信息安全管理体系ppt模板_第1页
信息安全管理体系ppt模板_第2页
信息安全管理体系ppt模板_第3页
信息安全管理体系ppt模板_第4页
信息安全管理体系ppt模板_第5页
已阅读5页,还剩223页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全管理体系教程2023/4/11课前介绍课程目标课程安排课程内容注意事项学员介绍2023/4/11课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系(ISMS)的方法和步骤2023/4/11课程安排课时:24H课程方法:讲授、小组讨论、练习2023/4/11课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求2023/4/11注意事项积极参与、活跃气氛守时保持安静有问题可随时举手提问2023/4/111.

信息安全基础知识1.1

信息安全的基本概念

1.2

为什么需要信息安全

1.3

实践中的信息安全问题

1.4

信息安全管理的实践经验2023/4/11

请思考:

什么是信息安全?1.1信息安全基本概念2023/4/11什么是信息?ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息:是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在:纸、电子、影片、交谈等2023/4/11小问题:你们公司的Knowledge都在哪里?信息在哪里?2023/4/11什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全:保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会2023/4/11信息安全的特征(CIA)ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征:机密性:确保只有被授权的人才可以访问信息;完整性:确保信息和信息处理方法的准确性和完整性;可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。2023/4/11信息本身信息处理设施信息处理者信息处理过程

机密

可用

完整总结2023/4/11

请思考:

组织为什么要花钱实现信息安全?1.2为什么需要信息安全2023/4/11组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势,树立品牌加强内部管理的要求……2023/4/11法律法规的要求计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定……2023/4/11信息系统使命的要求信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。。。。2023/4/11

请思考:

目前,解决信息安全问题,通常的做法是什么?1.3实践中的信息安全问题2023/4/11“产品导向型”信息安全初始阶段,解决信息安全问题,通常的方法:采购各种安全产品,由产品厂商提供方案;Anti-Virus、Firewall、IDS&Scanner……组织内部安排1-2人兼职负责日常维护,通常来自以技术为主的IT部门;更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……管理和服务跟不上,对采购产品运行的效率和效果缺乏评价通常用漏洞扫描(Scanner)来代替风险评估有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的态度……“头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的协调也是难题2023/4/11信息安全管理ISO17799强调:“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技术和产品是基础,管理是关键;产品和技术,要通过管理的组织职能才能发挥最好的作用;技术不高但管理良好的系统远比技术高但管理混乱的系统安全;先进、易于理解、方便操作的安全策略对信息安全至关重要,也证明了管理的重要;建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会持续安全。2023/4/111.4信息安全管理的实践经验反映组织业务目标的安全方针、目标和活动;符合组织文化的安全实施方法;管理层明显的支持和承诺;安全需求、风险评估和风险管理的正确理解;有效地向所有管理人员和员工推行安全措施;向所有的员工和签约方提供本组织的信息安全方针与标准;提供适当的培训和教育;一整套用于评估信息安全管理能力和反馈建议的测量系统2023/4/112、信息安全管理与信息系统安全保障2.1信息系统的使命2.2信息系统安全保障-模型2.3信息系统安全保障-框架2.4信息系统安全保障-生命周期的保证2.5信息安全管理模型2.6信息安全管理与信息系统安全保障的关系2023/4/112.1信息系统的使命资产可能意识到引起增加利用导致威胁主体威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到使命希望完成到可能阻碍或破坏2023/4/112.2信息系统安全保障-模型2023/4/112.3信息系统安全保障-框架信息系统使命信息系统建模,。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如:ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如:美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则(信息技术系统评估准则)管理准则(信息系统管理评估准则)过程准则(信息系统安全工程评估准则)信息系统安全保障评估准则信息安全管理和管理能力成熟度模型将GB18336从产品和产品系统扩展到信息技术系统安全性评估安全工程过程和能力成熟度模型传统C&A信息系统认证认可和实践信息系统相关基础知识2023/4/112.4信息系统安全保障-生命周期的保证变更应用于系统计划组织开发采购实施交付运行维护废弃建立使命要求建立使命要求审阅业务要求系统需求分析定义运行需求系统体系设计项目与预算管理两种类型:

