Download
1 / 111
1.18k likes | 1.43k Views
信息安全管理体系. 培训机构名称 讲师名字. 信息安全管理的作用. 风险管理的概念和作用. 过程方法与 PDCA 循环. 安全管理控制措施的概念和作用. 建立、运行、评审与改进 ISMS. 课程 内容. 信息安全管理 基本概念. 信息安全管理体系. 信息 安全 管理体系建设. 知识体. 知识子域. 知识域. 知识域:信息安全管理基本概念. 知识子域: 信息安全管理的作用 理解信息安全“技管并重”原则的意义 理解成功实施信息安全管理工作的关键因素 知识子域: 风险管理的概念和作用
E N D
信息安全管理体系 培训机构名称 讲师名字
信息安全管理的作用 风险管理的概念和作用 过程方法与PDCA循环 安全管理控制措施的概念和作用 建立、运行、评审与改进ISMS 课程内容 信息安全管理 基本概念 信息安全管理体系 信息安全 管理体系建设 知识体 知识子域 知识域
知识域:信息安全管理基本概念 • 知识子域: 信息安全管理的作用 • 理解信息安全“技管并重”原则的意义 • 理解成功实施信息安全管理工作的关键因素 • 知识子域: 风险管理的概念和作用 • 理解信息安全风险的概念:资产价值、威胁、脆弱性、防护措施、影响、可能性 • 理解风险评估是信息安全管理工作的基础 • 理解风险处置是信息安全管理工作的核心 • 知识子域: 信息安全管理控制措施的概念和作用 • 理解安全管理控制措施是管理风险的具体手段 • 了解11个基本安全管理控制措施的基本内容 3
信息安全管理 一、信息安全管理概述 二、信息安全管理体系 三、信息安全管理体系建立 四、信息安全管理控制规范 4
一、信息安全管理概述 • (一)信息安全管理基本概念 • 1、信息安全 • 2、信息安全管理 • 3、基于风险的信息安全 • (二)信息安全管理的状况 • 1、信息安全管理的作用 • 2、信息安全管理的发展 • 3、信息安全管理的标准 • 4、成功实施信息安全管理的关键 5
(一)信息安全管理基本概念 • 1、信息安全 • 2、信息安全管理 • 3、基于风险的信息安全 6
1、信息安全 7 信息:信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护。 信息安全:信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的保密性、完整性和可用性不被破坏。
1、信息安全 8
1、信息安全-保密性 9 保密性 确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。
1、信息安全-完整性 10 完整性 保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。
1、信息安全-可用性 11 可用性 确保那些已被授权的用户在他们需要的时候,确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候,可以立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。
2、信息安全管理 统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。 信息安全是一个多层面、多因素的过程,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全水平。 12
2、信息安全管理 13 正确的做法是参考国内外相关信息安全标准与最佳实践过程,根据组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的保密性、完整性和可用性。
2、信息安全管理 过程 • 测量 • 变化? • 拥有者 • 关键活动 • 经 营 • 生 产 • 输入 • 输出 • 资 源 • 标 准 • 记录 • ·立法 • ·信息输入 • ·摘要 组织 目标 规则 人员 • 组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动 • 信息安全管理工作的对象 14
2、信息安全管理 15 信息安全管理是通过维护信息的保密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制;是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动,有效的信息安全管理要尽量做到在有限的成本下,保证安全风险控制在可接受的范围。
3、基于风险的信息安全 16 (1)安全风险的基本概念 (2)信息安全的风险模型 (2)基于风险的信息安全
(1)安全风险的基本概念 • 资产 • 资产是任何对组织有价值的东西 • 信息也是一种资产,对组织具有价值 • 资产的分类 • 电子信息资产 • 纸介资产 • 软件资产 • 物理资产 • 人员 • 服务性资产 • 公司形象和名誉 • ……
(1)安全风险的基本概念 • 威胁 • 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件 • 威胁是利用脆弱性来造成后果 • 威胁举例 • 黑客入侵和攻击病毒和其他恶意程序 • 软硬件故障人为误操作 • 盗窃网络监听 • 供电故障后门 • 未授权访问…… 自然灾害如:地震、火灾
(1)安全风险的基本概念 • 脆弱性 • 是与信息资产有关的弱点或安全隐患。 • 脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。 • 脆弱性举例 • 系统漏洞程序Bug • 专业人员缺乏不良习惯 • 缺少审计缺乏安全意识 • 后门 • 物理环境访问控制措施不当……
(1)安全风险的基本概念 • 安全控制措施 • 根据安全需求部署的,用来防范威胁,降低风险的措施 • 安全控制措施举例 • 管理措施 • 安全规章 • 安全组织 • 人员培训 • 运行维护 • …… • 技术措施 • 防火墙 • 防病毒 • 入侵检测 • 灾备系统 • ……
(2)信息安全的风险模型 没有绝对的安全,只有相对的安全 • 信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。 21
