《信息安全管理基础知识课件》由会员分享,可在线阅读,更多相关《信息安全管理基础知识课件(118页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理基础信息安全管理基础中国信息安全测评中心CISP-09-信息安全管理基础2007年7月1信息安全管理基础知识目录目录1信息安全基础知识2信息安全管理与信息系统安全保障3信息安全管理体系标准概述4信息安全管理体系方法2信息安全管理基础知识课程目标课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义 初步掌握建立信息安全管理体系(ISMS)的方法和步骤3信息安全管理基础知识一、信息安全管理基础一、信息安全管理基础4信息安全管理基础知识目录目录1信息安全基础知识信息安全基础知识2信息安全管理与信息
2、系统安全保障3信息安全管理体系标准概述4信息安全管理体系方法5信息安全管理基础知识1. 信息安全基础知识信息安全基础知识 1.1 信息安全的基本概念 1.2 为什么需要信息安全 1.3 实践中的信息安全问题 1.4 信息安全管理的实践经验6信息安全管理基础知识 请思考:请思考: 什么是信息安全?什么是信息安全?1.1 信息安全基本概念信息安全基本概念7信息安全管理基础知识ISO17799中的描述中的描述“Information is an asset which, like other important business assets, has value to an organizatio
3、n and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息:强调信息:是一种资产是一种资产同其它重要的商业资产一样同其它重要的商业资产一样对组织具有价值对组织具有价
4、值 需要适当的保护需要适当的保护以各种形式存在:纸、电子、影片、交谈等以各种形式存在:纸、电子、影片、交谈等什么是信息?什么是信息?8信息安全管理基础知识小问题:小问题:你们公司的Knowledge都在哪里?信息在哪里?信息在哪里?9信息安全管理基础知识什么是信息安全什么是信息安全?nISO17799中的描述中的描述“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and
5、maximize return on investments and business opportunities.”信息安全:信息安全:保护信息免受各方威胁保护信息免受各方威胁确保组织业务连续性确保组织业务连续性将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会获得最大的投资回报和商业机会10信息安全管理基础知识信息安全的特征(信息安全的特征(CIA)nISO17799中的描述中的描述Information security is characterized here as the preservation of:ConfidentialityIn
6、tegrityAvailability信息在安全方面三个特征:信息在安全方面三个特征:机密性:确保只有被授权的人才可以访问信息;机密性:确保只有被授权的人才可以访问信息;完整性:确保信息和信息处理方法的准确性和完整性;完整性:确保信息和信息处理方法的准确性和完整性;可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。 11信息安全管理基础知识信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 机密 可用 完整 总结12信息安全管理基础知识 请思考:请思考: 组织为什么要花钱实现信息安全?组织为
7、什么要花钱实现信息安全?1.2 为什么需要信息安全为什么需要信息安全13信息安全管理基础知识组织自身业务的需要组织自身业务的需要自身业务和利益的要求自身业务和利益的要求客户的要求客户的要求合作伙伴的要求合作伙伴的要求投标要求投标要求竞争优势,树立品牌竞争优势,树立品牌加强内部管理的要求加强内部管理的要求14信息安全管理基础知识法律法规的要求法律法规的要求计算机信息系统安全保护条例计算机信息系统安全保护条例知识产权保护知识产权保护互联网安全管理办法互联网安全管理办法网站备案管理规定网站备案管理规定15信息安全管理基础知识信息系统使命的要求信息系统使命的要求信息系统本身具有特定的使命信息系统本身具
8、有特定的使命信息安全的目的就是使信息系统的使命得到保障信息安全的目的就是使信息系统的使命得到保障。16信息安全管理基础知识 请思考:请思考: 目前,解决信息安全问题,通常的做法是目前,解决信息安全问题,通常的做法是什么?什么?1.3 实践中的信息安全问题实践中的信息安全问题17信息安全管理基础知识“产品导向型产品导向型”信息安全信息安全初始阶段,解决信息安全问题,通常的方法:初始阶段,解决信息安全问题,通常的方法:采购各种安全产品,由产品厂商提供方案;采购各种安全产品,由产品厂商提供方案;Anti-VirusAnti-Virus、FirewallFirewall、IDS & ScannerID
9、S & Scanner组织内部安排组织内部安排1-21-2人兼职负责日常维护,通常来自以技术为主的人兼职负责日常维护,通常来自以技术为主的ITIT部门;部门;更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护存在的问题存在的问题需求难以确定需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度管理和服务跟不上,对采购产品运行的效率和效果缺乏评价管理和服务跟不上,对采购产品运行的效率和效果缺乏评价通常用漏洞扫描(通常用漏洞扫描(ScannerScanner)来代替风险评估)来代替风险评估有哪些不安全的因素(威胁、脆弱性)、信息不安全
