信息安全管理体系.ppt

信息安全管理体系教程 2019 12 31 课前介绍 课程目标课程安排课程内容注意事项学员介绍 2019 12 31 课程目标 掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系 ISMS 的方法和步骤 2019 12 31 课程安排 课时 24H课程方法 讲授 小组讨论 练习 2019 12 31 课程内容 1 信息安全基础知识2 信息安全管理与信息系统安全保障3 信息安全管理体系标准概述4 信息安全管理体系方法5 ISO17799中的控制目标和控制措施6 ISMS建设 运行 审核与认证7 信息系统安全保障管理要求 2019 12 31 注意事项 积极参与 活跃气氛守时保持安静有问题可随时举手提问 2019 12 31 1 信息安全基础知识 1 1信息安全的基本概念1 2为什么需要信息安全1 3实践中的信息安全问题1 4信息安全管理的实践经验 2019 12 31 请思考 什么是信息安全 1 1信息安全基本概念 2019 12 31 什么是信息 ISO17799中的描述 Informationisanassetwhich likeotherimportantbusinessassets hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected Informationcanexistinmanyforms Itcanbeprintedorwrittenonpaper storedelectronically transmittedbypostorusingelectronicmeans shownonfilms orspokeninconversation 强调信息 是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在 纸 电子 影片 交谈等 2019 12 31 小问题 你们公司的Knowledge都在哪里 信息在哪里 2019 12 31 什么是信息安全 ISO17799中的描述 Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities 信息安全 保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会 2019 12 31 信息安全的特征 CIA ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof ConfidentialityIntegrityAvailability信息在安全方面三个特征 机密性 确保只有被授权的人才可以访问信息 完整性 确保信息和信息处理方法的准确性和完整性 可用性 确保在需要时 被授权的用户可以访问信息和相关的资产 2019 12 31 信息本身 信息处理设施 信息处理者 信息处理过程 机密 可用 完整 总结 2019 12 31 请思考 组织为什么要花钱实现信息安全 1 2为什么需要信息安全 2019 12 31 组织自身业务的需要 自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势 树立品牌加强内部管理的要求 2019 12 31 法律法规的要求 计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定 2019 12 31 信息系统使命的要求 信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障 2019 12 31 请思考 目前 解决信息安全问题 通常的做法是什么 1 3实践中的信息安全问题 2019 12 31 产品导向型 信息安全 初始阶段 解决信息安全问题 通常的方法 采购各种安全产品 由产品厂商提供方案 Anti Virus Firewall IDS Scanner 组织内部安排1 2人兼职负责日常维护 通常来自以技术为主的IT部门 更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么 保护对象的边界到哪里 应该保护到什么程度 管理和服务跟不上 对采购产品运行的效率和效果缺乏评价通常用漏洞扫描 Scanner 来代替风险评估有哪些不安全的因素 威胁 脆弱性 信息不安全的影响 对风险的态度 头痛医头 脚痛医脚 很难实现整体安全 不同厂商 不同产品之间的协调也是难题 2019 12 31 信息安全管理 ISO17799强调 Informationsecurityisamanagementprocess notatechnologicalprocess 技术和产品是基础 管理是关键 产品和技术 要通过管理的组织职能才能发挥最好的作用 技术不高但管理良好的系统远比技术高但管理混乱的系统安全 先进 易于理解 方便操作的安全策略对信息安全至关重要 也证明了管理的重要 建立一个管理框架 让好的安全策略在这个框架内可重复实施 并不断得到修正 就会持续安全 2019 12 31 1 4信息安全管理的实践经验 反映组织业务目标的安全方针 目标和活动 符合组织文化的安全实施方法 管理层明显的支持和承诺 