《{企业形象}CISM0201信息安全管理》由会员分享,可在线阅读,更多相关《{企业形象}CISM0201信息安全管理(89页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理,中国信息安全测评中心,课程内容,2,信息安全管理,信息安全管理基础,信息安全管理方法,知识体:信息安全管理基础,知识域: 信息安全管理基本概念 了解信息安全管理的概念和内涵 掌握信息安全管理的对象 理解技管并重的原则,信息安全管理和信息安全技术相互配合一起保障信息系统安全,3,管理与信息安全管理,管理 指挥和控制组织的协调的活动。(- ISO9000:2005 质量管理体系 基础和术语) 管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。 信息安全管理 组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指
2、导、协调和控制等活动,4,组织,信息安全管理,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。 信息安全管理(Information Security Management)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。,5,信息安全管理,6,信息安全管理的对象:包括人员在内的各类信息相关资产。,目标,组织,信息安全管理的需求,7,如果你把钥匙落在锁眼上会怎样? 技
3、术措施需要配合正确的使用才能发挥作用,保险柜就一定安全吗?,8,WO!3G,精心设计的网络防御体系,因违规外连形同虚设,防火墙能解决这样的问题吗?,信息安全管理的需求,9,信息系统是人机交互系统,设备的有效利用是人为的管理过程,信息安全管理的需求,应对风险需要人为的管理过程,信息安全事件不断增加 病毒、木马事件 挂马网站、钓鱼网站 拒绝服务攻击等 系统漏洞呈快速增长趋势 操作系统漏洞 应用软件漏洞,信息安全管理的紧迫性,10,电子政务和电子商务的发展,整个社会信息化的快速发展,对信息安全保障和管理提出了迫切的需求,如果信息安全跟不上去,信息安全的基础性工作跟不上,就会拖信息化的后腿。这是发展的
4、需要,是大势所趋。,信息安全管理的紧迫性,11,信息安全“技管并重”的原则,信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。 对于信息安全,到底是技术更重要,还是管理更重要? 技管并重。,“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则,12,技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全 根本
5、上说,信息安全是个管理过程,而不是技术过程,信息安全管理的作用,13,实施信息安全管理的关键成功因素(CSF),安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立测量体系,用来评估信息安全管理体系的表现,提供反馈建议供改进,14,知识体:信息安全管理基础,知识域:我国信息安全管理体制 了
6、解我国信息安全管理格局 了解国家信息安全管理职能的有关机构和部门,15,信息安全在国家安全中的地位,党和国家长期以来一直十分重视安全保密工作,并从敏感性、特殊性和战略性的高度,至始至终置于党的绝对领导之下。 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素,信息安全是个大问题。必须把安全问题放到至关重要的位置上,认真加以考虑和解决。,16,我国的信息安全管理体制,目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,各相关主管部门分别执行各自的安全职能,共同维护国家的信息安全 国家信息化领导小组(国家网络与信息安全协调小组) 工信部 公安部 国家安全部
7、国家保密局 国家密码管理局 等等,17,我国的信息安全基础设施,中国信息安全测评中心(CNITSEC) 中国信息安全认证中心(ISCCC) 国家计算机网络应急技术处理协调中心(CNCERT/CC) 国家计算机病毒应急处理中心 全国信息安全标准化技术委员会(TC260) 等等,18,知识体:信息安全管理方法,知识域:风险管理基本概念 了解信息安全风险的概念, 理解信息安全风险基本要素,包括资产、威胁、脆弱性和控制措施等术语概念,理解这些要素之间的关系 理解风险管理的定义,理解风险评估、风险处置等基本概念 了解风险评估和风险处置的作用,19,安全风险要素,资产价值,威胁,脆弱性,控制措施,安全风险
8、的基本概念,资产 资产是任何对组织有价值的东西 信息也是一种资产,对组织具有价值 资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 ,21,安全风险的基本概念,威胁 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件 威胁是利用脆弱性来造成后果 威胁举例 黑客入侵和攻击病毒和其他恶意程序 软硬件故障人为误操作 盗窃网络监听 供电故障设置后门 未授权访问自然灾害如:地震、火灾,22,安全风险的基本概念,脆弱性 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。 脆
9、弱性举例 系统漏洞程序Bug 专业人员缺乏不良习惯 缺少审计缺乏安全意识 系统后门 物理环境访问控制措施不当,23,安全风险的基本概念,24,控制措施 管理风险的方法。为达成组织目标提供合理保证,并能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 控制措施的分类: 预防性控制 检查性控制 纠正性控制,控制措施分类,预防性控制措施:在问题发生前潜在问题,并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件,只允许授权用户访问敏感文件 检查性控制:检查控制发生的错误、疏漏或蓄意行为 生产作业中设置检查点 网络通信过程中的Echo控制 内部审计 纠正性控制:减少危害影响,
