2015版-CISP0301信息安全管理基礎(chǔ)與管理體系_v3.0.ppt

信息安全管理基礎(chǔ)與管理體系 培訓(xùn)機(jī)構(gòu)名稱講師姓名 版本 3 0發(fā)布日期 2014 12 1生效日期 2015 1 1 課程內(nèi)容 2 信息安全管理基礎(chǔ) 知識(shí)體 知識(shí)域 信息安全管理方法與實(shí)施 知識(shí)子域 信息安全管理概述 知識(shí)域 信息安全管理概述 知識(shí)子域 信息安全管理基本概念理解管理 信息安全管理的概念 理解信息安全管理的對(duì)象理解以建立體系的方式實(shí)施信息安全管理的必要性理解體系 管理體系 信息安全管理體系的概念 3 信息安全管理的定義 信息信息安全管理信息安全管理 4 管理 信息安全管理 管理指揮和控制組織的協(xié)調(diào)的活動(dòng) ISO9000 2005質(zhì)量管理體系基礎(chǔ)和術(shù)語 管理者為了達(dá)到特定目的而對(duì)管理對(duì)象進(jìn)行的計(jì)劃 組織 指揮 協(xié)調(diào)和控制的一系列活動(dòng) 信息安全管理管理者為實(shí)現(xiàn)信息安全目標(biāo) 信息資產(chǎn)的CIA等特性 以及業(yè)務(wù)運(yùn)作的持續(xù) 而進(jìn)行的計(jì)劃 組織 指揮 協(xié)調(diào)和控制的一系列活動(dòng) 5 信息安全管理的對(duì)象 6 信息安全管理的對(duì)象 包括人員在內(nèi)的各類信息相關(guān)資產(chǎn) 目標(biāo) 組織 以建立體系的方式實(shí)施信息安全管理的必要性 7 信息安全的攻擊和防護(hù)嚴(yán)重不對(duì)稱 相對(duì)來說攻擊成功很容易 防護(hù)成功卻極為困難信息安全水平的高低遵循木桶原理 信息安全水平有多高 取決于防護(hù)最薄弱的環(huán)節(jié) 信息安全水平 被侵害的資產(chǎn) 防護(hù)措施 信息安全管理體系的定義 體系管理體系信息安全管理體系 8 信息安全管理體系的定義 體系 相互關(guān)聯(lián)和相互作用的一組要素 ISO9000 2005質(zhì)量管理體系基礎(chǔ)和術(shù)語 管理體系 建立方針和目標(biāo)并達(dá)到目標(biāo)的體系 ISO9000 2005質(zhì)量管理體系基礎(chǔ)和術(shù)語 為達(dá)到組織目標(biāo)的策略 程序 指南和相關(guān)資源的框架 ISO IEC27000 2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語 信息安全管理體系 ISMS InformationSecurityManagementSystem 整體管理體系的一部分 基于業(yè)務(wù)風(fēng)險(xiǎn)的方法 來建立 實(shí)施 運(yùn)作 監(jiān)視 評(píng)審 保持和改進(jìn)信息安全 ISO IEC27000 2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語 建立信息安全方針和目標(biāo)并達(dá)到這些目標(biāo)的體系 為達(dá)到組織信息安全目標(biāo)的策略 程序 指南和相關(guān)資源的框架 9 10 信息安全管理體系 包括的要素有 信息安全組織架構(gòu)信息安全方針信息安全規(guī)劃活動(dòng)信息安全職責(zé)信息安全相關(guān)的實(shí)踐 規(guī)程 過程和資源 這些要素既相互關(guān)聯(lián)又相互作用 信息安全管理體系的構(gòu)成要素 信息安全管理體系的特點(diǎn) 信息安全管理體系要求組織通過確定信息安全管理體系范圍 制定信息安全方針 明確管理職責(zé) 以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來建立信息安全管理體系體系的建立基于系統(tǒng) 全面 科學(xué)的信息安全風(fēng)險(xiǎn)評(píng)估 體現(xiàn)以預(yù)防控制為主的思想 強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律 法規(guī)及其他合同方面的要求強(qiáng)調(diào)全過程和動(dòng)態(tài)控制 本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式 強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn) 而不是全部信息資產(chǎn) 確保信息的保密性 完整性和可用性 保持組織的競爭優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性 11 12 狹義的信息安全管理體系 指按照ISO27001標(biāo)準(zhǔn)定義的ISMS廣義的信息安全管理體系 泛指任何一種有關(guān)信息安全的管理體系 狹義和廣義的信息安全管理體系 知識(shí)域 信息安全管理概述 知識(shí)子域 信息安全管理作用理解信息安全管理的重要作用理解信息安全管理體系的作用理解實(shí)施信息安全管理的關(guān)鍵成功因素 13 信息安全管理的作用 14 一 信息安全管理是組織整體管理的重要 固有組成部分 是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障 15 信息系統(tǒng)是人機(jī)交互系統(tǒng) 設(shè)備的有效利用是人為的管理過程 信息安全管理的作用 