CISP-信息安全管理-V4.1

1、CISP-信息安全管理-V4.1課程內(nèi)容課程內(nèi)容2信息安全管理信息安全管理知識域知識域知識子域知識子域信息安全風(fēng)險管理信息安全風(fēng)險管理信息安全管理體系最佳實踐信息安全管理體系最佳實踐信息安全管理體系建設(shè)信息安全管理體系建設(shè)信息安全管理體系度量信息安全管理體系度量信息安全管理基礎(chǔ)信息安全管理基礎(chǔ)知識子域：安全管理體基礎(chǔ)知識子域：安全管理體基礎(chǔ)v基本概念 了解信息、信息安全管理、信息安全管理體系等基本概念。v信息安全管理的作用及對組織的價值 理解信息安全管理的作用，對組織內(nèi)部和組織外部的價值。3基本概念基本概念v信息 企業(yè)：對用戶的信息保護成為新的關(guān)注點 用戶：用戶將安全作為選擇服務(wù)的重要依據(jù)之一

2、 攻擊者：不起眼的數(shù)據(jù)對攻擊者可能價值很高，倒逼企業(yè)和個人更關(guān)注信息安全 v信息安全管理 信息安全管理是組織管理體系的一個重要環(huán)節(jié) v信息安全管理體系 組織管理體系的一部分 基于風(fēng)險評估和組織風(fēng)險接受水平 4信息安全管理基本概念信息安全管理基本概念v管理v指揮和控制組織的協(xié)調(diào)的活動。- ISO9000:202X 質(zhì)量管理體系 基礎(chǔ)和術(shù)語）v信息安全管理v管理者為實現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運作的持續(xù)）而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。v信息安全管理的對象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)5信息輸入立法摘要變化？關(guān)鍵活動關(guān)鍵活動測量擁有者資 源記錄標(biāo) 準(zhǔn)輸入輸

3、出生 產(chǎn)經(jīng) 營過程 規(guī)則 人員目標(biāo)信息安全管理的作用及對組織的價值信息安全管理的作用及對組織的價值v信息安全管理的作用 信息安全管理是組織整體管理的重要、固有組成部分，是組織實現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障 信息安全管理是信息安全技術(shù)的融合劑，保障各項技術(shù)措施能夠發(fā)揮作用 信息安全管理能預(yù)防、阻止或減少信息安全事件的發(fā)生v對組織的價值 對內(nèi) 對外6信息安全水平被侵害的資產(chǎn)防護措施知識子域：信息安全風(fēng)險管理知識子域：信息安全風(fēng)險管理v風(fēng)險管理概述 了解信息安全風(fēng)險、風(fēng)險管理的概念； 理解信息安全風(fēng)險管理的作用和價值； 理解風(fēng)險管理中各要素的關(guān)系。v常見風(fēng)險管理模型 了解COSO報告、ISO31000、C

4、OBIT等風(fēng)險管理模型的作用。v安全風(fēng)險管理基本過程 掌握風(fēng)險管理中背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢等步驟的工作內(nèi)容。7風(fēng)險管理基本概念風(fēng)險管理基本概念v風(fēng)險：事態(tài)的概率及其結(jié)果的組合 風(fēng)險是客觀存在 風(fēng)險管理是指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動，其目的是確保不確定性不會使企業(yè)的業(yè)務(wù)目標(biāo)發(fā)生變化 風(fēng)險的識別、評估和優(yōu)化v風(fēng)險管理的價值 安全措施的成本與資產(chǎn)價值之間的平衡8基于風(fēng)險的思想是所有信息系統(tǒng)安全保障工作的核心思想！風(fēng)險管理各要素關(guān)系風(fēng)險管理各要素關(guān)系9常見風(fēng)險管理模型常見風(fēng)險管理模型 v內(nèi)部控制整合框架（COSO報告） 三個目標(biāo)：財務(wù)報告可靠性、經(jīng)驗效率和效

