信息安全管理基礎(chǔ)知識(shí)課件

1、信息安全管理基礎(chǔ)知識(shí)1信息安全管理基礎(chǔ)信息安全管理基礎(chǔ)中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心cisp-09-信息安全管理基礎(chǔ)信息安全管理基礎(chǔ)2007年年7月月信息安全管理基礎(chǔ)知識(shí)2目錄目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)3課程目標(biāo)課程目標(biāo) 掌握信息安全管理的一般知識(shí) 了解信息安全管理在信息系統(tǒng)安全保障體系中的地位 認(rèn)識(shí)和了解iso17799 理解一個(gè)組織實(shí)施iso17799的意義 初步掌握建立信息安全管理體系（isms）的方法和步驟信息安全管理基礎(chǔ)知識(shí)4一、信息安全管理基礎(chǔ)一、信息安全管理基礎(chǔ)信息安全管理基礎(chǔ)知識(shí)5

2、目錄目錄信息安全基礎(chǔ)知識(shí)信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)61. 信息安全基礎(chǔ)知識(shí)信息安全基礎(chǔ)知識(shí) 1.1 信息安全的基本概念 1.2 為什么需要信息安全 1.3 實(shí)踐中的信息安全問題 1.4 信息安全管理的實(shí)踐經(jīng)驗(yàn)信息安全管理基礎(chǔ)知識(shí)7 請(qǐng)思考：請(qǐng)思考： 什么是信息安全？什么是信息安全？1.1 信息安全基本概念信息安全基本概念信息安全管理基礎(chǔ)知識(shí)8 iso17799中的描述中的描述“information is an asset which, like other important business assets,

3、 has value to an organization and consequently needs to be suitably protected. ” “information can exist in many forms. it can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 強(qiáng)調(diào)信息：強(qiáng)調(diào)信息： 是一種資產(chǎn)是一種資產(chǎn) 同其它重要的商

4、業(yè)資產(chǎn)一樣同其它重要的商業(yè)資產(chǎn)一樣 對(duì)組織具有價(jià)值對(duì)組織具有價(jià)值 需要適當(dāng)?shù)谋Ｗo(hù)需要適當(dāng)?shù)谋Ｗo(hù) 以各種形式存在：紙、電子、影片、交談等以各種形式存在：紙、電子、影片、交談等什么是信息？什么是信息？信息安全管理基礎(chǔ)知識(shí)9小問題：小問題：你們公司的knowledge都在哪里？信息在哪里？信息在哪里？信息安全管理基礎(chǔ)知識(shí)10什么是信息安全什么是信息安全?n iso17799中的描述中的描述“information security protects information from a wide range of threats in order to ensure business continu

5、ity, minimize business damage and maximize return on investments and business opportunities.” 信息安全：信息安全： 保護(hù)信息免受各方威脅保護(hù)信息免受各方威脅 確保組織業(yè)務(wù)連續(xù)性確保組織業(yè)務(wù)連續(xù)性 將信息不安全帶來的損失降低到最小將信息不安全帶來的損失降低到最小 獲得最大的投資回報(bào)和商業(yè)機(jī)會(huì)獲得最大的投資回報(bào)和商業(yè)機(jī)會(huì)信息安全管理基礎(chǔ)知識(shí)11信息安全的特征（信息安全的特征（cia）niso17799中的描述中的描述information security is characterized here as

6、 the preservation of:confidentialityintegrityavailability信息在安全方面三個(gè)特征：信息在安全方面三個(gè)特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問信息；機(jī)密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)?？捎眯裕捍_保在需要時(shí)，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。 信息安全管理基礎(chǔ)知識(shí)12信息本身信息本身信息處理設(shè)施信息處理設(shè)施信息處理者信息處理者信息處理信息處理過程過程 機(jī)密 可用 完整 總結(jié)信息

7、安全管理基礎(chǔ)知識(shí)13 請(qǐng)思考：請(qǐng)思考： 組織為什么要花錢實(shí)現(xiàn)信息安全？組織為什么要花錢實(shí)現(xiàn)信息安全？1.2 為什么需要信息安全為什么需要信息安全信息安全管理基礎(chǔ)知識(shí)14組織自身業(yè)務(wù)的需要組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求自身業(yè)務(wù)和利益的要求客戶的要求客戶的要求合作伙伴的要求合作伙伴的要求投標(biāo)要求投標(biāo)要求競(jìng)爭(zhēng)優(yōu)勢(shì)，樹立品牌競(jìng)爭(zhēng)優(yōu)勢(shì)，樹立品牌加強(qiáng)內(nèi)部管理的要求加強(qiáng)內(nèi)部管理的要求信息安全管理基礎(chǔ)知識(shí)15法律法規(guī)的要求法律法規(guī)的要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例知識(shí)產(chǎn)權(quán)保護(hù)知識(shí)產(chǎn)權(quán)保護(hù)互聯(lián)網(wǎng)安全管理辦法互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定網(wǎng)站備案管理規(guī)定信息安全管理基礎(chǔ)知識(shí)16

8、信息系統(tǒng)使命的要求信息系統(tǒng)使命的要求信息系統(tǒng)本身具有特定的使命信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障信息安全的目的就是使信息系統(tǒng)的使命得到保障。信息安全管理基礎(chǔ)知識(shí)17 請(qǐng)思考：請(qǐng)思考： 目前，解決信息安全問題，通常的做法是目前，解決信息安全問題，通常的做法是什么？什么？1.3 實(shí)踐中的信息安全問題實(shí)踐中的信息安全問題信息安全管理基礎(chǔ)知識(shí)18“產(chǎn)品導(dǎo)向型產(chǎn)品導(dǎo)向型”信息安全信息安全初始階段，解決信息安全問題，通常的方法：初始階段，解決信息安全問題，通常的方法：采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案；采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案； anti-virusanti

