信息安全管理基础

《信息安全管理基础》由会员分享，可在线阅读，更多相关《信息安全管理基础（212页珍藏版）》请在金锄头文库上搜索。

1、ISO27001标准探悉标准探悉 信息安全管理体系基础知识培训信息安全管理体系基础知识培训2l l信息安全概述信息安全概述l l风险评估与管理风险评估与管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证l l总结和展望总结和展望内容目录内容目录3我们的目标我们的目标l l理解信息、信息安全和信息安全管理理解信息、信息安全和信息安全管理l l理解信息安全风险评估与风险管理理解信息安全风险评估与风险管理l l理解理解ISO27001ISO27001标准本身的条款

2、内容标准本身的条款内容l l掌握一种实施掌握一种实施ISMSISMS的方法和途径的方法和途径l l了解了解ISO27001ISO27001认证的完整过程认证的完整过程l l用用ISO27001ISO27001指导企业进行信息安全的各项活动指导企业进行信息安全的各项活动4l l信息安全概述信息安全概述信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证l l总结和展望总结和展望5什么是信息？什么是信息

3、？什么是信息？什么是信息？信息安全概述6信息安全概述什么是信息？InformatioInformation nuu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的，借助于信息媒体以多种形式存在或传播：信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播uu 信息借助媒体而存在，对现代企业来说具有价值，就成为信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产信息资产信息资产信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务uu 具有价

4、值的信息资产面临诸多威胁，需要妥善保护具有价值的信息资产面临诸多威胁，需要妥善保护有价值的内容有价值的内容 ISO90007信息安全概述企业信息安全管理关注的信息类型内部信息内部信息组织不想让其竞争对手知道的信息客户信息客户信息顾客/客户不想让组织泄漏的信息共享信息共享信息需要与其他业务伙伴分享的信息8信息安全概述信息的处理方式创建创建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改9什么是信息安全？什么是信息安全？什么是信息安全？什么是信息安全？信息安全概述10信息安全概述什么是信息安全？ 采取措施保护信息资产，采取措施保护信息资产，使之不因偶然或者

5、恶意侵犯而遭受使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。小，确保组织业务运行的连续性。11信息安全概述信息安全的发展历史20世纪世纪60年代前年代前60年代到年代到80年代年代20世纪世纪80年代末以后年代末以后 电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全通信安全，即COMSEC 计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全信息安全，即I

6、NFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准 互联网技术飞速发展，信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障信息保障（Information Assurance），从整体角度考虑安全体系建设 美国的IATF规范 12CIAonfidentialityntegrityvailability信息安全基本目标信息安全概述13企业重大泄密事件屡屡发生信息安全概述14敏感信息遭受篡改也会导致恶劣后果信息安全概述15破坏导致系统瘫痪后果非常严重信息安全概述16

7、信息安全概述C保密性（保密性（Confidentiality） 确保信息在存储、使用、传输过程中不会泄漏给非授权用户用户或实体。 完整性（完整性（Integrity） 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（可用性（Availability） 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：C.I.A.和D.A.D.IADisclosureAlterationDestruction泄泄泄泄漏漏漏漏破破破

8、破坏坏坏坏篡篡篡篡改改改改17Confidentiality 机机密性密性Availability 可用性可用性Integrity 完整性完整性信息安全概述18其他概念和原则u 私密性（私密性（Privacy） 个人和组织控制私用信息采集、存储和分发的权利。 u 身份识别（身份识别（Identification） 用户向系统声称其真实身份的方式。u 身份认证（身份认证（Authentication） 测试并认证用户的身份。u 授权（授权（Authorization） 为用户分配并校验资源访问权限的过程。u 可追溯性（可追溯性（Accountability） 确认系统中个人行为和活动的能力。u

9、抗抵赖性（抗抵赖性（Non-repudiation） 确保信息创建者就是真正的发送者的能力。u 审计（审计（Audit） 对系统记录和活动进行独立复查和审核，确保遵守性信息安全概述19信息安全概述信息安全的重要性u 信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护 u 信息安全是国家安全的需要信息安全是国家安全的需要u 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一u 信息安全是保护个人隐私与财产的需要信息安全是保护个人隐私与财产的需要u 许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破

10、坏u 现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击u 网络技术的高速发展增加了对计算机系统未授权访问的机会u 组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难u 许多信息系统的设计本身就不安全u 通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持20法律法规与法律法规与法律法规与法律法规与合同要求合同要求合同要求合同要求组织原则目标组织原则目标组织原则目标组织原则目标和业务需要和业务需要和业务需要和业务需要风险评估风险评估风险评估风险评估的结果的结果的结果的结果从什么方面考虑信息安全？信息安全概述21常规的技术措施信息安全概述u 物理安全技术物

11、理安全技术：环境安全、设备安全、媒体安全u 系统安全技术系统安全技术：操作系统及数据库系统的安全性u 网络安全技术网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估u 应用安全技术应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全u 数据加密技术数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性u 认证授权技术认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等u 访问控制技术访问控制技术：防火墙、访问控制列表等u 审计跟踪技术审计跟踪技术：入侵检测、日志审计、辨析取证u 防病毒技术防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系u

12、 灾难恢复和备份技术灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份22防火墙防火墙防火墙防火墙网络入侵检测网络入侵检测网络入侵检测网络入侵检测病毒防护病毒防护病毒防护病毒防护主机入侵检测主机入侵检测主机入侵检测主机入侵检测漏洞扫描评估漏洞扫描评估漏洞扫描评估漏洞扫描评估VPNVPN通道通道通道通道访问控制访问控制访问控制访问控制23有没有更好的途径？有没有更好的途径？有没有更好的途径？有没有更好的途径？信息安全概述24信息安全管理u 信息安全的成败取决于两个因素：技术和管理。 u 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。u 人们常说，三分技术，七分管理三分技术，

13、七分管理，可见管理对信息安全的重要性。 u 信息安全管理（Information Security Management）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 u 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 u 信息安全管理的核心就是风险管理风险管理。信息安全概述25信息安全管理面临的一些问题u 国家的信息安全法律法规体系建设还不是很完善u 组织缺乏信

14、息安全意识和明确的信息安全策略u 对信息安全还持有传统的认识，即重技术，轻管理u 安全管理缺乏系统管理的思想，还是就事论事式的静态管理信息安全概述26调查显示有调查显示有8 8成企业安全管理不理想成企业安全管理不理想信息安全概述27各行业安全管理状况都不容乐观各行业安全管理状况都不容乐观信息安全概述28安全管理各方面能力都很低下安全管理各方面能力都很低下信息安全概述29信息安全管理应该是体系化的u 信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子u 这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分信息安

15、全概述务必重视信息安全管理务必重视信息安全管理务必重视信息安全管理务必重视信息安全管理加强信息安全建设工作加强信息安全建设工作加强信息安全建设工作加强信息安全建设工作30怎样实现信息安全？怎样实现信息安全？怎样实现信息安全？怎样实现信息安全？信息安全概述31通常的信息安全建设方法u 采购各种安全产品，由产品厂商提供方案： 防病毒，防火墙，IDS，Scanner，VPN等u 通常由IT部门的技术人员兼职负责日常维护，甚至根本没有日常维护u 这是一种以产品为核心的信息安全解决方案u 这种方法存在众多不足： 难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？ 管理和服务跟不上，对采购产品

16、运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估，对风险的认识很不全面u 这种方法是“头痛医头，脚痛医脚”，很难实现整体安全u 不同厂商、不同产品之间的协调也是难题信息安全概述32真正有效的方法u 技术和产品是基础，管理才是关键u 产品和技术，要通过管理的组织职能才能发挥最佳作用u 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全技术不高但管理良好的系统远比技术高超但管理混乱的系统安全u 先进、易于理解、方便操作的安全策略对信息安全至关重要u 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全u 根本上说，信息安全是个管理过程，而不是技术过程信

17、息安全概述33信息安全概述对信息安全的正确认识 安全不是产品的简安全不是产品的简单堆积，也不是一次性的静单堆积，也不是一次性的静态过程，它是人员、技术、态过程，它是人员、技术、操作三者紧密结合的系统工操作三者紧密结合的系统工程，是不断演进、循环发展程，是不断演进、循环发展的动态过程的动态过程34基于风险分析的安全管理方法信息安全概述u 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证u 信息安全策略方针为信息安全管理提供导向和支持。u 控制目标与控制方式的选择应该建立在风险评估的基础上。u 考虑控制成

18、本与风险平衡的原则，将风险降低到组织可接受的水平。u 对风险实施动态管理。u 需要全员参与。u 遵循管理的一般模式PDCA模型。35安全管理模型 PDCA 根据风险评估结果、法律法根据风险评估结果、法律法规要求、组织业务运作自身需要规要求、组织业务运作自身需要来确定控制目标与控制措施。来确定控制目标与控制措施。 实施所选的安全控制措施。实施所选的安全控制措施。 针对检查结果采取应针对检查结果采取应对措施，改进安全状况。对措施，改进安全状况。 依据策略、程序、标准依据策略、程序、标准和法律法规，对安全措施的和法律法规，对安全措施的实施情况进行符合性检查。实施情况进行符合性检查。信息安全概述36信

19、息安全概述ISO27001定义的信息安全管理体系建立一个信息安全建立一个信息安全建立一个信息安全建立一个信息安全管理框架管理框架管理框架管理框架评估安全风险评估安全风险评估安全风险评估安全风险选择并实施控制选择并实施控制选择并实施控制选择并实施控制信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系ISMSISMS设定信息安全的方向和目标，定 义 管 理 层 承 诺 的 策 略确定安全需求根据需求采取措施消减风险，以实现既定安全目标37信息安全概述ISMS必须明确的内容要保护的资产要保护的资产要保护的资产要保护的资产控制目标和控制措施控制目标和控制措施控制目标和控制措施控制目标和控

20、制措施需要保证的程度需要保证的程度需要保证的程度需要保证的程度风险管理的途径风险管理的途径风险管理的途径风险管理的途径38信息安全概述实施ISMS的过程u 定义ISMS的范围u 定义ISMS策略u 定义一个系统化的风险管理途径u 识别风险u 评估风险u 识别并评价风险处理的可选方案u 选择控制目标和控制措施，以便处理风险u 准备适用性声明（SoA）u 获得管理层批准39信息安全概述ISMS是一个文档化的体系u 对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明（SoA）u 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件u 证据 能够表明

21、组织按照ISO27001要求采取相应步骤而建立了管理框架 各种Records：在操作ISMS过程当中自然产生的证据，可识别过程并显现符合性40信息安全概述实施ISMS的关键成功因素（CSF）u 安全策略、目标和活动应该反映业务目标u 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径u 来自高级管理层的明确的支持和承诺u 深刻理解安全需求、风险评估和风险管理u 向所有管理者和员工有效地推广安全意识u 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准u 为信息安全管理活动提供资金支持u 提供适当的培训和教育u 建立有效的信息安全事件管理流程u 建立衡量体系，用来评估信息安全

22、管理体系的表现，提供反馈建议供改进41练习练习1 1：信息安全管理的工作内容：信息安全管理的工作内容l l请列举你认为信息安全管理所应关请列举你认为信息安全管理所应关请列举你认为信息安全管理所应关请列举你认为信息安全管理所应关注的工作方面？注的工作方面？注的工作方面？注的工作方面？信息安全概述42l l信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理风险评估与风险管理风险评估与风险管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证l l总结

23、和展望总结和展望43风险评估与管理风险风险 风险管理（风险管理（风险管理（风险管理（Risk ManagementRisk ManagementRisk ManagementRisk Management）就是以就是以可接受的代价，识别、控制、减少或消除可可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。能影响信息系统的安全风险的过程。 在信息安全领域，在信息安全领域，风险（风险（风险（风险（RiskRiskRiskRisk）就就是指信息资产遭受损坏并给企业带来负是指信息资产遭受损坏并给企业带来负面影响的潜在可能性面影响的潜在可能性。风险评估风险评估风险管理风险管理 风险评

24、估（风险评估（风险评估（风险评估（Risk AssessmentRisk AssessmentRisk AssessmentRisk Assessment）就就是对信息和信息处理设施面临的威胁、是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生受到的影响、存在的弱点以及威胁发生的可能性的评估。的可能性的评估。44风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险资产资产资产资产威胁威胁威胁威胁漏洞漏洞资产资产资产资产威胁威胁威胁威胁漏洞漏洞漏洞漏洞风险评估与管理风险管理目标45u 绝对的

25、零风险是不存在的，要想实现零风险，也是不现实的；u 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。 绝对的安全是不存在的！ 在计算机安全领域有一句格言：“真正安真正安全的计算机是拔下网线，断掉电源，放置在地全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。风险评估与管理46关键是实现成本利益的平衡关键是实现成本利益的平衡安全控制的成本安全控制的成本安全事件的损失安全事

