信息安全管理标准及规范课件

1、信息安全管理标准及规范2022/8/61宋建华湖北大学计算机与信息工程学院提 纲 一 信息安全管理体系 二 信息安全标准化分类及体系 三 信息安全管理国际国内标准 四 信息安全管理案例分析2022/8/62一、信息安全管理体系2022/8/63信息面临安全威胁2022/8/64信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震信息安全2022/8/65信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名保障信息安全的三大支柱2022/8/66信息安全保障是一个复杂的系统工程，需要多管齐下，综合治理。三大

2、支柱：信息安全技术信息安全法律法规信息安全标准2022/8/67安全管理技术安全集成技术防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术信息安全的关键技术信息安全法律法规从法律层面规范人们的行为，使信息安全工作有法可依，使相关违法犯罪得到处罚，促使组织和个人依法制作、发布、传播和使用信息2022/8/68信息安全标准目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据2022/8/69信息安全管理三分技术、七分管理木桶原理二八原则2022/8

3、/610安全是个过程安全存在于过程（高层管理者必须明白：信息安全不是一蹴而就的）安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是单位负责人、网络管理人员和用户对安全知识的忽视。2022/8/611安全层次体系结构2022/8/612防火墙安全网关VPN网络安全层反病毒风险评估入侵检测审计分析系统安全层用户/组管理单机登录身份认证用户安全层访问控制授权应用安全层加密数据安全层存储备份物理安全层安全产品类型2022/8/613 密钥管理产品高性能加密芯片产品密码加密产品数字 签名产品安全授权

4、认证产品信息保密产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网络舆情分析系统信息安全管理体系ISMS信息安全管理体系是保障组织信息安全的一套管理体系，专门负责组织信息资产的风险管理、确保组织的信息安全涉及到人员、技术和操作三个层面2022/8/614人员技术操作 培训 意识培养 物理安全 人事安全 系统安全管理 纵深防御技术领域 安全标准 IT 采购 风险评估 认证和认可 评估 监视 入侵

5、检测 警告 响应 恢复信息安全管理体系模型2022/8/615形成规范化文档Step1:定义信息安全策略Step2:定义ISMS实施范围Step3:进行风险评估Step4:风险管理Step5:选择控制目标和控制措施Step6:准备适用申明信息资源结论选择控制策略控制目标纲领性的统筹规划对信息安全的总体目标、要求和规范的说明。例如：符合法律规定和合同要求；信息安全岗位及职责；安全教育的需求；业务连续性管理；病毒和其它恶意软件的阻止及检测；违反安全管理策略的后果。信息安全管理的实施范围：资产清单的编写；资产的分类；信息的分类、标记和处理；物理和环境的安全评估信息系统中存在的安全隐患：资产价值量化及

6、评估资产中的潜在威胁及可能性评估；资产脆弱性评估；已有安全措施评估确定、控制和降低或消除潜在安全风险，需考虑因素：技术和成本的约束；事务和操作的需要；IT安全框架和基础设施 信息安全风险评估 信息安全风险识别与评估应考虑的因素：信息资产的脆弱性信息资产的威胁及其发生的可能性信息资产的价值已有安全措施2022/8/6162022/8/617信息安全风险评估流程2022/8/618信息安全风险评估流程资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产

7、都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。2022/8/619 信息安全风险识别与评估（一）2022/8/620故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（如误操作、维护错误）人员威胁12系统威胁环境威胁34自然威胁识别产生威胁的原因 信息安全风险识别与评估（二）威胁识别与评估2022/8/621系统、网络或服务的故障（软件故障、硬件故障、介质老化等）电源故障、污染、液体泄漏、火灾等洪水、地震、台风、滑坡、雷电等威胁识别与评估2022/8/622识别产生威胁的原因确认威胁的目标威胁识别与评估的主要任

8、务威胁发生造成的后果或潜在影响评估威胁发生的可能性2022/8/623脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。2022/8/624 信息安全风险识别与评估（三）脆弱性识别与评估脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。202

9、2/8/625脆弱性识别与评估2022/8/626系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和编程漏洞等技术脆弱性12操作脆弱性管理脆弱性3软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等策略、程序和规章制度等方面的弱点。脆弱性的分类脆弱性识别与评估评估脆弱性需要考虑的因素脆弱性的严重程度（Severity）；脆弱性的暴露程度（Exposure），即被威胁利用的可能性P， 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为：非常可能= 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。2022/8/6272022

10、/8/628 信息安全风险识别与评估（四）确认现有安全控制 在影响威胁事件发生的外部条件中，除了资产的弱点，再就是组织现有的安全控制措施。 在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。2022/8/629确认现有安全控制2022/8/630对系统开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障和系统生命周期管理等管理性安全控制12操作性安全控制技术性安全控制3用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理，安全意识培

11、训、系统支持和操作、物理和环境安全等身份识别与认证、访问控制、日志审计和加密等安全控制方式的分类(依据目标和针对性分类)2022/8/631 信息安全风险识别与评估（五）风险评价 风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。2022/8/632风险评价风险度量常用方法预定义价值矩阵法威胁发生的可能性PT低 0中 1高 2脆弱性被利用的可能性PV低 0中 1高 2低 0中 1高 2低 0中 1高 2资产相对价值V0012123234

12、1123234345223434545633454565674456567678332022/8/6 该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。2+1+2=52022/8/634 信息安全风险识别与评估（六）安全措施建议 信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级，他们在这一步骤中根据风险等级和其他评估结论，结合被评估组织当前信息安全防护措施的状况，为被评估组织提供加强信息安全防护的建议。二、信息安全标准化分类及体系2022/8/636标准分类国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/

