CISM0302信息安全管理体系-V30(XXXX年)

1、信息安全管理体系中国信息安全测评中心版本：3.01课程内容信息安全管理信息安全管理体系信息安全管理控制措施信息安全管理体系概念信息安全管理基础2知识体：信息安全管理体系知识域：信息安全管理体系概念理解信息安全管理体系（ISMS）的概念和核心过程了解信息安全管理体系文档要求了解ISO/IEC 27000标准族33管理体系相关概念4体系相互关联和相互作用的一组要素 （- ISO9000:2005 质量管理体系 基础和术语）管理体系：建立方针和目标并达到目标的体系 （- ISO9000:2005 质量管理体系 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架 （- ISO/IEC 270

2、00:2009 信息技术 安全技术 信息安全管理体系 概述和术语）4管理体系5ISO9000 质量管理体系ISO14000 环境管理体系OHSAS 职业健康安全管理体系ISO/IEC27000 信息安全管理体系ISO/IEC20000 服务管理体系ISO22000食品安全管理体系管理体系Management System5信息安全管理体系什么是信息安全管理体系Information Security Management System，ISMS是管理体系方法在信息安全领域的运用信息安全管理体系ISMS6信息安全管理体系信息安全管理体系是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、

3、运行、监视、评审、保持和改进信息安全的体系一般地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，这些要素既相互关联，又相互作用7信息安全管理体系的作用对内形成单位可自我持续改进的信息安全管理机制使信息安全的角色和职责清晰，并落实到人确保实现动态的、系统的、制度化的信息安全管理有利于根本上保证业务的连续性，提高市场竞争力对外能够使客户、业务伙伴对单位信息安全充满信心有助于界定外包双方的信息安全责任可以使单位更好地满足审计要求和符合法律法规保证和外部数据交换中的信息安全8作用解释ISMS是一个通用的信息安全管理指

4、南不是说明“怎么做”的详细细节而是具有普遍意义的安全操作规则指南指导单位在信息安全管理方面要做什么，如何选择适宜的安全管理控制措施ISMS过程信息安全管理体系标准要求建立ISMS过程制定信息安全策略，确定体系范围，明确管理职责单位应该实施、维护和持续改进该体系，保持其有效性9ISMS过程相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do改进Act10建立ISMS建立ISMS，PLAN主要工作定义ISMS范围和边界ISMS范围说明书：组织结构范围、业务范围、信息系统范围和物理范围制定ISMS方针和策略实

5、施风险评估识别风险、分析和评价风险11实施和运行ISMS实施和运行ISMS，DO主要工作制定风险处理计划实施风险处理计划制定有效性测量程序管理ISMS的运行12监视和评审ISMS监视和评审ISMS，CHECK主要工作日常监视和检查有效性测量内部审核风险再评估管理评审13保持和改进ISMS保持和改进ISMS，ACT主要工作实施纠正和预防措施持续改进ISMS沟通措施改进情况14ISMS的核心过程可以概括为4句话 规定你应该做什么并形成文件：P做文件已规定的事情：D评审你所做的事情的符合性：C采取纠正和预防措施，持续改进：A用PDCA来理解什么是信息安全管理体系1515一级文档：宏观方针性文档二级文

6、档：管控程序及管理制度性文档三级文档：操作指南及作业指导书类四级文档：体系运行的各种记录下级文件应支持上级文件。 信息安全管理体系文档要求16BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础 1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则 1998年2月 英国公布BS 7799-2:信息安全管理体系要求,19

7、99年4月修订 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799:2000信息安全管理实用规则 2002年9月 BSI对BS 7799-2进行了改版 2005年6月 ISO 17799:2000改版，成为ISO/IEC 17799:2005 2005年10月 ISO正式采用BS 7799-2:2002，命名为ISO/IEC 27001:2005 2007年7月 ISO 17799:2005归入ISO 27000系列，命名为ISO/IEC 27002:2005 2008年6月- 中国等同采用ISO 27001:2