10、的影响、对风险的态度有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的态度“头痛医头,脚痛医脚头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的协调也是难题,很难实现整体安全;不同厂商、不同产品之间的协调也是难题18信息安全管理基础知识信息安全管理信息安全管理nISO17799强调:强调:“Information security is a management process, not a technological process.”技术和产品是基础,管理是关键;技术和产品是基础,管理是关键;产品和技术,要通过管理的组织职能才能发挥最好的作用;产品和技术,要通过管
11、理的组织职能才能发挥最好的作用;技术不高但管理良好的系统远比技术高但管理混乱的系统安全;技术不高但管理良好的系统远比技术高但管理混乱的系统安全;先进、易于理解、方便操作的安全策略对信息安全至关重要,先进、易于理解、方便操作的安全策略对信息安全至关重要,也证明了管理的重要;也证明了管理的重要;建立一个管理框架,让好的安全策略在这个框架内可重复实施,建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会持续安全。并不断得到修正,就会持续安全。19信息安全管理基础知识1.4 信息安全管理的实践经验信息安全管理的实践经验反映组织业务目标的安全方针、目标和活动;反映组织业务目标的安
12、全方针、目标和活动; 符合组织文化的安全实施方法;符合组织文化的安全实施方法; 管理层明显的支持和承诺;管理层明显的支持和承诺; 安全需求、风险评估和风险管理的正确理解;安全需求、风险评估和风险管理的正确理解;有效地向所有管理人员和员工推行安全措施;有效地向所有管理人员和员工推行安全措施;向所有的员工和签约方提供本组织的信息安全方针与标准;向所有的员工和签约方提供本组织的信息安全方针与标准;提供适当的培训和教育;提供适当的培训和教育;一整套用于评估信息安全管理能力和反馈建议的测量系统一整套用于评估信息安全管理能力和反馈建议的测量系统20信息安全管理基础知识二、信息安全管理与信息系统安全保障二、
13、信息安全管理与信息系统安全保障21信息安全管理基础知识目录目录1信息安全基础知识2信息安全管理与信息系统安全保障信息安全管理与信息系统安全保障3信息安全管理体系标准概述4信息安全管理体系方法22信息安全管理基础知识2、信息安全管理与信息系统安全保障、信息安全管理与信息系统安全保障2.1信息系统的使命信息系统的使命2.2信息系统安全保障模型信息系统安全保障模型2.3信息系统安全保障框架信息系统安全保障框架2.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证2.5信息安全管理模型信息安全管理模型2.6信息安全管理与信息系统安全保障的关系信息安全管理与信息系统安全保障的关系23信息安全
14、管理基础知识2.1信息系统的使命资产资产可能意识到可能意识到引起引起增加增加利用利用导致导致威胁主体威胁主体威胁威胁所有者所有者风险风险脆弱性脆弱性对策对策可能被减少可能被减少利用利用价值价值希望最小化希望最小化希望滥用或破坏希望滥用或破坏可能具有可能具有减少减少到到到到使命使命希望完成希望完成到到可能阻碍或破坏可能阻碍或破坏24信息安全管理基础知识2.2信息系统安全保障模型技术技术过程过程管理管理人员人员保保证证对对象象生命周期生命周期信信息息特特征征计计划划组组织织开开发发采采购购实实施施交交付付运运行行维维护护废废弃弃机密性机密性完整性完整性可用性可用性技术技术过程过程管理管理人员人员保
15、保障障要要素素生命周期生命周期安安全全特特征征初初始始化化开开发发采采购购实实施施运运行行维维护护废废弃弃机密性机密性完整性完整性可用性可用性25信息安全管理基础知识2.3信息系统安全保障框架技术准则技术准则技术准则技术准则技术架构成熟度级别技术架构成熟度级别技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理准则管理准则管理能力成熟度级别管理能力成熟度级别管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程准则工程准则工程能力成熟度级别工程能力成熟度级别工程能力成熟度级别工程能力成熟度级别信息信息系统系统安全安全保障保障评估评估信息信息系统系统安全安全保障保障评估评估XX信息系统安全
16、保障要求(信息系统安全保障要求(ISPP)XX信息系统安全保障要求(信息系统安全保障要求(ISPP)XX信息系统安全保障目标(信息系统安全保障目标(ISST)XX信息系统安全保障目标(信息系统安全保障目标(ISST)信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障评估方法信息信息系统系统安全安全保障保障能力能力级级ISAL评定评定信息信息系统系统安全安全保障保障能力能力级级ISAL评定评定技术准则技术准则技术准则技术准则技术架构成熟度级别技术架构成熟度级别技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理准则管理准则管理能力成熟度级别管理能力成熟度
17、级别管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程准则工程准则工程能力成熟度级别工程能力成熟度级别工程能力成熟度级别工程能力成熟度级别信息信息系统系统安全安全保障保障评估评估信息信息系统系统安全安全保障保障评估评估XX信息系统安全保障要求(信息系统安全保障要求(ISPP)XX信息系统安全保障要求(信息系统安全保障要求(ISPP)XX信息系统安全保障目标(信息系统安全保障目标(ISST)XX信息系统安全保障目标(信息系统安全保障目标(ISST)信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障评估方法信息信息系统系统安全安全保障保障能力能力级级IS
18、AL评定评定信息信息系统系统安全安全保障保障能力能力级级ISAL评定评定26信息安全管理基础知识2.4信息系统安全保障生命周期的保障变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃建立使命要求建立使命要求建立使命要求建立使命要求审阅业务要求审阅业务要求系统需求分析系统需求分析定义运行需求定义运行需求系统体系设计系统体系设计项目与预算管理项目与预算管理两种类型:两种类型: 开发、购买/客户化/集成人员保证(决策人员)技术保证(技术方案安全产品)过程保证(服务能力工程过程)管理保证(安全管理)人员保证(管理/维护/使用人员)人员保证(管理人员)人
