《[精选]信息安全管理体系(PPT228页)36569》由会员分享,可在线阅读,更多相关《[精选]信息安全管理体系(PPT228页)36569(228页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系教程2024/7/242024/7/24课前介绍n n课程目标课程目标n n课程安排课程安排n n课程内容课程内容n n注意事项注意事项n n学员介绍学员介绍2024/7/242024/7/24课程目标n掌握信息安全管理的一般知识掌握信息安全管理的一般知识n了解信息安全管理在信息系统安全保障了解信息安全管理在信息系统安全保障体系中的地位体系中的地位n认识和了解认识和了解ISO17799n理解一个组织实施理解一个组织实施ISO17799的意义的意义n初步掌握建立信息安全管理体系初步掌握建立信息安全管理体系(ISMS)的方法和步骤)的方法和步骤2024/7/242024/7/24课
2、程安排n课时课时:24Hn课程方法:讲授、小组讨论、练习课程方法:讲授、小组讨论、练习2024/7/242024/7/24课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求2024/7/242024/7/24注意事项注意事项n积极参与、活跃气氛积极参与、活跃气氛n守时守时n保持安静保持安静n有问题可随时举手提问有问题可随时举手提问2024/7/242024/7/241.1. 信息安全基础知识1.1 信息安全的基本概念信息安全的基
3、本概念1.2 为什么需要信息安全为什么需要信息安全1.3 实践中的信息安全问题实践中的信息安全问题1.4 信息安全管理的实践经验信息安全管理的实践经验2024/7/242024/7/24 请思考:请思考: 什么是信息安全?什么是信息安全?什么是信息安全?什么是信息安全?1.1 信息安全基本概念2024/7/242024/7/24什么是信息?什么是信息?nISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesu
4、itablyprotected.” “Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.n强调信息:强调信息:是一种资产是一种资产同其它重要的商业资产一样同其它重要的商业资产一样对组织具有价值对组织具有价值需要适当的保护需要适当的保护以各种形式存在:纸、电子、影片、交谈等以各种形式存在:纸、电子、影片、交谈等2024/7/2420
5、24/7/24小问题:小问题:你们公司的Knowledge都在哪里?信息在哪里?信息在哪里?2024/7/242024/7/24什么是信息安全什么是信息安全?nISO17799中的描述“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”n信息安全:保护
6、信息免受各方威胁保护信息免受各方威胁确保组织业务连续性确保组织业务连续性将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会获得最大的投资回报和商业机会2024/7/242024/7/24信息安全的特征(信息安全的特征(CIA)nISO17799中的描述Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailabilityn信息在安全方面三个特征:机密性:确保只有被授权的人才可以访问信息;完整性:确保信息和信息处理方法的准
7、确性和完整性;可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。 2024/7/242024/7/24信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 机密 可用 完整 总结总结2024/7/242024/7/24 请思考:请思考: 组织为什么要花钱实现信息安全?组织为什么要花钱实现信息安全?组织为什么要花钱实现信息安全?组织为什么要花钱实现信息安全?1.2 为什么需要信息安全2024/7/242024/7/24组织自身业务的需要自身业务和利益的要求自身业务和利益的要求客户的要求客户的要求合作伙伴的要求合作伙伴的要求投标要求投标要求竞争优势,树立品
8、牌竞争优势,树立品牌加强内部管理的要求加强内部管理的要求2024/7/242024/7/24法律法规的要求计算机信息系统安全保护条例计算机信息系统安全保护条例知识产权保护知识产权保护互联网安全管理办法互联网安全管理办法网站备案管理规定网站备案管理规定2024/7/242024/7/24信息系统使命的要求信息系统本身具有特定的使命信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保信息安全的目的就是使信息系统的使命得到保障障。2024/7/242024/7/24 请思考:请思考: 目前,解决信息安全问题,通常的做法目前,解决信息安全问题,通常的做法目前,解决信息安全问题,通常的做法
9、目前,解决信息安全问题,通常的做法是什么?是什么?是什么?是什么?1.3 实践中的信息安全问题2024/7/242024/7/24“产品导向型产品导向型”信息安全信息安全n n初始阶段,解决信息安全问题,通常的方法:初始阶段,解决信息安全问题,通常的方法:初始阶段,解决信息安全问题,通常的方法:初始阶段,解决信息安全问题,通常的方法: 采购各种安全产品,由产品厂商提供方案;采购各种安全产品,由产品厂商提供方案;采购各种安全产品,由产品厂商提供方案;采购各种安全产品,由产品厂商提供方案;Anti-VirusAnti-VirusAnti-VirusAnti-Virus、FirewallFirewa
10、llFirewallFirewall、IDS & ScannerIDS & ScannerIDS & ScannerIDS & Scanner 组织内部安排组织内部安排组织内部安排组织内部安排1-21-21-21-2人兼职负责日常维护,通常来自以技术为主的人兼职负责日常维护,通常来自以技术为主的人兼职负责日常维护,通常来自以技术为主的人兼职负责日常维护,通常来自以技术为主的ITITITIT部门;部门;部门;部门; 更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护n n存在的问题存在的问题存在的问题存在的问题 需求难以确定需求难以确
11、定需求难以确定需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度 管理和服务跟不上,对采购产品运行的效率和效果缺乏评价管理和服务跟不上,对采购产品运行的效率和效果缺乏评价管理和服务跟不上,对采购产品运行的效率和效果缺乏评价管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描(通常用漏洞扫描(通常用漏洞扫描(通常用漏洞扫描(ScannerScannerScannerScanner)来代替风险评估)来代替风险评估)来代替风
12、险评估)来代替风险评估有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的态度态度态度态度 “头痛医头,脚痛医脚头痛医头,脚痛医脚头痛医头,脚痛医脚头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的,很难实现整体安全;不同厂商、不同产品之间的,很难实现整体安全;不同厂商、不同产品之间的,很难实现整体安全;不同厂商、不同产品之间的协调也是难题协调也是难题协调也是难题协调也是难题2024/7
13、/242024/7/24信息安全管理信息安全管理nISO17799强调:“Information security is a management process, not a technological process.”技术和产品是基础,管理是关键;技术和产品是基础,管理是关键;产品和技术,要通过管理的组织职能才能发挥最好的作用;产品和技术,要通过管理的组织职能才能发挥最好的作用;技术不高但管理良好的系统远比技术高但管理混乱的系统安技术不高但管理良好的系统远比技术高但管理混乱的系统安全;全;先进、易于理解、方便操作的安全策略对信息安全至关重要,先进、易于理解、方便操作的安全策略对信息安全至
14、关重要,也证明了管理的重要;也证明了管理的重要;建立一个管理框架,让好的安全策略在这个框架内可重复实建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会持续安全。施,并不断得到修正,就会持续安全。2024/7/242024/7/241.4 信息安全管理的实践经验反映组织业务目标的安全方针、目标和活动; 符合组织文化的安全实施方法; 管理层明显的支持和承诺; 安全需求、风险评估和风险管理的正确理解;有效地向所有管理人员和员工推行安全措施;向所有的员工和签约方提供本组织的信息安全方针与标准;提供适当的培训和教育;一整套用于评估信息安全管理能力和反馈建议的测量系统2024/7
15、/242024/7/242、信息安全管理与信息系统安全保障2.12.1信息系统的使命信息系统的使命2.22.2信息系统安全保障模型信息系统安全保障模型2.32.3信息系统安全保障框架信息系统安全保障框架2.42.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证2.52.5信息安全管理模型信息安全管理模型2.62.6信息安全管理与信息系统安全保障的关系信息安全管理与信息系统安全保障的关系2024/7/242024/7/242.1信息系统的使命资产资产可能意识到可能意识到引起引起增加增加利用利用导致导致威胁主体威胁主体威胁威胁所有者所有者风险风险脆弱性脆弱性对策对策可能被减少可能被减
16、少利用利用价值价值希望最小化希望最小化希望滥用或破坏希望滥用或破坏可能具有可能具有减少减少到到到到使命使命希望完成希望完成到到可能阻碍或破坏可能阻碍或破坏2024/7/242024/7/242.2信息系统安全保障模型信息系统安全保障模型2024/7/242024/7/242.3信息系统安全保障框架信息系统安全保障框架信息系统使命信息系统使命信息系统建模,。信息系统建模,。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安
17、全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如:例如:ISO/IEC 15443, COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如:美国例如:美国DITSCAP, 中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则(信息技术系统评估准则)(信息技术系统评估准则)管理准则管理准则(信息系统管理评估准则)(信息系统管理评估准则)过程准则过程准则(信息系统安全工程评估准则)(信息系统安全工程评估准则)信信息息系系
18、统统安安全全保保障障评评估估准准则则2024/7/242024/7/242.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃建立使命要求建立使命要求建立使命要求建立使命要求审阅业务要求审阅业务要求系统需求分析系统需求分析定义运行需求定义运行需求系统体系设计系统体系设计项目与预算管理项目与预算管理两种类型:两种类型: 开发、购买/客户化/集成人员保证(决策人员)技术保证(技术方案安全产品)过程保证(服务能力工程过程)管理保证(安全管理)人员保证(管理/维护/使用人员)人员保证(管理人
19、员)人员保证(实施人员)管理保证(安全管理)管理保证(安全管理)管理保证(安全管理)信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)系系统统保保证证信信息息系系统统生生命命周周期期2024/7/242024/7/242.5信息安全管理模型信息安全管理模型信息系统安全管理基础信息系统安全管理基础组织体系组织体系策略制度策略制度遵循性遵循性人人员员安安全全采采购购管管理理投投资资和和预预算算管管理理持持续续性性管管理理环环境境设设备备紧紧急急用用途途和和供供给给变更控制管理变更控制管理信信息息技技术术战战略略规规划划变
20、更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃信信息息技技术术战战略略规规划划系系统统操操作作物物理理访访问问运运行行环环境境设设备备管管理理2024/7/242024/7/242.6信息安全管理与信息系统安全保障的关系n n信息系统安全保障三大部分:信息系统安全保障三大部分:信息系统安全保障三大部分:信息系统安全保障三大部分: 技术保障技术保障技术保障技术保障 过程保障过程保障过程保障过程保障 管理保障管理保障管理保障管理保障n n信息安全管理是信息系统安全保障的三大部分信息安全管理是信息系统安全保障的三大部分信息安全管理是信息系统安全保障
21、的三大部分信息安全管理是信息系统安全保障的三大部分之一:之一:之一:之一: 管理保障管理保障管理保障管理保障n n信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期2024/7/242024/7/243.3.信息安全管理体系标准概述3.1 信息安全标准介绍信息安全标准介绍3.2 ISO177993.3 ISO17799的历史及发展的历史及发展3.4 ISO17799:2000的内容框架的内容框架3.5 BS7799-2:1999的内容框架的内容框架3.6ISO/IEC17799:2000(BS7799
22、-1:1999)、BS7799-2:1999、BS7799-2:2002 之区别之区别之区别之区别2024/7/242024/7/243.1 信息安全标准介绍n n信息安全标准n 管理体系标准2024/7/242024/7/24信息安全标准nISO7498-2(GB/T9387.2-1995)nISO13335nSSE-CMM(GB21827)nISO15408(GB/T18336-2001)nISO177992024/7/242024/7/24ISO7498-2(GB/T9387.2-1995)n开放系统互联安全体系结构开放系统互联安全体系结构n由由ISO/ICEJTC1/SC21完成完成n