8、005, 命名为GB/T 22080-2008 中国等同采用ISO 27002:2005, 命名为GB/T 22081-2008 2013年10月 ISO正式发布ISO/IEC 27001:2013和ISO/IEC 27002:2013ISO/IEC 27000标准簇介绍1717BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000标准簇介绍BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系181819ISO/IEC 27000系

9、列已经制定标准：21个正在制定标准：11个ISO/IEC 27000标准簇介绍19ISMS标准我国采标情况各国等同采标我国采标情况序号国际标准采标形式国家标准1ISO/IEC 27000:2009等同采用信息安全管理体系概述和词汇（GB/T 29246-2012）2ISO/IEC 27001:2005等同采用信息安全管理体系 要求（GBT 22080-2008）3ISO/IEC 27002:2005等同采用信息安全管理实用规则（GB/T 22081-2008）4ISO/IEC 27006:2007等同采用信息安全管理体系审核认证机构的要求（GB/T 25067-2010）20知识体：信息安全管

10、理体系知识域：信息安全管理控制措施了解信息安全管理控制措施的作用理解安全方针、信息安全组织、资产管理、人力资源管理、物理和环境安全等管理域的控制目标和主要控制措施了解通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理等管理域的控制目标和控制措施21信息安全控制措施控制措施是实施信息安全管理的方法和手段单位通过实施一组适当的安全控制措施，保护信息资产，抵御威胁并减少系统脆弱性，降低安全风险，达到信息安全目标控制措施涉及行政、技术和管理等方面如何制定信息安全控制措施自己制定本单位的信息安全管理控制措施学习别人实践经验，参考国际/国家标准信息安全管理实用规则（ISO

11、27002）信息安全管理实用规则（GB/T 22081）22ISMS信息安全管理域信息安全管理实用规则（ISO 27002:2005）信息安全管理实用规则（GB/T 22081-2008）23信息安全管理实用规则（GB/T 22081-2008）11个域39个目标133个控制措施24信息安全管理实用规则每个主要安全域，包括：控制目标，声明要实现什么一个或多个控制措施，用于实现该控制目标每个（安全）控制措施的描述内容控制措施：是对该控制措施的定义实施指南：是对实施该控制措施的指导性说明其它信息：其它需要说明的补充信息，如法律考虑25什么是控制措施什么是控制措施管理风险的方法。为达成企业目标提供合

12、理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制 不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用261.安全方针27Why?有没有遇到过这样的事情？案例1有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”案例2据说作为管理人员要把个人计算机的登录口令设置好，怎么设置才符合要求呢？这些问题需要先在“安全方针”中寻找答案28安全方针控制目标控制目标制定信息安全方针评审信息安全方针信息安全方针

13、应该做到对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程29具体解释信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求，为安全管理工作提供指导和支持信息安全方针应当说明以下问题：本单位信息安全的整体目标、范围以及重要性；信息安全工作的基本原则；风险评估和风险控制措施的架构；需要遵守的法规和制度；信息安全责任分配；信息系统用户和运行维护人员应该遵守的规则30关键点主要内容一般包括信息安全的整体目标、范围、原

14、则、控制措施的框架、重要安全策略和需要遵守的各项规定等信息安全方针文件应由高层管理者审批后，作为正式文件发布，并有效传达给所有员工信息安全方针不是一成不变的，要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整31举例XX系统信息安全总体策略安全方针概述XX系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是XX系统的关键资产信息的可用性、完整性和保密性是信息安全的基本要素，关系到XX机关的形象和业务的持续运行。必须保护这些资产不受威胁侵害定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任32举例XX系统信息安全总体策略安全方针概述资产分类和控制信息分类资产

15、分类：信息资产，包括计算机和网络，应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法，并根据分级和分类办法制定明晰的资产清单敏感信息、关键信息资产的可审计性计算机和网络的运行管理332.信息安全组织34Why?有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？ 应该有一群人，至少包括单位领导、技术部门和行政部门的人，组织在一起，专