19、员保证(实施人员)管理保证(安全管理)管理保证(安全管理)管理保证(安全管理)信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)保保障障要要素素信信息息系系统统生生命命周周期期27信息安全管理基础知识2.5信息系统安全保障管理模型28信息安全管理基础知识2.6信息安全管理与信息系统安全保障的关系信息系统安全保障三大部分:信息系统安全保障三大部分:技术保障技术保障过程保障过程保障管理保障管理保障信息安全管理是信息系统安全保障的三大部分之一:信息安全管理是信息系统安全保障的三大部分之一:管理保障管理保障信息安全管理涉及到
20、系统的整个生命周期信息安全管理涉及到系统的整个生命周期29信息安全管理基础知识三、信息安全管理体系标准概述三、信息安全管理体系标准概述30信息安全管理基础知识目录目录1信息安全基础知识2信息安全管理与信息系统安全保障3信息安全管理体系标准概述信息安全管理体系标准概述4信息安全管理体系方法31信息安全管理基础知识3.信息安全管理体系标准概述3.1 3.1 信息安全标准介绍信息安全标准介绍3.2 ISO 177993.2 ISO 177993.3 ISO 177993.3 ISO 17799的历史及发展的历史及发展3.4 ISO 17799:20053.4 ISO 17799:2005的内容框架的
21、内容框架3.5 ISO 27001:20053.5 ISO 27001:2005的内容框架的内容框架32信息安全管理基础知识3.1 信息安全标准介绍 信息安全标准信息安全标准 管理体系标准管理体系标准33信息安全管理基础知识信息安全标准信息安全标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM ISO15408(GB/T18336-2001)ISO1779934信息安全管理基础知识ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构开放系统互联安全体系结构由由ISO/ICE JTC1/SC21完成完成1982年开始,年开始,1988年
22、结束,年结束,ISO发布了发布了ISO7498-2给出了基于给出了基于OSI参考模型的参考模型的7层协议上的安全体系结构层协议上的安全体系结构其核心内容是:为了保证异构计算机进程与进程之间远距离安其核心内容是:为了保证异构计算机进程与进程之间远距离安全交换信息的安全,它定义了该系统的全交换信息的安全,它定义了该系统的5大类安全服务,以及提大类安全服务,以及提供这些服务的供这些服务的8大类安全机制及相应的安全管理,并可根据具体大类安全机制及相应的安全管理,并可根据具体系统适当的配置于系统适当的配置于OSI模型的模型的7层协议中。层协议中。35信息安全管理基础知识ISO7498-2安全体系结构安全
23、体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型36信息安全管理基础知识ISO13335 IT安全管理安全管理分为分为5个部分:个部分:ISO/IEC TR 13335-1:概念和模型:概念和模型 ISO/IEC TR 13335-2:管理和规划:管理和规划ISO/IEC TR 13335-3:管理技术:管理技术ISO/IEC TR 13335-4:安全措施的选择:安全措施的选择ISO/IEC TR 13335-5:网络安全性的管理指导:网络安全性的管理指导 由
24、由ISO/IEC JTC1/SC27完成完成37信息安全管理基础知识SSE-CMM 信息系统安全工程能力成熟信息系统安全工程能力成熟度模型度模型CMMCapability Maturity Model 首先用于软件工首先用于软件工程;程;1993年年4月,由美国月,由美国NSA资助,安全业界、资助,安全业界、DOD、加、加拿大通信安全机构共同组成项目组,研究把拿大通信安全机构共同组成项目组,研究把CMM用于用于安全工程;安全工程;1996年年10月推出第一版,月推出第一版,97年年4月推出方法月推出方法(SSAM)第一版;)第一版;98年底推出第二版,年底推出第二版,99年年4月推月推出出SS
25、AM第二版;第二版;用于信息系统安全的工程组织、采购组织和评估机构用于信息系统安全的工程组织、采购组织和评估机构5个能力级别,个能力级别,11个过程区个过程区2003年,出版了年,出版了SSE-CMM V3.038信息安全管理基础知识5个能力级别: 1级:非正式执行级 2级:计划和跟踪级 3级:充分定义级 4级:量化控制级 5级:持续改进级 代表安全工程组织的 成熟度级别11个过程区: PA 01 管理安全控制 PA 02 评估影响 PA 03 评估安全风险 PA 04 评估威胁 PA 05 评估脆弱性 PA 06 建立保证论据 PA 07 协调安全 PA 08 监视安全态势 PA 09 提供
26、安全输入 PA 10 指定安全要求 PA 11 验证和证实安全性 SSE-CMM 信息系统安全工程能力成熟信息系统安全工程能力成熟度模型(续)度模型(续)39信息安全管理基础知识ISO15408(GB/T18336) 信息技术安全信息技术安全性评估准则性评估准则通常简称通常简称CC通用准则,通用准则,ISO15408:1999,GB/T18336:2001;定义了评估信息技术产品和系统安全性所需的基础准定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准;则,是度量信息技术安全性的基准;分为分为3个部分:个部分:第一部分:简介和一般模型第一部分:简介和一般模型第二部分:
27、安全功能要求第二部分:安全功能要求第三部分:安全保证要求第三部分:安全保证要求40信息安全管理基础知识管理体系标准管理体系标准ISO9000族族 质量管理体系质量管理体系ISO14000 环境管理体系标准环境管理体系标准OHSAM18000 职业安全卫生管理体系标准职业安全卫生管理体系标准BS7799 信息安全管理体系标准信息安全管理体系标准ISO17799 信息安全管理实施细则信息安全管理实施细则41信息安全管理基础知识 ISO/IEC17799:2005Information technology Security techniques Code of practice for infor
