO/IECFCD27003信息安全管理体系实施指南 ISO/IECFDIS27004信息安全管理 测量 ISO/IEC27005:2008信息安全风险管理信息安全国家标准宣贯培训
74、之信息安全管理体系(ISMS)2009年12月28日222009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1272.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续) 体系类(续) ISO/IEC27006:2007信息安全管理体系审核认证机构的要求 ISO/IEC1stCD27007信息安全管理体系审核指南 ISO/IEC2ndWD27008信息安全管理体系控制措施审核员指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1282.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续)
75、行业类2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1292.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续) 行业类(续) ISO/IEC1stWD27010部门间沟通的信息安全管理 ISO/IEC27011:2008|ITUTX.1051基于ISO/IEC27002的电信组织信息安全管理指南 ISO/IECPreWD27012电子政务服务的ISM指南 ISO/IECPreWD27013 ISO/IEC200001和ISO/IEC27001 集成实施指南 ISO/IEC2ndWD27014信息安全治理框架 ISO/IECWD2701
76、5金融和保险服务的信息安全管理要求和指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1302.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续) 领域类2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1312.22.2国际标准国际标准国际标准国际标准 ISO/IECJTC1SC27(续) 领域类(续) ISO/IEC1stCD27031业务持续性的ICT就绪指南 ISO/IEC3ndWD27032网际安全指南 ISO/IEC27033网络安全 ISO/IEC27034应用安全 ISO/IEC2ndCD270
77、35信息安全事件管理 ISO/IEC1stWD27036外包安全指南 ISO/IEC1stWD27037数字证据的标识、收集和/或保存2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)132第二部分第二部分第二部分第二部分 ISMSISMS国际标准介绍国际标准介绍国际标准介绍国际标准介绍 2.1历史沿革 2.2国际标准2.3 他国标准2.3 他国标准信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日232009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1332.32.3他国标准他国标准他国标准他国标准 英国 美国 加
78、拿大 澳大利亚和新西兰 德国2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1342.32.3他国标准他国标准他国标准他国标准 英国 英国标准协会(BSI)于1995年2月首先提出了ISMS的概念,并制定了世界上第一个ISMS标准,即BS77991:1995信息安全管理实用规则(CodeofPracticeforInformationSecurityManagement)。 为满足第三方认证的需求,BSI于1998年2月又制定了ISMS认证标准BS77992:1998信息安全管理体系规范(SpecificationforInformationSecurityMana
79、gementSystem)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1352.32.3他国标准他国标准他国标准他国标准 英国(续) 鉴于信息技术在网络和通讯领域应用的迅速发展,BSI于1999年4月对上述两个标准进行了修订,推出了1999版,即BS77991:1999和BS77992:1999。 2002年BSI对BS77992:1999进行了重大改版,引入了国际上通行的管理方法和模式(即过程方法和PDCA模型),同时与ISO9001:2000质量管理体系 要求(Qualitymanagementsystems Requirements)保持高度一致,并于同
80、年9月5日正式发布了BS77992:2002。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1362.32.3他国标准他国标准他国标准他国标准 英国(续) 国际标准ISO/IEC17799(即现在的ISO/IEC27002)和ISO/IEC27001就是分别源自于BS77991:1999和BS77992:2002。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1372.32.3他国标准他国标准他国标准他国标准 美国 美国政府于2002年12月通过了联邦信息安全管理法案(FederalInformationSecurityManagem
81、entAct,FISMA),随后为此启动了FISMA实施项目。 该项目的第一阶段(2003年至2008年)就是为有效满足FISMA的规定开发所需的信息安全标准和指南,即美国联邦信息处理标准(FIPS)和美国国家标准与技术研究所(NIST)的计算机安全特别出版物SP800系列。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1382.32.3他国标准他国标准他国标准他国标准 美国(续)信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日242009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1392.32.3他国标准他国
82、标准他国标准他国标准 美国(续)安全分类安全分类安全分类安全分类措施选择措施选择措施选择措施选择措施提炼措施提炼措施提炼措施提炼措施成文措施成文措施成文措施成文措施实施措施实施措施实施措施实施措施评估措施评估措施评估措施评估安全授权安全授权安全授权安全授权措施监控措施监控措施监控起点措施监控起点2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1402.32.3他国标准他国标准他国标准他国标准 美国(续) 安全分类(SecurityCategorization) 根据损失的潜在影响定义信息系统的关键性/敏感性。 FIPS199联邦信息和信息系统的安全类别标准(Stan
83、dardsforSecurityCategorizationofFederalInformationandInformationSystems) SP80060信息和信息系统类型到安全类别的映射指南(GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1412.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施选择(SecurityControlSelection) 选择基线(最小)安全控制措施保护信息系统
84、;适当时使用剪裁指南。 FIPS200联邦信息和信息系统的最小安全要求(MinimumSecurityRequirementsforFederalInformationandInformationSystems) SP80053推荐给联邦信息系统的安全控制措施(RecommendedSecurityControlsforFederalInformationSystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1422.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施提炼(SecurityControlRefinement) 需要时使用风险
85、评估结果补充剪裁的安全控制基线,以确保足够的安全。 SP80053推荐给联邦信息系统的安全控制措施(RecommendedSecurityControlsforFederalInformationSystems) SP80030信息技术系统的风险管理指南(RiskManagementGuideforInformationTechnologySystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1432.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施文件化(SecurityControlDocumentation) 文件化安全计划、信息系
86、统的安全要求、计划的或现有的安全控制措施。 SP80018联邦信息系统安全计划开发指南(GuideforDevelopingSecurityPlansforFederalInformationSystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1442.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施实施(SecurityControlImplementation) 实施安全控制措施:应用安全配置设置。 SP80070IT产品的安全配置检查表计划 检查表用户和开发者指南(SecurityConfigurationChecklistsPr
87、ogramforITProducts GuidanceforChecklistsUsersandDevelopers)信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日252009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1452.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施评估(SecurityControlAssessment) 确定安全控制有效性(即,正确地实施、按计划运行、满足安全要求的控制措施)。 SP80053A联邦信息系统安全控制措施的评估指南(GuideforAssessingtheSecurityCon
88、trolsinFederalInformationSystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1462.32.3他国标准他国标准他国标准他国标准 美国(续) 安全授权(SecurityAuthorization) 确定对机构运作、机构资产或个人的风险,如果可接收则授权信息系统运行。 SP80037联邦信息系统安全认证认可指南(GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISM
89、S)1472.32.3他国标准他国标准他国标准他国标准 美国(续) 安全控制措施监控(SecurityControlMonitoring) 持续跟踪可能影响安全控制措施的信息系统变化,并评估控制措施的有效性。 SP80037联邦信息系统安全认证认可指南(GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems) SP80053A联邦信息系统安全控制措施的评估指南(GuideforAssessingtheSecurityControlsinFederalInformationSystems)2009年1
90、2月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1482.32.3他国标准他国标准他国标准他国标准 加拿大 加拿大通信安全机构(CSE) MG1:1996网络安全、分析和实施(NetworkSecurity,AnalysisandImplementation) MG2:1996信息技术系统安全风险管理指南(AGuidetoSecurityRiskManagementforInformationTechnologySystems) MG3:1996信息技术系统风险评估和安全措施选择指南(AGuidetoRiskAssessmentandSafeguardSelectionforI
91、nformationTechnologySystems)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1492.32.3他国标准他国标准他国标准他国标准 加拿大(续) 加拿大通信安全机构(续) MG4:1996信息技术系统认证认可指南(AGuidetoCertificationandAccreditationforInformationTechnologySystems) MG9:1998加拿大信息技术安全手册(CanadianHandbookonInformationTechnologySecurity) MG11b威胁与风险评估一般性工作声明(GenericS
92、tatementOfWorkForThreatandRiskAssessments) CSEITSG04:1999威胁与风险评估工作指南(ThreatandRiskAssessmentWorkingGuide)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1502.32.3他国标准他国标准他国标准他国标准 澳大利亚和新西兰 AS/NZS4360:1999风险管理(RiskManagement) 德国 德国联邦信息安全办公室(BSI) IT基线保护手册(ITBaselineProtectionManual),2004信息安全国家标准宣贯培训之信息安全管理体系(ISM
93、S)2009年12月28日262009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)151内容纲要内容纲要内容纲要内容纲要 第一部分 ISMS体系概念综述 第二部分 ISMS国际标准介绍 第三部分 ISMS国家标准解读第三部分 ISMS国家标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月
94、28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)152第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家
95、标准宣贯培训之信息安全管理体系(ISMS)153第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1 国家标准化组织3.1 国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安
96、全国家标准宣贯培训之信息安全管理体系(ISMS)1543.13.1国家标准化组织国家标准化组织国家标准化组织国家标准化组织 全国信息安全标准化技术委员会(TC260)于2002年4月成立之初,便设立了信息安全管理标准工作组(WG7),专门负责信息安全管理领域的国家标准研究与制定工作。 多年来,WG7工作组陆续开展了多项信息安全管理基础标准和重要标准的研究和制定工作,同时也组织了对国际上重点的信息安全管理相关标准的跟踪研究和转标工作。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)155第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准
97、解读国家标准解读 3.1国家标准化组织 3.2 正式发布的国家标准3.2 正式发布的国家标准 3.3报批中的国家标准 3.4标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1563.23.2正式发布的国家标准正式发布的国家标准正式发布的国家标准正式发
98、布的国家标准 GB/T197162005信息技术信息安全管理实用规则(修改采用国际标准ISO/IEC17799:2000) GB/T19715.12005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型(等同采用ISO/IECTR133351:1996) GB/T19715.22005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全(等同采用ISO/IECTR133352:1997)信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日272009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1573.23.2正式发布的国家标
