信息安全管理体系及风险评估与管理PPT课件

1 建立信息安全管理体系的基本程序 第三部分 2 建立信息安全管理体系ISO IEC27001 2005 确定ISMS范围 定义ISMS方针 定义系统的风险评估方法 识别风险 评估风险 识别并评价处置风险的各类措施 选择处置风险的控制目标和措施 制定适用性声明 SOA 获得高层批准 3 ISMS文件化要求信息安全方针及控制目标声明ISMS范围 程序及控制措施风险评估报告风险处置计划组织为保证有效策划 运行和控制ISMS的书面化程序标准要求的记录SOA 4 ISMS文件化层次 信息安全管理方针与目标 信息安全管理程序 规范 ISMS管理程序 安全技术规范 风险处置计划 适用性声明书 信息安全工作程序 作业指引与表单模板 工作程序 作业指导 表单模板 5 信息安全管理体系标准的核心内容 控制目标和控制措施 基于风险评估结果选择适用可行的控制措施程序性的控制措施技术性措施 6 控制目标与控制措施 附录A A 5安全方针A 6信息安全组织A 7资产管理A 8人力资源安全A 9物理和环境安全A 10通信和操作管理 A 11访问控制A 12信息系统获取 开发和维护A 13信息安全事件管理A 14业务连续性管理A 15符合性 所有的控制措施是建立在风险评估的基础上 7 A8人员安全 A9物理与环境安全 A11访问控制 雇佣户 如何控制敏感信息泄漏的风险 雇佣之前雇佣中雇佣终止和变化 安全区域场外设备的安全使用设备报废或回用安全 用户访问管理网络访问控制操作和应用系统访问 如何保证人员不泄漏敏感信息 如何通过物理与环境的管理预防信息泄漏 如何在信息时代 通过对用户逻辑访问的控制防止非授权访问敏感信息 8 如何确保任何时候授权用户可随时访问信息及资产 A10通信与运作管理 A14业务连续性管理 制订业务连续性计划统一的业务连续性框架计划评估与再调试 操作程序及职责系统规划与接受防止恶意软件 如何通过有序的通信与运作管理 确保系统可用性 如何确保组织在发生重大故障和灾难时 核心业务得以及时恢复 9 建立信息安全管理体系的基本程序 建立信息安全管理体系的基本程序安全需求与现状评估风险评估与处置项目组织要求 10 建立信息安全管理体系的基本程序 启动 需求与现状评估 体系策划 体系实施与评审 认证审核 组织准备与启动 确定安全需求 信息安全策略 现状评估 差距分析 风险评估 风险处置计划 文件编写 业务连续性计划 安全问题整改 体系运行 内部审核 问题整改 管理评审 第一阶段 第二阶段 整改 获得整改 11 安全需求与现状评估 安全需求 安全现状评估 客户对信息安全的要求 公司运作对信息安全的需求 股东 合作伙伴 员工对信息安全的需求 公司关键业务对信息安全的依赖程度 失去信息安全对公司业务的影响程度 在所关注的领域是否有明确的安全策略 针对所关注的领域 是否采取了相关的控制措施 这些控制措施是否有效执行 与安全需求的差距有多少在成本效益上 我们应优先考虑哪个领域的信息安全 需求与现状 信息安全范围与信息安全策略 12 信息安全总体策略 为了实现组织总体的经济战略 针对所确定范围的信息安全的总体策略 我们要保护什么 我们基本的措施 我们要达到什么结果 13 信息安全管理体系范围 建立信息安全管理体系首先必须确定信息安全管理体系范围 公司全范围 公司局部 某项服务 某个信息系统 确定体系范围的关键点 以某项产品 服务为主 软件开发服务 内部IT支付服务 当体系范围是局部时 必须界定范围边界大部分情况下 局部的体系范围通常很难绝对局限在一个部门 例如 即使是内部IT支持服务 也需求涉及负责电力 空调等供应的部门 14 BS7799 2 2005 风险评估风险分析和风险评价的整个过程威胁引起有害的事故的潜在原因 该原因可能导致系统或组织的损害 脆弱性被一个或多个威胁所利用的一个或一组资产的弱点 15 ISO IEC17799 2005 风险事件的概率及其结果的组合 风险分析系统地使用信息来识别风险来源和估计风险 风险评价将估计的风险与给定的风险准则加以比较以确定风险严重性的过程 16 什么是风险 资产丢失风险 手提电脑 公共场所盗窃 体积小 轻便 有价值的资产 存在的威胁 资产本身的脆弱性 17 风险评估与管理的基本程序 第四部分 18 恶意破坏供电失败硬件故障静电偷窃 可能的威胁列表 19 如何进行风险评估 脆弱性 资产重要性 风险 基线风险评估模型 非正式风险评估模型 详细风险评估模型 威胁 20 常见脆弱点列表 对建筑物 门 窗等缺乏物理保护 软件测试不充分或没有 通信线路缺乏保护 缺乏安全意识 服务维护责任不清 21 风险评估首先应启始于理解组织的安全需求 了解组织经营战略 了解组织企业文化 了解组织业务流程 信息安全总体策略 定义风险评估模型将各个信息安全措施结合进各业务流程 达到体系整合目的 确定推行组织方式和方法 理解组织近期经营管理目标理解对组织经营管理目标影响最为重要的业务理解影响这些最重要业务的信息安全要求 哪些信息安全系统对这些有致命的影响 如果没有这些信息安全系统这些业务将难以实现 理解组织高层管理崇高核心价值观感受组织内部企业文化氛围 了解员工做事的行为准则与核心价值观的一致性 