28、mation security management信息技术信息安全管理实施细则 3.2 ISO/IEC17799:200542信息安全管理基础知识 l 历史BS 7799-2:19992001.6BS7799 Part 2version CCode of practiceDTIBS 7799-Part11993.9BSI1995.2BS 7799-Part21998.2BS 7799-1:19991999.4ISO/IEC2000.12+ISO 177993.3 ISO17799的历史及发展的历史及发展43信息安全管理基础知识BSI简介简介BSI英国标准协会英国标准协会英国标准协会是全球领先
29、的国际标准、产品测试、体系认证机构。英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准发起制定的标准ISO 9000(质量管理体系)(质量管理体系)ISO 14001(环境管理体系)(环境管理体系)OHSAS 18001(职业健康与安全管理体系)(职业健康与安全管理体系)QS-9000 / ISO/TS 16949(汽车供应行业的质量管理体系)(汽车供应行业的质量管理体系)TL 9000(电信供应行业的质量管理体系)(电信供应行业的质量管理体系)BS 7799。44信息安全管理基础知识 IUG:International User Group1997年成立宗旨 促进ISO
30、17799/BS7799的应用和推广促进对信息安全管理体系标准、认证等的理解,服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员Australia Brazil Germany Hong Kong India Ireland JapanKoreaMalaysia The Netherlands New Zealand Norway Poland SingaporeSouth AfricaSweden Switzerland TaiwanUAE UK USA 45信息安全管理基础知识ISO17799被各国或地区采用的情况被各国或地区采用的情况EnglandAustralia
31、New Zealand Brazil Czech RepublicFinland Iceland Ireland Netherlands (SPE 20003) Norway Sweden (SS 627799)Taiwan中国中国46信息安全管理基础知识ISO17799在中国在中国国内从国内从2000年初开始认识年初开始认识ISO17799/BS7799;2000年初开始,国内一些公司和单位进行年初开始,国内一些公司和单位进行BS7799 的研究和相关课程培训;的研究和相关课程培训;20022003年,我国已经提出了国标化的计划;年,我国已经提出了国标化的计划;2005年,年,GB/T 19
32、716 MOD ISO/IEC 17799:200047信息安全管理基础知识ISO/IEC 17799/BS7799的发展趋势的发展趋势2005年6月ISO/IEC 17799:20052005年底BS7799-2 转化为ISO/IEC 27001原定为ISO/IEC 24743 2005年12月BS 7799-3:2005 信息安全风险管理指南20062007年ISO/IEC 27000系列标准48信息安全管理基础知识ISO/IEC 17799:20052000 版本版本2005 版本版本安全方针安全方针安全组织组织信息安全资产分类与控制资产管理人员安全人力资源安全物理和环境安全物理和环境安
33、全通讯和运行管理通讯和运行管理访问控制访问控制系统开发和维护信息系统的获得、开发和维护信息安全事故管理业务持续性管理业务持续性管理符合性符合性49信息安全管理基础知识ISO/IEC 17799:2005修改了控制目标增加了8个新的重新编排5个修改了控制措施保留了116个修改了9个新增17个50信息安全管理基础知识ISO/IEC 27000系列系列1.ISO/IEC 27000原理与词汇2.ISO/IEC 27001ISMS要求3.ISO/IEC 27002信息安全管理实施细则4.ISO/IEC 27003ISMS测量与审核5.ISO/IEC 27004ISMS实施指南6.ISO/IEC 270
34、05信息安全风险管理指南7.BS7799-2ISO/IEC 17799BS7799-351信息安全管理基础知识3.4 ISO17799:2005的内容框架的内容框架Foreword(ISO前言前言)Introduction( 引言引言)1.Scope (范围范围)2.Term and Definitions (术语和定义术语和定义)3.Structure And This Standard(标准的架构)(标准的架构)4.Risk Assessment And Treatment(风险的评估和处理)(风险的评估和处理)5.15. 详细控制目标和控制措施详细控制目标和控制措施52信息安全管理基础知
35、识3.4 ISO17799:2005的内容框架的内容框架(续续)Introduction( 引言引言)什么是信息安全什么是信息安全为何需要信息安全为何需要信息安全如何建立安全需求如何建立安全需求评估安全风险评估安全风险选择控制措施选择控制措施信息安全起点信息安全起点成功的关键因素成功的关键因素制定组织自身的指导方针制定组织自身的指导方针53信息安全管理基础知识5.SECURITY POLICY 安全方针6.ORGANIZATION OF INFORMATION SECURITY 信息安全组织7.ASSET MANAGEMENT 资产管理8.HUMAN RESOURCES SECURITY 人力
36、资源安全9.PHYSICAL AND ENVIRONMENTAL SECURITY 物理和环境安全10.COMMUNICATIONS AND OPERATIONS MANAGEMENT 通信和运行管理11.ACCESS CONTROL 访问控制12.INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE 系统的获取、开发和维护13.INFORMATION SECURITY INCIDENT MANAGEMENT 信息安全故事管理14.BUSINESS CONTINUITY MANAGEMENT 业务连续性管理15.COMPLIA