99、准正式发布的国家标准正式发布的国家标准正式发布的国家标准 GB/T202822006信息安全技术信息系统安全工程管理要求(自主研制) GB/T202692006信息安全技术信息系统安全管理要求(自主研制) GB/T209842007信息安全技术信息安全风险评估规范(自主研制) GB/Z209852007信息技术安全技术信息安全事件管理指南(修改采用ISO/IECTR18044:2004)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1583.23.2正式发布的国家标准正式发布的国家标准正式发布的国家标准正式发布的国家标准 GB/Z209862007信息安全技术信息
100、安全事件分类分级指南(自主研制) GB/T209882007信息安全技术信息系统灾难恢复规范(自主研制) GB/T220802008信息技术安全技术信息安全管理体系 要求(等同采用ISO/IEC27001:2005) GB/T220812008信息技术安全技术信息安全管理实用规则(等同采用ISO/IEC27002:2005)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)159第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3 报批中的国家标准3.3 报批中的国家
101、标准 3.4标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)1603.33.3报批中的国家标准报批中的国家标准报批中的国家标准报批中的国家标准 GB/Txxxxxxxxx信息技术安全技术信息安全管理体系审核认证机构的要求(等同采用ISO/IEC270
102、06:2007)(TC260与全国认证认可标准化技术委员会(TC261)联合编制) GB/Zxxxxxxxxx 信息安全技术信息安全风险管理指南(自主研制) GB/Txxxxxxxxx信息安全技术信息安全应急响应计划规范(自主研制)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)161第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4 标准解读3.4 标准解读GB/T 22080-2008信息技术安全技术信息安全管理体系 要求GB/T 22
103、080-2008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)162GB/T22080GB/T22080 20082008 标准名称 中文:信息技术安全技术信息安全管理体系 要求 英文:Informationtechnology Securitytechniques Informat
104、ionsecuritymanagementsystems Requirements 标准号:GB/T220802008 中标分类:L80 采标情况:ISO/IEC27001:2005,IDT信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日282009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)163GB/T22080GB/T22080 20082008 发布日期:2008619 实施日期:2008111 发布单位 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(
105、ISMS)164GB/T22080GB/T22080 20082008 标准简介 该标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。该标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)165GB/T22080GB/T22080 20082008 标准结构 前言 引言 1范围 2规范性引用文件 3术语和定义 4信息安全管理体系(ISMS) 5管理职责 6ISMS内部
106、审核 7ISMS的管理评审 8ISMS改进2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)166GB/T22080GB/T22080 20082008 标准结构(续) 附录A(规范性附录) 控制目标和控制措施 附录B(资料性附录) OECD原则和本标准 附录C(资料性附录) GB/T90012000,GB/T240012004和本标准之间的对照 参考文献2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)167GB/T22080GB/T22080 20082008 前言 给出该标准编制和管理相关的信息 该等同采用ISO/IEC27001:20
107、05信息技术 安全技术 信息安全管理体系 要求。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)168GB/T22080GB/T22080 20082008 引言 0.1总则 标准用途:提供建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)的模型。被组织的内部和外部相关方用于一致性评估。 适用对象:组织。 ISMS定位:战略决策。 影响因素:业务需求、安全要求、管理过程、规模和结构。 实施策略:考虑影响因素的变化,按照实际需要实施ISMS信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日292009年12月28日信息安全国
108、家标准宣贯培训之信息安全管理体系(ISMS)169GB/T22080GB/T22080 20082008 引言(续) 0.2过程方法 应用背景:为使组织有效运作,需要识别和管理众多相互关联的活动。 过程定义:通过使用资源和管理,将输入转化为输出的活动。 过程关系:通常,一个过程的输出直接形成下一个过程的输入。 过程方法:组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)170GB/T22080GB/T22080 20082008 引言(续) 0.2过程方法(续) 重要方面理解组织的信息安全要求和建立信息安
109、全方针与目标的需要;从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;监视和评审ISMS的执行情况和有效性;基于客观测量的持续改进。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)171GB/T22080GB/T22080 20082008 引言(续) 0.2过程方法(续) 过程模型:采用PDCA模型。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)172GB/T22080GB/T22080 20082008 引言(续) 0.2过程方法(续) 安全原则OECD信息系统和网络安全指南:发展安全文化 (2002版)中所设
110、置的原则:意识、责任、响应、道德规范、民主、风险评估、安全设计与实施、安全管理和再评估。采用PDCA模型反映了这些原则。为实施风险评估、安全设计与实施、安全管理和再评估的原则提供了一个强健的模型。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)173GB/T22080GB/T22080 20082008 引言(续) 0.3与其他管理体系的兼容性 兼容标准:与GB/T90012000和GB/T240012004相结合。 兼容目的:支持与相关管理标准一致的、整合的实施和运行。 标准对照:参见附录C的表C.1。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体
111、系(ISMS)174GB/T22080GB/T22080 20082008 1范围 1.1总则 适用对象:所有类型的组织(例如,商业企业、政府机构、非赢利组织)。 两类要求从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了要求。为适应不同组织或其部门的需要而定制的安全控制措施规定了实施要求。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日302009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)175GB/T22080GB/T22080 20082008 1范围(续) 1.1总则(续
112、) 设计原则:ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。 相关注释该标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。GB/T220812008提供了设计控制措施时可使用的实施指南。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)176GB/T22080GB/T22080 20082008 1范围(续) 1.2应用 应用范围:该标准规定的要求是通用的,适用于各种类型、规模和特性的组织。 符合性准则组织声称符合该标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。为了满足风险接受准则必要的进行的任何
113、控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合该标准。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)177GB/T22080GB/T22080 20082008 1范围(续) 1.2应用(续) 相关注释:如果一个组织已经有一个运转着的业务过程管理体系(例如,与GB/T190012000或者 GB/T240012004相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足该标准的要求。2009年12月28日信息安全国家标准宣
114、贯培训之信息安全管理体系(ISMS)178GB/T22080GB/T22080 20082008 2规范性引用文件 GB/T220812008信息技术安全技术信息安全管理实用规则(ISO/IEC27002:2005,IDT) 为在组织内启动、实施、维护和改进信息安全管理,以达到普遍接受的信息安全管理目标提供一般原则和通用指南。 给出了为达到分布在11个控制域中的39项控制目标而建议的133项控制措施的实施指南和相关信息。 该标准的规范性附录A中的控制目标和控制措施直接源自GB/T220812008,并在编目上与其第5章至15章保持一致。2009年12月28日信息安全国家标准宣贯培训之信息安全管
115、理体系(ISMS)179GB/T22080GB/T22080 20082008 3术语和定义 3.1资产 asset 3.2可用性 availability 3.3保密性 confidentiality 3.4信息安全 informationsecurity 3.5信息安全事态 informationsecurityevent 3.6信息安全事件 informationsecurityincident 3.7信息安全管理体系(ISMS) informationsecuritymanagementsystem(ISMS) 3.8完整性 integrity2009年12月28日信息安全国家标准宣贯
116、培训之信息安全管理体系(ISMS)180GB/T22080GB/T22080 20082008 3术语和定义(续) 3.9残余风险 residualrisk 3.10风险接受 riskacceptance 3.11风险分析 riskanalysis 3.12风险评估 riskassessment 3.13风险评价 riskevaluation 3.14风险管理 riskmanagement 3.15风险处置 risktreatment 3.16适用性声明 statementofapplicability信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日312009年1
117、2月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)181GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.1总要求 在组织的整体业务活动中且在所面临风险的环境下; 建立、实施、运行、监视、评审、保持和改进文件化的ISMS; 管理过程基于PDCA模型。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)182GB/T22080GB/T22080 20082008 4信息安全管理体系(续) 4.2建立和管理ISMS 4.2.1建立ISMSa)确定ISMS的范围和边界b)确定ISMS方针c)确定组织的风险评估方法d)识别
118、风险e)分析和评价风险f)识别和评价风险处置的可选措施g)为处理风险选择控制目标和控制措施h)获得管理者对建议的残余风险的批准i)获得管理者对实施和运行ISMS的授权j)准备适用性声明(SoA)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)183GB/T22080GB/T22080 20082008 4信息安全管理体系(续) 4.2建立和管理ISMS/4.2.2实施和运行ISMS(续) a)制定风险处置计划 b)实施风险处置计划 c)实施选择的控制措施 d)确定控制措施有效性的测量方法 e)实施培训和意识教育计划 f)管理ISMS的运行 g)管理ISMS的资源 h
119、)实施检测和响应规程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)184GB/T22080GB/T22080 20082008 4信息安全管理体系(续) 4.2建立和管理ISMS(续) 4.2.3监视和评审ISMSa)执行监视与评审规程b)进行ISMS有效性的定期评审c)测量控制措施的有效性d)定期进行风险评估的评审e)定期实施ISMS内部审核f)定期进行ISMS管理评审g)根据监视和评审结果更新安全计划h)记录可能影响ISMS有效性的措施和事态2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)185GB/T22080GB/T22080
120、20082008 4信息安全管理体系(ISMS) 4.2建立和管理ISMS 4.2.4保持和改进ISMSa)实施已识别的ISMS改进b)采取合适的纠正和预防措施c)沟通措施和改进情况d)确保改进达到了预期目标2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)186GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.3文件要求 4.3.1总则文件是指信息及其承载媒体。文件可以是程序文件、规范文件、记录、报告等,文件媒体包括纸张、磁盘、磁带或其他电子媒体等。文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保
121、所记录的结果是可重复产生的。重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果、并进而回溯到ISMS方针和目标之间的关系。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日322009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)187GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.3文件要求 4.3.1总则(续)ISMS文件内容?a)形成文件的ISMS方针和目标?b)ISMS的范围?c)支持ISMS的规程和控制措施?d)风险评估方法的描述?e)风险评估报告?f)风险处置计划2009
122、年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)188GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.3.2文件控制 ISMS所要求的文件应予以保护和控制。 应编制形成文件的规程,以便有效控制文件。 文件控制措施a)文件发布前得到批准,以确保文件是适当的;b)必要时对文件进行评审、更新并再次批准;c)确保文件的更改和现行修订状态得到标识;d)确保在使用处可获得适用文件的相关版本;e)确保文件保持清晰、易于识别;2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)189GB/T22080GB/T22080 2
