CISP0301信息安全管理体系PPT课件下载推荐.pptx

1、资产价值、威胁、脆弱性、防护措施、影响、可能性理解风险评估是信息安全管理工作的基础理解风险处置是信息安全管理工作的核心v知识子域：信息安全管理控制措施的概念和作用理解安全管理控制措施是管理风险的具体手段了解11个基本安全管理控制措施的基本内容3信息安全管理信息安全管理v一、信息安全管理概述v二、信息安全管理体系v三、信息安全管理体系建立v四、信息安全管理控制规范4一、信息安全管理概述一、信息安全管理概述v（一）信息安全管理基本概念1、信息安全2、信息安全管理3、基于风险的信息安全v（二）信息安全管理的状况1、信息安全管理的作用2、信息安全管理的发展3、信息安全管理的标准4、成功实施信息安全管理

2、的关键5（一）信息安全管理基本概念（一）信息安全管理基本概念v1、信息安全v2、信息安全管理v3、基于风险的信息安全61 1、信息安全、信息安全7v信息信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。v信息安全信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。1 1、信息、信息安全安全信息安全保密性可用性完整性81 1、信息安全、信息安全-保密性保密性9v保密性保密性v

3、确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。1 1、信息安全、信息安全-完整性完整性10v完整性完整性v保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。1 1、信息安全、信息安全-可用性可用性11v可用性可用性v确保那些已被授权的用户在他们需要的时

4、候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。2 2、信息安全管理、信息安全管理v统计结果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。v信息安全是一个多层面、多因素的过程，如果组织凭着一时

5、的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。122 2、信息安全管理、信息安全管理13v正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。2 2、信息安全管理、信息安全管理14n组织中为了完成信息安全目标信息安全目标，针对信息系统信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制规划、组织、

6、指导、协调和控制等活动n信息安全管理工作的对象 规则 人员目标组织信息输入立法摘要变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营过程2 2、信息安全管理、信息安全管理15v信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。3 3、基于风险的信息安全、基于风险的信息安全16v（1）安全风险的基本概念v（2）信息安全的风险模型v（2）基于风险的信息安全（1 1）安全风险的基本概念）安全风险的基本

7、概念v资产资产v资产是任何对组织有价值的东西v信息也是一种资产，对组织具有价值v资产的分类v 电子信息资产v 纸介资产v 软件资产v 物理资产v 人员v 服务性资产v 公司形象和名誉v17（1 1）安全风险的基本概念）安全风险的基本概念v威胁威胁v资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件v威胁是利用脆弱性来造成后果v威胁举例v黑客入侵和攻击病毒和其他恶意程序v软硬件故障人为误操作v盗窃网络监听v供电故障后门v未授权访问自然灾害如：地震、火灾18（1 1）安全风险的基本概念）安全风险的基本概念v脆弱性脆弱性v是与信息资产有关的弱点或安全隐患。v脆弱性本身并不对资产构成危害，但是

8、在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。v脆弱性举例v系统漏洞程序Bugv专业人员缺乏不良习惯v缺少审计缺乏安全意识v后门v物理环境访问控制措施不当19（1 1）安全风险的基本概念）安全风险的基本概念v安全控制措施安全控制措施v根据安全需求部署的，用来防范威胁，降低风险的措施v安全控制措施举例20技术措施技术措施防火墙防病毒入侵检测灾备系统管理措施管理措施安全规章安全组织人员培训运行维护（2 2）信息安全的风险模型信息安全的风险模型21没有绝对的安全，只有相对的安全信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残

9、余风险降低到可接受的程度。（3 3）基于风险的信息安全基于风险的信息安全信息安全追求目标信息安全追求目标v确保业务连续性v业务风险最小化v保护信息免受各种威胁的损害v投资回报和商业机遇最大化获得信息安全方式获得信息安全方式v实施一组合适的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能。22（3 3）风险评估是信息安全管理的基础）风险评估是信息安全管理的基础v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。v信息安全管理体系的建立需要确定信息安全需求v信息安全需求获取的主要手段就是安全风险

10、评估v信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。23（4 4）风险处置是信息安全管理的核心）风险处置是信息安全管理的核心v风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。v控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。v信息安全管理体系的核心就是这些最佳控制措施集合的。24（二）信息安全管理的状况（二）信息安全管理的状况v1、信息安全管理的作用v2、信息安全管理的发展v3、信息安全管理有关标准v4、成功实施信息安全管理的关键251 1、信息

11、、信息安全管理的作用安全管理的作用26v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗保险柜就一定安全吗？27精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？1 1、信息安全管理的作用、信息安全管理的作用28信息系统是人机交互系统应对风险需要人为的管理过程设备的有效利用是人为的管理过程“坚持管理与技术并重坚持管理与技术并重”是我国是我国加加强信息安全保障工作的主要原则强信息安全保障工作的主要原则1 1、信息安全管理的作用、信息安全管理的作用2 2、信息安全管理的发展、信息安全管理的发展-1-129vISO/IEC TR 13335国

12、际标准化组织在信息安全管理方面，早在1996年就开始制定信息技术信息安全管理指南（ISO/IEC TR 13335），它分成五个部分：信息安全的概念和模型信息安全管理和规划信息安全管理技术基线方法网络安全管理指南2 2、信息安全管理的发展、信息安全管理的发展-2-230vBS 7799英国标准化协会（BSI）1995年颁布了信息安全管理指南（BS 7799），BS 7799分为两个部分：BS 7799-1信息安全管理实施规则和BS 7799-2信息安全管理体系规范。2002年又颁布了信息安全管理系统规范说明（BS 7799-2:2002）。BS 7799将信息安全管理的有关问题划分成了10个控

13、制要项、36 个控制目标和127 个控制措施。目前，在BS77992中，提出了如何了建立信息安全管理体系的步骤。2 2、信息安全管理的发展、信息安全管理的发展-3-3312 2、信息安全管理的发展、信息安全管理的发展-4-4323 3、国内外信息安全管理标准国内外信息安全管理标准33v（1）国际信息安全管理标准国际信息安全标准化组织国际信息安全管理标准v（2）国内信息安全管理标准国内信息安全标准化组织国内信息安全管理标准国际信息安全标准化组织国际信息安全标准化组织34国际信息安全管理标准国际信息安全管理标准-1-135国际信息安全管理标准国际信息安全管理标准-2-236国际信息安全管理标准国际

14、信息安全管理标准-3-337国内信息安全标准化组织国内信息安全标准化组织38国内信息安全管理标准国内信息安全管理标准-1-139WG7组已有的标准组已有的标准国内信息安全管理标准国内信息安全管理标准-2-240WG7组研究中的标准组研究中的标准国内信息安全管理标准国内信息安全管理标准-3-3414 4、实施信息安全管理的关键成功因素、实施信息安全管理的关键成功因素v理解组织文化v得到高层承诺v做好风险评估v整合管理体系v积极有效宣贯v纳入奖惩机制v持续改进体系42二、信息安全管理体系二、信息安全管理体系v（一）什么是信息安全管理体系v（二）信息安全管理体系的框架v（三）信息安全管理过程方法要求

15、v（四）信息安全管理控制措施要求43（一）什么是信息安全管理体系（一）什么是信息安全管理体系v1、信息安全管理体系的定义v2、信息安全管理体系的特点v3、信息安全管理体系的作用v4、信息安全管理体系的文件441 1、信息安全管理体系的定义、信息安全管理体系的定义v信息安全管理体系（ISMS：Information Security Management System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。452 2、信息安全管理体系的特点、信息安全管理体系的特点v信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；v体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；v强调全过程和动态控制，本着控制费用与风险平衡的原