信息安全管理基础知识

《信息安全管理基础知识》由会员分享，可在线阅读，更多相关《信息安全管理基础知识（118页珍藏版）》请在金锄头文库上搜索。

1、信息安全管理基础,中国信息安全测评中心 CISP-09-信息安全管理基础 2007年7月,目录,信息安全基础知识 信息安全管理与信息系统安全保障 信息安全管理体系标准概述 信息安全管理体系方法,课程目标,掌握信息安全管理的一般知识 了解信息安全管理在信息系统安全保障体系中的地位 认识和了解ISO17799 理解一个组织实施ISO17799的意义 初步掌握建立信息安全管理体系（ISMS）的方法和步骤,一、信息安全管理基础,目录,信息安全基础知识 信息安全管理与信息系统安全保障 信息安全管理体系标准概述 信息安全管理体系方法,1. 信息安全基础知识,1.1 信息安全的基本概念1.2 为什么需要信息

2、安全1.3 实践中的信息安全问题1.4 信息安全管理的实践经验,请思考： 什么是信息安全？,1.1 信息安全基本概念,ISO17799中的描述 “Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ”“Information can exist in many forms. It can be printed or written on paper, st

3、ored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息： 是一种资产 同其它重要的商业资产一样 对组织具有价值 需要适当的保护 以各种形式存在：纸、电子、影片、交谈等,什么是信息？,小问题：你们公司的Knowledge都在哪里？,信息在哪里？,什么是信息安全?,ISO17799中的描述 “Information security protects information from a wide range of thre

4、ats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”信息安全： 保护信息免受各方威胁 确保组织业务连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会,信息安全的特征（CIA）,ISO17799中的描述 Information security is characterized here as the preservation of: Confidentiality

5、Integrity Availability 信息在安全方面三个特征： 机密性：确保只有被授权的人才可以访问信息； 完整性：确保信息和信息处理方法的准确性和完整性； 可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。,信息本身,信息处理设施,信息处理者,信息处理 过程,机密,可用,完整,总结,请思考： 组织为什么要花钱实现信息安全？,1.2 为什么需要信息安全,组织自身业务的需要,自身业务和利益的要求 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 ,法律法规的要求,计算机信息系统安全保护条例 知识产权保护 互联网安全管理办法 网站备案管理规定 ,信息系

6、统使命的要求,信息系统本身具有特定的使命 信息安全的目的就是使信息系统的使命得到保障 。,请思考： 目前，解决信息安全问题，通常的做法是什么？,1.3 实践中的信息安全问题,“产品导向型”信息安全,初始阶段，解决信息安全问题，通常的方法： 采购各种安全产品，由产品厂商提供方案； Anti-Virus、Firewall、IDS & Scanner 组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门； 更多的情况是几乎没有日常维护 存在的问题 需求难以确定 保护什么、保护对象的边界到哪里、应该保护到什么程度 管理和服务跟不上，对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描（Sc

7、anner）来代替风险评估 有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的态度 “头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的协调也是难题,信息安全管理,ISO17799强调： “Information security is a management process, not a technological process.”技术和产品是基础，管理是关键； 产品和技术，要通过管理的组织职能才能发挥最好的作用； 技术不高但管理良好的系统远比技术高但管理混乱的系统安全； 先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要； 建立一个管理框

8、架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。,1.4 信息安全管理的实践经验,反映组织业务目标的安全方针、目标和活动； 符合组织文化的安全实施方法； 管理层明显的支持和承诺； 安全需求、风险评估和风险管理的正确理解； 有效地向所有管理人员和员工推行安全措施； 向所有的员工和签约方提供本组织的信息安全方针与标准； 提供适当的培训和教育； 一整套用于评估信息安全管理能力和反馈建议的测量系统,二、信息安全管理与信息系统安全保障,目录,信息安全基础知识 信息安全管理与信息系统安全保障 信息安全管理体系标准概述 信息安全管理体系方法,2、信息安全管理与信息系统安全保障,2.1

9、信息系统的使命 2.2信息系统安全保障模型 2.3信息系统安全保障框架 2.4信息系统安全保障生命周期的保证 2.5信息安全管理模型 2.6信息安全管理与信息系统安全保障的关系,2.1信息系统的使命,2.2信息系统安全保障模型,2.3信息系统安全保障框架,2.4信息系统安全保障生命周期的保障,2.5信息系统安全保障管理模型,2.6信息安全管理与信息系统安全保障的关系,信息系统安全保障三大部分： 技术保障 过程保障 管理保障 信息安全管理是信息系统安全保障的三大部分之一： 管理保障 信息安全管理涉及到系统的整个生命周期,三、信息安全管理体系标准概述,目录,信息安全基础知识 信息安全管理与信息系统