9、-virus、firewallfirewall、ids & scannerids & scanner組織內(nèi)部安排組織內(nèi)部安排1-21-2人兼職負(fù)責(zé)日常維護(hù)，通常來自以技術(shù)為主的人兼職負(fù)責(zé)日常維護(hù)，通常來自以技術(shù)為主的itit部門；部門；更多的情況是幾乎沒有日常維護(hù)更多的情況是幾乎沒有日常維護(hù)存在的問題存在的問題需求難以確定需求難以確定 保護(hù)什么、保護(hù)對(duì)象的邊界到哪里、應(yīng)該保護(hù)到什么程度保護(hù)什么、保護(hù)對(duì)象的邊界到哪里、應(yīng)該保護(hù)到什么程度管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià)管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià)通常用漏洞掃描（通常用漏洞掃描（scann

10、erscanner）來代替風(fēng)險(xiǎn)評(píng)估）來代替風(fēng)險(xiǎn)評(píng)估 有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對(duì)風(fēng)險(xiǎn)的態(tài)度有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對(duì)風(fēng)險(xiǎn)的態(tài)度“頭痛醫(yī)頭，腳痛醫(yī)腳頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題，很難實(shí)現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題信息安全管理基礎(chǔ)知識(shí)19信息安全管理信息安全管理niso17799強(qiáng)調(diào)：強(qiáng)調(diào)：“information security is a management process, not a technological process.” 技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵；技

11、術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵； 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最好的作用；產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最好的作用； 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全；技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全； 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要，先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要，也證明了管理的重要；也證明了管理的重要； 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)持續(xù)安全。并不斷得到修正，就會(huì)持續(xù)安全。信息安全管理基礎(chǔ)知識(shí)201.

12、4 信息安全管理的實(shí)踐經(jīng)驗(yàn)信息安全管理的實(shí)踐經(jīng)驗(yàn) 反映組織業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；反映組織業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)； 符合組織文化的安全實(shí)施方法；符合組織文化的安全實(shí)施方法； 管理層明顯的支持和承諾；管理層明顯的支持和承諾； 安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的正確理解；安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的正確理解； 有效地向所有管理人員和員工推行安全措施；有效地向所有管理人員和員工推行安全措施； 向所有的員工和簽約方提供本組織的信息安全方針與標(biāo)準(zhǔn)；向所有的員工和簽約方提供本組織的信息安全方針與標(biāo)準(zhǔn)； 提供適當(dāng)?shù)呐嘤?xùn)和教育；提供適當(dāng)?shù)呐嘤?xùn)和教育； 一整套用于評(píng)估信息安全管理能力和反饋建議的測(cè)

13、量系統(tǒng)一整套用于評(píng)估信息安全管理能力和反饋建議的測(cè)量系統(tǒng)信息安全管理基礎(chǔ)知識(shí)21二、信息安全管理與信息系統(tǒng)安全保障二、信息安全管理與信息系統(tǒng)安全保障信息安全管理基礎(chǔ)知識(shí)22目錄目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)232、信息安全管理與信息系統(tǒng)安全保障、信息安全管理與信息系統(tǒng)安全保障2.1信息系統(tǒng)的使命信息系統(tǒng)的使命2.2信息系統(tǒng)安全保障模型信息系統(tǒng)安全保障模型2.3信息系統(tǒng)安全保障框架信息系統(tǒng)安全保障框架2.4信息系統(tǒng)安全保障生命周期的保證信息系統(tǒng)安全保障生命周期的保證2.5信息安全管理

14、模型信息安全管理模型2.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系信息安全管理與信息系統(tǒng)安全保障的關(guān)系信息安全管理基礎(chǔ)知識(shí)242.1信息系統(tǒng)的使命資產(chǎn)資產(chǎn)可能意識(shí)到可能意識(shí)到引起引起增加增加利用利用導(dǎo)致導(dǎo)致威脅主體威脅主體威脅威脅所有者所有者風(fēng)險(xiǎn)風(fēng)險(xiǎn)脆弱性脆弱性對(duì)策對(duì)策可能被減少可能被減少利用利用價(jià)值價(jià)值希望最小化希望最小化希望濫用或破壞希望濫用或破壞可能具有可能具有減少減少到到到到使命使命希望完成希望完成到到可能阻礙或破壞可能阻礙或破壞信息安全管理基礎(chǔ)知識(shí)252.2信息系統(tǒng)安全保障模型技術(shù)技術(shù)過程過程管理管理人員人員保保證證對(duì)對(duì)象象生命周期生命周期信信息息特特征征計(jì)計(jì)劃劃組組織織開開發(fā)發(fā)采采購(gòu)購(gòu)

15、實(shí)實(shí)施施交交付付運(yùn)運(yùn)行行維維護(hù)護(hù)廢廢棄棄機(jī)密性機(jī)密性完整性完整性可用性可用性技術(shù)技術(shù)過程過程管理管理人員人員保保障障要要素素生命周期生命周期安安全全特特征征初初始始化化開開發(fā)發(fā)采采購(gòu)購(gòu)實(shí)實(shí)施施運(yùn)運(yùn)行行維維護(hù)護(hù)廢廢棄棄機(jī)密性機(jī)密性完整性完整性可用性可用性信息安全管理基礎(chǔ)知識(shí)262.3信息系統(tǒng)安全保障框架技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別管理準(zhǔn)則管理準(zhǔn)則管理準(zhǔn)則管理準(zhǔn)則管理能力成熟度級(jí)別管理能力成熟度級(jí)別管理能力成熟度級(jí)別管理能力成熟度級(jí)別工程準(zhǔn)則工程準(zhǔn)則工程準(zhǔn)則工程準(zhǔn)則工程能力成熟度級(jí)別工程能力成熟度級(jí)別工程能力成熟度級(jí)別工程

16、能力成熟度級(jí)別信息信息系統(tǒng)系統(tǒng)安全安全保障保障評(píng)估評(píng)估信息信息系統(tǒng)系統(tǒng)安全安全保障保障評(píng)估評(píng)估xx信息系統(tǒng)安全保障要求（信息系統(tǒng)安全保障要求（ispp ）xx信息系統(tǒng)安全保障要求（信息系統(tǒng)安全保障要求（ispp ）xx信息系統(tǒng)安全保障目標(biāo)（信息系統(tǒng)安全保障目標(biāo)（isst ）xx信息系統(tǒng)安全保障目標(biāo)（信息系統(tǒng)安全保障目標(biāo)（isst ）信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息信息系統(tǒng)系統(tǒng)安全安全保障保障能力能力級(jí)級(jí)isal評(píng)定評(píng)定信息信息系統(tǒng)系統(tǒng)安全安全保障保障能力能力級(jí)級(jí)isal評(píng)定評(píng)定技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)架構(gòu)成熟度級(jí)別

