CISP 信息安全管理体系

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息。信息的保密性依据信息被允许访问对象的 多少而不同,所有人员都可以访问的信息为公开 信息,需要限制访问的信息为敏感信息或秘密信 息,根据信息的重要程度和保密要求将信息分为 不同密级。
9
1、信息安全-完整性
❖ 完整性 ❖ 保证信息和处理方法的正确性和完整性。信息完
整性一方面指在使用、传输、存储信息的过程中 不发生篡改信息、丢失信息、错误信息等现象; 另一方面指信息处理的方法的正确性,执行不正 当的操作,有可能造成重要文件的丢失,甚至整 个系统的瘫痪。










信息系统是人机交互系统



设备的有效利用是人为的管理过 程
“坚持管理与技术并重”是我国加 强信息安全保障工作的主要原则
28
2、信息安全管理的发展-1
❖ISO/IEC TR 13335
▪ 国际标准化组织在信息安全管理方面,早在1996年 就开始制定《信息技术信息安全管理指南》( ISO/IEC TR 13335),它分成五个部分:
17
(1)安全风险的基本概念
❖威胁
❖ 资威胁是可能导致信息安全事故和组织信息资产损失 的环境或事件
❖ 威胁是利用脆弱性来造成后果
❖ 威胁举例
❖ 黑客入侵和攻击 ❖ 软硬件故障
病毒和其他恶意程序 人为误操作
❖ 盗窃
网络监听
❖ 供电故障
后门
❖ 未授权访问…… 自然灾害如:地震、火灾
18
(1)安全风险的基本概念
❖ 安全控制措施
❖ 根据安全需求部署的,用来防范威胁,降低风险的措 施
❖ 安全控制措施举例
✓ 技术措施 ✓ 防火墙 ✓ 防病毒 ✓ 入侵检测 ✓ 灾备系统
✓ 管理措施 ✓ 安全规章 ✓ 安全组织 ✓ 人员培训 ✓ 运行维护
✓ ……
✓ ……
20
(2)信息安全的风险模型
没有绝对的安全,只有相对的安全
信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够 、综合的安全措施来控制风险,使残余风险降低到可接受的程度。
❖ 信息安全:信息安全主要指信息的保密性、完整 性和可用性的保持。即指通过采用计算机软硬件 技术、网络技术、密钥技术等安全技术和各种组 织管理措施,来保护信息在其生命周期内的产生 、传输、交换、处理和存储的各个环节中,信息 的保密性、完整性和可用性不被破坏。
7
1、信息安全
8
1、信息安全-保密性
❖ 保密性 ❖ 确保只有那些被授予特定权限的人才能够访问到
❖ 脆弱性
❖ 是与信息资产有关的弱点或安全隐患。
❖ 脆弱性本身并不对资产构成危害,但是在一定条件得 到满足时,脆弱性会被威胁加以利用来对信息资产造 成危害。
❖ 脆弱性举例
❖ 系统漏洞
程序Bug
❖ 专业人员缺乏
不良习惯
❖ 缺少审计
缺乏安全意识
❖ 后门
❖ 物理环境访问控制措施不当……
19
(1)安全风险的基本概念
45
2、信息安全管理体系的特点
❖ 信息安全管理体系要求组织通过确定信息安全管理体系范 围,制定信息安全方针,明确管理职责,以风险评估为基 础选择控制目标和措施等一系列活动来建立信息安全管理 体系;
❖ 体系的建立基于系统、全面、科学的安全风险评估,体现 以预防控制为主的思想,强调遵守国家有关信息安全的法 律、法规及其他合同方面的要求;
21
(3)基于风险的信息安全
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化 ❖ 保护信息免受各种威
胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能 。
22
(3)风险评估是信息安全管理的基础
❖ 风险评估主要对ISMS范围内的信息资产进行鉴定 和估价,然后对信息资产面对的各种威胁和脆弱 性进行评估,同时对已存在的或规划的安全控制 措施进行界定。
10
1、信息安全-可用性
❖ 可用性 ❖ 确保那些已被授权的用户在他们需要的时候,确
实可以访问到所需信息。即信息及相关的信息资 产在授权人需要的时候,可以立即获得。例如, 通信线路中断故障、网络的拥堵会造成信息在一 段时间内不可用,影响正常的业务运营,这是信 息可用性的破坏。提供信息的系统必须能适当地 承受攻击并在失败时恢复。
❖ 控制目标、控制手段、实施指南的逻辑梳理出这 些风险控制措施集合的过程也就是信息安全建立 体系的建立过程。
❖ 信息安全管理体系的核心就是这些最佳控制措施 集合的。
24
(二)信息安全管理的状况
❖ 1、信息安全管理的作用 ❖ 2、信息安全管理的发展 ❖ 3、信息安全管理有关标准 ❖ 4、成功实施信息安全管理的关键
▪ 国际信息安全标准化组织 ▪ 国际信息安全管理标准
❖ (2)国内信息安全管理标准
▪ 国内信息安全标准化组织 ▪ 国内信息安全管理标准
33
国际信息安全标准化组织
34
国际信息安全管理标准-1
35
国际信息安全管理标准-2
36
国际信息安全管理标准-3
37
国内信息安全标准化组织
38
国内信息安全管理标准-1
❖ 促使管理层贯彻信息安全管理体系,强化员工的 信息安全意识,规范组织信息安全行为;
❖ 使组织的生意伙伴和客户对组织充满信心; ❖ 组织可以按照安全管理,达到动态的、系统地、
全员参与、制度化的、以预防为主的信息安全管 理方式,用最低的成本,达到可接受的信息安全 水平,从根本上保证业务的持续性。
▪ 理解信息安全“技管并重”原则的意义 ▪ 理解成功实施信息安全管理工作的关键因素
❖知识子域: 风险管理的概念和作用
▪ 理解信息安全风险的概念:资产价值、威胁、脆弱 性、防护措施、影响、可能性
▪ 理解风险评估是信息安全管理工作的基础 ▪ 理解风险处置是信息安全管理工作的核心
❖知识子域: 信息安全管理控制措施的概念和作用
15
3、基于风险的信息安全
❖ (1)安全风险的基本概念 ❖ (2)信息安全的风险模型 ❖ (2)基于风险的信息安全
16
(1)安全风险的基本概念
❖资产
❖ 资产是任何对组织有价值的东西 ❖ 信息也是一种资产,对组织具有价值
❖ 资产的分类
❖ 电子信息资产 ❖ 纸介资产 ❖ 软件资产 ❖ 物理资产 ❖ 人员 ❖ 服务性资产 ❖ 公司形象和名誉 ❖ ……
项目专家组 变更控制委员会
实施小组
协调小组
国税总局
测评中心
福建地税
Biblioteka Baidu
国税总局
福建地税
目标
规则
组织
人员
14
2、信息安全管理
❖ 信息安全管理是通过维护信息的保密性、完整性 和可用性,来管理和保护组织所有的信息资产的 一项体制;是组织中用于指导和管理各种控制信 息安全风险的一组相互协调的活动,有效的信息 安全管理要尽量做到在有限的成本下,保证安全 风险控制在可接受的范围。
13
2、信息安全管理
组织中为了完成信息安全目标,针对信息系统,遵循安
全策略,按照规定的程序,运用恰当的方法,而进行的
规划、组织、指导、协调和控制等活动 拥有者 变化?