开发、购买/客户化/集成人员保证(决策人员)技术保证(技术方案安全产品)过程保证(服务能力工程过程)管理保证(安全管理)人员保证(管理/维护/使用人员)人员保证(管理人员)人员保证(实施人员)管理保证(安全管理)管理保证(安全管理)管理保证(安全管理)信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)系统保证信息系统生命周期2023/4/112.5信息安全管理模型信息系统安全管理基础组织体系策略制度遵循性人员安全采购管理投资和预算管理持续性管理环境设备紧急用途和供给变更控制管理信息技术战略规划变更应用于系统计划组织开发采购实施交付运行维护废弃信息技术战略规划系统操作物理访问运行环境设备管理2023/4/112.6信息安全管理与信息系统安全保障的关系信息系统安全保障三大部分:技术保障过程保障管理保障信息安全管理是信息系统安全保障的三大部分之一:管理保障信息安全管理涉及到系统的整个生命周期2023/4/113.信息安全管理体系标准概述3.1

信息安全标准介绍3.2

ISO177993.3

ISO17799的历史及发展3.4

ISO17799:2000的内容框架3.5

BS7799-2:1999的内容框架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之区别2023/4/113.1信息安全标准介绍

信息安全标准管理体系标准2023/4/11信息安全标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408(GB/T18336-2001)ISO177992023/4/11ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构由ISO/ICEJTC1/SC21完成1982年开始,1988年结束,ISO发布了ISO7498-2给出了基于OSI参考模型的7层协议上的安全体系结构其核心内容是:为了保证异构计算机进程与进程之间远距离安全交换信息的安全,它定义了该系统的5大类安全服务,以及提供这些服务的8大类安全机制及相应的安全管理,并可根据具体系统适当的配置于OSI模型的7层协议中。2023/4/11ISO7498-2-安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型2023/4/11ISO13335IT安全管理分为5个部分:ISO/IECTR13335-1:概念和模型ISO/IECTR13335-2:管理和规划ISO/IECTR13335-3:管理技术ISO/IECTR13335-4:安全措施的选择ISO/IECTR13335-5:网络安全性的管理指导由ISO/IECJTC1/SC27完成2023/4/11SSE-CMM信息系统安全工程能力成熟度模型CMM-CapabilityMaturityModel首先用于软件工程;1993年4月,由美国NSA资助,安全业界、DOD、加拿大通信安全机构共同组成项目组,研究把CMM用于安全工程;1996年10月推出第一版,97年4月推出方法(SSAM)第一版;98年底推出第二版,99年4月推出SSAM第二版;用于信息系统安全的工程组织、采购组织和评估机构5个能力级别,11个过程区2003年,出版了SSE-CMMV3.02023/4/115个能力级别:

1级:非正式执行级

2级:计划和跟踪级

3级:充分定义级

4级:量化控制级

5级:持续改进级

代表安全工程组织的成熟度级别11个过程区:

PA01管理安全控制

PA02评估影响

PA03评估安全风险

PA04评估威胁

PA05评估脆弱性

PA06建立保证论据

PA07协调安全

PA08监视安全态势

PA09提供安全输入

PA10指定安全要求

PA11验证和证实安全性

SSE-CMM信息系统安全工程能力成熟度模型(续)2023/4/11ISO15408(GB/T18336)信息技术安全性评估准则通常简称CC-通用准则,ISO15408:1999,GB/T18336:2001;定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准;分为3个部分:第一部分:简介和一般模型第二部分:安全功能要求第三部分:安全保证要求2023/4/11管理体系标准ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业安全卫生管理体系标准ISO17799信息安全管理体系标准2023/4/11ISO/IEC17799:2000Informationtechnology-

Codeofpracticeforinformationsecuritymanagement信息技术-信息安全管理实施细则

3.2ISO/IEC17799:20002023/4/11

历史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的历史及发展2023/4/11BSI简介BSI英国标准协会英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准ISO9000(质量管理体系)ISO14001(环境管理体系)OHSAS18001(职业健康与安全管理体系)QS-9000/ISO/TS16949(汽车供应行业的质量管理体系)TL9000(电信供应行业的质量管理体系)BS7799。2023/4/11

IUG:InternationalUserGroup1997年成立宗旨

促进ISO17799/BS7799的应用和推广促进对信息安全管理体系标准、认证等的理解,服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

2023/4/11ISO17799被各国或地区采用的情况EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中国2023/4/11ISO17799在中国国内从2000年初开始认识ISO17799/BS7799;2000年初开始,国内一些公司和单位进行BS7799的研究和相关课程培训;2002-2003年,我国已经提出了国标化的计划;2023/4/113.4ISO17799:2000的内容框架ISO17799:2000(BS7799-1:1999)

