信息安全管理信息安全管理体系
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
能力要求与教育培训,培训工作要分层次、分阶段、循序渐进的进行,而且必须是全 员培训。
组织与人员建设,为在组织中顺利建立信息安全管理体系,需要建立有效信息安全机 构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
编制工作计划,为确保体系顺利建立,组织应进行统筹安排,制定一个切实可行的工 作计划,明确不同时间段的工作任务与目标及责任分工,控制工作进度,突出工作重 点。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
第 14 页
信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定和保护 公共利益等方面的重要程度,结合系统面临的风险、应对风险的安全保护要求和成 本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保 障信息和信息系统的安全。
三、检查阶段
主要任务是进行有关方针、程序、 标准与法律法规的符合性检查, 对存在的问题采取措施,予以改 进。 。
四、行动阶段
主要任务是对信息安全管理体系 进行评价,并以检查阶段采集的 不符合项信息为基础,经常对信 息安全管理体系进行调整与改进。
第6 页
第二章
信息安全 管理体系
第二节 BS7799信息安全管理体系
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
2.1.2 PDCA循环
(1)PDCA循环简介
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又 称为“戴明环”,在质量管理中应用广泛。
• P(Plan)—计划,确定方针和目标,确定活动计划; • D(Do)—实施,采取实际措施,实现计划中的内容; • C(Check)—检查,检查总结执行计划的结果,评价效果,找出问题; • A(Action)—行动,对检查总结的结果进行处理,成功的经验加以 肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问 题放到下一个PDCA循环。
第7 页
BS7799标准由英国贸易工业部制订出版,是国际上具有代表性的信息安全管理 体系。BS7799标准具体分为两个部分:BS7799-1:《信息安全管理实施规则》和 BS7799-2:《信息安全管理体系规范》。
BS7799-1: 提供了一套综合的、由信息
安全最佳惯例组成的实施规则, 可以作为大型、中型及小型组织 确定信息安全所需的控制范围的 参考基准
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 13 页
(3)ISO/IEC 27003《信息安全管理体系实施指南》
于2010年发布,该标准适用于所有类型、所有规模和所有业务形式的组 织,为建立、实施、运行、监视、评审、保持和改进符合ISO/IEC 27001的信 息安全管理体系提供实施指南。它给出了ISMS实施的关键成功因素,按照 PDCA的模型,明确了计划、实施、检查、纠正每个阶段的活动内容和详细指 南。
8.系统开发与维护(Systems Development and Maintenance)
7.访问控制(Access Control)
9.信息安全事件管理(Information Security Incident Management)
10.业务持续性管理(Business Continuity Management)
系统识别与描述 等级确定
(b)规划与设计阶段
系统分域保护框架建立 选择和调整安全措施 安全规划和方案设计
(c)实施、等级评估与改进阶段
安全措施的实施 评估与验收 运行监控与改进
第 20 页
第二章
信息安全 管理体系
第五节 信息安全管理体系的建立与认证
2.5.1 信息安全管理体系的建立
第1 页
信息安全管理
第二章 信息安全管理体系
目录
Contents Page
01 管理体系概述 02 BS7799信息安全管理体系 03 27000信息安全管理体系 04 基于等级保护的信息安全管理体系 05 信息安全管理体系的建立与认证
第2 页
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
BS7799-2: 详细说明了建立、实施和维
护信息安全管理体系的要求,是 组织全面或部分信息安全管理系 统评估的基础
第二章
信息安全 管理体系
第二节 BS7799信息安全管理体系
第8 页
BS779-1规范的基本内容包括11个管理方面,134个控制方法。
1.安全方针/策略(Security Policy) 2.安全组织(Security Organization)
11.法律法规符合性(Compliance)
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第9 页
为了更好的指导、规范信息安全管理体系建设,国际标准 化组织(ISO)专门为信息安全管理体系标准预留了ISO/IEC 27000系列编号。到目前为止,正式发布的ISO/ IEC 27000信 息安全管理体系标准有10个,其中部分已经转化成我国的国家 标准。
3.资产分类与控制(Asset Classification and Control)
4.人员安全(Personnel Security)
5 . 物 理 与 环 境 安 全 ( Physical and Environmental Security)
6.通信与运营管理 ( Communications and Operations Management)
第 21 页
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情 况采取不同的步骤和方法,一般来说,建立信息安全管理体系要经过下列五个基 本步骤:
信息安全管理体系的策划与准备 建立信息安全管理框架 信息安全管理体系文件的编制 信息安全管理体系的运行 信息安全管理体系的审核一节 信息安全管理体系的概念
2.1.2 PDCA循环
(2)信息安全管理体系的PDCA过程
