安全体系架构

规划和建立 (plan)
保持和 改进 action
实施和 运行 (do)
监视和评审 check
17
相关方
受控的 信息安
全
信息安全管理体系建设
❖ （一）信息安全管理体系的规划和建立（P) ❖ （二）信息安全管理体系的实施和运行(D) ❖ （三）信息安全管理体系的监视和评审(C) ❖ （四）信息安全管理体系的保持和改进(A)
P2DR模型-分布式动态主动模型
❖ PDR（保护、检测、响应）模型强调落实反应 ❖ P2DR模型则更强调控制和对抗，即强调系统安全
的动态性（多了策略） ❖ 以安全检测、漏洞监测和自适应填充“安全间隙
”为循环来提高网络安全 ❖ 特别考虑人为的管理因素
8
IATF（信息保障技术）框架
成功的组织功能
信息安全保障（IA）
26
课程知识关键点
安全管理措施
基本管理措施
重要管理过程
27
安全策略
安全组织架构
人员安全管理
资产管理
物理与环境安全
通信及操作安全
访问控制
符合性管理 系统获取、开发及
维护 事件管理与应急响
应 业务连续性与灾难
恢复
什么是控制措施
❖ 什么是控制措施
▪ 管理风险的方法。为达成企业目标提供合理保证，并 能预防、检查和纠正风险。
▪ 信息安全管理工作的对象
目标
规则
项目领导组 项目办公室
项目经理
项目专家组 变更控制委员会
实施小组
协调小组
国税总局
测评中心
福建地税
国税总局
福建地税
组织
14
Fra Baidu bibliotek人员
经营
拥有者 关键活动
输入 资源
·信息输入
变化？
标准 ·立法
记录 ·摘要
过程
测量
输出
生产
信息安全管理的基本概念
❖ 信息安全管理是基于风险的管理
❖ 国内外信息安全测评现状
❖ 产品、人员、服务商、系统测评的方法和流程
❖ 持续提高信息系统安全保障能力。 ❖ 信息系统安全监护和维护
持续改进
11
知识体系关联
密码学应用 密码学基础 访问控制
安全工程
软件安全 开发
技术
安全 保障
安全管理体系 安全风险管理
管理
12
网络安全 系统安全 应用安全
法规政策 与标准
▪ 等级保护制度
❖ 我国信息安全保障建设主要内容
10
信息系统安全保障工作建设步骤
❖ 制定信息安全保障需求的作用 ❖ 制定信息系统安全保障需求的方法和原则
确定需求
❖ 信息安全保障解决方案 ❖ 确定安全保障解决方案的原则 ❖ 实施信息安全保障解决方案的原则
制定方案
❖ 信息安全测评
开展测评
❖ 信息安全测评的重要性
深度防御战略
操作
人
人
技术 通过 技术
进行 操作
计算环境 区域边界
网络 基础设施
支撑性基础设施
密钥管理 检测响应
9
国家信息安全保障工作要点
❖ 方针：积极防御、综合防范 ❖ 基本原则：
▪ 立足国情，以我为主，坚持管理与技术并重。正 确处理安全与发展的关系，以安全保发展，在 发展中求安全；统筹规划，突出重点，强化基 础性工作；明确国家、企业、个人的责任和义 务，充分发挥各方面的积极性，共同构筑国家 信息安全保障体系。
信息安全保障的目标是支持业务！
6
信息系统安全保障模型
废 弃
运 行 维 护
实 施 交
开付 发 采 购
计 划 组 织
生命周期
技术
保
工程
障
要
素
管理
安全特征
可 用 完性 保整 密性 性
人员
国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统 安全保障评估框架 第一部分：简介和一般模型》
7
❖ 风险评估的流程
资产识别
风险评估准备 威胁识别
已有安全措施的确认
风险分析
风险计算
保持已有的安全措施
是
风险是否接受
否
制定风险处理计划 并评估残余风险
是否接受残余风险
否
是
实施风险管理
脆弱性识别
评估过程文档 评估过程文档
..................