CodeofPracticeforInformationSecurityManagement

信息安全管理实施细则BS7799-2:1999(已经有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem

信息安全管理体系规范2023/4/113.4ISO17799:2000的内容框架(续)Foreword(ISO前言)Introduction(引言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.~12.详细控制目标和控制措施2023/4/113.4ISO17799:2000的内容框架(续)Foreword(ISO前言)

ISO(国际标准化组织)和IEC(国际电工委员会)组成世界性标准化的专门体系。作为ISO或IEC成员的各国团体通过由各自组织设立的技术委员会参与国际标准的开发,处理特殊领域的技术活动。ISO和IEC技术委员会协调共同利益的领域。其它与ISO和IEC有联系的国际组织(官方的和非官方的)也可参加工作。

……2023/4/113.4ISO17799:2000的内容框架(续)Introduction(引言)什么是信息安全为何需要信息安全如何确定安全需求评估安全风险选择控制措施信息安全起点成功的关键因素制定组织自身的指导方针2023/4/113.4ISO17799:2000的内容框架(续)Scope(范围)

本标准为组织中负责信息安全的启动、实现和保持的人员提供了信息安全管理方面的建议。目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台,并建立组织间交易时的信心。本标准所提供的建议应该根据相关法规有选择的使用。2023/4/113.4ISO17799:2000的内容框架(续)2.TermandDefinitions(术语和定义)2.1informationsecurity

信息安全

2.2Riskassessment

风险评估

2.3Riskmanagement

风险管理2023/4/113.4ISO17799:2000的内容框架(续)2.1informationsecurity信息安全

Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.确保只有被授权的人员才可以访问信息。

-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.确保信息及其处理方法的准确性和完整性。

-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.确保被授权的用户在需要时可以访问信息和相关的资产。2023/4/113.4ISO17799:2000的内容框架(续)2.2Riskassessment风险评估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.对信息和信息处理设施所受到的威胁、影响和脆弱性以及发生这些事件的可能性进行评估。2023/4/113.4ISO17799:2000的内容框架(续)2.3Riskmanagement风险管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减小或消除的过程。2023/4/113.4ISO17799:2000的内容框架(续)3.Securitypolicy安全方针4.SecurityOrganizational安全组织5.Assetclassificationandcontrol资产分类与控制6.Personnelsecurity人员安全7.Physicalandenvironmentalsecurity物理和环境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol访问控制10.Systemsdevlopmentandmaintenance系统开发和维护11.Businesscontinuitymanagement业务连续性管理12.Compliance符合性2023/4/11

Foreword(BSI前言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)4.Detailedcontrols(详细控制措施)

3.5BS7799-2:1999的内容框架2023/4/11

1.Scope(范围)BS7799的这一部分提出了建立、实施并记录信息安全管理体系时的具体要求;同时,也提出了各组织根据具体需求采取安全控制措施的要求。

3.5BS7799-2:1999的内容框架(续)2023/4/11

2.TermandDefinitions(术语和定义)2.1statementofapplicability(适用声明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.

根据组织需要对所选的控制目标和控制措施的说明

3.5BS7799-2:1999的内容框架(续)2023/4/11

3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)3.1General(总则)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(实施)3.4Documentation(文档化)3.5Documentcontrol(文件控制)3.6Records(记录)

3.5BS7799-2:1999的内容框架(续)2023/4/11

4.Detailedcontrols(详细控制措施)4.1Securitypolicy安全方针4.2SecurityOrganizational安全组织4.3Assetclassificationandcontrol资产分类与控制4.4Personnelsecurity人员安全4.5Physicalandenvironmentalsecurity物理和环境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol访问控制4.8Systemsdevlopmentandmaintenance系统开发和维护4.9Businesscontinuitymanagement业务连续性管理4.10Compliance符合性

3.5BS7799-2:1999的内容框架(续)2023/4/113.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之区别ISO/IEC17799:2000(BS7799-1:1999)为指南指导如何进行安全管理实践BS7799-2:1999和BS7799-2:2002为标准建立的信息安全管理体系必须符合的要求BS7799-2:2002更接近ISO9000标准的格式控制目标和控制措施作为附录2023/4/114.

