ISO27整理信息安全管理体系介绍课件

招商银行信息系统内部审计培训

ISO27001信息安全管理体系介绍

2009年3月1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则几个问题信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息资产信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallbackarrangement）、审核跟踪记录（audittrails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。信息资产类型:信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式：信息资产产生使用存储传输销毁/抛弃信息资产的生命周期：产生使用存贮传输销毁/抛弃什么是信息安全?ISO27001将信息安全定义如下:保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性保密性可用性保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性完整性：保护资产的准确和完整的特性1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息安全管理体系（ISMS）介绍InformationSecurityManagementSystem(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IECJTC1/SC27/WG1（国际标准化组织/国际电工委员会联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南ISO27000系列标准标准序号标准名称发布时间ISO/IEC27000基础与术语起草中，未发布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS实用规则2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS实施指南起草中，未发布ISO/IEC27004ISMSMetricsandMeasurementISMS的测量起草中，未发布ISO/IEC27005InformationSecurityRiskManagement信息安全风险管理2008年6月ISO/IEC27006Certificationand

Registrationprocess审核认证机构要求2007年2月ISO27001的历史等同的国家标准GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则

我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月，经国家标准化管理委员会批准，全国信息安全标准化技术委员会发布两个新的国家标准，并于2008年11月1日起实施。提升竞争力提高合规性满足利益相关方期望实施ISMS的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO27001当前获得ISO27001证书的组织分布(2008年9月)

1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系（InformationSecuritryManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

定义范围和边界定义安全策略定义风险评估方法识别风险识别和评价风险识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准获得管理者对实施和运行ISMS的授权准备适用性声明（SoA）建立ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施和运行ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS制定风险处理计划实施风险处理计划实施培训和意识教育计划管理ISMS的运行管理ISMS的资源应急响应、事故管理监视和评审ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS执行监视与评审程序和其它控制措施ISMS有效性的定期评审测量控制措施的有效性定期实施ISMS内部审核定期进行ISMS管理评审保持和改进ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施已识别的ISMS改进措施采取合适的纠正和预防措施从安全经验中吸取教训向所有相关方沟通措施和改进情况1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则风险的概念风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率上述事件发生之后所带来的影响在ISO/IECGUIDE73将风险定义为：事件的概率及其结果的组合。风险管理的目标风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。风险管理的目标：高影响低概率高影响高概率低影响低概率底影响低概率影响概率控制目标概率信息安全风险管理一般方法资产识别威胁识别分析和评价风险

风险处理计划识别脆弱性当前控制措施分析风险监控、检查与沟通识别威胁威胁威胁可多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径几种常见威胁：自然灾害计算机犯罪员工操作失误商业间谍黑客ISO27001将威胁定义如下：可能导致对系统或组织的损害的不期望事件发生的潜在原因识别脆弱性脆弱性常被成为漏洞几种常见脆弱性：简单口令员工安全意思淡薄第三方缺乏保密协议变更管理薄弱明文传输信息经验表明：大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术脆弱性。ISO27001将脆弱性定义如下：可能会被一个或多个威胁所利用的资产或一组资产的弱点分析当前控制ISO27002将控制定义如下：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。控制措施也用于防护措施或对策的同义词。本步的目标是对已经实现或规划中的安全防护措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）风险的分析与评价风险分析：系统地使用信息来识别风险来源和估计风险风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程存在定性、定量两种风险分析方法实例：风险处理策略经过风险评估后识别出来的风险，接着便是制定其对应的风险处理计划.可能的风险处理计划包括以下四种之一或四种的组合:采取适当的控制措施来降低(reduce)风险。了解并客观地接受(accept)风险,倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。通过放弃当前的某些活动来规避(avoid)风险发生。转嫁(transfer)风险至其它组织，例如保险公司、供应商等。定义风险接收水平风险处理计划完成后的残余风险水平应在可接受风险水平之内初始风险水平（高）可接受的风险水平（Low）残余风险风险级别高中低残余风险风险控制措施风险控制措施控制措施选择

从针对性和实施方式来看，控制措施分三类：管理(Administrative)性:安全策略,流程,组织与职责等操作(Operation)性:人员职责,事故反应,意识培训,系统开发等等技术(Technical)性:加密,访问控制,审计等或者从功能上来分,控制措施类型包括：威慑性(Deterrent):告示、标语预防性(Preventive):培训，操作手册，加密，身份认证检测性(Detective):CCTV,保安，报警纠正性(Corrective):培训，问责，应急响应，灾备风险成本最佳投资点基本原则实施安全控制措施的代价不应该大于要保护的资产的价值选择控制措施时的成本效益分析1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27002信息安全管理体系实用规则一、安全方针（SecurityPolicy）二、组织信息安全（OrganizingInformationSecurity）三、资产管理（AssetManagement）四、人力资源安全（HumanResourceSecurity）五、物理及环境安全(PhysicalandEnvironmentalSecurity)六、通信与操作管理（CommunicationsandOperationsManagement）八、系统获取、开发与维护(InformationSystemAcquisition,DevelopmentandMaintenance)七、访问控制（AccessControl）九、信息安全事件管理（InformationSecurityIncidentManagement）十、业务持续性管理（BusinessContinuityManagement）十一、符合性（Compliance）11个安全域，39个控制目标，133个控制点控制域1：安全方针信息安全方针文件信息安全方针文件的评审1.1信息安全方针