23、1982年开始,年开始,1988年结束,年结束,ISO发布了发布了ISO7498-2n给出了基于给出了基于OSI参考模型的参考模型的7层协议上的安全体系结构层协议上的安全体系结构n其核心内容是:为了保证异构计算机进程与进程之间其核心内容是:为了保证异构计算机进程与进程之间远距离安全交换信息的安全,它定义了该系统的远距离安全交换信息的安全,它定义了该系统的5大类大类安全服务,以及提供这些服务的安全服务,以及提供这些服务的8大类安全机制及相应大类安全机制及相应的安全管理,并可根据具体系统适当的配置于的安全管理,并可根据具体系统适当的配置于OSI模型模型的的7层协议中。层协议中。2024/7/242
24、024/7/24ISO7498-2安全体系结构安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型2024/7/242024/7/24ISO13335IT安全管理n分为分为5个部分:个部分:ISO/IECTR13335-1:概念和模型:概念和模型ISO/IECTR13335-2:管理和规划:管理和规划ISO/IECTR13335-3:管理技术:管理技术ISO/IECTR13335-4:安全措施的选择:安全措施的选择ISO/IECTR13335-5:网络安全性的管
25、理指:网络安全性的管理指导导n由由ISO/IECJTC1/SC27完成完成2024/7/242024/7/24SSE-CMM信息系统安全工程能力成熟度模型nCMMCapabilityMaturityModel首先用于软件工首先用于软件工程;程;n1993年年4月,由美国月,由美国NSA资助,安全业界、资助,安全业界、DOD、加、加拿大通信安全机构共同组成项目组,研究把拿大通信安全机构共同组成项目组,研究把CMM用用于安全工程;于安全工程;n1996年年10月推出第一版,月推出第一版,97年年4月推出方法月推出方法(SSAM)第一版;)第一版;98年底推出第二版,年底推出第二版,99年年4月推月
26、推出出SSAM第二版;第二版;n用于信息系统安全的工程组织、采购组织和评估机用于信息系统安全的工程组织、采购组织和评估机构构n5个能力级别,个能力级别,11个过程区个过程区n2003年,出版了年,出版了SSE-CMMV3.02024/7/242024/7/245 5个能力级别:个能力级别: 1 1级:非正式执行级级:非正式执行级 2 2级:计划和跟踪级级:计划和跟踪级 3 3级:充分定义级级:充分定义级 4 4级:量化控制级级:量化控制级 5 5级:持续改进级级:持续改进级 代表安全工程组织的 成熟度级别11个过程区:个过程区: PA 01 管理安全控制管理安全控制 PA 02 评估影响评估影
27、响 PA 03 评估安全风险评估安全风险 PA 04 评估威胁评估威胁 PA 05 评估脆弱性评估脆弱性 PA 06 建立保证论据建立保证论据 PA 07 协调安全协调安全 PA 08 监视安全态势监视安全态势 PA 09 提供安全输入提供安全输入 PA 10 指定安全要求指定安全要求 PA 11 验证和证实安全性验证和证实安全性 SSE-CMM信息系统安全工程能力成熟度模型(续)2024/7/242024/7/24ISO15408(GB/T18336)信息技术安全性评估准则n通常简称通常简称CC通用准则,通用准则,ISO15408:1999,GB/T18336:2001;n定义了评估信息技术
28、产品和系统安全性所需的定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准;基础准则,是度量信息技术安全性的基准;n分为分为3个部分:个部分:第一部分:简介和一般模型第一部分:简介和一般模型第二部分:安全功能要求第二部分:安全功能要求第三部分:安全保证要求第三部分:安全保证要求2024/7/242024/7/24管理体系标准nISO9000族族质量管理体系质量管理体系nISO14000环境管理体系标准环境管理体系标准nOHSAM18000职业安全卫生管理体职业安全卫生管理体系标准系标准nISO17799信息安全管理体系标信息安全管理体系标准准2024/7/242024/
29、7/24 ISO/IEC17799:2000InformationtechnologyCodeofpracticeforinformationsecuritymanagement信息技术信息安全管理实施细则 3.2 ISO/IEC17799:20002024/7/242024/7/24 l 历史BS 7799-2:19992001.6BS7799 Part 2version CCode of practiceDTIBS 7799-Part11993.9BSI1995.2BS 7799-Part21998.2BS 7799-1:19991999.4ISO/IEC2000.12+ISO 17799
30、3.3 ISO17799ISO17799的历史及发展2024/7/242024/7/24BSI简介简介n nBSIBSI 英国标准协会英国标准协会英国标准协会英国标准协会 英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证机构。机构。机构。机构。n n发起制定的标准发起制定的标准发起制定的标准发起制定的标准 ISO9000ISO9000(质量管理体系)(质量管理体系)(质量管理体系)(质量管理体系) ISO14001ISO14001(环境
31、管理体系)(环境管理体系)(环境管理体系)(环境管理体系) OHSAS18001OHSAS18001(职业健康与安全管理体系)(职业健康与安全管理体系)(职业健康与安全管理体系)(职业健康与安全管理体系) QS-9000/ISO/TS16949QS-9000/ISO/TS16949(汽车供应行业的质量管理体系)(汽车供应行业的质量管理体系)(汽车供应行业的质量管理体系)(汽车供应行业的质量管理体系) TL9000TL9000(电信供应行业的质量管理体系)(电信供应行业的质量管理体系)(电信供应行业的质量管理体系)(电信供应行业的质量管理体系) BS7799BS7799。2024/7/24202
32、4/7/24IUG:International User Group1997年成立年成立宗旨宗旨促进促进ISO17799/BS7799的应用和推广的应用和推广促进对信息安全管理体系标准、认证等的理解,服务全促进对信息安全管理体系标准、认证等的理解,服务全球商业球商业提供一个基于互联网的论坛提供一个基于互联网的论坛提供一个信息交流的平台提供一个信息交流的平台研究和写作研究和写作成员成员Australia Brazil Germany Hong Kong India Ireland JapanKoreaMalaysia The Netherlands New Zealand Norway Pola
33、nd SingaporeSouth AfricaSweden Switzerland TaiwanUAE UK USA 2024/7/242024/7/24ISO17799被各国或地区采用的情况EnglandAustraliaNew Zealand Brazil Czech RepublicFinland Iceland Ireland Netherlands (SPE 20003) Norway Sweden (SS 627799)Taiwan中国2024/7/242024/7/24ISO17799在中国国内从国内从2000年初开始认识年初开始认识ISO17799/BS7799;2000年初
34、开始,国内一些公司和单位进行年初开始,国内一些公司和单位进行BS7799的研究和相关课程培训;的研究和相关课程培训;20022003年,我国已经提出了国标化的年,我国已经提出了国标化的计划;计划;2024/7/242024/7/243.4 ISO17799:2000的内容框架ISO17799:2000(BS7799-1:1999)CodeofPracticeforInformationSecurityManagement信息安全管理实施细则BS7799-2:1999(已经有已经有BS7799-2:2002草案草案)SpecificationforInformationSecurityManag
35、ementSystem信息安全管理体系规范2024/7/242024/7/243.4 ISO17799:2000的内容框架(续)Foreword(ISO前言前言)Introduction(引言引言)1.Scope(范围范围)2.TermandDefinitions(术语和定义术语和定义)3.12.详细控制目标和控制措施详细控制目标和控制措施2024/7/242024/7/243.4ISO17799:2000的内容框架(续)Foreword(ISO前言前言) ISO(国际标准化组织)和IEC(国际电工委员会)组成世界性标准化的专门体系。作为ISO或IEC成员的各国团体通过由各自组织设立的技术委员
36、会参与国际标准的开发,处理特殊领域的技术活动。ISO和IEC技术委员会协调共同利益的领域。其它与ISO和IEC有联系的国际组织(官方的和非官方的)也可参加工作。 2024/7/242024/7/243.4ISO17799:2000的内容框架(续)Introduction(引言引言)什么是信息安全什么是信息安全为何需要信息安全为何需要信息安全如何确定安全需求如何确定安全需求评估安全风险评估安全风险选择控制措施选择控制措施信息安全起点信息安全起点成功的关键因素成功的关键因素制定组织自身的指导方针制定组织自身的指导方针2024/7/242024/7/243.4ISO17799:2000的内容框架(续
37、)1.Scope(范围范围)本标准为组织中负责信息安全的启动、实现和本标准为组织中负责信息安全的启动、实现和保持的人员提供了信息安全管理方面的建议。保持的人员提供了信息安全管理方面的建议。目的是为各个组织制定安全标准和有效的安全目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台,并建立组织间交管理措施提供一个通用平台,并建立组织间交易时的信心。本标准所提供的建议应该根据相易时的信心。本标准所提供的建议应该根据相关法规有选择的使用。关法规有选择的使用。2024/7/242024/7/243.4ISO17799:2000的内容框架(续)2.TermandDefinitions(术语和
38、定义术语和定义)2.1informationsecurity信息安全信息安全2.2Riskassessment风险评估风险评估2.3Riskmanagement风险管理风险管理2024/7/242024/7/243.4ISO17799:2000的内容框架(续)2.1informationsecurity信息安全信息安全Preservation of confidentiality, integrity, and availability of information.-Confidentiality Ensuring that information is accessible only to
39、 those authorized to have access. 确保只有被授权的人员才可以访问信息。确保只有被授权的人员才可以访问信息。-Integrity Safeguarding the accuracy and completeness of information and processing methods. 确保信息及其处理方法的准确性和完整性。确保信息及其处理方法的准确性和完整性。 -Availability Ensuring that authorized users have access to information and associated assets when
40、 required. 确保被授权的用户在需要时可确保被授权的用户在需要时可以访问信息和相关的资产。以访问信息和相关的资产。2024/7/242024/7/243.4ISO17799:2000的内容框架(续)2.2Riskassessment风险评估风险评估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.对信息和信息处理设施所受到的威胁、影响和脆弱性对信息和信息处理设施所受到的威胁、影响
41、和脆弱性以及发生这些事件的可能性进行评估以及发生这些事件的可能性进行评估。2024/7/242024/7/243.4ISO17799:2000的内容框架(续)2.3Riskmanagement风险管理风险管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本,对影响信息系统的安全风险进行识别、控基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减小或消除的过程制、减小或消除的过
42、程。2024/7/242024/7/243.4ISO17799:2000的内容框架(续)3.Securitypolicy安全方针安全方针4.SecurityOrganizational安全组织安全组织5.Assetclassificationandcontrol资产分类与控制资产分类与控制6.Personnelsecurity人员安全人员安全7.Physicalandenvironmentalsecurity物理和环境安全物理和环境安全8.Communicationsandoperationamanagement通信和操作管通信和操作管理理9.Accesscontrol访问控制访问控制10.S
43、ystemsdevlopmentandmaintenance系统开发和维护系统开发和维护11.Businesscontinuitymanagement业务连续性管理业务连续性管理12.Compliance符合性符合性2024/7/242024/7/24 Foreword(BSI前言前言)1.Scope(范围范围)2.TermandDefinitions(术语和定义术语和定义)3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求信息安全管理体系的要求)4.Detailedcontrols(详细控制措施)(详细控制措施) 3.5