信息安全管理体系方法4.1什么是ISMS4.2

ISMS的重要原则4.3

ISMS的实现方法2023/4/11

4.1

什么是ISMS

ISMS:

InformationSecurityManagementSystem

信息安全管理体系ISO9000-2000术语和定义组织organization职责、权限和相互关系得到安排的一组人员及设施,如:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织目标的过程。2023/4/11信息安全管理体系ISMS定义ISMS是:在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括

信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源………2023/4/11要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图信息安全管理体系框图2023/4/114.2ISMS的重要原则

4.2.1PDCA循环

4.2.2过程方法

4.2.3其它重要原则2023/4/11PDCA循环:Plan—Do—Check—Act计划实施检查改进PDAC

4.2.1

PDCA循环2023/4/114.2.1

PDCA循环(续)又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P:计划,方针和目标的确定以及活动计划的制定;

D:执行,具体运作,实现计划中的内容;

C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;

A:改进(或处理),对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个PDCA循环中去解决。2023/4/11PDCA循环的特点一

按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环4.2.1

PDCA循环(续)2023/4/11PDCA循环的特点二

组织中的每个部分,甚至个人,均有一个PDCA循环,大环套小环,一层一层地解决问题。4.2.1

PDCA循环(续)2023/4/11PDCA循环的特点三

每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环。90909090改进执行计划检查CADP达到新的水平改进(修订标准)维持原有水平90909090改进执行计划检查CADP4.2.1

PDCA循环(续)2023/4/11

4.2.2

过程方法定义ISO9000-2000术语和定义过程:一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称之为“过程方法”。2023/4/11活动测量、改进责任人资源记录输入输出过程方法模型:2023/4/11

信息安全管理过程方法信息安全实现是一个大的过程;信息安全实现过程的每一个活动也是一个过程;识别组织实现信息安全的每一个过程;对每一个信息安全过程的实施进行监控和测量;改进每一个信息安全过程。

2023/4/11制定信息安全方针确定ISMS的范围安全风险评估风险管理选择控制目标和控制措施准备适用声明实施测量、改进安全需求安全信息安全管理的过程网络2023/4/11信息安全管理的过程网络将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程,也可用于整个过程网络2023/4/11领导重视√指明方向和目标√权威√预算保障,提供所需的资源√监督检查√组织保障

4.2.3其它重要原则-领导重视2023/4/11

全员参与√信息安全不仅仅是IT部门的事;√让每个员工明白随时都有信息安全问题;√每个员工都应具备相应的安全意识和能力;√让每个员工都明确自己承担的信息安全责任;4.2.3

其它重要原则-全员参与2023/4/11持续改进√信息安全是动态的,时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全目标的循环活动4.2.3

其它重要原则-持续改进2023/4/11

文件化√文件的作用:有章可循,有据可查√文件的类型:手册、规范、指南、记录4.2.3

其它重要原则-文件化

沟通意图,统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用:有章可循,有据可查2023/4/11

文件的类型:手册、规范、指南、记录-

手册:向组织内部和外部提供关于信息安全管理体系的一致信息的文件

-

规范:阐明要求的文件

-

指南:阐明推荐方法和建议的文件

-

记录:为完成的活动或达到的结果提供客观证据的文件

文件化4.2.3

其它重要原则-文件化2023/4/114.3ISMS的实现方法4.3.1ISMS总则4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录2023/4/11

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

组织应该建立并运行一套文件化的ISMS

确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要达到的安全保证程度

3.1General(总则)

4.3.1ISMS总则2023/4/11

建设ISMS的步骤:如下图

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架2023/4/11制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步:第二步:第三步:第四步:第五步:第六步:ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件4.3.2建立ISMS框架2023/4/11信息安全方针

一、目的:信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理,二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视,

第一步制订信息安全方针4.3.2建立ISMS框架

组织应定义信息安全方针。BS7799-2对ISMS的要求:2023/4/11什么是信息安全方针?

