信息安全管理体系ppt课件.ppt

信息安全管理体系,中国信息安全测评中心CISP培训课程樊山E-Mail:fanfox7405QQ:86485660,Copyright2008,深圳市汇安科技有限公司,www.cimst-,Copyright2008,深圳市汇安科技有限公司,www.cimst-,1,我国信息安全管理体制,信息安全管理最关注的是内部恶意攻击ISMS指的是信息安全管理体系职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当系统程序员访问安全系统软件的时候，会造成对“职责分离”原则的违背,2,我国信息安全管理体制,1、国家信息安全管理政策背景2003年底：国家信息化领导小组第三次会议关于加强信息安全保障工作的意见（中办发【2003】27号），提供政策指导2004年初，全国信息安全工作会议，部署重点保障信息网络和重要信息系统安全、创建安全健康的网络环境的各项工作,3,我国信息安全管理体制,方针上采取积极防御、综合治理的管理方针,政策上谁主管、谁负责；谁经营、谁负责,措施上严格的管理、威严的法律和先进的技术,4,我国信息安全管理体制,2、我国信息安全管理制度国信办国家密码管理局国家安全部公安部保密局信息产业部,5,信息安全管理,1、信息安全管理概述（1）信息安全管理体系策划与准备策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。（2）确定信息安全管理体系适用的范围信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。,6,信息安全管理,（3）现状调查与风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。（4）建立信息安全管理框架建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。,7,信息安全管理,（5）信息安全管理体系文件编写建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。,8,信息安全管理,（6）信息安全管理体系的运行与改进信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。（7）信息安全管理体系审核体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，可以提供符合要求（如ISO/IEC27001）的认证或注册。,9,信息安全管理,2、信息安全管理组织机构a)应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；b)应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；c)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。,10,信息安全管理,沟通与合作a)应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；b)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；c)应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持。,11,信息安全管理,3、信息安全策略（1）制定安全策略（2）信息安全策略体系安全策略规章制度和标准基线流程指南（3）审核批准安全策略,12,信息安全管理,（4）发布和落实安全策略（5）维护和更新安全策略,13,信息安全管理,4、安全控制措施的类型,14,信息安全管理,15,信息安全管理,5、人员管理人员审查人员录用a)应保证被录用人具备基本的专业技术水平和安全管理知识；b)应对被录用人声明的身份、背景、专业资格和资质等进行审查；c)应对被录用人所具备的技术技能进行考核；d)应对被录用人说明其角色和职责；e)应签署保密协议。,16,信息安全管理,人员离岗a)应立即终止由于各种原因即将离岗的员工的所有访问权限；b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；c)应经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开。人员考核a)应定期对各个岗位的人员进行安全技能及安全认知的考核；b)应对关键岗位的人员进行全面、严格的安全审查；c)应对违背安全策略和规定的人员进行惩戒。,17,信息安全管理,聘用条款中的安全责任保密协议,18,信息安全管理,安全意识和培训a)应对各类人员进行安全意识教育；b)应告知人员相关的安全责任和惩戒措施；c)应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训；d)应对安全教育和培训的情况和结果进行记录并归档保存。,19,信息安全管理,考核和奖惩人事变更人员安全管理的原则职责分离岗位轮换最小特权和需要知道强制休假限幅级别,20,信息安全管理,6、资产管理,信息安全管理,载体安全管理,密级标签管理,存储实现管理,信息访问控制,数据备份管理,信息完整性管理,载体的纪录、保管、登记、销毁、分类,密级的分类：绝密、机密、秘密（我国）；秘密、私有、敏感、公开（商密）；绝密、机密、秘密、敏感但非涉密（国外）密钥管理、授权机制、访问机制,存储设备的分类（软、硬、光、磁带）备份、存放,安全管理（最小特权、实体控制、安全存取）标示和验证（用户组与分类、识别与验证、用户访问权限）口令机制（口令的安全及选择、口令传输、安全对策）,备份时间、方式、管理,存储介质的退化、维护错误、恶意代码、冒用、不可否认性、股长、防范,21,ISMS管理体系,信息安全管理体系ISMS（InformationSecurityManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合，是涉及到人、程序和信息技术(InformationTechnology)系统。,22,ISMS管理体系,建立ISMS,实施和运作ISMS,维护和改进ISMS,计划PLAN,实施DO,改造ACTION,监控和评审ISMS,检查CHECK,开发、维护和改进循坏,相关单位管理状态下的信息安全,相关单位信息安全需求和期望,PDCA模型,23,ISMS管理体系,PLAN（计划）：这是信息安全管理周期的起点，作为安全管理的准备阶段，为后续活动提供基础和依据。计划阶段的活动包括：建立组织机构，明晰责任，确定安全目标、战略和策略，进行风险评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。,24,ISMS管理体系,实施（Do）实施阶段是实现计划阶段确定目标的过程，包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。检查（Check）信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法律法规和实践经验，检查的结果是进一步采取措施的依据。,25,ISMS管理体系,改进（Action）如果检查发现安全实施的效果