CISP0301信息安全管理體系ppt課件.ppt

信息安全管理體系 培訓(xùn)機構(gòu)名稱講師名字 1 課程內(nèi)容 2 知識域 信息安全管理基本概念 知識子域 信息安全管理的作用理解信息安全 技管并重 原則的意義理解成功實施信息安全管理工作的關(guān)鍵因素知識子域 風(fēng)險管理的概念和作用理解信息安全風(fēng)險的概念 資產(chǎn)價值 威脅 脆弱性 防護措施 影響 可能性理解風(fēng)險評估是信息安全管理工作的基礎(chǔ)理解風(fēng)險處置是信息安全管理工作的核心知識子域 信息安全管理控制措施的概念和作用理解安全管理控制措施是管理風(fēng)險的具體手段了解11個基本安全管理控制措施的基本內(nèi)容 3 3 信息安全管理 一 信息安全管理概述二 信息安全管理體系三 信息安全管理體系建立四 信息安全管理控制規(guī)范 4 4 一 信息安全管理概述 一 信息安全管理基本概念1 信息安全2 信息安全管理3 基于風(fēng)險的信息安全 二 信息安全管理的狀況1 信息安全管理的作用2 信息安全管理的發(fā)展3 信息安全管理的標準4 成功實施信息安全管理的關(guān)鍵 5 5 一 信息安全管理基本概念 1 信息安全2 信息安全管理3 基于風(fēng)險的信息安全 6 6 1 信息安全 7 信息 信息是一種資產(chǎn) 像其他重要的業(yè)務(wù)資產(chǎn)一樣 對組織具有價值 因此需要妥善保護 信息安全 信息安全主要指信息的保密性 完整性和可用性的保持 即指通過采用計算機軟硬件技術(shù) 網(wǎng)絡(luò)技術(shù) 密鑰技術(shù)等安全技術(shù)和各種組織管理措施 來保護信息在其生命周期內(nèi)的產(chǎn)生 傳輸 交換 處理和存儲的各個環(huán)節(jié)中 信息的保密性 完整性和可用性不被破壞 7 1 信息安全 8 8 1 信息安全 保密性 9 保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息 信息的保密性依據(jù)信息被允許訪問對象的多少而不同 所有人員都可以訪問的信息為公開信息 需要限制訪問的信息為敏感信息或秘密信息 根據(jù)信息的重要程度和保密要求將信息分為不同密級 9 1 信息安全 完整性 10 完整性保證信息和處理方法的正確性和完整性 信息完整性一方面指在使用 傳輸 存儲信息的過程中不發(fā)生篡改信息 丟失信息 錯誤信息等現(xiàn)象 另一方面指信息處理的方法的正確性 執(zhí)行不正當?shù)牟僮?有可能造成重要文件的丟失 甚至整個系統(tǒng)的癱瘓 10 1 信息安全 可用性 11 可用性確保那些已被授權(quán)的用戶在他們需要的時候 確實可以訪問到所需信息 即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候 可以立即獲得 例如 通信線路中斷故障 網(wǎng)絡(luò)的擁堵會造成信息在一段時間內(nèi)不可用 影響正常的業(yè)務(wù)運營 這是信息可用性的破壞 提供信息的系統(tǒng)必須能適當?shù)爻惺芄舨⒃谑r恢復(fù) 11 2 信息安全管理 統(tǒng)計結(jié)果表明 在所有信息安全事故中 只有20 30 是由于黑客入侵或其他外部原因造成的 70 80 是由于內(nèi)部員工的疏忽或有意泄密造成的 站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題 單憑技術(shù)是無法實現(xiàn)從 最大威脅 到 最可靠防線 轉(zhuǎn)變的 信息安全是一個多層面 多因素的過程 如果組織憑著一時的需要 想當然去制定一些控制措施和引入某些技術(shù)產(chǎn)品 都難免存在掛一漏萬 顧此失彼的問題 使得信息安全這只 木桶 出現(xiàn)若干 短板 從而無法提高信息安全水平 12 12 2 信息安全管理 13 正確的做法是參考國內(nèi)外相關(guān)信息安全標準與最佳實踐過程 根據(jù)組織對信息安全的各個層面的實際需求 在風(fēng)險分析的基礎(chǔ)上引入恰當控制 建立合理安全管理體系 從而保證組織賴以生存的信息資產(chǎn)的保密性 完整性和可用性 13 2 信息安全管理 14 組織中為了完成信息安全目標 針對信息系統(tǒng) 遵循安全策略 按照規(guī)定的程序 運用恰當?shù)姆椒?