44、 BS7799-2:1999的内容框架2024/7/242024/7/241.Scope(范围范围) BS7799 BS7799的这一部分提出了建立、实施并记录信息安全管理体的这一部分提出了建立、实施并记录信息安全管理体系时的具体要求;同时,也提出了各组织根据具体需求采取安全系时的具体要求;同时,也提出了各组织根据具体需求采取安全控制措施的要求。控制措施的要求。 3.5 BS7799-2:1999的内容框架(续)2024/7/242024/7/242.TermandDefinitions(术语和定义术语和定义)2.1statementofapplicability(适用声明适用声明)Criti
45、queoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.根据组织需要对所选的控制目标和控制措施的说明根据组织需要对所选的控制目标和控制措施的说明 3.5 BS7799-2:1999的内容框架(续)2024/7/242024/7/243.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求信息安全管理体系的要求)3.1General(总则总则)3.2Establishingamanagementframework(建立管理框架建立管理框架)3.3Impl
46、ementation(实施实施)3.4Documentation(文档化文档化)3.5Documentcontrol(文件控制文件控制)3.6Records(记录记录) 3.5 BS7799-2:1999的内容框架(续)2024/7/242024/7/244.Detailedcontrols(详细控制措施)(详细控制措施)4.1Securitypolicy安全方针安全方针4.2SecurityOrganizational安全组织安全组织4.3Assetclassificationandcontrol资产分类与控制资产分类与控制4.4Personnelsecurity人员安全人员安全4.5Phy
47、sicalandenvironmentalsecurity物理和环境安全物理和环境安全4.6Communicationsandoperationamanagement通信和操作管理通信和操作管理4.7Accesscontrol访问控制访问控制4.8Systemsdevlopmentandmaintenance系统开发和维护系统开发和维护4.9Businesscontinuitymanagement业务连续性管理业务连续性管理4.10Compliance符合性符合性 3.5 BS7799-2:1999的内容框架(续)2024/7/242024/7/243.6ISO/IEC17799:2000(B
48、S7799-1:1999)、BS7799-2:1999、BS7799-2:2002之区别之区别nISO/IEC17799:2000(BS7799-1:1999)为指南为指南指导如何进行安全管理实践指导如何进行安全管理实践nBS7799-2:1999和和BS7799-2:2002为标准为标准建立的信息安全管理体系必须符合的要求建立的信息安全管理体系必须符合的要求nBS7799-2:2002更接近更接近ISO9000标准的格式标准的格式控制目标和控制措施作为附录控制目标和控制措施作为附录2024/7/242024/7/244. 信息安全管理体系方法4.1什么是什么是ISMS4.2 ISMS的重要原
49、则的重要原则4.3 ISMS的实现方法的实现方法2024/7/242024/7/244.1 什么是ISMSn n ISMS:InformationSecurityManagementSystem 信息安全管理体系nISO9000-2000术语和定义组织组织organization职责、权限和相互关系得到安排的一组人员及设施, 如:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理管理management指挥和控制组织的协调的活动体系体系system相互关联和相互作用的一组要素管理体系管理体系managementsystem建立方针和目标并实现这些目标的
50、体系n管理学中的定义管理学中的定义管理管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织目标的过程。2024/7/242024/7/24信息安全管理体系 ISMS定义定义nISMS是:在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的信息安全目标应是可测量的要素可能包括要素可能包括 信息安全方针、策略信息安全组织结构各种活动、过程-信息安全控制措施-人力、物力等资源2024/7/242024/7/24要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图信息
51、安全管理体系框图信息安全管理体系框图信息安全管理体系框图信息安全管理体系框图2024/7/242024/7/244.2ISMS的重要原则 4.2.1PDCA循环4.2.2过程方法过程方法4.2.3其它重要原则其它重要原则2024/7/242024/7/24PDCA循环:PlanDoCheckAct计划实施检查改进PDAC 4.2.1 PDCA循环2024/7/242024/7/244.2.1 PDCA循环(续)n又称又称“戴明环戴明环”,PDCA循环是能使任何一项活循环是能使任何一项活动有效进行的工作程序动有效进行的工作程序:P:计划,方针和目标的确定以及活动计划的制定;:计划,方针和目标的确
52、定以及活动计划的制定;D:执行,具体运作,实现计划中的内容;:执行,具体运作,实现计划中的内容;C:检查,总结执行计划的结果,分清哪些对了,哪些错:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;了,明确效果,找出问题;A:改进(或处理):改进(或处理),对总结检查的结果进行处理,成功的对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个对于没有解决的问题,应提给
53、下一个PDCA循环中去解决。循环中去解决。2024/7/242024/7/24PDCA循环的特点一 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环 4.2.1 PDCA循环(续)2024/7/242024/7/24PDCA循环的特点二 组织中的每个部分,甚至个人,均有一个组织中的每个部分,甚至个人,均有一个PDCAPDCA循环,大循环,大环套小环,一层一层地解决问题。环套小环,一层一层地解决问题。 4.2.1 PDCA循环(续)2024/7/242024/7/24PDCA循环的特点三每通过一次每通过一次PDCA循环,都要循环,都要进行总结,提出新目标,再进行第进行总结,
54、提出新目标,再进行第二次二次PDCA循环。循环。90909090改进改进执行执行计划计划检查检查C CA AD DP P达到新的水平达到新的水平改进改进( (修订标准修订标准) )维持原有水平维持原有水平90909090改进改进执行执行计划计划检查检查C CA AD DP P4.2.1 PDCA循环(续)2024/7/242024/7/244.2.2 过程方法定义nISO9000-2000术语和定义过程:过程:一组将输入转化为输出的相互关联或相互作用一组将输入转化为输出的相互关联或相互作用的活动。的活动。过程方法过程方法系统地识别和管理组织所应用的过程,特别是这系统地识别和管理组织所应用的过程
55、,特别是这些过程之间的相互作用,称之为些过程之间的相互作用,称之为“过程方法过程方法”。2024/7/242024/7/24活动活动测量、改进测量、改进责任人责任人资资 源源记记 录录输入输入输出输出过程方法模型:2024/7/242024/7/24信息安全管理过程方法信息安全实现是一个大的过程;信息安全实现过程的每一个活动也是一个过程;识别组织实现信息安全的每一个过程;对每一个信息安全过程的实施进行监控和测量;改进每一个信息安全过程。2024/7/242024/7/24制定信息安全方针制定信息安全方针确定确定ISMS的范围的范围安全风险评估安全风险评估风险管理风险管理选择控制目标和控制措施选
56、择控制目标和控制措施准备适用声明准备适用声明实 施测量、改进安全需求安全信息安全管理的过程网络信息安全管理的过程网络2024/7/242024/7/24信息安全管理的过程网络信息安全管理的过程网络n将相互关联的过程作为一个系统来识别、理解和管理将相互关联的过程作为一个系统来识别、理解和管理n一个过程的输出构成随后过程输入的一部分一个过程的输出构成随后过程输入的一部分n过程之间的相互作用形成相互依赖的过程网络过程之间的相互作用形成相互依赖的过程网络nPDCA循环可用于单个过程,也可用于整个过程网络循环可用于单个过程,也可用于整个过程网络2024/7/242024/7/24领导重视 指明方向和目标
57、 权威 预算保障,提供所需的资源 监督检查 组织保障 4.2.3其它重要原则领导重视2024/7/242024/7/24 全员参与 信息安全不仅仅是IT部门的事; 让每个员工明白随时都有信息安全问题; 每个员工都应具备相应的安全意识和能力; 让每个员工都明确自己承担的信息安全责任;4.2.3 其它重要原则全员参与2024/7/242024/7/24持续改进 信息安全是动态的,时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段 实现信息安全目标的循环活动 4.2.3 其它重要原则持续改进2024/7/242024/7/24 文件化 文件的作用:有章可循,有据可查 文件
58、的类型:手册、规范、指南、记录 4.2.3 其它重要原则文件化沟通意图,统一行动沟通意图,统一行动重复和可追溯重复和可追溯提供客观证据提供客观证据用于学习和培训用于学习和培训 文件的作用:有章可循,有据可查 2024/7/242024/7/24 文件的类型:手册、规范、指南、记录 - - 手册:向组织内部和外部提供关于信息安全管理体系的一手册:向组织内部和外部提供关于信息安全管理体系的一致信息的文件致信息的文件 - - 规范:阐明要求的文件规范:阐明要求的文件 - - 指南:阐明推荐方法和建议的文件指南:阐明推荐方法和建议的文件 - - 记录:为完成的活动或达到的结果提供客观证据的文件记录:为
59、完成的活动或达到的结果提供客观证据的文件 文件化4.2.3 其它重要原则文件化2024/7/242024/7/244.3ISMS的实现方法4.3.1 ISMS总则4.3.2 建立ISMS框架4.3.3 ISMS实施4.3.4 ISMS体系文件4.3.5 文件的控制4.3.6 记录2024/7/242024/7/24TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganizationsapproachtoriskmanagement,thecont
60、rolobjectivesandcontrols,andthedegreeofassurancerequired. 组织应该建立并运行一套文件化的组织应该建立并运行一套文件化的ISMSISMS 确定组织需要保护的资产确定组织需要保护的资产 确定风险管理的方法确定风险管理的方法 确定风险控制的目标和控制措施确定风险控制的目标和控制措施 确定要达到的安全保证程度确定要达到的安全保证程度 3.1General(总则总则) 4.3.1 ISMS总则2024/7/242024/7/24 建设建设ISMSISMS的步骤:如下图的步骤:如下图 3.2Establishingamanagementframew
61、ork(建立管理框架建立管理框架) 4.3.2 建立建立ISMS框架框架2024/7/242024/7/24制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步:第二步:第三步:第四步:第五步:第六步:ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件 4.3.2 建立建立ISMS框架框架2024/7/242024/7/24信息安全方针信息安全方针 一、目的:信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理, 二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管
62、理体系。要求各部门高度重视, 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2 建立建立ISMS框架框架 组织应定义信息安全方针。组织应定义信息安全方针。BS7799-2对对ISMS的要求:的要求:2024/7/242024/7/24什么是信息安全方针?什么是信息安全方针? 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全管理体系的建立和实施过程。 信息安全方针 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针2024/7/242024/7/24 4.3.2 建立建立ISMS框架框架 第一步第一步 制订
63、信息安全方针制订信息安全方针l要经最高管理者批准和发布l体现了最高管理者对信息安全的承诺与支持l要传达给组织内所有的员工l要定期和适时进行评审信息安全方针信息安全方针2024/7/242024/7/24目的和意义目的和意义l为组织提供了关注的焦点,指明了方向,确定了目标;l确保信息安全管理体系被充分理解和贯彻实施;l统领整个信息安全管理体系。 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针2024/7/242024/7/24信息安全方针的内容信息安全方针的内容包括但不限于:-组织对信息安全的定义组织对信息安全的定义-信息安全总体目标和范围信息安全总体目标和
