《信息安全知识竞赛培训_iso》由会员分享,可在线阅读,更多相关《信息安全知识竞赛培训_iso(52页珍藏版)》请在金锄头文库上搜索。
1、,ISO27001:2005基础知识培训,BS 7799-2:1999,2001.6,BS7799 Part 2 version C,Code of practice,DTI,BS 7799-Part1,1993.9,BSI,1995.2,BS 7799-Part2,1998.2,BS 7799-1:1999,1999.4,ISO/IEC,2000.12,+,ISO 17799,BS7799的历史及发展,2005,ISO 17799-2005,ISO 27001-2005,2002,ISO 27002-2007,2007,ISO17799/ISO27001,ISO17799:2005(BS77
2、99-1:1999) Code of Practice for Information Security Management 信息安全管理实施指南 (指导如何进行安全管理实践) ISO27001:2005 (BS7799-2:2002) Specification for Information Security Management System 信息安全管理体系规范 (建立的信息安全管理体系必须符合的要求),课程内容,什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法,什么是ISMS,ISMS: Information Security Management Sys
3、tem 信息安全管理体系 ISO9000-2000 术语和定义 组织 organization 职责、权限和相互关系得到安排的一组人员及设施, 如:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。 管理 management 指挥和控制组织的协调的活动 体系 system 相互关联和相互作用的一组要素 管理体系 management system 建立方针和目标并实现这些目标的体系 管理学中的定义 管理 是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织目标的过程。,ISMS定义,ISMS是: 在信息安全方面指挥和控制组织
4、的以实现信息安全目标的相互关联和相互作用的一组要素。 信息安全目标应是可测量的 要素可能包括 信息安全方针、策略 信息安全组织结构 各种活动、过程 信息安全控制措施 人力、物力等资源 ,信息安全管理体系框图,信息安全管理体系框图,课程内容,什么是ISMS 为什么建立ISMS ISMS的重要原则 ISMS的实现方法,安全管理背景,安然(ENRON),全球第一大能源交易商,2001年11月承认多年来非法虚报利润、隐藏债务和损失。2001年12月,申请破产。 世界通信公司(WORLDCOM),美国第二大长途电话和互联网数据传输公司,2002年6月承认多年来非法虚报虚增利润,同年7月,申请破产保护。
5、安达信(ANDERSEN),曾是全球收入总额最高且最有影响的会计师事务所和财务咨询公司。因为涉嫌造假的安然公司及世通公司提供财务保教审计,2002年6月,被裁定触犯妨碍司法罪。2002年8月底,安达信宣布停运。 工程师入侵北京移动充值中心 窃取密码获利370万,新的法规与规定,SOX对不同部门的影响程度,信息安全管理体系方法,什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法,ISMS的重要原则,过程方法,文 件化,全员参与,领导重视,PDCA循环:Plan DoCheckAct,计划,实施,检查,改进,PDCA循环,PDCA循环(续),又称“戴明环”,PDCA循环是能使
6、任何一项活动有效进行的工作程序: P:计划,方针和目标的确定以及活动计划的制定; D:执行,具体运作,实现计划中的内容; C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题; A:改进(或处理),对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个PDCA循环中去解决。,PDCA循环的特点一,按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,PDCA循环(续),PDCA循环的特点二,组织中的每个部分,甚至个人,均有一个PDCA循环,大环套小
7、环,一层一层地解决问题。,PDCA循环(续),PDCA循环的特点三,每通过一次PDCA 循环,都要进行总结,提出新目标,再进行第二次PDCA 循环。,PDCA循环(续),过程方法定义,ISO9000-2000术语和定义 过程: 一组将输入转化为输出的相互关联或相互作用的活动。 过程方法 系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称之为“过程方法” 。,过程方法模型:,领导重视, 指明方向和目标, 权威, 预算保障,提供所需的资源, 监督检查, 组织保障,领导重视,全员参与, 信息安全不仅仅是IT部门的事;, 让每个员工明白随时都有信息安全问题;, 每个员工都应具备相应的安
8、全意识和能力;, 让每个员工都明确自己承担的信息安全责任;,全员参与, 文件的作用:有章可循,有据可查, 文件的类型:手册、规范、指南、记录,其它重要原则文件化,沟通意图,统一行动 重复和可追溯 提供客观证据 用于学习和培训, 文件的作用:有章可循,有据可查, 文件的类型:手册、规范、指南、记录,- 手册:向组织内部和外部提供关于信息安全管理体系的一致信息的文件 - 规范:阐明要求的文件 - 指南:阐明推荐方法和建议的文件 - 记录:为完成的活动或达到的结果提供客观证据的文件,文件化,其它重要原则文件化,持续改进,其它重要原则持续改进,信息安全管理体系方法,为什么建ISMS 什么是ISMS I