安全需求 风险评估和风险管理的正确理解 有效地向所有管理人员和员工推行安全措施 向所有的员工和签约方提供本组织的信息安全方针与标准 提供适当的培训和教育 一整套用于评估信息安全管理能力和反馈建议的测量系统 2019 12 31 2 信息安全管理与信息系统安全保障 2 1信息系统的使命2 2信息系统安全保障 模型2 3信息系统安全保障 框架2 4信息系统安全保障 生命周期的保证2 5信息安全管理模型2 6信息安全管理与信息系统安全保障的关系 2019 12 31 2 1信息系统的使命 2019 12 31 2 2信息系统安全保障 模型 2019 12 31 2 3信息系统安全保障 框架 2019 12 31 2 4信息系统安全保障 生命周期的保证 2019 12 31 2 5信息安全管理模型 2019 12 31 2 6信息安全管理与信息系统安全保障的关系 信息系统安全保障三大部分 技术保障过程保障管理保障信息安全管理是信息系统安全保障的三大部分之一 管理保障信息安全管理涉及到系统的整个生命周期 2019 12 31 3 信息安全管理体系标准概述 3 1信息安全标准介绍3 2ISO177993 3ISO17799的历史及发展3 4ISO17799 2000的内容框架3 5BS7799 2 1999的内容框架3 6ISO IEC17799 2000 BS7799 1 1999 BS7799 2 1999 BS7799 2 2002之区别 2019 12 31 3 1信息安全标准介绍 信息安全标准管理体系标准 2019 12 31 信息安全标准 ISO7498 2 GB T9387 2 1995 ISO13335SSE CMM GB21827 ISO15408 GB T18336 2001 ISO17799 2019 12 31 ISO7498 2 GB T9387 2 1995 开放系统互联安全体系结构由ISO ICEJTC1 SC21完成1982年开始 1988年结束 ISO发布了ISO7498 2给出了基于OSI参考模型的7层协议上的安全体系结构其核心内容是 为了保证异构计算机进程与进程之间远距离安全交换信息的安全 它定义了该系统的5大类安全服务 以及提供这些服务的8大类安全机制及相应的安全管理 并可根据具体系统适当的配置于OSI模型的7层协议中 2019 12 31 ISO7498 2 安全体系结构 2019 12 31 ISO13335IT安全管理 分为5个部分 ISO IECTR13335 1 概念和模型ISO IECTR13335 2 管理和规划ISO IECTR13335 3 管理技术ISO IECTR13335 4 安全措施的选择ISO IECTR13335 5 网络安全性的管理指导由ISO IECJTC1 SC27完成 2019 12 31 SSE CMM信息系统安全工程能力成熟度模型 CMM CapabilityMaturityModel首先用于软件工程 1993年4月 由美国NSA资助 安全业界 DOD 加拿大通信安全机构共同组成项目组 研究把CMM用于安全工程 1996年10月推出第一版 97年4月推出方法 SSAM 第一版 98年底推出第二版 99年4月推出SSAM第二版 用于信息系统安全的工程组织 采购组织和评估机构5个能力级别 11个过程区2003年 出版了SSE CMMV3 0 2019 12 31 5个能力级别 1级 非正式执行级2级 计划和跟踪级3级 充分定义级4级 量化控制级5级 持续改进级代表安全工程组织的成熟度级别 11个过程区 PA01管理安全控制PA02评估影响PA03评估安全风险PA04评估威胁PA05评估脆弱性PA06建立保证论据PA07协调安全PA08监视安全态势PA09提供安全输入PA10指定安全要求PA11验证和证实安全性 SSE CMM信息系统安全工程能力成熟度模型 续 2019 12 31 ISO15408 GB T18336 信息技术安全性评估准则 通常简称CC 通用准则 ISO15408 1999 GB T18336 2001 定义了评估信息技术产品和系统安全性所需的基础准则 是度量信息技术安全性的基准 分为3个部分 第一部分 简介和一般模型第二部分 安全功能要求第三部分 安全保证要求 2019 12 31 管理体系标准 ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业安全卫生管理体系标准ISO17799信息安全管理体系标准 2019 12 31 ISO IEC17799 2000Informationtechnology Codeofpracticeforinformationsecuritymanagement 信息技术 信息安全管理实施细则 3 2ISO IEC17799 2000 2019 12 31 历史 3 3ISO17799的历史及发展 2019 12 31 BSI简介 BSI英国标准协会英国标准协会是全球领先的国际标准 产品测试 体系认证机构 发起制定的标准ISO9000 质量管理体系 ISO14001 环境管理体系 OHSAS18001 职业健康与安全管理体系 QS 9000 ISO TS16949 汽车供应行业的质量管理体系 TL9000 电信供应行业的质量管理体系 BS7799 2019 