5、果、合規(guī)性 五個管理要素：內(nèi)制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控 vISO31000 為所有與風(fēng)險管理相關(guān)的操作提供最佳實踐結(jié)構(gòu)和指導(dǎo) vCOBIT 為信息系統(tǒng)和技術(shù)的治理及控制過程提供最佳實踐 組件：框架、流程描述、控制目標(biāo)、管理指南、成熟度模型 10信息安全風(fēng)險管理基本過程信息安全風(fēng)險管理基本過程vGB/Z 24364信息安全風(fēng)險管理指南 四個階段 兩個貫穿11監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢背景建立背景建立v背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準(zhǔn)備，進行相關(guān)信息的調(diào)查和分析 風(fēng)險管理準(zhǔn)備：確定對象、組建團隊、制定計劃、獲得支持 信息系

6、統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 信息安全分析：分析安全要求、分析安全環(huán)境12風(fēng)險評估風(fēng)險評估v信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動 風(fēng)險評估準(zhǔn)備：制定風(fēng)險評估方案、選擇評估方法 風(fēng)險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 風(fēng)險分析：判斷風(fēng)險發(fā)生的可能性和影響的程度 風(fēng)險結(jié)果判定：綜合分析結(jié)果判定風(fēng)險等級13風(fēng)險處理風(fēng)險處理v風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)。 現(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以 處理目標(biāo)確認(rèn)：不可接受的風(fēng)險需要控制到怎樣的程度 處理措施選擇：選

7、擇風(fēng)險處理方式，確定風(fēng)險控制措施 處理措施實施：制定具體安全方案，部署控制措施14批準(zhǔn)監(jiān)督批準(zhǔn)監(jiān)督v 是指機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定v監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險15監(jiān)控審查監(jiān)控審查v監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險管理主循環(huán)的有效性16類似信息系統(tǒng)工程中的監(jiān)理溝通咨詢溝通咨詢v通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓(xùn)和方便的咨詢

8、，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在17溝通咨詢溝通咨詢 與領(lǐng)導(dǎo)領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn) 單位內(nèi)部各有關(guān)部門相互單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作 與支持單位和系統(tǒng)用戶支持單位和系統(tǒng)用戶溝通，以得到了解和支持 為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識、知識和技能知識子域：信息安全管理體系建設(shè)知識子域：信息安全管理體系建設(shè)18v信息安全管理體系成功因素 理解信息安全管理體系成功因素。vPDCA過程 理解PDCA過程方法及27001中定義的PDCA過程方法四個階段工作內(nèi)容。信息安全管理體系建設(shè)信息安全管理體系建設(shè)v 信息安全管理體系 組織在整體或特

9、定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接 管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合1927001270022700027006270052700327004 27000信息安全管理體系原則和術(shù)語信息安全管理體系原則和術(shù)語 27001信息安全管理體系要求信息安全管理體系要求27002 信息安全管理實踐準(zhǔn)則信息安全管理實踐準(zhǔn)則27003信息安全管理實施指南信息安全管理實施指南27004 信息安全管理的度量指標(biāo)和衡量信息安全管理的度量指標(biāo)和衡量111 27005 信息安全風(fēng)險管理指南信息安全風(fēng)險管理指南27006 信息和通信

10、技術(shù)災(zāi)難恢復(fù)服務(wù)指南信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南27007 XXX信息安全管理體系建設(shè)成功的因素信息安全管理體系建設(shè)成功的因素v信息安全策略、目標(biāo)和與目標(biāo)一致的活動；v與組織文化一致的，信息安全設(shè)計、實施、監(jiān)視、保持和改進的方法與框架；v來自所有管理層級、特別是最高管理者的可見支持和承諾；v對應(yīng)用信息安全風(fēng)險管理（見ISO/IEC 27005）實現(xiàn)信息資產(chǎn)保護的理解；20信息安全管理體系建設(shè)成功的因素信息安全管理體系建設(shè)成功的因素v有效的信息安全意識、培訓(xùn)和教育計劃，已使所有員工和其他相關(guān)方知悉在信息安全策略、標(biāo)準(zhǔn)等當(dāng)中他們的信息安全義務(wù)，并激勵他們做出相應(yīng)的行動；v有效的信息安全事件管理過

