《信息安全管理体系》由会员分享,可在线阅读,更多相关《信息安全管理体系(35页珍藏版)》请在金锄头文库上搜索。
1、信 息 安 全 管 理,Information security management,授课内容:信息安全管理体系3 授课对象: 主讲教员:唐慧林,上节回顾,三种基本测评方法:访谈Interview检查Examine测试Test,测评的广度和深度落实在具体的测评方法访谈、检查和测试上,体现出访谈、检查和测试的努力程度不同。,本节内容,本节内容,第二章 信息安全管理体系3,BS7799的内容,*BS7799-1:信息安全管理实施规则,主要是给负责开发的人员作为参考文档使用,从而 在他们的机构内部实施和维护信息安全。,*BS7799-2:信息安全管理体系规范,详细说明了建立、实施和维护信息安全管理
2、体系的 要求,指出实施组织需要通过风险评估来鉴定最适宜的 控制对象,并根据自己的需求采取适当的安全控制。,第二章 信息安全管理体系3,1、信息安全管理体系建立步骤,信息安全管理体系的策划与准备 信息安全管理体系文件的编制 建立信息安全管理框架 信息安全管理体系的运行 信息安全管理体系的审核与评审,第二章 信息安全管理体系3,2、BS7799信息安全管理体系的准备,管理承诺,组织与人员建设,编制工作计划,能力要求与教育培训,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,信息安全策略(Information Se
3、curity Policy)本质上 来说是描述组织具有哪些重要信息资产,并说明这些信息 资产如何被保护的一个计划。,*定义安全策略,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,信息安全策略可以分为两个层次: 信息安全方针 具体的信息安全策略,*定义安全策略,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,*定义ISMS的范围,组织现有部门,办公场所,资产状况,所采用技术,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,*实施信息安全风险评估,对ISMS范围内的信息资产进行鉴定和估价 对信息资产面对的各种威胁和脆弱性进行评估 对已存在的或
4、规划的安全控制措施进行鉴定,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,*实施信息安全风险管理,降低风险,避免风险,转移风险,接受风险,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,*确定控制目标和选择控制措施,控制目标的确定和控制措施的选择原则是成本 不超过风险所造成的损失。,第二章 信息安全管理体系3,3、建立BS7799信息安全管理框架,*准备信息安全适用性声明,SOA是适合组织需要的控制目标和控制措施的评论,需要提交给管理者、职员以及具有访问权限的第三方认证机构。,第二章 信息安全管理体系3,4、编写BS7799信息安全管理体系文件,*文件的编
5、写,编写原则,编写前的准备,编写的策划与组织,第二章 信息安全管理体系3,4、编写BS7799信息安全管理体系文件,*文件的作用,阐述声明的作用,规定和指导作用,记录和证实作用,评价信息安全管理体系,保障信息安全改进,平衡培训要求,第二章 信息安全管理体系3,4、编写BS7799信息安全管理体系文件,*文件的层次,适用性声明,ISMS管理手册,程序文件,作业指导,记录,第二章 信息安全管理体系3,4、编写BS7799信息安全管理体系文件,*文件的控制管理,文件控制,记录控制,第二章 信息安全管理体系3,5、 BS7799信息安全管理体系的运行,有针对性地宣传信息安全管理体系文件,完善信息反馈与
6、信息安全协调机制,加强有关体系运行信息的管理,加强信息安全体系文件的管理,第二章 信息安全管理体系3,6、 BS7799信息安全管理体系的审核,信息安全管理体系审核是指组织为验证所有安全方 针、策略和程序的正确实施,检查信息系统符合安全实 施标准的情况所进行的系统的、独立的检查和评价,是 信息安全管理体系的一种自我保证手段。,管理性审核,技术性审核,第二章 信息安全管理体系3,6、 BS7799信息安全管理体系的审核,ISMS审核的主要目的:,检查BS7799的实施程度与标准的符合性情况;检查满足组织安全策略与安全目标的有效性和适用性;识别安全漏洞与弱点;向管理者提供安全控制目标实现状况,使管
7、理者了解 安全问题;,第二章 信息安全管理体系3,6、 BS7799信息安全管理体系的审核,ISMS审核的主要目的:,指出存在的重大的控制弱点,证实存在的风险;建议管理者采用正确的校正行动,为管理者的决策提 供有效支持;满足法律、法规与合同的需要;提供改善ISMS的机会。,第二章 信息安全管理体系3,6、 BS7799信息安全管理体系的审核,体系审核的分类 :,内部信息安全管理体系审核,外部信息安全管理体系审核,第二章 信息安全管理体系3,6、 BS7799信息安全管理体系的审核,体系审核的基本步骤 :,确定任务(审核策划) 审核准备 现场审核 编写审核报告 纠正措施的跟踪 全面审核报告的编写
8、和纠正措施计划完成情况的 汇总分析,第二章 信息安全管理体系3,7、 BS7799信息安全管理体系的管理评审,管理评审主要是指组织的最高管理者按规定的时间 间隔对信息安全管理体系进行评审,以确保体系的持续 适宜性、充分性和有效性。,第二章 信息安全管理体系3,7、 BS7799信息安全管理体系的管理评审,第二章 信息安全管理体系3,7、 BS7799信息安全管理体系的管理评审,管理评审的输入,内、外部信息安全管理体系审核的结果;ISMS方针、风险控制目标和风险控制措施的实施情况;事故、事件调查处理情况;事故、事件、不符合项、纠正和预防措施的实施情况;相关方的投诉、建议及其要求。,第二章 信息安
9、全管理体系3,7、 BS7799信息安全管理体系的管理评审,管理评审的输出,信息安全管理体系的适宜性、充分性和有效性 的结论; 组织机构是否需要调整; 信息安全管理体系文件是否需要修改; 资源配备是否充足,是否需要调整增加; 信息安全方针、策略、控制目标和控制措施是 否适宜,是否需要修改; ISMS风险是否需要调整更新。,第二章 信息安全管理体系3,7、 BS7799信息安全管理体系的管理评审,管理评审的步骤,编制评审计划 准备评审材料 召开评审会议 评审报告分发与保存,第二章 信息安全管理体系3,8、 BS7799信息安全管理体系的检查与持续改进,对信息安全管理体系的审查,日常检查,自治程序
10、,学习其他组织的经验,内部信息安全管理体系审核,管理评审,趋势分析,第二章 信息安全管理体系3,8、 BS7799信息安全管理体系的检查与持续改进,对信息管理体系的持续改进,纠正性控制,预防性控制,组织应采取措施,以消除不合格的、与实施和运 行信息安全管理体系有关的原因,防止问题的再次发 生。,组织应针对未来的不合格事件确定预防措施以防 止其发生。预防措施应与潜在问题的影响程度相适应。,第二章 信息安全管理体系3,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过五个基本步骤 。,小结,第二章 信息安全管理体系3,建立信息安全管理体系一般要经过哪些基本步骤?,习题,,Thank You !,