12 31 IUG InternationalUserGroup 1997年成立宗旨促进ISO17799 BS7799的应用和推广促进对信息安全管理体系标准 认证等的理解 服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员 2019 12 31 ISO17799被各国或地区采用的情况 EnglandAustraliaNewZealandBrazilCzechRepublicFinlandIcelandIrelandNetherlands SPE20003 NorwaySweden SS627799 Taiwan中国 2019 12 31 ISO17799在中国 国内从2000年初开始认识ISO17799 BS7799 2000年初开始 国内一些公司和单位进行BS7799的研究和相关课程培训 2002 2003年 我国已经提出了国标化的计划 2019 12 31 3 4ISO17799 2000的内容框架 ISO17799 2000 BS7799 1 1999 CodeofPracticeforInformationSecurityManagement信息安全管理实施细则BS7799 2 1999 已经有BS7799 2 2002草案 SpecificationforInformationSecurityManagementSystem信息安全管理体系规范 2019 12 31 3 4ISO17799 2000的内容框架 续 Foreword ISO前言 Introduction 引言 1 Scope 范围 2 TermandDefinitions 术语和定义 3 12 详细控制目标和控制措施 2019 12 31 3 4ISO17799 2000的内容框架 续 Foreword ISO前言 ISO 国际标准化组织 和IEC 国际电工委员会 组成世界性标准化的专门体系 作为ISO或IEC成员的各国团体通过由各自组织设立的技术委员会参与国际标准的开发 处理特殊领域的技术活动 ISO和IEC技术委员会协调共同利益的领域 其它与ISO和IEC有联系的国际组织 官方的和非官方的 也可参加工作 2019 12 31 3 4ISO17799 2000的内容框架 续 Introduction 引言 什么是信息安全为何需要信息安全如何确定安全需求评估安全风险选择控制措施信息安全起点成功的关键因素制定组织自身的指导方针 2019 12 31 3 4ISO17799 2000的内容框架 续 Scope 范围 本标准为组织中负责信息安全的启动 实现和保持的人员提供了信息安全管理方面的建议 目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台 并建立组织间交易时的信心 本标准所提供的建议应该根据相关法规有选择的使用 2019 12 31 3 4ISO17799 2000的内容框架 续 2 TermandDefinitions 术语和定义 2 1informationsecurity信息安全2 2Riskassessment风险评估2 3Riskmanagement风险管理 2019 12 31 3 4ISO17799 2000的内容框架 续 2 1informationsecurity信息安全Preservationofconfidentiality integrity andavailabilityofinformation ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess 确保只有被授权的人员才可以访问信息 IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods 确保信息及其处理方法的准确性和完整性 AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired 确保被授权的用户在需要时可以访问信息和相关的资产 2019 12 31 3 4ISO17799 2000的内容框架 续 2 2Riskassessment风险评估Assessmentofthreatsto impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence 对信息和信息处理设施所受到的威胁 影响和脆弱性以及发生这些事件的可能性进行评估 2019 12 31 3 4ISO17799 2000的内容框架 续 2 3Riskmanagement风险管理Processofidentifying controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems foranacceptablecost 基于可接受的成本 对影响信息系统的安全风险进行识别 控制 减小或消除的过程 2019 12 31 3 4ISO17799 2000的内容框架 续 3 Securitypolicy安全方针4 SecurityOrganizational安全组织5 Assetclassificationandcontrol资产分类与控制6 Personnelsecurity人员安全7 