信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全管理体系的建立和实施过程。

信息安全方针4.3.2建立ISMS框架

第一步制订信息安全方针2023/4/114.3.2建立ISMS框架

第一步制订信息安全方针要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审信息安全方针2023/4/11目的和意义为组织提供了关注的焦点,指明了方向,确定了目标;确保信息安全管理体系被充分理解和贯彻实施;统领整个信息安全管理体系。4.3.2建立ISMS框架

第一步制订信息安全方针2023/4/11信息安全方针的内容

包括但不限于:组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件4.3.2建立ISMS框架

第一步制订信息安全方针2023/4/11注意事项简单明了易于理解可实施避免太具体4.3.2建立ISMS框架

第一步制订信息安全方针2023/4/114.3.2建立ISMS框架

第二步确定ISMS范围

组织应定义信息安全管理体系的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。

BS7799-2对ISMS的要求:2023/4/11可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理范围;信息安全管理范围必须用正式的文件加以记录。4.3.2建立ISMS框架

第二步确定ISMS范围2023/4/11文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义4.3.2建立ISMS框架

第二步确定ISMS范围ISMS范围文件:2023/4/114.3.2建立ISMS框架

第三步风险评估

组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。BS7799-2对ISMS的要求:2023/4/11是否执行了正式的和文件化的风险评估?是否经过一定数量的员工验证其正确性?风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?风险评估是否定期和适时进行?4.3.2建立ISMS框架

第三步风险评估2023/4/114.3.2建立ISMS框架

第四步风险管理

组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。BS7799-2对ISMS的要求:2023/4/11

根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。4.3.2建立ISMS框架

第四步风险管理2023/4/11是否定义了组织的风险管理方法?是否定义了所需的信息安全保证程度?是否给出了可选择的控制措施供管理层做决定?4.3.2建立ISMS框架

第四步风险管理2023/4/114.3.2建立ISMS框架

第五步选择控制目标和控制措施

组织应选择适当的控制措施和控制目标来满足风险管理的要求,并证明选择结果的正确性。BS7799-2对ISMS的要求:2023/4/11安全问题安全需求控制目标控制措施解决指出定义被满足

第五步选择控制目标和控制措施4.3.2建立ISMS框架选择控制措施的示意图2023/4/11选择的控制措施是否建立在风险评估的结果之上?是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?选择的控制措施是否反应了组织的风险管理战略?针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择4.3.2建立ISMS框架

第五步选择控制目标和控制措施2023/4/11未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-?4.3.2建立ISMS框架

第五步选择控制目标和控制措施2023/4/114.3.2建立ISMS框架

第六步准备适用声明

组织应准备适用声明,记录已选择的控制措施和理由,以及未选择的控制措施及其理由。BS7799-2对ISMS的要求:2023/4/11

在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。未来实现公司ISMS适用声明4.3.2建立ISMS框架

第六步准备适用声明2023/4/11Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.

组织应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据4.10.2条之规定加以验证。

4.10.2安全方针和技术符合性的评审

安全方针的符合性

技术符合性的检查4.3.3ISMS实施BS7799-2对ISMS实施的要求:2023/4/11

信息安全管理体系文件应包括如下方面的信息:按3.2条款规定采取的行动的证据对管理框架的总结,包括适用声明中所列信息安全方针、控制目标和控制措施3.3条规定的实施管理程序,此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序,此程序应对责任和相关措施加以描述4.3.4ISMS体系文件BS7799-2对ISMS文件的要求:2023/4/11

组织要建立和维护一套控制3.4条款中要求的所有文件的流程,应确保这些文件:

随时可得根据组织的安全方针的变化得以定期评审和修订版本要及时更新,并存放在信息安全管理体系的涉及的现场过时后及时撤换过时撤换后对其进行分类存档,用于事后凭据或查阅此类文本应保持整洁、清楚,并标明日期,按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订,要制定一定的流程和职责划分。4.3.5ISMS文件控制BS7799-2对ISMS文件控制的要求:2023/4/11记录作为ISMS运行结果的证据,要求加以保留,以证明是否符合ISMS和组织所提出的要求。记录可为访客记录、审计记录和出入证明等等。各单位应建立并运行合理程序,以确认、维护、保存和处理这些过程是否规范的要求。记录要求清晰可辨,通过其可追溯到所记录的活动情况。记录的保存和维护应当做到随时可得,并不得损坏、磨损或丢失。4.3.6ISMS记录BS7799-2对ISMS记录的要求:2023/4/11

5.1十类控制措施

5.2基本控制措施

5.3ISO17799控制目标和控制措施概述

5.ISO17799中的控制目标和控制措施2023/4/115.1

十类控制措施一、安全方针(SecurityPolicy)(1,2)(附注)二、安全组织(SecurityOrganization)(3,10)三、资产分类与控制(AssetclassificationandControl)(2,3)四、人员安全(PersonnelSecurity)(3,10)五、物理与环境安全(PhysicandEnvironmentSecurity)(3,13)六、通信与运行管理(CommunicationandOperationManagement)(7,24)八、系统开发与维护(Systemdevelopandmaintenance)(5,18)七、访问控制(Accesscontrol)(8,31)九、业务持续性管理(Businesscontinuitymanagement)(1,5)十、符合性(Compliance)(3,11)附注:(m,n)-m:执行目标的数目n:控制方法的数目2023/4/115.1