而進行的規(guī)劃 組織 指導(dǎo) 協(xié)調(diào)和控制等活動信息安全管理工作的對象 目標 組織 14 2 信息安全管理 15 信息安全管理是通過維護信息的保密性 完整性和可用性 來管理和保護組織所有的信息資產(chǎn)的一項體制 是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動 有效的信息安全管理要盡量做到在有限的成本下 保證安全風(fēng)險控制在可接受的范圍 15 3 基于風(fēng)險的信息安全 16 1 安全風(fēng)險的基本概念 2 信息安全的風(fēng)險模型 2 基于風(fēng)險的信息安全 16 1 安全風(fēng)險的基本概念 資產(chǎn)資產(chǎn)是任何對組織有價值的東西信息也是一種資產(chǎn) 對組織具有價值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員服務(wù)性資產(chǎn)公司形象和名譽 17 1 安全風(fēng)險的基本概念 威脅資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作盜竊網(wǎng)絡(luò)監(jiān)聽供電故障后門未授權(quán)訪問 自然災(zāi)害如 地震 火災(zāi) 18 1 安全風(fēng)險的基本概念 脆弱性是與信息資產(chǎn)有關(guān)的弱點或安全隱患 脆弱性本身并不對資產(chǎn)構(gòu)成危害 但是在一定條件得到滿足時 脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害 脆弱性舉例系統(tǒng)漏洞程序Bug專業(yè)人員缺乏不良習(xí)慣缺少審計缺乏安全意識后門物理環(huán)境訪問控制措施不當 19 1 安全風(fēng)險的基本概念 安全控制措施根據(jù)安全需求部署的 用來防范威脅 降低風(fēng)險的措施安全控制措施舉例 20 技術(shù)措施防火墻防病毒入侵檢測災(zāi)備系統(tǒng) 管理措施安全規(guī)章安全組織人員培訓(xùn)運行維護 2 信息安全的風(fēng)險模型 21 沒有絕對的安全 只有相對的安全 信息安全建設(shè)的宗旨之一 就是在綜合考慮成本與效益的前提下 通過恰當 足夠 綜合的安全措施來控制風(fēng)險 使殘余風(fēng)險降低到可接受的程度 21 3 基于風(fēng)險的信息安全 信息安全追求目標 確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險最小化保護信息免受各種威脅的損害投資回報和商業(yè)機遇最大化 獲得信息安全方式 實施一組合適的控制措施 包括策略 過程 規(guī)程 組織結(jié)構(gòu)以及軟件和硬件功能 22 22 3 風(fēng)險評估是信息安全管理的基礎(chǔ) 風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價 然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估 同時對已存在的或規(guī)劃的安全控制措施進行界定 信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險評估信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ) 沒有風(fēng)險評估 信息安全管理體系的建立就沒有依據(jù) 23 23 4 風(fēng)險處置是信息安全管理的核心 風(fēng)險評估的結(jié)果應(yīng)進行相應(yīng)的風(fēng)險處置 本質(zhì)上 風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合 