應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程 信息安全管理的作用 如今 信息安全問題已經(jīng)成為組織業(yè)務(wù)正常運(yùn)營和持續(xù)發(fā)展的最大威脅信息安全問題本質(zhì)上是人的問題 單憑技術(shù)是無法實(shí)現(xiàn)從 最大威脅 到 最可靠防線 轉(zhuǎn)變的實(shí)現(xiàn)信息安全是一個(gè)多層面 多因素的過程 也取決于制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范 建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性努力如果組織想當(dāng)然地制定一些控制措施和引入某些技術(shù)產(chǎn)品 難免存在掛一漏萬 顧此失彼的問題 使信息安全這只 木桶 出現(xiàn)若干 短板 從而無法提高信息安全水平 16 信息安全管理的作用 信息安全管理 是組織完整的管理體系中一個(gè)重要的環(huán)節(jié) 它構(gòu)成了信息安全具有能動(dòng)性的部分理解并重視管理對(duì)于信息安全的關(guān)鍵作用 制定適宜的 易于理解 方便操作的安全策略對(duì)實(shí)現(xiàn)信息安全目標(biāo) 進(jìn)而實(shí)現(xiàn)業(yè)務(wù)目標(biāo)至關(guān)重要組織建立一個(gè)管理框架 讓好的安全策略在這個(gè)框架內(nèi)實(shí)施 并不斷得到修正 才可能為業(yè)務(wù)的正常持續(xù)運(yùn)作提供可靠的信息安全保障 17 信息安全管理的作用 18 二 信息安全管理是信息安全技術(shù)的融合劑 保障各項(xiàng)技術(shù)措施能夠發(fā)揮作用 信息安全管理的作用 19 如果你把鑰匙落在鎖眼上會(huì)怎樣 技術(shù)措施需要配合正確的使用才能發(fā)揮作用 保險(xiǎn)柜就一定安全嗎 20 WO 3G 精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系 因違規(guī)外連形同虛設(shè) 防火墻能解決這樣的問題嗎 信息安全管理的作用 解決信息安全問題 成敗通常取決于兩個(gè)因素 一個(gè)是技術(shù) 另一個(gè)是管理安全技術(shù)是信息安全控制的重要手段 但光有安全技術(shù)還不行 要讓安全技術(shù)發(fā)揮應(yīng)有的作用 必然要有適當(dāng)?shù)墓芾沓绦?否則 安全技術(shù)只能趨于僵化和失敗說安全技術(shù)是信息安全的構(gòu)筑材料 信息安全管理就是粘合劑和催化劑技術(shù)和產(chǎn)品是基礎(chǔ) 管理才是關(guān)鍵產(chǎn)品和技術(shù) 要通過管理的組織職能才能發(fā)揮最佳作用 信息安全管理的作用 21 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全只有將有效的安全管理從始至終貫徹落實(shí)于安全建設(shè)的方方面面 信息安全的長期性和穩(wěn)定性才能有所保證根本上說 信息安全是個(gè)管理過程 而不是技術(shù)過程 信息安全管理的作用 人們常說 三分技術(shù) 七分管理 可見管理對(duì)信息安全的重要性 22 信息安全 技管并重 的原則 對(duì)于信息安全 到底是技術(shù)更重要 還是管理更重要 強(qiáng)調(diào)信息安全管理 并不是要削弱信息安全技術(shù)的作用 開展信息安全管理要處理好管理和技術(shù)的關(guān)系技管并重 堅(jiān)持管理與技術(shù)并重 是我國加強(qiáng)信息安全保障工作的主要原則之一 23 信息安全管理的作用 24 三 信息安全管理能預(yù)防 阻止或減少信息安全事件的發(fā)生 信息安全管理的作用 統(tǒng)計(jì)結(jié)果顯示 在所有信息安全事故中 只有20 30 是由于黑客入侵或其他外部原因造成的 70 80 是由于內(nèi)部員工的疏忽或有意泄密造成的統(tǒng)計(jì)結(jié)果表明 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在 與其說是技術(shù)原因 不如說是管理不善造成的因此 防止發(fā)生信息安全事件不應(yīng)僅從技術(shù)著手 同時(shí)更應(yīng)加強(qiáng)信息安全管理 25 安全不是產(chǎn)品的簡單堆積 也不是一次性的靜態(tài)過程 它是人員 技術(shù) 操作三者緊密結(jié)合的系統(tǒng)工程 是不斷演進(jìn) 循環(huán)發(fā)展的動(dòng)態(tài)過程 對(duì)信息安全的正確理解 26 信息安全管理體系的作用 對(duì)內(nèi) 能夠保護(hù)關(guān)鍵信息資產(chǎn)和知識(shí)產(chǎn)權(quán) 維持競爭優(yōu)勢(shì)在系統(tǒng)受侵襲時(shí) 確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度建立起信息安全審計(jì)框架 實(shí)施監(jiān)督檢查建立起文檔化的信息安全管理規(guī)范 實(shí)現(xiàn)有 法 可依 有章可循 有據(jù)可查強(qiáng)化員工的信息安全意識(shí) 建立良好的安全作業(yè)習(xí)慣 培育組織的信息安全企業(yè)文化按照風(fēng)險(xiǎn)管理的思想建立起自我持續(xù)改進(jìn)和發(fā)展的信息安全管理機(jī)制 用最低的成本 達(dá)到可接受的信息安全水平 從根本上保證業(yè)務(wù)的持續(xù)性 