信息安全管理体系ppt课件

信息安全管理体系教程,2020/4/30,.,课前介绍,课程目标课程安排课程内容注意事项学员介绍,2020/4/30,.,课程目标,掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤,2020/4/30,.,课程安排,课时:24H课程方法：讲授、小组讨论、练习,2020/4/30,.,课程内容,1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求,2020/4/30,.,注意事项,积极参与、活跃气氛守时保持安静有问题可随时举手提问,2020/4/30,.,1.信息安全基础知识,1.1信息安全的基本概念1.2为什么需要信息安全1.3实践中的信息安全问题1.4信息安全管理的实践经验,2020/4/30,.,请思考：什么是信息安全？,1.1信息安全基本概念,2020/4/30,.,什么是信息？,ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等,2020/4/30,.,小问题：你们公司的Knowledge都在哪里？,信息在哪里？,2020/4/30,.,什么是信息安全?,ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会,2020/4/30,.,信息安全的特征（CIA）,ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。,2020/4/30,.,信息本身,信息处理设施,信息处理者,信息处理过程,机密,可用,完整,总结,2020/4/30,.,请思考：组织为什么要花钱实现信息安全？,1.2为什么需要信息安全,2020/4/30,.,组织自身业务的需要,自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求,2020/4/30,.,法律法规的要求,计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定,2020/4/30,.,信息系统使命的要求,信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。,2020/4/30,.,请思考：目前，解决信息安全问题，通常的做法是什么？,1.3实践中的信息安全问题,2020/4/30,.,“产品导向型”信息安全,初始阶段，解决信息安全问题，通常的方法：采购各种安全产品，由产品厂商提供方案；Anti-Virus、Firewall、IDS定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；分为3个部分：第一部分：简介和一般模型第二部分：安全功能要求第三部分：安全保证要求,2020/4/30,.,管理体系标准,ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业安全卫生管理体系标准ISO17799信息安全管理体系标准,2020/4/30,.,ISO/IEC17799:2000InformationtechnologyCodeofpracticeforinformationsecuritymanagement,信息技术信息安全管理实施细则,3.2ISO/IEC17799:2000,2020/4/30,.,历史,3.3ISO17799的历史及发展,2020/4/30,.,BSI简介,BSI英国标准协会英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准ISO9000（质量管理体系）ISO14001（环境管理体系）OHSAS18001（职业健康与安全管理体系）QS-9000/ISO/TS16949（汽车供应行业的质量管理体系）TL9000（电信供应行业的质量管理体系）BS7799。,2020/4/30,.,IUG：InternationalUserGroup,1997年成立宗旨促进ISO17799/BS7799的应用和推广促进对信息安全管理体系标准、认证等的理解，服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员,2020/4/30,.,ISO17799被各国或地区采用的情况,EnglandAustraliaNewZealandBrazilCzechRepublicFinlandIcelandIrelandNetherlands(SPE20003)NorwaySweden(SS627799)Taiwan中国,2020/4/30,.,ISO17799在中国,国内从2000年初开始认识ISO17799/BS7799；2000年初开始，国内一些公司和单位进行BS7799的研究和相关课程培训；20022003年，我国已经提出了国标化的计划；,2020/4/30,.,3.4ISO17799:2000的内容框架,ISO17799:2000（BS7799-1:1999）CodeofPracticeforInformationSecurityManagement信息安全管理实施细则BS7799-2:1999(已经有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem信息安全管理体系规范,2020/4/30,.,3.4ISO17799:2000的内容框架(续),Foreword(ISO前言)Introduction(引言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.12.详细控制目标和控制措施,2020/4/30,.,3.4ISO17799:2000的内容框架(续),Foreword(ISO前言)ISO(国际标准化组织)和IEC(国际电工委员会)组成世界性标准化的专门体系。作为ISO或IEC成员的各国团体通过由各自组织设立的技术委员会参与国际标准的开发，处理特殊领域的技术活动。ISO和IEC技术委员会协调共同利益的领域。其它与ISO和IEC有联系的国际组织（官方的和非官方的）也可参加工作。,2020/4/30,.,3.4ISO17799:2000的内容框架(续),Introduction(引言)什么是信息安全为何需要信息安全如何确定安全需求评估安全风险选择控制措施信息安全起点成功的关键因素制定组织自身的指导方针,2020/4/30,.,3.4ISO17799:2000的内容框架(续),Scope(范围)本标准为组织中负责信息安全的启动、实现和保持的人员提供了信息安全管理方面的建议。