PDCA循环是质量管理的基本方法。建 立和实施信息安全管理体系ISMS,需要采用 过程的方法开发、实施和改进信息安全管理 体系的有效性;失败的教训加以总结,以免 重现;未解决的问题放到下一个PDCA循环。
2.1.1 信息安全管理内涵
第3 页
信息安全管理体系(Information Security Management System,ISMS) 是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用方 法和手段构成的体系。
信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、 活动、程序、过程和资源的集合。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 10 页
全部标准基本可以分为以下四部分:
第一部分:要求和支持性指南,包括ISO/IEC 27000到ISO/IEC 27005,是信 息安全管理体系的基础和基本要求。 第二部分:有关认证认可和审核的指南,包括ISO/IEC 27006到ISO/IEC 27008,面向认证机构和审核人员。 第三部分:面向专门行业的信息安全管理要求,如金融业、电信业,或者专 门应用于某个具体的安全域,如数字证据、业务连续性方面。 第四部分:由ISO技术委员会TC215单独制定的,应用于医疗信息安全管理的 标准ISO 27799,以及一些处于研究阶段的成果。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
(1) 等级保护实施方法
第 19 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
(2) 等级保护实施过程
等级保护的实施过程包括三个阶段:
(a)定级阶段
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
(2) 安全保护等级划分
第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级
第 17 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
第5 页
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
2.1.2 PDCA循环
(2)信息安全管理体系的PDCA过程
一、计划阶段
主要任务是根据风险评估、法律 法规要求、组织业务运营自身要 求来确定控制目标与控制方式。
二、实施阶段
主要任务是实施组织所选择的控 制目标与控制措施。主要包括保 证资源、提供培训、提高安全意 识和风险治理。
第二章
信息安全 管理体系
第五节 信息安全管理体系的建立与认证
2.5.1 信息安全管理体系的建立
第 22 页
按照BS7799标准,建立信息安全管理体系的详细过程如下:
(1)信息安全管理体系的准备
管理承诺,组织管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信 息管理体系的证据,这是成功实施信息安全管理体系的重要保证。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 11 页
(1)ISO/IEC 27001《信息安全管理体系要求》
于2005年发布第一版,2013年发布第二版,2008年等同转化为中国国 家标准GB/T 22080-2008/ISO/IEC 27001:2005。是ISMS的规范性标准,来 源于BS7799-2,各类组织可以按照ISO 27001的要求建立自己的信息安全管 理体系,并通过认证。ISO/IEC 27001也是ISO/IEC 27000系列最核心的两个 标准之一,着眼于组织的整体业务风险,通过对业务进行风险评估来建立、 实施、运行、监视、评审、保持和改进其信息安全管理体系,确保其信息资 产的保密性、可用性和完整性,适用于所有类型的组织。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 12 页
(2)ISO/IEC 27002《信息安全管理实用规则》
于2005年发布第一版,2013年发布第二版,2008年等同转化为中国国 家标准GB/T 22081-2008/ISO/IEC 27002:2005。ISO/IEC 27002也是 ISO/IEC 27000系列最核心的两个标准之一。来源于BS7799-1,2013版从14 个方面提出35个控制目标和113个控制措施,这些控制目标和措施是信息安全 管理的最佳实践。
三、分区域保护原则
根据信息系统的重要程度、业务 特点和不同发展水平,通过划分 不同安全保护等级的区域,实现 不同强度的安全保护。
四、同步建设、动态调整原则
信息系统在新建、改建时应当同 步建设信息安全设施;当应用类 型、范围变化引起保护等级变更 时,应重新确立新的保护等级。
第 15 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
第 16 页
(2) 安全保护等级划分 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏 后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害 程度;针对信息的保密性、完整性和可用性等要求及信息系统必须要达到的基本的 安全保护水平等因素,信息和信息系统的安全保护等级可分为五级。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
(1) 信息安全等级保护基本原则
一、重点保护原则
重点保护关系国家安全、经济命 脉、社会稳定等方面的重要信息 系统,集中资源首先确保重点系 统安全。
二、谁主管谁负责、谁运营谁负责
由各主管部门和运营单位依照国 家相关法规和标准,自主确定信 息系统的安全等级并按照相关要 求组织实施安全防护。
第 18 页
(1) 等级保护实施方法
信息安全等级保护的实施方法中主要涉及以下内容: 安全定级:对系统进行安全等级的确定; 基本安全要求分析:对应安全等级划分标准,分析、检查系统的基本安全要求; 系统特定安全要求分析:根据系统的重要性、涉密程度及具体应用情况,分析 系统特定安全要求; 风险评估:分析和评估系统所面临的安全风险; 改进和选择安全措施:根据系统安全级别的保护要求和风险分析的结果,改进 现有安全保护措施,选择新的安全保护措施; 实施:实施安全保护。