123、0082008 4信息安全管理体系(ISMS) 4.3.2文件控制(续) 文件控制措施(续)f)确保文件对需要的人员可用,并依照文件适用的类别规程进行传输、贮存和最终销毁;g)确保外来文件得到识别;h)确保文件的分发得到控制;i)防止作废文件的非预期使用;j)若因任何目的而保留作废文件时,对这些文件进行适当的标识。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)190GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.3.3记录控制 应建立记录并加以保持,以提供符合ISMS要求和有效运行的证据。 应对记录加以保护和控制。 IS
124、MS的记录应考虑相关法律法规要求和合同义务。 记录应保持清晰、易于识别和检索。 记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)191GB/T22080GB/T22080 20082008 4信息安全管理体系(ISMS) 4.3.3记录控制(续) 记录类型4.2中列出的过程执行记录所有发生的与ISMS有关的重大安全事件的记录。 记录示例访客登记薄审核报告访问授权单信息安全事态/事件报告单2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)192GB/T22080GB/
125、T22080 20082008 5管理职责 5.1管理承诺 管理者应通过相应活动,对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据。 活动证据:方针、 目标和计划、角色和职责、传达、资源、准则、内部审核、管理评审信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日332009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)193GB/T22080GB/T22080 20082008 5管理职责(续) 5.2 资源管理 5.2.1资源提供组织应确定并提供所需的资源。资源用途:ISMS全过程、支持业务、合规、控制措施、评审、改进2009年
126、12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)194GB/T22080GB/T22080 20082008 5管理职责(续) 5.2 资源管理 5.2.2 培训、意识和能力组织应通过适当方式,确保所有被赋予ISMS职责的人员具有执行所要求任务的能力。组织还应确保所有相关人员意识到他们信息安全活动的相关性和重要性,以及如何为达到ISMS目标做出贡献。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)195GB/T22080GB/T22080 20082008 6ISMS内部审核 审核周期 组织应按照计划的时间间隔进行ISMS内部审核。 一般不超过一年
127、。 审核目的 确定组织的ISMS控制目标、控制措施、过程和规程是否:a)符合该标准和相关法律法规的要求;b)符合已确定的信息安全要求;c)得到有效地实施和保持;d)按预期执行。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)196GB/T22080GB/T22080 20082008 6ISMS内部审核(续) 审核方案 制定时的考虑因素:拟审核的过程与区域的状况和重要性;以往审核的结果。 涵盖内容:审核的准则、范围、频次和方法。 审核员要求 审核员的选择和审核的实施应确保审核过程的客观性和公正性。 审核员不应审核自己的工作。2009年12月28日信息安全国家标准宣贯
128、培训之信息安全管理体系(ISMS)197GB/T22080GB/T22080 20082008 6ISMS内部审核(续) 审核职责 策划和实施审核、报告结果和保持记录(见4.3.3)的职责和要求应在形成文件的规程中做出规定。 审核响应 负责受审区域的管理者应确保及时采取措施,以消除已发现的不符合及其产生的原因。 跟踪活动应包括对所采取措施的验证和验证结果的报告(见第8章)。 相关注释 GB/T190112003也可为实施ISMS内部审核提供有用的指导。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)198GB/T22080GB/T22080 20082008 7IS
129、MS的管理评审 7.1总则 评审周期:至少每年一次。 评审目的:确保组织的ISMS持续的适宜性、充分性和有效性。 评审内容:评估组织的ISMS改进的机会和变更的需要,包括信息安全方针和信息安全目标。 评审结果:应清晰地形成文件,记录应加以保持(见4.3.3)。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日342009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)199GB/T22080GB/T22080 20082008 7ISMS的管理评审(续) 7.2 评审输入 a)ISMS审核和评审的结果; b)相关方的反馈; c)改进ISMS的技术、
130、产品或规程; d)预防和纠正措施的状况; e)以往风险评估没有充分强调的脆弱点或威胁; f)有效性测量的结果; g)以往管理评审的跟踪措施; h)可能影响ISMS的任何变更; i)改进的建议。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)200GB/T22080GB/T22080 20082008 7ISMS的管理评审(续) 7.3评审输出 a)ISMS有效性的改进。 b)风险评估和风险处置计划的更新。 c)必要时修改信息安全的规程和控制措施,以响应可能影响ISMS的内部或外部变更:1)业务要求;2)安全要求;3)影响现有业务要求的业务过程;4)法律法规要求;5)
131、合同义务;6)风险级别和/或接受风险的准则。 d)资源需求。 e)控制措施有效性测量方法的改进。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)201GB/T22080GB/T22080 20082008 8ISMS改进 8.1持续改进 持续改进ISMS有效性的途径信息安全方针信息安全目标审核结果对监视事态的分析纠正和预防措施管理评审(见第7章)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)202GB/T22080GB/T22080 20082008 8ISMS改进(续) 8.2纠正措施 消除与ISMS要求不符合的原因,以防止再发生。
132、形成文件的纠正措施规程a)识别不符合;b)确定不符合的原因;c)评价确保不符合不再发生的措施需求;d)确定和实施所需要的纠正措施;e)记录所采取措施的结果(见4.3.3);f)评审所采取的纠正措施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)203GB/T22080GB/T22080 20082008 8ISMS改进(续) 8.3预防措施 消除潜在不符合的原因,防止其发生。 预防措施应与潜在问题的影响程度相适应。 形成文件的预防措施规程a)识别潜在的不符合及其原因;b)评价防止不符合发生的措施需求;c)确定和实施所需要的预防措施;d)记录所采取措施的结果(见4.
133、3.3);e)评审所采取的预防措施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)204GB/T22080GB/T22080 20082008 附录A(规范性附录) 控制目标和控制措施 表A1所列的控制目标和控制措施是直接源自并与GB/T220812008(ISO/IEC27002:2005,IDT)第5到15章一致。 表A.1中的清单并不详尽,一个组织可能考虑另外必要的控制目标和控制措施。 在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 GB/T220812008(ISO/IEC27002:2005,IDT)第5至15章提供了最佳实
134、践的实施建议和指南,以支持A.5到A.15列出的控制措施。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日352009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)205GB/T22080GB/T22080 20082008 附录B(资料性附录) OECD原则和本标准 在OECD信息系统和网络安全指南中给出的原则适用于治理信息系统和网络安全的所有方针和操作层。 意识、责任、响应、道德规范、民主、风险评估、安全设计与实施、安全管理和再评估 该标准提供信息安全管理体系框架,通过使用PDCA模型以及第4章、第5章、第6章和第8章所述的过程,来实现的某
135、些OECD原则。 意识、责任、响应、风险评估、安全设计与实施、安全管理、再评估2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)206GB/T22080GB/T22080 20082008 附录C(资料性附录) GB/T90012000,GB/T240012004和本标准之间的对照 GB/T90012000质量管理体系 要求 GB/T240012004环境管理体系要求及使用指南 三个标准的内容架构基本一致。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)207第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准
136、解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4 标准解读3.4 标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求GB/T 22081-2008信息技术安全技术信息安全管理实用规则GB/T 22081-2008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)208GB/T220
137、81GB/T22081 20082008 标准名称 中文:信息技术安全技术信息安全管理实用规则 英文: Informationtechnology Securitytechniques Codeofpracticeforinformationsecuritymanagement 标准号:GB/T220812008 中标分类:L80 采标情况:ISO/IEC27002:2005,IDT2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)209GB/T22081GB/T22081 20082008 发布日期:2008619 实施日期:2008111 发布单位 中华人民共和国
138、国家质量监督检验检疫总局 中国国家标准化管理委员会2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)210GB/T22081GB/T22081 20082008 标准简介 该标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。该标准列出的目标为通常所接受的信息安全管理的目的提供了一般性指导。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日362009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)211GB/T22081GB/T22081 20082008 标准结构 前言 引言 1范围 2术语和定义 3
139、本标准的结构 4风险评估和处理 5安全方针 6信息安全组织 7资产管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)212GB/T22081GB/T22081 20082008 标准结构(续) 8人力资源安全 9物理和环境安全 10通信和操作管理 11访问控制 12信息系统获取、开发和维护 13信息安全事件管理 14业务连续性管理 15符合性 参考文献2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)213GB/T22081GB/T22081 20082008 前言 给出该标准编制和管理相关的信息 该等同采用ISO/IEC27002:20
140、05信息技术 安全技术 信息安全管理实用规则。 代替并废止GB/T197162005(修改采用国际标准ISO/IEC17799:2000)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)214GB/T22081GB/T22081 20082008 引言 0.1什么是信息安全? 信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。 信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。 在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。200
141、9年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)215GB/T22081GB/T22081 20082008 引言(续) 0.2为什么需要信息安全? 信息及其支持过程、系统和网络都是重要的业务资产。 定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。 各组织及其信息系统和网络面临来自各个方面的安全威胁。 信息安全对于政府和企业的业务以及保护关键基础设施是非常重要的。 许多信息系统并没有被设计成是安全的。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)216GB/T22081GB/T22081 2008
142、2008 引言(续) 0.3如何建立安全要求 通过对组织进行风险的评估获得,并考虑到组织的整体业务策略与目标。 满足的法律、法规、规章和合同要求。 组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。 0.4评估安全风险 通过对安全风险进行系统地评估,识别安全要求。 风险评估宜定期进行,以应对可能影响风险评估结果的任何变化。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日372009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)217GB/T22081GB/T22081 20082008 引言(续) 0.5选择控制措施 一旦安全要求
143、和风险已被识别并已作出风险处理决定,则宜选择并实现合适的控制措施,以确保风险降低到可接受的级别。 控制措施可以从该标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。 0.6信息安全起点 许多控制措施被认为是实现信息安全的良好起点。 它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。 但不能取代基于风险评估而选择的控制措施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)218GB/T22081GB/T22081 20082008 引言(续) 0.7关键的成功因素 反映业务目标 与组织文化保持一致 管理者可见的支持和承诺 理解信息安
144、全要求、风险评估和风险管理 传达信息安全意识和知识 分发信息安全指南 资金支持 意识、培训和教育 信息安全事件管理 信息安全管理绩效测量2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)219GB/T22081GB/T22081 20082008 引言(续) 0.8 编制组织的指南 该标准可作为是组织开发其详细信息安全管理指南的起点。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)220GB/T22081GB/T22081 20082008 1范围 该标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。 该标准列出的目标为