17、技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別管理準(zhǔn)則管理準(zhǔn)則管理準(zhǔn)則管理準(zhǔn)則管理能力成熟度級(jí)別管理能力成熟度級(jí)別管理能力成熟度級(jí)別管理能力成熟度級(jí)別工程準(zhǔn)則工程準(zhǔn)則工程準(zhǔn)則工程準(zhǔn)則工程能力成熟度級(jí)別工程能力成熟度級(jí)別工程能力成熟度級(jí)別工程能力成熟度級(jí)別信息信息系統(tǒng)系統(tǒng)安全安全保障保障評(píng)估評(píng)估信息信息系統(tǒng)系統(tǒng)安全安全保障保障評(píng)估評(píng)估xx信息系統(tǒng)安全保障要求（信息系統(tǒng)安全保障要求（ispp ）xx信息系統(tǒng)安全保障要求（信息系統(tǒng)安全保障要求（ispp ）xx信息系統(tǒng)安全保障目標(biāo)（信息系統(tǒng)安全保障目標(biāo)（isst ）xx信息系統(tǒng)安全保障目標(biāo)（信息系統(tǒng)安全保障目標(biāo)（isst ）信息系統(tǒng)安全保障評(píng)

18、估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息信息系統(tǒng)系統(tǒng)安全安全保障保障能力能力級(jí)級(jí)isal評(píng)定評(píng)定信息信息系統(tǒng)系統(tǒng)安全安全保障保障能力能力級(jí)級(jí)isal評(píng)定評(píng)定信息安全管理基礎(chǔ)知識(shí)272.4信息系統(tǒng)安全保障生命周期的保障變更應(yīng)用于系統(tǒng)變更應(yīng)用于系統(tǒng)計(jì)劃組織計(jì)劃組織開發(fā)采購(gòu)開發(fā)采購(gòu)實(shí)施交付實(shí)施交付運(yùn)行維護(hù)運(yùn)行維護(hù)廢棄廢棄建立使命要求建立使命要求建立使命要求建立使命要求審閱業(yè)務(wù)要求審閱業(yè)務(wù)要求系統(tǒng)需求分析系統(tǒng)需求分析定義運(yùn)行需求定義運(yùn)行需求系統(tǒng)體系設(shè)計(jì)系統(tǒng)體系設(shè)計(jì)項(xiàng)目與預(yù)算管理項(xiàng)目與預(yù)算管理兩種類型：兩種類型： 開發(fā)、購(gòu)買/客戶化/集成人員保證（決策人員）技術(shù)

19、保證（技術(shù)方案安全產(chǎn)品）過程保證（服務(wù)能力工程過程）管理保證（安全管理）人員保證（管理/維護(hù)/使用人員）人員保證（管理人員）人員保證（實(shí)施人員）管理保證（安全管理）管理保證（安全管理）管理保證（安全管理）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過程和人員領(lǐng)域要求及保證）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過程和人員領(lǐng)域要求及保證）保保障障要要素素信信息息系系統(tǒng)統(tǒng)生生命命周周期期信息安全管理基礎(chǔ)知識(shí)282.5信息系統(tǒng)安全保障管理模型信息安全管理基礎(chǔ)知識(shí)292.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系 信息系統(tǒng)安全保障三大部分：信息系統(tǒng)安全保障三大部分： 技術(shù)保障技術(shù)保障 過程保障過程保障 管理保障

20、管理保障 信息安全管理是信息系統(tǒng)安全保障的三大部分之一：信息安全管理是信息系統(tǒng)安全保障的三大部分之一： 管理保障管理保障 信息安全管理涉及到系統(tǒng)的整個(gè)生命周期信息安全管理涉及到系統(tǒng)的整個(gè)生命周期信息安全管理基礎(chǔ)知識(shí)30三、信息安全管理體系標(biāo)準(zhǔn)概三、信息安全管理體系標(biāo)準(zhǔn)概述述信息安全管理基礎(chǔ)知識(shí)31目錄目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)323.信息安全管理體系標(biāo)準(zhǔn)概述3.1 3.1 信息安全標(biāo)準(zhǔn)介紹信息安全標(biāo)準(zhǔn)介紹3.2 iso 177993.2 iso 177993.3 iso 177993

21、.3 iso 17799的歷史及發(fā)展的歷史及發(fā)展3.4 iso 17799:20053.4 iso 17799:2005的內(nèi)容框架的內(nèi)容框架3.5 iso 27001:20053.5 iso 27001:2005的內(nèi)容框架的內(nèi)容框架信息安全管理基礎(chǔ)知識(shí)333.1 信息安全標(biāo)準(zhǔn)介紹 信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn) 管理體系標(biāo)準(zhǔn)管理體系標(biāo)準(zhǔn)信息安全管理基礎(chǔ)知識(shí)34信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn) iso7498-2(gb/t9387.2-1995) iso13335 sse-cmm iso15408（gb/t18336-2001） iso17799信息安全管理基礎(chǔ)知識(shí)35iso7498-2(gb/t9387.2

22、-1995) 開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu) 由由iso/ice jtc1/sc21完成完成 1982年開始，年開始，1988年結(jié)束，年結(jié)束，iso發(fā)布了發(fā)布了iso7498-2 給出了基于給出了基于osi參考模型的參考模型的7層協(xié)議上的安全體系結(jié)構(gòu)層協(xié)議上的安全體系結(jié)構(gòu) 其核心內(nèi)容是：為了保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安其核心內(nèi)容是：為了保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安全交換信息的安全，它定義了該系統(tǒng)的全交換信息的安全，它定義了該系統(tǒng)的5大類安全服務(wù)，以及大類安全服務(wù)，以及提供這些服務(wù)的提供這些服務(wù)的8大類安全機(jī)制及相應(yīng)的安全管理，并可根據(jù)大類安全機(jī)制及相應(yīng)的安全管

