CISM0201信息安全管理

1、信息安全管理中國信息安全測(cè)評(píng)中心1課程內(nèi)容信息安全管理信息安全管理基礎(chǔ)信息安全管理方法2知識(shí)體：信息安全管理基礎(chǔ)知識(shí)域： 信息安全管理基本概念了解信息安全管理的概念和內(nèi)涵掌握信息安全管理的對(duì)象理解技管并重的原則，信息安全管理和信息安全技術(shù)相互配合一起保障信息系統(tǒng)安全33管理與信息安全管理管理指揮和控制組織的協(xié)調(diào)的活動(dòng)。（- ISO9000:2005 質(zhì)量管理體系 基礎(chǔ)和術(shù)語）管理者為了達(dá)到特定目的而對(duì)管理對(duì)象進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。信息安全管理組織中為了完成信息安全目標(biāo)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)4 規(guī)則組織

2、 人員信息輸入立法摘要變化？關(guān)鍵活動(dòng)測(cè)量擁有者資 源記錄標(biāo) 準(zhǔn)輸入輸出生 產(chǎn)經(jīng) 營過程4信息安全管理現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。 信息安全管理（Information Security Management）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。 5信息安全管理6信息安全管理的對(duì)象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。 規(guī)則 人員目標(biāo)組織6信

3、息安全管理的需求7如果你把鑰匙落在鎖眼上會(huì)怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險(xiǎn)柜就一定安全嗎？78WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？信息安全管理的需求89信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過程信息安全管理的需求應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程9 信息安全事件不斷增加病毒、木馬事件掛馬網(wǎng)站、釣魚網(wǎng)站拒絕服務(wù)攻擊等 系統(tǒng)漏洞呈快速增長趨勢(shì)操作系統(tǒng)漏洞應(yīng)用軟件漏洞信息安全管理的緊迫性10電子政務(wù)和電子商務(wù)的發(fā)展，整個(gè)社會(huì)信息化的快速發(fā)展，對(duì)信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基礎(chǔ)性工作跟不上，就會(huì)拖信息化

4、的后腿。這是發(fā)展的需要，是大勢(shì)所趨。信息安全管理的緊迫性11信息安全“技管并重”的原則信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 對(duì)于信息安全，到底是技術(shù)更重要，還是管理更重要？ 技管并重?！皥?jiān)持管理與技術(shù)并重”是我國加強(qiáng)信息安全保障工作的主要原則12 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全

5、 根本上說，信息安全是個(gè)管理過程，而不是技術(shù)過程信息安全管理的作用13實(shí)施信息安全管理的關(guān)鍵成功因素(CSF) 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo) 有一種與組織文化保持一致的實(shí)施、維護(hù)、監(jiān)督和改進(jìn)信息安全的途徑 來自高級(jí)管理層的明確的支持和承諾 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 向所有管理者和員工有效地推廣安全意識(shí) 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) 為信息安全管理活動(dòng)提供資金支持 提供適當(dāng)?shù)呐嘤?xùn)和教育 建立有效的信息安全事件管理流程 建立測(cè)量體系，用來評(píng)估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn)1414知識(shí)體：信息安全管理基礎(chǔ)知識(shí)域：我國信息安全管理體制了解我

6、國信息安全管理格局了解國家信息安全管理職能的有關(guān)機(jī)構(gòu)和部門1515信息安全在國家安全中的地位黨和國家長期以來一直十分重視安全保密工作，并從敏感性、特殊性和戰(zhàn)略性的高度，至始至終置于黨的絕對(duì)領(lǐng)導(dǎo)之下。黨的十六屆四中全會(huì)將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為國家安全的重要組成要素信息安全是個(gè)大問題。必須把安全問題放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決。16我國的信息安全管理體制目前，我國信息安全管理格局是一個(gè)多方“齊抓共管”的體制，各相關(guān)主管部門分別執(zhí)行各自的安全職能，共同維護(hù)國家的信息安全國家信息化領(lǐng)導(dǎo)小組（國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組）工信部公安部國家安全部國家保密局國家密碼管理局等等