64、范围-最高管理者对信息安全的承诺与支持的声明最高管理者对信息安全的承诺与支持的声明-符合相关标准、法律法规、和其它要求的声明符合相关标准、法律法规、和其它要求的声明-对信息安全管理的总体责任和具体责任的定义对信息安全管理的总体责任和具体责任的定义-相关支持文件相关支持文件 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针2024/7/242024/7/24注意事项注意事项-简单明了简单明了-易于理解易于理解-可实施可实施-避免太具体避免太具体 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针2024/7/242024/7/
65、24 4.3.2 建立建立ISMS框架框架 第二步第二步 确定确定ISMSISMS范围范围 组织应定义信息安全管理体系的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。BS7799-2对对ISMS的要求:的要求:2024/7/242024/7/24l可以根据组织的实际情况,将组织的一部分定义为可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息信息安全管理范围,也可以将组织整体定义为信息安全管理范围;安全管理范围;l信息安全管理范围必须用正式的文件加以记录。信息安全管理范围必须用正式的文件加以记录。 4.3.2 建立建立ISMS框架框架
66、 第二步第二步 确定确定ISMSISMS范围范围2024/7/242024/7/24l文件是否明白地描述了信息安全管理体系的范围文件是否明白地描述了信息安全管理体系的范围l范围的边界和接口是否已清楚定义范围的边界和接口是否已清楚定义 4.3.2 建立建立ISMS框架框架 第二步第二步 确定确定ISMSISMS范围范围ISMS范围文件:范围文件:2024/7/242024/7/24 4.3.2 建立建立ISMS框架框架 第三步第三步 风险评估风险评估 组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。BS7799-2对对ISMS的要求:的要
67、求:2024/7/242024/7/24l是否执行了正式的和文件化的风险评估?l是否经过一定数量的员工验证其正确性?l风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?l风险评估是否定期和适时进行? 4.3.2 建立建立ISMS框架框架 第三步第三步 风险评估风险评估2024/7/242024/7/24 4.3.2 建立建立ISMS框架框架 第四步第四步 风险管理风险管理 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。BS7799-2对对ISMS的要求:的要求:2024/7/242024/7/24 根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在
68、可以接受的范围之内。 4.3.2 建立建立ISMS框架框架 第四步第四步 风险管理风险管理2024/7/242024/7/24l是否定义了组织的风险管理方法?l是否定义了所需的信息安全保证程度?l是否给出了可选择的控制措施供管理层做决定? 4.3.2 建立建立ISMS框架框架 第四步第四步 风险管理风险管理2024/7/242024/7/24 4.3.2 建立建立ISMS框架框架 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施 组织应选择适当的控制措施和控制目标来满足风险管理的要求,并证明选择结果的正确性。BS7799-2对对ISMS的要求:的要求:2024/7/242024/7/
69、24解决指出定义被满足 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施 4.3.2 建立建立ISMS框架框架选择控制措施的示意图2024/7/242024/7/24l选择的控制措施是否建立在风险评估的结果之上?l是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?l选择的控制措施是否反应了组织的风险管理战略?l针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择 4.3.2 建立建立ISMS框架框架 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施2024/7/242024/7/24未选择某项控制措施的原因风险原因风险
70、原因- 没有识别出相关的风险没有识别出相关的风险财务原因财务原因- 财务预算的限制财务预算的限制环境原因环境原因- 安全设备、气候、空间等安全设备、气候、空间等技术技术- 某些控制措施在技术上不可行某些控制措施在技术上不可行文化文化- 社会环境的限制社会环境的限制时间时间- 某些要求目前无法实施某些要求目前无法实施其它其它- ? 4.3.2 建立建立ISMS框架框架 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施2024/7/242024/7/24 4.3.2 建立建立ISMS框架框架 第六步第六步 准备适用声明准备适用声明 组织应准备适用声明,记录已选择的控制措施和理由,以及未选
71、择的控制措施及其理由。BS7799-2对对ISMS的要求:的要求:2024/7/242024/7/24 在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。未来实现公司ISMS适用声明 4.3.2 建立建立ISMS框架框架 第六步第六步 准备适用声明准备适用声明2024/7/242024/7/24Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresado
72、ptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.组织应该对所选择的控制目标和控制措施有效的实施。实施程组织应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据序的有效性应依据4.10.2条之规定加以验证。条之规定加以验证。 4.10.2安全方针和技术符合性的评审安全方针和技术符合性的评审4.10.2.1安全方针的符合性安全方针的符合性4.10.2.2技术符合性的检查技术符合性的检查 4.3.3 ISMS实施实施BS7799-2对对ISMS实施的要求:实施的要求:2024/7/2420
73、24/7/24信息安全管理体系文件应包括如下方面的信息:信息安全管理体系文件应包括如下方面的信息:按按3.2条款规定采取的行动的证据条款规定采取的行动的证据对管理框架的总结,包括适用声明中所列信息安全方针、控制对管理框架的总结,包括适用声明中所列信息安全方针、控制目标和控制措施目标和控制措施3.3条规定的实施管理程序,此程序应对责任和相关措施加以条规定的实施管理程序,此程序应对责任和相关措施加以描述描述信息安全管理体系的管理和操作程序,此程序应对责任和相关信息安全管理体系的管理和操作程序,此程序应对责任和相关措施加以描述措施加以描述 4.3.4 ISMS体系文件体系文件BS7799-2对对IS
74、MS文件的要求:文件的要求:2024/7/242024/7/24组组织织要要建建立立和和维维护护一一套套控控制制3.4条条款款中中要要求求的的所所有有文文件件的的流流程程,应应确确保保这些文件:这些文件:随时可得随时可得根据组织的安全方针的变化得以定期评审和修订根据组织的安全方针的变化得以定期评审和修订版本要及时更新,并存放在信息安全管理体系的涉及的现场版本要及时更新,并存放在信息安全管理体系的涉及的现场过时后及时撤换过时后及时撤换过时撤换后对其进行分类存档,用于事后凭据或查阅过时撤换后对其进行分类存档,用于事后凭据或查阅此类文本应保持整洁、清楚,并标明日期,按分类妥善保存至规定期此类文本应保
75、持整洁、清楚,并标明日期,按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订,要制定一定的流程和职责划分。限到期为止。针对各类文件的建立和修订,要制定一定的流程和职责划分。 4.3.5 ISMS文件控制文件控制BS7799-2对对ISMS文件控制的要求:文件控制的要求:2024/7/242024/7/24记录作为记录作为ISMS运行结果的证据,要求加以保留,以证明运行结果的证据,要求加以保留,以证明是否符合是否符合ISMS和组织所提出的要求。记录可为访客记录、和组织所提出的要求。记录可为访客记录、审计记录和出入证明等等。审计记录和出入证明等等。各单位应建立并运行合理程序,以确认、维护、
76、保存和处各单位应建立并运行合理程序,以确认、维护、保存和处理这些过程是否规范的要求。理这些过程是否规范的要求。记录要求清晰可辨,通过其可追溯到所记录的活动情况。记录要求清晰可辨,通过其可追溯到所记录的活动情况。记录的保存和维护应当做到随时可得,并不得损坏、磨损记录的保存和维护应当做到随时可得,并不得损坏、磨损或丢失。或丢失。 4.3.6 ISMS记录记录BS7799-2对对ISMS记录的要求:记录的要求:2024/7/242024/7/24 5.1 十类控制措施十类控制措施 5.2 基本控制措施基本控制措施 5.3 ISO17799控制目标和控制措施概述控制目标和控制措施概述 5. ISO17
77、7995. ISO17799中的控制目标和控制措施2024/7/242024/7/245.15.1 十类控制措施十类控制措施一、安全方针(Security Policy)(1,2)(附注)二、安全组织(Security Organization)(3,10)三、资产分类与控制(Asset classification and Control)(2,3)四、人员安全(Personnel Security)(3,10)五、物理与环境安全(Physic and Environment Security)(3,13)六、通信与运行管理(Communication and Operation Manag
78、ement)(7,24)八、系统开发与维护(System develop and maintenance)(5,18)七、访问控制(Access control)(8,31)九、业务持续性管理(Business continuity management)(1,5)十、符合性(Compliance)(3,11)附注:(m,n) m:执行目标的数目 n:控制方法的数目2024/7/242024/7/245.15.1 十类控制措施十类控制措施( (续续) )nISO17799包含了包含了36个控制目标和个控制目标和127个控个控制措施制措施不是所有的控制措施都适用于组织的各种情形不是所有的控制措施
79、都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技所描述的控制措施也未考虑组织的环境和适用技术的限制术的限制所描述的控制措施并不是必须适用于组织中的所所描述的控制措施并不是必须适用于组织中的所有人有人2024/7/242024/7/24 ISO17799 ISO17799推荐了八个控制措施作为信息推荐了八个控制措施作为信息安全的起始点(安全的起始点(Starting PointStarting Point),组织可),组织可以此为基础建立以此为基础建立ISMSISMS。 这些控制措施在大多数情况下是普遍适这些控制措施在大多数情况下是普遍适用的。用的。5.2 基本控制措施2024/
80、7/242024/7/24与法律有关的控制措施12.1.4数据保护和个人隐私数据保护和个人隐私12.1.3组织记录的保护组织记录的保护12.1.2知识产权知识产权5.2 基本控制措施与法律相关的2024/7/242024/7/24与法律有关的控制措施12.1.4数据保护和个人隐私数据保护和个人隐私目标:符合所在国家的数据保护法律和与个人隐私相关的符合所在国家的数据保护法律和与个人隐私相关的法律法律数据保护法数据保护法19981998(英国)(英国)电子数据保护法(欧盟电子数据保护法(欧盟20022002年年6 6月通过)月通过)电信服务数据保护法(德国)电信服务数据保护法(德国)个人隐私法(美
81、国、加拿大等)个人隐私法(美国、加拿大等)电子通信隐私法(美国)电子通信隐私法(美国)5.2 基本控制措施与法律相关的2024/7/242024/7/24与法律有关的控制措施12.1.3组织记录的保护组织记录的保护目标:目标:保护重要的记录不被丢失、破坏或伪造保护重要的记录不被丢失、破坏或伪造保留期保留期存储存储报废处理报废处理5.2 基本控制措施与法律相关的2024/7/242024/7/24与法律有关的控制措施12.1.2知识产权知识产权12.1.2.1版权版权12.1.2.2软件版权软件版权目标:目标:确保使用产品或服务时不违反国家有关知识产权和确保使用产品或服务时不违反国家有关知识产权
82、和专属软件产品方面的法律、法规和法令。专属软件产品方面的法律、法规和法令。复制限制复制限制许可协议许可协议合同要求合同要求5.2 基本控制措施与法律相关的2024/7/242024/7/24与最佳实践有关的控制措施3.1 3.1 信息安全方针信息安全方针4.1.3 4.1.3 信息安全责任分配信息安全责任分配6.2.1 6.2.1 信息安全教育与培训信息安全教育与培训6.3.1 6.3.1 安全事件汇报安全事件汇报11.1 11.1 业务连续性管理业务连续性管理 5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施3.1.1 信息安全方针文件目标:为
83、信息安全提供管理指导和支持。为信息安全提供管理指导和支持。 信息安全方针5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施4.1.3 信息安全责任分配目标:分配安全责任,使得信息安全在组织内得以有分配安全责任,使得信息安全在组织内得以有效管理效管理。和各个系统相关的各种资产和安全程序应给予识别和和各个系统相关的各种资产和安全程序应给予识别和明确的定义明确的定义负责上述各资产和安全程序的经理人的任命要经过批负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案准,其权责要记录在案授权级别应清晰定义并记录在案授权级别应清晰定义并记录在案5.