16、门负责信息安全的事35控制目标控制目标内部组织在组织内部建立信息安全框架外部组织识别和控制外部合作过程中的风险，保证单位信息和信息系统安全性36具体解释为有效实施信息安全管理，保障和实施系统的信息安全，需要建立相应的组织架构信息安全责任的重要性在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步 37控制措施内部组织内部组织目标：在组织内管理信息安全八个控制措施管理层重视协调信息安全活动分配信息安全职责新设备和系统授权保密协议与政府部门的联系与特定组织机构的联系信息安全的独立评审38关键点高层管理者参与（如本单位信息化领导小组），

17、负责重大决策，提供资源并对工作方向、职责分配给出清晰的说明不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合1.企业内部达成共识2.组织的安全建立责任分工划分3.避免流于形式或作假39内部组织举例信息安全领导小组信息技术部门业务应用部门安全保卫部门人事行政部门其他有关部门 信息安全工作和其他工作一样，不是某个个人、某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构，但不是全部。40信息安全领导小组信息安全领导小组信息安全领导小组是各级系统网络与信息安全工作的最高领导决策机构不隶属于任何部门，直接对本单位最高领导

18、负责是一个常设机构领导小组成员一般由各级系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加41领导小组责任领导小组责任落实XX系统安全建设的总体规划制定本单位安全规划并监督落实负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度负责本单位信息系统安全管理层以上的人员权限授予工作审阅本单位信息安全报告组织重大安全事故查处与汇报工作42责任划分信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任安全保卫部门对场地以及系统资产的防灾、防盗、防破坏等承担管理责任人事行政部门从人事、行政上对信息安全保障执行

19、管理工作其他有关部门应与上述部门协作，共同对信息系统的建设和运行维护承担管理责任 43控制措施外部各方外部各方目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全三个控制措施识别外部各方风险处理与顾客有关的安全问题处理第三方协议中的安全问题访问风险：1.维护软件设备的承包商2.清洁、送餐人员3.外部咨询人员44关键点要注意充分理由外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系要注意外来风险，如与第三方机构签订保密协议，监督和限制其活动等 例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电

20、力部门可以开个发电车来解决关键信息系统临时电力供应453、 资产管理46Why？那些曾经发生过的事案例1单位欲安装一台网络防火墙，却发现没有人可以说清楚当前的真实网络拓扑情况，也没有人能说清楚系统中有哪些服务器，这些服务器运行了哪些应用系统案例2单位信息安全评估，发现大部分服务器安全状况良好，只有一台服务器存在严重安全漏洞。研究整改措施时，发现平时没有人对该服务器的安全负责47资产管理目标目标对资产负责实现并保持组织资产的适当保护信息分类确保对信息资产的保护达到恰当的水平包含的内容组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产按照信息资产所属系统或所在部门列出资产清单所有的信息资产都

21、应该具有指定的属主并且可以被追溯责任信息应该被分类，以标明其需求、优先级和保护程度根据组织采用的分类方案，为信息标注和处理定义一套合适的程序48资产管理信息安全管理工作的根本目的是保护系统中的资产资产包括信息资产：业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件资产：应用软件、系统软件、开发工具等物理资产：计算机设备、通信设备、存储介质等服务：通信服务、公用设施（供暖、照明、能源）等人员：他们的资格、技能和经验无形资产：品牌、声誉和形象49资产管理控制目标控制目标对资产负责信息分类50控制措施对资产负责对资产负责列出资产清单，明确保护对象准确识别资产，编制清单，形成文

22、件括资产类型、位置、备份信息和业务价值等内容为资产指定责任人，明确安全负责“责任人”不一定是指具有资产所有权的人，而是指具有控制生产、开发、使用和保护资产权限的个人或实体确定资产的使用限制条件,合法使用资产管理是信息安全管理的重要内容51控制措施信息分类信息分类分类指南根据信息的价值、法律要求和对组织的敏感程度和关键性进行分类信息标记和处理信息类别标记，设置合适的分类说明如表明文件的密级、存储介质分类的标签规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序 对信息分类是使信息受到适当级别的保护，在处理信息时指明保护的需求、优先级和期望程度52关键点建议分类方法不宜复杂，否则容易造成混乱每

