CISE讲义CISP16信息安全管理体系new.ppt

1、CISP-09-信息安全管理体系,中国信息安全测评中心2009年9月,内容,概述安全管理基础：概念、ISMS要求、管理措施概述基本安全管理措施：策略、组织和人员重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性,概述,知识体系介绍学习目标,概述知识体系介绍,安全管理体系,信息安全管理概念,信息安全管理体系要求,信息安全管理措施,安全组织体系,通信和操作管理,知识体,知识域,知识子域,安全策略,人员安全,资产管理,访问控制,符合性,概述学习目标,掌握信息安全管理的基本概念认识和了解ISO27001和ISO27002标准初步掌握建立信息安全管理体系的基本要求较深入的了解策略、组织和人员等

2、基本安全管理措施的概念和实施方法较深入的了解资产管理、通信和操作管理、访问控制和符合性等重要安全管理措施的概念和实施方法,信息安全管理基础,信息安全管理概念信息安全管理体系要求信息安全管理措施,信息安全管理概念（1）,什么是信息？,指导意义,抽象程度,ISO17799中的描述“Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.”“Information can

3、 exist in many forms.It can be printed or written on paper,stored electronically,transmitted by post or using electronic means,shown on films,or spoken in conversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值 需要适当的保护以各种形式存在：纸、电子、影片、交谈等,信息安全管理概念（2）,什么是信息安全？,安全 Security：事物保持不受损害的能力信息安全：信息资产的保密性、完整性和可用性不受损害的能力，是通

4、过信息安全保障措施实现的,信息安全管理概念（3）,什么是管理？,“管”,“理”,中国古代,管理的定义,ISO9000:2000 质量管理体系 基础和术语 管理management：指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。,什么是“信息安全管理”？,信息安全管理概念（4）,组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动,什么是“管理体系”？Management System-MS,信息安全管理概念（5）,管理体系的定义,

5、ISO9000:2000 质量管理体系 基础和术语ISO GUIDE 72:2001 管理体系标准合理性和制定导则 Guidelines for the justification and development of management system standards 体系system：相互关联和相互作用的一组要素 管理体系 management system：建立方针和目标并实现这些目标的体系,示例,示例,示例,问题：1.你理解的“管理体系”属于哪一类？2.我们今天讨论的“管理体系”属于哪一类？,C.企业的门禁管理,B.政府对企业的管理,A.企业的组织机构,目前成熟的管理体系,环境管理

6、体系 EMS ISO/IEC14000,质量管理体系 QMS ISO/IEC9000，9001，9004等,职业健康安全管理体系 OHMSAS18000,信息安全管理体系 ISMS ISO/IEC17799，ISO/IEC27001等,管理体系方法图解,小结,“管”和“理”体现了管理的两个不同范畴，即行政管理与业务管理，前者侧重“权力”，后者关注业务，两者管理的对象、管理的主体和管理的方法应该不同；我们今天讨论的是业务管理。“信息安全管理体系（ISMS）”已经成为一个专有名词，它的推广和应用渐渐成为信息安全产业中又一项新的业务领域。信息安全管理体系是组织整体管理体系的一部分，基于业务风险方法以

7、建立、实施、运行、监视、评审、保持和改进信息安全。,信息安全管理基础,信息安全管理概念信息安全管理体系要求信息安全管理措施,27000标准系列,27001:2005的名称 Information technology-Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求27001:2005的目标 provide a model for establishing,implementing,operating,monitoring,reviewing,mainta

8、ining,and improving an Information Security Management System 提供建立、实施、运行、监测、评审、保持和改进信息安全管理体系的模型,信息安全管理体系要求性质和目的,27001:2005的性质提供模型帮助组织为ISMS设计、选择和应用适当的安全控制措施，以充分保护信息资产并给予相关方信心。Type A：management sysytem requeirements standard 要求标准 旨在为市场提供关于各组织管理体系要求的规范，以证实组织符合内部和外部要求的能力。Type B：management sysytem guidel

9、ines standard指南标准 旨在通过提供一个针对管理体系要求标准中各要素的附加指南，或与管理体系要求标准非等效的单独的指南，以帮助组织实施和/或增强其管理体系。Type C：management sysytem related standard相关标准 作为管理体系标准的补充，旨在就管理体系中特定部分提供详细的信息、或对有关支持性技术提供指南。,信息安全管理体系要求性质和目的,过程方法过程 process 一组将输入转化为输出的相互关联或相互作用的活动。过程方法 process approach 一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