控制目標 控制手段 實施指南的邏輯梳理出這些風(fēng)險控制措施集合的過程也就是信息安全建立體系的建立過程 信息安全管理體系的核心就是這些最佳控制措施集合的 24 24 二 信息安全管理的狀況 1 信息安全管理的作用2 信息安全管理的發(fā)展3 信息安全管理有關(guān)標準4 成功實施信息安全管理的關(guān)鍵 25 25 1 信息安全管理的作用 26 如果你把鑰匙落在鎖眼上會怎樣 技術(shù)措施需要配合正確的使用才能發(fā)揮作用 保險柜就一定安全嗎 26 27 WO 3G 精心設(shè)計的網(wǎng)絡(luò)防御體系 因違規(guī)外連形同虛設(shè) 防火墻能解決這樣的問題嗎 1 信息安全管理的作用 28 信息系統(tǒng)是人機交互系統(tǒng) 應(yīng)對風(fēng)險需要人為的管理過程 設(shè)備的有效利用是人為的管理過程 堅持管理與技術(shù)并重 是我國加強信息安全保障工作的主要原則 1 信息安全管理的作用 2 信息安全管理的發(fā)展 1 29 ISO IECTR13335國際標準化組織在信息安全管理方面 早在1996年就開始制定 信息技術(shù)信息安全管理指南 ISO IECTR13335 它分成五個部分 信息安全的概念和模型 信息安全管理和規(guī)劃 信息安全管理技術(shù) 基線方法 網(wǎng)絡(luò)安全管理指南 29 2 信息安全管理的發(fā)展 2 30 BS7799英國標準化協(xié)會 BSI 1995年頒布了 信息安全管理指南 BS7799 BS7799分為兩個部分 BS7799 1 信息安全管理實施規(guī)則 和BS7799 2 信息安全管理體系規(guī)范 2002年又頒布了 信息安全管理系統(tǒng)規(guī)范說明 BS7799 2 2002 BS7799將信息安全管理的有關(guān)問題劃分成了10個控制要項 36個控制目標和127個控制措施 目前 在BS7799 2中 提出了如何了建立信息安全管理體系的步驟 30 2 信息安全管理的發(fā)展 3 31 31 2 信息安全管理的發(fā)展 4 32 32 3 國內(nèi)外信息安全管理標準 33 1 國際信息安全管理標準國際信息安全標準化組織國際信息安全管理標準 2 國內(nèi)信息安全管理標準國內(nèi)信息安全標準化組織國內(nèi)信息安全管理標準 33 國際信息安全標準化組織 34 34 國際信息安全管理標準 1 35 35 國際信息安全管理標準 2 36 36 國際信息安全管理標準 3 37 37 國內(nèi)信息安全標準化組織 38 38 國內(nèi)信息安全管理標準 1 39 WG7組已有的標準 39 國內(nèi)信息安全管理標準 2 40 WG7組研究中的標準 40 國內(nèi)信息安全管理標準 3 41 41 4 實施信息安全管理的關(guān)鍵成功因素 理解組織文化得到高層承諾做好風(fēng)險評估整合管理體系積極有效宣貫納入獎懲機制持續(xù)改進體系 42 42 二 信息安全管理體系 一 什么是信息安全管理體系 二 信息安全管理體系的框架 三 信息安全管理過程方法要求 四 信息安全管理控制措施要求 43 43 一 什么是信息安全管理體系 1 信息安全管理體系的定義2 信息安全管理體系的特點3 信息安全管理體系的作用4 信息安全管理體系的文件 44 44 1 信息安全管理體系的定義 信息安全管理體系 ISMS InformationSecurityManagementSystem 是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標 以及完成這些目標所用的方法和體系 它是直接管理活動的結(jié)果 表示為方針 原則 目標 方法 計劃 活動 程序 過程和資源的集合 45 45 2 信息安全管理體系的特點 信息安全管理體系要求組織通過確定信息安全管理體系范圍 制定信息安全方針 明確管理職責 以風(fēng)險評估為基礎(chǔ)選擇控制目標和措施等一系列活動來建立信息安全管理體系 體系的建立基于系統(tǒng) 全面 