评估过程文档 风险评估文档记录
25
风险分析
❖GB/T 20984-2007 《信息安全风险评估规范》给 出信息安全风险分析思路
安全管理体系 安全风险管理
管理
3
网络安全 系统安全 应用安全
法规政策 与标准
安全攻防 恶意代码
基本管理措施
重要管理过程
课程知识关键点
信息安全保障
信息安全保障概念 信息安全保障体系
信息技术及信息安 全发展
信息安全问题的产 生
PPDR模型及IATF
信息安全工作概括 我国信息安全保障
工作概况
信息安全保障需求 信息安全保障目标
18
信息安全管理控制规范
❖ 十一项条款
▪ （一）信息安全策略 ▪ （二）信息安全组织 ▪ （三）人力资源安全 ▪ （四）信息资产分类与控制 ▪ （五）信息安全访问控制 ▪ （六）物理与环境安全 ▪ （七）系统开发与维护 ▪ （八）通信与运营安全 ▪ （九）信息安全事故管理 ▪ （十）业务持续性管理 ▪ （十一）符合性
人力资源安全目标
❖ 目标：
▪ 雇佣前——确保员工、合同方和第三方用户了解他们的责任 并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的 风险。
▪ 雇佣中——确保所有的员工、合同方和第三方用户了解信息 安全威胁和相关事宜、他们的责任和义务，并在他们的日常 工作中支持组织的信息安全方针，减少人为错误的风险。
19
课程知识关键点
信息安全风险管理
风险管理基本概念
风险管理概念
信息安全风险评估
20
风险管理主要工作 内容
系统生命周期中的 风险管理
信息安全风险评估 流程与方法
信息安全风险评估 实践
通用风险管理定义
❖ 定义
▪ 是指如何在一个肯定有风险的环境里把风险减至最 低的管理过程。
▪ 风险管理包括对风险的量度、评估和应变策略。 ▪ 理想的风险管理，是一连串排好优先次序的过程，
❖ISO 27000系列
27000~27003 信息安全管理体系基本原理和词汇 27004~27007
27000 信息安全管理体系原则
和术语
27001 信息安全管理体系要求
27002 信息安全管理实践准则
27003 信息安全管理实施指南
27001
27002
27006
27000
27003
27005
27004
❖ 包含的内容：
▪ 组织可以根据业务运作流程和信息系统拓扑结构来识别信息 资产。
▪ 按照信息资产所属系统或所在部门列出资产清单。 ▪ 所有的信息资产都应该具有指定的属主并且可以被追溯责任
。 ▪ 信息应该被分类，以标明其需求、优先级和保护程度。 ▪ 根据组织采用的分类方案，为信息标注和处理定义一套合适
威胁识别 脆弱性识别
资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件造成的损失
风险值
风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va ))。 其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆 弱性； Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度； L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事 件发生后造成的损失。
性
33
Operating Instruction
通信和操作管理目标
❖ 目标：
▪ 网络安全管理——确保对网络中信息和支持性基础 设施的安全保护。
▪ 介质处理和安全——防止对资产的未授权泄漏、修 改、移动或损坏，及对业务活动的干扰。
▪ 信息和软件的交换——应保持组织内部或组织与外 部组织之间交换信息和软件的安全。
信息安全测评
持续改进
4
信息安全发展阶段
C通O信MSEC （电报\电话）
通信安全
COMPUSEC 计算机安全 计算机
信息系统安全
INFOSEC
信息安全保障
网络空间安全/信息安全保障
网络
IA
网络化C社S会/IA
5
信息安全保障定义
信息系统安全保障是在信息系统的整个生命 周期中，通过对信息系统的风险分析，制定并执 行相应的安全保障策略，从技术、管理、工程和 人员等方面提出安全保障要求，确保信息系统的 保密性、完整性和可用性，降低安全风险到可接 受的程度，从而保障系统实现组织机构的使命。
❖ PDCA过程的要求
▪ 风险管理是一个持续的PDCA管理过程
风险管理是 信息安全保 障工作有效 工作方式
23
信息安全风险管理工作内容
❖ GB/Z 24364《信息安全风险管理指南》
四个阶段，两个贯穿。
--
建立背景
监
风险评估
沟
控
通
审 查
风险处理
咨 询
批准监督
24
信息系统风险评估
❖ 风险评估的政策要求
