08-CISP0301信息安全管理基础与管理体系(知识点标注)_v3.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( -- ISO/IEC 27000:2009、ISO 9000:2005 )
过程方法 process approach
一个组织内诸过程的系统的运用,连同这些过程的识别和 相互作用及其管理,可称之为“过程方法”。
( -- ISO/IEC 27001:2005)
系统地识别和管理组织所应用的过程,特别是这些过程之 间的相互作用,称为“过程方法” 。 ( -- ISO 9000:2005)
说安全技术是信息安全的构筑材料,信息安全管理就是粘
合剂和催化剂
技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用
21
信息安全管理的作用
技术不高但管理良好的系统远比技术高超但管理混乱的系
统安全
只有将有效的安全管理从始至终贯彻落实于安全建设的方
方面面,信息安全的长期性和稳定性才能有所保证
成功很容易,防护成功却极为困难
信息安全水平的高低遵循木桶原理:信息安全水平
有多高,取决于防护最薄弱的环节
防护措施
信息安全水平 被侵害的资产
7
信息安全管理体系的定义
体系
管理体系 信息安全管理体系
8
信息安全管理体系的定义
体系:相互关联和相互作用的一组要素。
(-- ISO9000:2005 质量管理体系 基础和术语)
31
风险处理是信息安全管理的核心
风险处理是对风险评估活动识别出的风险进行决 策,采取适当的控制措施处理不能接受的风险, 将风险控制在可按受的范围
风险评估活动只能揭示组织面临的风险,不能改 变风险状况 只有通过风险处理活动,组织的信息安全能力才 会提升,信息安全需求才能被满足,才能实现其 信息安全目标 信息安全管理的核心就是这些风险处理措施的集 合
管理体系: 建立方针和目标并达到目标的体系。
(-- ISO9000:2005 质量管理体系 基础和术语)
为达到组织目标的策略、程序、指南和相关资源的框架。
(-- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语)
信息安全管理体系 (ISMS:Information Security Management System) : 整体管理体系的一部分,基于业务风险的方法,来建立、 实施、运作、监视、评审、保持和改进信息安全。 (-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语)
的信息安全
28
实施信息安全管理的关键成功因素(CSF)
组织的信息安全方针和活动能够反映组织的业务目标
组织实施信息安全的方法和框架与组织的文化相一致
管理者能够给予信息安全实质性的、可见的支持和承诺 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识 向全员和其他相关方分发并宣贯信息安全方针、策略和标准
5
信息安全管理的对象
信息安全管理的对象:包括人员在内的各类信息相关资
产。
项目领导组 项目专家组 项目办公室 变更控制委员会 项目经理 实施小组 协调小组
国税总局
测评中心
福建地税
国税总局
福建地税
目标
组织
人员
6
规则
以建立体系的方式实施信息安全管 理的必要性
信息安全的攻击和防护严重不对称,相对来说攻击
10
信息安全管理体系要求组织通过确定信息安 信息安全管理体系的特点 全管理体系范围,制定信息安全方针,明确 管理职责,以风险评估为基础选择控制目标 和措施等一系列活动来建立信息安全管理体 系
体系的建立基于系统、全面、科学的信息安 全风险评估,体现以预防控制为主的思想, 强调遵守国家有关信息安全的法律、法规及 其他合同方面的要求 强调全过程和动态控制,本着控制费用与风 险平衡的原则合理选择安全控制方式;强调 保护组织所拥有的关键性信息资产,而不是 全部信息资产,确保信息的保密性、完整性 和可用性,保持组织的竞争优势和业务的持 11 续性