7、17我國的信息安全基礎(chǔ)設(shè)施中國信息安全測(cè)評(píng)中心(CNITSEC)中國信息安全認(rèn)證中心(ISCCC)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）國家計(jì)算機(jī)病毒應(yīng)急處理中心全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）等等18知識(shí)體：信息安全管理方法知識(shí)域：風(fēng)險(xiǎn)管理基本概念了解信息安全風(fēng)險(xiǎn)的概念，理解信息安全風(fēng)險(xiǎn)基本要素，包括資產(chǎn)、威脅、脆弱性和控制措施等術(shù)語概念，理解這些要素之間的關(guān)系理解風(fēng)險(xiǎn)管理的定義，理解風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置等基本概念了解風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的作用1919安全風(fēng)險(xiǎn)要素資產(chǎn)價(jià)值威脅脆弱性控制措施20安全風(fēng)險(xiǎn)的基本概念資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西信息也是一種資產(chǎn)，對(duì)組織具

8、有價(jià)值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員服務(wù)性資產(chǎn)公司形象和名譽(yù)21安全風(fēng)險(xiǎn)的基本概念威脅資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作盜竊網(wǎng)絡(luò)監(jiān)聽供電故障設(shè)置后門未授權(quán)訪問自然災(zāi)害如：地震、火災(zāi)22安全風(fēng)險(xiǎn)的基本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞程序Bug專業(yè)人員缺乏不良習(xí)慣缺少審計(jì)缺乏安全意識(shí)系統(tǒng)后門物理環(huán)境訪問控制措施不當(dāng)23安全風(fēng)險(xiǎn)的基本概念24控

9、制措施管理風(fēng)險(xiǎn)的方法。為達(dá)成組織目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險(xiǎn)。它們可以是行政、技術(shù)、管理、法律等方面的措施?？刂拼胧┑姆诸悾侯A(yù)防性控制檢查性控制糾正性控制24控制措施分類預(yù)防性控制措施：在問題發(fā)生前潛在問題，并作出糾正僅雇傭勝任的人員職責(zé)分工使用訪問控制軟件，只允許授權(quán)用戶訪問敏感文件檢查性控制：檢查控制發(fā)生的錯(cuò)誤、疏漏或蓄意行為生產(chǎn)作業(yè)中設(shè)置檢查點(diǎn)網(wǎng)絡(luò)通信過程中的Echo控制內(nèi)部審計(jì)糾正性控制：減少危害影響，修復(fù)檢查性控制發(fā)現(xiàn)的問題意外處理計(jì)劃備份流程恢復(fù)運(yùn)營流程25安全風(fēng)險(xiǎn)要素之間的相互關(guān)系資產(chǎn)威脅防護(hù)措施脆弱性風(fēng)險(xiǎn)利用對(duì)抗導(dǎo)致增加減少作用于26什么是風(fēng)險(xiǎn)管理GB/Z 243

10、64信息安全風(fēng)險(xiǎn)管理規(guī)范定義：信息安全風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。 了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)27通用風(fēng)險(xiǎn)管理定義定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理。28為什么要做風(fēng)險(xiǎn)管理成本與效益平衡好的風(fēng)險(xiǎn)管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行，并且使已知的風(fēng)險(xiǎn)維持在可接受的水平工作條理化好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級(jí)，更

11、好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)PDCA過程的要求風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過程風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式29風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行界定。信息安全管理機(jī)制的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理機(jī)制建立的基礎(chǔ)，沒有風(fēng)險(xiǎn)評(píng)估，信息安全管理機(jī)制的建立就沒有依據(jù)。3030風(fēng)險(xiǎn)處置是信息安全管理的核心應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置。本質(zhì)上，風(fēng)險(xiǎn)處置的最佳集合

