ISO信息安全管理体系介绍

招商银行信息系统内部审计培训

ISO27001信息安全管理体系介绍

2009年3月1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则几个问题信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息资产信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallbackarrangement）、审核跟踪记录（audittrails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。信息资产类型:信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式：信息资产产生使用存储传输销毁/抛弃信息资产的生命周期：产生使用存贮传输销毁/抛弃什么是信息安全?ISO27001将信息安全定义如下:保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性保密性可用性保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性完整性：保护资产的准确和完整的特性1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息安全管理体系（ISMS）介绍InformationSecurityManagementSystem(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IECJTC1/SC27/WG1（国际标准化组织/国际电工委员会联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南ISO27000系列标准准标准序号标准名称发布时间ISO/IEC27000基础与术语起草中，未发布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS实用规则2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS实施指南起草中，未发布ISO/IEC27004ISMSMetricsandMeasurementISMS的测量起草中，未发布ISO/IEC27005InformationSecurityRiskManagement信息安全风险管理2008年6月ISO/IEC27006Certificationand

Registrationprocess审核认证机构要求2007年2月ISO27001的历史等同的国国家标准准GB/T22080-2008信息技术术安全全技术信信息安安全管理理体系要要求GB/T22081-2008信息技术术安全全技术信信息安安全管理理实用规规则我国已将将ISO27001和ISO27002系列标准准等同转转化为国国家标准准。2008年9月，经国国家标准准化管理理委员会会批准，，全国信信息安全全标准化化技术委委员会发发布两个个新的国国家标准准，并于于2008年11月1日起实施施。提升竞争争力提高合规规性满足利益益相关方方期望实施ISMS的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO27001当前获得得ISO27001证书的组组织分布布(2008年9月)1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则ISO27001信息安全全管理体体系要求求相关方受控的信息安全全信息安全全要求和期期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全全管理体体系（InformationSecuritryManagementSystems）是组织织在整体体或特定定范围内内建立信信息安全全方针和和目标，，以及完完成这些些目标所所用方法法的体系系。它是是直接管管理活动动的结果果，表示示成方针针、原则则、目标标、方法法、过程程、核查查表（Checklists）等要素素的集合合。定义范围围和边界界定义安全全策略定义风险险评估方方法识别风险险识别和评评价风险险识别和评评价风险险处理的的可选措措施为处理风风险选择择控制目目标和控控制措施施获得管理理者对建建议的残残余风险险的批准准获得管理理者对实实施和运运行ISMS的授权准备适用用性声明明（SoA）建立ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施和运运行ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和和运行ISMS制定风风险处处理计计划实施风风险处处理计计划实施培培训和和意识识教育育计划划管理ISMS的运行行管理ISMS的资源源应急响响应、、事故故管理理监视和和评审审ISMS检查Check建立ISMS保持和和改进ISMS监视和和评审ISMS规划Plan实施Do实施和和运行ISMS执行监监视与与评审审程序序和其其它控控制措措施ISMS有效性性的定定期评评审测量控控制措措施的的有效效性定期实实施ISMS内部审审核定期进进行ISMS管理评评审保持和和改进进ISMS检查Check建立ISMS保持和和改进ISMS监视和和评审ISMS规划Plan实施Do实施和和运行ISMS实施已已识别别的ISMS改进措措施采取合合适的的纠正正和预预防措措施从安全全经验验中吸吸取教教训向所有有相关关方沟沟通措措施和和改进进情况况1234信息安安全概概述信息安安全风风险评评估ISMS介绍ISO27001信息安安全管管理体体系要要求目录5ISO27002信息安安全管管理实实用规规则风险的的概念念风险是是指遭遭受损损害或或损失失的可可能性性，是是实现现一个个事件件的不不想要要的负负面结结果的的潜在在因素素。