《信息安全管理》PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
念的深入发展,PDCA 最终得以普及。
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
它可分为3类,包括直接损失、间接损失和法律损失:
直接损失:丢失订单,减少直接收入,损失生产率;
间接损失:恢复成本,竞争力受损,品牌、声誉受
损,负面的公众影响,失去未来的业务机会,影响
股票市值或政治声誉;
法律损失:法律、法规的制裁,带来相关联的诉讼
审查包括技术措施在内的安全手段的整个过程,是实现信息
安全目标的必由之路。
12.1 信息系统安全管理概述
在现实的信息安全管理决策当中,必须关注以下几点:
应该制定信息安全方针和多层次的安全策略,以便为各项信
息安全管理活动提供指引和支持;
应该通过风险评估来充分发掘组织真实的信息安全需求;
应该遵循预防为主的理念;
理体系(ISMS)。
12.2 信息安全管理模式
为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估
来了解安全需求,然后根据需求设计解决方案;在实施(Do)
阶段将解决方案付诸实现;解决方案是否有效?是否有新的
变化?应该在检查(Check)阶段予以监视和审查;一旦发
现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。
施与保持,达到动态的,系统的,全员参与,制度化的,以预防为
主的信息安全管理方式,用最低的成本,达到可接受的信息安
全水平,从根本上保证业务的连续性。组织建立,实施与保持
信息安全管理体系将会产生如下作用:
12.3 建立信息安全管理体系的意义
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面系统的保护,维持竞争优势;
是国际上具有代表性的信息安全管理体系标
准。
概 述
2005年11月,ISO27001:2005出版,取代了之前的BS
7799-2:2002,今后,7799系列标准的编号将会发生一定的
改变,更改为ISO27001系列。在某些行业如IC和软件外包,
信息安全管理体系认证已成为一些客户的要求条件之一。本
章来介绍有关信息系统管理的一些知识。
全管理实施细则》通过了国际标准化组织ISO
的认可,正式成为国际标准——
ISO/IEC17799-1:2000《信息技术——信息
安全管理实施细则》。2002年9月5日,BS
7799-2:2002草案经过广泛的讨论之后, 终
于发布成为正式标准,同时BS 7799-2:1999
被废止。BS 7799标准得到了很多国家的认可,
全国性标准化机构,同时也是国际标准化组织的核心成员之
一,它不受政府控制但得到了政府的大力支持。BSI制定和
修订的许多英国标准最终都转化成了国际标准,其在ISO中
在信息系统受到侵袭时,确保业务持续开展并将损失降到最低
程度;
使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保障
重要信息,提高组织的知名度与信任度;
促使管理层坚持贯彻信息安全保障体系。
12.4 BS 7799、ISO 17799和ISO 27001
在信息安全管理的标准方面,目前有3个非常著名的标准,
制要求,它是一个组织的全面或部分信息安全管理体系评估
的基础,它可以作为一个正式认证方案的根据。BS 7799-1
与BS 7799-2经过修订于 1999年重新予以发布,1999版考虑
了信息处理技术,尤其是在网络和通信领域应用的近期发展,
同时还非常强调了商务涉及的信息安全及信息安全的责任。
概 述
2000年12月,BS 7799-1:1999《信息安
12.1 信息系统安全管理概述
长久以来,很多人自觉不自觉地都会陷入技术决定一切的
误区当中,尤其是那些出身信息技术行业的管理者和操作者。
最早的时候,人们把信息安全的希望寄托在加密技术上面,
认为一经加密,什么安全问题都可以解决。随着互联网的发
展,在一段时期又常听到“防火墙决定一切”的论调。及至
更多安全问题的涌现,入侵检测、PKI、VPN 等新的技术应
完备的安全策略,通过风险评估来确定需求,根据需求选择
安全技术和产品,并按照既定的安全策略和流程规范来实施、
维护和审查安全控制措施。归根到底,信息安全并不是技术
过程,而是管理过程。
12.1 信息系统安全管理概述
之所以有这样的认识误区,原因是多方面的,从安全产
品提供商的角度来看,既然侧重在于产品销售,自然从始至
即BS 7799、ISO 17799和ISO 2007。这一节介绍它们之间
的关系和主要内容。
1.BS 7799、ISO 17799和ISO 27001概述
BS 7799是英国标准协会(BSI,British Standards
Institute)针对信息安全管理而制定的一个标准,最早始于
1995年,后来几经改版,成为了目前由两部分内容构成的并
概 述
这些都是造成信息安全事件的重要原因。缺乏系统的管理
思想也是一个重要的问题。所以,需要一个系统的、整体规
划的信息安全管理体系,从预防控制的角度出发,保障组织
的信息系统与业务之安全与正常运作。
目前,在信息安全管理体系方面,英国标准BS 7799已
经成为世界上应用最广泛与典型的信息安全管理标准。BS
第11章 信息安全管理
李
剑
北京邮电大学信息安全中心
E-mail:
010-86212346
目
一.