科學(xué)的安全風(fēng)險評估 體現(xiàn)以預(yù)防控制為主的思想 強調(diào)遵守國家有關(guān)信息安全的法律 法規(guī)及其他合同方面的要求 強調(diào)全過程和動態(tài)控制 本著控制費用與風(fēng)險平衡的原則合理選擇安全控制方式 強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn) 而不是全部信息資產(chǎn) 確保信息的保密性 完整性和可用性 保持組織的競爭優(yōu)勢和業(yè)務(wù)的持續(xù)性 46 46 3 信息安全管理體系的作用 對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護 維持競爭優(yōu)勢 在信息系統(tǒng)受到侵襲時 確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度 促使管理層貫徹信息安全管理體系 強化員工的信息安全意識 規(guī)范組織信息安全行為 使組織的生意伙伴和客戶對組織充滿信心 組織可以按照安全管理 達到動態(tài)的 系統(tǒng)地 全員參與 制度化的 以預(yù)防為主的信息安全管理方式 用最低的成本 達到可接受的信息安全水平 從根本上保證業(yè)務(wù)的持續(xù)性 47 47 4 信息安全管理體系的理念 各廠商 各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準 這些基于產(chǎn)品 技術(shù)與管理層面的標準在某些領(lǐng)域得到了很好的應(yīng)用 但從組織信息安全的各個角度和整個生命周期來考察 如果忽略了組織中最活躍的因素 人的作用 則信息安全管理體系是不完備的 考察國內(nèi)外的各種信息安全事件 不難發(fā)現(xiàn) 在信息安全時間表象后面其實都是人的因素在起決定作用 48 48 4 信息安全管理體系的理念 49 在信息安全問題上 要綜合考慮人員與管理 技術(shù)與產(chǎn)品 流程與體系 信息安全管理體系是人員 管理與技術(shù)三者的互動 49 5 信息安全管理體系的過程 50 完善信息安全治理結(jié)構(gòu) 風(fēng)險評估 安全規(guī)劃 信息安全管理框架 管理措施 技術(shù)手段 信息系統(tǒng)安全審計 監(jiān)控業(yè)務(wù)與安全環(huán)境 符合安全控制標準 持續(xù)改進 調(diào)整 50 二 信息安全管理體系框架 1 信息安全管理體系循環(huán)框架2 信息安全管理體系內(nèi)容框架3 信息安全管理體系文件框架4 信息安全管理體系系列標準 51 51 1 信息安全管理體系循環(huán)框架 52 信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 52 1 信息安全管理體系循環(huán)框架 53 PDCA也稱 戴明環(huán) 由美國質(zhì)量管理專家戴明提出 P Plan 計劃 確定方針和目標 確定活動計劃 D Do 實施 實際去做 實現(xiàn)計劃中的內(nèi)容 C Check 檢查 總結(jié)執(zhí)行計劃的結(jié)果 注意效果 找出問題 A Action 行動 對總結(jié)檢查的結(jié)果進行處理 成功地經(jīng)驗加以肯定并適當推廣 標準化 失敗的教訓(xùn)加以總結(jié) 以免重現(xiàn) 未解決的問題放到下一個PDCA循環(huán) 53 1 信息安全管理體系循環(huán)框架 54 PDCA特點一 按順序進行 它靠組織的力量來推動 像車輪一樣向前進 周而復(fù)始 不斷循環(huán) PDCA特點二 組織中的每個部分 甚至個人 均可以PDCA循環(huán) 大環(huán)套小環(huán) 一層一層地解決問題 PDCA特點三 每通過一次PDCA循環(huán) 都要進行總結(jié) 提出新目標 再進行第二次PDCA循環(huán) 54 2 信息安全管理體系內(nèi)容框架 55 55 2 信息安全管理體系內(nèi)容框架 續(xù) 