对信息息系统统而言言：两两种因因素造造成对对其使使命的的实际际影响响：一个特特定的的威胁胁源利利用或或偶然然触发发一个个特定定的信信息系系统脆脆弱性性的概概率上述事事件发发生之之后所所带来来的影影响在ISO/IECGUIDE73将风险险定义义为：：事件件的概概率及及其结结果的的组合合。风险管管理的的目标标风险管管理指指标识识、控控制和和减少少可能能影响响信息息系统统资源源的不不确定定事件件或使使这些些事件件降至至最少少的全全部过过程。。风险管管理被被认为为是良良好管管理的的一个个组成成部分分。风险管管理的的目标标：高影响响低概率率高影响响高概率率低影响响低概率率底影响响低概率率影响概率控制目目标概率信息安安全风风险管管理一一般方方法资产识识别威胁识识别分析和和评价价风险风险处处理计划识别脆脆弱性性当前控控制措施分分析风险监监控、、检查查与沟沟通识别威威胁威胁威威胁可可多种种属性性来刻刻画：：威胁胁的主主体（（威胁胁源））、能能力、、资源源、动动机、、途径径几种常常见威威胁：：自然灾灾害计算机机犯罪罪员工操操作失失误商业间间谍黑客ISO27001将威胁胁定义义如下下：可能导导致对对系统统或组组织的的损害害的不不期望望事件件发生生的潜潜在原原因识别脆脆弱性性脆弱性性常被被成为为漏洞洞几种常常见脆脆弱性性：简单口口令员工安安全意意思淡淡薄第三方方缺乏乏保密密协议议变更管管理薄薄弱明文传传输信信息经验表表明：：大多多数重重大的的脆弱弱性通通常是是由于于缺乏乏良好好的流流程或或指定定了不不适当当的信信息安安全责责任才才出现现的，，但是是进行行风险险评估估时往往往过过分注注重技技术脆脆弱性性。ISO27001将脆弱弱性定定义如如下：：可能会会被一一个或或多个个威胁胁所利利用的的资产产或一一组资资产的的弱点点分析当当前控控制ISO27002将控制制定义义如下下：管理风风险的的方法法，包包括策策略、、规程程、指指南、、惯例例或组组织结结构。。它们们可以以是行行政、、技术术、管管理、、法律律等方方面的的。控制措措施也也用于于防护护措施施或对对策的的同义义词。。本步的的目标标是对对已经经实现现或规规划中中的安安全防防护措措施进进行分分析——单位通通过这这些措措施来来减小小或消消除一一个威威胁源源利用用系统统脆弱弱性的的可能能性（（或概概率））风险的的分析析与评评价风险分分析：：系统统地使使用信信息来来识别别风险险来源源和估估计风风险风险评评价:将估计计的风风险与与给定定的风风险准准则加加以比比较以以确定定风险险严重重性的的过程程存在定定性、、定量量两种种风险险分析析方法法实例：：风险处处理策策略经过风风险评评估后后识别别出来来的风风险，，接着着便是是制定定其对对应的的风险险处理理计划划.可能的的风险险处理理计划划包括括以下下四种种之一一或四四种的的组合合:采取适适当的的控制制措施施来降降低(reduce)风险。。了解并并客观观地接接受(accept)风险,倘若他他们清清除的的符合合公司司策略略并在在可接接受风风险范范围之之内，，或者者如果果采取取控制制（control）措施施的话话，成成本太太高。。通过放放弃当当前的的某些些活动动来规规避(avoid)风险发发生。。转嫁(transfer)风险至至其它它组织织，例例如如保险险公司司、供供应商商等。。定义风风险接接收水水平风险处处理计计划完完成后后的残残余风风险水水平应应在可可接受受风险险水平平之内内初始风险水水平（高））可接受受的风风险水水平（（Low）残余风风险风险级级别高中低残余风风险风险控控制措措施风险控控制措措施控制措措施选选择从针对对性和和实施施方式式来看看，控控制措措施分分三类类：管理(Administrative)性:安全策策略,流程,组织与与职责责等操作(Operation)性:人员职职责,事故反反应,意识培培训,系统开开发等等等技术(Technical)性:加密,访问控控制,审计等等或者从从功能能上来来分,控制措措施类类型包包括：：威慑性性(Deterrent):告示、、标语语预防性性(Preventive):培训，，操作作手册册，加加密，，身份份认证证检测性性(Detective):CCTV,保安，，报警警纠正性性(Corrective):培训，，问责责，应应急响响应，，灾备备风险成本最佳投投资点点基本原原则实施安安全控控制措措施的的代价价不应应该大大于要要保护护的资资产的的价值值选择控控制措措施时时的成成本效效益分分析1234信息安安全概概述信息安安全风风险评评估ISMS介绍ISO27001信息安安全管管理体体系要要求目录5ISO27002信息安安全管管理实实用规规则ISO27002信息安安全管管理体体系实实用规规则一、安全方针（SecurityPolicy）二、组织信息安全（OrganizingInformationSecurity）三、资产管理（AssetManagement）四、人力资源安全（HumanResourceSecurity）五、物理及环境安全(PhysicalandEnvironmentalSecurity)六、通信与操作管理（CommunicationsandOperationsManagement）八、