目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台，并建立组织间交易时的信心。本标准所提供的建议应该根据相关法规有选择的使用。,2020/4/30,.,3.4ISO17799:2000的内容框架(续),2.TermandDefinitions(术语和定义)2.1informationsecurity信息安全2.2Riskassessment风险评估2.3Riskmanagement风险管理,2020/4/30,.,3.4ISO17799:2000的内容框架(续),2.1informationsecurity信息安全Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.确保只有被授权的人员才可以访问信息。-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.确保信息及其处理方法的准确性和完整性。-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.确保被授权的用户在需要时可以访问信息和相关的资产。,2020/4/30,.,3.4ISO17799:2000的内容框架(续),2.2Riskassessment风险评估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.对信息和信息处理设施所受到的威胁、影响和脆弱性以及发生这些事件的可能性进行评估。,2020/4/30,.,3.4ISO17799:2000的内容框架(续),2.3Riskmanagement风险管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减小或消除的过程。,2020/4/30,.,3.4ISO17799:2000的内容框架(续),3.Securitypolicy安全方针4.SecurityOrganizational安全组织5.Assetclassificationandcontrol资产分类与控制6.Personnelsecurity人员安全7.Physicalandenvironmentalsecurity物理和环境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol访问控制10.Systemsdevlopmentandmaintenance系统开发和维护11.Businesscontinuitymanagement业务连续性管理12.Compliance符合性,2020/4/30,.,Foreword(BSI前言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)4.Detailedcontrols（详细控制措施）,3.5BS7799-2:1999的内容框架,2020/4/30,.,1.Scope(范围)BS7799的这一部分提出了建立、实施并记录信息安全管理体系时的具体要求；同时，也提出了各组织根据具体需求采取安全控制措施的要求。,3.5BS7799-2:1999的内容框架(续),2020/4/30,.,2.TermandDefinitions(术语和定义)2.1statementofapplicability(适用声明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.根据组织需要对所选的控制目标和控制措施的说明,3.5BS7799-2:1999的内容框架(续),2020/4/30,.,3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)3.1General(总则)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(实施)3.4Documentation(文档化)3.5Documentcontrol(文件控制)3.6Records(记录),3.5BS7799-2:1999的内容框架(续),2020/4/30,.,4.Detailedcontrols（详细控制措施）4.1Securitypolicy安全方针4.2SecurityOrganizational安全组织4.3Assetclassificationandcontrol资产分类与控制4.4Personnelsecurity人员安全4.5Physicalandenvironmentalsecurity物理和环境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol访问控制4.8Systemsdevlopmentandmaintenance系统开发和维护4.9Businesscontinuitymanagement业务连续性管理4.10Compliance符合性,3.5BS7799-2:1999的内容框架(续),2020/4/30,.,3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之区别,ISO/IEC17799:2000(BS7799-1:1999)为指南指导如何进行安全管理实践BS7799-2:1999和BS7799-2:2002为标准建立的信息安全管理体系必须符合的要求BS7799-2:2002更接近ISO9000标准的格式控制目标和控制措施作为附录,2020/4/30,.,4.信息安全管理体系方法,4.1什么是ISMS4.2ISMS的重要原则4.3ISMS的实现方法,2020/4/30,.,4.1什么是ISMS,ISMS：InformationSecurityManagementSystem信息安全管理体系ISO9000-2000术语和定义组织organization职责、权限和相互关系得到安排的一组人员及设施,如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程。,2020/4/30,.,信息安全管理体系ISMS定义,ISMS是：在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源,2020/4/30,.,信息安全管理体系框图,信息安全管理体系框图,2020/4/30,.,4.2ISMS的重要原则,4.2.1PDCA循环4.2.2过程方法4.2.3其它重要原则,2020/4/30,.,PDCA循环：PlanDoCheckAct,计划,实施,检查,改进,4.2.1PDCA循环,2020/4/30,.,4.2.1PDCA循环（续）,又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P：计划，方针和目标的确定以及活动计划的制定；D：执行，具体运作，实现计划中的内容；C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。