组织与人员建设,为在组织中顺利建立信息安全管理体系,需要建立有效信息安全机 构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
编制工作计划,为确保体系顺利建立,组织应进行统筹安排,制定一个切实可行的工 作计划,明确不同时间段的工作任务与目标及责任分工,控制工作进度,突出工作重 点。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
第 14 页
信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定和保护 公共利益等方面的重要程度,结合系统面临的风险、应对风险的安全保护要求和成 本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保 障信息和信息系统的安全。
三、检查阶段
主要任务是进行有关方针、程序、 标准与法律法规的符合性检查, 对存在的问题采取措施,予以改 进。 。
四、行动阶段
主要任务是对信息安全管理体系 进行评价,并以检查阶段采集的 不符合项信息为基础,经常对信 息安全管理体系进行调整与改进。
第6 页
第二章
信息安全 管理体系
第二节 BS7799信息安全管理体系
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
2.1.2 PDCA循环
(1)PDCA循环简介
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又 称为“戴明环”,在质量管理中应用广泛。
• P(Plan)—计划,确定方针和目标,确定活动计划; • D(Do)—实施,采取实际措施,实现计划中的内容; • C(Check)—检查,检查总结执行计划的结果,评价效果,找出问题; • A(Action)—行动,对检查总结的结果进行处理,成功的经验加以 肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问 题放到下一个PDCA循环。
第7 页
BS7799标准由英国贸易工业部制订出版,是国际上具有代表性的信息安全管理 体系。BS7799标准具体分为两个部分:BS7799-1:《信息安全管理实施规则》和 BS7799-2:《信息安全管理体系规范》。
BS7799-1: 提供了一套综合的、由信息
安全最佳惯例组成的实施规则, 可以作为大型、中型及小型组织 确定信息安全所需的控制范围的 参考基准
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 13 页
(3)ISO/IEC 27003《信息安全管理体系实施指南》
于2010年发布,该标准适用于所有类型、所有规模和所有业务形式的组 织,为建立、实施、运行、监视、评审、保持和改进符合ISO/IEC 27001的信 息安全管理体系提供实施指南。它给出了ISMS实施的关键成功因素,按照 PDCA的模型,明确了计划、实施、检查、纠正每个阶段的活动内容和详细指 南。
8.系统开发与维护(Systems Development and Maintenance)
7.访问控制(Access Control)
9.信息安全事件管理(Information Security Incident Management)
10.业务持续性管理(Business Continuity Management)
系统识别与描述 等级确定
(b)规划与设计阶段
系统分域保护框架建立 选择和调整安全措施 安全规划和方案设计
(c)实施、等级评估与改进阶段
安全措施的实施 评估与验收 运行监控与改进
第 20 页
第二章
信息安全 管理体系
第五节 信息安全管理体系的建立与认证
2.5.1 信息安全管理体系的建立
第1 页
信息安全管理
第二章 信息安全管理体系
目录
Contents Page
01 管理体系概述 02 BS7799信息安全管理体系 03 27000信息安全管理体系 04 基于等级保护的信息安全管理体系 05 信息安全管理体系的建立与认证
第2 页
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
BS7799-2: 详细说明了建立、实施和维
护信息安全管理体系的要求,是 组织全面或部分信息安全管理系 统评估的基础
第二章
信息安全 管理体系
第二节 BS7799信息安全管理体系
第8 页
BS779-1规范的基本内容包括11个管理方面,134个控制方法。
1.安全方针/策略(Security Policy) 2.安全组织(Security Organization)
11.法律法规符合性(Compliance)
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第9 页
为了更好的指导、规范信息安全管理体系建设,国际标准 化组织(ISO)专门为信息安全管理体系标准预留了ISO/IEC 27000系列编号。到目前为止,正式发布的ISO/ IEC 27000信 息安全管理体系标准有10个,其中部分已经转化成我国的国家 标准。
3.资产分类与控制(Asset Classification and Control)
4.人员安全(Personnel Security)
5 . 物 理 与 环 境 安 全 ( Physical and Environmental Security)
6.通信与运营管理 ( Communications and Operations Management)
第 21 页
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情 况采取不同的步骤和方法,一般来说,建立信息安全管理体系要经过下列五个基 本步骤:
信息安全管理体系的策划与准备 建立信息安全管理框架 信息安全管理体系文件的编制 信息安全管理体系的运行 信息安全管理体系的审核一节 信息安全管理体系的概念
2.1.2 PDCA循环
(2)信息安全管理体系的PDCA过程
PDCA循环是质量管理的基本方法。建 立和实施信息安全管理体系ISMS,需要采用 过程的方法开发、实施和改进信息安全管理 体系的有效性;失败的教训加以总结,以免 重现;未解决的问题放到下一个PDCA循环。