145、通常所接受的信息安全管理的目的提供了一般性指导。 该标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。 该标准可作为建立组织的安全准则和有效安全管理实践的实用指南,并有助于在组织间的活动中构建互信。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)221GB/T22081GB/T22081 20082008 2术语和定义 资产 asset 控制措施 control 指南 guideline 信息处理设施 informationprocessingfacilities 信息安全 informationsecurity 信息安全事态 informationsec
146、urityevent 信息安全事件 informationsecurityincident 方针 policy2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)222GB/T22081GB/T22081 20082008 2术语和定义(续) 风险 risk 风险分析 riskanalysis 风险评估 riskassessment 风险评价 riskevaluation 风险管理 riskmanagement 风险处理 risktreatment 第三方 thirdparty 威胁 threat 脆弱性 vulnerability信息安全国家标准宣贯培训之信息安全管理
147、体系(ISMS)2009年12月28日382009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)223GB/T22081GB/T22081 20082008 3本标准的结构 11个安全控制措施的章节(共含有39个主要安全类别) 1个介绍风险评估和处理的章节。 每一个主要安全类别包含: 一个控制目标,声明要实现什么; 一个或多个控制措施,可被用于实现该控制目标。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)224GB/T22081GB/T22081 20082008 4风险评估和处理 4.1评估安全风险 风险评估宜对照风险接受准则和组织相关目标
148、,识别、量化并区分风险的优先次序。 风险评估宜周期性加以执行,以指出安全要求和风险情形的变化 。 4.2处理安全风险 确定风险是否能被接受的准则。 作出风险处理决定。风险降低、风险接受、风险规避、风险转移 降低风险:选择和实施适当的控制措施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)225GB/T22081GB/T22081 20082008 5安全方针 5.1信息安全方针 控制目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 控制措施5.1.1信息安全方针文件5.1.2信息安全方针的评审2009年12月28日信息安全国家标准宣贯培训之信息安全管理
149、体系(ISMS)226GB/T22081GB/T22081 20082008 6信息安全组织 6.1内部组织 控制目标:管理组织范围内信息安全。 控制措施6.1.1信息安全的管理承诺6.1.2信息安全协调6.1.3信息安全职责的分配6.1.4信息处理设施的授权过程6.1.5保密性协议6.1.6与政府部门的联系6.1.7与特定利益集团的联系6.1.8信息安全的独立评审2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)227GB/T22081GB/T22081 20082008 6信息安全组织(续) 6.2外部各方 控制目标:保持组织的被外部各方访问、处理、管理或与外部进
150、行通信的信息和信息处理设施的安全。 控制措施6.2.1与外部各方相关风险的识别6.2.2处理与顾客有关的安全问题6.2.3处理第三方协议中的安全问题2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)228GB/T22081GB/T22081 20082008 7资产管理 7.1对资产负责 控制目标:实现和保持对组织资产的适当保护。 控制措施7.1.1资产清单7.1.2资产责任人7.1.3资产的可接受使用信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日392009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)229GB/
151、T22081GB/T22081 20082008 7资产管理(续) 7.2信息分类 控制目标:确保信息受到适当级别的保护。 控制措施7.2.1分类指南7.2.2信息的标记和处理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)230GB/T22081GB/T22081 20082008 8人力资源安全 8.1任用之前 控制目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。 控制措施8.1.1角色和职责8.1.2审查8.1.3任用条款和条件2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(IS
152、MS)231GB/T22081GB/T22081 20082008 8人力资源安全(续) 8.2任用中 控制目标:确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为出错的风险。 控制措施8.2.1管理职责8.2.2信息安全意识、教育和培训8.2.3纪律处理过程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)232GB/T22081GB/T22081 20082008 8人力资源安全(续) 8.3任用的终止或变化 控制目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个
153、组织或改变其任用关系。 控制措施8.3.1终止职责8.3.2资产的归还8.3.3撤销访问权2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)233GB/T22081GB/T22081 20082008 9物理和环境安全 9.1安全区域 控制目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。 控制措施9.1.1物理安全周边9.1.2物理入口控制9.1.3办公室、房间和设施的安全保护9.1.4外部和环境威胁的安全防护9.1.5在安全区域工作9.1.6公共访问、交接区安全2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)234GB/T2208
154、1GB/T22081 20082008 9物理和环境安全(续) 9.2设备安全 控制目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 控制措施9.2.1设备安置和保护9.2.2支持性设施9.2.3布缆安全9.2.4设备维护9.2.5组织场所外的设备安全9.2.6设备的安全处置或再利用9.2.7资产的移动信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日402009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)235GB/T22081GB/T22081 20082008 10通信和操作管理 10.1操作规程和职责 控制目标:确保正
155、确、安全的操作信息处理设施。 控制措施10.1.1文件化的操作规程10.1.2变更管理10.1.3责任分割10.1.4开发、测试和运行设施分离2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)236GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.2第三方服务交付管理 控制目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 控制措施10.2.1服务交付10.2.2第三方服务的监视和评审10.2.3第三方服务的变更管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)237GB/T220
156、81GB/T22081 20082008 10通信和操作管理(续) 10.3系统规划和验收 控制目标:将系统失效的风险降至最小。 控制措施10.3.1容量管理10.3.2系统验收2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)238GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.4防范恶意和移动代码 控制目标:保护软件和信息的完整性。 控制措施10.4.1控制恶意代码10.4.2控制移动代码2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)239GB/T22081GB/T22081 20082008
157、10通信和操作管理(续) 10.5备份 控制目标:保持信息和信息处理设施的完整性及可用性。 控制措施10.5.1信息备份2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)240GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.6网络安全管理 控制目标:确保网络中信息的安全性并保护支持性的基础设施。 控制措施10.6.1网络控制10.6.2网络服务安全信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日412009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)241GB/T22081GB
158、/T22081 20082008 10通信和操作管理(续) 10.7介质处置 控制目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 控制措施10.7.1可移动介质的管理10.7.2介质的处置10.7.3信息处理规程10.7.4系统文件安全2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)242GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.8信息的交换 控制目标:保持组织内以及与组织外信息和软件交换的安全。 控制措施10.8.1信息交换策略和规程10.8.2交换协议10.8.3运输中的物理介质10.8.4电子消
159、息发送10.8.5业务信息系统2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)243GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.9电子商务服务 控制目标:确保电子商务服务的安全及其安全使用。 控制措施10.9.1电子商务10.9.2在线交易10.9.3公共可用信息2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)244GB/T22081GB/T22081 20082008 10通信和操作管理(续) 10.10监视 控制目标:检测未经授权的信息处理活动。 控制措施10.10.1审计记录10.10.2
160、监视系统的使用10.10.3日志信息的保护10.10.4管理员和操作员日志10.10.5故障日志10.10.6时钟同步2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)245GB/T22081GB/T22081 20082008 11访问控制 11.1访问控制的业务要求 控制目标:控制对信息的访问。 控制措施11.1.1访问控制策略2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)246GB/T22081GB/T22081 20082008 11访问控制(续) 11.2用户访问管理 控制目标:确保授权用户访问信息系统,并防止未授权的访问。 控
161、制措施11.2.1用户注册。11.2.2特殊权限管理11.2.3用户口令管理11.2.4用户访问权的复查信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日422009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)247GB/T22081GB/T22081 20082008 11访问控制(续) 11.3用户职责 控制目标:防止未授权用户对信息和信息处理设施的访问、损害或窃取。 控制措施11.3.1口令使用11.3.2无人值守的用户设备11.3.3清空桌面和屏幕策略2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)248GB
162、/T22081GB/T22081 20082008 11访问控制(续) 11.4网络访问控制 控制目标:防止对网络服务的未授权访问。 控制措施11.4.1使用网络服务的策略11.4.2外部连接的用户鉴别11.4.3网络上的设备标识11.4.4远程诊断和配置端口的保护11.4.5网络隔离11.4.6网络连接控制11.4.7网络路由控制2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)249GB/T22081GB/T22081 20082008 11访问控制(续) 11.5操作系统访问控制 控制目标:防止对操作系统的未授权访问。 控制措施11.5.1安全登录规程11.5.
163、2用户标识和鉴别11.5.3口令管理系统11.5.4系统实用工具的使用11.5.5会话超时11.5.6联机时间的限定2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)250GB/T22081GB/T22081 20082008 11访问控制(续) 11.6应用和信息访问控制 控制目标:防止对应用系统中信息的未授权访问。 控制措施11.6.1信息访问限制11.6.2敏感系统隔离2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)251GB/T22081GB/T22081 20082008 11访问控制(续) 11.7移动计算和远程工作 控制目标:
164、确保使用移动计算和远程工作设施时的信息安全。 控制措施11.7.1移动计算和通信11.7.2远程工作2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)252GB/T22081GB/T22081 20082008 12信息系统获取、开发和维护 12.1信息系统的安全要求 控制目标:确保安全是信息系统的一个有机组成部分。 控制措施12.1.1安全要求分析和说明信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日432009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)253GB/T22081GB/T22081 20082008
165、 12信息系统获取、开发和维护(续) 12.2应用中的正确处理 控制目标:防止应用系统中的信息的差错、遗失、未授权的修改或误用。 控制措施12.2.1输入数据确认12.2.2内部处理的控制12.2.4输出数据确认2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)254GB/T22081GB/T22081 20082008 12信息系统获取、开发和维护(续) 12.3密码控制 控制目标:通过密码方法保护信息的保密性、真实性或完整性。 控制措施12.3.1使用密码控制的策略12.3.2密钥管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)25
166、5GB/T22081GB/T22081 20082008 12信息系统获取、开发和维护(续) 12.4系统文件的安全 控制目标:确保系统文件的安全。 控制措施12.4.1运行软件的控制12.4.2系统测试数据的保护12.4.3对程序源代码的访问控制2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)256GB/T22081GB/T22081 20082008 12信息系统获取、开发和维护(续) 12.5开发和支持过程中的安全 控制目标:维护应用系统软件和信息的安全。 控制措施12.5.1变更控制规程12.5.2操作系统变更后应用的技术评审12.5.3软件包变更的限制12