,2020/4/30,.,PDCA循环的特点一,按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环,4.2.1PDCA循环（续）,2020/4/30,.,PDCA循环的特点二,组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层一层地解决问题。,4.2.1PDCA循环（续）,2020/4/30,.,PDCA循环的特点三,每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。,4.2.1PDCA循环（续）,2020/4/30,.,4.2.2过程方法定义,ISO9000-2000术语和定义过程：一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为“过程方法”。,2020/4/30,.,过程方法模型：,2020/4/30,.,信息安全管理过程方法,信息安全实现是一个大的过程；信息安全实现过程的每一个活动也是一个过程；识别组织实现信息安全的每一个过程；对每一个信息安全过程的实施进行监控和测量；改进每一个信息安全过程。,2020/4/30,.,信息安全管理的过程网络,2020/4/30,.,信息安全管理的过程网络,将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程，也可用于整个过程网络,2020/4/30,.,领导重视,指明方向和目标,权威,预算保障，提供所需的资源,监督检查,组织保障,4.2.3其它重要原则领导重视,2020/4/30,.,全员参与,信息安全不仅仅是IT部门的事；,让每个员工明白随时都有信息安全问题；,每个员工都应具备相应的安全意识和能力；,让每个员工都明确自己承担的信息安全责任；,4.2.3其它重要原则全员参与,2020/4/30,.,持续改进,4.2.3其它重要原则持续改进,2020/4/30,.,文件的作用：有章可循，有据可查,文件的类型：手册、规范、指南、记录,4.2.3其它重要原则文件化,沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训,文件的作用：有章可循，有据可查,2020/4/30,.,文件的类型：手册、规范、指南、记录,-手册：向组织内部和外部提供关于信息安全管理体系的一致信息的文件-规范：阐明要求的文件-指南：阐明推荐方法和建议的文件-记录：为完成的活动或达到的结果提供客观证据的文件,文件化,4.2.3其它重要原则文件化,2020/4/30,.,4.3ISMS的实现方法,4.3.1ISMS总则4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录,2020/4/30,.,TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganizationsapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.组织应该建立并运行一套文件化的ISMS确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要达到的安全保证程度,3.1General(总则),4.3.1ISMS总则,2020/4/30,.,建设ISMS的步骤：如下图,3.2Establishingamanagementframework(建立管理框架),4.3.2建立ISMS框架,2020/4/30,.,制订信息安全方针,定义ISMS范围,进行风险评估,实施风险管理,选择控制目标措施,准备适用声明,第一步：,第二步：,第三步：,第四步：,第五步：,第六步：,4.3.2建立ISMS框架,2020/4/30,.,第一步制订信息安全方针,4.3.2建立ISMS框架,组织应定义信息安全方针。,BS7799-2对ISMS的要求：,2020/4/30,.,什么是信息安全方针？,信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。,信息安全方针,4.3.2建立ISMS框架,第一步制订信息安全方针,2020/4/30,.,4.3.2建立ISMS框架,第一步制订信息安全方针,要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审,信息安全方针,2020/4/30,.,目的和意义,为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。,4.3.2建立ISMS框架,第一步制订信息安全方针,2020/4/30,.,信息安全方针的内容包括但不限于：,组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件,4.3.2建立ISMS框架,第一步制订信息安全方针,2020/4/30,.,注意事项,简单明了易于理解可实施避免太具体,4.3.2建立ISMS框架,第一步制订信息安全方针,2020/4/30,.,4.3.2建立ISMS框架,第二步确定ISMS范围,组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。,BS7799-2对ISMS的要求：,2020/4/30,.,可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。,4.3.2建立ISMS框架,第二步确定ISMS范围,2020/4/30,.,文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义,4.3.2建立ISMS框架,第二步确定ISMS范围,ISMS范围文件：,2020/4/30,.,4.3.2建立ISMS框架,第三步风险评估,组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。,BS7799-2对ISMS的要求：,2020/4/30,.,是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？