84、2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施6.2.1 信息安全教育与培训目标:目标:保证使用者有信息安全意识,理解并执行信息安保证使用者有信息安全意识,理解并执行信息安全方针,并有能力胜任信息安全的相关工作。全方针,并有能力胜任信息安全的相关工作。安全意识安全意识安全知识安全知识5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施6.3.1 安全事件汇报目标:目标:最大程度减小安全事故和故障造成的破坏,并且监最大程度减小安全事故和故障造成的破坏,并且监控此类事故、从事故中学习。控此类事故、从事故中学习
85、。应该建立正式的报告程序,同时建立事故响应程序,阐明接应该建立正式的报告程序,同时建立事故响应程序,阐明接到事故报告后所采取的行动。到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序,并应该应该使所有员工和签约方知道报告安全事故的程序,并应该要求他们尽快报告此类事故。要求他们尽快报告此类事故。应该在事故被处理完并关闭后,执行适当的反馈程序,以确应该在事故被处理完并关闭后,执行适当的反馈程序,以确保那些报告的事故被通告了结果。保那些报告的事故被通告了结果。5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施11.1 业务连续性管理目
86、标:目标:抵制商业活动的中断,保护关键的商业过程抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。免受主要的故障或灾难的影响。 5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24与最佳实践有关的控制措施11. 业务连续性管理 11.1业务连续性管理业务连续性管理11.1.1过程过程11.1.2业务连续性和影响分析业务连续性和影响分析11.1.3制定和实施业务连续性计划制定和实施业务连续性计划11.1.4业务连续性计划框架业务连续性计划框架11.1.5测试,维护和重新评估业务连续性计划测试,维护和重新评估业务连续性计划11.1.5.1测试业务连续性计划测试业
87、务连续性计划11.1.5.2维护和重新评估业务连续性计划维护和重新评估业务连续性计划5.2 基本控制措施与最佳实践相关的2024/7/242024/7/24 10类控制36个控制目标127项控制措施 5.3 ISO177995.3 ISO17799控制目标和控制措施概述控制目标和控制措施概述2024/7/242024/7/24 5.3 ISO17799控制目标和控制措施概述3. 信息安全方针 目标:为信息安全提供管理指导和支持。为信息安全提供管理指导和支持。 3.1信息安全方针信息安全方针3.1.1信息安全方针文件信息安全方针文件3.1.2评审与评价评审与评价2024/7/242024/7/2
88、44. 安全组织 目标:管理组织内部的信息安全管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时维护组织的信息处理设备和信息资产在被第三方访问时的安全的安全维护把信息处理的责任外包给其他组织时的信息安全性维护把信息处理的责任外包给其他组织时的信息安全性 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/244. 安全组织 4.1信息安全基础结构信息安全基础结构4.2第三方访问的安全第三方访问的安全4.3外包外包 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/244.1信息安全基础结构信息安全基础结构4.1.1信息安
89、全管理委员会信息安全管理委员会4.1.2信息安全协作信息安全协作4.1.3信息安全责任分配信息安全责任分配4.1.4信息处理设施的授权过程信息处理设施的授权过程4.1.5信息安全专家建议信息安全专家建议4.1.6组织间的合作组织间的合作4.1.7信息安全的独立评审信息安全的独立评审 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/244.2第三方访问的安全第三方访问的安全4.2.1第三方访问的风险识别第三方访问的风险识别4.2.1.1访问类型访问类型4.2.1.2访问原因访问原因4.2.1.3现场工作的合同方现场工作的合同方4.2.2第三方合同中的安全要求第三方合
90、同中的安全要求 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/244.3外包外包4.3.1外包合同中的安全要求外包合同中的安全要求外包合同外包合同 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/245. 资产分类与控制 目标:保持对组织资产的适当保护保持对组织资产的适当保护确保信息资产受到适当级别的保护确保信息资产受到适当级别的保护 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/245. 资产分类与控制 5.1资产责任资产责任5.1.1资产清单资产清单5.2信息资产分类信息资产分类5.2.1分类指南
91、分类指南5.2.2标识和处理标识和处理绝密机密秘密 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/246. 人员安全 目标:降低人为错误、盗窃、诈骗或误用设备的风险降低人为错误、盗窃、诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系,并在其日确保用户意识到信息安全的威胁和利害关系,并在其日常工作过程中树立支持组织安全方针的意识常工作过程中树立支持组织安全方针的意识 尽量减小安全事件和故障造成的损失,监督此类事件并尽量减小安全事件和故障造成的损失,监督此类事件并从中吸取教训从中吸取教训 5.3 ISO17799控制目标和控制措施概述2024/7/2420
92、24/7/246. 人员安全 6.1岗位安全责任和人员录用安全要求岗位安全责任和人员录用安全要求6.2用户培训用户培训6.3安全事件与故障的响应安全事件与故障的响应 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/246.1岗位安全责任和人员录用安全要求岗位安全责任和人员录用安全要求6.1.1岗位安全责任岗位安全责任6.1.2人员选拔及其原则人员选拔及其原则6.1.3保密协议保密协议6.1.4录用条款录用条款 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/246.2用户培训用户培训6.2.1信息安全教育与培训信息安全教育与培训 5.
93、3 ISO17799控制目标和控制措施概述2024/7/242024/7/246.3安全事件与故障响应安全事件与故障响应6.3.1报告安全事件报告安全事件6.3.2报告安全隐患报告安全隐患6.3.3报告软件故障报告软件故障6.3.4总结事件教训总结事件教训6.3.5处罚过程处罚过程 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/247. 物理和环境安全 目标:防止进入业务安全区边界,对信息进行未授权的访问、防止进入业务安全区边界,对信息进行未授权的访问、破坏和干扰破坏和干扰防止资产的丢失、损坏或损害,以及业务活动的中断防止资产的丢失、损坏或损害,以及业务活动的中
94、断防止信息和信息处理设施遭受损害或被盗防止信息和信息处理设施遭受损害或被盗 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/247. 物理和环境安全 7.1安全区域安全区域7.2设备安全设备安全7.3常规控制措施常规控制措施 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/247.1安全区域安全区域7.1.1边界边界7.1.2出入控制出入控制7.1.3办公室、房间和设施的安全办公室、房间和设施的安全7.1.4安全区工作守则安全区工作守则7.1.5交接区隔离交接区隔离 5.3 ISO17799控制目标和控制措施概述2024/7/2420
95、24/7/247.2设备安全设备安全7.2.1设备安置及其保护设备安置及其保护7.2.2电源电源7.2.3线缆安全线缆安全7.2.4设备维护设备维护7.2.5安全区外的设备安全安全区外的设备安全7.2.6设备报废或再利用的安全设备报废或再利用的安全 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/247.3常规控制措施常规控制措施7.3.1清空桌面和清屏清空桌面和清屏7.3.2资产转移资产转移 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248. 通信和操作管理 目标:确保信息处理设施正确运行与安全运行确保信息处理设施正确运行与安
96、全运行将系统故障的风险降到最低将系统故障的风险降到最低保护软件和信息的完整性保护软件和信息的完整性保持信息处理与通信服务的完整性和可用性保持信息处理与通信服务的完整性和可用性确保网络信息的安全和支持性基础设施得到保护确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止资产损失和业务活动的中断防止丢失、修改或误用组织之间交换的信息防止丢失、修改或误用组织之间交换的信息 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248. 通信和操作管理 8.1操作程序和责任操作程序和责任8.2系统规划和验收系统规划和验收8.3恶意软件的防范恶意软件的防范8
97、.4日常管理日常管理8.5网络管理网络管理8.6媒体安全媒体安全8.7信息及软件的交换信息及软件的交换 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.1操作程序和责任操作程序和责任8.1.1操作程序文件化操作程序文件化8.1.2操作的变更控制操作的变更控制8.1.3事件管理程序事件管理程序8.1.4职责划分职责划分8.1.5开发设备与操作设备的隔离开发设备与操作设备的隔离8.1.6外部设施管理外部设施管理 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.2系统规划和验收系统规划和验收8.2.1容量规划容量规划8.2.