27 信息安全管理體系的作用 對(duì)外 能夠使各利益相關(guān)方對(duì)組織充滿信心能夠幫助界定外包時(shí)雙方的信息安全責(zé)任可以使組織更好地滿足客戶或其他組織的審計(jì)要求可以使組織更好地符合法律法規(guī)的要求若通過了ISO27001認(rèn)證 能夠提高組織的公信度可以明確要求供應(yīng)商提高信息安全水平 保證數(shù)據(jù)交換中的信息安全 28 實(shí)施信息安全管理的關(guān)鍵成功因素 CSF 組織的信息安全方針和活動(dòng)能夠反映組織的業(yè)務(wù)目標(biāo)組織實(shí)施信息安全的方法和框架與組織的文化相一致管理者能夠給予信息安全實(shí)質(zhì)性的 可見的支持和承諾管理者對(duì)信息安全需求 信息安全風(fēng)險(xiǎn) 風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理有深入理解向全員和其他相關(guān)方提供有效的信息安全宣傳以提升信息安全意識(shí)向全員和其他相關(guān)方分發(fā)并宣貫信息安全方針 策略和標(biāo)準(zhǔn)管理者為信息安全建設(shè)提供足夠的資金向全員提供適當(dāng)?shù)男畔踩嘤?xùn)和教育建立有效的信息安全事件管理過程建立有效的信息安全測(cè)量體系 29 知識(shí)域 信息安全管理方法與實(shí)施 知識(shí)子域 信息安全管理方法理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法 理解風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ) 風(fēng)險(xiǎn)處理是信息安全管理的核心 理解控制措施是管理風(fēng)險(xiǎn)的具體手段理解過程方法是信息安全管理的基本方法 理解過程和過程方法的含義 理解PDCA模型 30 風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ) 風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià) 然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估 同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行界定信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ) 沒有風(fēng)險(xiǎn)評(píng)估 信息安全管理體系的建立就沒有依據(jù) 31 風(fēng)險(xiǎn)處理是信息安全管理的核心 風(fēng)險(xiǎn)處理是對(duì)風(fēng)險(xiǎn)評(píng)估活動(dòng)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行決策 采取適當(dāng)?shù)目刂拼胧┨幚聿荒芙邮艿娘L(fēng)險(xiǎn) 將風(fēng)險(xiǎn)控制在可按受的范圍風(fēng)險(xiǎn)評(píng)估活動(dòng)只能揭示組織面臨的風(fēng)險(xiǎn) 不能改變風(fēng)險(xiǎn)狀況只有通過風(fēng)險(xiǎn)處理活動(dòng) 組織的信息安全能力才會(huì)提升 信息安全需求才能被滿足 才能實(shí)現(xiàn)其信息安全目標(biāo)信息安全管理的核心就是這些風(fēng)險(xiǎn)處理措施的集合 32 風(fēng)險(xiǎn)管理是信息安全管理的根本方法 33 應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處理 本質(zhì)上 風(fēng)險(xiǎn)處理的最佳集合就是信息安全管理體系的控制措施集合梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息安全管理體系的建立過程周期性的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處理活動(dòng)即形成對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理動(dòng)態(tài)的風(fēng)險(xiǎn)管理是進(jìn)行信息安全管理 實(shí)現(xiàn)信息安全目標(biāo) 維持信息安全水平的根本方法 控制措施是管理風(fēng)險(xiǎn)的具體手段 34 管理風(fēng)險(xiǎn)的具體手段是控制措施風(fēng)險(xiǎn)處理時(shí) 需要選擇并確定適當(dāng)?shù)目刂颇繕?biāo)和控制措施 只有落實(shí)適當(dāng)?shù)目刂拼胧?