構(gòu)建組織的ISMS體系ppt課件

1、構(gòu)建組織的ISMS體系愛(ài)科講師：于慧龍infoicanits信息平安管理體系ISMS由于許多信息系統(tǒng)并非在設(shè)計(jì)時(shí)充分思索了平安，依托技術(shù)手段實(shí)現(xiàn)平安很有限，必需依托必要的管理手段來(lái)支持。信息平安管理就是經(jīng)過(guò)保證維護(hù)信息的性、完好性和可用性來(lái)管理和維護(hù)組織的一切信息資產(chǎn)的一項(xiàng)體制。經(jīng)過(guò)合理的組織體系、規(guī)章制度和控管措施，把具有信息平安保證功能的軟硬件設(shè)備和管理以及運(yùn)用信息的人整合在一同，以此確保整個(gè)組織到達(dá)預(yù)定程度的信息平安，稱(chēng)為信息平安管理體系ISMS。明確維護(hù)和管理的對(duì)象人內(nèi)部員工、外部客戶(hù)、效力供應(yīng)商、產(chǎn)品供應(yīng)商等。物網(wǎng)絡(luò)設(shè)備、系統(tǒng)主機(jī)、任務(wù)站、PC機(jī)等；操作系統(tǒng)、業(yè)務(wù)運(yùn)用系統(tǒng)等；商業(yè)涉密

2、數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、文檔數(shù)據(jù)等。普通產(chǎn)品供貨商平安產(chǎn)品供貨商IT效力提供商組織業(yè)務(wù)部門(mén)客戶(hù)組織內(nèi)部員工協(xié)作同伴組織采購(gòu)部門(mén)組織管理人員組織運(yùn)營(yíng)網(wǎng)絡(luò)組織運(yùn)用系統(tǒng)ISMS的建立與維護(hù)遵照國(guó)內(nèi)外相關(guān)信息平安規(guī)范與最正確實(shí)際過(guò)程，思索到組織對(duì)信息平安的各個(gè)層面的實(shí)踐需求，在風(fēng)險(xiǎn)分析的根本上引入恰當(dāng)控制，建立合理平安管理體系，從而保證組織賴(lài)以生存的信息資產(chǎn)的平安性、完好性和可用性；平安體系還該當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)開(kāi)展和信息技術(shù)提高而不斷改良，不能一勞永逸，一成不變。因此實(shí)現(xiàn)信息平安是一個(gè)需求一個(gè)完好的體系來(lái)保證的繼續(xù)過(guò)程。 建立ISMS的步驟確定信息平安管理方針；明確ISMS(信息平安管理體系)的

3、范圍 ，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來(lái)確定界限；實(shí)施適宜的風(fēng)險(xiǎn)評(píng)價(jià)，識(shí)別資產(chǎn)所受的要挾脆弱性和對(duì)組織的影響，并確定風(fēng)險(xiǎn)程度；根據(jù)組織的信息平安管理方針和需求的保證程度來(lái)確定管理的風(fēng)險(xiǎn)區(qū)域；選擇適宜的控制目的和控制；制定可用性聲明，控制目的和控制方式的選擇及選擇緣由應(yīng)在可用性聲明中文件化。 信息平安管理體系ISMS的作用強(qiáng)化員工的信息平安認(rèn)識(shí)，規(guī)范組織信息平安行為。對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)展全面系統(tǒng)的維護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)。在信息系統(tǒng)遭到侵襲時(shí)，確保業(yè)務(wù)繼續(xù)開(kāi)展并將損失降到最低程度。使組織的生意同伴和客戶(hù)對(duì)組織充溢自信心。假設(shè)體系經(jīng)過(guò)認(rèn)證，闡明體系符合規(guī)范，證明組織有才干保證重要信息，能提高組