98、2系统验收系统验收20012010 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.3恶意软件的防范恶意软件的防范8.3.1恶意软件的防范措施恶意软件的防范措施 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.4日常管理日常管理8.4.1信息备份信息备份8.4.2操作日志操作日志8.4.3错误记录错误记录 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.5网络管理网络管理8.5.1网络控制网络控制 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248
99、.6媒体安全媒体安全8.6.1可移动的计算机媒体的管理可移动的计算机媒体的管理8.6.2媒体处置媒体处置8.6.3信息处理程序信息处理程序8.6.4系统文档安全系统文档安全 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/248.7信息及软件的交换信息及软件的交换8.7.1信息及软件交换协议信息及软件交换协议8.7.2媒体传输安全媒体传输安全8.7.3电子商务安全电子商务安全8.7.4电子邮件安全电子邮件安全8.7.5电子办公系统安全电子办公系统安全8.7.6公开可用系统公开可用系统8.7.7其它形式的信息交换其它形式的信息交换 5.3 ISO17799控制目标和
100、控制措施概述2024/7/242024/7/249. 访问控制 目标:控制对信息的访问控制对信息的访问防止对信息系统的未授权访问防止对信息系统的未授权访问 防止未授权的用户访问防止未授权的用户访问保护网络服务,控制对内部网络和外部网络服务的访问保护网络服务,控制对内部网络和外部网络服务的访问防止对计算机的未授权访问防止对计算机的未授权访问防止对信息系统内的信息的未授权访问防止对信息系统内的信息的未授权访问 检测未授权的活动检测未授权的活动确保使用可移动计算机和远程工作设施时的信息的安全确保使用可移动计算机和远程工作设施时的信息的安全 5.3 ISO17799控制目标和控制措施概述2024/7/
101、242024/7/249. 访问控制 9.1访问控制的业务需求访问控制的业务需求9.2用户访问管理用户访问管理9.3用户职责用户职责9.4网络访问控制网络访问控制9.5操作系统访问控制操作系统访问控制9.6应用系统访问控制应用系统访问控制9.7系统访问和使用的监控系统访问和使用的监控9.8移动计算和远程工作移动计算和远程工作 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.1访问控制的业务需求访问控制的业务需求9.1.1访问控制策略访问控制策略9.1.1.1策略和业务需求策略和业务需求9.1.1.2访问控制规则访问控制规则 5.3 ISO17799控制目标
102、和控制措施概述2024/7/242024/7/249.2用户访问管理用户访问管理9.2.1用户注册用户注册9.2.2特权管理特权管理9.2.3用户口令管理用户口令管理9.2.4用户访问权限的评审用户访问权限的评审 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.3用户职责用户职责9.3.1口令的使用口令的使用9.3.2无人值守的用户设备无人值守的用户设备 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.4网络访问控制网络访问控制9.4.1网络服务使用策略网络服务使用策略9.4.2强制路径强制路径9.4.3外部连接的用户
103、身份认证外部连接的用户身份认证9.4.4节点认证节点认证9.4.5远程诊断端口保护远程诊断端口保护9.4.6网络划分网络划分9.4.7网络连接控制网络连接控制9.4.8网络路由控制网络路由控制9.4.9网络服务安全网络服务安全 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.5操作系统访问控制操作系统访问控制9.5.1自动终端识别自动终端识别9.5.2终端登录程序终端登录程序9.5.3用户识别与认证用户识别与认证9.5.4口令管理系统口令管理系统9.5.5系统工具的使用系统工具的使用9.5.6强制报警强制报警9.5.7终端超时终端超时9.5.8连接时间的限
104、制连接时间的限制 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.6应用系统访问控制应用系统访问控制9.6.1信息访问限制信息访问限制9.6.2敏感系统隔离敏感系统隔离 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/249.7系统访问和使用的监控系统访问和使用的监控9.7.1事件日志事件日志9.7.2系统使用的监控系统使用的监控9.7.2.1监控程序监控程序9.7.2.2风险因素风险因素9.7.2.3事件记录与评审事件记录与评审9.7.3时钟同步时钟同步 5.3 ISO17799控制目标和控制措施概述2024/7/24202
105、4/7/249.8移动计算和远程工作移动计算和远程工作9.8.1移动计算移动计算9.8.2远程工作远程工作 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410. 系统开发和维护 目标:确保信息系统的安全确保信息系统的安全防止丢失,修改或误用应用系统中的用户数据防止丢失,修改或误用应用系统中的用户数据 保护信息的机密性、真实性或完整性保护信息的机密性、真实性或完整性 确保确保ITIT项目及其支持活动得以一种安全的方式进行。对项目及其支持活动得以一种安全的方式进行。对系统文件的访问应得到控制系统文件的访问应得到控制 维护应用系统软件与信息的安全维护应用系统软件与
106、信息的安全 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410. 系统开发和维护 10.1系统安全需求系统安全需求10.2应用系统安全应用系统安全10.3加密控制加密控制10.4系统文件安全系统文件安全10.5开发过程和支持过程的安全开发过程和支持过程的安全 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410.1系统安全需求系统安全需求10.1.1安全需求分析及其说明安全需求分析及其说明说明书说明书。Processofidentifying,controllingandminimizingoreliminatingsecu
107、rityrisksthatmayaffect商业情况商业情况。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect安全需求安全需求。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect, 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410.2应用系统安全应用系统安全10.2.1输入数据的确认输入数据的确认10.2.2内部处理的控制
108、内部处理的控制10.2.2.1风险风险10.2.2.2检查和控制检查和控制10.2.3消息验证消息验证10.2.4输出数据的确认输出数据的确认 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410.3加密控制加密控制10.3.1加密控制策略加密控制策略10.3.2加密加密10.3.3数字签名数字签名10.3.5密钥管理密钥管理10.3.4防抵赖防抵赖10.3.5密钥管理密钥管理10.3.5.1 密钥保护密钥保护10.3.5.2标准、程序和方法标准、程序和方法 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410.4系统文件安全
109、系统文件安全10.4.1运行软件的控制运行软件的控制10.4.2系统测试数据的保护系统测试数据的保护10.4.3源代码的访问控制源代码的访问控制 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410.5开发过程和支持过程的安全开发过程和支持过程的安全10.5.1变更控制程序变更控制程序10.5.2操作系统变更的技术评审操作系统变更的技术评审10.5.3软件包变更的限制软件包变更的限制10.5.4隐蔽信道和特洛伊代码隐蔽信道和特洛伊代码10.5.5外包的软件开发外包的软件开发 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2411
110、. 业务连续性管理 目标:防止业务活动的中断,保护关键业务过程免受重大故障防止业务活动的中断,保护关键业务过程免受重大故障或灾难的影响或灾难的影响 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2411. 业务连续性管理 11.1业务连续性管理业务连续性管理11.1.1过程过程11.1.2业务连续性和影响分析业务连续性和影响分析11.1.3制定和实施业务连续性计划制定和实施业务连续性计划11.1.4业务连续性计划框架业务连续性计划框架11.1.5测试,维护和重新评估业务连续性计划测试,维护和重新评估业务连续性计划11.1.5.1测试业务连续性计划测试业务连续性计
111、划11.1.5.2维护和重新评估业务连续性计划维护和重新评估业务连续性计划 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2412. 符合性 目标:避免违反任何刑法与民法、法律法规责任或合同责任和避免违反任何刑法与民法、法律法规责任或合同责任和任何安全要求防止丢失,修改或误用应用系统中的用户任何安全要求防止丢失,修改或误用应用系统中的用户数据数据 确保系统符合组织的安全方针和标准确保系统符合组织的安全方针和标准 尽量提高系统审核过程的效果,尽量减少对(或来自)尽量提高系统审核过程的效果,尽量减少对(或来自)系统审核过程的干扰系统审核过程的干扰 5.3 ISO17
112、799控制目标和控制措施概述2024/7/242024/7/2412. 符合性 12.1符合法律要求符合法律要求12.2安全方针和技术符合性的评审安全方针和技术符合性的评审12.3系统审核的考虑事项系统审核的考虑事项 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2412.1符合法律要求符合法律要求12.1.1适用法律的识别适用法律的识别12.1.2知识产权知识产权12.1.2.1版权版权12.1.2.2软件版权软件版权12.1.3组织记录的保护组织记录的保护12.1.4数据保护和个人隐私数据保护和个人隐私12.1.5防止信息处理设施的误用防止信息处理设施的误用
113、12.1.6加密控制法规加密控制法规12.1.7证据收集证据收集12.1.7.1证据的准则证据的准则12.1.7.2证据的可接受性证据的可接受性12.1.7.3证据的质量和完整性证据的质量和完整性 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2412.2安全方针和技术符合性的评审安全方针和技术符合性的评审12.2.1安全方针的符合性安全方针的符合性12.2.2技术符合性的检查技术符合性的检查 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2412.3系统审核的考虑事项系统审核的考虑事项12.3.1系统审核控制系统审核控制12.3