26、件的损失最小化的总成本最小化的总成本最小化的总成本最小化的总成本低低高高高高安安全全成成本本/ /损损失失所提供的安全水平所提供的安全水平风险评估与管理47与风险管理相关的概念u 资产（资产（Asset） 任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。u 威胁（威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。u 弱点（弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在

27、的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。u 风险（风险（Risk） 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性（可能性（Likelihood） 对威胁发生几率（Probability）或频率（Frequency）的定性描述。u 影响（影响（Impact） 后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。u 安全措施（安全措施（Safeguard） 控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。u 残留风险（残留风险（R

28、esidual Risk） 在实施安全措施之后仍然存在的风险。风险评估与管理48安全措施安全措施安全措施安全措施安全需求安全需求安全需求安全需求防范防范采取采取提出提出减少减少威胁威胁威胁威胁弱点弱点弱点弱点资产资产资产资产资产价值资产价值资产价值资产价值利用利用导致导致导致导致暴露暴露增加增加具有具有风险风险风险风险风险要素关系模型风险评估与管理49风险管理概念的公式化描述Risk=Asset ValueThreatVulnerabilityResidual Risk=Asset ValueThreatVulnerabilityControl Gap（）风险评估与管理50风险评估与管理风险管

29、理过程识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险（测量与等级划分）接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险评估风险消减风险消减风险接受风险接受风风险险管管理理51风险评估与管理定量与定性风险评估方法定性风险分析定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依

30、据定量风险分析定量风险分析优点评估结果是建立在独立客观地程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点信息量大，计算量大，方法复杂没有一种标准化的知识库，依赖于提供工具或实施调查的厂商投入大，费时费力定量风险评估定量风险评估：试图从数字上对安全风险进行分析评估的一种方法。 定性风险评估定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或 高低程度定性分级。 52风险评估与管理u 采集数据的辅助工具： 调查问卷（Questionnaire） 检查列表（Checklist） 人员访谈（In

31、terview） 漏洞扫描器（Scanner） 渗透测试（Penetration Test）u 专用的风险评估工具： COBRA CRAMM ASSET CORA 风险评估工具53信息资产是我们信息资产是我们要保护的对象！要保护的对象！风险评估与管理54识别信息资产u 对资产进行保护是信息安全和风险管理的首要目标。u 划入风险评估范围和边界的每项资产都应该被识别和评价。u 应该清楚识别每项资产的拥有者、保管者和使用者。u 组织应该建立资产清单，可以根据业务流程来识别信息资产。 u 信息资产的存在形式有多种，物理的、逻辑的、无形的。 数据信息数据信息：存在于电子媒介中的各种数据和资料，包括源代码

32、、数据库、数据文件、系统文件等 书面文件书面文件：合同，策略方针，企业文件，重要商业结果 软件资产软件资产：应用软件，系统软件，开发工具，公用程序 实物资产实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所 人员人员：承担特定职能和责任的人员 服务服务：计算和通信服务，其他技术性服务， 例如供暖、照明、水电、UPS等 组织形象与声誉组织形象与声誉：企业形象，客户关系等，属于无形资产风险评估与管理55信息资产登记表图例风险评估与管理56u 资产评价时应该考虑： 信息资产因为受损而对业务造成的直接损失； 信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；

33、信息资产受损对其他部门的业务造成的影响； 组织在公众形象和名誉上的损失； 因为业务受损导致竞争优势降级而引发的间接损失； 其他损失，例如保险费用的增加。u 定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。u 可以根据资产的重要性（影响或后果）来为资产划分等级。u 应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。评价信息资产风险评估与管理57练习练习2 2：识别并评价信息资产：识别并评价信息资产l l以我们现在的培训环境和培训活动以我们现在的培训环境和培训活动以我们现在的培训环境和培训活动以我们现在的培训环境和培训活动（业务）为风险

34、评估的范围（业务）为风险评估的范围（业务）为风险评估的范围（业务）为风险评估的范围l l请举出请举出请举出请举出5 5 5 5种信息资产的例子种信息资产的例子种信息资产的例子种信息资产的例子l l描述这些信息资产对你组织的价值描述这些信息资产对你组织的价值描述这些信息资产对你组织的价值描述这些信息资产对你组织的价值风险评估与管理58l l高（高（高（高（3 3 3 3）：非常重要，缺了这个资产（）：非常重要，缺了这个资产（）：非常重要，缺了这个资产（）：非常重要，缺了这个资产（CIACIACIACIA的丧失），的丧失），的丧失），的丧失），业务活动将中断并且遭受不可挽回的损失业务活动将中断并且

35、遭受不可挽回的损失业务活动将中断并且遭受不可挽回的损失业务活动将中断并且遭受不可挽回的损失l l中（中（中（中（2 2 2 2）：比较重要，缺了这个资产（）：比较重要，缺了这个资产（）：比较重要，缺了这个资产（）：比较重要，缺了这个资产（CIACIACIACIA的丧失或受的丧失或受的丧失或受的丧失或受损），业务活动将被迫延缓，造成明显损失损），业务活动将被迫延缓，造成明显损失损），业务活动将被迫延缓，造成明显损失损），业务活动将被迫延缓，造成明显损失l l低（低（低（低（1 1 1 1）：不太重要，缺了这个资产，业务活动基本）：不太重要，缺了这个资产，业务活动基本）：不太重要，缺了这个资产，业

36、务活动基本）：不太重要，缺了这个资产，业务活动基本上不受影响上不受影响上不受影响上不受影响练习练习2 2续：资产重要性等级标准续：资产重要性等级标准风险评估与管理59风险评估与管理资产名称资产名称价值（重要性）价值（重要性）CIA60我们的信息资产面临诸多外在威胁我们的信息资产面临诸多外在威胁我们的信息资产面临诸多外在威胁我们的信息资产面临诸多外在威胁 信息资产信息资产信息资产信息资产拒绝服务拒绝服务逻辑炸弹逻辑炸弹黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫社会工程社会工程系统系统BugBug硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨

37、雷雨地震地震风险评估与管理61识别并评估威胁u 识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。u 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。u 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）： 人员威胁人员威胁：故意破坏和无意失误 系统威胁系统威胁：系统、网络或服务出现的故障 环境威胁环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁自然威胁：洪水、地震、台风、雷电等u 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。u 对威胁的评估，主要考虑威胁源出现的可能性。评估威胁

38、可能性时要考虑威胁源的动机（Motivation）和能力（Capability）这两个因素，可以用“高”、“中”、“低”三级来衡量，有时候也可以和弱点结合起来考虑。风险评估与管理62威胁评估表图例风险评估与管理63 对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，还是配置管理上的不善，都是因为人的参与（访问操作或攻击破坏），才给网络还是配置管理上的不善，都是因为人的参与

39、（访问操作或攻击破坏），才给网络的安全带来了种种隐患和威胁。的安全带来了种种隐患和威胁。 InternetDMZ远程办公远程办公恶意者恶意者商业伙伴商业伙伴Extranet供应商供应商HRR&DFinanceMarketing外部人员威胁外部人员威胁内部人员威胁内部人员威胁其他人员的威胁其他人员的威胁Intranet人是最关键的威胁因素风险评估与管理64威胁不仅仅来自公司外部威胁不仅仅来自公司外部 黑客虽然可怕，可更多时候，内部人员威胁却更易被黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害忽略，但却更容易造成危害 据权威部门统计，内部人员犯罪（或于内部人员有关据权威部门

40、统计，内部人员犯罪（或于内部人员有关的犯罪）占到了计算机犯罪总量的的犯罪）占到了计算机犯罪总量的70%70%以上以上员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏蓄意破坏蓄意破坏公司资源私用公司资源私用公司资源私用公司资源私用风险评估与管理65练习练习3 3：识别并评价威胁：识别并评价威胁l l针对刚才列举的针对刚才列举的针对刚才列举的针对刚才列举的5 5 5 5项信息资产，分别项信息资产，分别项信息资产，分别项信息资产，分别指出各自面临的最突出的威胁（最指出各自面临的最突出的威胁（最指出各自面临的最突出的威胁（最指出各自面临的最突出的威胁（最多三个）？多三个）？多三个）？多三个）？

41、l l评价这些威胁出现的可能性评价这些威胁出现的可能性评价这些威胁出现的可能性评价这些威胁出现的可能性风险评估与管理66练习练习3 3续：评价威胁的标准续：评价威胁的标准风险评估与管理威胁可能性评估标准威胁可能性评估标准威胁可能性评估标准威胁可能性评估标准l l高（高（高（高（3 3 3 3）：）：）：）：非常可能，在业务活动持非常可能，在业务活动持续期间，时刻都有可能出现续期间，时刻都有可能出现l l中（中（中（中（2 2 2 2）：）：）：）：比较可能，在业务活动持比较可能，在业务活动持续期间，有可能多次出现续期间，有可能多次出现l l低（低（低（低（1 1 1 1）：）：）：）：不太可能

42、，在业务活动持不太可能，在业务活动持续期间，不大可能出现续期间，不大可能出现67风险评估与管理资产名称资产名称价值（重要性）价值（重要性）威胁威胁可能性可能性CIA68一个巴掌拍不响！一个巴掌拍不响！一个巴掌拍不响！一个巴掌拍不响！外因是条件外因是条件外因是条件外因是条件 内因才是根本！内因才是根本！内因才是根本！内因才是根本！风险评估与管理69识别并评估弱点u 针对每一项需要保护的资产，找到可被威胁利用的弱点，包括： 技术性弱点技术性弱点：系统、程序、设备中存在的漏洞或缺陷。 操作性弱点操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。 管理性弱点管理性弱点：策略

43、、程序、规章制度、人员意识、组织结构等方面的不足。 u 弱点的识别途径： 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试u 对弱点的评估，主要考虑其严重程度（Severity，即一旦被利用会对资产本身造成多大影响）或暴露程度（Exposure，即被利用的容易度或明显程度），也可以用“高”、“中”、“低”三级来衡量。u 如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。风险评估与管理70信息系统存在诸多危及安全的漏洞风险评估与管理 摘自摘自CERT/CCCERT/CC的统计报告的统计报告 20032003

44、年年1212月月71人最常犯的一些错误人最常犯的一些错误 将口令写在便签上，贴在电脑监视器旁将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑丢失笔记本电脑 不能保守秘密，口无遮拦，泄漏敏感信息不能保守秘密，口无遮拦，泄漏敏感信息 随便在服务器上接随便在服务器上接ModemModem，或者随意将服务器连入网络，或者随意将服务器连入网络 事不关己，高高挂起，不报

45、告安全事件事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题只关注外来的威胁，忽视企业内部人员的问题风险评估与管理72资产资产威胁威胁A来源来源A1来源来源A2威胁威胁B来源来源B1来源来源B2弱点弱点A1弱点弱点A2弱点弱点B1弱点弱点B2资产、威胁和弱点的关系弱点弱点威胁威胁影响的资产影响的资产没有逻辑访问控制蓄意破坏软件软件，信誉窃取软件数据完整性，信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性，信誉风险评估与管理73练习练习4

46、4：识别并评价弱点：识别并评价弱点l l考虑到面临的威胁，找到每一项资考虑到面临的威胁，找到每一项资考虑到面临的威胁，找到每一项资考虑到面临的威胁，找到每一项资产可能存在并被威胁利用的弱点？产可能存在并被威胁利用的弱点？产可能存在并被威胁利用的弱点？产可能存在并被威胁利用的弱点？只选择最明显并最严重的只选择最明显并最严重的只选择最明显并最严重的只选择最明显并最严重的风险评估与管理74练习练习4 4续：评价弱点的标准续：评价弱点的标准风险评估与管理弱点严重性评估标准弱点严重性评估标准弱点严重性评估标准弱点严重性评估标准l l高（高（高（高（3 3 3 3）：）：）：）：很容易被利用很容易被利用l

47、 l中（中（中（中（2 2 2 2）：）：）：）：可被利用，但不是太容易可被利用，但不是太容易l l低（低（低（低（1 1 1 1）：）：）：）：基本上不可能被利用基本上不可能被利用75风险评估与管理资产名称资产名称价值（重要性）价值（重要性）威胁威胁可可能能性性弱点弱点严重性严重性CIA76风险评价风险评估与管理u 确定风险的等级，需要综合考虑以下因素： 资产价值资产价值，也就是威胁一旦利用资产弱点对资产进行破坏，对组织造成的影响 威胁本身出现的可能性可能性 弱点将资产暴露在外的严重性严重性u 三个因素可以简单相乘，得到最终的风险值。u 或者通过风险评估矩阵来确定最终的风险水平。u 需要注意