2.1.1 信息安全管理内涵
第3 页
信息安全管理体系(Information Security Management System,ISMS) 是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用方 法和手段构成的体系。
信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、 活动、程序、过程和资源的集合。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 10 页
全部标准基本可以分为以下四部分:
第一部分:要求和支持性指南,包括ISO/IEC 27000到ISO/IEC 27005,是信 息安全管理体系的基础和基本要求。 第二部分:有关认证认可和审核的指南,包括ISO/IEC 27006到ISO/IEC 27008,面向认证机构和审核人员。 第三部分:面向专门行业的信息安全管理要求,如金融业、电信业,或者专 门应用于某个具体的安全域,如数字证据、业务连续性方面。 第四部分:由ISO技术委员会TC215单独制定的,应用于医疗信息安全管理的 标准ISO 27799,以及一些处于研究阶段的成果。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
(1) 等级保护实施方法
第 19 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
(2) 等级保护实施过程
等级保护的实施过程包括三个阶段:
(a)定级阶段
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
(2) 安全保护等级划分
第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级
第 17 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.2 等级保护实施方法与过程
第5 页
第二章
信息安全 管理体系
第一节 信息安全管理体系的概念
2.1.2 PDCA循环
(2)信息安全管理体系的PDCA过程
一、计划阶段
主要任务是根据风险评估、法律 法规要求、组织业务运营自身要 求来确定控制目标与控制方式。
二、实施阶段
主要任务是实施组织所选择的控 制目标与控制措施。主要包括保 证资源、提供培训、提高安全意 识和风险治理。
第二章
信息安全 管理体系
第五节 信息安全管理体系的建立与认证
2.5.1 信息安全管理体系的建立
第 22 页
按照BS7799标准,建立信息安全管理体系的详细过程如下:
(1)信息安全管理体系的准备
管理承诺,组织管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信 息管理体系的证据,这是成功实施信息安全管理体系的重要保证。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 11 页
(1)ISO/IEC 27001《信息安全管理体系要求》
于2005年发布第一版,2013年发布第二版,2008年等同转化为中国国 家标准GB/T 22080-2008/ISO/IEC 27001:2005。是ISMS的规范性标准,来 源于BS7799-2,各类组织可以按照ISO 27001的要求建立自己的信息安全管 理体系,并通过认证。ISO/IEC 27001也是ISO/IEC 27000系列最核心的两个 标准之一,着眼于组织的整体业务风险,通过对业务进行风险评估来建立、 实施、运行、监视、评审、保持和改进其信息安全管理体系,确保其信息资 产的保密性、可用性和完整性,适用于所有类型的组织。
第二章
信息安全 管理体系
第三节 ISO 27000信息安全管理体系
第 12 页
(2)ISO/IEC 27002《信息安全管理实用规则》
于2005年发布第一版,2013年发布第二版,2008年等同转化为中国国 家标准GB/T 22081-2008/ISO/IEC 27002:2005。ISO/IEC 27002也是 ISO/IEC 27000系列最核心的两个标准之一。来源于BS7799-1,2013版从14 个方面提出35个控制目标和113个控制措施,这些控制目标和措施是信息安全 管理的最佳实践。
三、分区域保护原则
根据信息系统的重要程度、业务 特点和不同发展水平,通过划分 不同安全保护等级的区域,实现 不同强度的安全保护。
四、同步建设、动态调整原则
信息系统在新建、改建时应当同 步建设信息安全设施;当应用类 型、范围变化引起保护等级变更 时,应重新确立新的保护等级。
第 15 页
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
第 16 页
(2) 安全保护等级划分 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏 后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害 程度;针对信息的保密性、完整性和可用性等要求及信息系统必须要达到的基本的 安全保护水平等因素,信息和信息系统的安全保护等级可分为五级。
第二章
信息安全 管理体系
第四节 基于等级保护的信息安全管理体系
2.4.1 等级保护概念
(1) 信息安全等级保护基本原则
一、重点保护原则
重点保护关系国家安全、经济命 脉、社会稳定等方面的重要信息 系统,集中资源首先确保重点系 统安全。
二、谁主管谁负责、谁运营谁负责
由各主管部门和运营单位依照国 家相关法规和标准,自主确定信 息系统的安全等级并按照相关要 求组织实施安全防护。
第 18 页
(1) 等级保护实施方法
信息安全等级保护的实施方法中主要涉及以下内容: 安全定级:对系统进行安全等级的确定; 基本安全要求分析:对应安全等级划分标准,分析、检查系统的基本安全要求; 系统特定安全要求分析:根据系统的重要性、涉密程度及具体应用情况,分析 系统特定安全要求; 风险评估:分析和评估系统所面临的安全风险; 改进和选择安全措施:根据系统安全级别的保护要求和风险分析的结果,改进 现有安全保护措施,选择新的安全保护措施; 实施:实施安全保护。