114、.2系统审核工具的保护系统审核工具的保护 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/2410类36个目标127项措施但这决不是全部! 5.3 ISO17799控制目标和控制措施概述2024/7/242024/7/246.ISMS6.ISMS建设、运行、审核与认证建设、运行、审核与认证6.1ISMS项目实施的原则及方法项目实施的原则及方法6.2ISMS建设项目工作流程建设项目工作流程6.3ISMS实施过程实施过程6.4ISMS的运行的运行6.5ISMS的审核与认证的审核与认证2024/7/242024/7/24建立图示的两级项目组织结构建立图示的两级项目组织结
115、构与咨询公司组成联合工作组进行与咨询公司组成联合工作组进行ISMS项目的实施项目的实施ISMS建设项目领导小组ISMS咨询顾问组ISMS项目工作组ISMS联合工作组6.1 ISMS6.1 ISMS建设项目的组织原则建设项目的组织原则2024/7/242024/7/246.1 ISMS建设项目的组织原则建设项目的组织原则最高管理者要给予高度重视,成立由高层领导组最高管理者要给予高度重视,成立由高层领导组成的成的ISMS建设领导小组。建设领导小组。领导小组负责对领导小组负责对ISMS项目指导、支持和监督项目指导、支持和监督工作重点为项目动员和资源提供工作重点为项目动员和资源提供ISMS建设项目领导
116、小组2024/7/242024/7/246.1 ISMS建设项目的组织原则建设项目的组织原则由由ISMS咨询顾问组成咨询顾问组成负责负责ISMS项目的实施咨询、培训及项目管理项目的实施咨询、培训及项目管理ISMS咨询顾问组2024/7/242024/7/246.1 ISMS建设项目的组织原则建设项目的组织原则由组织的业务人员和由组织的业务人员和IT人员组成人员组成配合咨询顾问组,负责具体的实施工作配合咨询顾问组,负责具体的实施工作ISMS项目工作组2024/7/242024/7/24项目启动及动员调研及确定ISMS范围信息安全风险评估风险管理及ISMS体系文件编写ISMS体系试运行6.2 IS
117、MS6.2 ISMS项目工作流程项目工作流程2024/7/242024/7/246.3.1 项目启动及动员项目启动及动员6.3.2 调研及确定范围调研及确定范围6.3.3 安全风险评估安全风险评估6.3.4 风险管理及编制体系文件风险管理及编制体系文件6.3.5 ISMS体系试运行体系试运行 6.3 ISMS6.3 ISMS实施过程实施过程2024/7/242024/7/246.3.1 项目启动及动员项目启动及动员正式启动项目培训相关人员组建项目团队组建项目团队 阶段工作目标2024/7/242024/7/24项目动员大会信息安全管理体系基础培训风险评估与风险管理培训组建项目团队制订项目工作计
118、划制订项目工作计划 工作内容内容6.3.1 6.3.1 项目启动及动员项目启动及动员2024/7/242024/7/246.3.2 6.3.2 调研及确定范围调研及确定范围收集项目实施所需的信息(包括组织结构、业务流程、网络拓扑、软硬件平台等)确定信息安全管理体系的范围(依据部门、地域、确定信息安全管理体系的范围(依据部门、地域、业务系统等)业务系统等) 阶段工作目标2024/7/242024/7/246.3.2 调研及确定范围调研及确定范围调研准备现场调研调研信息分析制订ISMS范围范围范围修订及确认范围修订及确认 工作内容2024/7/242024/7/246.3.2 调研及确定范围调研及
119、确定范围决定ISMS范围2024/7/242024/7/246.3.2 调研及确定范围调研及确定范围定义范围的边界2024/7/242024/7/24确定信息安全管理边界l边界定义安全管理范围内的组织和范围外组织之间边界定义安全管理范围内的组织和范围外组织之间的安全保证关系;的安全保证关系;l通过通过MOUS(理解备忘录)和(理解备忘录)和SLAS(服务水平保(服务水平保证协议)确保安全保证关系的实现证协议)确保安全保证关系的实现6.3.2 6.3.2 调研及确定范围调研及确定范围2024/7/242024/7/24识别组织所面临的信息安全风险识别组织所面临的信息安全风险制作风险评估报告制作风
120、险评估报告 阶段工作目标6.3.3 6.3.3 安全风险评估安全风险评估2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估制订风险评估流程识别信息资产识别威胁和脆弱性识别现有控制措施评估和评价风险制作风险评估报告制作风险评估报告 工作内容2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估定义风险评估的目标职责定义风险评估的方法和规则定义风险评估的实施过程风险评估流程文件2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估要识别组织ISMS范围内的资产资产的类别要涵盖电子信息资产电子信息资产纸介资
121、产纸介资产软件资产软件资产物理资产物理资产人员人员服务性资产服务性资产公司形象和声誉公司形象和声誉识别资产2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估基于过程的方法识别资产2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估基于过程的方法识别资产2024/7/242024/7/246.3.3 6.3.3 安全风险评估安全风险评估风险评估报告简介简介目的目的背景背景范围描述范围描述评估方法及规则说明评估方法及规则说明资产及其价值分析资产及其价值分析威胁和脆弱性分析威胁和脆弱性分析风险等级风险等级建议的控制措施建议的控制措施2
122、024/7/242024/7/24管理所识别的安全风险管理所识别的安全风险制订制订ISMSISMS体系文件体系文件 阶段工作目标6.3.4 6.3.4 风险管理及编制风险管理及编制ISMSISMS体系文件体系文件2024/7/242024/7/246.3.4 风险管理及编制ISMS体系文件n n风险管理基本概念风险管理基本概念 根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。2024/7/242024/7/246.3.4 风险管理及编制ISMS体系文件安全风险避免风避免风险险降低风降低风险险转嫁风转嫁风险险接受风接受风险险r 风险控制方法风险控制方法风险控制方法
123、风险控制方法2024/7/242024/7/24确定信息安全方针确定信息安全保证程度选择控制目标和控制措施制订信息安全方针、策略和程序准备适用声明准备适用声明 工作内容6.3.4 风险管理及编制ISMS体系文件2024/7/242024/7/24任何控制措施都不能提供绝对的保证,总会有残留的风险。通过定义ISMS要求的保证程度,管理层必须接受风险残值。保证程度与风险残值6.3.4 风险管理及编制ISMS体系文件2024/7/242024/7/24方针策略文件结构方针策略标 准指南程序关系与支持方针关系与支持方针陈述的详细方针陈述的详细方针高层文件给出高层文件给出信息安全的总要求信息安全的总要求
124、意图意图要求要求使用的工具使用的工具怎样做怎样做必须的规定与规章必须的规定与规章理解和工作框架理解和工作框架怎样应用方针怎样应用方针6.3.4 风险管理及编制ISMS体系文件2024/7/242024/7/24发布信息安全方针、策略和程序发布信息安全方针、策略和程序试运行试运行ISMSISMS满足满足ISMSISMS对文件控制和记录的要求对文件控制和记录的要求人员保证人员保证实施培训实施培训完善完善ISMSISMS 阶段工作目标6.4 ISMS体系试运行2024/7/242024/7/246.5 审核与认证审核定义审核定义为了获得审核证据并对其进行客观的评价为了获得审核证据并对其进行客观的评价
125、为了获得审核证据并对其进行客观的评价为了获得审核证据并对其进行客观的评价, , , ,以确定以确定以确定以确定满足审核准则的程度所进行的系统的、独立的并形满足审核准则的程度所进行的系统的、独立的并形满足审核准则的程度所进行的系统的、独立的并形满足审核准则的程度所进行的系统的、独立的并形成文件的过程。成文件的过程。成文件的过程。成文件的过程。2024/7/242024/7/24组组织织认证认证/审核机构审核机构(外部)(外部)顾顾客客第二方审核第二方审核(外部)(外部)第一方审核第一方审核(内部)(内部)(外部)(外部)第二方审核第二方审核第三方审核第三方审核供供方方审核的类型6.5 审核与认证
126、2024/7/242024/7/24目的目的作为一种管理手段作为一种管理手段外部审核前的准备外部审核前的准备确保信息安全管理体系正常运行和改进的需要确保信息安全管理体系正常运行和改进的需要主要依据:信息安全管理体系文件主要依据:信息安全管理体系文件第一方审核(内审)6.5 审核与认证2024/7/242024/7/24目的目的促进供方改进信息安全管理体系促进供方改进信息安全管理体系合同签订后的审核(控制供方)合同签订后的审核(控制供方)合同前的评定(选择合格供方)合同前的评定(选择合格供方)主要依据:顾客要求或合同要求主要依据:顾客要求或合同要求第二方审核6.5 审核与认证2024/7/242
127、024/7/24第三方审核(认证机构审核)目的目的使体系认证注册使体系认证注册减少重复的第二方审核,节省费用减少重复的第二方审核,节省费用为潜在顾客提供信任为潜在顾客提供信任依据:依据:BS7799Part2组织的信息安全管理体系文件组织的信息安全管理体系文件适用的法律、法规适用的法律、法规查证是否满足法规或其它规定的要求查证是否满足法规或其它规定的要求6.5 审核与认证2024/7/242024/7/24第三方审核过程第三方第三方审核审核复评(认证有效期满复评(认证有效期满3年后,重新审核)年后,重新审核)监督审核(获准认证后的定期审核)监督审核(获准认证后的定期审核)初次审核(即申请认证受
128、理后的首次正式审核)初次审核(即申请认证受理后的首次正式审核)6.5 审核与认证2024/7/242024/7/24初审初审初审符合性审核符合性审核文件审核文件审核预审核(非强制性)预审核(非强制性)6.5 审核与认证审核与认证2024/7/242024/7/24文件审核n n一般来说在现场进行;一般来说在现场进行;一般来说在现场进行;一般来说在现场进行;n n检查检查检查检查ISMSISMS框架是否符合框架是否符合框架是否符合框架是否符合BS7799-2BS7799-2条款条款条款条款3 3n n检检检检查查查查方方方方针针针针、范范范范围围围围、风风风风险险险险评评评评估估估估、风风风风险
129、险险险管管管管理理理理选选选选择择择择控控控控制制制制措施和适用性声明措施和适用性声明措施和适用性声明措施和适用性声明n n审审审审核核核核员员员员可可可可能能能能不不不不深深深深入入入入地地地地考考考考察察察察特特特特定定定定的的的的程程程程序序序序,但但但但期期期期望望望望足足足足够的关于标准程序和工作指导的信息够的关于标准程序和工作指导的信息够的关于标准程序和工作指导的信息够的关于标准程序和工作指导的信息注意:文件审核是注意:文件审核是注意:文件审核是注意:文件审核是BS7799BS7799审核的重要组成部分审核的重要组成部分审核的重要组成部分审核的重要组成部分。6.5 审核与认证审核与