56 其他最佳實踐標準與各安全控制域之間的對應(yīng) ISO27000系列不是信息安全管理體系的全部 56 3 信息安全管理體系文檔框架 57 57 3 信息安全管理體系文檔框架 58 安全策略 操作手冊 操作手冊 操作手冊 操作手冊 考核指標 考核指標 58 4 信息安全管理體系系列標準 59 1 ISO27000系列 2 NISTSP800系列 3 ISO IEC13335系列 59 1 ISO27000系列 60 ISO27000系列 27000 27003 27004 27007 27000信息安全管理體系原則和術(shù)語27001信息安全管理體系要求27002信息安全管理實踐準則27003信息安全管理實施指南 27004信息安全管理的度量指標和衡量27005信息安全風(fēng)險管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南27007XXX 信息安全管理體系基本原理和詞匯 60 1 ISO27000系列 61 27001的附錄A將兩者聯(lián)系起來 作為ISMS過程的一部分 測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來 61 27000 ISMS基礎(chǔ)和詞匯 62 正在啟動的新標準項目 它將主要以ISO IEC13335 1 2004 信息和通信技術(shù)安全管理第1部分 信息和通信技術(shù)安全管理的概念和模型 為基礎(chǔ)進行研究 該標準將規(guī)定27000系列標準所共用的基本原則 概念和詞匯 62 27001 信息安全管理體系要求 63 2005年10月15日發(fā)布 規(guī)定了一個組織建立 實施 運行 監(jiān)視 評審 保持 改進信息安全管理體系的要求 基于風(fēng)險管理的思想 旨在通過持續(xù)改進的過程 PDCA模型 使組織達到有效的信息安全 使用了和ISO9001 ISO14001相同的管理體系過程模型 是一個用于認證和審核的標準 63 27002 信息安全管理實用規(guī)則 64 即17799 2005年6月15日發(fā)布第二版 包含有11個安全類別 39個控制目標 138個控制措施 實施27001的支撐標準 給出了組織建立ISMS時應(yīng)選擇實施的控制目標和控制措施集 是一個行業(yè)最佳慣例的匯總集 而不是一個認證和審核標準 64 27003 ISMS實施指南 65 目前處于工作草案階段 它主要以BS7799 2 2002附錄B的內(nèi)容為基礎(chǔ)進行制定 提供了27001具體實施的指南 65 27004 信息安全管理度量 66 旨在為組織提供一個如何通過使用度量 測量項以及合適的測量技術(shù)來評估其安全管理狀態(tài)的指南 66 27005 信息安全風(fēng)險管理 67 目前處于委員會草案階段 它將主要以ISO IEC13335 2為基礎(chǔ)進行制定 描述了信息安全風(fēng)險管理的過程及每個過程的詳細內(nèi)容 67 2 NISTSP800系列 68 NISTSP800系列 68 3 ISO IEC13335系列 69 ISO IEC13335系列 69 三 信息安全管理過程方法要求 1 信息安全管理過程方法的作用2 信息安全管理過程方法的結(jié)構(gòu) 70 70 1 信息安全管理過程方法的作用 71 過程方法要求 Methodologicalrequirements 為組織根據(jù)業(yè)務(wù)風(fēng)險建立 實施 運行 監(jiān)視 評審 保持和改進文件化的信息安全管理體系規(guī)定了要求 按照PDCA循環(huán)理念運行的信息安全管理體系是從過程上嚴格保證了信息安全管理體系的有效性 在過程上的這些要求是不可或缺的 也就是說不是可選的 是必須執(zhí)行的 71 2 信息安全管理過程方法的結(jié)構(gòu) 72 72 四 信息安全管理控制措施要求 1 信息安全管理控制措施的作用2 信息安全管理控制措施的結(jié)構(gòu) 73 73 1 信息安全管理控制措施的作用 74 安全控制要求 