系统获取、开发与维护(InformationSystemAcquisition,DevelopmentandMaintenance)七、访问控制（AccessControl）九、信息安全事件管理（InformationSecurityIncidentManagement）十、业务持续性管理（BusinessContinuityManagement）十一、符合性（Compliance）11个安全全域，，39个控制制目标标，133个控制制点控制域域1：安全全方针针信息安安全方方针文文件信息安安全方方针文文件的的评审审1.1信息安安全方方针依据业业务要要求和和相关关法律律法规规提供供管理理指导导并支支持信信息安安全控制域域2：组织织信息息安全全信息安安全的的管理理承诺诺信息安安全协协调信息安全全职责的的分配信息处理理设施的的授权过过程保密性协协议2.1内部组织织在组织内内管理信信息安全全与外部各各方相关关风险的的识别处理与顾顾客有关关的安全全问题处理第三三方协议议中的安安全问题题2.2组织外部部各方保持组织织的被外外部各方方访问、、处理、、管理或或与外部部进行通通信的信信息和信信息处理理设施的的安全控制域3：资产管管理资产清单单资产责任任人资产的合合格使用用3.1资产责任任实现和保保持对组组织资产产的适当当保护分类指南南信息的标标记和处处理3.2资产分类确保信息息受到适适当级别别的保护护控制域4：人力资资源安全全角色和职职责背景审查查任用条款款和条件件4.1任用之前前确保雇员员、承包包方人员员和第三三方人员员理解其其职责、、考虑对对其承担担的角色色是适合合的，以以降低设设施被窃窃、欺诈诈和误用用的风险险管理职责责信息安全全意识、、教育和和培训纪律处理理过程4.2任用中确保所有有的雇员员、承包包方人员员和第三三方人员员知悉信信息安全全威胁和和利害关关系、他他们的职职责和义义务、并并准备好好在其正正常工作作过程中中支持组组织的安安全方针针，以减减少人为为过失的的风险终止职责责资产的归归还撤销访问问权4.3任用的终止或变化确保雇员员、承包包方人员员和第三三方人员员以一个个规范的的方式退退出一个个组织或或改变其其任用关关系控制域5：物理和和环境安安全物理安全全边界物理入口口控制办公室、、房间和和设施的的安全保保护外部和环环境威胁胁的安全全防护在安全区区域工作作公共访问问、交接接区安全全5.1安全区域域防止对组组织场所所和信息息的未授授权物理理访问、、损坏和和干扰设备安置置和保护护支持性设设施布缆安全全设备维护护组织场所所外的设设备安全全设备的安安全处置置和再利利用资产的移移动5.2设备安全防止资产产的丢失失、损坏坏、失窃窃或危及及资产安安全以及及组织活活动的中中断控制域6：通信和和操作管管理文件化的的操作程程序变更管理理责任分割割开发、测测试和运运行设施施分离6.1操作程序序和职责责确保正确确、安全全的操作作信息处处理设施施服务交付付第三方服服务的监监视和评评审第三方服服务的变变更管理理6.2第三方服务交付管理实施和保保持符合合第三方方服务交交付协议议的信息息安全和和服务交交付的适适当水准准容量管理理系统验收收6.3系统规划和验收将系统失失效的风风险降至至最小控制域6：通信和和操作管管理（续续）控制恶意意代码控制移动动代码6.4防范恶意意和移动动代码保护软件件和信息息的完整整性信息备份份6.5备份保持信息息和信息息处理设设施的完完整性及及可用性性网络控制制网络服务务安全6.6网络安全全管理确保网络络中信息息的安全全性并保保护支持持性的基基础设施施控制域6：通信和和操作管管理（续续）可移动介介质的管管理介质的处处置信息处理理程序系统文件件安全6.7介质处置置防止资产产遭受未未授权泄泄露、修修改、移移动或销销毁以及及业务活活动的中中断信息交换换策略和和程序交换协议议运输中的的物理介介质电子消息息发送业务信息息系统6.8信息的交换保持组织织内信息息和软件件交换及及与外部部组织信信息和软软件交换换的安全全电子商务务在线交易易公共可用用信息6.9电子商务务服务确保电子商务务服务的安全全及其安全使使用控制域6：通信和操作作管理（续））审计日志监视系统的使使用日志信息的保保护管理员和操作作员日志故障日志时钟同步6.10监视检测未经授权权的信息处理理活动控制域7：访问控制访问控制策略略7.1访问控制的业业务要求控制对信息的的访问用户注册特殊权限管理理用户口令管理理用户访问权的的复查7.2用户访问管理理确保授权用户户访问信息系系统，并防止止未授权的访访问口令使用无人值守的用用户设备清空桌面和屏屏幕策略7.3用户职责防止未授权用用户对信息和和信息处理设设施的访问、、危害或窃取取控制域7：访问控制（（续）使用网络服务务的策略外部连接的用用户鉴别网络上的设备备标识远程诊断和配配置端口的保保护网络隔离网络连接控制制网络路由控制制7.4网络访问控制制防止对网络服服务的未授权权访问安全登录程序序用户标识和鉴鉴别口令管理系统统系统实用工具具的使用会话超时联机时间的限限定7.5操作系统访问控制防止对操作系系统的未授权权访问信息访问限制制敏感系统隔离离7.6应用和信息访问控制防止对应用系系统中信息的的未授权访问问控制域7：访问控制（（续）移动计算和通通讯远程工作7.7移动计算和远远程工作确保使用移动动计算和远程程工作设施时时的信息安全全控制域8：信息系统获取取、开发和维维护安全要求分析析和说明8.1信息系统的安安全要求确保安全是信信息系统的一一个有机组成成部分输入数据验证证内部处理的控控制消息完整性输出数据验证证8.2应用中的正确处理防止应用系统统中的信息的的错误、遗失失、未授权的的修改及误用用使用密码控