二.
三.
四.
五.
录
信息系统安全管理概述
信息安全管理模式
建立信息安全管理体系的意
义
BS 7799、ISO 17799和ISO
27001
信息安全相关法律法规
一个故事
如何笔记本电脑“死机”,所针对的方法不是只有重新安
Systems),其中详细说明了建立、实施和维护信息安全管
理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,
其最终目的在于建立适合企业需要的信息安全管理体系。
虽然BS 7799最初是以所谓的“英国标准(British
Standard)”而推出的,但并非只适用于英国,BS 7799
(目前准确来说应该是ISO/IEC 17799:2005和ISO/IEC
7799标准于1993年由英国贸易工业部立项,于1995年英国
首次出版BS 7799-1:1995《信息安全管理实施细则》,它
提供了一套综合的、由信息安全最佳惯例组成的实施规则,
其目的是作为确定工商业信息系统在大多数情况所需控制范
围的参考基准,并且适用于大、中、小组织。
概 述
这些都是造成信息安全事件的重要原因。缺乏系统的管理
用被接二连三地提了出来,但无论怎么变化,还是离不开技
术统领信息安全的路子。
12.1 信息系统安全管理概述
可这样的思路能够真正解决安全问题吗?也许可以解决
一部分,但却解决不了根本。实际上,对安全技术和产品的
选择运用,这只是信息安全实践活动中的一部分,只是实现
安全需求的手段而已。信息安全更广泛的内容,还包括制定
且被广泛接受的信息安全管理标准。
BS 7799分两个部分,第一部分,也就是被ISO组织吸纳
成为ISO/IEC 17799:2005标准的部分,是信息安全管理实施
细则(Code of Practice for Information Security
Management),主要供负责信息安全系统开发的人员作为
或追索等。
概 述
俗话说“三分技术七分管理”。目前组织普遍采用现代通
信、计算机、网络技术来构建组织的信息系统。但大多数组
织的最高管理层对信息资产所面临的威胁的严重性认识不足,
缺乏明确的信息安全方针、完整的信息安全管理制度,相应
的管理措施不到位,如系统的运行、维护、开发等岗位不清,
职责不分,存在一人身兼数职的现象。
首次出版BS 7799-1:1995《信息安全管理实施细则》,它
提供了一套综合的、由信息安全最佳惯例组成的实施规则,
其目的是作为确定工商业信息系统在大多数情况所需控制范
围的参考基准,并且适用于大、中、小组织。
概 述
1998年英国公布标准的第二部分BS 7799-2《信息安全管
理体系规范》,它规定信息安全管理体系要求与信息安全控
通过这样的过程周期,组织就能将确切的信息安全需求和期
望转化为可管理的信息安全体系。
12.2 信息安全管理模式
概括起来,PDCA 模型具有以下特点,同时也是信息安
全管理工作的特点:
PDCA 顺序进行,依靠组织的力量来推动,像车轮一样向前
进,周而复始,不断循环,持续改进;
组织中的每个部门,甚至每个人,在履行相关职责时,都是
思想也是一个重要的问题。所以,需要一个系统的、整体规
划的信息安全管理体系,从预防控制的角度出发,保障组织
的信息系统与业务之安全与正常运作。
目前,在信息安全管理体系方面,英国标准BS 7799已
经成为世界上应用最广泛与典型的信息安全管理标准。BS
7799标准于1993年由英国贸易工业部立项,于1995年英国
27001:2005)所包含的最佳惯例可以在不同的法律和文化背
景下实施。由于BS 7799两个部分都已经先后转化成正式的
