信息安全管理与信息安管理体系VIP

1、信息安全管理与信息安全信息安全管理与信息安全管理体系管理体系王新杰王新杰pksecpksec王新杰北京知识安全工程中心手机话箱：自我介绍pksecpksec主要内容主要内容 0. 引子：问题讨论 1. 信息安全管理信息安全管理 2. 信息安全管理体系信息安全管理体系pksecpksec 0. 引子：引子：信息安全管理问题的讨论信息安全管理问题的讨论三个问题三个问题 ：l 管什么？管什么？l 谁来管？谁来管？l 怎么管？怎么管？pksecpksec 关于信息安全管理的几个描述：a.我国将实行信息安全产品统一认证制度；我国将实行信息安全产品统一

2、认证制度；b.timeboat公司设置公司设置cso岗位全面负责信息安全工作；岗位全面负责信息安全工作；c.涉密系统的信息安全属国家保密部门管理；涉密系统的信息安全属国家保密部门管理；d.timeboat公司决定建立信息安全管理体系并申请认证；公司决定建立信息安全管理体系并申请认证；e.商用密码产品研发、生产、销售和使用应取得主管部门许可；商用密码产品研发、生产、销售和使用应取得主管部门许可；f.iso17799、iso13335是目前比较成熟的信息安全管理方面的是目前比较成熟的信息安全管理方面的标准之一；标准之一； 0. 引子：引子：信息安全管理问题的讨论信息安全管理问题的讨论pksecpk

3、sec 上述管理是不是同一种管理？上述管理是不是同一种管理？ 政府（行政）政府（行政）管理还是技术（业务）管理？管理还是技术（业务）管理？ 不同描述对应前面不同描述对应前面3个问题的答案是什么？个问题的答案是什么？ 0. 引子：引子：信息安全管理问题的讨论信息安全管理问题的讨论 关于信息安全管理的几个描述：a.我国将实行信息安全产品统一认证制度；我国将实行信息安全产品统一认证制度；b.timeboat公司设置公司设置cso岗位全面负责信息安全工作；岗位全面负责信息安全工作；c.涉密系统的信息安全属国家保密部门管理；涉密系统的信息安全属国家保密部门管理；d.timeboat公司决定建立信息安全管

4、理体系并申请认证；公司决定建立信息安全管理体系并申请认证；e.商用密码产品研发、生产、销售和使用应取得主管部门许可；商用密码产品研发、生产、销售和使用应取得主管部门许可；f.iso17799、iso13335是目前比较成熟的信息安全管理方面的标准之一；是目前比较成熟的信息安全管理方面的标准之一；pksecpksec 我们要讨论的是技术（业务）管我们要讨论的是技术（业务）管理，不是行政管理；理，不是行政管理； 0. 引子：引子：信息安全管理问题的讨论信息安全管理问题的讨论l管什么：与实现组织信息安全目标相关的要素管什么：与实现组织信息安全目标相关的要素l谁来管：组织自己谁来管：组织自己l怎么管：

5、没有统一的模式，信息安全管理体系怎么管：没有统一的模式，信息安全管理体系方法是选择之一。方法是选择之一。pksecpksec主要内容主要内容 0. 引子：问题讨论 1. 信息安全管理信息安全管理 2. 信息安全管理体系信息安全管理体系pksecpksec 1. 信息安全管理信息安全管理 1.1 信息安全信息安全 1.2 管理管理 1.3 信息安全管理信息安全管理 1.4 信息安全管理的基本任务信息安全管理的基本任务 pksecpksec 1.1 信息安全信息安全请思考：请思考： 什么是信息安全？什么是信息安全？pksecpksec 1.1 信息安全信息安全 不同的声音网络安全网络安全知识安全知

6、识安全数据安全数据安全信息安全信息安全内容安全内容安全计算机安全计算机安全pksecpksec政策部门 1.1 信息安全信息安全法律、标准学术界业界出版物行业商会、协会、学会pksecpksec 1.1 信息安全信息安全 看看已有的几个定义iso/iec17799：2000 美国联邦信息安全管理法案美国联邦信息安全管理法案（fisma）：）：2002中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例：1994pksecpksec 1.1 信息安全信息安全 iso/iec17799：2005 information security: preservation of

7、 confidentiality, integrity, an availability of information; in addition, other properties, such as authenticity, accountability, non-repudiation and reliability can also be involved. 保持信息的保密性、完整性、可用性；另外，也包括其他属性，保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性如：真实性、可核查性、抗抵赖性和可靠性 。pksecpksec 1.1 信息安全信

