5、DJJS 01-等级保护安全建设管理体系设计培训讲义V1.3

《5、DJJS 01-等级保护安全建设管理体系设计培训讲义V1.3》由会员分享，可在线阅读，更多相关《5、DJJS 01-等级保护安全建设管理体系设计培训讲义V1.3（43页珍藏版）》请在金锄头文库上搜索。

1、国家信息安全等级保护安全建设工程师培训信息安全等级保护安全建设管理体系设计讲师 ：师鑫一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-2-当前我国信息安全形势严 峻、问题 突出 网络违法犯罪活动日益猖獗； 互联网安全防范意识差，安全隐患严重； 信息安全责任不落实； 企业安全保障能力不强； 新技术新应用带来的安全挑战更加严重。公安部网络安全保卫局郭启全总工程师在2014年中国互联网安全大会致辞中的总结。-3-信息安全治理机制不完善，跨 部门安全管理较难 ；缺少统一的信息安全策略，制 度的执行不严格；信息

2、安全管理部门层级较 低，人员职责 不明确；没有对信息资产进 行有效登记、分类与相应的管理；信息安全专业 人员技能缺乏， 管理水平较低；员工安全意识淡漠，员工缺乏安全培训及安全绩效考核机制；软件开发生命周期过程中安全控制 没有建立起来；应急预案机制不完善，缺乏业务连续性框架；产品导向性的安全防护为 主，没有统一的系统的安全解决方案；缺少针对 外包项目的外部人员、交 付服务及产品方面的安全规范大型企业信息安全管理存在的主要问题咨询机构2014年对央企信息安全存在各种风险的总结。-4-信息安全事件频发 的内在原因银监会对银行业历年来信息安全事故的分析统计。-5-加强信息安全管理是保障信息安全的基础对

3、信息安全建立系统工程的观点，利用组织、制度、职责来加强信息安全管理是建立安全保障体系的关键。信息安全遵循“木桶原理”，要时时兼顾组织 内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁，需要对 信息安全各个环节进 行综合考虑与规划。在信息安全工作中,安全技术方面资金投入可能会占到70%，但在安全管理方面涉及的精力投入可能会达到70%。-6-一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善2017/5/-7-等级保护规 范对信息安全管理的要求等级保护基本要求从安全管理制度、安全管理机构、安全管理人员

4、、安全建设管理、安全运维管理五个方面，根据等级不同给出了相应的管理要求。等保安全管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等级保护基本要求并没有给出安全体系建设的整体方法，实现 基本要求的措施或方式并不局限于等级保护基本要求中的内容。组织 要结合系统自身的特点，并结合行业安全监管要求及相关标准，综合考虑各类措施来达到基本要求提出的安全保护能力。-8-信息安全管理体系最佳实践ISO27000 信息安全管理体系（ISMS：Information Security Management System）是组 织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标 所用

5、的方法和体系。信息安全管理国际标准ISO27000：2013 (国内标准 GB22080)确定了14个安全领域及113个相应的控制措施。 在ISO27000中 信息安全主要指信息的机密性(Confidentiality)、完整性 (Integrity)和可用性(Availability)。ISO27001/GB22080的安全体系控制域信息安全木桶效应ISO27000系列标准-9-ISO27001以信息安全风险管理为抓手，通过构建安全管理的组织、规范及绩效体系，以PDCA的方式实施与持续运行，把安全风险控制到组织可接受的水平。ISO27001/GB22080的安全体系建立过程-10-结合ISO

6、27000的方法来实施等保安全管理体系以等保安全管理基本要求为基础，结合ISO270001的体系的PDCA过程和ISO27002的14个控制域规范，同时兼顾监 管部门的相关安全规范，整合企业自身的IT服务管理体系和技术安全控制体系，通过体系规范化、管理流程化、测量指标化、操作工具化的手段来确保体系设计 的落地。等保安全管理体系实施框架-11-安全管理体系中应优 先落实的控制措施 与法律有关的控制措施 保护组织 的记录 数据保护与个人信息隐私 知识产权 保护 普遍适用的最佳实践 信息安全方针与策略 建立组织 落实安全责任 信息安全意识、教育与培训 正确处理应用系统 漏洞管理 报告安全事故与改进