167、.5.4信息泄露12.5.5外包软件开发2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)257GB/T22081GB/T22081 20082008 12信息系统获取、开发和维护(续) 12.6技术脆弱性管理 控制目标:降低利用公布的技术脆弱性导致的风险。 控制措施12.6.1技术脆弱性的控制2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)258GB/T22081GB/T22081 20082008 13信息安全事件管理 13.1报告信息安全事态和弱点 控制目标:确保与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措
168、施。 控制措施13.1.1报告信息安全事态13.1.2报告安全弱点信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日442009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)259GB/T22081GB/T22081 20082008 13信息安全事件管理(续) 13.2信息安全事件和改进的管理 控制目标:确保采用一致和有效的方法对信息安全事件进行管理。 控制措施13.2.1职责和规程13.2.2对信息安全事件的总结13.2.3证据的收集2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)260GB/T22081GB/T2
169、2081 20082008 14业务连续性管理 14.1业务连续性管理的信息安全方面 控制目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。 控制措施14.1.1在业务连续性管理过程中包含信息安全14.1.2业务连续性和风险评估14.1.3制定和实施包含信息安全的连续性计划14.1.4业务连续性计划框架14.1.5测试、维护和再评估业务连续性计划2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)261GB/T22081GB/T22081 20082008 15符合性 15.1符合法律要求 控制目标:避免违反任何法律、法令、
170、法规或合同义务以及任何安全要求。 控制措施15.1.1可用法律的识别15.1.2知识产权(IPR)15.1.3保护组织的记录15.1.4数据保护和个人信息的隐私15.1.5防止滥用信息处理设施15.1.6密码控制措施的规则2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)262GB/T22081GB/T22081 20082008 15符合性(续) 15.2符合安全策略和标准以及技术符合性 控制目标:确保系统符合组织的安全策略及标准。 控制措施15.2.1符合安全策略和标准15.2.2技术符合性核查2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(IS
171、MS)263GB/T22081GB/T22081 20082008 15符合性(续) 15.3信息系统审计考虑 控制目标:将信息系统审计过程的有效性最大化,干扰最小化。 控制措施15.3.1信息系统审计控制措施15.3.2信息系统审计工具的保护2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)264第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4 标准解读3.4 标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 G
172、B/T220812008信息技术安全技术信息安全管理实用规则GB/T 20984-2007信息安全技术信息安全风险评估规范GB/T 20984-2007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日452009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)265GB/T20984GB/T20984 20072007 标准名称 中文:信息安全技术信息安全风险评估规范 英文:Informati
173、onsecuritytechniques Riskassessmentspecificationforinformationsecurity 标准号:GB/T209842007 中标分类:L80 采标情况:自主研制2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)266GB/T20984GB/T20984 20072007 发布日期:2007614 实施日期:2007111 发布单位 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)267GB/T20984GB/T20984 2
174、0072007 标准简介 该标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。该标准适用于规范组织开展的风险评估工作。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)268GB/T20984GB/T20984 20072007 标准结构 前言 引言 1范围 2规范性引用文件 3术语和定义 4风险评估框架及流程 5风险评估实施 6信息系统生命周期各阶段的风险评估 7风险评估的工作形式2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)269GB/T20984GB/T
175、20984 20072007 标准结构 附录A(资料性附录) 风险的计算方法 附录B(资料性附录) 风险评估的工具 参考文献2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)270GB/T20984GB/T20984 20072007 前言 给出该标准编制和管理相关的信息 引言 简要阐述信息安全风险评估的含义,以及风险评估工作对于信息系统安全保障的重要作用 从风险管理风险管理角度,运用科学的方法和手段,系统地分析信息系统信息系统所面临的威胁威胁及其存在的脆弱性脆弱性,评估安全事件一旦发生可能造成的危害程度危害程度,提出有针对性的抵御威胁的防护对策防护对策和整改措施,为
176、防范和化解信息安全风险,将风险控制在可接受的水平可接受的水平,最大限度地保障信息安全提供科学依据。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日462009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)271GB/T20984GB/T20984 20072007 引言(续) 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。2009年12月28日信息安全国家标准宣贯培训
177、之信息安全管理体系(ISMS)272GB/T20984GB/T20984 20072007 1范围 阐明该标准所涵盖的内容范围和适用范围 风险评估的基本概念、要素关系、分析原理、实施流程和评估方法; 风险评估在信息系统生命周期不同阶段的实施要点和工作形式。 适用于规范组织开展的风险评估工作。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)273GB/T20984GB/T20984 20072007 2规范性引用文件 提供该标准正文中所引用的相关标准或规范性文件的信息 GB/T9361计算机场地安全要求 GB178591999计算机信息系统安全保护等级划分准则 GB/
178、T183362001信息技术安全技术信息技术安全性评估准则(ISO/IEC15408:1999,IDT) GB/T197162005信息技术信息安全管理实用规则(ISO/IEC17799:2000,IDT)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)274GB/T20984GB/T20984 20072007 3术语和定义 3.1资产 asset 3.2资产价值 assetvalue 3.3可用性 availability 3.4业务战略 businessstrategy 3.5保密性 confidentiality 3.6信息安全风险 informations
179、ecurityrisk 3.7(信息安全)风险评估 (informationsecurity)riskassessment 3.8信息系统 informationsystem2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)275GB/T20984GB/T20984 20072007 3术语和定义(续) 3.9检查评估 inspectionassessment 3.10完整性 integrity 3.11组织 organization 3.12残余风险 residualrisk 3.13自评估 selfassessment 3.14安全事件 securityincid
180、ent 3.15安全措施 securitymeasure 3.16安全需求 securityrequirement 3.17威胁 threat 3.18脆弱性 vulnerability2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)276GB/T20984GB/T20984 20072007 4风险评估框架及流程 4.1风险要素关系 阐明风险评估的基本要素以及各要素之间的关系 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日472009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)277GB/T20984GB/T2
181、0984 20072007 4风险评估框架及流程(续) 4.2风险分析原理 阐明风险分析的原理和过程 2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)278GB/T20984GB/T20984 20072007 4风险评估框架及流程(续) 4.2风险分析原理(续) 修正(个人观点)威胁识别与分析威胁识别与分析脆弱性识别与分析脆弱性识别与分析影响识别与分析影响识别与分析资产识别与分析资产识别与分析威胁潜力威胁潜力(威胁主体动机+威胁行为能力)(威胁主体动机+威胁行为能力)脆弱程度脆弱程度影响程度影响程度安全事件发生的可能性安全事件发生的可能性安全事件后果的严重性安全事
182、件后果的严重性2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)279GB/T20984GB/T20984 20072007 4风险评估框架及流程(续) 4.3实施流程 阐述风险评估实施流程2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)280GB/T20984GB/T20984 20072007 5风险评估实施 5.1风险评估准备 阐明风险评估实施之前的各项准备工作 a)确定风险评估的目标 b)确定风险评估的范围 c)组建适当的评估管理与实施团队 d)进行系统调研 e)确定评估依据和方法 f)制定风险评估方案 g)获得最高管理者对风险评估
183、工作的支持2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)281GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.2 资产识别 5.2.1资产分类说明资产的价值判定原则以及资产的分类 资产的价值不是仅以资产的经济价值来衡量,而是由资产在保密性、完整性和可用性这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。数据、软件、硬件、服务、人员等类型 5.2.2资产赋值给出资产保密性、完整性和可用性的赋值参考,以及资产重要性等级评定方法 2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)282G
184、B/T20984GB/T20984 20072007 5风险评估实施(续) 5.3威胁识别 5.3.1威胁分类给出威胁的分类方法威胁来源的分类方法基于表现形式的威胁分类方法 5.3.2威胁赋值给出威胁的赋值方法基于威胁出现频率的赋值方法信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日482009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)283GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.4 脆弱性识别 5.4.1脆弱性识别内容给出脆弱性识别的内容技术脆弱性:物理环境、网络结构、系统软件、应用中间件、应用系
185、统管理脆弱性:技术管理、组织管理识别方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)284GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.4 脆弱性识别 5.4.2脆弱性赋值脆弱性赋值方法“可以根据脆弱性对资产的暴露程度、技术实现的难易程度难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度严重程度进行赋值。”“表10 脆弱性严重程度赋值表”实际是对 “影响”风险要素的赋值。准确来讲“脆弱性”风险要素的赋值应是对脆弱性被利用的难易程度进行赋值。2009年12月28日信
186、息安全国家标准宣贯培训之信息安全管理体系(ISMS)285GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.5已有安全措施确认 已有安全措施的确认方法 安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁,抑制了安全事件带来的影响抑制了安全事件带来的影响。 对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。 对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。 安全措施:预防性安全措施、保护性安全措施2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)286GB
187、/T20984GB/T20984 20072007 5风险评估实施(续) 5.6 风险分析 5.6.1风险计算原理风险值R(A,T,V) R(L(T,V),F(Ia,Va)?R:安全风险计算函数?A:资产?T:威胁潜力?V:脆弱程度(即脆弱性被利用的难易程度)?Ia:对资产的影响程度:对资产的影响程度?Va:资产所具有的价值:资产所具有的价值?L:威胁利用脆弱性导致安全事件的可能性?F:安全事件发生后造成的损失2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)287GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.6 风险分析(续) 5
188、.6.2风险结果判定给出风险评估结果等级判定方法五级划分?5:很高?4:高?3:中等?2:低?1:很低2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)288GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.6 风险分析(续) 5.6.3 风险处理计划给出风险处理计划的内容明确采取的弥补脆弱性、抵御威胁抵御威胁、抑制影响抑制影响的安全措施、预期效果、实施条件、进度安排、责任部门等。风险处理方式?规避风险?转移风险?降低风险?接受风险信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日492009年12月28日信息
189、安全国家标准宣贯培训之信息安全管理体系(ISMS)289GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.6 风险分析(续) 5.6.4残余风险评估残余风险的评估方法判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施,也可做适当裁减。若残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)290GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.7风险评估文档记录 5