十类控制措施(续)ISO17799包含了36个控制目标和127个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人2023/4/11

ISO17799推荐了八个控制措施作为信息安全的起始点(StartingPoint),组织可以此为基础建立ISMS。这些控制措施在大多数情况下是普遍适用的。5.2基本控制措施2023/4/11与法律有关的控制措施12.1.4数据保护和个人隐私12.1.3组织记录的保护12.1.2知识产权5.2

基本控制措施-与法律相关的2023/4/11与法律有关的控制措施12.1.4数据保护和个人隐私目标:符合所在国家的数据保护法律和与个人隐私相关的法律数据保护法1998(英国)电子数据保护法(欧盟2002年6月通过)电信服务数据保护法(德国)个人隐私法(美国、加拿大等)电子通信隐私法(美国)5.2

基本控制措施-与法律相关的2023/4/11与法律有关的控制措施12.1.3组织记录的保护目标:保护重要的记录不被丢失、破坏或伪造保留期存储报废处理5.2

基本控制措施-与法律相关的2023/4/11与法律有关的控制措施12.1.2知识产权

版权

软件版权目标:确保使用产品或服务时不违反国家有关知识产权和专属软件产品方面的法律、法规和法令。复制限制许可协议合同要求5.2

基本控制措施-与法律相关的2023/4/11与最佳实践有关的控制措施3.1信息安全方针4.1.3信息安全责任分配6.2.1信息安全教育与培训6.3.1安全事件汇报11.1业务连续性管理

5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施3.1.1

信息安全方针文件目标:为信息安全提供管理指导和支持。

信息安全方针5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施4.1.3

信息安全责任分配目标:分配安全责任,使得信息安全在组织内得以有效管理。和各个系统相关的各种资产和安全程序应给予识别和明确的定义负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案授权级别应清晰定义并记录在案5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施6.2.1

信息安全教育与培训目标:保证使用者有信息安全意识,理解并执行信息安全方针,并有能力胜任信息安全的相关工作。安全意识安全知识5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施6.3.1

安全事件汇报目标:最大程度减小安全事故和故障造成的破坏,并且监控此类事故、从事故中学习。应该建立正式的报告程序,同时建立事故响应程序,阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序,并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后,执行适当的反馈程序,以确保那些报告的事故被通告了结果。5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施11.1

业务连续性管理目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。

5.2

基本控制措施-与最佳实践相关的2023/4/11与最佳实践有关的控制措施11.

业务连续性管理

11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试,维护和重新评估业务连续性计划

测试业务连续性计划

维护和重新评估业务连续性计划5.2

基本控制措施-与最佳实践相关的2023/4/11

10类控制36个控制目标127项控制措施5.3ISO17799控制目标和控制措施概述2023/4/115.3ISO17799控制目标和控制措施概述3.

信息安全方针

目标:为信息安全提供管理指导和支持。

3.1信息安全方针3.1.1信息安全方针文件3.1.2评审与评价2023/4/114.

安全组织

目标:管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时的安全维护把信息处理的责任外包给其他组织时的信息安全性5.3ISO17799控制目标和控制措施概述2023/4/114.

安全组织

4.1信息安全基础结构4.2第三方访问的安全4.3外包5.3ISO17799控制目标和控制措施概述2023/4/114.1信息安全基础结构4.1.1信息安全管理委员会4.1.2信息安全协作4.1.3信息安全责任分配4.1.4信息处理设施的授权过程4.1.5信息安全专家建议4.1.6组织间的合作4.1.7信息安全的独立评审5.3ISO17799控制目标和控制措施概述2023/4/114.2第三方访问的安全4.2.1第三方访问的风险识别

访问类型

访问原因

现场工作的合同方4.2.2第三方合同中的安全要求5.3ISO17799控制目标和控制措施概述2023/4/114.3外包4.3.1外包合同中的安全要求外包合同5.3ISO17799控制目标和控制措施概述2023/4/115.

资产分类与控制

目标:保持对组织资产的适当保护确保信息资产受到适当级别的保护

5.3ISO17799控制目标和控制措施概述2023/4/115.