36
过程方法
责任人
33
控制措施是管理风险的具体手段
管理风险的具体手段是控制措施
风险处理时,需要选择并确定适当的控制目标和 控制措施。只有落实适当的控制措施,那些不可 接受的高风险才能降低到可以接受的水平之内
34
控制措施的类别
从手段来看,可以分为技术性、管理性、物理性 、法律性等控制措施。
从功能来看,可以分为预防性、检测性、纠正性 、威慑性等控制措施。
30
风险评估是信息安全管理的基础
风险评估主要对ISMS范围内的信息资产进行鉴定和估 价,然后对信息资产面对的各种威胁和脆弱性进行评 估,同时对已存在的或规划的安全控制措施进行界定
信息安全管理体系的建立需要确定信息安全需求 信息安全需求获取的主要手段就是安全风险评估 信息安全风险评估是信息安全管理体系建立的基础, 没有风险评估,信息安全管理体系的建立就没有依据
狭义和广义的信息安全管理体系
狭义的信息安全管理体系:指按照ISO27001标准定义 的ISMS
广义的信息安全管理体系:泛指任何一种有关信息安
全的管理体系
12
知识域:信息安全管理概述
知识子域: 信息安全管理作用
理解信息安全管理的重要作用 理解信息安全管理体系的作用 理解实施信息安全管理的关键成功因素
建立信息安全方针和目标并达到这些目标的体系。 为达到组织信息安全目标的策略、程序、指南和相关资源的框架。
9
信息安全管理体系的构成要素
信息安全管理体系,包括的要素有: 信息安全组织架构 信息安全方针 信息安全规划活动
信息安全职责
信息安全相关的实践、规程、过程和资源 ... ... 这些要素既相互关联又相互作用
技管并重。
“坚持管理与技术并重”是我国加强信息安全 保障工作的主要原则之一
23
信息安全管理的作用
(三)信息安全管理能预防、阻止或 减少信息安全事件的发生
24
信息安全管理的作用
统计结果显示,在所有信息安全事故中,只有20%~30%是由
于黑客入侵或其他外部原因造成的,70%~80%是由于内部员 工的疏忽或有意泄密造成的
从影响范围来看,常被分为安全方针、信息安全 组织、资产管理、人力资源安全、物理和环境安 全、通信和操作管理、访问控制、信息系统获取 开发和维护、信息安全事件管理、业务连续性管 理和符合性11个类别/域
35
过程、过程方法的概念
过程 process
一组将输入转化为输出的相互关联或相互作用的活动。
26
信息安全管理体系的作用
对内:
能够保护关键信息资产和知识产权,维持竞争优势
在系统受侵袭时,确保业务持续开展并将损失降到最低程度 建立起信息安全审计框架,实施监督检查 建立起文档化的信息安全管理规范,实现有“法”可依,有
章可循,有据可查
强化员工的信息安全意识,建立良好的安全作业习惯,培育
实现信息安全是一个多层面、多因素的过程,也取决于制 定信息安全方针策略标准规范、建立有效的监督审计机制 等多方面非技术性努力 如果组织想当然地制定一些控制措施和引入某些技术产品 ,难免存在挂一漏万、顾此失彼的问题,使信息安全这只 “木桶”出现若干“短板”,从而无法提高信息安全水平
16
信息安全管理的作用
信息安全管理基础与管理体系
课程内容
信息安全管理 概述 信息安全 管理基础 信息安全管理 方法与实施
信息安全管理基本概念 信息安全管理作用 信息安全管理方法 信息安全管理实施
知识体
知识域
2
知识子域
知识域:信息安全管理概述
知识子域: 信息安全管理基本概念
理解管理、信息安全管理的概念,理解信息安全管理 的对象 理解以建立体系的方式实施信息安全管理的必要性 理解体系、管理体系、信息安全管理体系的概念
32
风险管理是信息安全管理的根本方法
应对风险评估的结果进行相应的风险处理。本质 上,风险处理的最佳集合就是信息安全管理体系 的控制措施集合