11、程；v有效的業(yè)務(wù)持續(xù)性管理方法；v評價信息安全管理性能的測量系統(tǒng)和反饋的改進建議。21PDCAPDCA過程方法過程方法v管理學(xué)常用的過程模型 P P（Plan）：計劃 D D（Do）：實施 C C（Check）：檢查 A A（Act）：行動v按照PDCA 進行循環(huán)，大環(huán)套小環(huán)，持續(xù)改進 vPDCA是27001定義的過程方法 222700127001中定義的中定義的PDCAPDCA過程方法階段工作過程方法階段工作23知識子域：信息安全管理體系建設(shè)知識子域：信息安全管理體系建設(shè)24v信息安全管理體系建設(shè)過程 掌握規(guī)劃與建立階段組織背景、領(lǐng)導(dǎo)力、計劃、支持等主要工作的內(nèi)容； 理解實施與運行、監(jiān)視和評

12、審、維護和改進階段工作內(nèi)容。v文檔化 理解文檔化的重要性并了解文件體系及文件控制的方式。規(guī)劃與建立規(guī)劃與建立v組織背景 建立信息安全管理體系的基礎(chǔ) 了解組織有關(guān)信息安全的內(nèi)部（人員、管理、流程等）和外部（合作伙伴、供應(yīng)商、外包商等）問題 確定ISMS管理范圍 建立、實施、運行、保持和持續(xù)改進符合國際標(biāo)準(zhǔn)要求的ISMS25規(guī)劃與建立規(guī)劃與建立v領(lǐng)導(dǎo)力 管理承諾是建立信息安全管理體系的關(guān)鍵成功因素之一 建立在組織的整體管理基礎(chǔ)，需要組織整體參與 組織高層確定的信息安全方針并文檔化，明確描述組織的角色、職責(zé)和權(quán)限26規(guī)劃與建立規(guī)劃與建立v計劃 計劃建立在風(fēng)險評估基礎(chǔ)上 計劃必須符合組織的安全目標(biāo) 層

13、次改進v支持 獲得資源 全員宣貫培訓(xùn)27實施與運行實施與運行v實施與運行 實施風(fēng)險評估，確定所識別信息資產(chǎn)的信息安全風(fēng)險以及處理信息安全風(fēng)險的決策，形成信息安全要求 控制措施適度安全 控制在適用性聲明中形成文件v監(jiān)視和評審 根據(jù)組織政策和目標(biāo)，監(jiān)控和評估績效來維護和改進ISMSv維護與改進 不符合和糾正措施 持續(xù)改進28文檔化文檔化v文檔結(jié)構(gòu)v文件控制 建立 批準(zhǔn)發(fā)布 評審與更新 文件保存 文件作廢29一級文件方針、政策二級文件制度、流程、規(guī)范三級文件使用手冊、操作指南、作業(yè)指導(dǎo)書四級文件日志、記錄、檢查表、模板、表單知識子域：信息安全管理體系最佳實踐知識子域：信息安全管理體系最佳實踐v信息安

14、全管理體系控制類型信息安全管理體系控制類型 了解預(yù)防性、檢測性、糾正性控制措施的差別及應(yīng)用。v信息安全管理體系控制措施結(jié)構(gòu)信息安全管理體系控制措施結(jié)構(gòu) 了解ISO 27002要求的14個控制章節(jié)。30安全控制措施內(nèi)部結(jié)構(gòu)安全控制措施內(nèi)部結(jié)構(gòu)v結(jié)構(gòu) 14個類別 35個目標(biāo) 114個控制措施v描述方式 控制類 控制目標(biāo) 控制措施 實施指南 31信息安全方針信息安全方針v控制目標(biāo):組織的安全方針能夠依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全v控制措施 信息安全方針 信息安全方針應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達給所有員工和外部相關(guān)方 信息安全方針評審 宜按計劃的時間間隔或當(dāng)重大變化發(fā)生時進行信息安