Securitycontrolrequirements 為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個最佳實踐集 組織應(yīng)根據(jù)法律法規(guī)的約束 自身的業(yè)務(wù)和風(fēng)險特征選擇適用的控制措施 當然組織也可以根據(jù)自身的特定要求對安全控制措施進行補充 74 2 信息安全管理控制措施的結(jié)構(gòu) 75 共有11個控制條款 方面 每個條款包括許多主要的安全類 每個安全類包括 一個控制目標 聲明要實現(xiàn)什么一個或多個控制措施 可被用于實現(xiàn)該控制目標每個控制措施控制 是對該控制措施的定義實施指南 是對實施該控制措施的指導(dǎo)性說明其它信息 其它需要說明的補充信息 75 76 2 信息安全管理控制措施的結(jié)構(gòu)示例 8 人員安全 安全控制條款8 1雇傭前 安全類確保員工 合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色 減少盜竊 濫用或設(shè)施誤用的風(fēng)險 安全類控制目標8 1 1角色和職責 安全控制措施控制 是對該控制措施的定義實施指南 是對實施該控制措施的指導(dǎo)性說明其它信息 其它需要說明的補充信息 77 知識子域 過程方法與PDCA循環(huán)理解ISMS過程和過程方法的含義理解PDCA循環(huán)的特征和作用知識子域 建立 運行 評審與改進ISMS了解建立ISMS的主要工作內(nèi)容了解實施和運行ISMS的主要工作內(nèi)容了解監(jiān)視和評審ISMS的主要工作內(nèi)容了解保持和改進ISMS的主要工作內(nèi)容 知識域 信息安全管理體系建設(shè) 三 信息安全管理體系建設(shè) 一 信息安全管理體系的規(guī)劃和建立 二 信息安全管理體系的實施和運行 三 信息安全管理體系的監(jiān)視和評審 四 信息安全管理體系的保持和改進 78 78 一 信息安全管理體系規(guī)劃和建立 P1 定義ISMS范圍P2 定義ISMS方針P3 確定風(fēng)險評估方法P4 分析和評估信息安全風(fēng)險P5 識別和評價風(fēng)險處理的可選措施P6 為處理風(fēng)險選擇控制目標和控制措施P7 準備詳細的適用性聲明SoA 79 79 P1 定義ISMS范圍 80 ISMS的范圍就是需要重點進行信息安全管理的領(lǐng)域 組織需要根據(jù)自己的實際情況 在整個組織范圍內(nèi) 個別部門或領(lǐng)域構(gòu)建ISMS 在本階段 應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域 以易于組織對有不同需求的領(lǐng)域進行適當?shù)男畔踩芾?在定義ISMS范圍時 應(yīng)重點考慮組織現(xiàn)有的部門 信息資產(chǎn)的分布狀況 核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域 80 P2 定義ISMS方針 81 信息安全方針是組織的信息安全委員會或管理當局制定的一個高層文件 用于指導(dǎo)組織如何對資產(chǎn) 包括敏感信息進行管理 保護和分配的規(guī)則和指示 信息安全方針應(yīng)當闡明管理層的承諾 提出組織管理信息安全的方法 并由管理層批準 采用適當?shù)姆椒▽⒎结槀鬟_給每一個員工 信息安全方針應(yīng)當簡明 扼要 便于理解 至少包括目標 范圍 意圖 法規(guī)的遵從性和管理的責任等內(nèi)容 81 P3 確定風(fēng)險評估方法 82 組織可采取不同風(fēng)險評估法方法 一個方法是否適合于特定組織 有很多影響因素 包括 業(yè)務(wù)環(huán)境業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性 對支持組織業(yè)務(wù)活動的信息系統(tǒng)的依賴程度 業(yè)務(wù)內(nèi)容 支持系統(tǒng) 應(yīng)用軟件和服務(wù)的復(fù)雜性 貿(mào)易伙伴 