(3)基于风险的信息安全 信息安全追求目标 获得信息安全方式 • 确保业务连续性 • 业务风险最小化 • 保护信息免受各种威胁的损害 • 投资回报和商业机遇最大化 • 实施一组合适的控制措施,包括策略、过程、规程、组织结构以及软件和硬件功能。 22
(3)风险评估是信息安全管理的基础 • 风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行界定。 • 信息安全管理体系的建立需要确定信息安全需求 • 信息安全需求获取的主要手段就是安全风险评估 • 信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。 23
(4)风险处置是信息安全管理的核心 • 风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合。 • 控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。 • 信息安全管理体系的核心就是这些最佳控制措施集合的。 24
(二)信息安全管理的状况 • 1、信息安全管理的作用 • 2、信息安全管理的发展 • 3、信息安全管理有关标准 • 4、成功实施信息安全管理的关键 25
1、信息安全管理的作用 保险柜就一定安全吗? • 如果你把钥匙落在锁眼上会怎样? • 技术措施需要配合正确的使用才能发挥作用 26
WO!3G 1、信息安全管理的作用 防火墙能解决这样的问题吗? 精心设计的网络防御体系,因违规外连形同虚设
应对风险需要人为的管理过程 信息系统是人机交互系统 设备的有效利用是人为的管理过程 1、信息安全管理的作用 “坚持管理与技术并重”是我国加强信息安全保障工作的主要原则
2、信息安全管理的发展-1 29 • ISO/IEC TR 13335 • 国际标准化组织在信息安全管理方面,早在1996年就开始制定《信息技术信息安全管理指南》(ISO/IEC TR 13335),它分成五个部分: • 《信息安全的概念和模型》 • 《信息安全管理和规划》 • 《信息安全管理技术》 • 《基线方法》 • 《网络安全管理指南》
2、信息安全管理的发展-2 30 • BS 7799 • 英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS 7799),BS 7799分为两个部分: • BS 7799-1《信息安全管理实施规则》和BS 7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》(BS 7799-2:2002)。 • BS 7799将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前,在BS7799-2中,提出了如何了建立信息安全管理体系的步骤。
3、国内外信息安全管理标准 33 • (1)国际信息安全管理标准 • 国际信息安全标准化组织 • 国际信息安全管理标准 • (2)国内信息安全管理标准 • 国内信息安全标准化组织 • 国内信息安全管理标准
国际信息安全标准化组织 34
国际信息安全管理标准-1 35
国际信息安全管理标准-2 36
国际信息安全管理标准-3 37
国内信息安全标准化组织 38
国内信息安全管理标准-1 WG7组已有的标准 39
国内信息安全管理标准-2 WG7组研究中的标准 40
国内信息安全管理标准-3 41
4、实施信息安全管理的关键成功因素 理解组织文化 得到高层承诺 做好风险评估 整合管理体系 积极有效宣贯 纳入奖惩机制 持续改进体系 42
二、信息安全管理体系 (一)什么是信息安全管理体系 (二)信息安全管理体系的框架 (三)信息安全管理过程方法要求 (四)信息安全管理控制措施要求 43
(一)什么是信息安全管理体系 • 1、信息安全管理体系的定义 • 2、信息安全管理体系的特点 • 3、信息安全管理体系的作用 • 4、信息安全管理体系的文件 44
1、信息安全管理体系的定义 信息安全管理体系(ISMS:InformationSecurityManagementSystem)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接 管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 45
2、信息安全管理体系的特点 信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系; 体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求; 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务的持续性。 46
3、信息安全管理体系的作用 对组织的关键信息资产进行全面系统的保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 促使管理层贯彻信息安全管理体系,强化员工的信息安全意识,规范组织信息安全行为; 使组织的生意伙伴和客户对组织充满信心; 组织可以按照安全管理,达到动态的、系统地、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性。 47
4、信息安全管理体系的理念 各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,如果忽略了组织中最活跃的因素——人的作用,则信息安全管理体系是不完备的,考察国内外的各种信息安全事件,不难发现,在信息安全时间表象后面其实都是人的因素在起决定作用。 48
4、信息安全管理体系的理念 在信息安全问题上,要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。 49
5、信息安全管理体系的过程 完善信息安全治理结构 风险评估 安全规划 持续改进 信息安全管理框架 调整 管理措施 技术手段 信息系统安全审计 符合安全控制标准? 监控业务与安全环境 50