37、NCE 符合性3.4 ISO17799:2005的内容框架的内容框架(续续)54信息安全管理基础知识十一类控制措施十一类控制措施一、一、 安全方安全方针(SECURITY POLICY )(1,2)(附注)(附注)二、二、 信息信息安全安全组织(ORGANIZATION OF INFORMATION SECURITY )(2,11)三、三、 资产管理管理(ASSET MANAGEMENT)(2,5)四、四、 人力人力资源安全源安全(HUMAN RESOURCES SECURITY) (3,9)五、物理和五、物理和环境安全境安全(PHYSICAL AND ENVIRONMENTAL SECURI
38、TY )(2,13)六、通信和运行管理六、通信和运行管理(COMMUNICATIONS AND OPERATIONS MANAGEMENT) (10,32)八、系八、系统的的获取、开取、开发和和维护(INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE )(6,16)七、七、访问控制控制(ACCESS CONTROL)(7,25)九、九、 信息信息安全故事管理安全故事管理(INFORMATION SECURITY INCIDENT MANAGEMENT)(2,5)十、十、业务连续性管理性管理(BUSINESS CONTINUI
39、TY MANAGEMENT)(1,5)十一、符合性十一、符合性(COMPLIANCE )(3,10)附注:附注:(m,n) m:执行目标的数目:执行目标的数目 n:控制方法的数目:控制方法的数目55信息安全管理基础知识十一类控制措施十一类控制措施(续续)ISO17799包含了包含了39个控制目标和个控制目标和133个控个控制措施制措施不是所有的控制措施都适用于组织的各种情形不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术所描述的控制措施也未考虑组织的环境和适用技术的限制的限制所描述的控制措施并不是必须适用于组织中的所有所描述的控制措施并不是必须适用于组织中的
40、所有人人56信息安全管理基础知识11类39个目标133项措施但这决不是全部!十一类控制措施十一类控制措施(续续)57信息安全管理基础知识 ISO17799:2005推荐了十个控制措施作为信息安全的起始点(Starting Point),组织可以此为基础建立ISMS。 这些控制措施在大多数情况下是普遍适用的。基本控制措施基本控制措施58信息安全管理基础知识与法律有关的控制措施15.1.4 数据保护和个人隐私15.1.3 组织记录的保护15.1.2 知识产权基本控制措施与法律相关的基本控制措施与法律相关的59信息安全管理基础知识与最佳实践有关的控制措施5.1.1 信息安全方针6.1.3 信息安全责
41、任分配8.2.2 信息安全教育与培训12.2 应用的正确处理12.6 技术性脆弱性的管理14业务连续性管理1513.2 安全事件和整改管理 基本控制措施与最佳实践相关的基本控制措施与最佳实践相关的60信息安全管理基础知识3.5 ISO27001:2005的内容框架的内容框架ISO 27001:2005 信息技术-安全技术 信息安全管理体系要求61信息安全管理基础知识 3.5 ISO27001:2005的内容框架的内容框架ISO前言 简介1. 范围2.引用标准3.术语和定义4.信息安全管理体系5.管理职责6.ISMS内部审核7.ISMS管理评审8.ISMS改进 附录A 控制目标和控制措施62信息
42、安全管理基础知识3.5 ISO27001:2005的内容框架的内容框架(续续)4.信息安全管理体系4.1 总要求4.2 建立并管理ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.2 记录控制 63信息安全管理基础知识5.管理职责5.1 管理承诺5.2 资源管理5.2.1 资源提供5.2.2 培训,意识和能力 3.5 ISO27001:2005的内容框架的内容框架(续续)64信息安全管理基础知识3.5 ISO27001:2005的内容框架的内容框架(续续)6. ISMS内部审核7. ISMS管理评审7.1 总则7.2 评审输入7.2 评审输出65信息安全管理基础知识8. IS
43、MS改进8.1 持续改进8.2 纠正措施8.3 预防措施3.5 ISO27001:2005的内容框架的内容框架(续续)66信息安全管理基础知识3.5 ISO27001:2005的内容框架的内容框架(续续)附录A 控制目标和控制措施直接引用了ISO/IEC17799:2005 第5到第15章39个控制目标133个具体的控制措施67信息安全管理基础知识四、信息安全管理体系方法四、信息安全管理体系方法68信息安全管理基础知识目录目录1信息安全基础知识2信息安全管理与信息系统安全保障3信息安全管理体系标准概述4信息安全管理体系方法信息安全管理体系方法69信息安全管理基础知识4. 信息安全管理体系方法4
44、.1 什么是什么是ISMS4.2 ISMS的重要原则的重要原则4.3 ISMS的实现方法的实现方法70信息安全管理基础知识 4.1 什么是ISMS ISMS: Information Security Management System 信息安全管理体系信息安全管理体系ISO9000-2000 术语和定义术语和定义组织 organization职责、权限和相互关系得到安排的一组人员及设施职责、权限和相互关系得到安排的一组人员及设施, 如:公司、集团、商行、企事业单位、如:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。研究机构、慈善机构、代理商、社团、或
45、上述组织的部分或组合。管理 management指挥和控制组织的协调的活动指挥和控制组织的协调的活动体系 system相互关联和相互作用的一组要素相互关联和相互作用的一组要素管理体系 management system建立方针和目标并实现这些目标的体系建立方针和目标并实现这些目标的体系n管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织目标的过程。组织目标的过程。71信息安全管理基础知识信息安全管理体系 ISMS定义定义ISMS是:是:在信息安全方面指挥和控制组织的以