15、全方針評審，以確保它持續(xù)的適宜性、充分性和有效性32信息安全組織信息安全組織v內(nèi)部組織 控制目標(biāo)：建立一個管理框架，用以啟動和控制的組織內(nèi)信息安全的實施和運行 控制措施 信息安全的角色和職責(zé)、職責(zé)分離、與政府部門的聯(lián)系、與相關(guān)利益方的聯(lián)系、項目管理的信息安全v移動設(shè)備與遠(yuǎn)程辦公 控制目標(biāo)：確保遠(yuǎn)程辦公和使用移動設(shè)備時的安全性 控制措施 移動設(shè)備方針，管理移動帶來的風(fēng)險 保護遠(yuǎn)程工作地點的信息訪問、處理和存儲33人力資源安全人力資源安全v任用前 控制目標(biāo)：確保雇員、承包方理解其職責(zé)，對其考慮的角色是適合的 控制措施：審查、任用條款及條件v任用中 控制目標(biāo)：確保雇員、承包方意識并履行其信息安全職責(zé)

16、 控制措施：管理職責(zé)、意識教育和培訓(xùn)、紀(jì)律處理v任用終止和變化 控制目標(biāo)：將聘用的變更或終止作為組織過程的一部分以保護組織的利益 控制措施:雇傭責(zé)任的改變和終結(jié)34資產(chǎn)管理資產(chǎn)管理35v對資產(chǎn)負(fù)責(zé) 控制目標(biāo)：標(biāo)識組織資產(chǎn)并確定適當(dāng)?shù)谋Ｗo責(zé)任 控制措施：資產(chǎn)清單、資產(chǎn)責(zé)任人、資產(chǎn)的可接受使用、資產(chǎn)歸還v信息分類 控制目標(biāo)：確保信息受到適當(dāng)級別的保護 控制措施：分類指南、信息的標(biāo)記、資產(chǎn)的處理v介質(zhì)處理 控制目標(biāo)：防止介質(zhì)存儲信息的未授權(quán)泄露、修改、移動或銷毀 控制措施：可移動介質(zhì)的管理、介質(zhì)的處置、物理介質(zhì)傳輸訪問控制訪問控制36v訪問控制的業(yè)務(wù)要求 控制目標(biāo)：限制對信息和信息處理設(shè)施的訪問。

17、控制措施：訪問控制方針、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問v用戶訪問管理 控制目標(biāo)：確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問 控制措施：用戶注冊和注銷、用戶訪問配置、特殊權(quán)限管理、用戶的秘密驗證信息管理、用戶訪問權(quán)的復(fù)查、訪問權(quán)限的移除或調(diào)整訪問控制訪問控制v用戶職責(zé) 控制目標(biāo)：使用戶負(fù)責(zé)維護其授權(quán)信息。 控制措施：秘密驗證信息的使用v系統(tǒng)和應(yīng)用訪問控制 控制目標(biāo)：防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。 控制措施：信息訪問限制、安全登錄規(guī)程、口令管理系統(tǒng)、特權(quán)實用程序的使用、程序源代碼的訪問控制37密碼學(xué)密碼學(xué)v控制目標(biāo)：通過加密方法保護信息的保密性、真實性或完整性。v控制措施： 使用加密控制的策略 密鑰管理

18、38物理與環(huán)境安全物理與環(huán)境安全39v安全區(qū)域 控制目標(biāo)：防止對組織場所和信息過程設(shè)備的未授權(quán)物理訪問、損壞和干擾。 控制措施：物理安全邊界、物理入口控制、辦公室、房間和設(shè)施的安全保護、外部和環(huán)境威脅的安全防護、在安全區(qū)域工作、送貨和裝卸區(qū)v設(shè)備安全 控制目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷 控制措施：設(shè)備安置和保護、支持性設(shè)施、備維護 資產(chǎn)的移動、操作安全操作安全40v操作規(guī)程和職責(zé) 控制目標(biāo)：確保正確、安全地操作信息處理設(shè)施 控制措施：文件化的操作規(guī)程變更管理、容量管理、開發(fā)、測試和運行設(shè)施分離v惡意代碼防范 控制目標(biāo)：保護信息和信息處理設(shè)施以防惡意代碼 控制措