23、种分类应唯一区别于其它分类，同时不能有任何重叠分类过程还应简单说明如何在其生命周期内控制并处理53举例商业公司和军事机构信息分类组织分类类别定义实例商业公司公共即使泄漏不会给公司或个人造成不利影响有多少人完成某个项私有可能给公司或个人带来不利影响人事资源信息军事机构绝密如果泄漏会给国家安全带来毁灭性破坏新型战时武器设计图秘密给国家安全造成重大威胁部队分布及部署不保密非保密信息计算机通用学习手册544.人力资源安全55Why?那些曾经发生过的事案例一2010年3月中旬，汇丰控股发布公告，其旗下汇丰私人银行(瑞士)的一名IT员工，曾于三年前窃取了银行客户的资料，失窃的资料涉及1.5万名于2006年

24、10月前在瑞士开户的现有客户。有鉴于此，汇丰银行三年来共投放1亿瑞士法郎，用来将IT系统升级并加强保安案例二论语“吾恐季孙之忧，不在颛臾，而在萧墙之内也”萧墙之祸比喻灾祸、变乱由内部原因所致56人力资源安全目标目标：任用前确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，降低设施被窃、欺诈和误用的风险任用中确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险任用终止及变更确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种规范的方式进行57控制措施任用前任用（上岗）前明确人员遵守安

25、全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录要在合同或专门的协议中，明确其信息安全职责58控制措施任用中任用中保证其充分了解所在岗位的信息安全角色和职责有针对性地进行信息安全意识教育和技能培训及时有效的纪律处理（惩戒）措施59控制措施任用终止及变更离职人员存在的安全隐患未删除的帐户未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用其它隐含信息网络机构、规划，存在的漏洞同事的账户、口令和使用习惯等这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息安全事件60控制措施任用终

26、止及变更以规范的方式退出单位或改变其任用关系终止职责通知相关人员人事变化，明确离职后仍需遵守的责任规定归还资产保证离职人员归还软件、电脑、存储设备、文件和其他设备撤销访问权限撤销用户名、门禁卡、密钥、数字证书等61举例任用中安全管理员工缺乏基本的安全意识，特别是一些业务人员等，没有进行统一的、系统的安全培训和学习的机会由于员工对发生安全问题后造成的后果不负任何责任，从而也就不能有效的督促员工提高自己的安全意识，最终形成恶性循环、导致员工不能严格遵循公司的安全管理制度个人电脑的密码设置为空或者非常脆弱系统默认安装，从不进行补丁升级拨号上网，给个人以及整个公司带来后门启动众多不用的服务 人员层次不

27、同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举625、 物理和环境安全63Why？那些曾经发生过的事案例1竞争对手潜入机房，直接用移动硬盘将服务器中的重要数据拷贝走案例2机房中温度过高，导致计算机无法正常运行，造成业务中断，全国性服务停止超过1天64物理和环境安全目标目标：安全区域防止非授权访问、破坏和干扰业务运行的前提条件及信息设备安全预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰包含的内容：应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所，或者准备报废时，应考虑其安全65

28、安全区域-1物理安全边界建立安全边界，形成安全区域物理入口控制必须弄清来访者的身份，并将其进入与离开安全区域的日期与时间记录起来所有人员配戴识别证66安全区域-2房间和设施的安全保护关键设施要坐落在可避免公众访问的场地保护标识敏感信息处理设施位置的目录和内部电话簿不被公众得到外部和环境威胁的安全防护设计物理保护措施，防止火灾、洪水、地震、爆炸、社会动荡和其他形式自然或人为灾难引起的破坏在合适的位置提供灭火设备加固设施，防止屋顶漏水或地下室地板渗水67安全区域-3安全区域工作防护未使用的安全区域，应加锁以限制访问并定期检查避免写入“机房重地，请勿进入”的字样应限制授权，一般不允许携带摄影、视频、