信息安全管理工作的对象
经营
关键活动 输入
资源 ·信息输入
标准 ·立法
记录 ·摘要
测量
输出
生产
过程
项目领导组 项目办公室 项目经理
❖ 强调全过程和动态控制,本着控制费用与风险平衡的原则 合理选择安全控制方式;强调保护组织所拥有的关键性信 息资产,而不是全部信息资产,确保信息的保密性、完整 性和可用性,保持组织的竞争优势和业务的持续性。
46
3、信息安全管理体系的作用
❖ 对组织的关键信息资产进行全面系统的保护,维 持竞争优势;
❖ 在信息系统受到侵袭时,确保业务持续开展并将 损失降到最低程度;
信息安全管理体系
培训机构名称 讲师名字
课程内容
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
2
知识域:信息安全管理基本概念
❖知识子域: 信息安全管理的作用
❖ (二)信息安全管理的状况
▪ 1、信息安全管理的作用 ▪ 2、信息安全管理的发展 ▪ 3、信息安全管理的标准 ▪ 4、成功实施信息安全管理的关键
5
(一)信息安全管理基本概念
❖ 1、信息安全 ❖ 2、信息安全管理 ❖ 3、基于风险的信息安全
6
1、信息安全
❖ 信息:信息是一种资产,像其他重要的业务资产 一样,对组织具有价值,因此需要妥善保护。
43
(一)什么是信息安全管理体系
❖ 1、信息安全管理体系的定义 ❖ 2、信息安全管理体系的特点 ❖ 3、信息安全管理体系的作用 ❖ 4、信息安全管理体系的文件
44
1、信息安全管理体系的定义
❖ 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或 特定范围内建立的信息安全方针和目标,以及完 成这些目标所用的方法和体系。它是直接 管理活 动的结果,表示为方针、原则、目标、方法、计 划、活动、程序、过程和资源的集合。
❖ 信息安全是一个多层面、多因素的过程,如果组织凭着一 时的需要,想当然去制定一些控制措施和引入某些技术产 品,都难免存在挂一漏万、顾此失彼的问题,使得信息安 全这只“木桶”出现若干“短板”,从而无法提高信息安 全水平。
12
2、信息安全管理
❖ 正确的做法是参考国内外相关信息安全标准与最 佳实践过程,根据组织对信息安全的各个层面的 实际需求,在风险分析的基础上引入恰当控制, 建立合理安全管理体系,从而保证组织赖以生存 的信息资产的保密性、完整性和可用性。
25
1、信息安全管理的作用
保险柜就一定安全吗?
❖ 如果你把钥匙落在锁眼上会怎样? ❖ 技术措施需要配合正确的使用才能发
挥作用
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
WO!3G
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
27
1、信息安全管理的作用
11
2、信息安全管理
❖ 统计结果表明,在所有信息安全事故中,只有20%~30%是由 于黑客入侵或其他外部原因造成的,70%~80%是由于内部员 工的疏忽或有意泄密造成的。站在较高的层次上来看信息 和网络安全的全貌就会发现安全问题实际上都是人的问题 ,单凭技术是无法实现从“最大威胁”到“最可靠防线” 转变的。
▪ 理解安全管理控制措施是管理风险的具体手段 ▪ 了解11个基本安全管理控制措施的基本内容
3
信息安全管理
❖ 一、信息安全管理概述 ❖ 二、信息安全管理体系 ❖ 三、信息安全管理体系建立 ❖ 四、信息安全管理控制规范
4
一、信息安全管理概述
❖ (一)信息安全管理基本概念
▪ 1、信息安全 ▪ 2、信息安全管理 ▪ 3、基于风险的信息安全
《信息安全的概念和模型》 《信息安全管理和规划》 《信息安全管理技术》 《基线方法》 《网络安全管理指南》
29
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分:
▪ BS 7799-1《信息安全管理实施规则》和BS 7799-2 《信息安全管理体系规范》。2002年又颁布了《信 息安全管理系统规范说明》(BS 7799-2:2002)。
▪ BS 7799将信息安全管理的有关问题划分成了10个 控制要项、36 个控制目标和127 个控制措施。目 前,在BS7799-2中,提出了如何了建立信息安全 管理体系的步骤。
30
2、信息安全管理的发展-3
31
2、信息安全管理的发展-4
32
3、国内外信息安全管理标准
❖ (1)国际信息安全管理标准
❖ 信息安全管理体系的建立需要确定信息安全需求 ❖ 信息安全需求获取的主要手段就是安全风险评估 ❖ 信息安全风险评估是信息安全管理体系建立的基
础,没有风险评估,信息安全管理体系的建立就 没有依据。
23
(4)风险处置是信息安全管理的核心
❖ 风险评估的结果应进行相应的风险处置,本质上 ,风险处置的最佳集合就是信息安全管理体系的 控制措施集合。
WG7组已有的标准
39
国内信息安全管理标准-2
WG7组研究中的标准
40
国内信息安全管理标准-3
41
4、实施信息安全管理的关键成功因素
❖ 理解组织文化 ❖ 得到高层承诺 ❖ 做好风险评估 ❖ 整合管理体系 ❖ 积极有效宣贯 ❖ 纳入奖惩机制 ❖ 持续改进体系
42
二、信息安全管理体系
❖ (一)什么是信息安全管理体系 ❖ (二)信息安全管理体系的框架 ❖ (三)信息安全管理过程方法要求 ❖ (四)信息安全管理控制措施要求
相关文档
最新文档