12、就是信息安全管理體系的控制措施集合?？刂颇繕?biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息安全建立體系的建立過程。信息安全管理體系的核心就是這些最佳控制措施的集合。3131風(fēng)險(xiǎn)管理是信息安全管理的根本方法32周期性的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處置活動(dòng)即形成對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理。動(dòng)態(tài)的風(fēng)險(xiǎn)管理是進(jìn)行信息安全管理、實(shí)現(xiàn)信息安全目標(biāo)、維持信息安全水平的根本方法。32知識(shí)體：信息安全管理方法知識(shí)域：信息安全管理體系理解什么是ISMS 了解ISO/IEC 27000標(biāo)準(zhǔn)族，包括其發(fā)展歷史和主要標(biāo)準(zhǔn)了解ISMS的主要特點(diǎn)，了解ISMS的核心是PDCA描述的過程理解PDCA的特點(diǎn)和含義3333管理體系

13、相關(guān)概念34體系相互關(guān)聯(lián)和相互作用的一組要素。 （- ISO9000:2005 質(zhì)量管理體系 基礎(chǔ)和術(shù)語）管理體系：建立方針和目標(biāo)并達(dá)到目標(biāo)的體系。 （- ISO9000:2005 質(zhì)量管理體系 基礎(chǔ)和術(shù)語）為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架。 （- ISO/IEC 27000:2009 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和術(shù)語）34管理體系35ISO9000 質(zhì)量管理體系ISO14000 環(huán)境管理體系OHSAS 職業(yè)健康安全管理體系ISO/IEC27000 信息安全管理體系ISO/IEC20000 服務(wù)管理體系ISO22000食品安全管理體系管理體系Management

14、 System35信息安全管理體系36什么是信息安全管理體系（ISMS）信息安全管理體系ISMSISO/IEC2700136信息安全管理體系37什么是信息安全管理體系（ISMS） 數(shù)據(jù)安全 網(wǎng)絡(luò)安全 系統(tǒng)安全 設(shè)備安全 物理安全 人員安全 應(yīng)急響應(yīng) 。 管理體系方法 管理體系要求 認(rèn)證機(jī)構(gòu)和認(rèn)證 審核和審核員 國際互認(rèn) 。 Information Security Management System-ISMS 信息安全管理體系; 基于ISO/IEC27000系列國際標(biāo)準(zhǔn)族; 是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法； ISMS是管理體系（MS）家族的一個(gè)成員。信息安全管理體系I

15、SMS37信息安全管理體系38什么是信息安全管理體系（Information Security Management System, ISMS）基于國際標(biāo)準(zhǔn)ISO/IEC 27001信息安全管理體系要求，是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)成員38BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的歷史沿革 1990年代初 英國貿(mào)工部（DTI）成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 1993年9月 頒布信息安全管理實(shí)施細(xì)則，形成B

16、S 7799的基礎(chǔ)。 1995年2月 首次出版BS 7799-1:1995信息安全管理實(shí)用規(guī)則。 1998年2月 英國公布BS 7799-2:信息安全管理體系要求。 1999年4月 BS 7799-1與BS 7799-2修訂后重新發(fā)布。 2000年12月 國際標(biāo)準(zhǔn)組織 ISO/IEC JTC 1/SC27工作組認(rèn)可通過BS 7799-1，頒布ISO/IEC 17799:2000信息安全管理實(shí)用規(guī)則。 2002年9月 BSI對(duì)BS 7799-2進(jìn)行了改版，用來替代原標(biāo)準(zhǔn)（BS 7799-2:1999）使用。 2005年6月 ISO 17799:2000改版，成為ISO 17799:2005。 2

17、005年10月 ISO正式采用BS 7799-2:2002，命名為ISO 27001:2005。 2007年7月 ISO 17799:2005歸入ISO 27000系列，命名為ISO 27002:2005。 2008年6月- 中國政府等同采用ISO 27001:2005, 命名為GB/T 22080-2008； 中國政府等同采用ISO 27002:2005, 命名為GB/T 22081-2008. ISO/IEC 27000標(biāo)準(zhǔn)族介紹3939BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000