8、息安全 美国联邦信息安全管理法案美国联邦信息安全管理法案（fisma）：）：2002 保护信息与信息系统，防止未授权的访问、使用、泄露、中断、保护信息与信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护：修改或破坏，以保护： （a a）完整性，即防止对信息的不当修改或破坏，包括确保信息的不）完整性，即防止对信息的不当修改或破坏，包括确保信息的不可否认性和真实性；可否认性和真实性； （b b）保密性，即对信息的访问和泄露施加授权的约束，包括保护个）保密性，即对信息的访问和泄露施加授权的约束，包括保护个人隐私和专属信息的手段；人隐私和专属信息的手段； （c c）可用性，即确保能及时、

9、可靠地访问并使用信息。）可用性，即确保能及时、可靠地访问并使用信息。pksecpksec 1.1 信息安全信息安全中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例：1994 第三条：计算机信息系统的安全保护，应当保障计算机及其相第三条：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施关的和配套的设备、设施(含网络含网络)的安全，运行环境的安全，的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。信息系统的安全运行。pksecpksec 1.1

10、信息安全信息安全有必要明确一下不同历史阶段中信息安全的不同含义： 狭义的信息安全：研究对象是信息本身 广义的信息安全：研究对象是信息及其相关者信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 保密 可用 完整 pksecpksec小调查：小调查：贵单位的knowledge（information）都在哪里？ 1.1 信息安全信息安全pksecpksec 1. 信息安全管理信息安全管理 1.1 信息安全信息安全 1.2 管理管理 1.3 信息安全管理信息安全管理 1.4 信息安全管理的基本任务信息安全管理的基本任务 pksecpksec management

11、管理管理学中的定义管理学中的定义 管理是指通过计划、组织、领导、控制等环节来协调人力、物管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。力、财力等资源，以期有效达成组织目标的过程。iso/iec9000:2000中的定义中的定义 指挥和控制组织的协调的活动。指挥和控制组织的协调的活动。 1.2 管理管理pksecpksec 管理的职能计划：计划：为组织确定任务、宗旨、目标；实现目标的战略、措施、程为组织确定任务、宗旨、目标；实现目标的战略、措施、程序；以及实现目标的时间表和预算序；以及实现目标的时间表和预算 。组织：组织：根据组织的目标、战略和

12、内外环境设计组织结构，并为不同根据组织的目标、战略和内外环境设计组织结构，并为不同岗位配置人力资源的过程。岗位配置人力资源的过程。领导：领导：对组织成员施加影响，以推动其实现组织目标的过程。对组织成员施加影响，以推动其实现组织目标的过程。控制：控制：衡量和纠正下属活动，以保证事态发展符合计划要求的过程。衡量和纠正下属活动，以保证事态发展符合计划要求的过程。 1.2 管理管理pksecpksec在某些人的监督下，将人们的努力组织起来，这种活动已经存在了在某些人的监督下，将人们的努力组织起来，这种活动已经存在了几千年，中国的长城和埃及的金字塔就是例证。几千年，中国的长城和埃及的金字塔就是例证。只是

13、在过去的几百年中，特别是在只是在过去的几百年中，特别是在20世纪，管理才被系统的加以研世纪，管理才被系统的加以研究，逐渐形成共同的知识体系，成为一门专门的科学。究，逐渐形成共同的知识体系，成为一门专门的科学。20世纪前半期，形成了多样化的管理思想：科学管理；一般行政管世纪前半期，形成了多样化的管理思想：科学管理；一般行政管理理论；人力资源管理方法和定量方法。理理论；人力资源管理方法和定量方法。近年来，管理思想趋向一体化：过程方法；系统方法。近年来，管理思想趋向一体化：过程方法；系统方法。 管理的演进 1.2 管理管理pksecpksec 泰勒与科学管理1911年，泰勒（年，泰勒（frederi

14、ck winslow taylor）出版了）出版了科学管理原科学管理原理理，提出了科学管理四原则：，提出了科学管理四原则：对工人工作的每一个要素开发科学方法，替代老的经验方法。对工人工作的每一个要素开发科学方法，替代老的经验方法。科学的挑选工人，对他们进行培训、教育和使之不断进步。科学的挑选工人，对他们进行培训、教育和使之不断进步。与工人衷心合作，保证一切工作都按已形成的科学原则去办。与工人衷心合作，保证一切工作都按已形成的科学原则去办。管理当局与工作在工作和职责的划分上几乎是相等的，管理当局把比管理当局与工作在工作和职责的划分上几乎是相等的，管理当局把比工人更胜任的工作都承担过来。工人更胜任