48、的是，通常在评价威胁和弱点时，都考虑到了现实环境中已经采取的各种控制措施。u 实际操作时，有时候也可以把威胁和弱点综合起来考虑，得出风险发生的可能性，这样以来，最终计算风险时，只有两个指标要考虑：风险影响和风险可能性。77u 风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。u 确定风险因子：后果为2，弱点值为3，威胁值为3u 评估风险：套用风险分析矩阵，该风险被定为高风险（18）u 应对风险：根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。 风险评价示例风险评估与管理风险可能性风险可

49、能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/ /资产价值资产价值112324636922464812612183369612189182778练习练习5 5：进行风险评估：进行风险评估l l资产、威胁、弱点，构成一个风险资产、威胁、弱点，构成一个风险资产、威胁、弱点，构成一个风险资产、威胁、弱点，构成一个风险场景场景场景场景l l从资产价值去考虑影响因素从资产价值去考虑影响因素从资产价值去考虑影响因素从资产价值去考虑影响因素l l从威胁和弱点去考虑可能性因素从威胁和弱点去考虑可能性因素从威胁和弱点去考虑可能性因素从威胁和弱点去考虑可能性因素l l用风险评估矩阵评估风险

50、用风险评估矩阵评估风险用风险评估矩阵评估风险用风险评估矩阵评估风险风险评估与管理79练习练习5 5续：风险评估矩阵续：风险评估矩阵风险评估与管理风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/ /资产价值资产价值112324636922464812612183369612189182780风险评估与管理资产名称资产名称价值（重要性）价值（重要性）威胁威胁可能性可能性弱点弱点严重性严重性风险值风险值CIA81确定风险消减策略u 降低风险（降低风险（Reduce Risk） 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响

51、，包括： 减少威胁：减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。 减少弱点：减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。 降低影响：降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。u 规避风险（规避风险（Avoid Risk） 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。u 转嫁风险（转嫁风险（Transfer Risk） 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方

52、，例如购买商业保险。u 接受风险（接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。风险评估与管理82风险评估与管理u 从针对性和实施方式来看，控制措施包括三类： 管理性（管理性（Administrative）：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性（操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 技术性（技术性（Technical）：身份识别与认证、逻辑

53、访问控制、日志审计、加密等。 u 从功能来看，控制措施类型包括： 威慑性（威慑性（Deterrent） 预防性（预防性（Preventive） 检测性（检测性（Detective） 纠正性（纠正性（Corrective）u 对于现有的控制措施，可以 取消、替换或保持。威胁威胁弱点弱点威胁事件威胁事件防止威慑性控制威慑性控制影响影响利用引发造成保护发现减小预防性控制预防性控制检测性控制检测性控制纠正性控制纠正性控制对控制措施的考虑83风险评估与管理选择控制措施u 依据风险评估的结果来选择安全控制措施。u 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）：

54、基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 u 除了成本效益，还应该考虑： 控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正）u 可以从ISO17799规定的控制目标范围中选择控制。u 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。84评价残留风险u 绝对安全（即零风险）是不可能的。u 实施安全控制后会有残留风险或残存风险（Residual Risk）。 u 为了确保信息安全，应该确保残留

55、风险在可接受的范围内： 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtu 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。 风险评估与管理85u 风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。u 实施控制之前：后果为2，弱点值为3，威胁值为3，风险值为18u 实施控制之后：后果为2，弱点值降为1，威胁值降为1，残留风险值为2u 应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的残留风险

56、示例风险评估与管理风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/ /资产价值资产价值112324636922464812612183369612189182786练习练习6 6：选择控制，评价残留风险：选择控制，评价残留风险l l首先，要确定一个风险接受的标准首先，要确定一个风险接受的标准首先，要确定一个风险接受的标准首先，要确定一个风险接受的标准l l针对之前识别出来的风险，选择最针对之前识别出来的风险，选择最针对之前识别出来的风险，选择最针对之前识别出来的风险，选择最合适的控制措施合适的控制措施合适的控制措施合适的控制措施l l评价实施控制措施之后的

57、残留风险评价实施控制措施之后的残留风险评价实施控制措施之后的残留风险评价实施控制措施之后的残留风险风险评估与管理87练习练习6 6续：风险评估矩阵续：风险评估矩阵风险评估与管理风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/ /资产价值资产价值112324636922464812612183369612189182788风险评估与管理资产名资产名称称价值价值威胁威胁弱点弱点风险处理前风险处理前控制措施控制措施风险处理后风险处理后CIA可能可能性性严重严重性性风险风险值值可能可能性性严重严重性性风险风险值值风险接受水平：风险接受水平：_89风险评估与管理接下

58、来。u 制定风险处理计划：确定实施人员，规划实施时间，进行实施效果复查u 编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等u 按照计划实施Review和内部审核，检查控制实施效果u 如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点9091l l信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理l lISO27001ISO27001简介简介简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证l l总结和展望总结和展望92ISO27001简介英国标准协

59、会（BSI）u英国标准学会（BritishStandardsInstitution，BSI）u著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构u英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍，完善自己的工作机构和体制，把标准化和质量管理以及对外贸易紧密结合起来开展工作uu BSIBSI的宗旨：的宗旨：的宗旨：的宗旨： 1.1.为增产节约努力协调生产者和用户之间的关系，促进生产，为增产节约努力协调生产者和用户之间的关系，促进生产，为增产节约努力协调生产者和用户之间的关系，促进生产，为增产

60、节约努力协调生产者和用户之间的关系，促进生产， 达到标准化（包括简化）达到标准化（包括简化）达到标准化（包括简化）达到标准化（包括简化） 2.2.制定和修订英国标准，并促进其贯彻执行制定和修订英国标准，并促进其贯彻执行制定和修订英国标准，并促进其贯彻执行制定和修订英国标准，并促进其贯彻执行 3.3.以学会名义，对各种标志进行登记，并颁发许可证以学会名义，对各种标志进行登记，并颁发许可证以学会名义，对各种标志进行登记，并颁发许可证以学会名义，对各种标志进行登记，并颁发许可证 4.4.必要时采取各种行动，保护学会利益必要时采取各种行动，保护学会利益必要时采取各种行动，保护学会利益必要时采取各种行动

61、，保护学会利益93国际标准化组织（ISO）u 国际标准化组织（International Organization for Standardization，ISO）u 国际标准化组织是世界上最大的非政府性标准化专门机构， 它在国际标准化中占主导地位。u ISO的主要活动是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行交流，以及与其他国际性组织进行合作，共同研究有关标准问题。 u 随着国际贸易的发展，对国际标准的要求日益提高，ISO的作用也日趋扩大，世界上许多国家对ISO也越加重视。 u ISOISO的目的和宗旨是：在世界范围内促进标准化工作的发展，的目的和宗旨是：在世界

62、范围内促进标准化工作的发展，的目的和宗旨是：在世界范围内促进标准化工作的发展，的目的和宗旨是：在世界范围内促进标准化工作的发展， 以利于国际物资以利于国际物资以利于国际物资以利于国际物资交流和互助，并扩大在知识、科学、技术和经济交流和互助，并扩大在知识、科学、技术和经济交流和互助，并扩大在知识、科学、技术和经济交流和互助，并扩大在知识、科学、技术和经济 方面的合作。方面的合作。方面的合作。方面的合作。ISO27001简介94什么是ISO27001？ISO27001简介u 最早是英国标准协会（British Standards Institute，BSI）制定的信息安全标准。目前已经成为国际标准

63、。u 由信息安全方面的最佳惯例组成的一套全面的控制集。u 信息安全管理方面最受推崇的国际标准。95ISO27001的历史沿革1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC1

64、7799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。ISO27001简介96截至截至2011年年1月，全球通过月，全球通过BS7799/ISO27001认证的有认证的有7205多家机构多家机构/http:/3829 Slovenia 17 Macau 3 India 506 Nether

65、lands 15 Morocco 3 China 496 Philippines 15 Albania 2 UK 466 14 Argentina 2 Taiwan 413 14 Belgium 2 Germany 170 Iceland 13 Bosnia Herzegovina 2 Korea 106 Saudi Arabia 13 Cyprus 2 Czech 101 Iran 12 Isle of Man 2 USA 100 Indonesia 11 Kazakhstan 2 Hungary 72 Kuwait 11 Macedonia 2 Spain 70 Colombia 10 U

66、kraine 2 Italy 66 Norway 10 Armenia 1 Poland 58 Portugal 10 Bangladesh 1 Malaysia 52 Russian Federation 10 Belarus 1 Austria 37 Sweden 9 Denmark 1 Ireland 37 Bahrain 8 Ecuador 1 Thailand 37 Canada 7 Jersey 1 Romania 34 Croatia 7 Kyrgyzstan 1 Hong Kong 32 Switzerland 7 Lebanon 1 Greece 30 Oman 5 Luxe

67、mbourg 1 Australia 29 Peru 5 Malta 1 Singapore 29 South Africa 5 Mauritius 1 Mexico 24 Sri Lanka 5 Moldova 1 Brazil 23 Dominican Republic 4 New Zealand 1 Slovakia 23 Egypt 4 Sudan 1 Turkey 22 Lithuania 4 Uruguay 1 UAE 20 Qatar 4 Yemen 1 France 19 Chile 3 Bulgaria 18 Gibraltar 3 Total 720597建立ISMS并通过

68、认证的意义ISO27001简介u 对内： 按照风险管理思想建立可自我改进和发展（PDCA）的ISMS 对关键信息资产进行全面系统的保护，保障自身知识产权和市场竞争力 在信息系统受到侵害时，确保公司业务能够持续开展并将损失降低到最低程度 建立IT审计/信息安全审计的框架，实现监督检查机制 建立起文件化的信息安全管理规范，让所有人员做事“有法可依” 强化员工的信息安全意识，建立安全习惯，形成具有自己特点的信息安全企业文化u 对外： 通过ISO27001认证，表明公司的ISMS符合国际标准，证明公司有能力保障重要信息，提高公司的知名度与公信度 使客户、业务伙伴、投资人对公司保障其业务平台和数据信息的

69、安全充满信心 界定外包双方的信息安全责任，在自我责任实现基础上向委包方提出合理建议 更好地满足客户或其他组织的审计要求 通过ISO27001认证，公司可以明确要求其他供应商提高相应的信息安全水平，保证数据交换中的信息安全98ISO17799/ISO27001的内容框架u ISO17799：源自BS7799-1。工具包，体现了三分技术七分管理的思想u ISO27001：源自BS7799-2。框架体系，是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案安全策略安全策略安全策略安全策略 Security policySecurity policy人力资源安全人力资源安全人力资源安全人力

70、资源安全 Human Human resources resources securitysecurity物理与环境安全物理与环境安全物理与环境安全物理与环境安全 Physical and Physical and environmental securityenvironmental security通信与操作管理通信与操作管理通信与操作管理通信与操作管理 Communications and Communications and operations operations managementmanagement信息系统获取、开发和维信息系统获取、开发和维信息系统获取、开发和维信息系统获取

71、、开发和维护护护护 Information systems Information systems acquisition, acquisition, development and development and maintenancemaintenance组织信息安全组织信息安全组织信息安全组织信息安全 Organizing information securityOrganizing information security资产管理资产管理资产管理资产管理 Asset managementAsset management访问控制访问控制访问控制访问控制 Access controlAcc

72、ess control信息安全事件管理信息安全事件管理信息安全事件管理信息安全事件管理 Information security incident managementInformation security incident management业务连续性管理业务连续性管理业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management符合性符合性符合性符合性 ComplianceComplianceISO27001简介99PeopleCISOSecurityISOSSOSecurityOrganisati

73、onProceduresIncident HandlingIncident ReportingDisasterRecoveryRisk AssessmentBusiness Continuity PlanPoliciesSecurityPolicyISO27001指导下的ISMSISO27001简介100其他信息安全相关标准规范1u ISO7498-2（GB/T9387-2,1995） 1989年ISO组织制定的信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构，该标准对安全服务及相关机制进行了一般描述u ISO15408（GB/T18336,2001，即CC标准） 1993年6

74、月，美国、加拿大及欧洲四国共同协商并起草通过了CC标准，最终将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准u SSE-CMM（ISO/IEC DIS 21827） 美国国家安全局（NSA）于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征，这些特征是完善安全工程的根本保证u IATF 美国国家安全局（NSA）制定的Information Assurance Technical Framework，为保护美国政府和工业界的信息与信息技术设施提供技术指南u ISO/TR 13569 银行和相关金融服务信

75、息安全指南ISO27001简介101其他信息安全相关标准规范2u BSI DISC提供了一组关于BS 7799的系列指导文件（PD3000系列）： PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Management PD 3003 “Are you ready for a BS7799 Audit?” PD 3004 Guide to BS7799 Auditing PD 3005 Guide to the selection of BS7799 controlsu AS