国际标准,从发展眼光来看,今后几年时间里,以该标准为
参照的信息安全相关活动,势必在全球范围内广泛开展起来。
12.4 BS 7799、ISO 17799和ISO 27001
顺便提及的是,英国标准协会(BSI)是世界上最早的
终向客户灌输的都是以技术和产品为核心的理念。而从客户
角度来看,只有产品是有形的,是看得见摸得着的,对决策
投资来说,这是至关重要的一点,而信息安全的其他方面,
比如无形的管理过程,自然是遭致忽略。
12.1 信息系统安全管理概述
正是因为有这样的错误认识,就经常看到:许多组织使
用了防火墙、IDS、安全扫描等设备,但却没有制定一套以
应该加效的支持;
应该持有动态管理、持续改进的思想;
应该以业务持续发展为目标,达成信息安全控制的力度、使
用的便利性以及成本投入之间的平衡。
12.2 信息安全管理模式
在信息安全管理方面,BS 7799 标准提供了指导性建议,即基
于PDCA(Plan、Do、Check 和Act,即戴明环)的持续改进
参考使用,分11个标题,定义了133项安全控制(最佳惯
例)。
12.4 BS 7799、ISO 17799和ISO 27001
BS 7799标准的第二部分内容,即最新的ISO/IEC
27001:2005,是建立信息安全管理体系的一套规范
(Specification for Information Security Management
装机器一种方法。
(1). 检测系统软件
(2). 检测系统软件,进行恢复处理。
概 述
信息作为组织的重要资产,需要得到妥善保护。但随着
信息技术的高速发展,特别是Internet的问世及网上交易的
启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入
侵、病毒感染、网页改写、客户资料的流失及公司内部资料
的泄露等。这些已给组织的经营管理、生存甚至国家安全都
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
它可分为3类,包括直接损失、间接损失和法律损失:
直接损失:丢失订单,减少直接收入,损失生产率;
间接损失:恢复成本,竞争力受损,品牌、声誉受
损,负面的公众影响,失去未来的业务机会,影响
股票市值或政治声誉;
法律损失:法律、法规的制裁,带来相关联的诉讼
审查包括技术措施在内的安全手段的整个过程,是实现信息
安全目标的必由之路。
12.1 信息系统安全管理概述
在现实的信息安全管理决策当中,必须关注以下几点:
应该制定信息安全方针和多层次的安全策略,以便为各项信
息安全管理活动提供指引和支持;
应该通过风险评估来充分发掘组织真实的信息安全需求;
应该遵循预防为主的理念;
理体系(ISMS)。
12.2 信息安全管理模式
为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估
来了解安全需求,然后根据需求设计解决方案;在实施(Do)
阶段将解决方案付诸实现;解决方案是否有效?是否有新的
变化?应该在检查(Check)阶段予以监视和审查;一旦发
现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。
施与保持,达到动态的,系统的,全员参与,制度化的,以预防为
主的信息安全管理方式,用最低的成本,达到可接受的信息安
全水平,从根本上保证业务的连续性。组织建立,实施与保持
信息安全管理体系将会产生如下作用:
12.3 建立信息安全管理体系的意义
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面系统的保护,维持竞争优势;