18、標(biāo)準(zhǔn)族介紹BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的對(duì)應(yīng)關(guān)系404041ISO/IEC 27000系列27000270032700427008 27000信息安全管理體系概述和術(shù)語 27001信息安全管理體系要求27002 信息安全管理實(shí)用規(guī)則27003信息安全管理體系實(shí)施指南27004 信息安全管理測(cè)量 27005 信息安全風(fēng)險(xiǎn)管理27006 提供信息安全管理體系審核和認(rèn)證機(jī)構(gòu)的要求27007 信息安全管理體系審核指南27008信息安全管理體系控制措施審核員指南270012700227000270062700527003270

19、04信息安全管理體系基本原理和詞匯 ISO/IEC 27000標(biāo)準(zhǔn)族介紹4142ISO27001標(biāo)準(zhǔn)是認(rèn)證機(jī)構(gòu)進(jìn)行審核時(shí)的審核準(zhǔn)則，是ISO27000標(biāo)準(zhǔn)族中最重要最核心的一份標(biāo)準(zhǔn)。目前，ISO27000標(biāo)準(zhǔn)族已經(jīng)日益完善，已經(jīng)開發(fā)和正在開發(fā)的標(biāo)準(zhǔn)共28項(xiàng)。其中正式發(fā)布的標(biāo)準(zhǔn)有13項(xiàng)；部分發(fā)布的標(biāo)準(zhǔn)有2項(xiàng)；由于移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等新概念新技術(shù)的出現(xiàn)，且基于ISO的標(biāo)準(zhǔn)修訂周期規(guī)則，ISO27001、ISO27002標(biāo)準(zhǔn)已經(jīng)在修訂當(dāng)中。ISO/IEC 27000標(biāo)準(zhǔn)族介紹4243ISO/IEC 27000標(biāo)準(zhǔn)族介紹標(biāo)準(zhǔn)編號(hào)標(biāo)準(zhǔn)名稱ISO/IEC27000:2009Information

20、security management systems - Overview and vocabulary信息安全管理體系-概述和術(shù)語 ISO/IEC27001:2005Information security management systems-requirements信息安全管理體系-要求ISO/IEC27002:2005Code of practice for information security management信息安全管理實(shí)用規(guī)則ISO/IEC27003:2010Information security management system implementation gu

21、idance信息安全管理體系實(shí)施指南ISO/IEC27004:2009Information security management Measurement信息安全管理-測(cè)量ISO/IEC27005:2011（第二版）Information security risk management信息安全風(fēng)險(xiǎn)管理ISO/IEC27006:2011（第二版）Requirements for bodies providing audit and certification of information security management systems信息安全管理體系認(rèn)證機(jī)構(gòu)要求（提示：標(biāo)準(zhǔn)編號(hào)后面跟

22、有年代編號(hào)的為已經(jīng)正式發(fā)布的標(biāo)準(zhǔn)，其它為尚未正式發(fā)布的標(biāo)準(zhǔn)）4344ISO/IEC 27000標(biāo)準(zhǔn)族介紹ISO/IEC27007:2011Guidelines for Information Security Management Systems auditing信息安全管理體系審核指南ISO/IEC27008:2011Guidelines for auditors on information security management systems controls信息安全管理體系控制措施審核員指南ISO/IEC27010:(FCD)Information security manageme

23、nt for inter-sector andinter-organisational communications部門間和組織間通信的信息安全管理(FCD: Final Committee Draft，最終委員會(huì)草案)ISO/IEC 27011:2008Information security management guidelines for telecommunications organizations based on ISO/IEC 27002基于ISO/IEC27002的電信行業(yè)信息安全管理指南 ISO/IEC 27012ISMS for e-Government電子政務(wù)的ISM

24、S(曾經(jīng)列入計(jì)劃，但尚未發(fā)布任何草案)ISO/IEC 27013:(DIS)Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 ISO20000-1和ISO27001集成實(shí)施指南(DIS: Draft International Standard，國際標(biāo)準(zhǔn)草案)4445ISO/IEC 27000標(biāo)準(zhǔn)族介紹ISO/IEC 27014:(draft)Information security governance framework信息安全治理框架(草案)ISO/IEC 27015:(draf