那些不可接受的高風(fēng)險(xiǎn)才能降低到可以接受的水平之內(nèi) 控制措施的類別 35 從手段來看 可以分為技術(shù)性 管理性 物理性 法律性等控制措施從功能來看 可以分為預(yù)防性 檢測(cè)性 糾正性 威懾性等控制措施從影響范圍來看 常被分為安全方針 信息安全組織 資產(chǎn)管理 人力資源安全 物理和環(huán)境安全 通信和操作管理 訪問控制 信息系統(tǒng)獲取開發(fā)和維護(hù) 信息安全事件管理 業(yè)務(wù)連續(xù)性管理和符合性11個(gè)類別 域 過程process一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng) ISO IEC27000 2009 ISO9000 2005 過程方法processapproach一個(gè)組織內(nèi)諸過程的系統(tǒng)的運(yùn)用 連同這些過程的識(shí)別和相互作用及其管理 可稱之為 過程方法 ISO IEC27001 2005 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程 特別是這些過程之間的相互作用 稱為 過程方法 ISO9000 2005 過程 過程方法的概念 36 過程方法示意圖 過程方法 37 過程的分解 過程和子過程的每一個(gè)方面都是受控的 過程的輸出才是有保障的 輸出 責(zé)任人 輸入 38 A 規(guī)劃 實(shí)施 檢查 處置 P D C PDCA循環(huán) 39 PDCA循環(huán) 40 PDCA也稱 戴明環(huán) 由美國質(zhì)量管理專家戴明提出P Plan 計(jì)劃 確定方針和目標(biāo) 確定活動(dòng)計(jì)劃D Do 實(shí)施 實(shí)際去做 實(shí)現(xiàn)計(jì)劃中的內(nèi)容C Check 檢查 總結(jié)執(zhí)行計(jì)劃的結(jié)果 注意效果 找出問題A Act 行動(dòng) 對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理 成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣 標(biāo)準(zhǔn)化 失敗的教訓(xùn)加以總結(jié) 以免重現(xiàn) 未解決的問題放到下一個(gè)PDCA循環(huán) 41 特點(diǎn)一 按順序進(jìn)行 它靠組織的力量來推動(dòng) 像車輪一樣向前進(jìn) 周而復(fù)始 不斷循環(huán) 特點(diǎn)二 組織中的每個(gè)部分 甚至個(gè)人 均可以PDCA循環(huán) 大環(huán)套小環(huán) 一層一層地解決問題 特點(diǎn)三 每通過一次PDCA循環(huán) 都要進(jìn)行總結(jié) 提出新目標(biāo) 再進(jìn)行第二次PDCA循環(huán) PDCA循環(huán)的特征與作用 PDCA循環(huán) 能夠提供一種優(yōu)秀的過程方法 以實(shí)現(xiàn)持續(xù)改進(jìn)遵循PDCA循環(huán) 能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行 PDCA循環(huán)的作用 42 知識(shí)域 信息安全管理方法與實(shí)施 知識(shí)子域 信息安全管理實(shí)施理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法理解建設(shè)信息安全等級(jí)保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法 43 ISMS是一種常見的對(duì)組織信息安全進(jìn)行全面 系統(tǒng)管理的方法ISMS是由ISO27001定義的一種有關(guān)信息安全的管理體系 是一種典型的基于風(fēng)險(xiǎn)管理和過程方法的管理體系周期性的風(fēng)險(xiǎn)評(píng)估 內(nèi)部審核 有效性測(cè)量 管理評(píng)審 是ISMS規(guī)定的四個(gè)必要活動(dòng) 能確保ISMS進(jìn)入良性循環(huán) 持續(xù)自我改進(jìn) 信息安全管理體系 44 信息安全管理體系持續(xù)改進(jìn)的PDCA循環(huán)過程 45 信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體 輸入 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 輸出 45 ISMS的核心內(nèi)容可以概括為4句話規(guī)定你應(yīng)該做什么并形成文件 Plan做文件已規(guī)定的事情 Do評(píng)審你所做的事情的符合性 Check采取糾正和預(yù)防措施 持續(xù)改進(jìn) Act 用PDCA來理解什么是信息安全管理體系 46 47 ISO IEC27000標(biāo)準(zhǔn)族 27000 27003 27004 27008 27000信息安全管理體系概述和術(shù)語27001信息安全管理體系要求27002信息安全控制措施實(shí)用規(guī)則27003信息安全管理體系實(shí)施指南 27004信息安全管理測(cè)量27005信息安全風(fēng)險(xiǎn)管理27006提供信息安全管理體系審核和認(rèn)證機(jī)構(gòu)的要求27007信息安全管理體系審核指南27008信息安全管理體系控制措施審核員指南 信息安全管理體系基本原理和詞匯 ISO27000標(biāo)準(zhǔn)族日益完善 已經(jīng)開發(fā)和計(jì)劃開發(fā)的標(biāo)準(zhǔn)有60余項(xiàng) 信息安全等級(jí)保護(hù)也是一種常見的對(duì)組織的信息安全進(jìn)行全面 系統(tǒng)管理的實(shí)施方法依據(jù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 對(duì)信息安全進(jìn)行全面管理的一套機(jī)制將信息系統(tǒng)按照重要性和受破壞危害程度分成五個(gè)安全保護(hù)等級(jí) 不同保護(hù)等級(jí)的系統(tǒng)分別給予不同級(jí)別的保護(hù)系統(tǒng)定級(jí) 安全建設(shè) 整改 自查 等級(jí)測(cè)評(píng) 