76、/NZS 4444 澳大利亚和新西兰等同采用的BS7799（后来，根据ISO/IEC 17799:2000颁布了AS/NZS ISO/IEC 17799:2001，根据BS7799-2:2002又颁布了AS/NZS 7799.2:2003）u AS/NZS 4360 澳大利亚和新西兰自己的信息安全管理标准u ISO/IEC TR 13335 即IT安全管理指南（Guidelines for the Management of IT Security，GMITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证ISO27001简介102练习练习7 7：关于：关于I

77、SO27001ISO27001的认识的认识l l提问：您知道提问：您知道提问：您知道提问：您知道ISO27001ISO27001ISO27001ISO27001最早源自什最早源自什最早源自什最早源自什么标准？由哪两个部分构成？么标准？由哪两个部分构成？么标准？由哪两个部分构成？么标准？由哪两个部分构成？ISO27001简介103l l信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体

78、系认证信息安全管理体系认证l l总结和展望总结和展望104ISO17799:2005 信息安全管理实施细则提供了一套由最佳实践提供了一套由最佳实践构成的控制目标和控制，构成的控制目标和控制，涉及涉及1111个方面，包括个方面，包括3939个控制目标和个控制目标和133133项控制项控制措施措施, ,可作为参考文件使可作为参考文件使用，但并不是认证评审用，但并不是认证评审的依据。的依据。ISO17799:2005l l安全策略安全策略l l组织信息安全组织信息安全l l资产管理资产管理l l人力资源安全人力资源安全l l物理和环境安全物理和环境安全l l通信和操作管理通信和操作管理l l访问控制

79、访问控制l l信息系统获取、开发和维护信息系统获取、开发和维护l l信息安全事件管理信息安全事件管理l l业务连续性管理业务连续性管理l l符合性符合性1051111个方面个方面个方面个方面3939个目标个目标个目标个目标133133个控制措施个控制措施个控制措施个控制措施ISO17799:2005 信息安全管理实施细则1010个方面个方面个方面个方面3636个目标个目标个目标个目标127127个控制措施个控制措施个控制措施个控制措施对比对比ISO17799:2000老版老版106 “ Not all of the controls described in this document wil

80、l be relevant to every situation. It cannot take account of local system, environmental or technological constraints. It may not be in a form that suits every potential user in an organization. Consequently the document may need to be supplemented by further guidance. It can be used as a basis from

81、which, for example, a corporate policy or an inter-company trading agreement can be developed.” 并不是所有此处描述的控制都与各种环境相关，这里并没有考虑本地系统、环境或者技术性的约束，不大可能以一种适合组织内部各类潜在用户的形式展现。因此，还需要通过进一步的指导方针来补充此文，组织可以将其作为基础，继而开发自己的策略或者公司间贸易协议。ISO17799:2005 信息安全管理实施细则107ISO17799:2005前言前言简介简介什么是信息安全 （信息是一种资产，有多种存在形式，应该通过有效控制加以

82、保护）为什么需要信息安全如何建立安全需求 （安全需求的三个来源）评估安全风险 （安全需求经过系统地评估安全风险而得到确认 ）选择控制 （安全控制可以从7799或其它有关标准选择，也可以自己设计满足特定要求的控制 ）信息安全起点 （基于法律要求和信息安全最佳实践来选择控制措施）关键的成功因素开发你自己的指南1范围范围2术语和定义术语和定义2.1 定义3本标准的结构本标准的结构3.1 条款3.2 主安全目录4 风险评估和处理风险评估和处理 4.1 评估安全风险 4.2 处理安全风险ISO17799:2005 信息安全管理实施细则108法律要求和最佳实践控制措施u 与法律相关的控制措施： 知识产权（

83、知识产权（Intellectual Property Rights）：遵守知识产权保护和软件产品保护的法律（15.1.2） 保护组织的记录保护组织的记录：保护重要的记录不丢失、破坏和伪造（15.1.3） 数据保护和个人信息隐私数据保护和个人信息隐私：遵守所在国的数据保护法律（15.1.4）u 与最佳实践相关的控制措施： 信息安全策略文件信息安全策略文件：高管批准发布信息安全策略文件，并广泛告知（5.1.1） 信息安全责任的分配信息安全责任的分配：清晰地定义所有的信息安全责任（6.1.3） 信息安全意识、教育和培训信息安全意识、教育和培训：全员员工及相关人员应该接受恰当的意识培训（8.2.2）

84、正确处理应用程序正确处理应用程序：防止应用程序中的信息出错、损坏或被非授权篡改及误用（12.2） 漏洞管理漏洞管理：防止利用已发布的漏洞信息来实施破坏（12.6） 管理信息安全事件和改进管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件（13.2） 业务连续性管理业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响（14）u 尽管选择以上控制是信息安全很好的起点，但还是不能代替基于风险评估选择合适的安全控制。 ISO17799:2005 信息安全管理实施细则109DeterrentControlThreatCorrectiveControlVulnerabi

85、lityImpactDetectiveControlPreventativeControlAttackReduces Likelihood ofCreatesExploitsDecreasesResults inProtectsReducesCan triggerDiscovers各种安全控制措施的作用ISO17799:2005 信息安全管理实施细则110控制目标和控制措施描述结构ISO17799:2005 信息安全管理实施细则u 每一个主安全目录都包括： 一个控制目标（Control objective)，指出应该实现什么 若干项控制措施（Controls），可用来实现控制目标u 对控制措施

86、的描述格式是：Control对控制措施的说明。Implementation guidance为了实施该控制，应该采取哪些行动。有些活动可能并不适用于所有情况，可能需要补充其他活动。这部分的指南有助于组织实现有效的安全。Other information作为补充选项，这部分对控制的实施进行相关说明，包括实施控制时应该考虑的各种因素（例如法律）1115 安全策略安全策略5.1 信息安全策略5.1.1 信息安全策略文件5.1.2 信息安全策略复查目标：目标：为信息安全提供与业务需求和法律法规相一为信息安全提供与业务需求和法律法规相一致的管理指示及支持。致的管理指示及支持。ISO17799:2005

87、信息安全管理实施细则112信息安全策略的定义信息安全策略的定义u 信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程。策略方针的目的和意义策略方针的目的和意义u 为组织提供了关注的焦点，指明了方向，确定了目标u 确保信息安全管理体系被充分理解和贯彻实施u 统领整个信息安全管理体系ISO17799:2005 信息安全管理实施细则方针文件的内容方针文件的内容u 信息安全的定义、整体目标和范围；u 对管理层支持信息安全目标和原则的意图的声明和承诺；u 建立控制目标和控制的框架，包括风险评估和风险管理的框架；u 对安全策略、原则、标

88、准以及符合性需求的简单说明；u 信息安全管理责任，包括报告安全事件；u 对策略支持文档的引用参考；u 由管理者批准，正式发布，并得到全员贯彻。由管理者批准，正式发布，并得到全员贯彻。安全策略的复查安全策略的复查u 策略应有一个属主，负责按复查程序维护和复查该策略。u 如果发生任何影响最初风险评估基础的变化，都应复查策略。也应定期复查安全策略。 u 策略复审应该考虑到管理评审的结果113要点提示uu 用最简单、明确的语言直击主题用最简单、明确的语言直击主题用最简单、明确的语言直击主题用最简单、明确的语言直击主题uu 保持与具体规范、指南、记录等文件的区别保持与具体规范、指南、记录等文件的区别保持

89、与具体规范、指南、记录等文件的区别保持与具体规范、指南、记录等文件的区别uu 信息安全策略应该人手一份，并保证充分理解信息安全策略应该人手一份，并保证充分理解信息安全策略应该人手一份，并保证充分理解信息安全策略应该人手一份，并保证充分理解uu 要定期评审和修订要定期评审和修订要定期评审和修订要定期评审和修订ISO17799:2005 信息安全管理实施细则114信息安全策略体系的层次性方针方针方针方针 PolicyPolicy程序程序程序程序 ProcedureProcedure标准标准标准标准 StandardStandard强制性强制性指南指南指南指南 GuidelineGuideline建

90、议性建议性基线基线基线基线 BaselineBaseline最低标准最低标准目标要求目标要求具体步骤具体步骤实现方法实现方法战战略略层层次次战战术术层层次次战战役役层层次次ISO17799:2005 信息安全管理实施细则115最高方针示例116练习练习8 8：关于信息安全策略：关于信息安全策略l l请说出几条贵公司对个人使用信息请说出几条贵公司对个人使用信息请说出几条贵公司对个人使用信息请说出几条贵公司对个人使用信息系统的安全要求？系统的安全要求？系统的安全要求？系统的安全要求？l l你认为在实际工作当中接触到的哪你认为在实际工作当中接触到的哪你认为在实际工作当中接触到的哪你认为在实际工作当中

91、接触到的哪些方面应该归入安全策略的范畴？些方面应该归入安全策略的范畴？些方面应该归入安全策略的范畴？些方面应该归入安全策略的范畴？l l请拟定一份简洁的信息安全策略？请拟定一份简洁的信息安全策略？请拟定一份简洁的信息安全策略？请拟定一份简洁的信息安全策略？ISO17799:2005 信息安全管理实施细则1176 组织信息安全组织信息安全6.1 内部组织6.1.1 管理层对信息安全的责任6.1.2 信息安全协调机制6.1.3 分派信息安全责任6.1.4 信息处理设施的批准程序6.1.5 保密协议6.1.6 保持和权威机构的联系6.1.7 保持和专业团队联系6.1.8 对信息安全做独立评审目标：目

92、标：在组织内建立发起和控制信息安全实施的管在组织内建立发起和控制信息安全实施的管理框架。理框架。6.2 外部伙伴6.2.1 识别与外部伙伴相关的风险6.2.2 和客户交往时注意安全6.2.3 在第三方协议中注明安全目标：目标：维护被外部伙伴访问、处理和管理的组织的维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。信息处理设施和信息资产的安全。ISO17799:2005 信息安全管理实施细则118 组织应该建立起有效的组织应该建立起有效的组织应该建立起有效的组织应该建立起有效的信息安全管理框架，以便发信息安全管理框架，以便发信息安全管理框架，以便发信息安全管理框架，以便发起并控

93、制组织内部信息安全起并控制组织内部信息安全起并控制组织内部信息安全起并控制组织内部信息安全的实施。的实施。的实施。的实施。ISO17799:2005 信息安全管理实施细则信息安全管理委员会信息安全管理委员会信息安全管理委员会信息安全管理委员会外部安全专家外部安全专家外部安全专家外部安全专家信息安全独立评审信息安全独立评审信息安全独立评审信息安全独立评审信息安全管理信息安全管理信息安全管理信息安全管理框架框架框架框架权威机构权威机构权威机构权威机构119识别与外部伙伴相关的风险ISO17799:2005 信息安全管理实施细则u 外部伙伴可能包括： 服务提供商（例如ISP、网络和通信服务、维护和支

94、持服务提供商等），管理安全服务（MSS） 客户 外包服务（IT系统设施和运维、数据采集、呼叫中心） 管理和业务咨询顾问、审计师 软件产品和IT系统的开发者和供应商 保洁快餐等外部服务 临时工、短期兼职人员等u 如果需要让外部伙伴访问组织的信息处理设施或信息，有必要先做一次风险评估，找到特别的安全控制需求。应该考虑到是物理访问，还是逻辑访问，是现场访问还是非现场访问。还应考虑需要访问哪些设施和信息？信息的价值，必要的控制，授权以及监督方式，出错可能造成的影响，对安全事件的响应，法律法规等。u 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须

95、遵守的规定。120在第三方协议中体现安全ISO17799:2005 信息安全管理实施细则u 信息安全方针u 用来保护资产的各种控制措施u 描述将被提供的产品和服务u 确保用户意识到信息安全责任u 对人员调换做出规定u 硬件和软件安装及维护的责任u 清晰的Report结构和格式u 变更管理流程u 任何必要的物理保护措施和机制u 访问控制策略： 允许的访问方法，授权流程，禁止声明u 信息安全事件及问题处理机制u 期望的SLA及监督报告机制u 监督、撤销等权利，审计责任约定u 法律责任u 知识产权保护u 中止或重新协商协议的条件1217 资产管理资产管理7.1 资产责任7.1.1 资产清单7.1.2