信息安全体系和架构
知识体系关联
密码学应用 密码学基础 访问控制
安全工程
软件安全 开发
技术
安全 保障
安全管理体系 安全风险管理
管理
2
网络安全 系统安全 应用安全
法规政策 与标准
安全攻防 恶意代码
基本管理措施
重要管理过程
知识体系关联
密码学应用 密码学基础 访问控制
安全工程
软件安全 开发
技术
安全 保障
27004 信息安全管理的度量指标
和衡量
27005 信息安全风险管理指南
27006 信息和通信技术灾难恢复
服务指南
27007 XXX
16
信息安全管理体系循环框架
《GB/T22080-2008 信息安全技术 信息安全管理体系要》. 信息安全管理体系是PDCA动态持续改进的一个循环体。
相关方
信息安 全要求 和期望
使引致最大损失及最可能发生的事情优先处理、而 相对风险较低的事情则押后处理。
21
什么是信息安全风险管理
❖定义一：GB/Z 24364《信息安全风险管理指南》
▪ 信息安全风险管理是识别、控制、消除或最小化可 能影响系统资源的不确定因素的过程。
❖ 定义二：在组织机构内部识别、优化、管理风险， 使风险降低到可接受水平的过程。
▪ 信息安全管理体系建立需要安全需求 ▪ 安全需求来源于风险评估 ▪ 风险处置的的最佳集合就是信息安全管理体系中的措
施集合
❖ 信息安全管理价值及实施成功的关键
▪ 弥补技术之外的安全不足； ▪ 技管并重是我国信息安全保障基本原则
❖ 成功实施信息安全管理关键要素
▪ 理解组织文化、高层支持等
15
信息安全管理国际标准：ISO 27000系列
▪ 它们可以是行政、技术、管理、法律等方面的措施。 ▪ 控制措施的分类：
• 预防性控制 • 检查性控制 • 纠正性控制
28
信息安全管理控制措施
安全策略
信息安全组织
人力资 源安全
资产管理
物理环 境安全
通信操 作管理
访问控制
信息安全事件管理
业务连续性管理
符合性
系统获 取、开 发及维
护
29
133个控制措施 39个目标 11个知识域
的程序。
31
物理和环境安全目标
❖ 目标：
▪ 安全区域——防止非授权访问、破坏和干扰业务运 行的前提条件及信息。
▪ 设备安全——预防资产的丢失、损坏或被盗，以及 对组织业务活动的干扰。
❖ 包含的内容：
▪ 应该建立带有物理入口控制的安全区域 ▪ 应该配备物理保护的硬件设备 ▪ 应该防止网络电缆被塔线窃听 ▪ 将设备搬离场所，或者准备报废时，应考虑其安全
▪ 解聘和变更——确保员工、合同方和第三方用户离开组织或 变更雇佣关系时以一种有序的方式进行。
❖ 包含的内容：
▪ 故意或者无意的人为活动可能给数据和系统造成风险 ▪ 在正式的工作描述中建立安全责任，员工入职审查
30
资产管理目标
❖ 目标：
▪ 资产责任——实现并保持组织资产的适当保护 ▪ 信息分类——确保对信息资产的保护达到恰当的水平
32
通信和操作管理目标
❖ 目标：
▪ 操作程序和责任——确保正确、安全的操作信息处 理设施
▪ 第三方服务交付管理——实施并保持信息安全的适 当水平，确保第三方交付的服务符合协议要求。
▪ 系统规划与验收——减少系统失效带来的风险。 ▪ 防范恶意代码和移动代码——保护软件和信息的完
整性。 ▪ 备份——保持信息和信息处理设施的完整性和可用
▪ 电子商务服务 ——确保电子商务的安全及他们的 安全使用。
▪ 监督——检测未经授权的信息处理活动。
34
访问控制目标
❖ 目标： ▪ 访问控制的业务需求——控制对信息的访问。 ▪ 用户访问管理——确保授权用户的访问，并预防信息系统的非授 权访问。 ▪ 用户责任——预防未授权用户的访问，信息和信息处理设施的破 坏或被盗。 ▪ 网络访问控制——防止对网络服务未经授权的访问。 ▪ 操作系统访问控制——防止对操作系统的未授权访问。 ▪ 应用访问控制——防止对应用系统中信息的未授权访问。 ▪ 移动计算和远程工作——确保在使用移动计算和远程工作设施时 信息的安全。
22
为什么要做风险管理
❖ 成本与效益平衡
▪ 好的风险管理过程可以让机构以最具有成本效益的方 式运行，并且使已知的风险维持在可接受的水平
❖ 工作条理化
▪ 好的风险管理过程使组织可以用一种一致的、条理清 晰的方式来组织有限的资源并确定优先级，更好地管 理风险。而不是将保贵的资源用于解决所有可能的风 险
安全攻防 恶意代码
基本管理措施
重要管理过程
课程知识关键点
安全管理体系
信息安全管理概念 信息安全管理体系
信息安全管理概念
信息安全管理体系 概念
过程方法与PDCA循 环
建立、运行、评审 及改进ISMS
信息安全控制措施
13
信息安全管理
❖ 什么是信息安全管理
▪ 组织中为了完成信息安全目标，针对信息系统，遵循 安全策略，按照规定的程序，运用恰当的方法，而进 行的规划、组织、指导、协调和控制等活动