25、t)Information security management guidance for financial services金融服務(wù)信息安全管理指南(草案)（由于輸入極小，本標(biāo)準(zhǔn)有可能取消）ISO/IEC 27016:(draft)Information security management Organizational economics信息安全管理-組織經(jīng)濟(jì)學(xué)（草案）ISO/IEC 27017Cloud Computing Security and Privacy云計(jì)算安全和保密（研究階段的第二期已結(jié)束，此標(biāo)準(zhǔn)本身將是一個(gè)標(biāo)準(zhǔn)族）ISO/IEC 27031:2011Guidelin

26、es for information and communications technology readiness for business continuity業(yè)務(wù)連續(xù)性的信息和通信技術(shù)準(zhǔn)備就緒指南ISO/IEC 27032:(FDIS)Guidelines for cybersecurity 網(wǎng)際安全指南(FDIS: Final Draft International Standard，最終國際標(biāo)準(zhǔn)草案)ISO/IEC 27033:(part 1 published, rest under development)Network Security 網(wǎng)絡(luò)安全 (第一部分已經(jīng)發(fā)布，其余尚在開

27、發(fā)中)(ISO/IEC 27033-1:2009: network security overview and concepts網(wǎng)絡(luò)安全概述和概念)ISO/IEC 27034:(part 1 published, rest under development)Application Security 應(yīng)用安全(第一部分已經(jīng)發(fā)布，其余尚在開發(fā)中)(ISO/IEC 27034-1:2011: Application security Overview and concepts 應(yīng)用安全-概述和概念）4546ISO/IEC 27000標(biāo)準(zhǔn)族介紹ISO/IEC 27035:2011Informatio

28、n security Incident Management信息安全事件管理ISO/IEC 27036:(draft)Information security for supplier relationships供應(yīng)商關(guān)系信息安全（草案）ISO/IEC 27037:(DIS)Guidelines for identification, collection, acquisition, and preservation of digital evidence識(shí)別、收集、獲取和保存數(shù)字證據(jù)指南(DIS: Draft International Standard，國際標(biāo)準(zhǔn)草案)ISO/IEC 270

29、38:(draft)Specification for digital redaction數(shù)字編輯規(guī)范（草案）ISO/IEC 27039:(draft)Selection, deployment and operations of Intrusion Detection and Prevention Systems (IDPS)選擇、開發(fā)和運(yùn)行入侵檢測(cè)和防護(hù)系統(tǒng)(IDPS)(草案）ISO/IEC 27040:(draft)Storage security存儲(chǔ)安全（草案）ISO 27799:2008Information security management in health using I

30、SO/IEC 27002用ISO/IEC 27002進(jìn)行健康信息安全管理 46信息安全管理體系的特點(diǎn)47信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來建立信息安全管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求；強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。47A規(guī)劃實(shí)施

31、檢查處置PDCPDCA循環(huán)4848PDCA循環(huán)49PDCA也稱“戴明環(huán)”，由美國質(zhì)量管理專家戴明提出。P（Plan）：計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；D（Do）：實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；C（Check）：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問題；A（Action）：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。4950PDCA特點(diǎn)一：按順序進(jìn)行，它靠組織的力量來推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。 9090處置實(shí)施規(guī)劃檢查CADPPDCA特點(diǎn)二： 組織中的每個(gè)部分，甚至個(gè)人，均可

32、以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。 PDCA特點(diǎn)三：每通過一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)。90909090處置實(shí)施規(guī)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃檢查CADPPDCA循環(huán)的特征與作用50PDCA循環(huán)，能夠提供一種優(yōu)秀的過程方法，以實(shí)現(xiàn)持續(xù)改進(jìn)。遵循PDCA循環(huán)，能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行。PDCA循環(huán)的作用5151信息安全管理體系持續(xù)改進(jìn)的PDCA循環(huán)過程52信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評(píng)審保持和改進(jìn)相關(guān)方信息安全要求和期望相關(guān)方受控的

