《信息安全管理简要概述》由会员分享,可在线阅读,更多相关《信息安全管理简要概述(8页珍藏版)》请在金锄头文库上搜索。
1、第六章 信息安全管理第一节 信息安全管理概述一、信息安全管理的内容1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标 的活动。2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理; 制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训; 信息安全事故管理; 信息安全的持续改进。3、信息安全管理的基本任务(1)组织机构建设 (2)风险评估 (3)信息安全策略的制定和实施 (4)信息安全工程项目管理 (5)资
2、源管理 (1)组织机构建设组织应建立专门信息安全组织机构,负责: 确定信息安全要求和目标; 制定实现信息安全目标的时间表和预算 建立各级信息安全组织机构和设置相应岗位 分配相应职责和建立奖惩制度提出信息安全年度预算,并监督预算的执行组织实施信息安全风险评估并监督检查 组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 组织实施信息安全工程项目 信息安全事件的调查和处理组织实施信息安全教育培训(11)组织信息安全审核和持续改进工作组织应设立信息安全总负责人岗位,负责: 向组织最高管理者负责并报告工作执行信息安全组织机构的决定 提出信息安全年度工作计划总协调、联络(2)风险评估信息系统的安
3、全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其 造成的影响。信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和 可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影 响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识
4、,明确责任;采取或完善安全保障措施,使其更加 经济有效,并使信息安全策略保持一致性和持续性。信息安全风险评估的基本要素使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、 能力、资源、动机、途径、可能性和后果。 脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发
5、生的可能性及其造成的影响。它由安 全事件发生的可能性及其造成的影响这两种指标来衡量。残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。 安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进 灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。信息安全风险评估的标准制定工作 2004年全国信息安全标准化技术委员会将信息安全风险评估指南列入2005年度国家信息安全 标准制定工作计划中, 将信息安全风险管理指南列入国家信息安全标准研究工作规划中。目前信息安全风险评
6、估指南已完成评审,报国家标准管理委员会颁布 国信办已以国信【2006】9号文的形式发各部委和省市信息安全风险评估指南主要内容 规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则; 介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程; 详细描述了对资产、威胁和脆弱性的识别方法;描述了风险评估在信息系统生命周期中的作用; 描述了风险评估的不同形式; 在附件中介绍了信息安全风险评估的方法、工具和实施案例 (3)信息安全策略的制定和实施 策略:解决某一方面问题的目的、范围、流程、准则的集合 信息安全策略文件就每一个策略建立实施计划,落实所需资源 策略发布后,实施培训策略的评审和
7、修订 (4)信息安全工程项目管理需求分析;规划立项;实施;验收;工程监理(5)资源管理 信息安全预算;人力资源;基础设施;信息安全教育培训二、信息安全管理体系1、什么是管理体系 IS09000-2000中的相关定义体系system相互关联和相互作用的一组要素管理体系managemen t system建立方针和目标并实现这些目标的体系1、什么是管理体系我国管理体系组织机构檜唸杪役0局XTi中国认证机构国家认可委员会匚N国家认证认可监督管理委员会中国合格评定 国家认可中心国冢标准化 管理委员会CNABCNAT目前流行的管理体系质量管理体系 QMSIS0/IEC9000, 9001, 9004等;
8、环境管理体系EMSIS0/IEC14000;职业安全卫生管理体系0HMSAS18000;信息安全管理体系ISMSISO/IE17799&IS027001;2、信息安全管理体系ISMS: Informa tion Secu rity Managemen t Sys tem 信息安全管理体系指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。 信息安全目标应是可度量的信息安全管理体系要素包括信息安全方针、策略;信息安全组织结构;各种活动、过程;信息安全控制措施; 人力、物力等资源;其他信息安全管理体系方法图解:三、信息安全管理标准安全标准可以分成以下几大类:安全体系结