依据业务要求和相关法律法规提供管理指导并支持信息安全

控制域2：组织信息安全信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议2.1内部组织

在组织内管理信息安全与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题2.2组织外部各方保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全控制域3：资产管理资产清单资产责任人资产的合格使用3.1资产责任实现和保持对组织资产的适当保护分类指南信息的标记和处理3.2资产分类确保信息受到适当级别的保护控制域4：人力资源安全角色和职责背景审查任用条款和条件4.1任用之前确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险管理职责信息安全意识、教育和培训纪律处理过程4.2任用中确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险终止职责资产的归还撤销访问权4.3任用的终止或变化确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系控制域5：物理和环境安全物理安全边界物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全5.1安全区域防止对组织场所和信息的未授权物理访问、损坏和干扰设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处置和再利用资产的移动5.2设备安全防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断控制域6：通信和操作管理文件化的操作程序变更管理责任分割开发、测试和运行设施分离6.1操作程序和职责确保正确、安全的操作信息处理设施服务交付第三方服务的监视和评审第三方服务的变更管理6.2第三方服务交付管理实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准容量管理系统验收6.3系统规划和验收将系统失效的风险降至最小控制域6：通信和操作管理（续）控制恶意代码控制移动代码6.4防范恶意和移动代码保护软件和信息的完整性信息备份6.5备份保持信息和信息处理设施的完整性及可用性网络控制网络服务安全6.6网络安全管理确保网络中信息的安全性并保护支持性的基础设施控制域6：通信和操作管理（续）可移动介质的管理介质的处置信息处理程序系统文件安全6.7介质处置防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断信息交换策略和程序交换协议运输中的物理介质电子消息发送业务信息系统6.8信息的交换保持组织内信息和软件交换及与外部组织信息和软件交换的安全电子商务在线交易公共可用信息6.9电子商务服务确保电子商务服务的安全及其安全使用控制域6：通信和操作管理（续）审计日志监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步6.10监视检测未经授权的信息处理活动控制域7：访问控制访问控制策略7.1访问控制的业务要求控制对信息的访问用户注册特殊权限管理用户口令管理用户访问权的复查7.2用户访问管理确保授权用户访问信息系统，并防止未授权的访问口令使用无人值守的用户设备清空桌面和屏幕策略7.3用户职责防止未授权用户对信息和信息处理设施的访问、危害或窃取控制域7：访问控制（续）使用网络服务的策略外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路由控制7.4网络访问控制防止对网络服务的未授权访问安全登录程序用户标识和鉴别口令管理系统系统实用工具的使用会话超时联机时间的限定7.5操作系统访问控制防止对操作系统的未授权访问信息访问限制敏感系统隔离7.6应用和信息访问控制防止对应用系统中信息的未授权访问控制域7：访问控制（续）移动计算和通讯远程工作7.7移动计算和远程工作确保使用移动计算和远程工作设施时的信息安全控制域8：信息系统获取、开发和维护安全要求分析和说明8.1信息系统的安全要求确保安全是信息系统的一个有机组成部分输入数据验证内部处理的控制消息完整性输出数据验证8.2应用中的正确处理防止应用系统中的信息的错误、遗失、未授权的修改及误用使用密码控制的策略密钥管理8.3密码控制通过密码方法保护信息的保密性、真实性或完整性控制域8：信息系统获取、开发和维护（续）运行软件的控制系统测试数据的保护对程序源代码的访问控制8.4系统文件的安全确保系统文件的安全变更控制程序操作系统变更后应用的技术评审软件包变更的限制信息泄露外包软件开发8.5开发和支持过程中的安全维护应用系统软件和信息的安全技术脆弱性的控制8.6技术脆弱性管理降低利用公布的技术脆弱性导致的风险控制域9：信息安全事件管理报告信息安全事态报告安全弱点9.1报告信息安全事态和弱点确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施职责和程序对信息安全事件的总结证据的收集9.2信息安全事件和改进的管理确保采用一致和有效的方法对信息安全事件进行管理控制域10：业务连续性管理业务连续性管理过程中包含的信息安全业务连续性和风险评估制定和实施包含信息安全的连续性计划业务连续性计划框架测试、维护和再评估业务连续性计划10.1业务连续性管理的信息安全方面防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复控制域11：符合性可用法律的识别知识产权（IPR）保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则11.1符合法律要求避免违反任何法律、法令、法规或合同义务，以及任何安全要求符合安全策略和标准技术符合性检查11.2符合安全策略和标准以及技术符合性确保系统符合组织的安全策略及标准信息系统审核控制措施信息系统审核工具的保护11.3信息系统审核考虑将信息系统审核过程