,4.3.2建立ISMS框架,第三步风险评估,2020/4/30,.,4.3.2建立ISMS框架,第四步风险管理,组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。,BS7799-2对ISMS的要求：,2020/4/30,.,根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。,4.3.2建立ISMS框架,第四步风险管理,2020/4/30,.,是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？,4.3.2建立ISMS框架,第四步风险管理,2020/4/30,.,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。,BS7799-2对ISMS的要求：,2020/4/30,.,安全问题,安全需求,控制目标,控制措施,指出,第五步选择控制目标和控制措施,4.3.2建立ISMS框架,选择控制措施的示意图,2020/4/30,.,选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,2020/4/30,.,未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-？,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,2020/4/30,.,4.3.2建立ISMS框架,第六步准备适用声明,组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。,BS7799-2对ISMS的要求：,2020/4/30,.,在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。,未来实现公司ISMS适用声明,4.3.2建立ISMS框架,第六步准备适用声明,2020/4/30,.,Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.组织应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据4.10.2条之规定加以验证。,4.10.2安全方针和技术符合性的评审,安全方针的符合性技术符合性的检查,4.3.3ISMS实施,BS7799-2对ISMS实施的要求：,2020/4/30,.,信息安全管理体系文件应包括如下方面的信息：按3.2条款规定采取的行动的证据对管理框架的总结，包括适用声明中所列信息安全方针、控制目标和控制措施3.3条规定的实施管理程序，此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序，此程序应对责任和相关措施加以描述,4.3.4ISMS体系文件,BS7799-2对ISMS文件的要求：,2020/4/30,.,组织要建立和维护一套控制3.4条款中要求的所有文件的流程，应确保这些文件：随时可得根据组织的安全方针的变化得以定期评审和修订版本要及时更新，并存放在信息安全管理体系的涉及的现场过时后及时撤换过时撤换后对其进行分类存档，用于事后凭据或查阅此类文本应保持整洁、清楚，并标明日期，按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订，要制定一定的流程和职责划分。,4.3.5ISMS文件控制,BS7799-2对ISMS文件控制的要求：,2020/4/30,.,记录作为ISMS运行结果的证据，要求加以保留，以证明是否符合ISMS和组织所提出的要求。记录可为访客记录、审计记录和出入证明等等。各单位应建立并运行合理程序，以确认、维护、保存和处理这些过程是否规范的要求。记录要求清晰可辨，通过其可追溯到所记录的活动情况。记录的保存和维护应当做到随时可得，并不得损坏、磨损或丢失。,4.3.6ISMS记录,BS7799-2对ISMS记录的要求：,2020/4/30,.,5.1十类控制措施5.2基本控制措施5.3ISO17799控制目标和控制措施概述,5.ISO17799中的控制目标和控制措施,2020/4/30,.,5.1十类控制措施,2020/4/30,.,5.1十类控制措施(续),ISO17799包含了36个控制目标和127个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人,2020/4/30,.,ISO17799推荐了八个控制措施作为信息安全的起始点（StartingPoint），组织可以此为基础建立ISMS。这些控制措施在大多数情况下是普遍适用的。,5.2基本控制措施,2020/4/30,.,与法律有关的控制措施,12.1.4数据保护和个人隐私12.1.3组织记录的保护12.1.2知识产权,5.2基本控制措施与法律相关的,2020/4/30,.,与法律有关的控制措施,12.1.4数据保护和个人隐私,目标：符合所在国家的数据保护法律和与个人隐私相关的法律数据保护法1998（英国）电子数据保护法（欧盟2002年6月通过）电信服务数据保护法（德国）个人隐私法（美国、加拿大等）电子通信隐私法（美国）,5.2基本控制措施与法律相关的,2020/4/30,.,与法律有关的控制措施,12.1.3组织记录的保护,目标：保护重要的记录不被丢失、破坏或伪造保留期存储报废处理,5.2基本控制措施与法律相关的,2020/4/30,.,与法律有关的控制措施,12.1.2知识产权版权软件版权,目标：确保使用产品或服务时不违反国家有关知识产权和专属软件产品方面的法律、法规和法令。复制限制许可协议合同要求,5.2基本控制措施与法律相关的,2020/4/30,.,与最佳实践有关的控制措施,3.1信息安全方针4.1.3信息安全责任分配6.2.1信息安全教育与培训6.3.1安全事件汇报11.1业务连续性管理,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,3.1.1信息安全方针文件,目标：为信息安全提供管理指导和支持。,信息安全方针,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,4.1.3信息安全责任分配,目标：分配安全责任，使得信息安全在组织内得以有效管理。和各个系统相关的各种资产和安全程序应给予识别和明确的定义负责上述各资产和安全程序的经理人的任命要经过批准，其权责要记录在案授权级别应清晰定义并记录在案,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,6.2.1信息安全教育与培训,目标：保证使用者有信息安全意识，理解并执行信息安全方针，并有能力胜任信息安全的相关工作。