15、的工作都承担过来。生铁装运试验，把生产效率从每天装运生铁装运试验，把生产效率从每天装运12.5吨，提高到吨，提高到48吨。吨。 1.2 管理管理pksecpksec 法约尔与一般行政管理理论（general administrative theory）关注整个组织关注整个组织法约尔（法约尔（henri fayol）把管理看作一组普遍的职能，即计划、组）把管理看作一组普遍的职能，即计划、组织、指挥、协调和控制。织、指挥、协调和控制。法约尔的法约尔的14条管理原则：条管理原则：1.工作分工工作分工2.职权职权3.纪律纪律4.统一指挥统一指挥5.统一领导统一领导6.个人利益服从整体利益个人利益服从整

16、体利益7.报酬报酬8.集中集中9.等级链等级链10.秩序秩序11.公平公平12.人员的稳定人员的稳定13.首创精神首创精神14.团结精神团结精神 1.2 管理管理pksecpksec 人力资源方法早期倡导者为罗伯特早期倡导者为罗伯特欧文，雨果欧文，雨果明斯特伯格，玛丽明斯特伯格，玛丽帕克帕克福莱特，福莱特，切斯特切斯特巴纳德。巴纳德。霍桑试验（霍桑试验（1924起，一直持续到起，一直持续到1932年）。梅奥（年）。梅奥（elton mayo）的结论：的结论：1.行为和情绪是密切相关的行为和情绪是密切相关的2.群体对个人的行为有巨大的影响群体对个人的行为有巨大的影响3.群体工作标准规定了单个工人

17、的工作产量群体工作标准规定了单个工人的工作产量4.在决定产量方法，金钱因素比群体标准、群体情绪和安全感的在决定产量方法，金钱因素比群体标准、群体情绪和安全感的作用要小作用要小 马斯洛（马斯洛（abraham maslow）的需求层次理论，人类需求的）的需求层次理论，人类需求的5个层个层次：生理需要，安全需要，社会需要，尊重需要和自我实现需要。次：生理需要，安全需要，社会需要，尊重需要和自我实现需要。 1.2 管理管理pksecpksec 1. 信息安全管理信息安全管理 1.1 信息安全信息安全 1.2 管理管理 1.3 信息安全管理信息安全管理 1.4 信息安全管理的基本任务信息安全管理的基本

18、任务 pksecpksec 什么信息安全管理？ 通过计划、组织、领导、控制等环节来协调人通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安力、物力、财力等资源，以期有效达到组织信息安全目标的活动。全目标的活动。 1.3 信息安全信息安全管理管理pksecpksec 信息安全管理的主要活动的主要活动 1. 制定信息安全目标和寻找实现目标的途径；制定信息安全目标和寻找实现目标的途径；2. 建设信息安全组织机构，设置岗位、配置人员并分配职责；建设信息安全组织机构，设置岗位、配置人员并分配职责；3. 实施信息安全风险评估和管理；实施信息安全风险评估和管理；4. 制定并

19、实施信息安全策略；制定并实施信息安全策略；5. 为实现信息安全目标提供资源并实施管理；为实现信息安全目标提供资源并实施管理；6. 信息安全的教育与培训；信息安全的教育与培训；7. 信息安全事故管理；信息安全事故管理；8. 信息安全的持续改进。信息安全的持续改进。 1.3 信息安全信息安全管理管理pksecpksec 1. 信息安全管理信息安全管理 1.1 信息安全信息安全 1.2 管理管理 1.3 信息安全管理信息安全管理 1.4 信息安全管理的基本任务信息安全管理的基本任务 pksecpksec 1.4.1 组织机构建设组织机构建设 1.4.2 风险评估风险评估 1.4.3 信息安全策略的制

20、定和实施信息安全策略的制定和实施 1.4.4 信息安全工程项目管理信息安全工程项目管理 1.4.5 资源管理资源管理 1.4.6 审核与持续改进审核与持续改进 1.4 信息安全信息安全管理的基本任务管理的基本任务pksecpksec 1.4.1 组织机构建设组织机构建设 组织应建立专门信息安全组织机构，负责：确定信息安全要求和目标；确定信息安全要求和目标；制定实现信息安全目标的时间表和预算制定实现信息安全目标的时间表和预算建立各级信息安全组织机构和设置相应岗位建立各级信息安全组织机构和设置相应岗位分配相应职责和建立奖惩制度分配相应职责和建立奖惩制度提出信息安全年度预算，并监督预算的执行提出信息