外部業(yè)務(wù)關(guān)系 合同數(shù)量的大小 這些因素對風(fēng)險評估方法的選擇都很重要 不僅風(fēng)險評估要考慮成本與效益的權(quán)衡 不出現(xiàn)過度安全 風(fēng)險評估自身也要考慮成本與效益的權(quán)衡 不出現(xiàn)過度復(fù)雜 82 P4 分析和評估信息安全風(fēng)險 83 風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價 然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估 同時對已存在的或規(guī)劃的安全控制措施進行鑒定 確定風(fēng)險數(shù)值的大小不是評估的最終目的 重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對值 即要確定不同風(fēng)險的優(yōu)先次序或等級 對于風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護 組織可以采用按照風(fēng)險數(shù)值排序的方法 也可以采用區(qū)間劃分的方法將風(fēng)險劃分為不同的優(yōu)先等級 這包括將可接受風(fēng)險與不可接受風(fēng)險進行劃分 83 P5 識別和評價風(fēng)險處理的可選措施 84 根據(jù)風(fēng)險評估的結(jié)果 在已有措施基礎(chǔ)上從安全控制最佳集合中選擇安全控制措施 84 P6 為處理風(fēng)險選擇控制目標和控制措施 85 在選擇控制目標和控制措施時 并沒有一套標準與通用的辦法 選擇的過程往往不是很直接 可能要涉及一系列的決策步驟 咨詢過程 要和不同的業(yè)務(wù)部門和大量的關(guān)鍵人員進行討論 對業(yè)務(wù)目標進行廣泛的分析 最后產(chǎn)生的結(jié)果要很好的滿足組織對業(yè)務(wù)目標 資產(chǎn)保護 投資預(yù)算的要求 組織采用什么樣的方法來評估安全需求和選擇控制 完全由組織自己來決定 但無論采用什么樣的方法 工具 都需要靠來自風(fēng)險 來自法規(guī)和合同的遵從以及來自業(yè)務(wù)這三種安全需求來驅(qū)動 85 P7 準備詳細的適用性聲明SoA 86 在風(fēng)險評估之后 組織應(yīng)該選用符合組織自身需要的控制措施與控制目標 所選擇的控制目標和措施以及被選擇的原因應(yīng)在適用性聲明 SOA StatementofApplication SOA中進行說明 SOA是適合組織需要的控制目標和控制的評論 需要提交給管理者 職員 具有訪問權(quán)限的第三方相關(guān)認證機構(gòu) SOA的準備一方面是為了向組織內(nèi)的員工聲明對信息安全面對的風(fēng)險的態(tài)度 更大程度上則是為了向外界表明組織的態(tài)度和作為 以表明組織已經(jīng)全面 系統(tǒng)的審視了組織的信息安全系統(tǒng) 并將所有需要控制的風(fēng)險控制在能被接受的范圍內(nèi) 86 二 信息安全管理體系實施和運行 D1 開發(fā)風(fēng)險處置計劃D2 實施風(fēng)險處置計劃D3 實施安全控制措施D4 實施安全教育培訓(xùn)D5 管理ISMS的運行D6 管理ISMS的資源D7 執(zhí)行檢測安全事件程序D8 執(zhí)行響應(yīng)安全事故程序 87 87 信息安全風(fēng)險處置的分類 88 根據(jù)風(fēng)險評估的結(jié)果進行相關(guān)的風(fēng)險處置 降低風(fēng)險 在考慮轉(zhuǎn)移風(fēng)險前 應(yīng)首先考慮采取措施降低風(fēng)險 避免風(fēng)險 有些風(fēng)險容易避免 例如采用不同的技術(shù) 更改操作流程 采用簡單的技術(shù)措施等 轉(zhuǎn)移風(fēng)險 通常只有當風(fēng)險不能被降低風(fēng)險和避免 且被第三方接受時才采用 接受風(fēng)險 用于那些在采取了降低風(fēng)險和避免風(fēng)險措施后 