7、业务连续 性管理-12-一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善2017/5/-13-信息安全管理体系实施的主要步骤2017/5/结合等保及ISO27001的相关要求，在信息安全体系建设的实务 中，可以把安全管理体系的建设分为现 状调研、架构设计 及体系建设三个步骤。-14-全方位的信息安全现状调查根据等保基本要求、信息安全最佳实施及上级监 管要求，设计现 状调查 方案；通过资 料收集、现状访谈 、问卷调查 和技术调 研，获得组织 的安全管理现状数据，并编写安全管理报告。现状调查方案访谈提纲IT

8、安全运维调研问卷 2等级保护差距分析问卷ISO27001差距分析问卷/ ISO27002差距分析问卷信息安全现状调查报 告 等级保护差距分析报告-15-信息资产 、定级系统的识别 与风险评 估 信息安全保护的核心是信息资产，应当充分识别组织 所拥有的信息资产进 行有效的分类；接合等级保护定级，了解当前系统的等保要求。 基线风险评 估：对安全现状进行等级保护和ISO27000差距分析，同时进行等保差距分析。 详细风险评 估：在确定信息资产价值的项目上，分析信息资，评产的脆弱性及面临的威胁估其风险值 ，为后续的整改提 供依据。信息资产风险评 估-16-(3) 安全架构设计 、信息安全需求分析在全面

9、调研业务 管理及信息化现状、信息安全现状的基础上，结合组织 的实际 情况，分别从不同业务 特点、组织 机构、监管政策、信息化发展思路等方面分析组织 信息安全建设需求。-17-标 治 B、信息安全战略规划在信息安全需求调查 的基础上，为组织进 行信息安全战略规划，明确组织 信息安全目标、设计 信息安全愿景与使命，满足行业监 管要求，建立信息安全管控结构，梳理信息安全与内控，等级保护及风险 管理的关系等，并最终与组织 的信息化战略规划进行融合。信息安全愿景与 信组 息织 安目 全理信体 息系 安目 全标 管理信息目 安标 全运行信息目 安标 全技术业务 运营与发展信息安全使命信息化建设外部监管与信

10、息化战略规划进行融合风险 策略信息安全工作原则信息安全驱动 因素-18-19-C、信息安全总纲 （方针） 信息安全总纲是组织进 行信息安全建设的纲领性文件，集中体现了管理层对信息安全的要求，并为组织 的信息安全建设指明了方向，所以为组织 建立适宜的信息安全总纲的信息安全保障体系建设的首要任务。 在信息安全总纲中要详细描述信息安全管理的目标与内容，安全治理机制、决策模式、各条线安全职责边 界，组织中安全管理、保密管理及生产安全组织 信息安全总纲的分工与协作等内容。安全需求监管部门信息安全管理要求加强组织 安全管控的要求组织对 IT“四化”的要求集中的IT内部管控要求总部与分支单位安全治理要求遵循

11、信息系统等级保护要求遵循国际标 准以及最佳实践：ISO27001,ITIL,CoBIT的要求信息安全总纲 2 D、安全架构设计内容信息安全架构设计 主要从组织实际 情况出发，对信息安全管理体系、安全组织 体系、安全运行体系、安全技术体系及应急恢复体 系进行架构设计 。安全管理体系安全组织体系安全运行与应急体系安全技术体系安全架构设计-20-21-E、 信息安全管理实施蓝图 以信息安全现状调研和风险评 估为基础，在符合信息安全架构设计的前提下，把相应的控制措施进行分类与合并，提炼出可以实施的安全任务；根据安全任务紧迫性、可实施性、预期效果的高低和实施程度的难易，定义出安全建设任务优先级和安全管理