96、 资产属主7.1.3 对资产的可接受使用目标：目标：保持对组织资产的恰当的保护。所有资产都保持对组织资产的恰当的保护。所有资产都应该责任到人。应该责任到人。7.2 信息分类7.2.1 分类指南7.2.2 信息标注及处理目标：目标：确保信息资产得到适当级别的保护。确保信息资产得到适当级别的保护。u 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。u 按照信息资产所属系统或所在部门列出资产清单。u 所有的信息资产都应该具有指定的属主并且可以被追溯责任。u 信息应该被分类，以标明其需求、优先级和保护程度。u 根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。Top SecretS

97、ecretConfidentialRestrictedISO17799:2005 信息安全管理实施细则122信息资产的类型信息资产的类型u 信息信息：数据库和数据文件，合同和协议，系统文件，用户手册，培训资料等u 软件资产软件资产：应用软件，系统软件，开发工具，工具程序u 实物资产实物资产：计算机和通信设备，移动介质，电源空调等技术性设备u 人员人员：承担特定职能和责任的人员，资质、技能和经验u 服务服务：计算和通信服务，环境支持服务等u 组织形象与声誉组织形象与声誉：无形资产ISO17799:2005 信息安全管理实施细则123识别资产时的注意事项u 所有主要信息资产都应清点并指定专人负责u

98、 这些资产必须是在信息安全管理体系范围之内的u BS 7799标准认为, “资产”没必要包括通常考虑的组织内所有有价值的东西u 组织必须确定哪些资产在损失后对组织的产品及服务会产生实质上的影响ISO17799:2005 信息安全管理实施细则124资产清单示例ISO17799:2005 信息安全管理实施细则125信息资产的属主、保管者和用户u 属主（Owner）： 信息属主可能是组织的某个决策者或者管理者，或者部门负责人，或者是信息的创建者，对必须保护的信息资产负责，承担着“due care”的责任，但日常的数据保护工作则由保管者承担。信息属主的责任在于： 基于业务需求，对信息分类等级作出最初决

99、定；定期复查分类方案，根据业务需求的变化作出更改；向保管者委派承担数据保护任务的责任u 保管者（Custodian）： 受信息属主委托而负责保护信息，通常由IT系统人员来承担，其职责包括： 定期备份，测试备份数据的有效性；必要时对数据进行恢复；根据既定的信息分类策略，维护保留下来的记录u 用户（User）： 任何在日常工作中使用信息的人（操作员、雇员或外部伙伴），即数据的消费者，应该注意： 用户必须遵守安全策略中定义的操作程序；用户必须在工作期间承担保护信息安全的责任；用户必须只将公司的计算资源用作公司目的，不能做个人使用ISO17799:2005 信息安全管理实施细则1268 人力资源安全人

100、力资源安全8.1 聘用前的控制8.1.1 角色和责任8.1.2 人员筛选（Screening）8.1.3 聘用条件和条款目标：目标：确保雇员、合同工和第三方用户理解其自身责任，适合角色定位，减少偷窃、欺诈或误用设施减少偷窃、欺诈或误用设施带来的风险。带来的风险。8.2 聘用期间8.2.1 管理层职责8.2.2 信息安全意识、教育和培训8.2.3 惩罚机制目标：目标：确保所有雇员、合同工和第三方用户都意识确保所有雇员、合同工和第三方用户都意识到信息安全威胁、利害关系、责任和义务，并在其到信息安全威胁、利害关系、责任和义务，并在其正常工作当中支持组织的安全策略，减少人为错误正常工作当中支持组织的安

101、全策略，减少人为错误导致的风险。导致的风险。8.3 解聘或变更8.3.1 解聘责任8.3.2 返还资产8.3.3 去除访问权限目标：目标：确保雇员、合同工和第三方用户按照既定方式离职或变更职位。ISO17799:2005 信息安全管理实施细则127人员安全重要提示u 人员和组织安全是信息安全管理的难点，因为：u 人本身就是一个最复杂的因素u 信息安全的“潜在性”使得安全组织和人才培养不容易获得认可u 信息安全人才的培养是一个高难的过程u 信息安全组织需要和企业文化进行磨合u 避免信息安全组织和业务组织对立ISO17799:2005 信息安全管理实施细则128人员筛选时做背景检查ISO17799

102、:2005 信息安全管理实施细则u 背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。u 通过背景检查，可以防止： 因为人员解雇而导致法律诉讼 因为雇用疏忽而导致第三方的法律诉讼 雇用不合格的人员 丧失商业秘密u 员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。129增强全员的安全意识ISO17799:2005 信息安全管理实施细则u 安全意识（Se

103、curity awareness），泛指组织员工对安全和安全控制重要性的一般性的、集体的意识。促进安全意识，可以减少人员的非授权活动，可以增强保护控制的效率，有助于避免欺诈和对计算资源的浪费u 员工具有安全意识的标志： 认知可能存在的安全问题及其危害，理解安全所需 明白自身的安全职责，恪守正确的行为方式u 促进安全意识的方法和途径多种多样： 交互性的、实时的介绍，课程，视频 出版发布物品，新闻传单，张贴物，简报，布告栏，Intranet 奖金和赞誉等激励机制 提醒物，比如登录banner，笔、便签、鼠标垫等随身物品u 安全意识材料应该直接、简单和清楚，易于理解，要有创新和变化130安全培训和教

104、育ISO17799:2005 信息安全管理实施细则u 培训（Training）不同于意识，其目的是传授安全相关的工作技能，主要对象为信息系统管理和维护人员，通常利用一对一的课堂形式，包括： 为操作者和具体用户提供的安全相关的职务培训 为与敏感安全位置相关的具体的部门或人员提供的技能培训 为IT支持人员和系统管理员提供的技术性安全培训 为安全实践者和信息系统审计师提供的高级信息安全培训 为高级管理者、职能经理和业务单位经理提供的安全培训u 教育（Education）更为深入，其目的是为安全专业人士提供工作所需的专业技术，一般通过外部程序实现，并且应该成为职业规划的一部分u 具体的安全软件和硬件的

105、产品培训也很重要131加强人员离职控制ISO17799:2005 信息安全管理实施细则u 人员离职往往存在安全风险，特别是雇员主动辞职时u 解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前u 使用标准的检查列表（Checklist）来实施离职访谈u 离职者需在陪同下清理个人物品u 确保离职者返还所有的公司证章、ID、钥匙等物品u 与此同时，立即消除离职者的访问权限，包括： 解除对系统、网络和物理设施的访问权 解除电话，注销电子邮箱，锁定Internet账号 通知公司其他人员、外部伙伴或客户，声明此人已离职132练习练习9 9：关于人员安全：关于人员安全l l请列举一些你在工作当中遇到

106、或者请列举一些你在工作当中遇到或者请列举一些你在工作当中遇到或者请列举一些你在工作当中遇到或者听说过的安全事件？相关人员是怎听说过的安全事件？相关人员是怎听说过的安全事件？相关人员是怎听说过的安全事件？相关人员是怎样去处理的？样去处理的？样去处理的？样去处理的？l l有没有碰到过牵涉人员招聘和解聘有没有碰到过牵涉人员招聘和解聘有没有碰到过牵涉人员招聘和解聘有没有碰到过牵涉人员招聘和解聘而带来的安全问题？而带来的安全问题？而带来的安全问题？而带来的安全问题？ISO17799:2005 信息安全管理实施细则1339 物理和环境安全物理和环境安全9.1 安全区域9.1.1 物理安全边界9.1.2 物

107、理入口控制9.1.3 保护办公场所、房间和设施9.1.4 防止外部和环境威胁9.1.5 在安全区内工作9.1.6 公共访问和交接区域目标：目标：防止非授权物理访问、破坏和干扰组织的安防止非授权物理访问、破坏和干扰组织的安全区边界。全区边界。9.2 设备安全9.2.1 设备的安置与保护9.2.2 供电9.2.3 电缆安全9.2.4 设备维护9.2.5 场外设备的安全9.2.6 设备报废或重用时的安全9.2.7 财物迁移目标：目标：防止资产的丢失、损害和破坏，防止组织的防止资产的丢失、损害和破坏，防止组织的各项活动被打断。各项活动被打断。I.D.ISO17799:2005 信息安全管理实施细则13

108、4物理安全要点提示u 清晰划定安全区域边界u 围墙、门锁、照明、告警、监视系统u 专门设立接待区，限制物理访问u 外来人员登记及陪同u 定期检查访问记录u 关键设施不要放置在公共区域u 关键区域不做显眼标记u 防止火灾、水灾、地震、爆炸等自然或人为灾难u 安全区域内工作，禁止摄影摄像，加强监督u 一定要注意那些不在视野范围内的东西ISO17799:2005 信息安全管理实施细则135注意你的身边！注意你的身边！注意你的身边！注意你的身边！注意最细微的地方！注意最细微的地方！注意最细微的地方！注意最细微的地方！ISO17799:2005 信息安全管理实施细则136我们来看一个可怕的案例我们来看一

109、个可怕的案例 您肯定用过银行的您肯定用过银行的您肯定用过银行的您肯定用过银行的ATMATMATMATM机，机，机，机，您插入银行卡，然后输入密码，您插入银行卡，然后输入密码，您插入银行卡，然后输入密码，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离然后取钱，然后拔卡，然后离然后取钱，然后拔卡，然后离然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没开，您也许注意到您的旁边没开，您也许注意到您的旁边没开，您也许注意到您的旁边没有别人，您很小心，可是，您有别人，您很小心，可是，您有别人，您很小心，可是，您有别人，您很小心，可是，您真的足够小心吗？真的足够小心吗？真的足够小心吗？真的足够小

110、心吗？ISO17799:2005 信息安全管理实施细则137ISO17799:2005 信息安全管理实施细则138ISO17799:2005 信息安全管理实施细则139ISO17799:2005 信息安全管理实施细则140ISO17799:2005 信息安全管理实施细则141ISO17799:2005 信息安全管理实施细则142ISO17799:2005 信息安全管理实施细则143关于场外设备使用的提示u 无论是谁，信息处理设施要带到组织边界外使用，必须得到相关授权u 场外设备或介质不应该单独置于公共区域，笔记本电脑应该放在不显眼的包里u 注意设备防暴、防磁、防热、防水、防震u 家庭办公时，遵

111、守设备加锁保存、桌面净空、计算机访问控制及安全通信策略u 可以考虑购买适当的保险ISO17799:2005 信息安全管理实施细则14410 通信和操作管理通信和操作管理10.1 操作程序和责任10.1.1 操作程序的文档化10.1.2 变更管理10.1.3 职责分离10.1.5 开发、测试和运营设施的分离目标：目标：确保正确并安全地操作信息处理设施。确保正确并安全地操作信息处理设施。10.3 系统规划及验收10.3.1 容量管理10.3.2 系统验收目标：目标：减少系统故障带来的风险。减少系统故障带来的风险。10.4 抵御恶意和移动代码10.4.1 恶意代码控制10.4.2 移动代码控制目标：

112、目标：保护软件和信息的完整性。保护软件和信息的完整性。ISO17799:2005 信息安全管理实施细则10.2 第三方服务交付管理10.2.1 服务交付10.2.2 监督和复查第三方服务10.2.3 第三方服务变更管理目标：目标：根据第三方服务交付协议，实施并保持恰当根据第三方服务交付协议，实施并保持恰当的信息安全和服务交付水平。的信息安全和服务交付水平。14510.5 备份10.5.1 信息备份目标：目标：维护信息和信息处理设施的完整性及可用性。维护信息和信息处理设施的完整性及可用性。10.7 介质处理10.7.1 移动计算机介质的管理10.7.2 介质的处置10.7.3 信息处理程序10.