梳理出这些风险控制措施集合的过程也就是信息 安全管理体系的建立过程 周期性的风险评估与风险处理活动即形成对风险 的动态管理 动态的风险管理是进行信息安全管理、实现信息 安全目标、维持信息安全水平的根本方法
防火墙
防火墙
Internet
精心设计的网络 防御体系,因违 规外连形同虚设
20
信息安全管理的作用
解决信息安全问题,成败通常取决于两个因素,一个是技
术,另一个是管理
安全技术是信息安全控制的重要手段,但光有安全技术还
不行,要让安全技术发挥应有的作用,必然要有适当的管 理程序,否则,安全技术只能趋于僵化和失败
统计结果表明,现实世界里大多数安全事件的发生和安全
隐患的存在,与其说是技术原因,不如说是管理不善造成 的
因此,防止发生信息安全事件不应仅从技术着手,同时更
应加强信息安全管理
25
对信息安全的正确理解
安全不是产品的简单堆积, 也不是一次性的静态过程, 它是人员、技术、操作三 者紧密结合的系统工程, 是不断演进、循环发展的 动态过程。
信息安全管理,是组织完整的管理体系中一个重要的环节
,它构成了信息安全具有能动性的部分
理解并重视管理对于信息安全的关键作用,制定适宜的、
易于理解、方便操作的安全策略对实现信息安全目标、进 而实现业务目标至关重要
组织建立一个管理框架,让好的安全策略在这个框架内实
施,并不断得到修正,才可能为业务的正常持续运作提供 可靠的信息安全保障
17
信息安全管理的作用
(二)信息安全管理是信息安全技术 的融合剂,保障各项技术措施能够发 挥作用
18
信息安全管理的作用
保险柜就一定安全吗? 如果你把钥匙落在锁眼上会怎样?
技术措施需要配合正确的使用才能 发挥作用
19
信息安全管理的作用
防火墙能解决这样的问题吗?
服务器
Web服务器
内网主机
3
信息安全管理的定义
信息
信息安全 管理 信息安全管理
4
Hale Waihona Puke Baidu
管理、信息安全管理
管理 指挥和控制组织的协调的活动。
(-- ISO9000:2005 质量管理体系 基础和术语)
管理者为了达到特定目的而对管理对象进行的计划、组织 、指挥、协调和控制的一系列活动。 信息安全管理 管理者为实现信息安全目标(信息资产的CIA等特性,以及 业务运作的持续)而进行的计划、组织、指挥、协调和控 制的一系列活动。
根本上说,信息安全是个管理过程,而不是技术过程
人们常说,三分技术,七分
管理,可见管理对信息安全 的重要性
3分技术 7分管理
?
22
信息安全“技管并重”的原则
对于信息安全,到底是技术更重要,还是管理更重要? 强调信息安全管理,并不是要削弱信息安全技术的作用
,开展信息安全管理要处理好管理和技术的关系
13
信息安全管理的作用
(一)信息安全管理是组织整体管理 的重要、固有组成部分,是组织实现 其业务目标的重要保障
14
信息安全管理的作用
信息系统是人机交互系统
应对风险需要人为的管理过程
设备的有效利用是人为的管理过程
15
信息安全管理的作用
如今,信息安全问题已经成为组织业务正常运营和持续发 展的最大威胁 信息安全问题本质上是人的问题,单凭技术是无法实现从 “最大威胁”到“最可靠防线”转变的
管理者为信息安全建设提供足够的资金
向全员提供适当的信息安全培训和教育 建立有效的信息安全事件管理过程
建立有效的信息安全测量体系
29
知识域:信息安全管理方法与实施
知识子域: 信息安全管理方法
理解风险管理是信息安全管理的基本方法,理解风险 评估是信息安全管理的基础,风险处理是信息安全管 理的核心,理解控制措施是管理风险的具体手段 理解过程方法是信息安全管理的基本方法,理解过程 和过程方法的含义,理解PDCA模型
组织的信息安全企业文化
按照风险管理的思想建立起自我持续改进和发展的信息安全
管理机制,用最低的成本,达到可接受的信息安全水平,从根 本上保证业务的持续性
27
信息安全管理体系的作用
对外:
能够使各利益相关方对组织充满信心 能够帮助界定外包时双方的信息安全责任 可以使组织更好地满足客户或其他组织的审计要求 可以使组织更好地符合法律法规的要求 若通过了ISO27001认证,能够提高组织的公信度 可以明确要求供应商提高信息安全水平,保证数据交换中
过程方法 process approach
一个组织内诸过程的系统的运用,连同这些过程的识别和 相互作用及其管理,可称之为“过程方法”。
( -- ISO/IEC 27001:2005)
系统地识别和管理组织所应用的过程,特别是这些过程之 间的相互作用,称为“过程方法” 。 ( -- ISO 9000:2005)
说安全技术是信息安全的构筑材料,信息安全管理就是粘
合剂和催化剂
技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用
21
信息安全管理的作用
技术不高但管理良好的系统远比技术高超但管理混乱的系
统安全
只有将有效的安全管理从始至终贯彻落实于安全建设的方
方面面,信息安全的长期性和稳定性才能有所保证
成功很容易,防护成功却极为困难
信息安全水平的高低遵循木桶原理:信息安全水平
有多高,取决于防护最薄弱的环节
防护措施
信息安全水平 被侵害的资产
7
信息安全管理体系的定义
体系
管理体系 信息安全管理体系
8
信息安全管理体系的定义
体系:相互关联和相互作用的一组要素。
(-- ISO9000:2005 质量管理体系 基础和术语)
31
风险处理是信息安全管理的核心
风险处理是对风险评估活动识别出的风险进行决 策,采取适当的控制措施处理不能接受的风险, 将风险控制在可按受的范围
风险评估活动只能揭示组织面临的风险,不能改 变风险状况 只有通过风险处理活动,组织的信息安全能力才 会提升,信息安全需求才能被满足,才能实现其 信息安全目标 信息安全管理的核心就是这些风险处理措施的集 合
管理体系: 建立方针和目标并达到目标的体系。
(-- ISO9000:2005 质量管理体系 基础和术语)
为达到组织目标的策略、程序、指南和相关资源的框架。
(-- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语)
信息安全管理体系 (ISMS:Information Security Management System) : 整体管理体系的一部分,基于业务风险的方法,来建立、 实施、运作、监视、评审、保持和改进信息安全。 (-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语)
的信息安全
28
实施信息安全管理的关键成功因素(CSF)
组织的信息安全方针和活动能够反映组织的业务目标
组织实施信息安全的方法和框架与组织的文化相一致
管理者能够给予信息安全实质性的、可见的支持和承诺 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识 向全员和其他相关方分发并宣贯信息安全方针、策略和标准
5
信息安全管理的对象
信息安全管理的对象:包括人员在内的各类信息相关资
产。
项目领导组 项目专家组 项目办公室 变更控制委员会 项目经理 实施小组 协调小组
国税总局
测评中心
福建地税
国税总局
福建地税
目标
组织
人员
6
规则
以建立体系的方式实施信息安全管 理的必要性
信息安全的攻击和防护严重不对称,相对来说攻击
10
信息安全管理体系要求组织通过确定信息安 信息安全管理体系的特点 全管理体系范围,制定信息安全方针,明确 管理职责,以风险评估为基础选择控制目标 和措施等一系列活动来建立信息安全管理体 系
体系的建立基于系统、全面、科学的信息安 全风险评估,体现以预防控制为主的思想, 强调遵守国家有关信息安全的法律、法规及 其他合同方面的要求 强调全过程和动态控制,本着控制费用与风 险平衡的原则合理选择安全控制方式;强调 保护组织所拥有的关键性信息资产,而不是 全部信息资产,确保信息的保密性、完整性 和可用性,保持组织的竞争优势和业务的持 11 续性
36
过程方法