安全意识安全知识,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,6.3.1安全事件汇报,目标：最大程度减小安全事故和故障造成的破坏，并且监控此类事故、从事故中学习。应该建立正式的报告程序，同时建立事故响应程序，阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序，并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后，执行适当的反馈程序，以确保那些报告的事故被通告了结果。,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,11.1业务连续性管理,目标：抵制商业活动的中断，保护关键的商业过程免受主要的故障或灾难的影响。,5.2基本控制措施与最佳实践相关的,2020/4/30,.,与最佳实践有关的控制措施,11.业务连续性管理,11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试，维护和重新评估业务连续性计划测试业务连续性计划维护和重新评估业务连续性计划,5.2基本控制措施与最佳实践相关的,2020/4/30,.,10类控制36个控制目标127项控制措施,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,5.3ISO17799控制目标和控制措施概述,3.信息安全方针,目标：为信息安全提供管理指导和支持。,3.1信息安全方针3.1.1信息安全方针文件3.1.2评审与评价,2020/4/30,.,4.安全组织,目标：管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时的安全维护把信息处理的责任外包给其他组织时的信息安全性,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,4.安全组织,4.1信息安全基础结构4.2第三方访问的安全4.3外包,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,4.1信息安全基础结构,4.1.1信息安全管理委员会4.1.2信息安全协作4.1.3信息安全责任分配4.1.4信息处理设施的授权过程4.1.5信息安全专家建议4.1.6组织间的合作4.1.7信息安全的独立评审,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,4.2第三方访问的安全,4.2.1第三方访问的风险识别访问类型访问原因现场工作的合同方4.2.2第三方合同中的安全要求,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,4.3外包,4.3.1外包合同中的安全要求,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,5.资产分类与控制,目标：保持对组织资产的适当保护确保信息资产受到适当级别的保护,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,5.资产分类与控制,5.1资产责任5.1.1资产清单5.2信息资产分类5.2.1分类指南5.2.2标识和处理,绝密,机密,秘密,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,6.人员安全,目标：降低人为错误、盗窃、诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系，并在其日常工作过程中树立支持组织安全方针的意识尽量减小安全事件和故障造成的损失，监督此类事件并从中吸取教训,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,6.人员安全,6.1岗位安全责任和人员录用安全要求6.2用户培训6.3安全事件与故障的响应,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,6.1岗位安全责任和人员录用安全要求,6.1.1岗位安全责任6.1.2人员选拔及其原则6.1.3保密协议6.1.4录用条款,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,6.2用户培训,6.2.1信息安全教育与培训,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,6.3安全事件与故障响应,6.3.1报告安全事件6.3.2报告安全隐患6.3.3报告软件故障6.3.4总结事件教训6.3.5处罚过程,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,7.物理和环境安全,目标：防止进入业务安全区边界，对信息进行未授权的访问、破坏和干扰防止资产的丢失、损坏或损害，以及业务活动的中断防止信息和信息处理设施遭受损害或被盗,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,7.物理和环境安全,7.1安全区域7.2设备安全7.3常规控制措施,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,7.1安全区域,7.1.1边界7.1.2出入控制7.1.3办公室、房间和设施的安全7.1.4安全区工作守则7.1.5交接区隔离,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,7.2设备安全,7.2.1设备安置及其保护7.2.2电源7.2.3线缆安全7.2.4设备维护7.2.5安全区外的设备安全7.2.6设备报废或再利用的安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,7.3常规控制措施,7.3.1清空桌面和清屏7.3.2资产转移,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.通信和操作管理,目标：确保信息处理设施正确运行与安全运行将系统故障的风险降到最低保护软件和信息的完整性保持信息处理与通信服务的完整性和可用性确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止丢失、修改或误用组织之间交换的信息,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.