113、7.4 系统文件的安全目标：目标：防止非授权泄漏、篡改、废除和破坏资产，防止非授权泄漏、篡改、废除和破坏资产，防止业务活动中断。防止业务活动中断。10.8 信息的交换10.8.1 信息交换策略和程序10.8.2 交换协议10.8.3 传输中的物理介质10.8.4 电子信息交换10.8.5 业务信息系统目标：目标：保持组织内部和与外部实体间进行信息交换保持组织内部和与外部实体间进行信息交换的安全性。的安全性。10.6 网络安全管理10.6.1 网络控制10.6.2 网络服务的安全目标：目标：确保网络中的信息以及支持技术设施得到保确保网络中的信息以及支持技术设施得到保护。护。ISO17799:20

114、05 信息安全管理实施细则14610.9 电子商务服务10.9.1 电子商务10.9.2 在线交易10.9.3 公共可用信息目标：目标：确保电子商务服务的安全性，保证安全使用确保电子商务服务的安全性，保证安全使用电子商务服务。电子商务服务。ISO17799:2005 信息安全管理实施细则10.10 监视10.10.1 审计日志10.10.2 监视系统使用10.10.3 保护日志信息10.10.4 管理员和操作日志10.10.5 故障日志10.10.6 时钟同步目标：目标：发现非授权活动。发现非授权活动。147通信和操作管理提示u 明确操作管理理程序和责任，包括信息处理、备份、故障处理、介质处理

115、、系统重启和恢复、日志审计等事务u 定义变更管理责任和流程，做好信息处理设施的变更控制u 对第三方服务实施有效监督，确保其符合既定协议的要求。应该定期检查服务报告，分析安全事件相关信息，复查第三方审计记录u 制定专门的策略，禁止使用非授权软件，防止恶意代码u 做好系统的备份容灾规划u 移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏ISO17799:2005 信息安全管理实施细则148变更管理一般流程ISO17799:2005 信息安全管理实施细则149ISO17799:2005 信息安全管理实施细则关于职责分离u 不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的

116、任务，例如金融交易中，一个人负责数据录入，另一个人负责检查，第三人确认最终交易u 应该分离：开发/生产；安全管理/审计；加密密钥管理/密钥更改u 小型组织实施职责分离比较困难，可以采取其他一些控制措施，如活动监控、跟踪检查和监督管理等u 但安全审计务必要有独立性15011 访问控制访问控制11.1 访问控制的业务需求11.1.1 访问控制策略目标：目标：控制对信息的访问。控制对信息的访问。应该根据业务和安全需应该根据业务和安全需求对信息、系统和业务流程加以控制，还应该考虑求对信息、系统和业务流程加以控制，还应该考虑信息传播和授权的策略。信息传播和授权的策略。11.2 用户访问的管理11.2.1

117、 用户注册11.2.2 特权管理11.2.3 用户口令管理11.2.4 用户访问权限的复审目标：目标：确保授权用户的访问，防止非授权访问信息防止非授权访问信息系统。系统。11.3 用户责任11.3.1 口令使用11.3.2 无人值守的用户设备11.3.3 桌面清理和清屏策略目标：目标：防止非授权用户访问、破坏、窃取信息及信防止非授权用户访问、破坏、窃取信息及信息处理设施。息处理设施。ISO17799:2005 信息安全管理实施细则15111.4 网络访问控制11.4.1 网络服务使用策略11.4.2 对外部连接用户进行身份认证11.4.3 识别网络中的设备11.4.4 远程诊断和配置端口的保护

118、11.4.5 网络隔离11.4.6 网络连接控制11.4.7 网络路由控制目标：目标：保护网络服务保护网络服务，防止非授权访问，对内部和外部的网络访问都应该得到控制。11.5 操作系统访问控制11.5.1 安全的登录程序11.5.2 用户身份识别与认证11.5.3 口令管理系统11.5.4 系统工具的使用11.5.5 会话超时11.5.6 限制连接时间目标：目标：防止对信息系统的非授权访问。防止对信息系统的非授权访问。ISO17799:2005 信息安全管理实施细则15211.6 应用和信息访问控制11.6.1 信息访问限制11.6.2 敏感系统的隔离目标：目标：防止非授权访问信息系统中的信息

119、。防止非授权访问信息系统中的信息。11.7 移动计算和通讯11.7.1 移动计算和通信11.7.2 远程工作（Teleworking）目标：目标：确保使用移动计算和通讯设施时的信息安全。确保使用移动计算和通讯设施时的信息安全。ISO17799:2005 信息安全管理实施细则153访问控制重要提示u 关于访问控制策略： 根据业务制订的策略才能实施 策略内容：所需访问的信息，访问控制规则，用户访问权限，其他访问控制要求 没有明确允许就是缺省禁止，最小权限原则等u 口令是常见的访问控制措施，也是重要的信息资产，应妥善保护和管理u 关于网络访问控制： 组织网络与其他组织网络或者公共网之间进行正确的连接

120、 用户和设备都具有适当的身份验证机制 在用户访问信息服务时进行控制u 关于操作系统访问控制： 识别和验证来访者身份。如果需要，还要验证每个合法用户的终端节点或位置 记录成功和失败的系统访问 提供适当的身份验证方法。如果使用了口令管理系统，则应该确保使用高质量的口令 根据情况限制用户连接时间ISO17799:2005 信息安全管理实施细则154访问控制重要提示（续）u 关于应用访问控制： 考虑应用系统的安全，不得不考虑业务流程 如果业务流程有安全隐患，应用系统是无法避免这些危险的。底层系统和网络更是无能为力u 关于系统监控： 日志、入侵监测系统、漏洞分析扫描器都是很好的工具，但是如果没有有效的审

121、计措施的话，都无法发挥大作用u 关于移动计算的访问控制： 可变性太大 有时会涉及“人格”问题、“工作热情”问题 执行控制需要坚决的政策和有力的执行 要关注新技术的冲击ISO17799:2005 信息安全管理实施细则15512 信息系统获取、开发和维护信息系统获取、开发和维护12.1 信息系统的安全需求12.1.1 安全需求分析和规范目标：目标：确保安全内建于信息系统中。确保安全内建于信息系统中。12.2 应用程序中正确的处理12.2.1 输入数据的验证12.2.2 内部处理控制12.2.3 消息完整性12.2.4 输出数据的验证目标：目标：防止应用程序中的信息出错、丢失、被非授防止应用程序中的

122、信息出错、丢失、被非授权篡改或误用。权篡改或误用。12.3 密码控制12.3.1 密码控制使用策略12.3.2 密钥管理目标：目标：通过加密手段，保护信息的保密性、真实性保护信息的保密性、真实性或完整性。或完整性。ISO17799:2005 信息安全管理实施细则12.4 系统文件安全12.4.1 控制运营系统上的软件12.4.2 保护系统测试数据12.4.3 对源代码的访问控制目标：目标：控制对系统文件和程序源代码的访问，使控制对系统文件和程序源代码的访问，使ITIT项目及其支持活动安全进行，确保系统文件的安全项目及其支持活动安全进行，确保系统文件的安全性。性。15612.5 开发和支持过程的

123、安全12.5.1 变更控制程序12.5.2 运营系统变更后对应用做技术 评审12.5.3 限制对软件包的变更12.5.4 信息泄漏12.5.5 外包的软件开发目标：目标：维护应用系统软件和信息的安全。应该严格维护应用系统软件和信息的安全。应该严格控制项目和支持环境。控制项目和支持环境。ISO17799:2005 信息安全管理实施细则12.6 技术漏洞管理12.6.1 控制技术漏洞目标：目标：防止因为利用已发布漏洞而实施的破坏。防止因为利用已发布漏洞而实施的破坏。157系统开发安全性的重要提示u 建立安全的软件开发过程和编码规范u 开发一个有关如何利用加密控制对信息进行保护的策略（哪些信息要加密

124、，加密的强度如何，移动介质或传输中的加密，密钥管理，角色和责任，法律法规限制等）u 对密码技术的应用，其关键在于密钥管理： 生成，分发和传输 使用和验证 保存，消除和恢复u 对正式上线的运营系统应严加控制，做好软件开发的变更控制和管理u 不将运营系统上的敏感信息直接用作测试系统u 需要对外包开发提高警惕（代码所属权，知识产权，资格认定，第三方保证，合同中对质量和安全功能的要求，中间审计，安装前测试）ISO17799:2005 信息安全管理实施细则158关于漏洞管理u 为了实施有效的漏洞管理，必须先有一个完整的资产列表，并且需要知道软件厂商、版本号、当前部署状况、软件的责任人等信息u 应该建立漏

125、洞管理相关角色和责任：漏洞监视，漏洞评估，补丁跟踪u 定义新漏洞发现时的通知时限u 对发现漏洞的处理，与变更管理、信息安全事件管理等相关，漏洞管理可以看作是变更管理的一个子集u 补丁安装前必须做相关风险评估和测试u 必须采取相应的审计机制ISO17799:2005 信息安全管理实施细则159练习练习1010：关于系统开发的安全：关于系统开发的安全l l如果你是开发人员，你在工作当中如果你是开发人员，你在工作当中如果你是开发人员，你在工作当中如果你是开发人员，你在工作当中是否考虑到了安全设计和编程？是否考虑到了安全设计和编程？是否考虑到了安全设计和编程？是否考虑到了安全设计和编程？l l一个典型

126、的系统开发的问题（也有一个典型的系统开发的问题（也有一个典型的系统开发的问题（也有一个典型的系统开发的问题（也有外包控制的问题）：从应用软件中外包控制的问题）：从应用软件中外包控制的问题）：从应用软件中外包控制的问题）：从应用软件中引入的后门。引入的后门。引入的后门。引入的后门。ISO17799:2005 信息安全管理实施细则160ISO17799:2005 信息安全管理实施细则13 信息安全事件管理信息安全事件管理13.1 报告信息安全事件和缺陷13.1.1 报告信息安全事件13.1.2 报告安全缺陷13.2 管理信息安全事件和改进13.2.1 责任和程序13.2.2 从信息安全事件中吸取教

127、训13.2.3 证据搜集目标：目标：确保与信息系统相关的信息安全事确保与信息系统相关的信息安全事件和缺陷能够及时发现，以便采取纠正措件和缺陷能够及时发现，以便采取纠正措施。施。目标：目标：确保采取一致和有效的方法来管理确保采取一致和有效的方法来管理信息安全事件。信息安全事件。161信息安全事件管理一般流程ISO17799:2005 信息安全管理实施细则16214 业务连续性管理业务连续性管理14.1 业务连续性管理的信息安全方面14.1.1 在业务连续性管理过程中考虑信息安全14.1.2 业务连续性和风险评估14.1.3 开发和实施包含信息安全的连续性计划14.1.4 业务连续性计划框架14.

128、1.5 测试、维护和再评估业务连续性计划目标：目标：减少业务活动的中断，保护关键业减少业务活动的中断，保护关键业务过程不受重大事故或灾害的影响，确保务过程不受重大事故或灾害的影响，确保其及时恢复。其及时恢复。分析对业务连续性的分析对业务连续性的分析对业务连续性的分析对业务连续性的潜在影响潜在影响潜在影响潜在影响编写，实施，测试和编写，实施，测试和编写，实施，测试和编写，实施，测试和维护业务连续性计划维护业务连续性计划维护业务连续性计划维护业务连续性计划建立计划框架建立计划框架建立计划框架建立计划框架业务连续性管理过程业务连续性管理过程业务连续性管理过程业务连续性管理过程u 理解组织面临的风险，

129、识别关键业务活动和优先次序。u 确认可能对业务造成影响的中断。u 考虑购买合适的保险。u 制订及文档化与业务目标和优先级保持一致的业务连续性战略。u 根据业务连续性战略制定并文档化业务连续性计划。u 定期测试并更新计划和程序。u 明确业务连续性管理的责任。ISO17799:2005 信息安全管理实施细则163关于BCP的重要提示u 有效的业务连续性计划必须包括业务与技术两部分： 业务观点：行政主管必须定义和规划他们的可用性需求，以及达到这些需求所需动用的资源 技术观点：IT管理者必须定义、规划及设计一份业务连续性计划，以达到企业的可用性需求u 灾难恢复的业务观点包括评估发生意外的可能性、风险变

130、成事实后所带来的冲击、以及IT管理阶层的应对措施u 为了有效地对抗灾难，拟定业务需求时应注重于设计出在发生灾难时能够至少涵盖下列部分的完整计划： 响应：发生灾难时，必须立即采取的紧急应变措施 复原：为了从灾难中复原所采取的动作 继续：为了继续正常业务运作所采取的动作 还原：让原来的节点还原成最初状况的过程 责任：个人应对执行哪一部份的计划负责 u BCP负责人必须确认计划实施所需资源：人力、装备、技术、财务ISO17799:2005 信息安全管理实施细则164业业业业务务务务连连连连续续续续性性性性计计计计划划划划框框框框架架架架计划启动条件计划启动条件计划启动条件计划启动条件应急（应急（应急

131、（应急（EmergencyEmergency）程序）程序）程序）程序退却（退却（退却（退却（FallbackFallback）及临时操作程序）及临时操作程序）及临时操作程序）及临时操作程序恢复（恢复（恢复（恢复（ResumptionResumption）程序）程序）程序）程序计划维护时间表计划维护时间表计划维护时间表计划维护时间表意识和教育意识和教育意识和教育意识和教育个人职责个人职责个人职责个人职责ISO17799:2005 信息安全管理实施细则165BCP测试方式ISO17799:2005 信息安全管理实施细则u 针对各种假想场景做桌面测试，展开讨论u 模拟（特别针对承担事后/危机管理角色