系統(tǒng)備案和監(jiān)督檢查是信息安全等級(jí)保護(hù)的六個(gè)規(guī)定活動(dòng) 信息安全等級(jí)保護(hù) 48 參照NISTSP800進(jìn)行建設(shè)也是一種常見的對(duì)組織的信息安全進(jìn)行全面 系統(tǒng)管理的實(shí)施方法NISTSP800是由美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的一系列特別出版物 SpecialPublications SP 是關(guān)于計(jì)算機(jī)安全的指南文檔美國 聯(lián)邦信息安全管理法案 FederalInformationSecurityManagementAct FISMA 專門指定NIST負(fù)責(zé)開展信息安全標(biāo)準(zhǔn) 指導(dǎo)方針的制定 NISTSP800規(guī)范 49 SP800 37描述了此系列規(guī)范遵從的風(fēng)險(xiǎn)管理框架 NISTSP800規(guī)范 50 SP800 37給出了遞升的風(fēng)險(xiǎn)管理方法 NISTSP800規(guī)范 51 三種典型信息安全管理實(shí)施方法的區(qū)別和聯(lián)系 52 課程內(nèi)容 53 知識(shí)體 知識(shí)域 知識(shí)子域 信息安全管理體系 信息安全管理體系建設(shè) 信息安全管理體系基礎(chǔ) 信息安全控制措施 知識(shí)域 信息安全管理體系基礎(chǔ) 知識(shí)子域 管理職責(zé)理解管理者履行管理職責(zé)對(duì)成功實(shí)施信息安全管理體系 ISMS 的重要推動(dòng)作用掌握實(shí)施ISMS過程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容 54 管理者履行管理職責(zé)的重要作用 管理層切實(shí)履行相應(yīng)的管理職責(zé)是ISMS能夠成功實(shí)施的最關(guān)鍵因素 會(huì)對(duì)ISMS建設(shè)產(chǎn)生推動(dòng)作用管理者提供足夠的資源是對(duì)ISMS建設(shè)實(shí)質(zhì)性的支持 55 主要管理職責(zé) 承擔(dān)并履行職責(zé)制定并頒布信息安全方針確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定建立信息安全的角色和職責(zé)向組織傳達(dá)滿足信息安全目標(biāo) 符合信息安全方針 履行法律責(zé)任和持續(xù)改進(jìn)的重要性決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則確保ISMS內(nèi)部審核的執(zhí)行實(shí)施ISMS的管理評(píng)審提供足夠資源資金能勝任相關(guān)工作的人員 通過提供培訓(xùn) 教育 56 知識(shí)域 信息安全管理體系基礎(chǔ) 知識(shí)子域 文檔控制理解文檔化對(duì)實(shí)施ISMS的重要性理解風(fēng)險(xiǎn)評(píng)估結(jié)果是編制ISMS文件的依據(jù)了解對(duì)ISMS文件和記錄進(jìn)行保護(hù)和控制的常規(guī)措施 57 文檔化對(duì)實(shí)施ISMS的重要性 文檔包括文件 如方針 策略 標(biāo)準(zhǔn) 指南等 和記錄文件是ISMS的一個(gè)關(guān)鍵要素 是組織內(nèi)部的 法 也是ISMS審核的依據(jù)記錄是文件執(zhí)行情況的客觀證據(jù) 為各項(xiàng)控制措施是否有效實(shí)施 ISMS是否有效運(yùn)行提供客觀證據(jù)層次化的文檔是ISMS建設(shè)的直接體現(xiàn) 也是ISMS建設(shè)的成果之一應(yīng)對(duì)文件和記錄進(jìn)行控制 58 文件編制依據(jù) 風(fēng)險(xiǎn)評(píng)估的結(jié)果是文件編制的直接依據(jù)有風(fēng)險(xiǎn)的地方才需要管理和控制依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果編制的文件體系才是最適合的 最需要的 59 易于管理和維護(hù)的ISMS層次化文檔結(jié)構(gòu) 一級(jí)文件 方針性文件二級(jí)文件 信息安全管控程序 管理規(guī)定性文件三級(jí)文件 操作指南 作業(yè)指導(dǎo)書類四級(jí)文件 體系運(yùn)行的各種記錄 下級(jí)文件應(yīng)支持上級(jí)文件 60 文件控制 文件在發(fā)布以前 應(yīng)得到相應(yīng)級(jí)別管理層的批準(zhǔn)定期評(píng)審 更新并再次得到批準(zhǔn) 當(dāng)發(fā)生重大變化或重大信息安全事件時(shí)應(yīng)及時(shí)評(píng)審和修訂對(duì)文件的修訂和修訂狀態(tài) 版本進(jìn)行標(biāo)識(shí) 確保員工使用文件的最新版本標(biāo)明每份文件的密級(jí)和分發(fā)范圍 61 記錄控制 明確記錄的保存環(huán)境要求明確保存期限要求明確訪問控制要求明確檢索要求 比如 支持按特定條件進(jìn)行查詢和統(tǒng)計(jì) 62 知識(shí)域 信息安全管理體系基礎(chǔ) 知識(shí)子域 內(nèi)部審核和管理評(píng)審了解內(nèi)部審核的概念 以及內(nèi)部審核的目的 實(shí)施主體 實(shí)施方式 審核準(zhǔn)則了解管理評(píng)審的概念 以及管理評(píng)審的目的 實(shí)施主體 實(shí)施對(duì)象 實(shí)施方式 