10、（系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为过程方法。ISO9000:2000）,信息安全管理体系要求-过程方法,过程方法示意图,信息安全管理体系要求-过程方法,过程的分解,信息安全管理体系要求-过程方法,PDCA:持续改进的优秀方法,规划,实施,检查,处置,信息安全管理体系要求-过程方法,PDCA:持续改进的优秀方法,又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P：规划 Plan D：实施 Do C：检查 Check A：处置 Action,信息安全管理体系要求-过程方法,PDCA特点一,按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而

11、复始，不断循环。,信息安全管理体系要求-过程方法,PDCA特点二,组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。,信息安全管理体系要求-过程方法,PDCA特点三,每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。,信息安全管理体系要求-过程方法,27001:2005的核心内容,相关方,受控的信息安全,检查Check,建立ISMS,实施和运行ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,处置Act,图1 应用于ISMS过程的PDCA模型,信息安全管理体系要求核心内容,信息安全管理体系要求核心内容,2700

12、1的核心内容可以概括为4句话 规定你应该做什么并形成文件：P做文件已规定的事情：D评审你所做的事情的符合性：C采取纠正和预防措施，持续改进：A,信息安全管理体系要求核心内容小结,明确ISMS范围根据组织的业务特征、组织结构、地址位置、资产、技术等各方面因素确定ISMS的范围制定ISMS策略作为信息安全策略的一部分定义风险评估方法进行风险评估设计和选择风险处置措施编制ISMS文件进行管理者承诺,信息安全管理体系要求建立ISMS,ISMS文件的作用是指导组织有关信息安全工作方面的内部“法规”-使工作有章可循。是组织实际工作的标准。ISMS文件是根据ISMS标准和组织需要“量身定做”的实际工作的标准

13、。对一般员工来说，在其实际工作中，可以不过问ISMS标准(ISO/IEC 27001:2005)，但必须按照ISMS文件的要求执行工作。是控制措施（controls）的重要部分。提供客观证据-为满足相关方要求，以及持续改进提供依据。提供适宜的内部培训的依据。提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核。,信息安全管理体系要求建立ISMS,ISMS文件的内容,信息安全管理体系要求建立ISMS,信息安全管理体系要求实施和运行ISMS,D：实施和运行ISMS 之4.2.2 制定风险处理计划（见第5章）。实施风险处理计划。实施所选择的控制措施。测量所选择的控制措施或控制措施集的有效性（

14、见4.2.3c)）。实施培训和意识教育计划（见5.2.2）。管理ISMS的运行。管理ISMS的资源（见5.2）。事件和事故响应（见4.2.3 a）。,信息安全管理体系要求实施和运行ISMS,资源管理 资源提供 应确定并提供信息安全工作所需的资源人、财、物 培训、意识和能力确保所有分配有ISMS职责的人员具有执行所要求任务的能力确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。,信息安全管理体系要求实施和运行ISMS,信息安全管理体系要求监视和评审ISMS,C：监视和评审ISMS 之工作内容执行监视和评审程序和其它控制措施。ISMS有效性的定期评审。测量控

15、制措施的有效性以验证安全要求是否被满足。按照计划的时间间隔进行风险评估的评审。按计划的时间间隔，对ISMS进行内部审核（见第6章）。定期对ISMS进行管理评审。考虑监视和评审活动的结果，以更新安全计划。记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。,信息安全管理体系要求监视和评审ISMS,C：监视和评审ISMS 之 6 内部ISMS审核 术语介绍,审核 audit 为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。内部审核 internal audit 有时称为第一方审核，用于内部目的的，由组织自己或以组织名义进行，可作为

16、组织自我合格声明的基础。审核员 aditor 有能力实施审核的人员。审核方案 audit programme 针对特定时间段所策划，并具有特定目的的一组(一次或多次)审核。,信息安全管理体系要求监视和评审ISMS,C：监视和评审ISMS 之 6 内部ISMS审核 术语介绍,符合（合格）conformity 满足要求。不符合（不合格）nonconformity 未满足要求。验证 verification 通过提供客观证据对规定要求已得到满足的认定。要求 requirement 明示的、通常隐含的或必须履行的需求或期望,信息安全管理体系要求监视和评审ISMS,C：监视和评审ISMS 之 6 内部ISMS审核按照计划的时间间隔进行内部ISMS审核。审核方案。审核的客观和公正，审核员不应审核自己的工作。内审程序中的职责和要求。受审核区域的管理者应消除不符合及其原因，并跟踪验证。ISO19011:2002 给出了审核指南。,信息安全管理体系要求监视和评审ISMS,C：监视和评审ISMS 之 7 ISMS的管理评审 术语介绍,评审 review 为确定主题事项达到规定目标的适宜性、充分性和有效性所