190、.7.1风险评估文档记录的要求给出风险评估文档记录的要求?得到批准、可识别更改、分发受控、防止作废文件被使用?规定其标识、储存、保护、检索、保存期限以及处置所需的控制。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)291GB/T20984GB/T20984 20072007 5风险评估实施(续) 5.7风险评估文档记录(续) 5.7.2风险评估文档风险评估文档的组成a)风险评估方案b)风险评估程序c)资产识别清单d)重要资产清单e)威胁列表f)脆弱性列表2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)292GB/T20984GB/T20
191、984 20072007 5风险评估实施(续) 5.7风险评估文档记录(续) 5.7.2风险评估文档(续)g)已有安全措施确认表h)风险评估报告i)风险处理计划j)风险评估记录2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)293GB/T20984GB/T20984 20072007 6信息系统生命周期各阶段的风险评估 阐明信息系统生命周期各阶段风险评估的含义,并分别说明规划阶段、设计阶段、实施阶段以及运行维护阶段的风险评估工作重点 6.1信息系统生命周期概述 6.2规划阶段的风险评估 6.3设计阶段的风险评估 6.4实施阶段的风险评估 6.5运行维护阶段的风险评估
192、 6.6废弃阶段的风险评估2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)294GB/T20984GB/T20984 20072007 6信息系统生命周期各阶段的风险评估(续) 信息系统生命周期各阶段安全活动信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日502009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)295GB/T20984GB/T20984 20072007 7风险评估的工作形式 7.1概述 概述风险评估的工作形式 两种形式:自评估、检查评估 以自评估为主,自评估和检查评估相互结合、互为补充。 7.2自
193、评估 给出自评估的工作要求 信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。 由发起方实施或委托风险评估服务技术支持方实施。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)296GB/T20984GB/T20984 20072007 7风险评估的工作形式 7.3检查评估 给出检查评估的工作要求 信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 可在自评估实施的基础上,对关键环节或重点内容实施抽样评估 可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体
194、系(ISMS)297GB/T20984GB/T20984 20072007 附录A(资料性附录) 风险的计算方法 介绍目前通用的风险计算方法 A.1使用矩阵法计算风险 A.2使用相乘法计算风险2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)298GB/T20984GB/T20984 20072007 附录B(资料性附录) 风险评估的工具 介绍风险评估与管理工具 B.1风险评估与管理工具 基于信息安全标准的风险评估与管理工具 基于知识的风险评估与管理工具 基于模型的风险评估与管理工具2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)299GB
195、/T20984GB/T20984 20072007 附录B(资料性附录) 风险评估的工具(续) B.2系统基础平台风险评估工具 脆弱性扫描工具基于网络的扫描器基于主机的扫描器分布式网络扫描器数据库脆弱性扫描器 渗透性测试工具2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)300GB/T20984GB/T20984 20072007 附录B(资料性附录) 风险评估的工具(续) B.3 风险评估辅助工具 检查列表 入侵检测系统 安全审计工具 拓扑发现工具 资产信息收集系统 其他:如评估指标库、知识库、漏洞库、算法库、模型库等。信息安全国家标准宣贯培训之信息安全管理体系(
196、ISMS)2009年12月28日512009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)301第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4 标准解读3.4 标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范GB/T 20988-2007信息安全技术信息系统灾难恢复规范GB/T 20988-20
197、07信息安全技术信息系统灾难恢复规范 GB/Z209852007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)302GB/T20988GB/T20988 20072007 标准名称 中文:信息安全技术信息系统灾难恢复规范 英文:InformationsecuritytechniquesDisasterrecoveryspecificationsforinformationsystems 标准号:GB/T209882007 中标分类:L80 采标情况:自主研制2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISM
198、S)303GB/T20988GB/T20988 20072007 发布日期:2007614 实施日期:2007111 发布单位 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)304GB/T20988GB/T20988 20072007 标准简介 该标准规定了信息系统灾难恢复应遵循的基本要求。该标准适用于信息系统灾难恢复的规划、审批、实施和管理。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)305GB/T20988GB/T20988 20072007 标准结构 前言 引言
199、1范围 2规范性引用文件 3术语和定义 4灾难恢复概述 5灾难恢复需求的确定 6灾难恢复策略的制定 7灾难恢复策略的实现2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)306GB/T20988GB/T20988 20072007 标准结构(续) 附录A(规范性附录) 灾难恢复能力等级划分 附录B(资料性附录) 灾难恢复预案框架 附录C(资料性附录) 某行业RTO/RPO与灾难恢复能力等级的关系示例信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日522009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)307GB/T2
200、0988GB/T20988 20072007 前言 给出该标准编制和管理相关的信息 引言 该标准参照和借鉴国内外相关标准,结合国家重要信息系统行业技术发展和实践经验制定而成。 各行业可根据行业特点和信息技术的应用情况制定相应的信息系统灾难恢复能力等级要求和指标体系。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)308GB/T20988GB/T20988 20072007 1范围 该标准规定了信息系统灾难恢复应遵循的基本要求。 该标准适用于信息系统灾难恢复的规划、审批、实施和管理。 2规范性引用文件 GB/T5271.82001信息技术词汇第8部分:安全2009年1
201、2月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)309GB/T20988GB/T20988 20072007 3术语和定义 3.1灾难备份中心 backupcenterfordisasterrecovery 3.2灾难备份 backupfordisasterrecovery 3.3灾难备份系统 backupsystemfordisasterrecovery 3.4业务连续管理 businesscontinuitymanagement(BCM) 3.5业务影响分析 businessimpactanalysis(BIA) 3.6关键业务功能 criticalbusinessfunc
202、tions 3.7数据备份策略 databackupstrategy2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)310GB/T20988GB/T20988 20072007 3术语和定义(续) 3.8灾难 disaster 3.9灾难恢复 disasterrecovery 3.10灾难恢复预案 disasterrecoveryplan 3.11灾难恢复规划 disasterrecoveryplanning(DRP) 3.12灾难恢复能力 disasterrecoverycapability 3.13演练 exercise 3.14场外存放 offsitestor
203、age 3.15主中心 primarycenter/主站点 primarysite/生产中心 productioncenter2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)311GB/T20988GB/T20988 20072007 3术语和定义(续) 3.16主系统 primarysystem/生产系统productionsystem 3.17区域性灾难 regionaldisaster 3.18恢复时间目标 recoverytimeobjective 3.19恢复点目标 recoverypointobjective2009年12月28日信息安全国家标准宣贯培训
204、之信息安全管理体系(ISMS)312GB/T20988GB/T20988 20072007 3术语和定义(续) 3.20重续 resumption 3.21回退 return/复原 restoration信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日532009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)313GB/T20988GB/T20988 20072007 4灾难恢复概述 4.1灾难恢复的工作范围 灾难恢复规划灾难恢复需求的确定灾难恢复策略的制定灾难恢复策略的实现灾难恢复预案的制定、落实和管理 灾难备份中心的日常运行 关键业务功能在
205、灾难备份中心的恢复和重续运行 主系统的灾后重建和回退工作 突发事件发生后的应急响应2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)314GB/T20988GB/T20988 20072007 4灾难恢复概述(续) 4.2灾难恢复的组织机构 4.2.1组织机构的设立由管理、业务、技术和行政后勤等人员组成?灾难恢复领导小组?灾难恢复规划实施组?灾难恢复日常运行组。可聘请具有相应资质的外部专家,也可委托具有相应资质的外部机构。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)315GB/T20988GB/T20988 20072007 4灾难恢复
206、概述(续) 4.2灾难恢复的组织机构(续) 4.2.2组织机构的职责灾难恢复领导小组:审核并批准经费预算、灾难恢复策略、预案、预案的执行。灾难恢复规划实施组:需求分析、策略和等级提出、策略实现、预案制定、预案测试和演练。灾难恢复日常运行组:灾难恢复系统实施、日常管理、系统运维、专业技术支持、教育/培训/演练、预案维护和管理、损失控制和损害评估、信息系统和业务功能恢复、外部协作。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)316GB/T20988GB/T20988 20072007 4灾难恢复概述(续) 4.3灾难恢复规划的管理 评估分析、筹备资源、制定计划、监管
207、活动、跟踪进展、问题管理、变更管理。 4.4灾难恢复的外部协作 与相关管理部门、设备及服务提供商、电信、电力、新闻媒体等保持联络和协作; 确保在灾难发生时能及时通报准确情况和获得适当支持。 4.5灾难恢复的审计和备案 审计和备案灾难恢复的等级评定、预案制定。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)317GB/T20988GB/T20988 20072007 5灾难恢复需求的确定 5.1风险分析 标识信息系统的资产资产价值,识别信息系统面临的自然的和人为的威胁威胁,识别信息系统的脆弱性脆弱性,分析各种威胁发生的可能性并定量或定性描述可能造成的损失损失,识别现有
208、的风险防范和控制措施控制措施。 通过技术和管理手段技术和管理手段,防范或控制信息系统的风险。 依据防范或控制风险的可行性和残余风险残余风险的可接受程度,确定对风险的防范和控制措施。 参考GB/T209842007信息安全技术信息安全风险评估规范2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)318GB/T20988GB/T20988 20072007 5灾难恢复需求的确定(续) 5.2业务影响分析 5.2.1分析业务功能和相关资源配置明确相关信息的保密性、完整性和可用性要求。 5.2.2评估中断影响采用定量和/或定性的方法。 5.3确定灾难恢复目标 关键业务功能及恢
209、复的优先顺序; 灾难恢复时间范围,即RTO和RPO的范围。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日542009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)319GB/T20988GB/T20988 20072007 6灾难恢复策略的制定 6.1 灾难恢复策略制定的要素 6.1.1灾难恢复资源要素数据备份系统备用数据处理系统备用网络系统备用基础设施专业技术支持能力运行维护管理能力灾难恢复预案2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)320GB/T20988GB/T20988 20072007 6灾难恢复
210、策略的制定(续) 6.1灾难恢复策略制定的要素 6.1.2成本效益分析原则根据灾难恢复目标,按照成本风险平衡原则,确定每项关键业务功能的灾难恢复策略。 6.1.3灾难恢复策略的组成灾难恢复资源的获取方式;灾难恢复能力等级,或灾难恢复资源各要素的具体要求。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)321GB/T20988GB/T20988 20072007 6灾难恢复策略的制定(续) 6.2灾难恢复资源的获取方式 数据备份系统:自建、租用 备用数据处理系统:预定、购买、租用 备用网络系统:预定、购买、租用 备用基础设施:自建、共建、租用 专业技术支持能力:专职、
211、外援、兼职 运行维护管理能力:自行、委托 灾难恢复预案:自制、咨询、委托2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)322GB/T20988GB/T20988 20072007 6灾难恢复策略的制定(续) 6.3 灾难恢复资源的要求 数据备份系统:数据备份的范围、时间间隔、技术及介质、线路速率和设备规格 备用数据处理系统:数据处理能力、与主系统的兼容性、平时状态(就绪或运行) 备用网络系统:通信技术和线路带宽、通信设备功能和容量 备用基础设施:与主中心的距离、场地和环境、运行维护和管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)3
212、23GB/T20988GB/T20988 20072007 6灾难恢复策略的制定(续) 6.3 灾难恢复资源的要求(续) 专业技术支持能力:软件/硬件/网络的技术支持、技术支持的组织架构、技术支持人员的数量和素质 运行维护管理能力:组织架构、人员的数量和素质、管理制度 灾难恢复预案:整体、制定过程、教育/培训/演练、管理2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)324GB/T20988GB/T20988 20072007 7灾难恢复策略的实现 7.1灾难备份系统技术方案的实现 7.1.1技术方案的设计数据备份系统、备用数据处理系统、备用网络系统的技术方案 7.