46、实现信息安全目标的相互关联和在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素相互作用的一组要素。信息安全目标应是可测量的信息安全目标应是可测量的要素可能包括要素可能包括 信息安全方针、策略信息安全方针、策略信息安全组织结构信息安全组织结构各种活动、过程各种活动、过程-信息安全控制措施信息安全控制措施-人力、物力等资源人力、物力等资源72信息安全管理基础知识要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图信息安全管理体系框图信息安全管理体系框图信息安全管理体系框图信息安全管理体系框图信息安全管理体系框图73信息安
47、全管理基础知识4.2 ISMS的重要原则 4.2.1 PDCA循环循环 4.2.2 过程方法过程方法 4.2.3 其它重要原则其它重要原则74信息安全管理基础知识PDCA循环:PlanDoCheckAct计划实施检查改进PDAC 4.2.1 PDCA循环75信息安全管理基础知识4.2.1 PDCA循环循环又称又称“戴明环戴明环”,PDCA循环是能使任何一项活动循环是能使任何一项活动有效进行的工作程序有效进行的工作程序: P:计划,方针和目标的确定以及活动计划的制定;:计划,方针和目标的确定以及活动计划的制定; D:执行,具体运作,实现计划中的内容;:执行,具体运作,实现计划中的内容; C:检查
48、,总结执行计划的结果,分清哪些对了,哪些:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;错了,明确效果,找出问题; A:改进(或处理):改进(或处理),对总结检查的结果进行处理,成功对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个重现。对于没有解决的问题,应提给下一个PDCA循环中循环中去解决。去解决。76信息安全管理基础知识PDCA循环的特点一 按顺序进行,它
49、靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环 4.2.1 PDCA循环循环77信息安全管理基础知识PDCA循环的特点二 组织中的每个部分,甚至个人,均有一个PDCA循环,大环套小环,一层一层地解决问题。 4.2.1 PDCA循环循环78信息安全管理基础知识PDCA循环的特点三 每通过一次PDCA 循环,都要进行总结,提出新目标,再进行第二次PDCA 循环。90909090改进改进执行执行计划计划检查检查C CA AD DP P达到新的水平达到新的水平改进改进( (修订标准修订标准) )维持原有水平维持原有水平90909090改进改进执行执行计划计划检查检查C CA AD DP P4
50、.2.1 PDCA循环循环79信息安全管理基础知识 4.2.2 过程方法定义ISO9000-2000术语和定义术语和定义过程:过程: 一组将输入转化为输出的相互关联或相互作用的活动。一组将输入转化为输出的相互关联或相互作用的活动。 过程方法过程方法系统地识别和管理组织所应用的过程,特别是这些过程系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称之为之间的相互作用,称之为“过程方法过程方法” 。80信息安全管理基础知识活动活动测量、改进测量、改进责任人责任人资资 源源记记 录录输入输入输出输出过程方法模型:81信息安全管理基础知识 信息安全管理过程方法信息安全实现是一个大的过程;
51、信息安全实现是一个大的过程;信息安全实现过程的每一个活动也是一信息安全实现过程的每一个活动也是一个过程;个过程;识别组织实现信息安全的每一个过程;识别组织实现信息安全的每一个过程;对每一个信息安全过程的实施进行监控对每一个信息安全过程的实施进行监控和测量;和测量;改进每一个信息安全过程。改进每一个信息安全过程。 82信息安全管理基础知识制定信息安全方针制定信息安全方针确定确定ISMS的范围的范围安全风险评估安全风险评估风险管理风险管理选择控制目标和控制措施选择控制目标和控制措施准备适用声明准备适用声明实 施测量、改进安全需求安全信息安全管理的过程网络83信息安全管理基础知识信息安全管理的过程网
52、络将相互关联的过程作为一个系统来识别、理解和管理将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程,也可用于整个过程网络循环可用于单个过程,也可用于整个过程网络84信息安全管理基础知识领导重视 指明方向和目标 权威 预算保障,提供所需的资源 监督检查 组织保障 4.2.3其它重要原则领导重视85信息安全管理基础知识 全员参与 信息安全不仅仅是IT部门的事; 让每个员工明白随时都有信息安全问题; 每个员工都应具备相应的安
53、全意识和能力; 让每个员工都明确自己承担的信息安全责任;4.2.3 其它重要原则全员参与86信息安全管理基础知识持续改进 信息安全是动态的,时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段 实现信息安全目标的循环活动 4.2.3 其它重要原则持续改进87信息安全管理基础知识 文件化 文件的作用:有章可循,有据可查 文件的类型:手册、规范、指南、记录 4.2.3 其它重要原则文件化沟通意图,统一行动沟通意图,统一行动重复和可追溯重复和可追溯提供客观证据提供客观证据用于学习和培训用于学习和培训 文件的作用:有章可循,有据可查 88信息安全管理基础知识 文件的类型:手册
54、、规范、指南、记录 - - 手册:向组织内部和外部提供关于信息安全管理体系的一致信手册:向组织内部和外部提供关于信息安全管理体系的一致信息的文件息的文件 - - 规范:阐明要求的文件规范:阐明要求的文件 - - 指南:阐明推荐方法和建议的文件指南:阐明推荐方法和建议的文件 - - 记录:为完成的活动或达到的结果提供客观证据的文件记录:为完成的活动或达到的结果提供客观证据的文件 文件化4.2.3 其它重要原则文件化89信息安全管理基础知识4.3 ISMS的实现方法4.3.1 ISMS总则总则4.3.2 建立建立ISMS框架框架4.3.3 ISMS实施实施4.3.4 ISMS体系文件体系文件4.3