资产分类与控制

5.1资产责任

5.1.1资产清单5.2信息资产分类

5.2.1分类指南

5.2.2标识和处理绝密机密秘密5.3ISO17799控制目标和控制措施概述2023/4/116.

人员安全

目标:降低人为错误、盗窃、诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系,并在其日常工作过程中树立支持组织安全方针的意识尽量减小安全事件和故障造成的损失,监督此类事件并从中吸取教训5.3ISO17799控制目标和控制措施概述2023/4/116.

人员安全

6.1岗位安全责任和人员录用安全要求6.2用户培训6.3安全事件与故障的响应5.3ISO17799控制目标和控制措施概述2023/4/116.1岗位安全责任和人员录用安全要求6.1.1岗位安全责任6.1.2人员选拔及其原则6.1.3保密协议6.1.4录用条款5.3ISO17799控制目标和控制措施概述2023/4/116.2用户培训6.2.1信息安全教育与培训5.3ISO17799控制目标和控制措施概述2023/4/116.3安全事件与故障响应6.3.1报告安全事件6.3.2报告安全隐患6.3.3报告软件故障6.3.4总结事件教训6.3.5处罚过程5.3ISO17799控制目标和控制措施概述2023/4/117.

物理和环境安全

目标:防止进入业务安全区边界,对信息进行未授权的访问、破坏和干扰防止资产的丢失、损坏或损害,以及业务活动的中断防止信息和信息处理设施遭受损害或被盗5.3ISO17799控制目标和控制措施概述2023/4/117.

物理和环境安全

7.1安全区域7.2设备安全7.3常规控制措施5.3ISO17799控制目标和控制措施概述2023/4/117.1安全区域7.1.1边界7.1.2出入控制7.1.3办公室、房间和设施的安全7.1.4安全区工作守则7.1.5交接区隔离5.3ISO17799控制目标和控制措施概述2023/4/117.2设备安全7.2.1设备安置及其保护7.2.2电源7.2.3线缆安全7.2.4设备维护7.2.5安全区外的设备安全7.2.6设备报废或再利用的安全5.3ISO17799控制目标和控制措施概述2023/4/117.3常规控制措施7.3.1清空桌面和清屏7.3.2资产转移5.3ISO17799控制目标和控制措施概述2023/4/118.

通信和操作管理

目标:确保信息处理设施正确运行与安全运行将系统故障的风险降到最低保护软件和信息的完整性保持信息处理与通信服务的完整性和可用性确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止丢失、修改或误用组织之间交换的信息5.3ISO17799控制目标和控制措施概述2023/4/118.

通信和操作管理

8.1操作程序和责任8.2系统规划和验收8.3恶意软件的防范8.4日常管理8.5网络管理8.6媒体安全8.7信息及软件的交换5.3ISO17799控制目标和控制措施概述2023/4/118.1操作程序和责任8.1.1操作程序文件化8.1.2操作的变更控制8.1.3事件管理程序8.1.4职责划分8.1.5开发设备与操作设备的隔离8.1.6外部设施管理5.3ISO17799控制目标和控制措施概述2023/4/118.2系统规划和验收8.2.1容量规划8.2.2系统验收200120105.3ISO17799控制目标和控制措施概述2023/4/118.3恶意软件的防范8.3.1恶意软件的防范措施5.3ISO17799控制目标和控制措施概述2023/4/118.4日常管理8.4.1信息备份8.4.2操作日志8.4.3错误记录5.3ISO17799控制目标和控制措施概述2023/4/118.5网络管理8.5.1网络控制5.3ISO17799控制目标和控制措施概述2023/4/118.6媒体安全8.6.1可移动的计算机媒体的管理8.6.2媒体处置8.6.3信息处理程序8.6.4系统文档安全5.3ISO17799控制目标和控制措施概述2023/4/118.7信息及软件的交换8.7.1信息及软件交换协议8.7.2媒体传输安全8.7.3电子商务安全8.7.4电子邮件安全8.7.5电子办公系统安全8.7.6公开可用系统8.7.7其它形式的信息交换5.3ISO17799控制目标和控制措施概述2023/4/119.

访问控制

目标:控制对信息的访问防止对信息系统的未授权访问防止未授权的用户访问保护网络服务,控制对内部网络和外部网络服务的访问防止对计算机的未授权访问防止对信息系统内的信息的未授权访问检测未授权的活动确保使用可移动计算机和远程工作设施时的信息的安全5.3ISO17799控制目标和控制措施概述2023/4/119.