责任人
33
控制措施是管理风险的具体手段
管理风险的具体手段是控制措施
风险处理时,需要选择并确定适当的控制目标和 控制措施。只有落实适当的控制措施,那些不可 接受的高风险才能降低到可以接受的水平之内
34
控制措施的类别
从手段来看,可以分为技术性、管理性、物理性 、法律性等控制措施。
从功能来看,可以分为预防性、检测性、纠正性 、威慑性等控制措施。
30
风险评估是信息安全管理的基础
风险评估主要对ISMS范围内的信息资产进行鉴定和估 价,然后对信息资产面对的各种威胁和脆弱性进行评 估,同时对已存在的或规划的安全控制措施进行界定
信息安全管理体系的建立需要确定信息安全需求 信息安全需求获取的主要手段就是安全风险评估 信息安全风险评估是信息安全管理体系建立的基础, 没有风险评估,信息安全管理体系的建立就没有依据
狭义和广义的信息安全管理体系
狭义的信息安全管理体系:指按照ISO27001标准定义 的ISMS
广义的信息安全管理体系:泛指任何一种有关信息安
全的管理体系
12
知识域:信息安全管理概述
知识子域: 信息安全管理作用
理解信息安全管理的重要作用 理解信息安全管理体系的作用 理解实施信息安全管理的关键成功因素
建立信息安全方针和目标并达到这些目标的体系。 为达到组织信息安全目标的策略、程序、指南和相关资源的框架。
9
信息安全管理体系的构成要素
信息安全管理体系,包括的要素有: 信息安全组织架构 信息安全方针 信息安全规划活动
信息安全职责
信息安全相关的实践、规程、过程和资源 ... ... 这些要素既相互关联又相互作用
技管并重。
“坚持管理与技术并重”是我国加强信息安全 保障工作的主要原则之一
23
信息安全管理的作用
(三)信息安全管理能预防、阻止或 减少信息安全事件的发生
24
信息安全管理的作用
统计结果显示,在所有信息安全事故中,只有20%~30%是由
于黑客入侵或其他外部原因造成的,70%~80%是由于内部员 工的疏忽或有意泄密造成的
从影响范围来看,常被分为安全方针、信息安全 组织、资产管理、人力资源安全、物理和环境安 全、通信和操作管理、访问控制、信息系统获取 开发和维护、信息安全事件管理、业务连续性管 理和符合性11个类别/域
35
过程、过程方法的概念
过程 process
一组将输入转化为输出的相互关联或相互作用的活动。
26
信息安全管理体系的作用
对内:
能够保护关键信息资产和知识产权,维持竞争优势
在系统受侵袭时,确保业务持续开展并将损失降到最低程度 建立起信息安全审计框架,实施监督检查 建立起文档化的信息安全管理规范,实现有“法”可依,有
章可循,有据可查
强化员工的信息安全意识,建立良好的安全作业习惯,培育
实现信息安全是一个多层面、多因素的过程,也取决于制 定信息安全方针策略标准规范、建立有效的监督审计机制 等多方面非技术性努力 如果组织想当然地制定一些控制措施和引入某些技术产品 ,难免存在挂一漏万、顾此失彼的问题,使信息安全这只 “木桶”出现若干“短板”,从而无法提高信息安全水平
16
信息安全管理的作用
信息安全管理基础与管理体系
课程内容
信息安全管理 概述 信息安全 管理基础 信息安全管理 方法与实施
信息安全管理基本概念 信息安全管理作用 信息安全管理方法 信息安全管理实施
知识体
知识域
2
知识子域
知识域:信息安全管理概述
知识子域: 信息安全管理基本概念
理解管理、信息安全管理的概念,理解信息安全管理 的对象 理解以建立体系的方式实施信息安全管理的必要性 理解体系、管理体系、信息安全管理体系的概念
32
风险管理是信息安全管理的根本方法
应对风险评估的结果进行相应的风险处理。本质 上,风险处理的最佳集合就是信息安全管理体系 的控制措施集合
梳理出这些风险控制措施集合的过程也就是信息 安全管理体系的建立过程 周期性的风险评估与风险处理活动即形成对风险 的动态管理 动态的风险管理是进行信息安全管理、实现信息 安全目标、维持信息安全水平的根本方法