33、信息安全52ISMS的核心內(nèi)容可以概括為4句話 規(guī)定你應(yīng)該做什么并形成文件：P做文件已規(guī)定的事情：D評(píng)審你所做的事情的符合性：C采取糾正和預(yù)防措施，持續(xù)改進(jìn)：A用PDCA來理解什么是信息安全管理體系5353信息安全管理過程方法的作用54過程方法要求（Methodological requirements）：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。按照PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從過程上嚴(yán)格保證了信息安全管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。54信息安全管理過程方法的結(jié)構(gòu)5555方針、

34、手冊(cè)等管理制度、程序、策略文件等操作規(guī)范、規(guī)程、作業(yè)指導(dǎo)書、模板文件等計(jì)劃、表格、報(bào)告、各種運(yùn)行/檢查記錄、日志文件等一級(jí)文件二級(jí)文件三級(jí)文件四級(jí)文件一級(jí)文件：方針性文件；二級(jí)文件：信息安全管控程序及管理規(guī)定性文件；三級(jí)文件：操作指南及作業(yè)指導(dǎo)書類；四級(jí)文件：體系運(yùn)行的各種記錄。下級(jí)文件應(yīng)支持上級(jí)文件。 信息安全管理體系化文件56知識(shí)體：信息安全管理方法知識(shí)域：等級(jí)保護(hù)的安全管理體制了解等級(jí)保護(hù)有關(guān)的重要國家標(biāo)準(zhǔn)了解等級(jí)保護(hù)的定級(jí)要素及級(jí)別劃分準(zhǔn)則了解等級(jí)保護(hù)的工作流程理解等級(jí)保護(hù)的管理要求主要內(nèi)容57信息安全等級(jí)保護(hù)58中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年國務(wù)院147號(hào)令）第

35、九條 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則58信息安全等級(jí)保護(hù)法規(guī)政策體系59信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)60計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力規(guī)范等 60等級(jí)保護(hù)標(biāo)準(zhǔn)61GB17859技術(shù)要求等保實(shí)施等保測(cè)評(píng)

36、管理要求GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 20282-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 28448-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T 28449-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 61等級(jí)保護(hù)的五級(jí)劃分信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國家安全、社會(huì)

37、秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級(jí)第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。62等級(jí)保護(hù)定級(jí)要素業(yè)務(wù)信息安全被破壞

38、時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)63等級(jí)保護(hù)五級(jí)監(jiān)管等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查64信息安全等級(jí)保護(hù)65等級(jí)保護(hù)主要流程一是自主定級(jí) 二是評(píng)審 三是備案 四是系統(tǒng)安全建設(shè) 五是等級(jí)測(cè)評(píng)六是監(jiān)督檢查65

39、信息安全等級(jí)保護(hù)政策-定級(jí) & 備案關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知是指導(dǎo)定級(jí)環(huán)節(jié)工作的政策文件，該通知部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，標(biāo)志著全國信息安全等級(jí)保護(hù)工作的全面開展。信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則是指導(dǎo)備案環(huán)節(jié)工作的政策文件，該文件規(guī)定了公安機(jī)關(guān)受理信息系統(tǒng)運(yùn)營使用單位信息系統(tǒng)備案工作的內(nèi)容、流程、審核等內(nèi)容，指導(dǎo)各級(jí)公安機(jī)關(guān)受理信息系統(tǒng)備案工作。66信息安全等級(jí)保護(hù)政策-安全建設(shè)整改關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見、關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知和關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知是

40、指導(dǎo)安全建設(shè)整改環(huán)節(jié)工作的政策文件。前者明確了非涉及國家秘密信息系統(tǒng)開展安全建設(shè)整改工作的目標(biāo)、內(nèi)容、流程和要求等；中者要求非涉密國家電子政務(wù)項(xiàng)目開展等級(jí)測(cè)評(píng)和信息安全風(fēng)險(xiǎn)評(píng)估要按照信息安全等級(jí)保護(hù)管理辦法進(jìn)行，明確了項(xiàng)目驗(yàn)收條件：公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)安全等級(jí)保護(hù)備案證明、等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告；后者公安部和國資委聯(lián)合發(fā)布的政策文件，對(duì)中央企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作提出了明確要求。67信息安全等級(jí)保護(hù)政策-等級(jí)測(cè)評(píng)關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知和關(guān)于印發(fā)的通知是指導(dǎo)等級(jí)測(cè)評(píng)環(huán)節(jié)工作的政策文件。前者確定了開展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和等級(jí)測(cè)評(píng)工作的目標(biāo)、

