信息安全管理体系(ppt)

估
信息系统安全工程
过程准则
准
SSE-CMM
（信息系统安全工程评估准则）
则
系统安全工程能力成熟度模型
系统认证和认可标准和实践 例如：美国DITSCAP, …
中国信息安全产品测评认证中心 相关文档和系统测评认证实践
2.4信息系统安全保障－生命周期的保证
信
变更应用于系统
息
系
计划组织 开发采购 实施交付
运行维护
采 购 管 理
紧
系 统 操 作
人 员 安 全
运 行 环 境
设 备 管 理
物 理 访 问
持 续 性 管 理
环 境 设 备
急 用 途 和 供
给
组织体系
策略制度
信息系统安全管理基础
遵循性
2.6信息安全管理与信息系统安全保障 的关系
3.信息安全管理体系标准概述
3.1 信息安全标准介绍 3.2 ISO17799 3.3 ISO17799的历史及发展 3.4 ISO17799:2000的内容框架 3.5 BS7799-2:1999的内容框架 3.6 ISO/IEC 17799:2000(BS7799-1:1999)、
1. 信息安全基础知识
1.1 信息安全的基本概念 1.2 为什么需要信息安全 1.3 实践中的信息安全问题 1.4 信息安全管理的实践经验
1.1 信息安全基本概念
请思考：
什么是信息安全？
信息在哪里？
小问题：你们公司的Knowledge都在哪里？
ISO17799中的描述
Information security is characterized here as the preservation of:
系

安全产品）
统
过程保证
（服务能力
保
工程过程）
证
管理保证 （安全管理）
管理保证 （安全管理）
管理保证 （安全管理）
管理保证 （安全管理）
2.5信息安全管理模型
变更控制管理
计划组织
变更应用于系统
开发采购 实施交付
运行维护
废弃
信 息 技 术 战 略 规 划
信 息 技 术 战 略 规 划
投 资 和 预 算 管 理
信息处理 过程
可用
信息处理者
信息本身
机密
1.2 为什么需要信息安全
请思考：
组织为什么要花钱实现信息安全？
组织自身业务的需要
✓自身业务和利益的要求 ✓客户的要求 ✓合作伙伴的要求 ✓投标要求 ✓竞争优势，树立品牌 ✓加强内部管理的要求 ✓……
法律法规的要求
信息系统使命的要求
✓ 信息系统本身具有特定的使命 ✓ 信息安全的目的就是使信息系统的使命得到保
✓ Confidentiality ✓ Integrity ✓ Availability
信息在安全方面三个特征：
✓ 机密性：确保只有被授权的人才可以访问信息； ✓ 完整性：确保信息和信息处理方法的准确性和完整性； ✓ 可用性：确保在需要时，被授权的用户可以访问信息和相
关的资产。
总结
完整
信息处理设施
存在的问题
• 需求难以确定
✓ 保护什么、保护对象的边界到哪里、应该保护到什么程度…… • 管理和服务跟不上，对采购产品运行的效率和效果缺乏评价 • 通常用漏洞扫描（Scanner）来代替风险评估
✓ 有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的 态度……
• “头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的协 调也是难题
废弃
统
生
命
建立使命要求
系统需求分析 两种类型：
周
审阅业务要求
定义运行需求 • 开发、购买/客户化/集成
期
系统体系设计
项目与预算管理
信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）
人员保证 （决策人员）
人员保证 （管理人员）
人员保证 （实施人员）
人员保证 （管理/维护/使用人员）
技术保证 （技术方案
利用
风险
引起
增加
威胁
到 希望滥用或破坏
到
资产
可能阻碍或破坏
希望完成
到
使命
废 弃
运 行 维 护
实 施 交 付
开 发 采 购
计 划 组 织
生命周期
技术
保
过程
证
对
象
管理
人员
可用性
完整性
信
息
特
征
机密性
2.3信息系统安全保障－框架
信息系统使命 信息系统建模，。。。
GB 18336 idt ISO/IEC 15408 信息技术安全性评估准则
IATF 信息保障技术框架
技术准则
（信息技术系统评估准则）
信
息
336从产品和产品系统扩展到信息技术系统安全 BS 7799, ISO/IEC 17799 信息安全管理实践准则
系
统
管理准则
安
其他相关标准、准则 例如：ISO/IEC 15443, COBIT。。。
（信息系统管理评估准则）
全 保 障
评
ISSE
ISO17799强调：
“Information security is a management process, not a technological process.”
• 技术和产品是基础，管理是关键； • 产品和技术，要通过管理的组织职能才能发挥最好的作用； • 技术不高但管理良好的系统远比技术高但管理混乱的系统安
信息安全管理体系 (ppt)
信息安全管理体系
课前介绍
课程目标
课程安排
课程内容
1、信息安全基础知识 2、信息安全管理与信息系统安全保障 3、信息安全管理体系标准概述 4、信息安全管理体系方法 5、ISO17799中的控制目标和控制措施 6、ISMS建设、运行、审核与认证 7、信息系统安全保障管理要求
障 ✓ 。。。。
1.3 实践中的信息安全问题
请思考：
目前，解决信息安全问题，通常的做法 是什么？
初始阶段，解决信息安全问题，通常的方法：
• 采购各种安全产品，由产品厂商提供方案； ✓ Anti-Virus、Firewall、IDS & Scanner……
• 组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门； • 更多的情况是几乎没有日常维护
全； • 先进、易于理解、方便操作的安全策略对信息安全至关重要
，也证明了管理的重要； • 建立一个管理框架，让好的安全策略在这个框架内可重复实
施，并不断得到修正，就会持续安全。
• 反映组织业务目标的安全方针、目标和活动；
• 符合组织文化的安全实施方法；
• 管理层明显的支持和承诺；
• 安全需求、风险评估和风险管理的正确理解；
• 有效地向所有管理人员和员工推行安全措施； • 向所有的员工和签约方提供本组织的信息安全方针
与标准；
• 提供适当的培训和教育； • 一整套用于评估信息安全管理能力和反馈建议的测
量系统
2、信息安全管理与信息系统安全保障
所有者
希望最小化
价值
利用
对策
可能被减少
减少 可能具有
可能意识到
脆弱性
威胁主体
导致