防火墙
防火墙
Internet
精心设计的网络 防御体系,因违 规外连形同虚设
20
信息安全管理的作用
解决信息安全问题,成败通常取决于两个因素,一个是技
术,另一个是管理
安全技术是信息安全控制的重要手段,但光有安全技术还
不行,要让安全技术发挥应有的作用,必然要有适当的管 理程序,否则,安全技术只能趋于僵化和失败
统计结果表明,现实世界里大多数安全事件的发生和安全
隐患的存在,与其说是技术原因,不如说是管理不善造成 的
因此,防止发生信息安全事件不应仅从技术着手,同时更
应加强信息安全管理
25
对信息安全的正确理解
安全不是产品的简单堆积, 也不是一次性的静态过程, 它是人员、技术、操作三 者紧密结合的系统工程, 是不断演进、循环发展的 动态过程。
信息安全管理,是组织完整的管理体系中一个重要的环节
,它构成了信息安全具有能动性的部分
理解并重视管理对于信息安全的关键作用,制定适宜的、
易于理解、方便操作的安全策略对实现信息安全目标、进 而实现业务目标至关重要
组织建立一个管理框架,让好的安全策略在这个框架内实
施,并不断得到修正,才可能为业务的正常持续运作提供 可靠的信息安全保障
17
信息安全管理的作用
(二)信息安全管理是信息安全技术 的融合剂,保障各项技术措施能够发 挥作用
18
信息安全管理的作用
保险柜就一定安全吗? 如果你把钥匙落在锁眼上会怎样?
技术措施需要配合正确的使用才能 发挥作用
19
信息安全管理的作用
防火墙能解决这样的问题吗?
服务器
Web服务器
内网主机
3
信息安全管理的定义
信息
信息安全 管理 信息安全管理
4
Hale Waihona Puke Baidu
管理、信息安全管理
管理 指挥和控制组织的协调的活动。
(-- ISO9000:2005 质量管理体系 基础和术语)
管理者为了达到特定目的而对管理对象进行的计划、组织 、指挥、协调和控制的一系列活动。 信息安全管理 管理者为实现信息安全目标(信息资产的CIA等特性,以及 业务运作的持续)而进行的计划、组织、指挥、协调和控 制的一系列活动。
根本上说,信息安全是个管理过程,而不是技术过程
人们常说,三分技术,七分
管理,可见管理对信息安全 的重要性
3分技术 7分管理
?
22
信息安全“技管并重”的原则
对于信息安全,到底是技术更重要,还是管理更重要? 强调信息安全管理,并不是要削弱信息安全技术的作用
,开展信息安全管理要处理好管理和技术的关系
13
信息安全管理的作用
(一)信息安全管理是组织整体管理 的重要、固有组成部分,是组织实现 其业务目标的重要保障
14
信息安全管理的作用
信息系统是人机交互系统
应对风险需要人为的管理过程
设备的有效利用是人为的管理过程
15
信息安全管理的作用
如今,信息安全问题已经成为组织业务正常运营和持续发 展的最大威胁 信息安全问题本质上是人的问题,单凭技术是无法实现从 “最大威胁”到“最可靠防线”转变的
管理者为信息安全建设提供足够的资金
向全员提供适当的信息安全培训和教育 建立有效的信息安全事件管理过程
建立有效的信息安全测量体系
29
知识域:信息安全管理方法与实施
知识子域: 信息安全管理方法
理解风险管理是信息安全管理的基本方法,理解风险 评估是信息安全管理的基础,风险处理是信息安全管 理的核心,理解控制措施是管理风险的具体手段 理解过程方法是信息安全管理的基本方法,理解过程 和过程方法的含义,理解PDCA模型
组织的信息安全企业文化
按照风险管理的思想建立起自我持续改进和发展的信息安全
管理机制,用最低的成本,达到可接受的信息安全水平,从根 本上保证业务的持续性
27
信息安全管理体系的作用
对外:
能够使各利益相关方对组织充满信心 能够帮助界定外包时双方的信息安全责任 可以使组织更好地满足客户或其他组织的审计要求 可以使组织更好地符合法律法规的要求 若通过了ISO27001认证,能够提高组织的公信度 可以明确要求供应商提高信息安全水平,保证数据交换中