21、安全年度预算，并监督预算的执行组织实施信息安全风险评估并监督检查组织实施信息安全风险评估并监督检查组织制定和实施信息安全策略，并对其有效性和效果进行监督检查组织制定和实施信息安全策略，并对其有效性和效果进行监督检查组织实施信息安全工程项目组织实施信息安全工程项目信息安全事件的调查和处理信息安全事件的调查和处理组织实施信息安全教育培训组织实施信息安全教育培训组织信息安全审核和持续改进工作组织信息安全审核和持续改进工作pksecpksec 1.4.1 组织机构建设组织机构建设 组织应设立信息安全总负责人岗位，负责：向组织最高管理者负责并报告工作向组织最高管理者负责并报告工作执行信息安全组织机构的决

22、定执行信息安全组织机构的决定提出信息安全年度工作计划提出信息安全年度工作计划总协调、联络总协调、联络pksecpksec 1.4.2 风险评估风险评估1.4.2.1 风险评估的目的风险评估的目的1.4.2.2 风险评估的方式风险评估的方式1.4.2.3 风险评估的流程风险评估的流程pksecpksec 1.4.3 信息安全策略的制定和实施信息安全策略的制定和实施策略：解决某一方面问题的目的、范围、流程、准则的集合策略：解决某一方面问题的目的、范围、流程、准则的集合信息安全策略文件信息安全策略文件就每一个策略建立实施计划，落实所需资源就每一个策略建立实施计划，落实所需资源策略发布后，实施培训策略

23、发布后，实施培训策略的评审和修订策略的评审和修订pksecpksec 1.4.4 信息安全工程项目管理信息安全工程项目管理需求分析需求分析规划立项规划立项实施实施验收验收工程监理工程监理pksecpksec 1.4.5 资源管理资源管理信息安全预算信息安全预算人力资源人力资源基础设施基础设施信息安全教育培训信息安全教育培训pksecpksec 1.4.6 审核与持续改进审核与持续改进审核审核持续改进持续改进pksecpksec主要内容主要内容 0. 引子：问题讨论 1. 信息安全管理信息安全管理 2. 信息安全管理体系信息安全管理体系pksecpksec 2. 信息安全管理体系信息安全管理体系

24、 2.1 什么是管理体系什么是管理体系 2.2 信息安全管理体系信息安全管理体系 2.3 信息安全管理体系标准信息安全管理体系标准 2.4 信息安全管理体系认证信息安全管理体系认证 pksecpkseciso9000-2000 管理体系管理体系 management system 建立方针和目标并实现这些目标的体系建立方针和目标并实现这些目标的体系 体系体系 system 相互关联和相互作用的一组要素相互关联和相互作用的一组要素 2.1 什么是什么是管理体系管理体系pksecpksec要求要求要求被满要求被满足足分析改进分析改进资源管理资源管理产品实现产品实现管理职责管理职责输入输入输出输出管

25、理体系的持续改进管理体系的持续改进 2.1 什么是什么是管理体系管理体系pksecpksec 2.1 什么是什么是管理体系管理体系申请证书组织认证机构证书申请审核、颁发证书认可机构认证咨询机构提供咨询服务认证培训机构审核员培训并颁发证书任职国际互认双边互认多边互认管理体系证书国家行政管理机构机构认可管理体系产业链pksecpksec 2.1 什么是什么是管理体系管理体系申请证书组织认证机构管理体系审核指南 iso19011认可机构认证咨询机构认证培训机构审核员审核员注册管理办法国际互认双边互认多边互认管理体系证书国家行政管理机构认证机构通用要求iso导则62管理体系法规标准 认证认可法规认证认

26、可条例管理体系标准族 iso9000等pksecpksec 2.1 什么是什么是管理体系管理体系认证机构认证机构认可机构认可机构认证培训认证培训机构机构国家行政国家行政管理机构管理机构我国管理体系组织机构 国家认证认可监 督管理委员会中国合格评定国家认可中心cnabcnatcnalpksecpksec目前流行的管理体系目前流行的管理体系 环境环境管理体系管理体系 ems iso/iec14000 质量管理体系质量管理体系 qms iso/iec9000，9001，9004等等 2.1 什么是什么是管理体系管理体系 职业安全卫生管理体系职业安全卫生管理体系 ohmsas18000 信息安全管理体

27、系信息安全管理体系 isms iso/ie17799&iso27001pksecpksec 2. 信息安全管理体系信息安全管理体系 2.1 什么是管理体系什么是管理体系 2.2 信息安全管理体系信息安全管理体系 2.3 信息安全管理体系标准信息安全管理体系标准 2.4 信息安全管理体系认证信息安全管理体系认证 pksecpksec 2.2 信息安全信息安全管理体系管理体系 isms： information security management system 信息安全管理体系pksecpksec 在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全