出于實際和經(jīng)濟方面的原因 只要組織進行運營 就必然存在并必須接受的風(fēng)險 88 信息安全管理體系試運行 體系運行初期處于體系的磨合期 一般稱為試運行期 在此期間運行的目的是要在實踐中體驗體系的充分性 適用性和有效性 在體系運行初期 組織應(yīng)加強運作力度 通過實施ISMS手冊 程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件 充分發(fā)揮體系本身的各項工程 及時發(fā)現(xiàn)體系本身存在的問題 找出問題的根據(jù) 采取糾正措施 糾正各種不符合 并按照更改控制程序要求對體系予以更改 以達到進一步完善信息安全管理體系的目的 89 89 三 信息安全管理體系監(jiān)視和評審 C1 執(zhí)行ISMS監(jiān)視程序C2 執(zhí)行ISMS評價程序C3 定期執(zhí)行ISMS評審C4 測量控制措施的有效性C5 驗證安全要求是否被滿足C6 按計劃進行風(fēng)險評估C7 評審可接受殘余風(fēng)險C8 按計劃進行內(nèi)部審核C9 按計劃進行管理評審C10 更新信息安全計劃C11 記錄對ISMS有影響的行動和事件 90 90 常用的檢查措施 在檢查階段采集的信息應(yīng)該可以用來測量信息安全管理體系 判斷是否符合組織的安全方針和控制目標的有效性 常用的檢查措施有 日常檢查 作為正式的業(yè)務(wù)過程經(jīng)常進行 并設(shè)計用來偵測處理結(jié)果的錯誤 自治程序 為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的措施 如監(jiān)控程序報警等 從其他處學(xué)習(xí) 一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法 91 91 常用的檢查措施 內(nèi)部審核 在一個特定的常規(guī)審核時間內(nèi)檢查 所有方面是否達到預(yù)想的效果 管理評審 管理評審的目的是檢查信息安全管理體系的有效性 以識別需要的改進和采取的行動 管理評審指導(dǎo)每年進行一次趨勢分析 經(jīng)常進行趨勢分析有助于組織識別需要改進的領(lǐng)域 并建立一個持續(xù)改進和循環(huán)提高的基礎(chǔ) 92 92 四 信息安全管理體系保持和改進 A1 實施已識別的ISMS改進措施A2 執(zhí)行糾正性和預(yù)防性措施A3 通知相關(guān)人員ISMS的變更A4 從安全經(jīng)驗和教訓(xùn)中學(xué)習(xí) 93 93 A1 實施已識別的ISMS改進措施 94 為使信息安全管理體系持續(xù)有效 應(yīng)以檢查階段采集的不符合項信息為基礎(chǔ) 經(jīng)常進行調(diào)整與改進 不符合項指 缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求 在有可觀證據(jù)的基礎(chǔ)上 引起對信息安全管理體系安全方針和組織安全目標能力的重大懷疑 94 A2 執(zhí)行糾正性和預(yù)防性措施 95 通過各種檢查措施 發(fā)現(xiàn)了組織ISMS體系運行中出現(xiàn)了不符合規(guī)定要求的事項后 就需要采取改進措施 改進措施主要通過糾正與預(yù)防性控制措施來實現(xiàn) 同時對潛在的不符合項采取預(yù)防性措施 糾正性措施 組織應(yīng)采取措施 以消除不合格的 與實施和運行信息安全管理體系有關(guān)的原因 防止問題的再發(fā)生 預(yù)防性措施 組織應(yīng)對未來的不合適事件確定預(yù)防措施已防止其發(fā)生 預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng) 95 A3 通知相關(guān)人員ISMS的變更 96 按照內(nèi)部審計和管理評審的輸出結(jié)果對信息安全管理體系作持續(xù)性的改善 每次的改善會涉及到信息安全管理體系文件的變更 變更的結(jié)果應(yīng)該及時通知信息安全管理體系的相關(guān)人員 并提