访问控制

9.1访问控制的业务需求9.2用户访问管理9.3用户职责9.4网络访问控制9.5操作系统访问控制9.6应用系统访问控制9.7系统访问和使用的监控9.8移动计算和远程工作5.3ISO17799控制目标和控制措施概述2023/4/119.1访问控制的业务需求9.1.1访问控制策略

策略和业务需求

访问控制规则5.3ISO17799控制目标和控制措施概述2023/4/119.2用户访问管理9.2.1用户注册9.2.2特权管理9.2.3用户口令管理9.2.4用户访问权限的评审5.3ISO17799控制目标和控制措施概述2023/4/119.3用户职责9.3.1口令的使用9.3.2无人值守的用户设备5.3ISO17799控制目标和控制措施概述2023/4/119.4网络访问控制9.4.1网络服务使用策略9.4.2强制路径9.4.3外部连接的用户身份认证9.4.4节点认证9.4.5远程诊断端口保护9.4.6网络划分9.4.7网络连接控制9.4.8网络路由控制9.4.9网络服务安全5.3ISO17799控制目标和控制措施概述2023/4/119.5操作系统访问控制9.5.1自动终端识别9.5.2终端登录程序9.5.3用户识别与认证9.5.4口令管理系统9.5.5系统工具的使用9.5.6强制报警9.5.7终端超时9.5.8连接时间的限制5.3ISO17799控制目标和控制措施概述2023/4/119.6应用系统访问控制9.6.1信息访问限制9.6.2敏感系统隔离5.3ISO17799控制目标和控制措施概述2023/4/119.7系统访问和使用的监控9.7.1事件日志9.7.2系统使用的监控

监控程序

风险因素

事件记录与评审9.7.3时钟同步5.3ISO17799控制目标和控制措施概述2023/4/119.8移动计算和远程工作9.8.1移动计算9.8.2远程工作5.3ISO17799控制目标和控制措施概述2023/4/1110.

系统开发和维护

目标:确保信息系统的安全防止丢失,修改或误用应用系统中的用户数据保护信息的机密性、真实性或完整性确保IT项目及其支持活动得以一种安全的方式进行。对系统文件的访问应得到控制维护应用系统软件与信息的安全5.3ISO17799控制目标和控制措施概述2023/4/1110.

系统开发和维护

10.1系统安全需求10.2应用系统安全10.3加密控制10.4系统文件安全10.5开发过程和支持过程的安全5.3ISO17799控制目标和控制措施概述2023/4/1110.1系统安全需求10.1.1安全需求分析及其说明说明书。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

商业情况。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

安全需求。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect,5.3ISO17799控制目标和控制措施概述2023/4/1110.2应用系统安全10.2.1输入数据的确认10.2.2内部处理的控制

风险

检查和控制10.2.3消息验证10.2.4输出数据的确认5.3ISO17799控制目标和控制措施概述2023/4/1110.3加密控制10.3.1加密控制策略10.3.2加密10.3.3数字签名10.3.5密钥管理10.3.4防抵赖10.3.5密钥管理

密钥保护

标准、程序和方法5.3ISO17799控制目标和控制措施概述2023/4/1110.4系统文件安全10.4.1运行软件的控制10.4.2系统测试数据的保护10.4.3源代码的访问控制5.3ISO17799控制目标和控制措施概述2023/4/1110.5开发过程和支持过程的安全10.5.1变更控制程序10.5.2操作系统变更的技术评审10.5.3软件包变更的限制10.5.4隐蔽信道和特洛伊代码10.5.5外包的软件开发5.3ISO17799控制目标和控制措施概述2023/4/1111.

业务连续性管理

目标:防止业务活动的中断,保护关键业务过程免受重大故障或灾难的影响5.3ISO17799控制目标和控制措施概述2023/4/1111.

业务连续性管理

11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试,维护和重新评估业务连续性计划

测试业务连续性计划

维护和重新评估业务连续性计划5.3ISO17799控制目标和控制措施概述2023/4/1112.

符合性

目标:避免违反任何刑法与民法、法律法规责任或合同责任和任何安全要求防止丢失,修改或误用应用系统中的用户数据确保系统符合组织的安全方针和标准尽量提高系统审核过程的效果

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论