4、織的知名度與信任度。促使管理層堅(jiān)持貫徹信息平安保證體系。ISMS的內(nèi)容根據(jù)平安戰(zhàn)略組織平安資產(chǎn)分類(lèi)與控制人員平安物理和環(huán)境平安通訊和操作管理訪問(wèn)控制系統(tǒng)開(kāi)發(fā)與維護(hù)業(yè)務(wù)延續(xù)性管理遵照性ISMS的目的、方針、戰(zhàn)略企業(yè)的目的、方針、戰(zhàn)略企業(yè)的平安目的、方針、戰(zhàn)略企業(yè)的金融目的、方針、戰(zhàn)略企業(yè)的IT平安目的、方針、戰(zhàn)略企業(yè)的人員平安目的、方針、戰(zhàn)略IT系統(tǒng)1平安目的、方針、戰(zhàn)略IT系統(tǒng)n平安目的、方針、戰(zhàn)略ISMS的根本組成平安管理流程 呼應(yīng)型呼應(yīng)型平安管理屬于“被動(dòng)式，即各種角色發(fā)現(xiàn)平安事件/問(wèn)題后向平安員匯報(bào)，懇求處置的流程。 平安管理流程 自動(dòng)型自動(dòng)型平安管理屬于“自動(dòng)式，即平安員定期檢查各種角

5、色，發(fā)現(xiàn)平安事件/問(wèn)題后及時(shí)處置的流程。ISMS設(shè)計(jì)應(yīng)留意的問(wèn)題平安性 設(shè)計(jì)平安體系的最終目的是為平安工程提供一個(gè)可靠的根據(jù)和指點(diǎn)，維護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的平安，所以平安性成為首要目的。要保證體系的平安性，必需保證體系的可了解性、完備性和可擴(kuò)展性。 可行性 設(shè)計(jì)體系不能純粹地從實(shí)際角度思索，再完美的方案，假設(shè)不思索實(shí)踐要素，那么也只能是一些廢紙。設(shè)計(jì)平安體系的目的是指點(diǎn)平安工程的實(shí)施，它的價(jià)值也表達(dá)在所設(shè)計(jì)的工程上，假設(shè)工程的難度太大以致于無(wú)法實(shí)施，那么體系本身也就沒(méi)有了實(shí)踐價(jià)值。 ISMS體系設(shè)計(jì)應(yīng)留意的問(wèn)題高效性 信息與網(wǎng)絡(luò)系統(tǒng)對(duì)平安提出要求的目的是能保證系統(tǒng)的正常運(yùn)轉(zhuǎn)，假設(shè)平安影響了系統(tǒng)的運(yùn)

6、轉(zhuǎn)，那么就需求進(jìn)展權(quán)衡了。信息網(wǎng)絡(luò)系統(tǒng)的平安體系包含一些軟件和硬件，它們也會(huì)占用信息網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計(jì)平安體系時(shí)必需思索系統(tǒng)資源的開(kāi)銷(xiāo)，要求平安防護(hù)系統(tǒng)本身不能妨礙信息網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。 可承當(dāng)性 平安體系從設(shè)計(jì)到工程實(shí)施以及平安系統(tǒng)的后期維護(hù)、平安培訓(xùn)等各個(gè)方面的任務(wù)都是由對(duì)象單位來(lái)支持的，單位要為此付出一定的代價(jià)和開(kāi)銷(xiāo)。假設(shè)單位要付出的代價(jià)比從平安體系中獲得的利益還要多，那么單位就不會(huì)采用這個(gè)方案。所以，在設(shè)計(jì)平安體系時(shí)，必需思索單位的實(shí)踐接受才干。 ISMS執(zhí)行常見(jiàn)景象制度簡(jiǎn)單，內(nèi)容不全交叉反復(fù)，混亂無(wú)章厚厚一本，無(wú)針對(duì)性懸掛墻壁，應(yīng)付檢查鎖在柜中，無(wú)人知曉ISMS執(zhí)行建