55、.5 文件的控制文件的控制4.3.6 记录记录90信息安全管理基础知识 The organization shall establish and maintain documented ISMS. This shall address the assets to be protected, the organizations approach to risk management, the control objectives and controls, and the degree of assurance required. 组织应该建立并运行一套文件化的ISMS 确定组织需要保护的资产
56、确定风险管理的方法 确定风险控制的目标和控制措施 确定要达到的安全保证程度 3.1General(总则总则) 4.3.1 ISMS总则总则91信息安全管理基础知识 建设ISMS的步骤:如下图 3.2Establishingamanagementframework(建立管理框架建立管理框架) 4.3.2 建立建立ISMS框架框架92信息安全管理基础知识制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步:第二步:第三步:第四步:第五步:第六步:ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件 4.3.2 建立建立ISMS框架框架93信
57、息安全管理基础知识信息安全方针信息安全方针 一、目的:信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理, 二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视, 第一步第一步 制订信息安全方针制订信息安全方针 组织应定义信息安全方针。组织应定义信息安全方针。BS7799-2对对ISMS的要求:的要求: 4.3.2 建立建立ISMS框架框架94信息安全管理基础知识什么是信息安全方针?什么是信息安全方针? 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全
58、管理体系的建立和实施过程。 信息安全方针 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2 建立建立ISMS框架框架95信息安全管理基础知识 第一步第一步 制订信息安全方针制订信息安全方针l要经最高管理者批准和发布l体现了最高管理者对信息安全的承诺与支持l要传达给组织内所有的员工l要定期和适时进行评审信息安全方针信息安全方针 4.3.2 建立建立ISMS框架框架96信息安全管理基础知识目的和意义目的和意义l为组织提供了关注的焦点,指明了方向,确定了目标;l确保信息安全管理体系被充分理解和贯彻实施;l统领整个信息安全管理体系。 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2
59、 建立建立ISMS框架框架97信息安全管理基础知识信息安全方针的内容信息安全方针的内容包括但不限于:-组织对信息安全的定义组织对信息安全的定义-信息安全总体目标和范围信息安全总体目标和范围-最高管理者对信息安全的承诺与支持的声明最高管理者对信息安全的承诺与支持的声明-符合相关标准、法律法规、和其它要求的声明符合相关标准、法律法规、和其它要求的声明-对信息安全管理的总体责任和具体责任的定义对信息安全管理的总体责任和具体责任的定义-相关支持文件相关支持文件 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2 建立建立ISMS框架框架98信息安全管理基础知识注意事项注意事项-简单明了简单明了
60、-易于理解易于理解-可实施可实施-避免太具体避免太具体 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2 建立建立ISMS框架框架99信息安全管理基础知识 第二步第二步 确定确定ISMSISMS范围范围 组织应定义信息安全管理体系的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。BS7799-2对对ISMS的要求:的要求: 4.3.2 建立建立ISMS框架框架100信息安全管理基础知识l可以根据组织的实际情况,将组织的一部分定义为信息可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理安全管理范围,也可以将组织整体定义
61、为信息安全管理范围;范围;l信息安全管理范围必须用正式的文件加以记录。信息安全管理范围必须用正式的文件加以记录。 第二步第二步 确定确定ISMSISMS范围范围 4.3.2 建立建立ISMS框架框架101信息安全管理基础知识l文件是否明白地描述了信息安全管理体系的范围文件是否明白地描述了信息安全管理体系的范围l范围的边界和接口是否已清楚定义范围的边界和接口是否已清楚定义 第二步第二步 确定确定ISMSISMS范围范围ISMS范围文件:范围文件: 4.3.2 建立建立ISMS框架框架102信息安全管理基础知识 第三步第三步 风险评估风险评估 组织应进行适当的风险评估,风险评估应识别资产所面对的威
62、胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。BS7799-2对对ISMS的要求:的要求: 4.3.2 建立建立ISMS框架框架103信息安全管理基础知识l是否执行了正式的和文件化的风险评估?l是否经过一定数量的员工验证其正确性?l风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?l风险评估是否定期和适时进行? 第三步第三步 风险评估风险评估 4.3.2 建立建立ISMS框架框架104信息安全管理基础知识 第四步第四步 风险管理风险管理 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。BS7799-2对对ISMS的要求:的要求: 4.3.2 建立建立IS