23、理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)呐渲糜诰唧w系統(tǒng)適當(dāng)?shù)呐渲糜趏si模型的模型的7層協(xié)議中。層協(xié)議中。信息安全管理基礎(chǔ)知識(shí)36iso7498-2安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)加密數(shù)字簽名數(shù)據(jù)完整性訪問控制數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證抗抵賴數(shù)據(jù)保密性數(shù)據(jù)完整性訪問控制鑒別服務(wù)物理層鏈路層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層會(huì)話層安全機(jī)制安全服務(wù)osi參考模型信息安全管理基礎(chǔ)知識(shí)37iso13335 it安全管理安全管理 分為分為5個(gè)部分：個(gè)部分： iso/iec tr 13335-1：概念和模型：概念和模型 iso/iec tr 13335-2：管理和規(guī)劃：管理和規(guī)劃 iso/iec tr 13335-3：管理技術(shù)：管理

24、技術(shù) iso/iec tr 13335-4：安全措施的選擇：安全措施的選擇 iso/iec tr 13335-5：網(wǎng)絡(luò)安全性的管理指：網(wǎng)絡(luò)安全性的管理指導(dǎo)導(dǎo) 由由iso/iec jtc1/sc27完成完成信息安全管理基礎(chǔ)知識(shí)38sse-cmm 信息系統(tǒng)安全工程能力成熟信息系統(tǒng)安全工程能力成熟度模型度模型 cmmcapability maturity model 首先用于軟件工首先用于軟件工程；程； 1993年年4月，由美國(guó)月，由美國(guó)nsa資助，安全業(yè)界、資助，安全業(yè)界、dod、加、加拿大通信安全機(jī)構(gòu)共同組成項(xiàng)目組，研究把拿大通信安全機(jī)構(gòu)共同組成項(xiàng)目組，研究把cmm用于用于安全工程；安全工程；

25、1996年年10月推出第一版，月推出第一版，97年年4月推出方法（月推出方法（ssam）第一版；第一版；98年底推出第二版，年底推出第二版，99年年4月推出月推出ssam第第二版；二版； 用于信息系統(tǒng)安全的工程組織、采購(gòu)組織和評(píng)估機(jī)構(gòu)用于信息系統(tǒng)安全的工程組織、采購(gòu)組織和評(píng)估機(jī)構(gòu) 5個(gè)能力級(jí)別，個(gè)能力級(jí)別，11個(gè)過程區(qū)個(gè)過程區(qū) 2003年，出版了年，出版了sse-cmm v3.0信息安全管理基礎(chǔ)知識(shí)395個(gè)能力級(jí)別： 1級(jí)：非正式執(zhí)行級(jí) 2級(jí)：計(jì)劃和跟蹤級(jí) 3級(jí)：充分定義級(jí) 4級(jí)：量化控制級(jí) 5級(jí)：持續(xù)改進(jìn)級(jí) 代表安全工程組織的 成熟度級(jí)別11個(gè)過程區(qū)： pa 01 管理安全控制 pa 02

26、評(píng)估影響 pa 03 評(píng)估安全風(fēng)險(xiǎn) pa 04 評(píng)估威脅 pa 05 評(píng)估脆弱性 pa 06 建立保證論據(jù) pa 07 協(xié)調(diào)安全 pa 08 監(jiān)視安全態(tài)勢(shì) pa 09 提供安全輸入 pa 10 指定安全要求 pa 11 驗(yàn)證和證實(shí)安全性 sse-cmm 信息系統(tǒng)安全工程能力成信息系統(tǒng)安全工程能力成熟度模型（續(xù)）熟度模型（續(xù)）信息安全管理基礎(chǔ)知識(shí)40iso15408(gb/t18336) 信息技術(shù)安全信息技術(shù)安全性評(píng)估準(zhǔn)則性評(píng)估準(zhǔn)則 通常簡(jiǎn)稱通常簡(jiǎn)稱cc通用準(zhǔn)則，通用準(zhǔn)則，iso15408:1999，gb/t18336:2001; 定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)定義了評(píng)估信息技術(shù)

27、產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；則，是度量信息技術(shù)安全性的基準(zhǔn)； 分為分為3個(gè)部分：個(gè)部分： 第一部分：簡(jiǎn)介和一般模型第一部分：簡(jiǎn)介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保證要求第三部分：安全保證要求信息安全管理基礎(chǔ)知識(shí)41管理體系標(biāo)準(zhǔn)管理體系標(biāo)準(zhǔn) iso9000族族 質(zhì)量管理體系質(zhì)量管理體系 iso14000 環(huán)境管理體系標(biāo)準(zhǔn)環(huán)境管理體系標(biāo)準(zhǔn) ohsam18000 職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn) bs7799 信息安全管理體系標(biāo)準(zhǔn)信息安全管理體系標(biāo)準(zhǔn) iso17799 信息安全管理實(shí)施細(xì)則信息安全管理實(shí)施細(xì)則信息

28、安全管理基礎(chǔ)知識(shí)42 iso/iec17799:2005 information technology security techniques code of practice for information security management信息技術(shù)信息安全管理實(shí)施細(xì)則 3.2 iso/iec17799:2005信息安全管理基礎(chǔ)知識(shí)43 l 歷史bs 7799-2:19992001.6bs7799 part 2version ccode of practicedtibs 7799-part11993.9bsi1995.2bs 7799-part21998.2bs 7799-1:19991

29、999.4iso/iec2000.12+iso 177993.3 iso17799的歷史及發(fā)展的歷史及發(fā)展信息安全管理基礎(chǔ)知識(shí)44bsi簡(jiǎn)介簡(jiǎn)介 bsi 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)是全球領(lǐng)先的國(guó)際標(biāo)準(zhǔn)、產(chǎn)品測(cè)試、體系認(rèn)證機(jī)構(gòu)。英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)是全球領(lǐng)先的國(guó)際標(biāo)準(zhǔn)、產(chǎn)品測(cè)試、體系認(rèn)證機(jī)構(gòu)。 發(fā)起制定的標(biāo)準(zhǔn)發(fā)起制定的標(biāo)準(zhǔn) iso 9000（質(zhì)量管理體系）（質(zhì)量管理體系） iso 14001（環(huán)境管理體系）（環(huán)境管理體系） ohsas 18001（職業(yè)健康與安全管理體系）（職業(yè)健康與安全管理體系） qs-9000 / iso/ts 16949（汽車供應(yīng)行業(yè)的質(zhì)量管理體系）（汽車供應(yīng)行業(yè)的質(zhì)量