10、修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程,25,安全风险要素之间的相互关系,26,什么是风险管理,GB/Z 24364信息安全风险管理规范定义: 信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。,了解风险+控制风险=管理风险,通用风险管理定义,定义 是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。 风险管理包括对风险的量度、评估和应变策略。 理想的风险管理,是一连串排好优先次序的过程,使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。,28,为什么要做风险管理,成本与效益平衡 好的风险管理过程可以让机构以最具
11、有成本效益的方式运行,并且使已知的风险维持在可接受的水平 工作条理化 好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。而不是将保贵的资源用于解决所有可能的风险 PDCA过程的要求 风险管理是一个持续的PDCA管理过程,29,风险管理是信息安全保障工作有效工作方式,风险评估是信息安全管理的基础,风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行界定。 信息安全管理机制的建立需要确定信息安全需求 信息安全需求获取的主要手段就是安全风险评估 信息安全风险评估是信
12、息安全管理机制建立的基础,没有风险评估,信息安全管理机制的建立就没有依据。,30,风险处置是信息安全管理的核心,应对风险评估的结果进行相应的风险处置。本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合。 控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。 信息安全管理体系的核心就是这些最佳控制措施的集合。,31,风险管理是信息安全管理的根本方法,32,周期性的风险评估与风险处置活动即形成对风险的动态管理。 动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。,知识体:信息安全管理方法,知识域:信息安全管理体
13、系 理解什么是ISMS 了解ISO/IEC 27000标准族,包括其发展历史和主要标准 了解ISMS的主要特点,了解ISMS的核心是PDCA描述的过程 理解PDCA的特点和含义,33,管理体系相关概念,34,体系 相互关联和相互作用的一组要素。 (- ISO9000:2005 质量管理体系 基础和术语) 管理体系: 建立方针和目标并达到目标的体系。 (- ISO9000:2005 质量管理体系 基础和术语) 为达到组织目标的策略、程序、指南和相关资源的框架。 (- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语),管理体系,35,ISO9000 质量管理
14、体系,ISO14000 环境管理体系,OHSAS 职业健康安全管理体系,ISO/IEC27000 信息安全管理体系,ISO/IEC20000 服务管理体系,ISO22000食品安全管理体系,管理体系 Management System,信息安全管理体系,36,什么是信息安全管理体系(ISMS),信息安全管理体系,37,什么是信息安全管理体系(ISMS),数据安全 网络安全 系统安全 设备安全 物理安全 人员安全 应急响应 。,管理体系方法 管理体系要求 认证机构和认证 审核和审核员 国际互认 。,Information Security Management System-ISMS 信息安全管
15、理体系; 基于ISO/IEC27000系列国际标准族; 是综合信息安全管理和技术手段,保障组织信息安全的一种方法; ISMS是管理体系(MS)家族的一个成员。,信息安全管理体系,38,什么是信息安全管理体系(Information Security Management System, ISMS) 基于国际标准ISO/IEC 27001信息安全管理体系要求,是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员,BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革,1990年代初 英国贸
16、工部(DTI)成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理实施细则,形成BS 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则。 1998年2月 英国公布BS 7799-2:信息安全管理体系要求。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799:2000信息安全管理实用规则。 2002年9月 BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-2:1999)使用。 2005年6月 ISO 17799:2000改版,成为ISO 17799:2005。 2005年10月 ISO正式采用BS 7799-2:2002,命名为ISO 27001:2005。 2007年7月 ISO 17799:2005归入ISO 2