63 內(nèi)部審核 是用于內(nèi)部目的 由組織自己或以組織的名義所進(jìn)行的審核也稱第一方審核是ISMS能夠持續(xù)改進(jìn)的重要?jiǎng)恿χ唤M織應(yīng)按照既定的周期實(shí)施ISMS內(nèi)部審核 64 內(nèi)部審核 目的確定ISMS的控制目標(biāo) 控制措施是否符合相關(guān)標(biāo)準(zhǔn)和法律法規(guī)以及合同條款的要求確定各項(xiàng)控制措施是否得到有效的實(shí)施和保持確定員工的業(yè)務(wù)行為是否符合組織ISMS文件所規(guī)定的要求實(shí)施主體ISMS內(nèi)審小組實(shí)施方式文件審核 現(xiàn)場(chǎng)審核審核準(zhǔn)則相關(guān)標(biāo)準(zhǔn) 法規(guī)法規(guī) 合同條款 ISMS文件 65 管理評(píng)審 為實(shí)現(xiàn)已建立的目標(biāo) 而進(jìn)行的確定管理體系的適宜性 充分性和有效性的活動(dòng)也是ISMS能夠持續(xù)改進(jìn)的重要?jiǎng)恿χ唤M織應(yīng)按照既定的周期實(shí)施ISMS管理評(píng)審 66 管理評(píng)審 目的確保組織的ISMS持續(xù)具備適宜性 充分性和有效性實(shí)施主體組織的高級(jí)管理層實(shí)施對(duì)象ISMS文件體系 各種管理評(píng)審輸入材料實(shí)施方式最常見的是召開管理評(píng)審會(huì)議 由組織的高級(jí)管理層親自主導(dǎo)實(shí)施 67 知識(shí)域 信息安全管理體系基礎(chǔ) 知識(shí)子域 信息安全管理體系認(rèn)證了解ISMS認(rèn)證的概念理解ISMS認(rèn)證是促進(jìn)信息安全管理體系改進(jìn)的一種外部驅(qū)動(dòng)力 68 ISMS認(rèn)證 ISMS認(rèn)證 是由ISMS認(rèn)證機(jī)構(gòu)依據(jù)ISO IEC27001對(duì)申請(qǐng)組織的ISMS進(jìn)行審核 并向通過審核的申請(qǐng)組織頒發(fā)ISMS認(rèn)證證書的活動(dòng)認(rèn)證機(jī)構(gòu)是指那些從事對(duì)產(chǎn)品 服務(wù) 過程 體系或人員是否符合規(guī)定要求實(shí)施認(rèn)證活動(dòng)的合格評(píng)定機(jī)構(gòu)ISMS認(rèn)證是證明一個(gè)組織的信息安全水平達(dá)到并滿足ISMS國際 國家標(biāo)準(zhǔn)要求的有效途徑ISMS認(rèn)證活動(dòng) 能從第三方客觀公正的角度 發(fā)現(xiàn)ISMS存在的不足和問題 是促進(jìn)ISMS持續(xù)改進(jìn)的一種外部驅(qū)動(dòng)力 69 ISMS認(rèn)證 ISMS認(rèn)證通常包含一組審核 包括初次認(rèn)證審核 年度監(jiān)督審核和復(fù)審ISMS認(rèn)證證書有效期一般為三年 頒發(fā)認(rèn)證證書后的第一 第二年需要進(jìn)行年度監(jiān)督審核 第三年進(jìn)行復(fù)審 復(fù)審?fù)ㄟ^后重新頒發(fā)認(rèn)證證書 70 知識(shí)域 信息安全管理體系建設(shè) 知識(shí)子域 規(guī)劃與建立ISMS理解定義ISMS范圍和邊界 實(shí)施風(fēng)險(xiǎn)評(píng)估 獲得管理者對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)等規(guī)劃與建立ISMS的主要工作內(nèi)容 71 采用過程方法來建立和管理ISMS 72 ISO27001要求采用過程方法來建立 實(shí)施和運(yùn)行 監(jiān)視和評(píng)審 保持和改進(jìn)組織的ISMS按照PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從過程上嚴(yán)格保證了ISMS的有效性 在過程上的這些要求是不可或缺的 也就是說不是可選的 是必須執(zhí)行的 ISMS應(yīng)用過程方法的結(jié)構(gòu) 73 規(guī)劃與建立ISMS P1 定義ISMS范圍和邊界P2 制定ISMS方針P3 確定風(fēng)險(xiǎn)評(píng)估方法P4 實(shí)施風(fēng)險(xiǎn)評(píng)估P5 選擇 評(píng)價(jià)和確定風(fēng)險(xiǎn)處理方式 處理目標(biāo)和處理措施P6 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)P7 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)P8 編制適用性聲明 SoA 74 P1 定義ISMS范圍和邊界 75 ISMS的范圍就是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域 組織需要根據(jù)自己的實(shí)際情況 在整個(gè)組織范圍內(nèi) 個(gè)別部門或領(lǐng)域構(gòu)建ISMS在定義ISMS范圍時(shí) 應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門 信息資產(chǎn)的分布狀況 核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域在本階段 應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域 