63、MS框架框架105信息安全管理基础知识 根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。 第四步第四步 风险管理风险管理 4.3.2 建立建立ISMS框架框架106信息安全管理基础知识l是否定义了组织的风险管理方法?l是否定义了所需的信息安全保证程度?l是否给出了可选择的控制措施供管理层做决定? 第四步第四步 风险管理风险管理 4.3.2 建立建立ISMS框架框架107信息安全管理基础知识 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施 组织应选择适当的控制措施和控制目标来满足风险管理的要求,并证明选择结果的正确性。BS7799-2对对ISMS的要求
64、:的要求: 4.3.2 建立建立ISMS框架框架108信息安全管理基础知识解决指出定义被满足 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施选择控制措施的示意图 4.3.2 建立建立ISMS框架框架109信息安全管理基础知识l选择的控制措施是否建立在风险评估的结果之上?l是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?l选择的控制措施是否反应了组织的风险管理战略?l针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施 4.3.2 建立建立ISMS框架框架110信息安
65、全管理基础知识未选择某项控制措施的原因风险原因风险原因- 没有识别出相关的风险没有识别出相关的风险财务原因财务原因- 财务预算的限制财务预算的限制环境原因环境原因- 安全设备、气候、空间等安全设备、气候、空间等技术技术- 某些控制措施在技术上不可行某些控制措施在技术上不可行文化文化- 社会环境的限制社会环境的限制时间时间- 某些要求目前无法实施某些要求目前无法实施其它其它- ? 第五步第五步 选择控制目标和控制措施选择控制目标和控制措施 4.3.2 建立建立ISMS框架框架111信息安全管理基础知识 第六步第六步 准备适用声明准备适用声明 组织应准备适用声明,记录已选择的控制措施和理由,以及未
66、选择的控制措施及其理由。BS7799-2对对ISMS的要求:的要求: 4.3.2 建立建立ISMS框架框架112信息安全管理基础知识 在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。未来实现公司ISMS适用声明 第六步第六步 准备适用声明准备适用声明 4.3.2 建立建立ISMS框架框架113信息安全管理基础知识Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessofthepro
67、ceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.组织应该对所选择的控制目标和控制措施有效的实施。实施程序的组织应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据有效性应依据4.10.2条之规定加以验证。条之规定加以验证。 4.10.2安全方针和技术符合性的评审安全方针和技术符合性的评审4.10.2.1安全方针的符合性安全方针的符合性4.10.2.2技术符合性的检查技术符合性的检查BS7799-2对对ISMS实施的要求:实施的要求: 4.3.3 ISMS实施实施1
68、14信息安全管理基础知识信息安全管理体系文件应包括如下方面的信息:信息安全管理体系文件应包括如下方面的信息:按按3.2条款规定采取的行动的证据条款规定采取的行动的证据对管理框架的总结,包括适用声明中所列信息安全方针、控制目标对管理框架的总结,包括适用声明中所列信息安全方针、控制目标和控制措施和控制措施3.3条规定的实施管理程序,此程序应对责任和相关措施加以描述条规定的实施管理程序,此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序,此程序应对责任和相关措施信息安全管理体系的管理和操作程序,此程序应对责任和相关措施加以描述加以描述BS7799-2对对ISMS文件的要求:文件的要求:
69、 4.3.4 ISMS体系文件体系文件115信息安全管理基础知识组组织织要要建建立立和和维维护护一一套套控控制制3.4条条款款中中要要求求的的所所有有文文件件的的流流程程,应应确确保保这这些些文件:文件:随时可得随时可得根据组织的安全方针的变化得以定期评审和修订根据组织的安全方针的变化得以定期评审和修订版本要及时更新,并存放在信息安全管理体系的涉及的现场版本要及时更新,并存放在信息安全管理体系的涉及的现场过时后及时撤换过时后及时撤换过时撤换后对其进行分类存档,用于事后凭据或查阅过时撤换后对其进行分类存档,用于事后凭据或查阅此类文本应保持整洁、清楚,并标明日期,按分类妥善保存至规定期限到期此类文
70、本应保持整洁、清楚,并标明日期,按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订,要制定一定的流程和职责划分。为止。针对各类文件的建立和修订,要制定一定的流程和职责划分。BS7799-2对对ISMS文件控制的要求:文件控制的要求: 4.3.5 ISMS文件控制文件控制116信息安全管理基础知识记录作为记录作为ISMS运行结果的证据,要求加以保留,以证明是否符运行结果的证据,要求加以保留,以证明是否符合合ISMS和和组织所提出的要求。记录可为访客记录、审计记录和组织所提出的要求。记录可为访客记录、审计记录和出入证明等等。出入证明等等。各单位应建立并运行合理程序,以确认、维护、保存和处理这各单位应建立并运行合理程序,以确认、维护、保存和处理这些过程是否规范的要求。些过程是否规范的要求。记录要求清晰可辨,通过其可追溯到所记录的活动情况。记录记录要求清晰可辨,通过其可追溯到所记录的活动情况。记录的保存和维护应当做到随时可得,并不得损坏、磨损或丢失。的保存和维护应当做到随时可得,并不得损坏、磨损或丢失。BS7799-2对对ISMS记录的要求:记录的要求: 4.3.6 ISMS记录记录117信息安全管理基础知识118信息安全管理基础知识