29、声频或其他记录设备进入公共访问和交接区安全访问点（例如交接区）和未授权人员可进入办公场所的地点应加以控制，避免未授权访问除交接区外，交货人员无需获得对本建筑物其他部分的访问权就能卸下物资当内部门打开时，交接区的外部门应得到安全保护68设备安全-1设备安置和保护为不同设备划分不同区域进行安置和保护，尽量限制对工作区域不必要的访问通过楼房建筑和机房装修要求，防范偷窃、火灾、爆炸、烟雾、尘埃、震动、电源干扰支持性设施保护设备使其免于由支持性设施失效引起故障定期检查并测试支持性设施制定电源计划，如多回路供电、UPS、发电机等保障（空调）用水保障通信线路69设备安全-2布缆安全保证传输数据或支持信息服务

30、的电源电缆和通信电缆免受窃听或损坏电力线路应与通讯线路隔离，以避免相互干扰设备维护正确维护单位设备，保证其持续的可用性和完整性按照推荐的服务间隔与规范，对设备进行维护只有已授权的维护人员才能修理设备删除敏感信息或保证维护人员可靠性70设备安全-3组织场所外的设备安全在单位场所外使用信息处理设备，必须经过授权离开办公场所的设备要有合理的保护措施设备的安全处置和再利用对于储存敏感信息的储存设备，必须销毁或是重写重灌数据资料，不可以只使用简单的删除功能。资产的移动设备、信息或软件应根据授权确定是否允许带出单位场所，并进行控制和记录设置设备允许离开的时间，并作符合性检查和记录71举例1访问控制措施卡访

31、问控制或生物特征系统磁卡、非接触卡等指纹、视网膜扫描、签名、声音识别、手形等等72举例2物理监控措施周边入侵检测系统用来探测未经授权而进入的人，并发出警报现在最常用的入侵监测系统是机电式的，能够探测到电路的变化或断路，例如：窗户贴，绷紧线等一个常被忽略的脆弱点报警系统监控系统使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统与广播电视是不同的，监控系统的信号不是公开传输的736、通信和操作管理74通信和操作管理信息系统日常运行安全是信息安全管理的主要组成部分为减少人为疏忽或故意误用信息系统的几率和风险，使信息系统在运行过程中的安全性得到保证，应当确立信息处理设施的管理和操作责任及程序

32、75Why？案例案例12007年8月30日，美国空军一架B-52战略轰炸机误装6枚核弹后，从北部的北达科他州实弹飞往南部的路易斯安那州案例2数据库管理员由于疏忽进行了误操作,将重要的信息删除了案例3涉密计算机出现故障硬盘数据丢失，使用人员将硬盘拿到社会上的数据恢复公司进行恢复，造成秘密泄露76通信和操作管理目标（1）目标：操作程序和责任确保正确、安全的操作信息处理设施第三方服务交付管理核查协议实施，确保第三方交付的服务符合要求系统规划与验收减少系统失效带来的风险防范恶意代码和移动代码保护软件和信息的完整性备份保持信息和信息处理设施的完整性和可用性77通信和操作管理目标（2）目标：网络安全管理确

33、保对网络中信息和支持性基础设施的安全保护介质处置防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰信息的交换应保持组织内部或组织与外部组织之间交换信息和软件的安全电子商务服务确保电子商务的安全及其安全使用监视检测未经授权的信息处理活动，记录信息安全事态78举例介质的处置要建立安全处置介质的正式规程不再需要的介质，要可靠并安全地处置物理破坏、安全删除797、访问控制80Why?案例1：飞机登机，旅客的身份证号区别了不同的人，身份证证明确实是这名旅客来乘机，安检人员察看身份证和登机牌，扫描违禁物品后允许乘客登上机票中规定的航班案例2：登录网站，用户ID区别了不同的用户，输入登录密码确定是这位用户，网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能81访问控制访问控制是防止对资源的未授权访问，保证资源在授权范围内使用访问控制是对主体访问客体权限或能力的一种限制，可从物理层、主机层、网络层以及应用层设置多种控制手段来达到目标82控制目标业务需求控制对信息的访问用户访问管理确保授权用户的访问，防止非授权访问用户职责防止未授权用户的访问、损害或窃取网络访问控制防止对网络服务未经授权的访问操作系统访问控制防止对操作系统的未授权访问应用与信息访问控制防止对应用系统中信息的未授权访问移动计算和远程工作确保在使用移动计算和远程工作设施时信息的安全83举例系统和应用程序在登录