213、1.2技术方案的验证、确认和系统开发确保技术方案满足灾难恢复策略的要求 7.1.3系统安装和测试确认各项功能可正确实现信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日552009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)325GB/T20988GB/T20988 20072007 7灾难恢复策略的实现(续) 7.2灾难备份中心的选择和建设 7.2.1选址原则避免与主中心遭受同类风险两种类型:同城、异地完备的通信、电力、交通等基础设施统筹规划、资源共享、平战结合 7.2.2基础设施的要求计算机机房符合国家标准工作辅助设施和生活设施符合灾难恢复
214、目标2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)326GB/T20988GB/T20988 20072007 7灾难恢复策略的实现(续) 7.3专业技术支持能力的实现 建立相应的技术支持组织 定期对技术支持人员进行技能培训 7.4运行维护管理能力的实现 建立各种操作规程和管理制度2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)327GB/T20988GB/T20988 20072007 7灾难恢复策略的实现(续) 7.5灾难恢复预案的实现 7.5.1灾难恢复预案的制定原则:完整性、易用性、明确性、有效性、兼容性过程:起草、评审、测试、
215、完善、审核和批准 7.5.2灾难恢复预案的教育、培训和演练初期宣传教育培训需求评估、培训课程开发、培训记录演练计划演练记录和报告定期完整演练(至少每年一次)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)328GB/T20988GB/T20988 20072007 7灾难恢复策略的实现(续) 7.5灾难恢复预案的实现(续) 7.5.3灾难恢复预案的管理保存和分发原则:专人负责、多份拷贝、分散保存、人手一份、统一更新、旧版销毁维护和变更管理:业务流程/信息系统/人员的变更、测试/演练/实战的详细记录和效果评估以及预案相应修订、预案定期评审和修订(至少每年一次)2009
216、年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)329GB/T20988GB/T20988 20072007 附录A(规范性附录) 灾难恢复能力等级划分 A.1第1级 基本支持 A.2第2级 备用场地支持 A.3第3级 电子传输和部分设备支持 A.4第4级 电子传输及完整设备支持 A.5第5级 实时数据传输及完整设备支持 A.6第6级 数据零丢失和远程集群支持2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)330GB/T20988GB/T20988 20072007 附录A(规范性附录) 灾难恢复能力等级划分(续) A.7灾难恢复能力等级评定原则
217、 同时满足7个要素的相应要求 A.8灾难备份中心的等级 等级等于其可支持的灾难恢复最高等级信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日562009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)331GB/T20988GB/T20988 20072007 附录B(资料性附录) 灾难恢复预案框架 B.1目标和范围 B.2组织和职责 B.3联络与通讯 B.4突发事件响应流程 B.4.1事件通告 B.4.2人员疏散 B.4.3损害评估 B.4.4灾难宣告2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)332GB/T209
218、88GB/T20988 20072007 附录B(资料性附录) 灾难恢复预案框架(续) B.5恢复及重续运行流程 B.5.1恢复 B.5.2重续运行 B.6灾后重建和回退 B.7预案的保障条件 B.8预案附录2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)333GB/T20988GB/T20988 20072007 附录C(资料性附录) 某行业RTO/RPO与灾难恢复能力等级的关系示例 C.1RTO/RPO与灾难恢复能力等级的关系 信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系; 各行业可根据行业特点和信息技术的应用情况制定
219、相应的灾难恢复能力等级要求和指标体系。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)334第三部分第三部分第三部分第三部分 ISMSISMS国家标准解读国家标准解读国家标准解读国家标准解读 3.1国家标准化组织 3.2正式发布的国家标准 3.3报批中的国家标准 3.4 标准解读3.4 标准解读 GB/T220802008信息技术安全技术信息安全管理体系 要求 GB/T220812008信息技术安全技术信息安全管理实用规则 GB/T209842007信息安全技术信息安全风险评估规范 GB/T209882007信息安全技术信息系统灾难恢复规范GB/Z 20985-20
220、07信息技术安全技术信息安全事件管理指南GB/Z 20985-2007信息技术安全技术信息安全事件管理指南2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)335GB/Z20985GB/Z20985 20072007 标准名称 中文:信息技术安全技术信息安全事件管理指南 英文:Informationtechnology Securitytechniques Informationsecurityincidentmanagementguide 标准号:GB/Z209852007 中标分类:L80 采标情况:ISO/IECTR18044:2004,MOD2009年12月2
221、8日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)336GB/Z20985GB/Z20985 20072007 发布日期:2007614 实施日期:2007111 发布单位 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日572009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)337GB/Z20985GB/Z20985 20072007 标准简介 该指导性技术文件描述了信息安全事件的管理过程,提供了规划和制定信息安全事件管理策略和方案的指南,给出了管理信息安全事件和开展后
222、续工作的相关过程和规范。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)338GB/Z20985GB/Z20985 20072007 标准结构 前言 引言 1范围 2规范性引用文件 3术语和定义 4缩略语2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)339GB/Z20985GB/Z20985 20072007 标准结构(续) 5背景 6信息安全事件管理方案的益处及需要应对的关键问题 7规划和准备 8使用 9评审 10改进2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)340GB/Z20985GB/Z20985
223、 20072007 标准结构(续) 附录A(资料性附录) 信息安全事态和事件报告单示例 附录B(资料性附录) 信息安全事件评估要点指南示例 附录C(资料性附录) 本指导性技术文件与ISO/IECTR18044:2004技术性差异及其原因 参考文献2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)341GB/Z20985GB/Z20985 20072007 前言 给出该指导性技术文件编制和管理相关的信息 GB/Z209852007修改采用ISO/IECTR18044:2004。 鉴于ISO/IECTR18044:2004是技术报告,GB/Z209852007作为指导性技
224、术文件发布。 GB/Z209852007对ISO/IECTR18044:2004最主要的修改是增加引用我国自主编制的GB/Z209862007信息安全技术信息安全事件分类分级指南,并对文本中的相关章节和附录进行了相应补充和修改。相关详情,参见附录C。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)342GB/Z20985GB/Z20985 20072007 引言 作为GB/Z209852007的编制背景,简要阐述信息安全事件管理的必要性和工作内容 总会有信息安全事件发生,往往是意料之外的,甚至是未知的。 在发生信息安全事件时,有序、有力、有效地采取应对措施,稳定局面
225、,降低负面影响并尽快恢复系统是至关重要的。 采用一种结构严谨、计划周全的方法来全程管理信息安全事件是十分必要的。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日582009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)343GB/Z20985GB/Z20985 20072007 引言(续) 全程管理:事前要做好规划和准备,事中要及时发现、报告、评估和判断并有效抑制和取证,事后要消除根源、恢复系统、总结经验和寻求改进,以及不论事件是否发生都要定期/应需评审和持续改进。 全程活动:规划、准备、发现、报告、评估、判断、抑制、取证、根除、恢复、评审和改
226、进的整个过程。 持续改进:信息安全事件管理过程应是循环迭代的持续改进过程。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)344GB/Z20985GB/Z20985 20072007 1范围 界定GB/Z209852007的适用范围 内容范围 信息安全事件管理的过程模型和过程中各阶段的步骤及其指南 。 对象范围 信息安全管理者以及信息系统、服务和网络管理者 。 任何与信息安全事件相关或对信息安全事件管理感兴趣的人员。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)345GB/Z20985GB/Z20985 20072007 2规范性引用文
227、件 提供正文中所引用的相关标准或规范性文件的信息 GB/T197162005信息技术信息安全管理实用规则(修改采用ISO/IEC17799:2000) GB/Z209862007信息安全技术信息安全事件分类分级指南 ISO/IEC133351:2004信息技术安全技术信息和通信技术安全管理第1部分:信息和通信技术安全管理的概念和模型2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)346GB/Z20985GB/Z20985 20072007 3术语和定义 业务持续性规划 businesscontinuityplanning 业务持续性是组织业务层面的安全目标,其实现需
228、要人财物等各方面的安全保障,其中信息安全保障是不可或缺的。 在进行业务持续性规划时需要全面考虑包括信息安全要素在内的多方面要素以及要素之间的关系,以便形成一个全面、互补、协同的业务连续性的保障体系。 信息安全事态 informationsecurityevent 信息安全事件 informationsecurityincident2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)347GB/Z20985GB/Z20985 20072007 3术语和定义(续) 信息安全事件响应组(ISIRT)InformationSecurityIncidentResponseTeam
229、 ISIRT在信息安全事件响应中扮演着重要角色,但不是全部角色,需要各种相关人员的配合和支持 。 ISIRT可以由一个或多个人组成。 ISIRT的组建方式可以是自建也可以是外包,这取决于组织的业务性质和安全策略。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)348GB/Z20985GB/Z20985 20072007 4缩略语 CERT计算机应急响应组(ComputerEmergencyResponseTeam) ISIRT信息安全事件响应组(InformationSecurityIncidentResponseTeam) CERT与ISIRT属于同类机构,只是名
230、称不同而已。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日592009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)349GB/Z20985GB/Z20985 20072007 5背景 5.1目标 明确信息安全事件管理的地位、方法和目标 信息安全事态的及时发现、有效处理(主要是报告)和准确判断(即确定是否属于信息安全事件); 信息安全事件的正确评估和恰当、有效的响应(包括最小化负面影响的安全措施); 事后的经验总结和改进(既有信息安全措施的改进,也有信息安全事件管理方案的改进)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系
231、(ISMS)350GB/Z20985GB/Z20985 20072007 5背景 5.2过程 概述信息安全事件管理的过程 5.2.1规划和准备(PlanandPrepare)概述第一阶段“规划和准备”的主要活动 5.2.2使用(Use)概述第二阶段“使用”的主要活动 5.2.3评审(Review)概述第三阶段“评审”的主要活动 5.2.4改进(Improve)概述第四阶段“改进”的主要活动2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)351GB/Z20985GB/Z20985 20072007 6信息安全事件管理方案的益处及需要应对的关键问题 6.1信息安全事件管
232、理方案的益处 列举有效的信息安全事件管理方案所带来的益处 一、提高安全保障水平 二、降低对业务的负面影响 三、强化着重预防信息安全事件 四、强化调查的优先顺序和证据 五、有利于预算和资源合理利用 六、改进风险分析和管理评审结果 七、增强信息安全意识和提供培训计划材料 八、为信息安全策略及相关文件的评审提供信息2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)352GB/Z20985GB/Z20985 20072007 6信息安全事件管理方案的益处及需要应对的关键问题 6.2关键问题 阐述实现良好信息安全事件管理方案的关键问题 一、管理层的承诺 二、安全意识 三、法律法
233、规 四、运行效率和质量 五、匿名性 六、保密性 七、可信运行 八、系统化分类2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)353GB/Z20985GB/Z20985 20072007 7规划和准备 列出信息安全事件管理在规划和准备阶段的工作要点 信息安全事件管理策略和方案(包括相关规程)以及信息安全事态/事件报告单是开展信息安全事件管理工作的依据。 信息安全事件管理的组织结构和人员是执行信息安全事件管理策略和方案的主体。 信息安全意识、知识和技能的教育与培训是有效执行信息安全事件管理策略和方案的保障。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系
234、(ISMS)354GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.1概述信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日602009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)355GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.2信息安全事件管理策略 阐明信息安全事件管理策略的目的、相关者、内容 目的信息安全事件管理的灵魂,为每一位合法访问组织的信息、信息系统及其支撑环境的人员提供应对信息安全事态/事件的指导原则和行为规范。2009年12月28日信息安全国家标准宣贯培训之信息安