是国际上具有代表性的信息安全管理体系标
准。
概 述
2005年11月,ISO27001:2005出版,取代了之前的BS
7799-2:2002,今后,7799系列标准的编号将会发生一定的
改变,更改为ISO27001系列。在某些行业如IC和软件外包,
信息安全管理体系认证已成为一些客户的要求条件之一。本
章来介绍有关信息系统管理的一些知识。
全管理实施细则》通过了国际标准化组织ISO
的认可,正式成为国际标准——
ISO/IEC17799-1:2000《信息技术——信息
安全管理实施细则》。2002年9月5日,BS
7799-2:2002草案经过广泛的讨论之后, 终
于发布成为正式标准,同时BS 7799-2:1999
被废止。BS 7799标准得到了很多国家的认可,
全国性标准化机构,同时也是国际标准化组织的核心成员之
一,它不受政府控制但得到了政府的大力支持。BSI制定和
修订的许多英国标准最终都转化成了国际标准,其在ISO中
在信息系统受到侵袭时,确保业务持续开展并将损失降到最低
程度;
使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保障
重要信息,提高组织的知名度与信任度;
促使管理层坚持贯彻信息安全保障体系。
12.4 BS 7799、ISO 17799和ISO 27001
在信息安全管理的标准方面,目前有3个非常著名的标准,
制要求,它是一个组织的全面或部分信息安全管理体系评估
的基础,它可以作为一个正式认证方案的根据。BS 7799-1
与BS 7799-2经过修订于 1999年重新予以发布,1999版考虑
了信息处理技术,尤其是在网络和通信领域应用的近期发展,
同时还非常强调了商务涉及的信息安全及信息安全的责任。
概 述
2000年12月,BS 7799-1:1999《信息安
12.1 信息系统安全管理概述
长久以来,很多人自觉不自觉地都会陷入技术决定一切的
误区当中,尤其是那些出身信息技术行业的管理者和操作者。
最早的时候,人们把信息安全的希望寄托在加密技术上面,
认为一经加密,什么安全问题都可以解决。随着互联网的发
展,在一段时期又常听到“防火墙决定一切”的论调。及至
更多安全问题的涌现,入侵检测、PKI、VPN 等新的技术应
完备的安全策略,通过风险评估来确定需求,根据需求选择
安全技术和产品,并按照既定的安全策略和流程规范来实施、
维护和审查安全控制措施。归根到底,信息安全并不是技术
过程,而是管理过程。
12.1 信息系统安全管理概述
之所以有这样的认识误区,原因是多方面的,从安全产
品提供商的角度来看,既然侧重在于产品销售,自然从始至
即BS 7799、ISO 17799和ISO 2007。这一节介绍它们之间
的关系和主要内容。
1.BS 7799、ISO 17799和ISO 27001概述
BS 7799是英国标准协会(BSI,British Standards
Institute)针对信息安全管理而制定的一个标准,最早始于
1995年,后来几经改版,成为了目前由两部分内容构成的并
概 述
这些都是造成信息安全事件的重要原因。缺乏系统的管理
思想也是一个重要的问题。所以,需要一个系统的、整体规
划的信息安全管理体系,从预防控制的角度出发,保障组织
的信息系统与业务之安全与正常运作。
目前,在信息安全管理体系方面,英国标准BS 7799已
经成为世界上应用最广泛与典型的信息安全管理标准。BS
第11章 信息安全管理
李
剑
北京邮电大学信息安全中心
E-mail:
010-86212346
目
一.
二.
三.
四.
五.