Physicalandenvironmentalsecurity物理和环境安全8 Communicationsandoperationamanagement通信和操作管理9 Accesscontrol访问控制10 Systemsdevlopmentandmaintenance系统开发和维护11 Businesscontinuitymanagement业务连续性管理12 Compliance符合性 2019 12 31 Foreword BSI前言 1 Scope 范围 2 TermandDefinitions 术语和定义 3 Informationsecuritymanagementsystemrequirements 信息安全管理体系的要求 4 Detailedcontrols 详细控制措施 3 5BS7799 2 1999的内容框架 2019 12 31 1 Scope 范围 BS7799的这一部分提出了建立 实施并记录信息安全管理体系时的具体要求 同时 也提出了各组织根据具体需求采取安全控制措施的要求 3 5BS7799 2 1999的内容框架 续 2019 12 31 2 TermandDefinitions 术语和定义 2 1statementofapplicability 适用声明 Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization 根据组织需要对所选的控制目标和控制措施的说明 3 5BS7799 2 1999的内容框架 续 2019 12 31 3 Informationsecuritymanagementsystemrequirements 信息安全管理体系的要求 3 1General 总则 3 2Establishingamanagementframework 建立管理框架 3 3Implementation 实施 3 4Documentation 文档化 3 5Documentcontrol 文件控制 3 6Records 记录 3 5BS7799 2 1999的内容框架 续 2019 12 31 4 Detailedcontrols 详细控制措施 4 1Securitypolicy安全方针4 2SecurityOrganizational安全组织4 3Assetclassificationandcontrol资产分类与控制4 4Personnelsecurity人员安全4 5Physicalandenvironmentalsecurity物理和环境安全4 6Communicationsandoperationamanagement通信和操作管理4 7Accesscontrol访问控制4 8Systemsdevlopmentandmaintenance系统开发和维护4 9Businesscontinuitymanagement业务连续性管理4 10Compliance符合性 3 5BS7799 2 1999的内容框架 续 2019 12 31 3 6ISO IEC17799 2000 BS7799 1 1999 BS7799 2 1999 BS7799 2 2002之区别 ISO IEC17799 2000 BS7799 1 1999 为指南指导如何进行安全管理实践BS7799 2 1999和BS7799 2 2002为标准建立的信息安全管理体系必须符合的要求BS7799 2 2002更接近ISO9000标准的格式控制目标和控制措施作为附录 2019 12 31 4 信息安全管理体系方法 4 1什么是ISMS4 2ISMS的重要原则4 3ISMS的实现方法 2019 12 31 4 1什么是ISMS ISMS InformationSecurityManagementSystem信息安全管理体系ISO9000 2000术语和定义组织organization职责 权限和相互关系得到安排的一组人员及设施 如 公司 集团 商行 企事业单位 研究机构 慈善机构 代理商 社团 或上述组织的部分或组合 管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划 组织 领导 控制等环节来协调人力 物力 财力等资源 以期有效达到组织目标的过程 2019 12 31 信息安全管理体系ISMS定义 ISMS是 在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素 信息安全目标应是可测量的要素可能包括信息安全方针 策略信息安全组织结构各种活动 过程信息安全控制措施人力 物力等资源 2019 12 31 信息安全管理体系框图 信息安全管理体系框图 2019 12 31 4 2ISMS的重要原则 4 2 1PDCA循环4 2 2过程方法4 2 3其它重要原则 2019 12 31 PDCA循环 Plan Do Check Act 计划 实施 检查 改进 4 2 1PDCA循环 2019 12 31 4 2 1PDCA循环 续 又称 戴明环 PDCA循环是能使任何一项活动有效进行的工作程序 P 计划 方针和目标的确定以及活动计划的制定 D 执行 具体运作 实现计划中的内容 C 检查 总结执行计划的结果 分清哪些对了 哪些错了 明确效果 找出问题 A 改进 或处理 对总结检查的结果进行处理 