第二章 信息安全管理体系.ppt

第二章信息安全管理体系 黄成Telmail attila520 重庆医科大学信息管理系 InformationSecurityManagement 重庆医科大学信息管理系 国家注册ISMS咨询师 国家注册ISMS审核员 Careers InformationSecurityManagement 重庆医科大学信息管理系 Careers InformationSecurityManagement 重庆医科大学信息管理系 Careers InformationSecurityManagement 重庆医科大学信息管理系 Careers InformationSecurityManagement 重庆医科大学信息管理系 学习目标什么是信息安全管理体系 它的作用 意义为何 掌握BS7799的主要内容 与ISO IEC17799 2000等标准的联系 掌握PDCA管理模型 掌握信息安全管理体系建立的主要流程 掌握信息安全管理体系认证的目的 依据及流程 学习目标 InformationSecurityManagement 重庆医科大学信息管理系 主要内容 InformationSecurityManagement 重庆医科大学信息管理系 1 信息安全管理体系 1 1什么是信息安全管理体系 信息安全技术 计算机与网络信息安全 信息安全管理体系 北京华泰网安信息技术公司 1 1什么是信息安全管理体系信息安全管理体系 InformationSecurityManagementSystem ISMS 是一个系统化 程序化和文件化的管理体系 属于风险管理的范畴 体系的建立基于系统 全面 科学的安全风险评估 以保障组织的技术和商业机密 保障信息的完整性和可用性 最终保持其生产 经营活动的连续性 1 信息安全管理体系 InformationSecurityManagement 重庆医科大学信息管理系 1 2建立信息安全管理体系的意义1 缺少信息安全管理策略 安全导向不明确 管理支持不明显 2 缺少跨部门的信息安全协调机制 3 保护特定资产以及完成特定安全过程的职责还不明确 4 雇员信息安全意识薄弱 缺少防范意识 外来人员很容易直接进入生产和工作场所 5 组织信息系统安全防范技术投入欠缺 6 缺少一旦发生意外时的保证生产经营连续性的措施和计划 1 信息安全管理体系 InformationSecurityManagement 重庆医科大学信息管理系 主要内容 InformationSecurityManagement 重庆医科大学信息管理系 2 1常见的ISMS标准 BS7799 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 BS7799 1 1995 BS7799 2 1998 BS7799 1 1999 BS7799 2 1999 ISO IEC17799 1 2000 信息技术 信息安全管理实施细则 信息安全管理实施细则 信息安全管理体系规范 HOW WHAT BS7799 2 2002 ISO27001 2005 ISO IEC17799 1 2005 2 1常见的ISMS标准 BS7799 1 1999BS7799 1 1999 信息安全管理实施细则 CodeofPracticeforInformationSecurityManagement 主要供负责信息安全系统开发的人员作为参考使用 其中分十个标题 定义了127个安全控制 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1常见的ISMS标准 BS7799 1 1999 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 安全策略 安全组织 资产分类与控制 人员安全 物理和坏境安全 通讯与操作管理 访问控制 系统开发与维护 业务连续性管理 遵循性 BS7799 1 1999 word 2 1常见的ISMS标准 BS7799 2 1999BS7799 2 1999 信息安全管理体系规范 SpecificationforInformationSecurityManagementSystems 其中详细说明了建立 实施和维护信息安全管理体系的要求 第二部分要求按照PDCA管理模型来建立和维护信息安全管理体系 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1PDCA过程模型PDCA循环又叫戴明环 美国质量管理专家戴明 EdwardsDeming 博士在1950年提出 是全面质量管理所应遵循的科学程序 PDCA是英语单词Plan 计划 Do 执行 Check 检查 和Act 纠正 的第一个字母 PDCA循环就是按照这样的顺序进行质量管理 并且循环不止地进行下去的科学程序 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1PDCA过程模型 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1PDCA过程模型 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1PDCA过程模型 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 2 1PDCA过程模型 2 ISMS标准 InformationSecurityManagement 重庆医科大学信息管理系 主要内容 InformationSecurityManagement 重庆医科大学信息管理系 3ISMS的构架 InformationSecurityManagement 重庆医科大学信息管理系 3ISMS的构架 按照流程图所定的步骤生成的文档 管理架构的总结 其中包括信息安全策略 在适用性声明书所提及的安全控制目标和已经实现的安全控制 统实施阶段产生的文档 覆盖该ISMS中的管理和操作的程序 这些程序应该指出有哪些责任及其有关行动 文档的建立 InformationSecurityManagement 重庆医科大学信息管理系 3ISMS的构架 随时可用 按照机构的安全策略定期检查并在必要时做出修正 及时去掉过时的内容 标识并且保留过时的 法律需要的 或作为知识储备的部分 文档应该是清晰可读的 标有日期 及版本日期 的 可以确认的 并且在指定时间内有序维护和保管 文档控制 InformationSecurityManagement 重庆医科大学信息管理系 3ISMS的构架 目的 避免ISMS违背刑法 民法 有关法令法规或合同约定事宜及其他安全要求的规定 确保组织体系符合安全方针和标准要求 作为一种自我改进的机制 保持信息安全管理体系持续有效性并不断改进和完善 ISMS构架的符合性 见PDF文件 InformationSecurityManagement 重庆医科大学信息管理系 3ISMS的构架 内容 与法律要求的符合性 符合安全方针 标准 技术符合性 信息系统审计的考虑 ISMS构架的符合性 见PDF文件 InformationSecurityManagement 重庆医科大学信息管理系 主要内容 InformationSecurityManagement 重庆医科大学信息管理系 4ISMS的认证 获得最佳的信息安全运行方式 保证商业安全 降低风险 避免损失 保持核心竞争优势 提高商业活动中的信誉 满足客户的要求 符合法律法规的要求 认证的目的 InformationSecurityManagement 重庆医科大学信息管理系 4ISMS的认证 BS7799 2 1999 ISO27001系列 认证的依据 InformationSecurityManagement 重庆医科大学信息管理系 4ISMS的认证 一般组织按照BS7799 2标准与适用的法律法规要求建立并实施文件化的信息安全体系 满足以下基本条件的可以向被认可的认证机构提出认证申请 遵循法律法规的努力已被相关机构认同 体系文件完全符合标准要求 体系已被有效实施 即在风险评估的基础上识别出需要保护的关键信息资产 制定信息安全方针 确定安全控制目标与控制方式 并实施 完成体系审核与评审活动且采取相应的纠正措施 认证的基本条件 InformationSecurityManagement 重庆医科大学信息管