9、构和框架标准;分层安全协议标准;安全技术标准;具体应用安全标准;安全管理标 准当前信息安全面临着“道高一尺,魔高一丈”的尴尬处境,在信息安全技术进步的同时,信息安 全问题却越来越严重,人们逐渐深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理 和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段, 如规范安全标准和进行信息安全管理,这一观点被越来越多的人们所接受。单纯的技术不能提供信息 全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。在全社会普遍关注信息安全的情况下,各个企业或机构又都面临遵循保密标准与安全法规的要求 越来越多
10、的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。 同时,有关信息安全标准、法律和法规的数量正在迅速增加,许多机构都面临遵守各种安全标准和法 规的要求。随着越来越多的标准、法律和法规的出台,统一安全标准的需求自然成为一个很现实的问题。信息安全管理国际标准的发展过程1992年,世界经济合作与发展组织(oecd)发表了信息系统安全指南,旨在帮助成员和非成 员的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。美国、oecd的其他23 个成员,以及十几个非oecd成员都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助针对
11、信息系统安全 的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作。 促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、 使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。 该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准,相关机构能通过此基准来衡 量本身在信息安全管理方面的进展。1998年,国际会计师联合会发表了一个有关信息安全管理的文件,认为信息系统安全的目标 有三个:可用性,即确保信息系统在需要的时候可用;保密性,即对数据信息的访问控制设计完备的 策略;完整性,
12、即保证数据信息不受未经授权的修改。1993年1月,英国标准协会(bri tish st andardsins titut ion,简称bsi)成立了信息安全的行业工作小组。1993年9月,信息安全管理体系实施要则出版。1995年2月,英国标准协会制定的信 息安全管理体系标准bs7799-1出版。1998年2月,bs7799-2 出版。bs7799对信息安全的控制范围、 安全准则、安全管理等要素做出了规范性的表述。2002年9月:bs7799-2:2002出版。目前,在信息安全管理体系方面,ISO27001 (原BS7799标准)已经成为世界上应用最广泛与典型 的信息安全管理标准。该标准于199
13、3年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1: 1995信息安全 管理实施细则,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工 商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2信息安全管理体系规范,它规定信息安全管理体 系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为一个 正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息 处理技术,尤其是在网络和通信领域应用的近期发展,同时还
14、非常强调了商务涉及的信息安全及信息 安全的责任。2000年12月,BS7799-1: 1999信息安全管理实施细则通过了 ISO的认可,正式成为国际标 准一一ISO/IEC17799-1: 2000信息技术-信息安全管理实施细则。2002年9月5日,BS7799-2:2002 草案经过广泛的讨论之后,终于发布成为正式标准一一ISO27001,同时BS7799-2:1999被废止。2006 年5月,BS7799-3: 2006信息安全风险管理指南出版。针对ISO27001标准的受认可的认证,是对组织信息安全管理体系(ISMS)符合BS7799-2要求的 一种认证。这是一种通过权威的第三方审核之后
15、提供的保证:受认证的组织实施了信息安全管理体系, 并且符合BS7799-2标准的要求。通过认证的组织,将会被注册登记,并且与认证委员会、DTI以及 ISMS IUG的国际网络相联系。目前,已有20多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的 管理标准,其在欧洲的证书发放量已经超过ISO9001。并有41个国家和地区开展了此项业务,我国 的台湾和香港地区也已经采用并推广了 BS7799标准。在台湾,BS7799-1:1999被引用为CNS 17799, 而BS7799-2:2002则被引用为CNS 17800。在中国大陆,BS7799标准全面解析(ISMG-005)的国标 化一直是个热点议题,而相关的ISMS认证工作正在逐步运行。BS7799标准从正式发布到现在的十年时间里,全球接受并且按照BS7799最佳实践来实施ISMS的 组织达到了近10万家,其中很多都是国际上知名的企业,例如富士通、KPMG、Insight、三星电子、 东芝、索尼、Symantec等。根据ISO/IEC 17799(BS 7799)国际使用者协会的最新统计,到2005年 4月,全球通过信息安全管理体系BS 7799-2认证