成功的经验加以肯定 并予以标准化 或制定作业指导书 便于以后工作时遵循 对于失败的教训也要总结 以免重现 对于没有解决的问题 应提给下一个PDCA循环中去解决 2019 12 31 PDCA循环的特点一 按顺序进行 它靠组织的力量来推动 像车轮一样向前进 周而复始 不断循环 4 2 1PDCA循环 续 2019 12 31 PDCA循环的特点二 组织中的每个部分 甚至个人 均有一个PDCA循环 大环套小环 一层一层地解决问题 4 2 1PDCA循环 续 2019 12 31 PDCA循环的特点三 每通过一次PDCA循环 都要进行总结 提出新目标 再进行第二次PDCA循环 4 2 1PDCA循环 续 2019 12 31 4 2 2过程方法定义 ISO9000 2000术语和定义过程 一组将输入转化为输出的相互关联或相互作用的活动 过程方法系统地识别和管理组织所应用的过程 特别是这些过程之间的相互作用 称之为 过程方法 2019 12 31 过程方法模型 2019 12 31 信息安全管理过程方法 信息安全实现是一个大的过程 信息安全实现过程的每一个活动也是一个过程 识别组织实现信息安全的每一个过程 对每一个信息安全过程的实施进行监控和测量 改进每一个信息安全过程 2019 12 31 信息安全管理的过程网络 2019 12 31 信息安全管理的过程网络 将相互关联的过程作为一个系统来识别 理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程 也可用于整个过程网络 2019 12 31 领导重视 指明方向和目标 权威 预算保障 提供所需的资源 监督检查 组织保障 4 2 3其它重要原则 领导重视 2019 12 31 全员参与 信息安全不仅仅是IT部门的事 让每个员工明白随时都有信息安全问题 每个员工都应具备相应的安全意识和能力 让每个员工都明确自己承担的信息安全责任 4 2 3其它重要原则 全员参与 2019 12 31 持续改进 4 2 3其它重要原则 持续改进 2019 12 31 文件的作用 有章可循 有据可查 文件的类型 手册 规范 指南 记录 4 2 3其它重要原则 文件化 沟通意图 统一行动重复和可追溯提供客观证据用于学习和培训 文件的作用 有章可循 有据可查 2019 12 31 文件的类型 手册 规范 指南 记录 手册 向组织内部和外部提供关于信息安全管理体系的一致信息的文件 规范 阐明要求的文件 指南 阐明推荐方法和建议的文件 记录 为完成的活动或达到的结果提供客观证据的文件 文件化 4 2 3其它重要原则 文件化 2019 12 31 4 3ISMS的实现方法 4 3 1ISMS总则4 3 2建立ISMS框架4 3 3ISMS实施4 3 4ISMS体系文件4 3 5文件的控制4 3 6记录 2019 12 31 TheorganizationshallestablishandmaintaindocumentedISMS Thisshalladdresstheassetstobeprotected theorganization sapproachtoriskmanagement thecontrolobjectivesandcontrols andthedegreeofassurancerequired 组织应该建立并运行一套文件化的ISMS确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要达到的安全保证程度 3 1General 总则 4 3 1ISMS总则 2019 12 31 建设ISMS的步骤 如下图 3 2Establishingamanagementframework 建立管理框架 4 3 2建立ISMS框架 2019 12 31 制订信息安全方针 定义ISMS范围 进行风险评估 实施风险管理 选择控制目标措施 准备适用声明 第一步 第二步 第三步 第四步 第五步 第六步 4 3 2建立ISMS框架 2019 12 31 第一步制订信息安全方针 4 3 2建立ISMS框架 组织应定义信息安全方针 BS7799 2对ISMS的要求 2019 12 31 什么是信息安全方针 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向 用于指导信息安全管理体系的建立和实施过程 信息安全方针 4 3 2建立ISMS框架 第一步制订信息安全方针 2019 12 31 4 3 2建立ISMS框架 第一步制订信息安全方针 要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审 信息安全方针 2019 12 31 目的和意义 为组织提供了关注的焦点 指明了方向 确定了目标 确保信息安全管理体系被充分理解和贯彻实施 统领整个信息安全管理体系 4 3 2建立ISMS框架 第一步制订信息安全方针 2019 12 31 信息安全方针的内容包括但不限于 组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准 法律法规 和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件 4 3 