录
信息系统安全管理概述
信息安全管理模式
建立信息安全管理体系的意
义
BS 7799、ISO 17799和ISO
27001
信息安全相关法律法规
一个故事
如何笔记本电脑“死机”,所针对的方法不是只有重新安
Systems),其中详细说明了建立、实施和维护信息安全管
理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,
其最终目的在于建立适合企业需要的信息安全管理体系。
虽然BS 7799最初是以所谓的“英国标准(British
Standard)”而推出的,但并非只适用于英国,BS 7799
(目前准确来说应该是ISO/IEC 17799:2005和ISO/IEC
7799标准于1993年由英国贸易工业部立项,于1995年英国
首次出版BS 7799-1:1995《信息安全管理实施细则》,它
提供了一套综合的、由信息安全最佳惯例组成的实施规则,
其目的是作为确定工商业信息系统在大多数情况所需控制范
围的参考基准,并且适用于大、中、小组织。
概 述
这些都是造成信息安全事件的重要原因。缺乏系统的管理
用被接二连三地提了出来,但无论怎么变化,还是离不开技
术统领信息安全的路子。
12.1 信息系统安全管理概述
可这样的思路能够真正解决安全问题吗?也许可以解决
一部分,但却解决不了根本。实际上,对安全技术和产品的
选择运用,这只是信息安全实践活动中的一部分,只是实现
安全需求的手段而已。信息安全更广泛的内容,还包括制定
且被广泛接受的信息安全管理标准。
BS 7799分两个部分,第一部分,也就是被ISO组织吸纳
成为ISO/IEC 17799:2005标准的部分,是信息安全管理实施
细则(Code of Practice for Information Security
Management),主要供负责信息安全系统开发的人员作为
或追索等。
概 述
俗话说“三分技术七分管理”。目前组织普遍采用现代通
信、计算机、网络技术来构建组织的信息系统。但大多数组
织的最高管理层对信息资产所面临的威胁的严重性认识不足,
缺乏明确的信息安全方针、完整的信息安全管理制度,相应
的管理措施不到位,如系统的运行、维护、开发等岗位不清,
职责不分,存在一人身兼数职的现象。
首次出版BS 7799-1:1995《信息安全管理实施细则》,它
提供了一套综合的、由信息安全最佳惯例组成的实施规则,
其目的是作为确定工商业信息系统在大多数情况所需控制范
围的参考基准,并且适用于大、中、小组织。
概 述
1998年英国公布标准的第二部分BS 7799-2《信息安全管
理体系规范》,它规定信息安全管理体系要求与信息安全控
通过这样的过程周期,组织就能将确切的信息安全需求和期
望转化为可管理的信息安全体系。
12.2 信息安全管理模式
概括起来,PDCA 模型具有以下特点,同时也是信息安
全管理工作的特点:
PDCA 顺序进行,依靠组织的力量来推动,像车轮一样向前
进,周而复始,不断循环,持续改进;
组织中的每个部门,甚至每个人,在履行相关职责时,都是
思想也是一个重要的问题。所以,需要一个系统的、整体规
划的信息安全管理体系,从预防控制的角度出发,保障组织
的信息系统与业务之安全与正常运作。
目前,在信息安全管理体系方面,英国标准BS 7799已
经成为世界上应用最广泛与典型的信息安全管理标准。BS
7799标准于1993年由英国贸易工业部立项,于1995年英国
27001:2005)所包含的最佳惯例可以在不同的法律和文化背
景下实施。由于BS 7799两个部分都已经先后转化成正式的
国际标准,从发展眼光来看,今后几年时间里,以该标准为
参照的信息安全相关活动,势必在全球范围内广泛开展起来。
12.4 BS 7799、ISO 17799和ISO 27001
顺便提及的是,英国标准协会(BSI)是世界上最早的
终向客户灌输的都是以技术和产品为核心的理念。而从客户
角度来看,只有产品是有形的,是看得见摸得着的,对决策
投资来说,这是至关重要的一点,而信息安全的其他方面,
比如无形的管理过程,自然是遭致忽略。
12.1 信息系统安全管理概述
正是因为有这样的错误认识,就经常看到:许多组织使
用了防火墙、IDS、安全扫描等设备,但却没有制定一套以
应该加效的支持;
应该持有动态管理、持续改进的思想;
应该以业务持续发展为目标,达成信息安全控制的力度、使
用的便利性以及成本投入之间的平衡。
12.2 信息安全管理模式
在信息安全管理方面,BS 7799 标准提供了指导性建议,即基
于PDCA(Plan、Do、Check 和Act,即戴明环)的持续改进
参考使用,分11个标题,定义了133项安全控制(最佳惯
例)。
12.4 BS 7799、ISO 17799和ISO 27001
BS 7799标准的第二部分内容,即最新的ISO/IEC
27001:2005,是建立信息安全管理体系的一套规范
(Specification for Information Security Management
装机器一种方法。
(1). 检测系统软件
(2). 检测系统软件,进行恢复处理。
概 述
信息作为组织的重要资产,需要得到妥善保护。但随着
信息技术的高速发展,特别是Internet的问世及网上交易的
启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入
侵、病毒感染、网页改写、客户资料的流失及公司内部资料
的泄露等。这些已给组织的经营管理、生存甚至国家安全都