理解组织为实现组织目标的业务流程描述组织总体业务流程框架理解信息安全对业务流程的影响理解现有业务流程的控制措施 22 风险评估方法包括以下几类 基线风险评估模型 非正式风险评估模型 详细风险评估模型 综合风险评估模型 基本方法选用标准控制措施对照组织信息安全体系内所有业务流利弊分析不需要花费太多资源和时间如果基线标准设定太高或太低 对安全的控制或者是多余或者是不足风险控制的平衡难以实现 基本方法深度地对所有系统的资产进行识别重要性评估 威胁与脆弱性评估 风险评估与排序利弊分析全面 周密地识别风险花费大量时间和精力 基本方法基于对信息安全管理的经验和知识 没有正式的结构化方法利弊分析时间快 不需要太多技术但会遗漏重要的风险对风险可接受及不可接受难以合理判定 基本方法高风险流程 系统判定应用基线风险评估模型评价低风险流程 系统应用详细风险评估模型评价高风险流程 系统利弊分析快速 简单识别主要风险区域从战略角度控制风险时间 资源可以优先控制高风险区域 23 建议采用的风险评估方法 了解组织战略 目标 业务流程 低风险过程 系统基线风险评估 了解组织战略 目标 业务流程 区分高风险 低风险过程 系统 应用不同风险评估模型评估不同风险级别的过程 系统 描述组织业务流程框架 系统 高风险过程 系统详细风险评估 识别已采用的控制措施 比较现有措施与基本控制准则 对照ISO17799要求 建立基本措施准则 采用措施或接受风险 资产分类及识别 重要性评估 威胁评估 脆弱性评估 现有措施 风险评估 选择控制措施 接受风险 识别评审各种制约情况 24 在进行风险评估时 需要有明确的风险评估准则 准则一流程 系统 高风险判定标准 将考虑该流程 系统 对组织经营战略和目标的影响程度组织其他流程 系统 对该流程 系统 的依赖程度 即该流程 系统 的功能 保密性 可用性 完整性 可靠性 对公司业务的有效执行是致命的 对某些过程 系统 投资成本大小 准则二基线风险评估准则 将考虑 对照ISO17799标准控制措施措施要求针对低风险流程 系统建立基线风险措施标准建立基线风险评估检查表 准则三详细风险评估准则 将应用量化打分标准 包括 资产分类准则 描述组织资产类别 资产重要性评估准则 从保密性 可用性 完整性 公司声誉影响 法规要求等方面 确定资产评估准则威胁 脆弱性评估准则 从发生可能性 损害程度等 确定威胁 脆弱性评估准则风险评估优先度准则 确定风险接受与不可接受优先排序准则 实施控制措施准则 针对选择的控制措施 从时间 成本限制角度考虑 确定优先选择顺序 25 人 信息 业务过程 应用系统 服务 厂房 详细的风险评估开始于资产的识别 资产分类 资产分类公司形象人员信息 信息系统过程产品 服务应用厂房 26 针对重要的资产进行风险评估 资产重要性评估资产在失去保密性造成的影响 资产失去完整性造成的影响 资产失去可用性造成的影响 资产本身的价值 威胁识别与评估资产面临哪些威胁 威胁造成的后果有过大 这样的威胁发生的可能性有多大 脆弱性识别与评估资本本身有哪些脆弱性 这些脆弱性被威胁利用的难易程度 现有控制措施识别针对威胁 脆弱性 已经采取了哪些措施 这些措施是否被有效执行 风险评估与排序 风险评估 27 风险排序与处置 优先处理高级别的风险 风险值 低 风险值 中 风险值 高 接受 采取措施减少损失 采取措施避免损失 28 选择的控制措施应考虑成本投入 预防风险所需要的成本 风险发生造成的影响 对组织造成多大的影响 需要付出多少代价 风险与成本 两者达到一个平衡 29 风险评估与处置 重要的数据 威胁 脆弱性 存储器故障 数据易丢失 控制措施备份 是否充分 风险 数据损失 30 风险评估控制措施选择 安全控制技术 管理程序 媒介备份双机备份异地备份 职责确定日常备份作业流程备份数据保管备份数据定期验证媒介保管 销毁 必须考虑投入的成本 达到一个风险控制的平衡点 31 制订适用性声明书 SOA 根据ISO27001 2005提出的控制措施 描述 采取哪些措施 哪些措施不适用 不使用的理由是什么 32 风险处置计划 针对所有不可接受的风险 描述 采取控制措施建立管理程序采取技术控制措施提供培训转移风险成本责任人及完成期限 33 风险评估是一个持续的过程 组织经营战略及目标持续变化 所以 应持续应用高风险判定准则 对影响组织战略及目标的业务流程 系统 的风险程度进行持续识别 原来低风险的业务流程 系统 可能成为高风险的业务流程 系统 基线风险评估应用在新出现的低风险流程 系统 新出现的流程 系统 在被确定为低风险业务流程 系统 时 基线风险评估模型可进行初始风险评估 详细风险评估模型可应用评估新的高风险流程原来低风险的流程成为高风险流程 系统 时 可应用详细风险评估模型进行系统评估 使得风险控制更系统化 34 项目组织要求 信息安全管理职能跨部门的信息安全工作小组 信息安全委员会高层管理人员组织信息安全总监 各部门协调员 安全技术专家 体系管理人员 35 业务连续性管理 业务连续性管理控制目标 防止由于重大故障或灾难导致业务活动中断 保护组织关键业务活动 建立全面的业务连续性管理过程建立业务连续性战略计划 总体计划 制订并执行业务连续性计划确保所有业务连续性计划的一致性 确定测试和实施的优先排序对业务连续性计划进行测试 维护和重新评估 36