2建立ISMS框架 第一步制订信息安全方针 2019 12 31 注意事项 简单明了易于理解可实施避免太具体 4 3 2建立ISMS框架 第一步制订信息安全方针 2019 12 31 4 3 2建立ISMS框架 第二步确定ISMS范围 组织应定义信息安全管理体系的范围 范围的边界应依据组织的结构特征 地域特征 资产和技术特点来确定 BS7799 2对ISMS的要求 2019 12 31 可以根据组织的实际情况 将组织的一部分定义为信息安全管理范围 也可以将组织整体定义为信息安全管理范围 信息安全管理范围必须用正式的文件加以记录 4 3 2建立ISMS框架 第二步确定ISMS范围 2019 12 31 文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义 4 3 2建立ISMS框架 第二步确定ISMS范围 ISMS范围文件 2019 12 31 4 3 2建立ISMS框架 第三步风险评估 组织应进行适当的风险评估 风险评估应识别资产所面对的威胁 脆弱性 以及对组织的潜在影响 并确定风险的等级 BS7799 2对ISMS的要求 2019 12 31 是否执行了正式的和文件化的风险评估 是否经过一定数量的员工验证其正确性 风险评估是否识别了资产的威胁 脆弱性和对组织的潜在影响 风险评估是否定期和适时进行 4 3 2建立ISMS框架 第三步风险评估 2019 12 31 4 3 2建立ISMS框架 第四步风险管理 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险 BS7799 2对ISMS的要求 2019 12 31 根据风险评估的结果 选择风险控制方法 将组织面临的风险控制在可以接受的范围之内 4 3 2建立ISMS框架 第四步风险管理 2019 12 31 是否定义了组织的风险管理方法 是否定义了所需的信息安全保证程度 是否给出了可选择的控制措施供管理层做决定 4 3 2建立ISMS框架 第四步风险管理 2019 12 31 4 3 2建立ISMS框架 第五步选择控制目标和控制措施 组织应选择适当的控制措施和控制目标来满足风险管理的要求 并证明选择结果的正确性 BS7799 2对ISMS的要求 2019 12 31 安全问题 安全需求 控制目标 控制措施 指出 第五步选择控制目标和控制措施 4 3 2建立ISMS框架 选择控制措施的示意图 2019 12 31 选择的控制措施是否建立在风险评估的结果之上 是否能从风险评估中清楚地看出哪一些是基本控制措施 哪一些是必须的 哪一些是可以考虑选择的控制措施 选择的控制措施是否反应了组织的风险管理战略 针对每一种风险 控制措施都不是唯一的 要根据实际情况进行选择 4 3 2建立ISMS框架 第五步选择控制目标和控制措施 2019 12 31 未选择某项控制措施的原因风险原因 没有识别出相关的风险财务原因 财务预算的限制环境原因 安全设备 气候 空间等技术 某些控制措施在技术上不可行文化 社会环境的限制时间 某些要求目前无法实施其它 4 3 2建立ISMS框架 第五步选择控制目标和控制措施 2019 12 31 4 3 2建立ISMS框架 第六步准备适用声明 组织应准备适用声明 记录已选择的控制措施和理由 以及未选择的控制措施及其理由 BS7799 2对ISMS的要求 2019 12 31 在选择了控制目标和控制措施后 对实施某项控制目标 措施和不实施某项控制目标 措施进行记录 并对原因进行解释的文件 未来实现公司ISMS适用声明 4 3 2建立ISMS框架 第六步准备适用声明 2019 12 31 Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4 10 2 组织应该对所选择的控制目标和控制措施有效的实施 实施程序的有效性应依据4 10 2条之规定加以验证 4 10 2安全方针和技术符合性的评审 4 10 2 1安全方针的符合性4 10 2 2技术符合性的检查 4 3 3ISMS实施 BS7799 2对ISMS实施的要求 2019 12 31 信息安全管理体系文件应包括如下方面的信息 按3 2条款规定采取的行动的证据对管理框架的总结 包括适用声明中所列信息安全方针 控制目标和控制措施3 3条规定的实施管理程序 此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序 此程序应对责任和相关措施加以描述 4 3 4ISMS体系文件 BS7799 2对ISMS文件的要求 2019 12 31 组织要建立和维护一套控制3 4条款中要求的所有文件的流程 应确保这些文件 随时可得根据组织的安全方针的变化得以定期评审和修订版本要及时更新 并存放在信息安全管理体系的涉及的现场过时后及时撤换过时撤换后对其进行分类存档 用于事后凭据或查阅此类文本应保持整洁 清楚 并标明日期 按分类妥善保存至规定期限到期为止 针对各类文件的建立和修订 要制定一定的流程和职责划分 4 3 5ISMS文件控制 BS7799 2对ISMS文件控制的要求 2019 12 31 记录作为ISMS运行结果的证据 要求加以保留 以证明是否符合ISMS和组织所提出的要求 记录可为访客记录 审计记录和出入证明等等 