以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?P2 制定ISMS方針 76 信息安全方針是組織的管理層制定的一個(gè)高層文件 用于指導(dǎo)組織如何對(duì)資產(chǎn)進(jìn)行管理 保護(hù)和分配的規(guī)則和指示信息安全方針應(yīng)當(dāng)闡明管理層的承諾 提出組織管理信息安全的方法 并由管理層批準(zhǔn) 采用適當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工信息安全方針應(yīng)當(dāng)簡明 扼要 便于理解 至少包括目標(biāo) 范圍 意圖 法規(guī)的遵從性和管理的責(zé)任等內(nèi)容 P3 確定風(fēng)險(xiǎn)評(píng)估方法 77 識(shí)別并確定適合ISMS的風(fēng)險(xiǎn)評(píng)估方法 確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果組織可采取不同風(fēng)險(xiǎn)評(píng)估法方法 一個(gè)方法是否適合于特定組織 有很多影響因素 包括 業(yè)務(wù)環(huán)境業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性對(duì)支持組織業(yè)務(wù)活動(dòng)的信息系統(tǒng)的依賴程度業(yè)務(wù)內(nèi)容 支持系統(tǒng) 應(yīng)用軟件和服務(wù)的復(fù)雜性貿(mào)易伙伴 外部業(yè)務(wù)關(guān)系 合同數(shù)量的大小這些因素對(duì)風(fēng)險(xiǎn)評(píng)估方法的選擇都很重要 不僅風(fēng)險(xiǎn)評(píng)估要考慮成本與效益的權(quán)衡 不出現(xiàn)過度安全 風(fēng)險(xiǎn)評(píng)估自身也要考慮成本與效益的權(quán)衡 不出現(xiàn)過度復(fù)雜制定接受風(fēng)險(xiǎn)的準(zhǔn)則 識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別 P4 實(shí)施風(fēng)險(xiǎn)評(píng)估 78 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)要素識(shí)別識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人 1 識(shí)別資產(chǎn)所面臨的威脅識(shí)別可能被威脅利用的脆弱點(diǎn)識(shí)別已有的控制措施風(fēng)險(xiǎn)分析分析事件發(fā)生的可能性分析事件造成的影響實(shí)施風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)結(jié)果判定評(píng)估風(fēng)險(xiǎn)的等級(jí)綜合評(píng)估風(fēng)險(xiǎn)狀況 1 術(shù)語 責(zé)任人 標(biāo)識(shí)了已經(jīng)獲得批準(zhǔn) 負(fù)有控制資產(chǎn)的產(chǎn)生 開發(fā) 維護(hù) 使用和保證資產(chǎn)的安全的管理職責(zé)的個(gè)人或?qū)嶓w 術(shù)語 責(zé)任人 不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán) P5 選擇 評(píng)價(jià)和確定風(fēng)險(xiǎn)處理方式 處理目標(biāo)和處理措施 79 常用的處理方式包括 采用適當(dāng)?shù)目刂拼胧?降低風(fēng)險(xiǎn) 在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下 有意識(shí)地 客觀地接受風(fēng)險(xiǎn)避免風(fēng)險(xiǎn)將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方 如 保險(xiǎn) 供應(yīng)商等 轉(zhuǎn)移風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理方式及決策原則 80 降低風(fēng)險(xiǎn) 在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前 應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)避免風(fēng)險(xiǎn) 有些風(fēng)險(xiǎn)容易避免 例如采用不同的技術(shù) 更改操作流程 采用簡單的技術(shù)措施等轉(zhuǎn)移風(fēng)險(xiǎn) 通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和避免 且被第三方接受時(shí)才采用接受風(fēng)險(xiǎn) 用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后 出于實(shí)際和經(jīng)濟(jì)方面的原因 只要組織進(jìn)行運(yùn)營 就必然存在并必須接受的風(fēng)險(xiǎn) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 81 選擇控制目標(biāo)和控制措施應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求將ISO27001附錄A作為選擇控制措施的出發(fā)點(diǎn) 