通信和操作管理,8.1操作程序和责任8.2系统规划和验收8.3恶意软件的防范8.4日常管理8.5网络管理8.6媒体安全8.7信息及软件的交换,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.1操作程序和责任,8.1.1操作程序文件化8.1.2操作的变更控制8.1.3事件管理程序8.1.4职责划分8.1.5开发设备与操作设备的隔离8.1.6外部设施管理,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.2系统规划和验收,8.2.1容量规划8.2.2系统验收,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.3恶意软件的防范,8.3.1恶意软件的防范措施,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.4日常管理,8.4.1信息备份8.4.2操作日志8.4.3错误记录,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.5网络管理,8.5.1网络控制,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.6媒体安全,8.6.1可移动的计算机媒体的管理8.6.2媒体处置8.6.3信息处理程序8.6.4系统文档安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,8.7信息及软件的交换,8.7.1信息及软件交换协议8.7.2媒体传输安全8.7.3电子商务安全8.7.4电子邮件安全8.7.5电子办公系统安全8.7.6公开可用系统8.7.7其它形式的信息交换,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.访问控制,目标：控制对信息的访问防止对信息系统的未授权访问防止未授权的用户访问保护网络服务，控制对内部网络和外部网络服务的访问防止对计算机的未授权访问防止对信息系统内的信息的未授权访问检测未授权的活动确保使用可移动计算机和远程工作设施时的信息的安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.访问控制,9.1访问控制的业务需求9.2用户访问管理9.3用户职责9.4网络访问控制9.5操作系统访问控制9.6应用系统访问控制9.7系统访问和使用的监控9.8移动计算和远程工作,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.1访问控制的业务需求,9.1.1访问控制策略策略和业务需求访问控制规则,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.2用户访问管理,9.2.1用户注册9.2.2特权管理9.2.3用户口令管理9.2.4用户访问权限的评审,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.3用户职责,9.3.1口令的使用9.3.2无人值守的用户设备,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.4网络访问控制,9.4.1网络服务使用策略9.4.2强制路径9.4.3外部连接的用户身份认证9.4.4节点认证9.4.5远程诊断端口保护9.4.6网络划分9.4.7网络连接控制9.4.8网络路由控制9.4.9网络服务安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.5操作系统访问控制,9.5.1自动终端识别9.5.2终端登录程序9.5.3用户识别与认证9.5.4口令管理系统9.5.5系统工具的使用9.5.6强制报警9.5.7终端超时9.5.8连接时间的限制,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.6应用系统访问控制,9.6.1信息访问限制9.6.2敏感系统隔离,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.7系统访问和使用的监控,9.7.1事件日志9.7.2系统使用的监控监控程序风险因素事件记录与评审9.7.3时钟同步,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,9.8移动计算和远程工作,9.8.1移动计算9.8.2远程工作,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.系统开发和维护,目标：确保信息系统的安全防止丢失，修改或误用应用系统中的用户数据保护信息的机密性、真实性或完整性确保IT项目及其支持活动得以一种安全的方式进行。对系统文件的访问应得到控制维护应用系统软件与信息的安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.系统开发和维护,10.1系统安全需求10.2应用系统安全10.3加密控制10.4系统文件安全10.5开发过程和支持过程的安全,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.1系统安全需求,10.1.1安全需求分析及其说明,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.2应用系统安全,10.2.1输入数据的确认10.2.2内部处理的控制风险检查和控制10.2.3消息验证10.2.4输出数据的确认,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.3加密控制,10.3.1加密控制策略10.3.2加密10.3.3数字签名10.3.5密钥管理10.3.4防抵赖10.3.5密钥管理密钥保护标准、程序和方法,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.4系统文件安全,10.4.1运行软件的控制10.4.2系统测试数据的保护10.4.3源代码的访问控制,5.3ISO17799控制目标和控制措施概述,2020/4/30,.,10.5开发过程和支持过程的安全,10.5.1变更控制程序10.5.2操作系统变更的技术评审10.5.3软件包变更的限制10.5.4隐蔽信道和特洛伊代码10.5.5外包