30、管理體系） tl 9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）（電信供應(yīng)行業(yè)的質(zhì)量管理體系） bs 7799。信息安全管理基礎(chǔ)知識(shí)45 iug：international user group 1997年成立 宗旨 促進(jìn)iso17799/bs7799的應(yīng)用和推廣 促進(jìn)對(duì)信息安全管理體系標(biāo)準(zhǔn)、認(rèn)證等的理解，服務(wù)全球商業(yè) 提供一個(gè)基于互聯(lián)網(wǎng)的論壇 提供一個(gè)信息交流的平臺(tái) 研究和寫作 成員australia brazil germany hong kong india ireland japankoreamalaysia the netherlands new zealand norway poland

31、singaporesouth africasweden switzerland taiwanuae uk usa 信息安全管理基礎(chǔ)知識(shí)46iso17799被各國(guó)或地區(qū)采用的情況被各國(guó)或地區(qū)采用的情況 england australia new zealand brazil czech republic finland iceland ireland netherlands (spe 20003) norway sweden (ss 627799) taiwan 中國(guó)中國(guó)信息安全管理基礎(chǔ)知識(shí)47iso17799在中國(guó)在中國(guó) 國(guó)內(nèi)從國(guó)內(nèi)從2000年初開始認(rèn)識(shí)年初開始認(rèn)識(shí)iso17799/bs779

32、9； 2000年初開始，國(guó)內(nèi)一些公司和單位進(jìn)行年初開始，國(guó)內(nèi)一些公司和單位進(jìn)行bs7799 的研究和相關(guān)課程培訓(xùn)；的研究和相關(guān)課程培訓(xùn)； 20022003年，我國(guó)已經(jīng)提出了國(guó)標(biāo)化的計(jì)劃；年，我國(guó)已經(jīng)提出了國(guó)標(biāo)化的計(jì)劃； 2005年，年，gb/t 19716 mod iso/iec 17799：2000信息安全管理基礎(chǔ)知識(shí)48iso/iec 17799/bs7799的發(fā)展趨勢(shì)的發(fā)展趨勢(shì) 2005年6月 iso/iec 17799:2005 2005年底 bs7799-2 轉(zhuǎn)化為iso/iec 27001 原定為iso/iec 24743 2005年12月 bs 7799-3:2005 信息安全風(fēng)

33、險(xiǎn)管理指南 20062007年 iso/iec 27000系列標(biāo)準(zhǔn)信息安全管理基礎(chǔ)知識(shí)49iso/iec 17799:20052000 版本版本2005 版本版本安全方針安全方針安全組織組織信息安全資產(chǎn)分類與控制資產(chǎn)管理人員安全人力資源安全物理和環(huán)境安全物理和環(huán)境安全通訊和運(yùn)行管理通訊和運(yùn)行管理訪問控制訪問控制系統(tǒng)開發(fā)和維護(hù)信息系統(tǒng)的獲得、開發(fā)和維護(hù)信息安全事故管理業(yè)務(wù)持續(xù)性管理業(yè)務(wù)持續(xù)性管理符合性符合性信息安全管理基礎(chǔ)知識(shí)50iso/iec 17799:2005 修改了控制目標(biāo) 增加了8個(gè)新的 重新編排5個(gè) 修改了控制措施 保留了116個(gè) 修改了9個(gè) 新增17個(gè)信息安全管理基礎(chǔ)知識(shí)51iso

34、/iec 27000系列系列v iso/iec 27000原理與詞匯v iso/iec 27001isms要求v iso/iec 27002信息安全管理實(shí)施細(xì)則v iso/iec 27003isms測(cè)量與審核v iso/iec 27004isms實(shí)施指南v iso/iec 27005信息安全風(fēng)險(xiǎn)管理指南 bs7799-2iso/iec 17799bs7799-3信息安全管理基礎(chǔ)知識(shí)523.4 iso17799:2005的內(nèi)容框架的內(nèi)容框架foreword(iso前言前言)introduction( 引言引言)scope (范圍范圍)term and definitions (術(shù)語(yǔ)和定義術(shù)語(yǔ)和定

35、義)structure and this standard（標(biāo)準(zhǔn)的架構(gòu)）（標(biāo)準(zhǔn)的架構(gòu)）risk assessment and treatment（風(fēng)險(xiǎn)的評(píng)估和處理）（風(fēng)險(xiǎn)的評(píng)估和處理）5.15. 詳細(xì)控制目標(biāo)和控制措施詳細(xì)控制目標(biāo)和控制措施信息安全管理基礎(chǔ)知識(shí)533.4 iso17799:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))introduction( 引言引言)什么是信息安全什么是信息安全為何需要信息安全為何需要信息安全如何建立安全需求如何建立安全需求評(píng)估安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)選擇控制措施選擇控制措施信息安全起點(diǎn)信息安全起點(diǎn)成功的關(guān)鍵因素成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針制定組織自身的指導(dǎo)方針

36、信息安全管理基礎(chǔ)知識(shí)54security policy 安全方針organization of information security 信息安全組織asset management 資產(chǎn)管理human resources security 人力資源安全physical and environmental security 物理和環(huán)境安全communications and operations management 通信和運(yùn)行管理access control 訪問控制information systems acquisition, development and maintenance 系統(tǒng)

37、的獲取、開發(fā)和維護(hù)information security incident management 信息安全故事管理business continuity management 業(yè)務(wù)連續(xù)性管理compliance 符合性3.4 iso17799:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))信息安全管理基礎(chǔ)知識(shí)55十一類控制措施十一類控制措施一、一、 安全方針安全方針(security policy )（1,2）（附注）（附注）二、二、 信息信息安全組織安全組織(organization of information security )(2,11)三、三、 資產(chǎn)管理資產(chǎn)管理(asset managem

