信息安全管理体系与技术提纲

第一讲信息安全管理体系

⏹信息资产及其价值

✧组织的信息资产有哪些？

业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。

⏹信息安全－信息安全的基本要素、需求来源、目标

✧信息安全基本要素？（在不同历史阶段有着不同的涵义）

COMSEC阶段：保密性

COMPUSEC阶段：CIA三元组－保密性、完整性、可用性

IA阶段：私密性、可追溯性、抗抵赖性、可控性、真实性等

✧信息安全的需求来源？

法律法规和合同的约束；组织的原则、目标和规定；风险评估的结果

✧信息安全的目标？

一般目标：维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。

根本目标：维护组织关键业务活动的持续性和有效性。

⏹信息安全管理

✧对于信息安全管理的认识（大题）

管理最基本的职能：计划、组织、领导、控制

信息安全管理就是风险管理。

安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理

程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具

有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术

是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理

从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。

管理过程而非技术过程

高层支持

策略并不等于执行力

动态而非静态

主动而非被动

全员参与，培训开路

平衡性原则

✧信息安全管理的认识误区

重技术、轻管理

缺少安全意识

缺乏安全策略

缺乏系统的管理思想

法律法规不完善

✧信息安全管理模型

P2DR 模型（CC）：P: 策略P: 防护D: 检测R: 响应

PDRR 模型：P: 策略P: 防护D: 检测R: 响应R: 恢复

HTP 模型（IATF）：H: 人员与管理T: 技术与产品P: 流程与体系

P-POT-PDRR模型：

PDCA模型（建设模型）：

✧常见的国际信息标准

BS7799（信息安全管理标准）

---BS7799-1: 信息安全管理体系的实施指南

---BS7799-2: 信息安全管理体系规范

ISO/IEC 13335（风险管理标准）- IT安全管理指南GMITS

ISO/IEC 15408（技术与工程标准）- CC

ITIL（IT 服务管理标准）- 信息技术基础设施库

CobiT（信息系统审计标准）- 信息及其相关技术控制目标

⏹信息安全管理体系（ISMS）

✧为什么需要ISMS？

木桶原理

✧ISMS建设可遵循的模型？

BS7799：PDCA

IATF：HTP

CC：P2DR

⏹BS7799

✧BS7799-1覆盖范围

原BS7799-1 包括10 区域，36 个控制目标，127 项控制措施；新版ISO/IEC 27002:2005 包括11 个区域，39个控制目标，133 项控制措施。

✧ISMS的建设模型

PDCA －Plan 建立ISMS -> Do 实施和运作ISMS -> Check 监控和评审ISMS -> Act 维护和改进ISMS

✧ISMS的建设方法

1.确定范围

2.识别信息资产

3.确定信息资产的价值

4.确定风险

5.策略及控制措施保证程度的确定

6.控制目标和控制措施的识别

7.定义策略，标准和流程以实施控制措施

8.策略，标准和流程的实施

9.完成ISMS 文件需求

10.审核和评审ISMS

✧ISMS的审核、有效性验证

内部ISMS审核

---定期执行内部审核计划

---审核计划以及报告结果和维护记录的责任应该在文件和流程中加以规定

---审核区域的管理者应该及时采取纠正措施以消除已发现的不符合项

---一般包括审核策划、审核准备、审核实施、审核报告、审核跟踪等五个步骤。

⏹ISMS的认证

✧认证与认可

认证是由第三方进行的，认可是由权威机构进行的：认证证明的是依从性（或符合性），认可证明的是某种能力。

认可机构包括：UKAS（英国认可服务组织）、RvA（荷兰国家认可委员会）、Swedac（瑞典认可和合格评定委员会）

✧认证体系对审核员的要求（IRCA）

实习审核员（Provisional Auditor）：适用于所有希望成为专职审核员或希望暂时停止审核活动或从审核岗位转向管理岗位的原注册审核员。

审核员（Auditor）：适用于审核组成员。

主任审核员（Lead Auditor）：适用于审核组长，特别是那些就职于认证机构或为大型企业实施供方审核的人员。

首席审核员（Principal Auditor）：适用于（以独立成组形式）单独实施审核活动的、有经验的审核员。

✧BS7799 认证过程

对ISMS进行审核时，应当先进行文件审核，再进行现场审核。

不符合事项根据其严重程序一般分为三类：观察项、轻微不符合项和严重不符合项。

⏹风险评估

✧风险评估一般途径（描述是什么类型的评估）

基线评估

---优点：耗费资源少、周期短、操作简单、经济有效。

---缺点：基线水平较难把握，对安全变化不敏感。

详细评估

---优点：可使组织对安全风险有一个精确认识。可用来管理安全变化。

---缺点：较费资源。

组合评估

---优点：结合了基线评估和详细评估的优势，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果。

---缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统可能被忽略，最终导致结果失准。

✧风险控制措施功能分类及目的

威慑性控制措施（防止威胁源）- firewall

预防性控制措施（保护弱点）

检测性控制措施（发现威胁事件）- IDS

纠正性控制措施（减小影响）- 备份

✧风险识别、评估的时间、方法

风险评估是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。

威胁（Threat）－某种威胁源（threat source）或威胁代理（threat agent）成功利用特定弱点对资产造成负面影响的潜在可能。

弱点（Vulnerability）－也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的