9、SMS的重要原则 ISMS的实现方法,ISMS的实现方法,建立ISMS框架 实施与运作ISMS 监控和评审ISMS 维护和改进ISMS,定义ISMS范围,制订信息安全方针,进行风险评估,实施风险管理,选择控制目标措施,准备适用声明,第一步:,第二步:,第三步:,第四步:,第五步:,第六步:,建立ISMS,第一步 确定ISMS范围,组织应根据业务的性质、组织、位置、资产和技术定义ISMS的范围和界限,以及被排除范围的详细理由;,ISO27001对ISMS的要求:,建立ISMS框架,可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理范围; 信息安全管理
10、范围必须用正式的文件加以记录。,第一步 确定ISMS范围,建立ISMS框架,ISO27001对ISMS的要求:,组织应根据业务性质、组织、位置、资产和技术定义ISMS的策略,策略应:,信息安全方针,第二步 制订信息安全方针,建立ISMS框架,第二步 制订信息安全方针,包含建立目标框架和信息安全活动建立整体的方向和原则; 考虑业务及法律法规的要求,及合同的安全义务; 建立组织战略和风险管理,建立和维护信息安全管理体系; 建立风险评价的标准和风险评估定义的结构; 经管理层批准 文件化,建立ISMS框架,注意事项,简单明了 易于理解 可实施 避免太具体,第二步 制订信息安全方针,建立ISMS框架,第
11、三步 风险评估,组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。,ISO270014.2.1c、d、e对ISMS的要求:,建立ISMS框架,是否执行了正式的和文件化的风险评估? 是否经过一定数量的员工验证其正确性? 风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响? 风险评估是否定期和适时进行?,第三步 风险评估,建立ISMS框架,第四步 风险管理,组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。,ISO270014.2.1f、g、h对ISMS的要求:,建立ISMS框架,根据风险评估的结果,选择风险处置
12、的建议,和选择风险控制的方法,将组织面临的风险控制在可以接受的范围之内。,第四步 风险管理,建立ISMS框架,安全问题,安全需求,控制目标,控制措施,指出,第四步 风险管理,选择控制措施的示意图,建立ISMS框架,风险的处置是否恰当? 控制目标和措施的选择是否能够满足风险评估的要求? 选择的可接受风险是否符合法律、法规与合同的要求?,第四步 风险管理,建立ISMS框架,选择的控制措施是否建立在风险评估的结果之上? 是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施? 选择的控制措施是否反应了组织的风险管理战略? 针对每一种风险,控制措施都不是唯一的
13、,要根据实际情况进行选择,第四步 风险管理-选择控制目标和控制措施,建立ISMS框架,未选择某项控制措施的原因 风险原因- 没有识别出相关的风险 财务原因- 财务预算的限制 环境原因- 安全设备、气候、空间等 技术- 某些控制措施在技术上不可行 文化- 社会环境的限制 时间- 某些要求目前无法实施 其它- ?,第四步 风险管理-选择控制目标和控制措施,建立ISMS框架,第五步 管理层的批示,管理层批准建议的残余风险 获得管理层授权实施和运行ISMS。,ISO27001对ISMS的要求:,建立ISMS框架,第六步 准备适用声明,适用性声明,提供了一份考虑风险处理结果的摘要,被排除的选项需反复确认
14、以保证不会忽略任何控制。,ISO27001对ISMS的要求:,选择控制目标与控制措施以及被选择的原因 正在实施的控制目标和控制措施 被排除的控制目标和控制措施以及被排除的理由。,建立ISMS框架,在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。,未来实现公司ISMS 适用声明,第六步 准备适用声明,建立ISMS框架,适应性声明SOA,SOA描述机构要实现的控制目标和控制措施。对应不选的控制要给予说明。 SOA是一个文档,描述机构是如何控制风险的。因此,SOA不必过于详细。 SOA是证书的附件。也可以作为单独的文档提供给需要的外部
15、机构和伙伴。,实施和运作信息安全管理体系,识别合适的管理行动和确定管理信息安全风险的优先顺序 实施风险处理计划以达到识别的控制目标 实施控制目标和控制措施 培训和意识 管理运作过程 管理资源 实施程序和其他有能力随时探测和回应安全事故的控制措施,监控和评审信息安全管理体系,执行监控程序和其他控制措施 进行常规的信息安全管理体系有效性的评审 评审残余风险和可接受风险的水平,考虑以下方面的变化 在计划的时间段内实施内部信息安全管理体系审核 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件,维护和改进信息安全管理体系,实施已识别的对于信息安全管理体系的改进措施 采取合适的纠正和预防措施 沟通结果和行动并得到所有参与的相关方的同意。 确保改进行动达到了预期的目标,关键成功因素,安全方针、目标和活动反应组织业务目标 实施安全的方法与组织的文化相一致 管理层明显的支持和承诺 充分理解安全要求、风险评估及风险管理 ,课程总结,什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法,问题?,Thank You !,