41、內(nèi)容和工作要求，規(guī)定了測(cè)評(píng)機(jī)構(gòu)的條件、業(yè)務(wù)范圍和禁止行為，規(guī)范了測(cè)評(píng)機(jī)構(gòu)申請(qǐng)、受理、測(cè)評(píng)工程師管理、測(cè)評(píng)能力評(píng)估、審核、推薦的流程和要求；后者明確了等級(jí)測(cè)評(píng)活動(dòng)的內(nèi)容、方法和測(cè)評(píng)報(bào)告格式等。68信息安全等級(jí)保護(hù)政策檢查公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范(試行)和關(guān)于開展信息安全等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作的通知是指導(dǎo)監(jiān)督檢查環(huán)節(jié)工作的政策文件。前者規(guī)定了公安機(jī)關(guān)開展信息安全等級(jí)保護(hù)檢查工作的內(nèi)容、程序、方式以及相關(guān)法律文書等。后者是公安部發(fā)給各公安局公共信息網(wǎng)絡(luò)安全監(jiān)察處的文件，要求自 2010 年 9月 15日起至 12 月15 日，在全國范圍內(nèi)開展為期三個(gè)月的信息安全等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作

42、，并明確了檢查目的、檢查內(nèi)容、檢查方式和進(jìn)度安排。以上政策文件構(gòu)成了信息系統(tǒng)安全等級(jí)保護(hù)工作開展的政策體系，為了組織開展等級(jí)保護(hù)工作、建設(shè)整改工作和等級(jí)測(cè)評(píng)工作明確了工作目標(biāo)、工作要求和工作流程。69信息安全等級(jí)保護(hù)測(cè)評(píng)檢查周期70安全測(cè)評(píng)第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。安全自查第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。7071安全檢查受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營、使用單位的信息安全

43、等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查信息安全等級(jí)保護(hù)測(cè)評(píng)檢查周期71安全保護(hù)能力基本安全要求等保3級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)等級(jí)保護(hù)能力、措施與要求72等級(jí)保護(hù)基本要求技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理人員安全管理安全管理制度安全管理機(jī)構(gòu)73各級(jí)系統(tǒng)的安全保護(hù)的核心某級(jí)系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全

44、保護(hù)能力的系統(tǒng)74基本要求的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求75安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377控制點(diǎn)基本要求GB/T 22239-200876等級(jí)保護(hù)技術(shù)要求物理安全：物理位置選擇、物理訪問控制、防盜和防破壞、防雷擊、防火、防水、防潮濕、防靜電、電力保障、電磁防護(hù)網(wǎng)絡(luò)安全：結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號(hào)訪

45、問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測(cè)、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范主機(jī)系統(tǒng)安全：身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制應(yīng)用安全：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟件容錯(cuò)、資源控制數(shù)據(jù)安全：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)77等級(jí)保護(hù)技術(shù)要求物理安全物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括：10個(gè)控制點(diǎn) 物理位置的選擇（G）、物理訪問控制（G）、 防盜竊和防破壞（G）、防雷擊（G)、 防火（G）、防水和防潮（G）、防靜電（G）、 溫濕度控制（G）、電力供應(yīng)（A）、 電磁防護(hù)（S）78等級(jí)保護(hù)技術(shù)要求-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括：7個(gè)控制點(diǎn) 結(jié)構(gòu)安全(G)、訪問控制(G)、安全審計(jì)(G)、 邊界完整性檢查(A)、入侵防范(G)、 惡意代碼防范(G)、網(wǎng)絡(luò)設(shè)備防護(hù)(G)79等級(jí)保護(hù)技術(shù)要求-主機(jī)安全主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機(jī)安全具體包括：7個(gè)控制點(diǎn) 身份鑒別(S)、訪問控制(S)、安全審計(jì)(G)、 剩余信息保護(hù)(S)、入侵防范(G)、