132、的人员培训）u 技术恢复测试（确保信息系统能被有效恢复）u 在替换场地做恢复测试u 测试供应商设备和服务（确保所提供的外部服务和产品符合合同承诺）u 排练（测试组织、人员、设备、设施和流程能够应付中断）16615 符合性符合性15.1 符合法律要求15.1.1 识别适用的法律15.1.2 知识产权（IPR）15.1.3 保护组织记录15.1.4 数据保护和个人信息的隐私15.1.5 防止对信息处理设施的滥用15.1.6 加密控制的规定目标：目标：避免违反任何法律、条令、法规或者合同义避免违反任何法律、条令、法规或者合同义务，以及任何安全要求。务，以及任何安全要求。15.2 符合安全策略和标准1

133、5.2.1 符合安全策略和标准15.2.2 技术符合性检查目标：目标：确保遵守组织的安全策略和标准。确保遵守组织的安全策略和标准。15.3 信息系统审计的考虑15.3.1 信息系统审计控制15.3.2 保护信息系统审计工具目标：目标：发挥系统审计过程的最大效用，并把干扰降发挥系统审计过程的最大效用，并把干扰降到最低。到最低。ISO17799:2005 信息安全管理实施细则167ISO17799:2005的内容小结ISO17799:2005 信息安全管理实施细则安全策略安全策略安全策略安全策略 Security policySecurity policy人力资源安全人力资源安全人力资源安全人力资

134、源安全 Human Human resources resources securitysecurity物理与环境安全物理与环境安全物理与环境安全物理与环境安全 Physical and Physical and environmental environmental securitysecurity通信与操作管理通信与操作管理通信与操作管理通信与操作管理 Communications Communications and operations and operations managementmanagement信息系统获取、开发信息系统获取、开发信息系统获取、开发信息系统获取、开发和维护和

135、维护和维护和维护 Information Information systems systems acquisition, acquisition, development and development and maintenancemaintenance组织信息安全组织信息安全组织信息安全组织信息安全 Organizing information securityOrganizing information security资产管理资产管理资产管理资产管理 Asset managementAsset management访问控制访问控制访问控制访问控制 Access controlAcce

136、ss control信息安全事件管理信息安全事件管理信息安全事件管理信息安全事件管理 Information security incident managementInformation security incident management业务连续性管理业务连续性管理业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management符合性符合性符合性符合性 ComplianceCompliance168l l信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理l lISO27001ISO27

137、001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证l l总结和展望总结和展望169包含用于审计的需求规包含用于审计的需求规范，可形成衡量组织范，可形成衡量组织ISMSISMS的基准。的基准。ISO27001l l解释标准的作用和所解释标准的作用和所用的定义用的定义l l解释相关术语解释相关术语l l解释建立和维护文档解释建立和维护文档化的化的ISMSISMS的要求的要求l l列举可用的控制和控列举可用的控制和控制目标制目标l l是依照是依照ISO2700

138、1ISO27001对组织对组织的的ISMSISMS进行评估认进行评估认证的基础证的基础ISO27001:2005信息安全管理体系规范170u ISO27001标准对信息安全管理体系（ISMS）并没有一个十分明确的定义，可以将其理解为组织管理体系的一部分。u ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。u 标准要求的ISMS建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。遵循PDCAu 体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性

139、。u ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。u 一个文档化的ISMS应该阐述：要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。ISO27001 简介ISO27001:2005信息安全管理体系规范171什么是ISMS？u 信息安全管理体系（Information Security Management System）u 在信息安全方面指导和控制组织，用以实现信息安全目标的相互关联和相关作用的一组要素。u 这组要素通常包括： 信息安全组织结构 各种活动和过程 信息安全管理体系文件 信息安全控制措施 人力物力等资源 ISO27001

140、:2005信息安全管理体系规范172ISMS的重要原则u 管理层足够重视 组织保障 指明方向和目标 权威 预算保障，提供所需的资源 监督检查u 需要全员参与 信息安全不仅仅是IT部门的事情 每个员工都应明白随时可能出现的安全问题 每个员工都应具备相关的安全意识和能力 让每个员工都明确自己承担的安全责任u 遵循过程的方法 信息安全是个管理过程 应该系统地识别每项管理活动并加以控制u 需要持续改进 实现信息安全目标的循环活动 信息安全是动态的，时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段u 必须做到文件化 文件的作用：有章可循，有据可查 文件的类型：手册、规范、指

141、南、记录ISO27001:2005信息安全管理体系规范173实施ISMS的过程u 定义ISMS的范围u 定义ISMS策略u 定义一个系统化的风险管理途径u 识别风险u 评估风险u 识别并评价风险处理的可选方案u 选择控制目标和控制措施，以便处理风险u 准备适用性声明（SoA）u 获得管理层批准ISO27001:2005信息安全管理体系规范174ISMS是一个文档化的体系u 对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明（SoA）u 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件u 证据 能够表明组织按照ISO27001要求采取相应步

142、骤而建立了管理框架 各种Records：在操作ISMS过程当中自然产生的证据，可识别过程并显现符合性ISO27001:2005信息安全管理体系规范175ISO27001:2005信息安全管理体系规范简介简介概要过程方法与其他管理体系的兼容性1范围范围1.1 概要1.2 应用2标准引用标准引用3术语和定义术语和定义4信息安全管理体系信息安全管理体系4.1 一般要求4.2 建立并管理ISMS4.2.1 建立ISMS4.2.2 实施和运行ISMS4.2.3 监督和评估ISMS4.2.4 维护和改进ISMS4.3 文件要求4.3.1 概要4.3.2 文件控制4.3.3 记录控制ISO27001:200

143、55 管理责任管理责任5.1 管理承诺5.2 资源管理5.2.1 资源提供5.2.2 培训、意识和资格6 内部内部ISMS审计审计7 对对ISMS的管理评审的管理评审7.1 概要7.2 评审输入7.3 复审输出8 ISMS改进改进8.1 持续改进8.2 纠正措施8.3 预防措施ISO27001:2005附录附录A 控制目标和控制控制目标和控制A.5 安全策略A.6 组织信息安全A.7 资产管理A.8 人力资源管理A.9 物理和环境安全A.10 通信和操作管理A.11 访问控制A.12 信息系统获取、开发和维护A.13 信息安全事件管理A.14 业务连续性管理A.15 符合性附录附录B OECD

144、原则与本标准原则与本标准附录附录C ISO 9001:2000，ISO 14001:1996和本标准和本标准ISO27001:2005176建立建立ISMS环环境境&风险评估风险评估设计设计&实施实施ISMS监视监视&复审复审ISMS改进改进ISMS开发、维护和开发、维护和开发、维护和开发、维护和改进生命周期改进生命周期改进生命周期改进生命周期PlanPlanDoDoCheckCheckActAct利益伙伴利益伙伴利益伙伴利益伙伴信息安全需信息安全需信息安全需信息安全需求和期望求和期望求和期望求和期望利益伙伴利益伙伴利益伙伴利益伙伴得到管理的得到管理的得到管理的得到管理的信息安全信息安全信息安

145、全信息安全PDCA模型在ISMS过程中的运用ISO27001:2005信息安全管理体系规范177PDCA的特点u 顺序进行，周而复始顺序进行，周而复始：解决了一部分问题，可能还有问题没有解决，或者又出现了新的问题，再进行下一个PDCA循环，不断循环u 大环套小环大环套小环：组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层层地解决问题u 阶梯式上升阶梯式上升：每经过一次PDCA循环，都要进行总结，巩固成绩，改进不足，并提出新的目标，再进行下一次PDCA循环ISO27001:2005信息安全管理体系规范1784.1 一般性需求 “ The organization shall d

146、evelop, implement, maintain and continually improve a documented ISMS within the context of the organizations overall business activities and the risk they face. ” 在组织全面的业务活动和风险环境中，组织应该开发、实施、维护并持续改进一个文档化的ISMS。ISO27001:2005信息安全管理体系规范1794.2 建立和管理ISMS（1） 4.2.1 建立ISMS（Plan）： 定义ISMS的范围（从业务、组织、位置、资产和技术等方面

147、考虑） 定义ISMS策略 框架，法律法规和业务上的要求，战略组织和风险管理的环境，风险评估标准，管理层批准 定义系统的风险评估途径 识别风险 识别资产，识别威胁，识别弱点，识别由于资产CIA的丧失而引发的影响 分析并评估风险 评估业务危害，评估威胁事件现实发生的可能性，评估风险等级，确定风险是否可接受 识别并评价风险处理措施 采用恰当的控制，接受可接受的风险，避免风险，转嫁风险 选择用于风险处理的控制目标和控制 取得管理层对残留风险的承认和实施并操作ISMS的授权 准备适用性声明（SoA）ISO27001:2005信息安全管理体系规范180定义ISMS的范围u 确定ISMS范围的依据：组织结构

148、（按部门），所处的地域，业务类别，所采用的技术等u 可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围u 信息安全管理范围必须用正式的文件加以记录u 合适的范围划分对实施信息安全管理，以及各部门管理者和人员恪守职责至关重要ISO27001:2005信息安全管理体系规范181制订信息安全策略1. 1. 目的：目的：信息安全是指保证信息的保密性、完整性和可用性不受信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面的管理。全进行全面的管理。2. 2

149、. 公司总经理张三先生决定在整个公司范围内建立并实公司总经理张三先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视。施信息安全管理体系。要求各部门高度重视。.信息安全策略方针信息安全策略方针信息安全策略方针信息安全策略方针ISO27001:2005信息安全管理体系规范182进行风险评估 组织确认自己所拥有的资产，分析资产所面临的威胁、所具有的弱点、组织确认自己所拥有的资产，分析资产所面临的威胁、所具有的弱点、威胁事件发生的可能性、损害程度等，并最终得出资产所面临的风险等级的威胁事件发生的可能性、损害程度等，并最终得出资产所面临的风险等级的过程。过程。ISO27001:200

150、5信息安全管理体系规范风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/ /资产价值资产价值1123246369224648126121833696121891827183 根据风险评估的根据风险评估的结果，选择风险控制结果，选择风险控制方法，将组织面临的方法，将组织面临的风险控制在可以接受风险控制在可以接受的范围内。的范围内。规避风险规避风险降降低低风风险险转转嫁嫁风风险险接受风险接受风险ISO27001:2005信息安全管理体系规范184选择控制目标和控制措施u 控制目标： 可理解为在一定时间范围内或限定范围内，组织所规定的与信息安全相关的预期应达到的具

151、体要求、标准或结果 信息安全控制目标应该是可测量的u 控制措施： 可实现控制目标的所采取的机制或程序 可以参考全面、成熟、操作性强的一套标准，但最终选择的控制措施应该取决于组织的实际情况ISO27001:2005信息安全管理体系规范185适用性声明（Statement of ApplicabilityStatement of Applicability）u 适用性声明是对组织选择的以适合组织业务目标的控制目标和控制措施的评判，该声明同时也记录了任何被排除的控制措施。u 该声明是一份证明组织如何控制风险的文件，它不应该详细到给那些寻求破坏组织安全的人提供有价值的信息。潜在的贸易伙伴可将其当作附属

152、文件，认证机构可将其作为正式的证书附件。u 适用性声明是联系ISO27001和信息安全管理体系的文件，作为认证参考之用。u 适用性声明应该阐述： 选择的控制目标和控制 选择的原因 列入ISO27001之中，但未被选择的控制，包括排除这些控制的原因ISO27001:2005信息安全管理体系规范186一个适用性声明的例子控制（控制（ISO27001:2005）是否选择是否选择理由理由A.10.4.1 对恶意软件的控制是经风险评估指出，对PC系统和网络服务器具有高的破坏风险。组织广泛实施此基线控制。A.11.4.2 对外部连接用户认证是存在通过拨号非授权访问的高风险。安全策略规定要强制进行身份鉴别。

153、作为基线控制而在整个组织范围内实施。A.12.1.1 安全需求分析和规范是参照功能规范，文档号为XXX.nnn.AAA。A.15.3.2 保护信息系统审计工具否与此领域（应用系统）无关。ISO27001:2005信息安全管理体系规范187没有选择某项控制的原因u 风险问题，风险暴露并未确认u 预算问题，受到财务上的限制u 环境问题，影响到安全保护、气候和空间u 技术问题，有些措施在技术上是不可行的u 文化问题，收到社会因素的限制u 时间问题，有些要求目前无法实施u N/A，不适用u 其他问题ISO27001:2005信息安全管理体系规范1884.2 建立和管理ISMS（2） 4.2.2 实施和

154、运行ISMS（Do）： 制定风险处理计划（Risk Treatment Plan） 识别恰当的管理活动、责任和信息安全风险管理的优先级 实施风险处理计划 实现已识别的控制目标，包括对资金、角色和责任分配的考虑 实施所选的控制措施以满足控制目标 定义对所选控制措施效力进行衡量的方法 实施培训和意识程序 对ISMS运行进行管理 管理资源 实施能够激发安全事件检测和响应的程序和控制ISO27001:2005信息安全管理体系规范1894.2 建立和管理ISMS（3，4） 4.2.3 监督和评估ISMS（Check）： 执行监督程序和控制：发现安全违章 对ISMS的效力进行定期评审（看其是否满足安全策略