以確保不會(huì)遺漏重要的可選控制措施組織也可能需要制定ISO27001附錄A以外的控制目標(biāo)和控制措施提示 在選擇控制目標(biāo)和控制措施時(shí) 并沒有一套標(biāo)準(zhǔn)與通用的辦法 選擇的過程往往不是很直接 可能要涉及一系列的討論 咨詢和決策過程 P6 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn) 82 獲得管理層接受風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)所建議的殘余風(fēng)險(xiǎn)的確認(rèn)是風(fēng)險(xiǎn)評(píng)估活動(dòng)中的一個(gè)重要過程管理層確認(rèn)接受殘余風(fēng)險(xiǎn) 是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定 表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn) 并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后 組織能夠且必須承擔(dān)引發(fā)的后果如果一個(gè)組織所建立的ISMS要尋求認(rèn)證 認(rèn)證機(jī)構(gòu)將尋求管理層確認(rèn)接受殘余風(fēng)險(xiǎn)的書面證據(jù) P7 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán) 83 必須獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán) 沒有授權(quán) 實(shí)施和運(yùn)行ISMS的相關(guān)活動(dòng)就很難推進(jìn)實(shí)施和運(yùn)行ISMS 需要大量的資源 人力 資金等 沒有管理層的授權(quán) 就很難申請(qǐng)并獲得這些資源 P8 編制適用性聲明 SoA 84 所選擇的控制目標(biāo)和措施以及被選擇的原因應(yīng)在適用性聲明 StatementofApplicability SoA 中進(jìn)行說明SoA是適合組織需要的控制目標(biāo)和控制的評(píng)論 需要提交給管理者 職員 具有訪問權(quán)限的第三方相關(guān)認(rèn)證機(jī)構(gòu)編制SoA一方面是為了向組織內(nèi)的員工聲明對(duì)在面臨的信息安全風(fēng)險(xiǎn)的態(tài)度 更大程度上則是為了向外界表明組織的態(tài)度和作為 以表明組織已經(jīng)全面 系統(tǒng)地審視了組織的信息安全系統(tǒng) 并將所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi) 知識(shí)域 信息安全管理體系建設(shè) 知識(shí)子域 實(shí)施和運(yùn)行ISMS理解實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 開發(fā)有效性測(cè)量程序 管理ISMS的運(yùn)行等實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容 85 實(shí)施和運(yùn)行ISMS D1 制定風(fēng)險(xiǎn)處理計(jì)劃D2 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃D3 開發(fā)有效性測(cè)量程序D4 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃D5 管理ISMS的運(yùn)行D6 管理ISMS的資源D7 執(zhí)行檢測(cè)事態(tài)和響應(yīng)事件的程序 86 D3 開發(fā)有效性測(cè)量程序 ISMS運(yùn)行及控制措施是否有效 要有測(cè)量方法和途徑 以便制定改進(jìn)措施加以改進(jìn)開發(fā)一份有效性測(cè)量程序 明確需要設(shè)立的測(cè)量項(xiàng)目 以及每一測(cè)量項(xiàng)目的度量標(biāo)準(zhǔn) 要求達(dá)到的指標(biāo) 測(cè)量方式 測(cè)量周期 測(cè)量執(zhí)行人有效性測(cè)量程序本身 應(yīng)做為ISMS文件加以管理和控制 87 D5 管理ISMS的運(yùn)行 批準(zhǔn)并發(fā)布ISMS文件宣貫和解釋ISMS文件要求ISMS試運(yùn)行期間的管理宣布ISMS正式運(yùn)行 88 ISMS試運(yùn)行 ISMS運(yùn)行初期處于磨合期 一般稱為試運(yùn)行期試運(yùn)行期的目的是要在實(shí)踐中檢驗(yàn)ISMS的充分性 適用性和有效性此期間 宜加強(qiáng)運(yùn)作力度 通過實(shí)施ISMS文件 充分發(fā)揮ISMS本身的各項(xiàng)功能 及時(shí)發(fā)現(xiàn)ISMS本身存在的問題 找出問題的根源 采取糾正措施 并按照文件控制程序要求更改體系文件 以達(dá)到進(jìn)一步完善ISMS的目的 89 知識(shí)域 信息安全管理體系建設(shè) 知識(shí)子域 監(jiān)視和評(píng)審ISMS理解進(jìn)行有效性測(cè)量 實(shí)施內(nèi)部審核 實(shí)施管理評(píng)審等監(jiān)視和評(píng)審ISMS的主要工作內(nèi)容 90 監(jiān)視和評(píng)審ISMS C1 日常監(jiān)視和檢查C2 進(jìn)行有效性測(cè)量