12、体系实施路线图。安全规划图表规划预算信息安全管理体系框架 在组织中建立信息安全管理制度、信息安全管理规范与技术标准、信息安全管理流程、测量与考核体系、信息安全培训体系、信息安全应急体系等，使信息安全体系得以有效实施。-22- A、信息安全组织体系 为落实信息安全职责 ，推动信息安全管理体系建立，需要建立决 策、管理、执行及监督四级信息安全组织 。集团信息化管理委员会委托信息安全执行单位集团稽核中心审计集团最高管理层汇报汇报信息化管理委员会办公室管理授权汇报、建议共享服务中心、SBU01、SBU02、SBU03、SBU04.信息安全领导小组信息安全工作小组报告报告授权监督指导沟通、建议专业指导沟

13、通协调信息系统安全协调工作组组长：由信息化管理委员会指定人选副组长：由信息化管理委员会指定人选组员：各专业公司运营部门分管IT负责人、共享服务中心IT部门负责 人报告信息系统安全协调工作组办公室主任：共享服务中心系统运行部信息安全负责人成员：系统运行部信息安全专职工作人员信息安全组织 框架信息安全组织 框架细化示例信息安全全员执行-23-职根据信息安全组织架构的设计，明确信息安全管理生命周期中的角色与责，并建议在工作岗位职责说 明书加以描述；针对组织 中信息安全的不同角色形成各自的岗位职责要求与工作流程说明，以指导相关人员提高工作 质量与效率。-24- B、 信息安全制度文件的编写 信息安全制

14、度文件是信息安全组织、运作、技术、应急等方面标准化、制度化后形成的一整套信息安全的政策、规范与指南。 信息安全管理制度的结构可以分为制度、规定、细则及记录四个层次；制度的内容可以参照国际标准ISO27001的14个域的划分来编写。安全体系文件框架-25-的信息安全体系文件包括体系策略及策略细化，形成安全管理体系要求一至四级文档（具体文档名称及内容应当按照风险评 估与安全体系架构 设计中安全策略体系架构实际结 果执行）。信息安全体系文件示例-26- C、信息安全管理流程根据安全架构设计 中信息运维体系的设计 ，识别组织 的信息安全管理关键流程，定义流程的输入输出、流程间接口、流程关键 活动、流程

15、标准角色、流程考核KPI。安全流程示例-27-信息安全制度文件1 2 D、信息安全职责 体系 通过体系文件明确信息安全职责 ，包括信息安全管理人员职责 、业务 人员岗 位职责 等。员工信息安全考核职责 矩阵信息安全文件矩阵信息安全职责 矩阵信息安全人员职责 2-28- E、信息安全测量体系 为及时准确地了解信息安全管理体系运行的效率和效果，需要建立有效的测量方法与程序。信息安全测量-29-30-F、信息安全考核体系为增强员工遵守信息安全管理规范，提高安全意识，预防信息安全事故的发生，应建立一套客观公正的，以信息安全目标为导 向的信息安全管理量化评价机制。考核制度X公司信息安全计分量化管理程序考

16、核指标示例员工信息安全考核办法 G、建立信息安全培训体系 为了更好的配合信息安全体系的推广，提升信息安全管控水平， 组织应对设计针对各类人员的信息安全教育与培训课 程体系。培训体系方案-31-手册电子海报培训与专题讲 座Flash动画电脑 屏保张贴 画展板台历电子报便签本电脑 桌贴鼠标垫 H、进行多样化的安全意识教育-32-安全策略管理安全风险管理安全运行管理安全控制管理安全管理知识库 I、信息安全风险管理工具 建设信息安全管理平台，对安全策略、安全风险、安全运行、安全控制及安全知识库进 行管理，并通过安全风险管理的“仪表板”多角度地展示信息安全风险，以利于管理层简洁 、形象地了解信息安全风险情况并作出相应的决策。-33-一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善2017/5/-34-等保安全管理体系的试运行安全管理体系文件编制完成后，组织应 按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段；体系运行初期处于体系的磨合期，一般称为试 运行期，在此期间运行的目