各单位应建立并运行合理程序 以确认 维护 保存和处理这些过程是否规范的要求 记录要求清晰可辨 通过其可追溯到所记录的活动情况 记录的保存和维护应当做到随时可得 并不得损坏 磨损或丢失 4 3 6ISMS记录 BS7799 2对ISMS记录的要求 2019 12 31 5 1十类控制措施5 2基本控制措施5 3ISO17799控制目标和控制措施概述 5 ISO17799中的控制目标和控制措施 2019 12 31 5 1十类控制措施 2019 12 31 5 1十类控制措施 续 ISO17799包含了36个控制目标和127个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人 2019 12 31 ISO17799推荐了八个控制措施作为信息安全的起始点 StartingPoint 组织可以此为基础建立ISMS 这些控制措施在大多数情况下是普遍适用的 5 2基本控制措施 2019 12 31 与法律有关的控制措施 12 1 4数据保护和个人隐私12 1 3组织记录的保护12 1 2知识产权 5 2基本控制措施 与法律相关的 2019 12 31 与法律有关的控制措施 12 1 4数据保护和个人隐私 目标 符合所在国家的数据保护法律和与个人隐私相关的法律数据保护法1998 英国 电子数据保护法 欧盟2002年6月通过 电信服务数据保护法 德国 个人隐私法 美国 加拿大等 电子通信隐私法 美国 5 2基本控制措施 与法律相关的 2019 12 31 与法律有关的控制措施 12 1 3组织记录的保护 目标 保护重要的记录不被丢失 破坏或伪造保留期存储报废处理 5 2基本控制措施 与法律相关的 2019 12 31 与法律有关的控制措施 12 1 2知识产权12 1 2 1版权12 1 2 2软件版权 目标 确保使用产品或服务时不违反国家有关知识产权和专属软件产品方面的法律 法规和法令 复制限制许可协议合同要求 5 2基本控制措施 与法律相关的 2019 12 31 与最佳实践有关的控制措施 3 1信息安全方针4 1 3信息安全责任分配6 2 1信息安全教育与培训6 3 1安全事件汇报11 1业务连续性管理 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 3 1 1信息安全方针文件 目标 为信息安全提供管理指导和支持 信息安全方针 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 4 1 3信息安全责任分配 目标 分配安全责任 使得信息安全在组织内得以有效管理 和各个系统相关的各种资产和安全程序应给予识别和明确的定义负责上述各资产和安全程序的经理人的任命要经过批准 其权责要记录在案授权级别应清晰定义并记录在案 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 6 2 1信息安全教育与培训 目标 保证使用者有信息安全意识 理解并执行信息安全方针 并有能力胜任信息安全的相关工作 安全意识安全知识 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 6 3 1安全事件汇报 目标 最大程度减小安全事故和故障造成的破坏 并且监控此类事故 从事故中学习 应该建立正式的报告程序 同时建立事故响应程序 阐明接到事故报告后所采取的行动 应该使所有员工和签约方知道报告安全事故的程序 并应该要求他们尽快报告此类事故 应该在事故被处理完并关闭后 执行适当的反馈程序 以确保那些报告的事故被通告了结果 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 11 1业务连续性管理 目标 抵制商业活动的中断 保护关键的商业过程免受主要的故障或灾难的影响 5 2基本控制措施 与最佳实践相关的 2019 12 31 与最佳实践有关的控制措施 11 业务连续性管理 11 1业务连续性管理11 1 1过程11 1 2业务连续性和影响分析11 1 3制定和实施业务连续性计划11 1 4业务连续性计划框架11 1 5测试 维护和重新评估业务连续性计划11 1 5 1测试业务连续性计划11 1 5 2维护和重新评估业务连续性计划 5 2基本控制措施 与最佳实践相关的 2019 12 31 10类控制36个控制目标127项控制措施 5 3ISO17799控制目标和控制措施概述 2019 12 31 5 3ISO17799控制目标和控制措施概述 3 信息安全方针 目标 为信息安全提供管理指导和支持 3 1信息安全方针3 1 1信息安全方针文件3 1 2评审与评价 2019 12 31 4 安全组织 目标 管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时的安全维护把信息处理的责任外包给其他组织时的信息安全性 5 3ISO17799控制目标和控制措施概述 2019 12 31 4 安全组织 4 1信息安全基础结构4 2第三方访问的安全4 3外包 5 3ISO17799控制目标和控制措施概述 2019 12 31 4 1信息安全基础结构 4 1 1信息安全管理委员会4 1 2信息安全协作4 1 3信息安全责任分配4 