13、T XXXX.X-200X GB XXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA ,SJ地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X2022/8/637标准的三要素（对象、内容和级别）2022/8/638国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级

14、别。我国标准工作归口单位2001年10月11日成立国家标准化委员会-信息技术标准委员会全国信息安全标准化技术委员会（简称信息安全标委会，TC260）于2002年4月15日在北京正式成立，是在信息安全技术专业领域内从事信息安全标准化工作的技术工作组织。2022/8/639信息安全标委会工作组设置 信息安全标准体系与协调工作组（WG1）涉密信息系统安全保密标准工作组（WG2） 密码技术标准工作组（WG3） 鉴别与授权标准工作组（WG4） 信息安全评估标准工作组（WG5） 通信安全标准工作组（WG6） 信息安全管理标准工作组（WG7）大数据安全特别工作组（ SWG-BDS ） 2022/8/6402

15、022/8/641信息安全标准体系基础标准技术与机制管理标准测评标准密码标准保密标准通信安全标准安全术语体系结构模型框架标识鉴别授权电子签名实体管理物理安全管理基础ISMS管理支撑技术信息安全服务管理个人信息保护测评基础产品测评系统测评能力评估通信基础通信安全技术通信设备安全测评通信管理与服务信息安全标准体系信息安全技术与机制类标准主要包括标识、鉴别、授权、电子签名等领域的标准。具体诸如实体鉴别、抗抵赖、消息鉴别码、带附录的数字签名、PKI、电子签名等。信息安全管理类标准主要包括信息安全管理概念和模型、信息安全管理体系（ISMS）、信息安全服务管理、个人信息保护管理以及安全管理支撑等领域的标准

16、。信息安全评估类标准主要包括测评基础、信息安全产品测评、信息系统安全测评，以及有关测评机构及服务能力评估等标准。其他标准。主要包括术语、可信计算、保密、密码、通信安全相关标准。2022/8/642三、ISO 27001国际标准及国标GB/T 22080-20162022/8/643国内标准2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日， GB/T 19716-2005作废，改为GB/T 22080-2008/ISO/IEC 27001:2005 。2016年8月29日

17、，国家标准委批准发布了ISO 27001:2013版对应的国家标准GB/T 22080-2016（信息技术-安全技术-信息安全管理体系-要求）。2022/8/644 BS7799信息安全管理标准BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。1995 年，BS7799-1:1995信息安全管理实施细则首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年，BS7799-2:1998信息安全管理体系规范公布，这是对BS7799-1 的有效补充

18、，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。2022/8/645ISO/IEC 270012002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式发布。2005年，B

19、S7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。2022/8/646注：ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。ISMS(信息安全管理系统)建设2022/8/647ISO/IEC 27001主要讲的是ISMS(信息安全管理系统)。 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简

20、称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS，是本标准所期望的。 本标准可被内部和外部相关方用于一致性评估。ISO27001:2005标准内容二、组织安全（Organizing Information Security）一、安全方针（Security Policy）三、资产管理（Asset Management）六、通信与操作管理（ Communications and Operations Management）五

21、、物理及环境安全（Physical and Environmental Security ）四、人员安全（Human Resource Security）八、信息系统获得、开发和维护（Information System Acquisition，Development and Maintenance）九、信息安全事件管理（ Information Security Incident Management）十、业务连续性管理（Business Continuity Management）十一、符合性（Compliance）七、访问控制（Access Control）2022/8/648ISO 2

22、7001:2013标准的结构变化2022/8/649ISO 27001:2005版ISO 27001:2013版ISO 27001:2013控制域的变化2022/8/650ISO 27001:2005标准包括11 个控制领域和133 项控制措施ISO 27001:2013标准包括14个控制领域和113 项控制措施实施ISO 27001信息安全管理体系的方法PDCA模型2022/8/651实施所选的安全控制措施Action纠正Check检查Do执行Plan计划 针对检查结果采取应对措施，改进安全状况 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查根据风险评估结果、法律法规要求

23、、组织业务运作自身需要来确定控制目标与控制措施戴明环PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。PDCA特点2022/8/652 大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小

24、环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。PDCA特点(续)2022/8/653 不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCAPDCA和ISMS的结合2022/8/654ISO27001：2013标准正文内容简介2022/8/655ISO27001 信息安全管理体系建设内容2022/8/656总要求 一个组织应在其整体业务活动和所

25、面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于下图所示的PDCA模型。 建立和管理ISMS建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标准备适用性声明（SoA）取得管理层对残留风险的承认，并授权实施和操作ISMSPDCAISO27001 信息安全管理体系建设(续)2022/8/657实施和运行ISMS(DO)制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源实施能够激发安全事件检测和响应的程

26、序和控制PDCAISO27001 信息安全管理体系建设(续)2022/8/658 监控和评审ISMS(CHECK)执行监视程序和控制对ISMS 的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS 审计定期对ISMS 进行管理复审记录活动和事件可能对ISMS 的效力或执行力度造成影响PDCAISO27001 信息安全管理体系建设(续)2022/8/659 保持和改进ISMS(ACT)对ISMS 实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标PDCAISO27001 信息安全管理体系建设(续)2022/8/660 文件要求总则文件控制

27、记录控制 ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。ISO27001 信息安全管理体系建设(续)2022/8/661ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，由四个层次构成：信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）：信息安全方针风险评估报告适用性声明（SoA）二级文件：各类程序文件。至少包括（可能不限于此）：风险评估流程风险管理流程风险处理计划 管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及