19、施：控制惡意代碼v備份 控制目標(biāo)：防止數(shù)據(jù)丟失 控制措施：信息備份操作安全操作安全41v日志記錄和監(jiān)視 控制目標(biāo)：記錄事件并生成證據(jù)。 控制措施：事件日志、日志信息的保護、管理員和操作員日志、時鐘同步v操作軟件控制 控制目標(biāo)：確保操作系統(tǒng)的完整性。 控制措施：操作系統(tǒng)軟件的安裝v技術(shù)漏洞管理 控制目標(biāo)：防止對技術(shù)漏洞的利用。 控制措施：技術(shù)脆弱性管理、軟件安裝限制操作安全操作安全v信息系統(tǒng)審計的考慮 控制目標(biāo)：極小化審計行為對業(yè)務(wù)系統(tǒng)帶來的影響 控制措施：信息系統(tǒng)審計控制42通信安全通信安全43v網(wǎng)絡(luò)安全管理 控制目標(biāo)：確保網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全性 控制措施：網(wǎng)絡(luò)控制、網(wǎng)絡(luò)服務(wù)安全、

20、網(wǎng)絡(luò)隔離v信息的交換 控制目標(biāo)：保持組織內(nèi)以及與組織外信息交換的安全。 控制措施：信息交換策略和規(guī)程、信息交換協(xié)議、電子消息、保密或不披露協(xié)議信息獲取開發(fā)及維護信息獲取開發(fā)及維護44v信息系統(tǒng)的安全要求 控制目標(biāo)：確保信息安全是信息系統(tǒng)生命周期中的一個有機組成部分。這同樣包含了在公共網(wǎng)絡(luò)上提供服務(wù)的信息系統(tǒng)的要求。 控制措施：安全需求分析和說明、公共網(wǎng)絡(luò)上的安全應(yīng)用服務(wù)、應(yīng)用服務(wù)交換的保護v開發(fā)和支持過程中的安全 控制目標(biāo)：確保信息系統(tǒng)開發(fā)的生命周期中設(shè)計和實施的信息安全。 控制措施：安全開發(fā)策略、系統(tǒng)變更控制規(guī)程、操作系統(tǒng)變更后應(yīng)用的技術(shù)評審、軟件包變更的限制、安全系統(tǒng)工程原理、.信息獲取開

21、發(fā)及維護信息獲取開發(fā)及維護45v開發(fā)和支持過程中的安全 控制目標(biāo)：確保信息系統(tǒng)開發(fā)的生命周期中設(shè)計和實施的信息安全。 控制措施：安全開發(fā)策略、系統(tǒng)變更控制規(guī)程、操作系統(tǒng)變更后應(yīng)用的技術(shù)評審、軟件包變更的限制、安全系統(tǒng)工程原理、.v測試數(shù)據(jù) 控制目標(biāo)：確保用于測試的數(shù)據(jù)得到保護 控制措施：測試數(shù)據(jù)的保護供應(yīng)商關(guān)系供應(yīng)商關(guān)系46v供應(yīng)商關(guān)系中的信息安全 控制目標(biāo)：確保供應(yīng)商可訪問的組織資產(chǎn)受到保護 控制措施：供應(yīng)商關(guān)系的信息安全方針、供應(yīng)商協(xié)議中解決安全問題、信息和通信技術(shù)的供應(yīng)鏈v供應(yīng)商服務(wù)交付管理 控制目標(biāo)：根據(jù)供應(yīng)協(xié)議，維持信息安全和服務(wù)交付在協(xié)定的等級 控制措施：監(jiān)控和審查供應(yīng)商服務(wù)、供應(yīng)商服務(wù)變更管理信息安全事件管理信息安全事件管理47v信息安全事件的管理和改進 控制目標(biāo)：確保采用一致和有效的方法對信息安全事件進行管理，包括通信安全事件和弱點。 控制措施： 職責(zé)和規(guī)程 信息安全事態(tài)報告 信息安全弱點報告 信息安全事態(tài)的評估和決策 信息安全事件的響應(yīng) 從信息安全事件中學(xué)習(xí) 證據(jù)的收集業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理48v信息安全的連續(xù)性 控制