1 4信息处理设施的授权过程4 1 5信息安全专家建议4 1 6组织间的合作4 1 7信息安全的独立评审 5 3ISO17799控制目标和控制措施概述 2019 12 31 4 2第三方访问的安全 4 2 1第三方访问的风险识别4 2 1 1访问类型4 2 1 2访问原因4 2 1 3现场工作的合同方4 2 2第三方合同中的安全要求 5 3ISO17799控制目标和控制措施概述 2019 12 31 4 3外包 4 3 1外包合同中的安全要求 5 3ISO17799控制目标和控制措施概述 2019 12 31 5 资产分类与控制 目标 保持对组织资产的适当保护确保信息资产受到适当级别的保护 5 3ISO17799控制目标和控制措施概述 2019 12 31 5 资产分类与控制 5 1资产责任5 1 1资产清单5 2信息资产分类5 2 1分类指南5 2 2标识和处理 绝密 机密 秘密 5 3ISO17799控制目标和控制措施概述 2019 12 31 6 人员安全 目标 降低人为错误 盗窃 诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系 并在其日常工作过程中树立支持组织安全方针的意识尽量减小安全事件和故障造成的损失 监督此类事件并从中吸取教训 5 3ISO17799控制目标和控制措施概述 2019 12 31 6 人员安全 6 1岗位安全责任和人员录用安全要求6 2用户培训6 3安全事件与故障的响应 5 3ISO17799控制目标和控制措施概述 2019 12 31 6 1岗位安全责任和人员录用安全要求 6 1 1岗位安全责任6 1 2人员选拔及其原则6 1 3保密协议6 1 4录用条款 5 3ISO17799控制目标和控制措施概述 2019 12 31 6 2用户培训 6 2 1信息安全教育与培训 5 3ISO17799控制目标和控制措施概述 2019 12 31 6 3安全事件与故障响应 6 3 1报告安全事件6 3 2报告安全隐患6 3 3报告软件故障6 3 4总结事件教训6 3 5处罚过程 5 3ISO17799控制目标和控制措施概述 2019 12 31 7 物理和环境安全 目标 防止进入业务安全区边界 对信息进行未授权的访问 破坏和干扰防止资产的丢失 损坏或损害 以及业务活动的中断防止信息和信息处理设施遭受损害或被盗 5 3ISO17799控制目标和控制措施概述 2019 12 31 7 物理和环境安全 7 1安全区域7 2设备安全7 3常规控制措施 5 3ISO17799控制目标和控制措施概述 2019 12 31 7 1安全区域 7 1 1边界7 1 2出入控制7 1 3办公室 房间和设施的安全7 1 4安全区工作守则7 1 5交接区隔离 5 3ISO17799控制目标和控制措施概述 2019 12 31 7 2设备安全 7 2 1设备安置及其保护7 2 2电源7 2 3线缆安全7 2 4设备维护7 2 5安全区外的设备安全7 2 6设备报废或再利用的安全 5 3ISO17799控制目标和控制措施概述 2019 12 31 7 3常规控制措施 7 3 1清空桌面和清屏7 3 2资产转移 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 通信和操作管理 目标 确保信息处理设施正确运行与安全运行将系统故障的风险降到最低保护软件和信息的完整性保持信息处理与通信服务的完整性和可用性确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止丢失 修改或误用组织之间交换的信息 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 通信和操作管理 8 1操作程序和责任8 2系统规划和验收8 3恶意软件的防范8 4日常管理8 5网络管理8 6媒体安全8 7信息及软件的交换 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 1操作程序和责任 8 1 1操作程序文件化8 1 2操作的变更控制8 1 3事件管理程序8 1 4职责划分8 1 5开发设备与操作设备的隔离8 1 6外部设施管理 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 2系统规划和验收 8 2 1容量规划8 2 2系统验收 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 3恶意软件的防范 8 3 1恶意软件的防范措施 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 4日常管理 8 4 1信息备份8 4 2操作日志8 4 3错误记录 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 5网络管理 8 5 1网络控制 5 3ISO17799控制目标和控制措施概述 2019 12 31 8 6媒体安全 8 6 1可移动的计算机媒体的管理8 6 2媒体处置8 6 3信息处理程序8 6 4系统文档安全 5 3ISO17799控制目标和控制措施概述 2019 12