38、ent)(2,5)四、四、 人力資源安全人力資源安全(human resources security) (3,9)五、物理和環(huán)境安全五、物理和環(huán)境安全(physical and environmental security )(2,13)六、通信和運(yùn)行管理六、通信和運(yùn)行管理(communications and operations management) (10,32)八、系統(tǒng)的獲取、開發(fā)和八、系統(tǒng)的獲取、開發(fā)和維護(hù)維護(hù)(information systems acquisition, development and maintenance )(6,16)七、訪問控制七、訪問控制(acce

39、ss control)(7,25)九、九、 信息信息安全故事管理安全故事管理(information security incident management)(2,5)十、業(yè)務(wù)連續(xù)性管理十、業(yè)務(wù)連續(xù)性管理(business continuity management)(1,5)十一、符合性十一、符合性(compliance )(3,10)附注：附注：(m，n) m：執(zhí)行目標(biāo)的數(shù)目：執(zhí)行目標(biāo)的數(shù)目 n：控制方法的數(shù)目：控制方法的數(shù)目信息安全管理基礎(chǔ)知識(shí)56十一類控制措施十一類控制措施(續(xù)續(xù)) iso17799包含了包含了39個(gè)控制目標(biāo)和個(gè)控制目標(biāo)和133個(gè)控個(gè)控制措施制措施 不是所有的控制措施

40、都適用于組織的各種情形不是所有的控制措施都適用于組織的各種情形 所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制的限制 所描述的控制措施并不是必須適用于組織中的所有所描述的控制措施并不是必須適用于組織中的所有人人信息安全管理基礎(chǔ)知識(shí)5711類39個(gè)目標(biāo)133項(xiàng)措施但這決不是全部！十一類控制措施十一類控制措施(續(xù)續(xù))信息安全管理基礎(chǔ)知識(shí)58 iso17799:2005推薦了十個(gè)控制措施作為信息安全的起始點(diǎn)（starting point），組織可以此為基礎(chǔ)建立isms。 這些控制措施在大多數(shù)情況下是普遍適用的?；究刂拼胧┗究刂拼胧┬畔踩芾砘A(chǔ)知

41、識(shí)59與法律有關(guān)的控制措施15.1.4 數(shù)據(jù)保護(hù)和個(gè)人隱私15.1.3 組織記錄的保護(hù)15.1.2 知識(shí)產(chǎn)權(quán)基本控制措施與法律相關(guān)的基本控制措施與法律相關(guān)的信息安全管理基礎(chǔ)知識(shí)60與最佳實(shí)踐有關(guān)的控制措施5.1.1 信息安全方針6.1.3 信息安全責(zé)任分配8.2.2 信息安全教育與培訓(xùn)12.2 應(yīng)用的正確處理12.6 技術(shù)性脆弱性的管理業(yè)務(wù)連續(xù)性管理13.2 安全事件和整改管理 基本控制措施與最佳實(shí)踐相關(guān)的基本控制措施與最佳實(shí)踐相關(guān)的信息安全管理基礎(chǔ)知識(shí)613.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架 iso 27001：2005 信息技術(shù)-安全技術(shù) 信息安全管理體系要求信息安全管理

42、基礎(chǔ)知識(shí)62 3.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架 iso前言 簡(jiǎn)介 1. 范圍 2.引用標(biāo)準(zhǔn) 3.術(shù)語(yǔ)和定義 4.信息安全管理體系 5.管理職責(zé) 6.isms內(nèi)部審核 7.isms管理評(píng)審 8.isms改進(jìn) 附錄a 控制目標(biāo)和控制措施信息安全管理基礎(chǔ)知識(shí)633.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))4.信息安全管理體系 4.1 總要求 4.2 建立并管理isms 4.3 文件要求 4.3.1 總則 4.3.2 文件控制 4.3.2 記錄控制 信息安全管理基礎(chǔ)知識(shí)64 5.管理職責(zé)5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓(xùn),意識(shí)和

43、能力 3.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))信息安全管理基礎(chǔ)知識(shí)653.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))6. isms內(nèi)部審核7. isms管理評(píng)審7.1 總則7.2 評(píng)審輸入7.2 評(píng)審輸出信息安全管理基礎(chǔ)知識(shí)66 8. isms改進(jìn)8.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施3.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù))信息安全管理基礎(chǔ)知識(shí)673.5 iso27001:2005的內(nèi)容框架的內(nèi)容框架(續(xù)續(xù)) 附錄a 控制目標(biāo)和控制措施 直接引用了iso/iec17799:2005 第5到第15章 39個(gè)控制目標(biāo) 133個(gè)具

44、體的控制措施信息安全管理基礎(chǔ)知識(shí)68四、信息安全管理體系方法四、信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)69目錄目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法信息安全管理體系方法信息安全管理基礎(chǔ)知識(shí)704. 信息安全管理體系方法4.1 什么是什么是isms4.2 isms的重要原則的重要原則4.3 isms的實(shí)現(xiàn)方法的實(shí)現(xiàn)方法信息安全管理基礎(chǔ)知識(shí)71 4.1 什么是isms isms： information security management system 信息安全管理體系信息安全管理體系iso9000-2000 術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義組織

45、organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施, 如：公司、集團(tuán)、商行、企事業(yè)單位、如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理 management指揮和控制組織的協(xié)調(diào)的活動(dòng)指揮和控制組織的協(xié)調(diào)的活動(dòng)體系 system相互關(guān)聯(lián)和相互作用的一組要素相互關(guān)聯(lián)和相互作用的一組要素管理體系 management system建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系n 管理學(xué)中的定義管理是指通過計(jì)劃、

46、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到是指通過計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到組織目標(biāo)的過程。組織目標(biāo)的過程。信息安全管理基礎(chǔ)知識(shí)72信息安全管理體系 isms定義定義isms是：是：在信息安全方面指揮和控制組織的以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和在信息安全方面指揮和控制組織的以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測(cè)量的信息安全目標(biāo)應(yīng)是可測(cè)量的要素可能包括要素可能包括 信息安全方針、策略信息安全方針、策略 信息安全組織結(jié)構(gòu)信息安全組織結(jié)構(gòu) 各種活動(dòng)、過程各種活動(dòng)、過程- 信息安全控制措施