235、全管理体系(ISMS)356GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.2信息安全事件管理策略(续) 要点形成文件,由组织的最高管理层来正式批准和发布,使其对组织的所有成员和合作伙伴可用;制定并实施相关的意识教育和技能培训计划;编制并下发相应的工作文件和模板。 内容a)事前指导;b)事发指导;c)评估指导;d)处理指导;e)取证指导;f)事后指导;g)文件指导;h)执行指导;i)宣贯指导;j)合规指导。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)357GB/Z20985GB/Z20985 20072007 7规划和准备(续)
236、7.3信息安全事件管理方案 阐明信息安全事件管理方案的目的、相关者、内容、规程、测试 目的为参与信息安全事件管理的所有人员提供针对信息安全事态/事件所进行的发现、报告、评估、判断、抑制、取证、根除、恢复、总结、评审和改进等活动的指南文件,为这些活动给出有关责任分配、操作规程、工作表单、评估准则和支持工具等方面的详细说明。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)358GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.3信息安全事件管理方案(续) 要点符合信息安全事件管理策略;根据事件或产品类型制定可操作的规程;形成经过检查的正式规
237、程文件并便于使用;为每个规程文件指明其使用和管理的负责人员;对那些敏感的规程不对外公开。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)359GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.4信息安全和风险管理策略 在信息安全和风险管理策略中包含信息安全事件管理的目的、内容 目的将信息安全事件管理策略融入信息安全和风险管理策略中,不论是在组织的总体层面,还是在具体的系统、网络和服务层面 。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)360GB/Z20985GB/Z20985 20072007 7规划和准
238、备(续) 7.4信息安全和风险管理策略 (续) 要点更新总体信息安全和风险管理策略以及具体系统、服务和网络的信息安全策略,使之体现信息安全事件管理方面的内容,以确保各项信息安全相关策略的一致性。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日612009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)361GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.5ISIRT的建立 阐明ISIRT的目的、规模、结构、成员、权限、与组织其他部门的关系、与外部方的关系 目的为信息安全事件处理(包括评估、判断、抑制、取证、根除、恢
239、复、总结、评审和改进)信息安全事件提供合格的人员和有效的组织。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)362GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.5ISIRT的建立(续) 要点与组织的规模和结构相适应;选用合格的专业人员和业务人员;明确ISIRT管理者和成员的权利和职责;明确与组织其他部门的关系;与外部方建立适当关系;确保可以随时与ISIRT成员联系;具备协调、专业、应对、预防和外联能力。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)363GB/Z20985GB/Z20985 20072
240、007 7规划和准备(续) 7.6技术和其他支持 阐述信息安全事件管理的技术手段和其他支持 目的及时、有效地应对信息安全事件。 要点认真挑选、正确实施和定期测试所有技术手段;保持响应信息安全事件的任何技术手段具有一定独立性,避免在主体信息系统、服务或网络上运行,可能时做到完全独立。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)364GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.7意识和培训 阐述信息安全事件管理的意识教育和技能培训 目的得到组织内有适当信息安全意识并经过培训的人员支持。2009年12月28日信息安全国家标准宣贯培训
241、之信息安全管理体系(ISMS)365GB/Z20985GB/Z20985 20072007 7规划和准备(续) 7.7意识和培训(续) 要点作为总体信息安全意识教育和能力培训计划的必要组成部分,将信息安全事件管理灌输给所有相关人员;根据参与信息安全事件管理方案的方式、频度和重要程度的不同,进行不同级别的培训;培训内容得到运行支持组、ISIRT成员以及信息安全相关人员的具体演练和测试;信息安全事件管理方案开始运行之前,所有相关人员熟悉自己的角色和职责,并有能力完成被赋予的任务。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)366GB/Z20985GB/Z20985
242、20072007 8使用 8.1概述信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日622009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)367GB/Z20985GB/Z20985 20072007 8使用(续) 8.2关键过程的概述 发现和报告信息安全事态。 收集信息,评估和判断(包括运行支持组的第一次和ISIRT的第二次)是否属于信息安全事件。 判断信息安全事件是否处于ISIRT的可控范围:如果可控,则ISIRT继续实施后续响应措施;否则,启动“危机求助”行动(例如,机房发生重大火灾时,求助消防部门)。 上报高层管理。 记录所有活动。
243、获取和保管法律有效证据。 更新信息安全事态/事件数据库。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)368GB/Z20985GB/Z20985 20072007 8使用(续) 8.3发现和报告 阐述信息安全事态/事件的发现和报告 手段通过人工或自动方式发现信息安全事态。填写和提交信息安全事态报告单。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)369GB/Z20985GB/Z20985 20072007 8使用(续) 8.3发现和报告(续) 要点在第一时间按照事先规定的报告规程(包括职责、内容、流程和途径等)进行报告;尽量使用叙述性
244、文字和当时可用的其他信息完成信息安全事态报告单,必要时与其所在部门管理者取得联系;报告单最好采用电子格式,并且以安全的方式发送;填写信息安全事态报告单时,不仅力求准确性而且及时性;报告途径有备用方式,以备在默认电子报告机制出现安全问题或安全隐患时使用。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)370GB/Z20985GB/Z20985 20072007 8使用(续) 8.4事态/事件评估和决策 阐述信息安全事态/事件的第一次和第二次评估与判断 步骤运行支持组进行第一次评估并作出初始判定。ISIRT进行第二次评估并作出最终判定。2009年12月28日信息安全国家
245、标准宣贯培训之信息安全管理体系(ISMS)371GB/Z20985GB/Z20985 20072007 8使用(续) 8.4事态/事件评估和决策(续) 要点将信息安全事态报告单填写完毕;尽可能地将信息安全事件报告单填写完整;当被确定为重大信息安全事件时,直接通知ISIRT管理者;如果事件的严重性到达危机程度,通知业务连续性管理者和高层管理。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)372GB/Z20985GB/Z20985 20072007 8使用(续) 8.5响应 阐述立即响应及其措施、事件信息的更新、进一步的响应活动、如何判断和处理事件是否可控、后续响应措
246、施、“危机求助”行动、法律取证分析、事件通报、事件上报、事件响应的活动日志和变更控制信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日632009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)373GB/Z20985GB/Z20985 20072007 8使用(续) 8.5响应(续) 步骤一旦判定所报确属信息安全事件,ISIRT作出立即响应,包括采取抑制事件发展、根除事件原因、更新事件信息、法律取证分析、通报相关人员和上报高层管理。判断信息安全事件是否处于控制之下。如果已经处于控制之下,则可以采取后续响应,包括将受影响的信息系统、服务和网络恢复到
247、正常运行,将响应结果的细节记录到信息安全事件报告单中并存入信息安全事态/事件数据库等;否则就应启动“危机救助”行动,包括业务连续性计划,以及防火、防洪和防爆等应急预案的启用。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)374GB/Z20985GB/Z20985 20072007 9评审 9.1概述2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)375GB/Z20985GB/Z20985 20072007 9评审 9.2进一步的法律取证分析 阐述进一步的法律取证分析 要点信息安全事件被解决后,可能依然需要进行法律取证分析以进一步确定证据
248、。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)376GB/Z20985GB/Z20985 20072007 9评审 9.3经验教训 阐述如何总结经验教训 要点一旦信息安全事件的处理工作结束,迅速从信息安全事件中总结经验教训,提出改进建议并立即付诸实施。 方面信息安全策略、规程和控制措施。信息安全事件管理方案及其过程、信息安全事态/事件报告单及其数据库。 方法分析事件的发展趋势和发生模式;对信息系统、服务和网络进行全面的脆弱性评估和安全测试。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)377GB/Z20985GB/Z20985 20
249、072007 9评审 9.4确定安全改进 阐述如何确定信息安全的改进 要点根据经验教训的总结结果,确定全新或更改的信息安全策略、规程和控制措施(技术的或非技术的)。尽可能立即实施改进建议和相关措施;但因财务或运作等方面原因不能马上做到时,作为组织的长期目标逐步实行。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)378GB/Z20985GB/Z20985 20072007 9评审 9.5确定方案改进 阐述如何确定信息安全事件管理方案的改进 要点尽快就本次应对信息安全事件的全部过程和整体效果进行评审和评估,并将所得到的经验教训和改进建议反馈到信息安全事件管理方案中。将
250、评审和评估结果形成正式文件存档。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日642009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)379GB/Z20985GB/Z20985 20072007 10改进 10.1概述2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)380GB/Z20985GB/Z20985 20072007 10改进 10.2安全风险分析和管理改进 阐述信息安全风险分析和管理的改进 要点根据信息安全事件的严重程度和影响,考虑新的威胁和脆弱性来评估信息安全风险分析和管理评审的结果。作为完成信息安全
251、风险分析和管理评审更新的后续工作,引入更新的或全新的防护措施(必要时)。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)381GB/Z20985GB/Z20985 20072007 10改进 10.3改善安全状况 阐述信息安全状态的改善 要点执行评审阶段提出的有关信息安全的改进建议,包括修订信息安全策略和规程,实施新的信息安全控制措施或更改现有信息安全控制措施等。通过各种沟通渠道迅速将因改进引起的变更通知到所有相关人员。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)382GB/Z20985GB/Z20985 20072007 10改进
252、10.4改进方案 阐述信息安全事件管理方案的改进 要点在认真评审和判断评审阶段提出的有关信息安全事件管理方案的改进建议之后,修订信息安全事件管理方案,包括更改信息安全事件管理过程、规程和信息安全事态/事件报告单等。上述任何更改都应经过全面检查和测试后方可投入使用。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)383GB/Z20985GB/Z20985 20072007 10改进 10.5其他改进 阐述其他信息安全的相关改进 要求执行评审阶段确定其他信息安全相关的改进建议,如信息安全标准和技术的变更,IT硬件和软件配置的变更等。2009年12月28日信息安全国家标准
253、宣贯培训之信息安全管理体系(ISMS)384GB/Z20985GB/Z20985 20072007 附录A(资料性附录) 信息安全事态和事件报告单示例 给出信息安全事态和事件报告单模版及其填写说明 信息安全事态报告单内容 信息安全事态的基本信息; 报告人的详细情况; 信息安全事态的描述; 信息安全事态的细节。信息安全国家标准宣贯培训之信息安全管理体系(ISMS)2009年12月28日652009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)385GB/Z20985GB/Z20985 20072007 附录A(资料性附录) 信息安全事态和事件报告单示例(续) 信息安全事件报
254、告单内容 信息安全事件的基本信息 运行支持组成员的详细情况 ISIRT成员的详细情况 信息安全事件的描述 信息安全事件的细节 信息安全事件的类型(参照GB/Z209862007信息安全技术信息安全事件分类分级指南) 受影响的资产 信息安全事件对业务的负面影响 信息安全事件的全部恢复成本2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)386GB/Z20985GB/Z20985 20072007 附录A(资料性附录) 信息安全事态和事件报告单示例(续) 信息安全事件报告单内容(续) 信息安全事件的解决情况 涉及的人员/作恶者 作恶者的描述 实际的或察觉的动机 已采取的解
255、决事件措施 计划采取的解决事件措施 未完成的措施 事件后果的结论 被通知的个人/实体 涉及的个人(签字)2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)387GB/Z20985GB/Z20985 20072007 附录B(资料性附录) 信息安全事件评估要点指南示例 给出对信息安全事件所导致的后果进行分类和评估的要点指南 信息安全事件的后果类别 财务损失 利益丧失 个人伤害 法规触犯 运行妨碍 声誉损害2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)388GB/Z20985GB/Z20985 20072007 附录B(资料性附录) 信息安全
256、事件评估要点指南示例(续) 将后果的影响程度由低到高分为110十个级别,且从信息安全事件的以下方面考虑: 未授权泄露信息保密性受损; 未授权修改信息完整性受损; 抵赖信息抗抵赖性受损; 信息和/或服务不可用可用性受损; 信息和/或服务遭受破坏完整性和可用性受损。2009年12月28日信息安全国家标准宣贯培训之信息安全管理体系(ISMS)389GB/Z20985GB/Z20985 20072007 附录C(资料性附录) 本指导性技术文件与ISO/IECTR18044:2004技术性差异及其原因 列出GB/Z209852007与ISO/IECTR18044:2004的技术性差异及其原因 最主要的技术性差异 增加引用我国自主编制的GB/Z209862007信息安全技术信息安全事件分类分级指南,并对文本中的相关章节和附录进行了相应补充和修改。谢谢!