28、管理体系 isms- 信息安全组织结构信息安全组织结构- 信息安全方针、策略信息安全方针、策略- 信息安全控制措施信息安全控制措施- 人力、物力等资源人力、物力等资源- 各种活动、过程各种活动、过程 信息安全目标应是可度量的信息安全目标应是可度量的 要素包括要素包括- 2.2 信息安全信息安全管理体系管理体系pksecpksec要求要求信息安全信息安全分析改进分析改进资源管理资源管理信息安全实现信息安全实现管理职责管理职责输入输入输出输出信息安全管理体系的持续改进信息安全管理体系的持续改进 2.2 信息安全信息安全管理体系管理体系pksecpksec 2. 信息安全管理体系信息安全管理体系 2

29、.1 什么是管理体系什么是管理体系 2.2 信息安全管理体系信息安全管理体系 2.3 信息安全管理体系标准信息安全管理体系标准 2.4 信息安全管理体系认证信息安全管理体系认证 pksecpksecl iso/iec17799:2005 information technology code of practice for information security management 信息技术信息安全管理实用规则 2.3 信息安全信息安全管理体系标准管理体系标准l iso27001:2005 information security management systems specificat

30、ion 信息安全管理体系要求pksecpksec 2.3 信息安全信息安全管理体系标准管理体系标准code of practicedtibs 7799-part11993.9bsi1995.2bs 7799-part21998.2bs 7799-1:19991999.4iso/iec2000.12+bs 7799-2:1999iso 17799:2000bs7799 part 2version c2001.6iso 17799:fdisiso/iecbs7799 part 2：20022002.92004.10iso 17799:2005iso/ieciso27001:fdis2005.420

31、05.6.15pksecpksecl 信息安全管理体系在中国信息安全管理体系在中国 国内认识国内认识iso17799/bs7799从从2000年初开始；年初开始；2002年年4月，成立安标委，设立月，成立安标委，设立wg7，研究制定安全管理方，研究制定安全管理方面标准；面标准；2003年度，年度，wg7提出了国标立项；提出了国标立项；2004年年4月，认监委开始启动信息安全管理体系的工作；月，认监委开始启动信息安全管理体系的工作；2005年年6月，发布国家标准，修改采用月，发布国家标准，修改采用iso17799:2000；目前，目前，wg7正在加紧研究信息安全管理体系相关标准。正在加紧研究信息

32、安全管理体系相关标准。2005年年8月，月，pksec申请成为申请成为isms认证培训机构并获得认证培训机构并获得cnca批准。批准。 2.3 信息安全信息安全管理体系标准管理体系标准pksecpksec 2. 信息安全管理体系信息安全管理体系 2.1 什么是管理体系什么是管理体系 2.2 信息安全管理体系信息安全管理体系 2.3 信息安全管理体系标准信息安全管理体系标准 2.4 信息安全管理体系认证信息安全管理体系认证 pksecpksecl 全球通过信息安全管理体系认证的组织数量 friday, 12 august 2005 2.4 信息安全信息安全管理体系认证管理体系认证japan967

33、*czech republic5chile1uk 210poland 5colombia1india 121switzerland 5egypt1taiwan 56greece 4france1germany40iceland 4lebanon1korea 33spain 4lithuania1italy 26brazil 3luxemburg1usa 23kuwait 3macau1netherlands 21mexico 3macedonia1hong kong17saudi arabia3morocco1australia 16uae3qatar1china14argentina2rom

34、ania1finland14belgium2russian federation1hungary13canada2slovenia1ireland11denmark2south africa1singapore11isle of man2thailand1norway10malaysia2turkey1austria 8slovak republic2relative total1697*sweden7bahrain1absolute total1685*pksecpksecl 中国通过信息安全管理体系认证的组织 friday, 12 august 2005 2.4 信息安全信息安全管理体系认

35、证管理体系认证name of the organizationcountrycertificate numbercertification bodyadvanced semiconductor manufacturing corporation limited china 07513-2004-ai-rot-ukas dnv beijing mobile communication co ltd., mobile data center china is 87929 bsi beijing zhong hai shen ying technology development co ltd ch

36、ina is 82006 bsi huangdao power plant of shandong china 02020-2001-ais-ldn-ukas dnv huawei technologies co., ltd. china 07507-2004-ai-rot-ukas dnv kingdom fine metal limited china is 72876 bsi picc, xiamen branch china 07502-2004-ais-ldn-ukas dnv semiconductor manufacturing international (shanghai) corporation china is 96