47、信息安全控制措施- 人力、物力等資源人力、物力等資源 信息安全管理基礎(chǔ)知識(shí)73要求信息安全分析改進(jìn)資源管理信息安全實(shí)現(xiàn)管理職責(zé)輸入輸出信息安全管理體系的持續(xù)改進(jìn)信息安全管理體系框圖信息安全管理體系框圖信息安全管理基礎(chǔ)知識(shí)744.2 isms的重要原則 4.2.1 pdca循環(huán)循環(huán) 4.2.2 過程方法過程方法 4.2.3 其它重要原則其它重要原則信息安全管理基礎(chǔ)知識(shí)75pdca循環(huán)：plan docheckact計(jì)劃實(shí)施檢查改進(jìn)pdac 4.2.1 pdca循環(huán)信息安全管理基礎(chǔ)知識(shí)764.2.1 pdca循環(huán)循環(huán) 又稱又稱“戴明環(huán)戴明環(huán)”,pdca循環(huán)是能使任何一項(xiàng)活循環(huán)是能使任何一項(xiàng)活動(dòng)有效

48、進(jìn)行的工作程序動(dòng)有效進(jìn)行的工作程序: p：計(jì)劃，方針和目標(biāo)的確定以及活動(dòng)計(jì)劃的制定；：計(jì)劃，方針和目標(biāo)的確定以及活動(dòng)計(jì)劃的制定； d：執(zhí)行，具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；：執(zhí)行，具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容； c：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，分清哪些對(duì)了，哪些：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，分清哪些對(duì)了，哪些錯(cuò)了，明確效果，找出問題；錯(cuò)了，明確效果，找出問題； a：改進(jìn)（或處理）：改進(jìn)（或處理）,對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書，的經(jīng)驗(yàn)加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書，便于以后工作時(shí)遵循；對(duì)于失敗的教訓(xùn)也要總結(jié)，以免便于以

49、后工作時(shí)遵循；對(duì)于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對(duì)于沒有解決的問題，應(yīng)提給下一個(gè)重現(xiàn)。對(duì)于沒有解決的問題，應(yīng)提給下一個(gè)pdca循環(huán)中循環(huán)中去解決。去解決。信息安全管理基礎(chǔ)知識(shí)77pdca循環(huán)的特點(diǎn)一 按順序進(jìn)行，它靠組織的力量來推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán) 90909090處處理理執(zhí)執(zhí)行行計(jì)計(jì)劃劃?rùn)z檢查查c ca ad dp p4.2.1 pdca循環(huán)循環(huán)信息安全管理基礎(chǔ)知識(shí)78pdca循環(huán)的特點(diǎn)二 組織中的每個(gè)部分，甚至個(gè)人，均有一個(gè)pdca循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。 90909090c ca ad dp p90909090c ca ad dp p90909090c

50、 ca ad dp p4.2.1 pdca循環(huán)循環(huán)信息安全管理基礎(chǔ)知識(shí)79pdca循環(huán)的特點(diǎn)三 每通過一次pdca 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次pdca 循環(huán)。90909090改進(jìn)改進(jìn)執(zhí)行執(zhí)行計(jì)劃計(jì)劃?rùn)z查檢查c ca ad dp p達(dá)到新的水平達(dá)到新的水平改進(jìn)改進(jìn)( (修訂標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)) )維持原有水平維持原有水平90909090改進(jìn)改進(jìn)執(zhí)行執(zhí)行計(jì)劃計(jì)劃?rùn)z查檢查c ca ad dp p4.2.1 pdca循環(huán)循環(huán)信息安全管理基礎(chǔ)知識(shí)80 4.2.2 過程方法定義 iso9000-2000術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義 過程：過程： 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。一組將輸

51、入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。 過程方法過程方法 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程，特別是這些過程系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為之間的相互作用，稱之為“過程方法過程方法” 。信息安全管理基礎(chǔ)知識(shí)81活動(dòng)活動(dòng)測(cè)量、改進(jìn)測(cè)量、改進(jìn)責(zé)任人責(zé)任人資資 源源記記 錄錄輸入輸入輸出輸出過程方法模型：信息安全管理基礎(chǔ)知識(shí)82 信息安全管理過程方法信息安全實(shí)現(xiàn)是一個(gè)大的過程；信息安全實(shí)現(xiàn)是一個(gè)大的過程；信息安全實(shí)現(xiàn)過程的每一個(gè)活動(dòng)也是一信息安全實(shí)現(xiàn)過程的每一個(gè)活動(dòng)也是一個(gè)過程；個(gè)過程；識(shí)別組織實(shí)現(xiàn)信息安全的每一個(gè)過程；識(shí)別組織實(shí)現(xiàn)信息安全的每一個(gè)過程；對(duì)每一個(gè)

52、信息安全過程的實(shí)施進(jìn)行監(jiān)控對(duì)每一個(gè)信息安全過程的實(shí)施進(jìn)行監(jiān)控和測(cè)量；和測(cè)量；改進(jìn)每一個(gè)信息安全過程。改進(jìn)每一個(gè)信息安全過程。 信息安全管理基礎(chǔ)知識(shí)83制定信息安全方針制定信息安全方針確定確定isms的范圍的范圍安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理選擇控制目標(biāo)和控制措施選擇控制目標(biāo)和控制措施準(zhǔn)備適用聲明準(zhǔn)備適用聲明實(shí) 施測(cè)量、改進(jìn)安全需求安全信息安全管理的過程網(wǎng)絡(luò)信息安全管理基礎(chǔ)知識(shí)84信息安全管理的過程網(wǎng)絡(luò) 將相互關(guān)聯(lián)的過程作為一個(gè)系統(tǒng)來識(shí)別、理解和管理將相互關(guān)聯(lián)的過程作為一個(gè)系統(tǒng)來識(shí)別、理解和管理 一個(gè)過程的輸出構(gòu)成隨后過程輸入的一部分一個(gè)過程的輸出構(gòu)成隨后過程輸入的一部分 過程之間的相