7、議建立完善的信息平安管理組織體系建立信息平安巡檢制制定可操作性的管理規(guī)范制定針對(duì)性的管理規(guī)范與組織文化結(jié)合的管理方式從松到嚴(yán)、從少到多的管理要求制度、規(guī)范等的定期維護(hù)平安管理平臺(tái)的集中監(jiān)控平安效力商的定期平安效力SOC平安管理平臺(tái) 隨著企業(yè)的IT運(yùn)用的深化和規(guī)模的擴(kuò)展，技術(shù)管理難度越來(lái)越大，用戶(hù)的負(fù)擔(dān)越來(lái)越重，企業(yè)提出了簡(jiǎn)化管理的要求；根據(jù)信息平安的特點(diǎn)，多種平安產(chǎn)品的運(yùn)用將跨越多個(gè)部門(mén)甚至多個(gè)企業(yè)，密集分布的平安產(chǎn)品添加了管理的難度，同時(shí)平安完備性也要?jiǎng)?wù)虛現(xiàn)集成化平安管理和平安信息共享機(jī)制，以集中管理平安控制、平安戰(zhàn)略、平安配置、平安事件審計(jì)、平安事故應(yīng)急呼應(yīng)，可管理的平安才是真正意義上的平

8、安 。信息平安保證體系案例一安全目標(biāo)OTPAPTRAPDR機(jī)構(gòu)建設(shè)人員管理制度管理資產(chǎn)管理物理管理技術(shù)管理風(fēng)險(xiǎn)管理安全評(píng)估安全防護(hù)入侵檢測(cè)應(yīng)急恢復(fù)組織體系管理體系技術(shù)體系信息系統(tǒng)安全體系架構(gòu)Information System Security Framework 信息平安保證體系建立組織體系為中心管理體系為保證技術(shù)體系為支撐技術(shù)體系管理體系組織體系信息平安組織體系建立組織體系機(jī)構(gòu)建立建立決策層、管理層和執(zhí)行層三層任務(wù)關(guān)系明確信息平安主管指點(diǎn) 落實(shí)信息平安管理部門(mén)及職責(zé) 指定信息平安執(zhí)行崗位建立平安巡檢小組 人員管理建立專(zhuān)職的平安管理員和平安審計(jì)員崗位 明確定義本單位各種角色的平安職責(zé)，加強(qiáng)崗

9、位權(quán)限審核加強(qiáng)招聘、上崗、變卦、離任等方面的管理加強(qiáng)員工的平安普及培訓(xùn)和管理員的平安技術(shù)培訓(xùn)明確的平安組織管理！信息平安管理體系建立管理體系制度管理一致的信息平安戰(zhàn)略 全面、可操作的信息平安管理制度 資產(chǎn)管理維護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的平安 明確信息系統(tǒng)資產(chǎn)管理?yè)?dān)任人 實(shí)現(xiàn)等級(jí)管理、密級(jí)管理，重點(diǎn)維護(hù)中心信息系統(tǒng)資產(chǎn)的平安 資產(chǎn)變卦管理物理管理機(jī)房平安管理環(huán)境平安管理物理控制措施 信息平安管理體系建立管理體系技術(shù)管理實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃、建立、運(yùn)轉(zhuǎn)、維護(hù)各個(gè)階段的平安管理 建立網(wǎng)絡(luò)、系統(tǒng)、運(yùn)用等各層面的平安管理規(guī)范和流程實(shí)現(xiàn)對(duì)平安產(chǎn)品的正確維護(hù)管理風(fēng)險(xiǎn)管理對(duì)資產(chǎn)、要挾和脆弱性的情況進(jìn)展定期評(píng)價(jià)，繼續(xù)性的發(fā)現(xiàn)平安問(wèn)題并進(jìn)展預(yù)防性的維護(hù) ，選擇適用、有效的平安措施 一致的平安管理戰(zhàn)略！信息平安技術(shù)體系建立有效的平安預(yù)警體系跟蹤破綻定期評(píng)價(jià)及時(shí)加固完善的平安防護(hù)體系身份認(rèn)證訪問(wèn)控制防病毒完