10、安全保障 信息安全管理体系标准概述 信息安全管理体系方法,3.信息安全管理体系标准概述,3.1 信息安全标准介绍 3.2 ISO 17799 3.3 ISO 17799的历史及发展 3.4 ISO 17799:2005的内容框架 3.5 ISO 27001:2005的内容框架,3.1 信息安全标准介绍,信息安全标准管理体系标准,信息安全标准,ISO7498-2(GB/T9387.2-1995) ISO13335 SSE-CMM ISO15408（GB/T18336-2001） ISO17799,ISO7498-2(GB/T9387.2-1995),开放系统互联安全体系结构 由ISO/ICE J

11、TC1/SC21完成 1982年开始，1988年结束，ISO发布了ISO7498-2 给出了基于OSI参考模型的7层协议上的安全体系结构 其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的5大类安全服务，以及提供这些服务的8大类安全机制及相应的安全管理，并可根据具体系统适当的配置于OSI模型的7层协议中。,ISO7498-2安全体系结构,ISO13335 IT安全管理,分为5个部分： ISO/IEC TR 13335-1：概念和模型 ISO/IEC TR 13335-2：管理和规划 ISO/IEC TR 13335-3：管理技术 ISO/IEC TR 13

12、335-4：安全措施的选择 ISO/IEC TR 13335-5：网络安全性的管理指导 由ISO/IEC JTC1/SC27完成,SSE-CMM 信息系统安全工程能力成熟度模型,CMMCapability Maturity Model 首先用于软件工程； 1993年4月，由美国NSA资助，安全业界、DOD、加拿大通信安全机构共同组成项目组，研究把CMM用于安全工程； 1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版； 用于信息系统安全的工程组织、采购组织和评估机构 5个能力级别，11个过程区 2003年，出版了SSE-CMM V

13、3.0,5个能力级别：1级：非正式执行级 2级：计划和跟踪级 3级：充分定义级 4级：量化控制级 5级：持续改进级代表安全工程组织的成熟度级别,11个过程区：PA 01 管理安全控制PA 02 评估影响PA 03 评估安全风险 PA 04 评估威胁PA 05 评估脆弱性PA 06 建立保证论据PA 07 协调安全PA 08 监视安全态势PA 09 提供安全输入PA 10 指定安全要求PA 11 验证和证实安全性,SSE-CMM 信息系统安全工程能力成熟度模型（续）,ISO15408(GB/T18336) 信息技术安全性评估准则,通常简称CC通用准则，ISO15408:1999，GB/T1833

14、6:2001; 定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准； 分为3个部分： 第一部分：简介和一般模型 第二部分：安全功能要求 第三部分：安全保证要求,管理体系标准,ISO9000族 质量管理体系 ISO14000 环境管理体系标准 OHSAM18000 职业安全卫生管理体系标准 BS7799 信息安全管理体系标准 ISO17799 信息安全管理实施细则,ISO/IEC17799:2005Information technology Security techniques Code of practice for information security ma

15、nagement,信息技术信息安全管理实施细则,3.2 ISO/IEC17799:2005,历史,3.3 ISO17799的历史及发展,BSI简介,BSI 英国标准协会 英国标准协会是全球领先的国际标准、产品测试、体系认证机构。 发起制定的标准 ISO 9000（质量管理体系） ISO 14001（环境管理体系） OHSAS 18001（职业健康与安全管理体系） QS-9000 / ISO/TS 16949（汽车供应行业的质量管理体系） TL 9000（电信供应行业的质量管理体系） BS 7799。,IUG：International User Group,1997年成立 宗旨 促进ISO17

16、799/BS7799的应用和推广 促进对信息安全管理体系标准、认证等的理解，服务全球商业 提供一个基于互联网的论坛 提供一个信息交流的平台 研究和写作 成员,ISO17799被各国或地区采用的情况,England Australia New Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands (SPE 20003) Norway Sweden (SS 627799) Taiwan 中国,ISO17799在中国,国内从2000年初开始认识ISO17799/BS7799； 2000年初开始，国内一些公司和单位进行BS7799 的研究和相关课程培训； 20022003年，我国已经提出了国标化的计划； 2005年，GB/T 19716 MOD ISO/IEC 17799：2000,