53、互作用形成相互依賴的過程網(wǎng)絡(luò)過程之間的相互作用形成相互依賴的過程網(wǎng)絡(luò) pdca循環(huán)可用于單個(gè)過程，也可用于整個(gè)過程網(wǎng)絡(luò)循環(huán)可用于單個(gè)過程，也可用于整個(gè)過程網(wǎng)絡(luò)信息安全管理基礎(chǔ)知識(shí)85領(lǐng)導(dǎo)重視 指明方向和目標(biāo) 權(quán)威 預(yù)算保障，提供所需的資源 監(jiān)督檢查 組織保障 4.2.3其它重要原則領(lǐng)導(dǎo)重視信息安全管理基礎(chǔ)知識(shí)86 全員參與 信息安全不僅僅是it部門的事； 讓每個(gè)員工明白隨時(shí)都有信息安全問題； 每個(gè)員工都應(yīng)具備相應(yīng)的安全意識(shí)和能力； 讓每個(gè)員工都明確自己承擔(dān)的信息安全責(zé)任；4.2.3 其它重要原則全員參與信息安全管理基礎(chǔ)知識(shí)87持續(xù)改進(jìn) 信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng) 持續(xù)改進(jìn)才能有最大限度的安全

54、組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段 實(shí)現(xiàn)信息安全目標(biāo)的循環(huán)活動(dòng) 4.2.3 其它重要原則持續(xù)改進(jìn)信息安全管理基礎(chǔ)知識(shí)88 文件化 文件的作用：有章可循，有據(jù)可查 文件的類型：手冊(cè)、規(guī)范、指南、記錄 4.2.3 其它重要原則文件化 溝通意圖，統(tǒng)一行動(dòng)溝通意圖，統(tǒng)一行動(dòng)重復(fù)和可追溯重復(fù)和可追溯提供客觀證據(jù)提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)用于學(xué)習(xí)和培訓(xùn) 文件的作用：有章可循，有據(jù)可查 信息安全管理基礎(chǔ)知識(shí)89 文件的類型：手冊(cè)、規(guī)范、指南、記錄 - - 手冊(cè)：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信手冊(cè)：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件息的文件 - - 規(guī)范：闡明要求的

55、文件規(guī)范：闡明要求的文件 - - 指南：闡明推薦方法和建議的文件指南：闡明推薦方法和建議的文件 - - 記錄：為完成的活動(dòng)或達(dá)到的結(jié)果提供客觀證據(jù)的文件記錄：為完成的活動(dòng)或達(dá)到的結(jié)果提供客觀證據(jù)的文件 文件化4.2.3 其它重要原則文件化信息安全管理基礎(chǔ)知識(shí)904.3 isms的實(shí)現(xiàn)方法4.3.1 isms總則總則4.3.2 建立建立isms框架框架4.3.3 isms實(shí)施實(shí)施4.3.4 isms體系文件體系文件4.3.5 文件的控制文件的控制4.3.6 記錄記錄信息安全管理基礎(chǔ)知識(shí)91 the organization shall establish and maintain documen

56、ted isms. this shall address the assets to be protected, the organizations approach to risk management, the control objectives and controls, and the degree of assurance required. 組織應(yīng)該建立并運(yùn)行一套文件化的isms 確定組織需要保護(hù)的資產(chǎn) 確定風(fēng)險(xiǎn)管理的方法 確定風(fēng)險(xiǎn)控制的目標(biāo)和控制措施 確定要達(dá)到的安全保證程度 3.1 general (總則總則) 4.3.1 isms總則總則信息安全管理基礎(chǔ)知識(shí)92 建設(shè)ism

57、s的步驟：如下圖 3.2 establishing a management framework(建立管理框架建立管理框架) 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)93方針文檔第一步：第二步：第三步：第四步：第五步：第六步：isms范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)94 一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理， 二、公司總經(jīng)理張未來先生決定在整個(gè)公司范圍內(nèi)建立并實(shí)施信息安全管理體系。要求各部門高度重視， 第一步第一步

58、 制訂信息安全方針制訂信息安全方針 組織應(yīng)定義信息安全方針。組織應(yīng)定義信息安全方針。bs7799-2對(duì)對(duì)isms的要求：的要求： 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)95什么是信息安全方針？什么是信息安全方針？ 信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。 信息安全方針 第一步第一步 制訂信息安全方針制訂信息安全方針 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)96 第一步第一步 制訂信息安全方針制訂信息安全方針l要經(jīng)最高管理者批準(zhǔn)和發(fā)布l體現(xiàn)了最高管理者對(duì)信息安全的承諾與支持l要傳達(dá)給

59、組織內(nèi)所有的員工l要定期和適時(shí)進(jìn)行評(píng)審信息安全方針信息安全方針 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)97目的和意義目的和意義l為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)；l確保信息安全管理體系被充分理解和貫徹實(shí)施；l統(tǒng)領(lǐng)整個(gè)信息安全管理體系。 第一步第一步 制訂信息安全方針制訂信息安全方針 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)98信息安全方針的內(nèi)容信息安全方針的內(nèi)容 包括但不限于：-組織對(duì)信息安全的定義組織對(duì)信息安全的定義-信息安全總體目標(biāo)和范圍信息安全總體目標(biāo)和范圍-最高管理者對(duì)信息安全的承諾與支持的聲明最高管理者對(duì)信息安全的承諾與支持的聲明-符合

60、相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明-對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義-相關(guān)支持文件相關(guān)支持文件 第一步第一步 制訂信息安全方針制訂信息安全方針 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)99注意事項(xiàng)注意事項(xiàng)-簡(jiǎn)單明了簡(jiǎn)單明了-易于理解易于理解-可實(shí)施可實(shí)施-避免太具體避免太具體 第一步第一步 制訂信息安全方針制訂信息安全方針 4.3.2 建立建立isms框架框架信息安全管理基礎(chǔ)知識(shí)100 第二步第二步 確定確定ismsisms范圍范圍 組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特