130、认证2024/7/242024/7/24符合性审核符合性审核n n跟踪文件审核中的不符合项;跟踪文件审核中的不符合项;跟踪文件审核中的不符合项;跟踪文件审核中的不符合项;n n抽抽抽抽样样样样验验验验证证证证ISMSISMS的的的的实实实实施施施施和和和和运运运运营营营营,基基基基本本本本与与与与ISO9001ISO9001采采采采取同样的方法取同样的方法取同样的方法取同样的方法更集中更集中更集中更集中更深入;更深入;更深入;更深入;n n审核组长提出推荐但不作最后的发证决定审核组长提出推荐但不作最后的发证决定审核组长提出推荐但不作最后的发证决定审核组长提出推荐但不作最后的发证决定n n组组组
131、组织织织织必必必必须须须须在在在在三三三三个个个个月月月月内内内内采采采采取取取取纠纠纠纠正正正正措措措措施施施施针针针针对对对对在在在在审审审审核核核核时时时时有记录的文件上的不符合项;有记录的文件上的不符合项;有记录的文件上的不符合项;有记录的文件上的不符合项;6.5 审核与认证审核与认证2024/7/242024/7/24证书n n证书三年有效,除暂停,收回和取消外;证书三年有效,除暂停,收回和取消外;证书三年有效,除暂停,收回和取消外;证书三年有效,除暂停,收回和取消外;n n证证证证书书书书只只只只限限限限于于于于BS7799BS7799,与与与与其其其其他他他他管管管管理理理理体体
132、体体系系系系证证证证书书书书分分分分开;开;开;开;n n证证证证书书书书包包包包含含含含一一一一些些些些特特特特殊殊殊殊的的的的词词词词语语语语而而而而且且且且参参参参考考考考审审审审核核核核时时时时的的的的适用性声明;适用性声明;适用性声明;适用性声明;6.5 审核与认证审核与认证2024/7/242024/7/24监督审核n n认证公司必须进行至少一年一次的监督审核;认证公司必须进行至少一年一次的监督审核;认证公司必须进行至少一年一次的监督审核;认证公司必须进行至少一年一次的监督审核;n n目标是两年一个周期覆盖认证的范围;目标是两年一个周期覆盖认证的范围;目标是两年一个周期覆盖认证的范
133、围;目标是两年一个周期覆盖认证的范围;n n如如如如果果果果在在在在审审审审核核核核中中中中发发发发现现现现明明明明显显显显的的的的一一一一个个个个或或或或多多多多个个个个严严严严重重重重不不不不合合合合格格格格项项项项时时时时认认认认证证证证公公公公司司司司可可可可能能能能会会会会决决决决定定定定进进进进行行行行中中中中间间间间审审审审核核核核(如如如如特殊访问)特殊访问)特殊访问)特殊访问)6.5 审核与认证审核与认证2024/7/242024/7/24复评(后续审核)n n证书的有效期为三年证书的有效期为三年证书的有效期为三年证书的有效期为三年n n在在在在三三三三年年年年结结结结束束束
134、束时时时时,如如如如果果果果进进进进行行行行重重重重新新新新审审审审核核核核且且且且结结结结果果果果没没没没有有有有严严严严重重重重不不不不符符符符合合合合项项项项,认认认认证证证证公公公公司司司司可可可可以将证书扩展一个新的三年周期;以将证书扩展一个新的三年周期;以将证书扩展一个新的三年周期;以将证书扩展一个新的三年周期;6.5 审核与认证审核与认证2024/7/242024/7/24目前只有基于BS7799-2的ISMS的认证机构认证机构6.5 审核与认证审核与认证BSIDNV SGSLRQAKPMGSTQC Certification Services PSB Certification
135、DQS BVQI National Quality Assurance SFS Certification2024/7/242024/7/247.信息系统安全保障管理要求7.1现有信息安全管理存在的不足7.2信息系统的使命7.3 信息系统的安全保障级别7.4 信息系统安全保障级别与管理能力成熟度级别的关系7.5信息系统安全保障管理级别7.6信息系统安全保障管理准则构成7.7信息系统安全保障管理要求的管理域7.8管理能力成熟度要求举例2024/7/242024/7/247.1现有信息安全管理存在的不足现有信息安全管理存在的不足n nBS7799BS7799的不足的不足的不足的不足 管理内容框架管
136、理内容框架管理内容框架管理内容框架 BS7799-2BS7799-2作为信息安全管理体系标准未被作为信息安全管理体系标准未被作为信息安全管理体系标准未被作为信息安全管理体系标准未被ISOISO组织接受组织接受组织接受组织接受 BS7700&ISO17700BS7700&ISO17700也有其局限性也有其局限性也有其局限性也有其局限性 管理成熟度管理成熟度管理成熟度管理成熟度 缺点:最佳管理实践的堆砌,没有解决分级问题,不能完全满足信息技缺点:最佳管理实践的堆砌,没有解决分级问题,不能完全满足信息技缺点:最佳管理实践的堆砌,没有解决分级问题,不能完全满足信息技缺点:最佳管理实践的堆砌,没有解决分
137、级问题,不能完全满足信息技术的发展对于管理评估的要求。术的发展对于管理评估的要求。术的发展对于管理评估的要求。术的发展对于管理评估的要求。n n各国有自己的国情各国有自己的国情各国有自己的国情各国有自己的国情n n提出信息安全保障管理要求提出信息安全保障管理要求提出信息安全保障管理要求提出信息安全保障管理要求 管理内容:管理内容:管理内容:管理内容: 信息系统安全保障管理的管理域:信息系统安全保障管理的管理域:信息系统安全保障管理的管理域:信息系统安全保障管理的管理域:1515个个个个 管理成熟度:管理成熟度:管理成熟度:管理成熟度: 信息安全保障管理能力成熟度模型信息安全保障管理能力成熟度模
138、型信息安全保障管理能力成熟度模型信息安全保障管理能力成熟度模型:5 5级级级级2024/7/242024/7/247.2 信息系统的使命信息系统使命类信息特征信息和信息系统价值机密性完整性可用性IBBB对信息保障策略的违犯造成的负面影响和结果可以忽略。IIBMM对信息保障策略的违犯会对安全、保险、金融状况、组织机构的基础设施造成不良影响和/或小的破坏。IIIBMH对信息保障策略的违犯会产生一定破坏IVBHH对信息保障策略的违犯会严重的破坏安全、保险、金融状况、组织机构的基础设施VMHH对信息保障策略的违犯会造成异常严重的破坏2024/7/242024/7/247.3 信息系统的安全保障级别使命
139、类威胁级别T1T2T3T4T5T6ISAL1SAL1SAL1SAL2SAL2SAL2IISAL1SAL1SAL1SAL2SAL3SAL3IIISAL1SAL2SAL2SAL3SAL3SAL4IVSAL2SAL3SAL4SAL4SAL4SAL52024/7/242024/7/247.4 信息系统安全保障级别与管理能力成熟度级别的关系信息系统安全保障级技术(主要安全产品EAL级)信息系统安全保障管理能力成熟度级别信息系统安全保障过程能力成熟度级别SAL 1EAL 1SAM-CML 1SAE-CML 1SAL2EAL 2SAM-CML 1SAE-CML 1SAL3EAL 3SAM-CML 2SAE-
140、CML 2SAL4EAL 4SAM-CML 3SAE-CML 3SAL5EAL 5SAM-CML 4SAE-CML 42024/7/242024/7/247.5信息系统安全保障管理级别等级等级等级等级能力描述能力描述能力描述能力描述SAM-CML1SAM-CML1组织内部能够依据经验进行部分的安全管理工作组织内部能够依据经验进行部分的安全管理工作组织内部能够依据经验进行部分的安全管理工作组织内部能够依据经验进行部分的安全管理工作 SAM-CML2SAM-CML2组织能够建立完善的管理体系来规范安全管理组织能够建立完善的管理体系来规范安全管理组织能够建立完善的管理体系来规范安全管理组织能够建立完
141、善的管理体系来规范安全管理 SAM-CML3SAM-CML3组织能够采取有效措施来敦促所制定管理体系的组织能够采取有效措施来敦促所制定管理体系的组织能够采取有效措施来敦促所制定管理体系的组织能够采取有效措施来敦促所制定管理体系的落实和实施,从而能确保管理体系有效实施落实和实施,从而能确保管理体系有效实施落实和实施,从而能确保管理体系有效实施落实和实施,从而能确保管理体系有效实施 SAM-CML4SAM-CML4组织所制定的管理体系不仅能够有效实施,而且组织所制定的管理体系不仅能够有效实施,而且组织所制定的管理体系不仅能够有效实施,而且组织所制定的管理体系不仅能够有效实施,而且还能够对实施的管理
142、措施的效果进行测试,尽量还能够对实施的管理措施的效果进行测试,尽量还能够对实施的管理措施的效果进行测试,尽量还能够对实施的管理措施的效果进行测试,尽量采用量化的数据来分析和验证所采用的管理措施采用量化的数据来分析和验证所采用的管理措施采用量化的数据来分析和验证所采用的管理措施采用量化的数据来分析和验证所采用的管理措施 SAM-CML5SAM-CML5组织能够对管理体系进行持续改进,使管理体系组织能够对管理体系进行持续改进,使管理体系组织能够对管理体系进行持续改进,使管理体系组织能够对管理体系进行持续改进,使管理体系始终对组织安全保障体系的运行发挥最大效应始终对组织安全保障体系的运行发挥最大效应
143、始终对组织安全保障体系的运行发挥最大效应始终对组织安全保障体系的运行发挥最大效应 2024/7/242024/7/247.6信息系统安全保障管理准则构成行政管理行政管理+APPDRR(防护模型防护模型) 行政管理行政管理行政管理行政管理: :组织体系组织体系组织体系组织体系+ +人事安全人事安全人事安全人事安全 A+D(Audit+Detection):A+D(Audit+Detection):审计与监控管理审计与监控管理审计与监控管理审计与监控管理 P(Policy)P(Policy):信息安全保障策略:信息安全保障策略:信息安全保障策略:信息安全保障策略 P(Protection):P(P
144、rotection):运行管理运行管理运行管理运行管理+ +访问控制管理访问控制管理访问控制管理访问控制管理 R(Response):R(Response):应急响应应急响应应急响应应急响应 R(Recovery):R(Recovery):业务持续性计划业务持续性计划业务持续性计划业务持续性计划2024/7/242024/7/247.7信息系统安全保障管理要求的管理域n n1515类要求:类要求:类要求:类要求: 信息安全保障组织体系信息安全保障组织体系信息安全保障组织体系信息安全保障组织体系 信息系统安全策略信息系统安全策略信息系统安全策略信息系统安全策略 人事管理人事管理人事管理人事管理
145、采购管理采购管理采购管理采购管理 信息安全保障战略规划信息安全保障战略规划信息安全保障战略规划信息安全保障战略规划 投资与预算管理投资与预算管理投资与预算管理投资与预算管理 应用系统开发与维护应用系统开发与维护应用系统开发与维护应用系统开发与维护 资产管理资产管理资产管理资产管理 物理安全物理安全物理安全物理安全 通信管理与运行管理通信管理与运行管理通信管理与运行管理通信管理与运行管理 逻辑访问控制逻辑访问控制逻辑访问控制逻辑访问控制 变更控制管理变更控制管理变更控制管理变更控制管理 审计与控制管理审计与控制管理审计与控制管理审计与控制管理 业务持续性管理业务持续性管理业务持续性管理业务持续性管理 符合性符合性符合性符合性2024/7/242024/7/247.8管理能力成熟度要求举例2024/7/242024/7/24中国信息安全产品测评认证中心中国信息安全产品测评认证中心 对外办公地点:对外办公地点:对外办公地点:对外办公地点: 北京西三环北路北京西三环北路北京西三环北路北京西三环北路2727号号号号 互联网址:互联网址:互联网址:互联网址: 电话:电话:电话:电话:68428899 68428899 88424887 88424887 传真:传真:传真:传真:68462942684629422024/7/242024/7/24谢谢谢谢! !