155、和目标，安全控制是否有效） 衡量控制效力，验证是否符合安全需求 评估残留风险和可接受风险，考虑到组织、技术、业务等各种变化情况 按照预定计划进行内部ISMS审计 定期对ISMS进行管理评审 记录可能对ISMS的效力或执行力度造成影响的活动和事件 4.2.4 维护和改进ISMS（Act）： 对ISMS实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标ISO27001:2005信息安全管理体系规范1904.3 ISMS的文件要求 4.3.1 ISMS应该包含以下文件： 文档化的安全策略和控制目标的声明 ISMS的范围，支持ISMS的程序和控制 风险评估和风险

156、处理报告 风险处理计划 组织用来确保有效计划、操作和控制其信息安全过程，以及衡量控制效力的文档化的程序 本标准要求的记录 适用性声明 4.3.2 文件控制： ISMS所要求的文档应该妥善保护和控制。组织应建立一个文档化的程序以确定必要的管理活动： 在发布前先批准；进行必要的复审和更新；有效变更控制；确保文档持续有效；确保能够识别外来文档；确保文档分发得到控制；避免对废弃文档的非法访问；确保恰当识别需保留的废弃文档 4.3.3 记录控制： 应该建立并维护记录，以便提供遵守要求和有效操作ISMS的证据。例如访客登记、审计记录等ISO27001:2005信息安全管理体系规范191ISMS的文件体系P

157、olicyScope，RA，SOADescribes processes who, what, when, where.Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements第一级第一级第一级第一级 方针策略方针策略方针策略方针策略Security Manual Security Manual 安全手册安全手册第二级第二级第二级第二级 Procedures Procedures 程序文件程序文件第三级第三级第三级第三级 W

158、ork Instructions, Checklist, Forms, etc.Work Instructions, Checklist, Forms, etc.第四级第四级第四级第四级 Records Records 记录记录ISO27001:2005信息安全管理体系规范1925. 管理责任 5.1 管理层的承诺： 建立信息安全方针策略 确保信息安全目标和规划已经建立 为信息安全分派角色和责任 与重要的组织进行沟通 提供开发、实施、操作和维护ISMS所需的足够的资源 确定可接受的风险水平 引导进行ISMS管理评审 5.2 资源管理：5.2.1 组织应该确定并提供ISMS相关所有活动必要的资源

159、，这些活动包括： 建立、实施、操作和维护ISMS；确保IS程序支持业务需求；识别法律法规和合同要求；正确实施所有的安全控制；执行必要的评审，对结果作出恰当反应；对ISMS进行必要改进5.2.2 通过培训，组织应该确保所有在ISMS中承担了责任的人员能够胜任其职位ISO27001:2005信息安全管理体系规范193ISO27001:2005信息安全管理体系规范6. 内部ISMS审核u 组织应该通过定期的内部审核来确定ISMS的控制目标、控制、过程和程序满足以下要求： 符合本标准和相关法律法规的要求 符合已识别的信息安全需求 得到有效实施和维护 达到预期绩效u 计划审核程序，定义审核标准、范围、频

160、度和方法，任命审核员u ISO19011:2002给管理体系审核提供了指导1947. 对ISMS的管理评审 7.1 管理层应该对组织的ISMS定期进行评审，确保其持续适宜、充分和有效。 评估是否需要对ISMS加以改进，是否需要进行变更，包括安全策略和目标。 7.2 评审输入： ISMS审计和评审的结果 来自利益伙伴的反馈 可以用来改进ISMS性能及效力的技术、产品或程序 预防和纠正措施的状态 在以前的风险评估中并没有充分挖掘的弱点或威胁 效力衡量的结果 来自以前管理评审的跟进活动 任何可能影响ISMS的变化 改进推荐 7.3 评估输出： 管理复审的输出包括任何与改进ISMS相关的决策和活动：改

161、进ISMS效力；更新风险评估；修改影响信息安全的程序；资源需求ISO27001:2005信息安全管理体系规范1958. ISMS的改进 8.1 持续改进： 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS的效力。 8.2 纠正措施： 组织应该采取措施，消除与实施和操作ISMS相关的不一致因素，避免其再次出现。 识别不一致因素；确定原因；评估采取措施防止再次发生的必要性；确定并实施纠正措施；记录结果；复查纠正行动的效力 8.3 预防措施： 为了防止将来出现不一致，组织应该确定防护措施。所采取的预防措施应该与潜在问题的影响相适宜。组织应

162、该基于风险评估的结果来确定预防措施的优先级。 识别潜在的不一致因素；确定并实施必要的预防措施；记录结果；复查所采取的预防措施；识别变化的风险；确保注意力集中在最显著的风险变化上 预防措施通常比纠正性措施更有效ISO27001:2005信息安全管理体系规范196l l信息安全概述信息安全概述l l风险评估与风险管理风险评估与风险管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认证信息安全管理体系认证信息安全管理体系认证信息安全管理体系认证l l总结和展望总结和展望197信息安全管理

163、体系认证认证和认可u 认证（Certification） 第三方依据程序对产品、过程、服务符合规定要求给予书面保证（合格证书）。 认证的基础是标准。 根据对象的不同，认证通常分为产品认证和体系认证。 通过认证，组织可以对外提供某种信任和保证。u 认可（Accreditation） 由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认。 对团体的认可，例如对认证机构的认可。 对个人的认可，例如对审核员资格的认可。u 认证是由第三方进行的，认可是由权威机构进行的；认证证明的是依从性（或者符合性），认可证明的是某种能力。198ISO27001认证和认可u 受认可的认证机构（accr

164、editated certification/registration body）负责评估并认证组织的ISMS是否符合ISO27001 / BS7799-2的要求。认证机构要通过认可，必须向认可机构表明其符合相关国家/国际标准的要求，包括： ISO/IEC Guide 62（1996） General requirements for bodies operating assessment and certification/registration of quality systems EN 45012（1998） General requirements for bodies operat

165、ing assessment and certification/registration of quality systems，欧洲标准，与Guide 62完全相同 EA 7/03 EA Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems（ISMS）（2000年10月之前是c:cure方案）u 国家认可机构负责认可认证机构提供认证服务的能力。u 英国的认可机构是UKAS，荷兰是RvA，瑞典是Sweda

166、c。u 目前，ISMS的认证机构有二十多家，BSI就是其中之一。信息安全管理体系认证199信息安全管理体系认证200选择认证机构选择认证机构信息安全管理体系认证201信息安全管理体系认证通过ISO27001认证的好处u 依据ISO27001对组织的信息安全管理体系（ISMS）进行认证，可以证明组织已经遵照ISO27001标准的要求实施了信息安全管理的体系。u 帮助组织获得最佳的信息安全运作方式。u 保证业务活动的安全。u 降低风险，避免损失。u 保持核心竞争优势。u 提高组织在商业活动中的信誉。u 满足客户的要求。u 保证可持续发展。u 符合法律法规的要求。202信息安全管理体系认证认证的范围

167、u 定义认证范围是让认证机构和审核员确定评估程序的基础。u 定义认证范围时，组织应该考虑： 文档化的适用性声明 组织的相关活动 要包括在内的组织范围 地理位置 信息系统边界、平台和应用 包括在内的支持活动 排除在外的因素u 认证机构在展开认证过程之前将与组织在认证范围上达成一致意见。203信息安全管理体系认证认证之前的准备进行ISO27001认证之前，组织可以参照以下检查列表来做准备：u 董事会和管理层的签署承诺u 已签署并发布的安全策略文档u 已识别的资产u 风险评估的结果文档u 已作出的风险管理决策u 已识别的可用控制u 文档化的适用性声明u 文档化的业务连续性计划，并得到了实施和测试u

168、文档化的ISMS程序，并且发布和实施u 确定ISMS有效性的内部复审204信息安全管理体系认证认证过程选择受认可的认证机构选择受认可的认证机构Phase1：文档审核：文档审核Phase2：现场审查：现场审查维持认证维持认证组织应该向认证机构提供必要的信息 复审风险评估文档、安全策略和适用性声明 复审ISMS的其他文档 ISMS的实施情况，符合性审查 风险管理决策的基础组织被授予证书后，审核组每年都会对其ISMS符合性进行检查。证书三年有效，之后需要再次认证。组织必须向认证机构通报任何变化。预审（预审（Pre-assessment）可选205信息安全管理体系认证文档审核u 一般来说都是现场进行的

169、u 审核ISMS框架，以考查其是否符合ISO27001的4-8部分的要求u 查看策略、范围、风险评估、风险管理、控制选择和适用性声明相关的文件u 审核员或许不会非常深入地查看特定程序文件的细节，但却期望能直接在标准、程序和工作指导书上签署意见符合性审核u 对来自文档审核阶段的不符合项进行究根问底u 审核抽样，以验证ISMS底实施和操作u 审核小组组长会提交一个建议，但并不做最终认证决策u 对于审核期间记录在案的不符合项，组织必须在一个月之内采取纠正性措施206实施ISO27001认证项目的建议过程信息安全管理体系认证207成功的关键因素信息安全管理体系认证u 安全策略、目标和活动应该反映业务目

170、标安全策略、目标和活动应该反映业务目标安全策略、目标和活动应该反映业务目标安全策略、目标和活动应该反映业务目标u 实施信息安全的方法应该与组织的文化保持一致实施信息安全的方法应该与组织的文化保持一致实施信息安全的方法应该与组织的文化保持一致实施信息安全的方法应该与组织的文化保持一致u 来自高级管理层的明确的支持和承诺来自高级管理层的明确的支持和承诺来自高级管理层的明确的支持和承诺来自高级管理层的明确的支持和承诺u 深刻理解安全需求、风险评估和风险管理深刻理解安全需求、风险评估和风险管理深刻理解安全需求、风险评估和风险管理深刻理解安全需求、风险评估和风险管理u 向所有管理者和员工有效地推广安全意

171、识向所有管理者和员工有效地推广安全意识向所有管理者和员工有效地推广安全意识向所有管理者和员工有效地推广安全意识208成功的关键因素（续）u 向所有管理者、员工及签约人分发信息安全策略、向所有管理者、员工及签约人分发信息安全策略、向所有管理者、员工及签约人分发信息安全策略、向所有管理者、员工及签约人分发信息安全策略、指南和标准指南和标准指南和标准指南和标准u 为信息安全管理活动提供资金支持为信息安全管理活动提供资金支持为信息安全管理活动提供资金支持为信息安全管理活动提供资金支持u 提供适当的培训和教育提供适当的培训和教育提供适当的培训和教育提供适当的培训和教育u 建立有效的信息安全事件管理流程建

172、立有效的信息安全事件管理流程建立有效的信息安全事件管理流程建立有效的信息安全事件管理流程u 建立衡量体系，用来评估信息安全管理体系的表建立衡量体系，用来评估信息安全管理体系的表建立衡量体系，用来评估信息安全管理体系的表建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进现，提供反馈建议供改进现，提供反馈建议供改进现，提供反馈建议供改进信息安全管理体系认证209l l信息安全概述信息安全概述l l风险评估与管理风险评估与管理l lISO27001ISO27001简介简介l l信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范l l信息安全管理体系认

173、证信息安全管理体系认证l l总结和展望总结和展望总结和展望总结和展望210总结和展望总结ISO27001的特点u ISO27001并不是系统安全评估的标准 ISO27001从整体角度考虑，提出了构建ISMS的目标和方法，是构建ISMS的指南，但没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和CC等其他评估标准是不同的u ISO27001针对的是信息安全管理，强调连续性，并以控制为手段 所有的安全控制手段都是为构建ISMS服务的u 该标准告诉我们要做什么，但并不限定具体实现的方法和技术 ISO27001提出了可供认证的ISMS（目标），而具体实现这一目标的某些活动，比如风险评估

174、和控制的选择，则可以参照ISO13335这样的信息安全管理指南u 属于风险管理的范畴 ISMS是基于风险评估来建立的，经过了风险评估、风险管理和风险接受三个阶段，并且实现可用性和安全性、投入和效益的平衡u 体现了预防为主的思想，强调全过程和动态的控制 事先预防，将风险控制在可接受范围内，并且在ISMS的全过程中根据新情况调整，进行动态控制211总结和展望ISO27001的预期发展u 2005年，BS7799-2:2002 ISO27001:2005u 2007年，ISO17799:2005 ISO27002u 200x年，ISO27003：ISMS Implementation Guidanceu 200x年，ISO27004：Information Security Management Metrics and Measurementu 200X年，ISO27005：Riks Management212Q&A?