信息安全管理体系建设课件

信息安全管理体系建设绿盟科技信息安全管理体系建设绿盟科技目录CONTENTS

01信息安全管理体系简介

02信息安全管理体系价值

03信息安全管理体系实现方法04信息安全管理体系建设方案目录01信息安全管理体系简介2信息安全管理体系简介信息安全的概念管理的概念信息安全管理的概念信息安全管理体系与ISO27001信息安全管理体系简介信息安全的概念信息安全的概念信息安全计算机安全网络安全知识安全数据安全内容安全不同的声音信息安全的概念信息安全计算机安全网络安全知识安全数据安全内容4信息安全定义已有的几个定义ISO/IEC17799保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性。《美国联邦信息安全管理法案》（FISMA）保护信息与信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护完整性、保密性、可用性。《中华人民共和国计算机信息系统安全保护条例》第三条：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全、运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。信息安全定义已有的几个定义ISO/IEC17799保持信息5管理的定义管理管理学中的定义ISO/IEC9000:2000的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程控制和控制组织的协调活动管理的定义管理管理学中的定义ISO/IEC9000:20006管理的职能为组织确定任务、总之、目标；实现目标的战略、措施、程序；以及实现目标的时间表和预算。组织领导控制根据组织的目标、战略和内外环境设计组织结构，并为不同岗位配置人力资源的过程。对组织成员施加影响，以推动其实现组织目标的过程。衡量和纠正下属活动，以保证事态发展符合计划要求的过程。计划管理的职能为组织确定任务、总之、目标；实现目标的战略、措施、7信息安全管理的定义选择和采用的控制措施要全面覆盖主要风险132信息安全管理，是为了实现信息安全的目标，而进行的实践活动通过建立信息安全管理体系（InformationSecurityManagementSystem，简称ISMS），能够实现和达到信息安全的目标根据信息安全管理的国际标准ISO27001的定义，信息安全管理体系是基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系信息安全管理体系的建设和维护是一个动态的过程，其中包括了顺序上的各个环节建立信息安全管理体系，需要有正确的思路和方法，就是基于风险的方法信息安全管理的定义选择和采用的控制措施要全面覆盖主要风险138信息安全管理在IT管理中的位置Process流程People人员组织架构⑥IT综合管理Technology技术组织文化以流程为基础的IT管理理论：①IT服务管理

(ITIL/ISO20000)③项目管理

(PRINCE2/P3O/MSP)以风险为基础的IT管理理论：②信息安全与风险管理

(ISMS/ISO27001/BS10012)④业务连续性管理

(BCM/BS25999/ISO27031)⑤IT合规与审计IT风险IT价值IT生命周期活动识别风险和机会管理风险管理价值以控制为基础

IT治理（COBIT）平衡IT管理是人员，技术，流程在组织当中的整合IT管理的目标就是要在IT价值与IT风险之间取得平衡信息安全管理在IT管理中的位置Process流程Peopl9信息安全管理体系与ISO27000系列标准术语要求ISMS运作和审核的指南27000概要和术语27001ISMS要求27006认证机构认可要求27002实践规范27003实施指南27004指标与测量27005风险管理27007审核指南控制实施标准ISO/IEC27000系列标准以风险管理为基础，为企业建设信息安全管理体系提供了强有力的参考与支撑。信息安全管理体系与ISO27000系列标准术语要求ISMS10ISO27001信息安全管理体系建设框架A.15供应商关系相关方实施(D)策划(P)改进(A)检查(C)相关方A.14系统获取、开发和维护A.13通信安全A.7人力资源安全A.6信息安全组织A.5信息安全策略A.8资产管理A.9访问控制

A.10密码A.11物理和环境安全A.12操作安全硬件服务人员受控的

信息安全信息安全

要求和期望可用性完整性保密性A.16信息安全事件管理A.17业务连续性管理的信息安全方面A.18符合性软件数据ISO27001信息安全管理体系建设框架A.15供应商关11信息安全管理体系主要适用对象尤其是主业为集成电路芯片制造的组织。鉴于知识产权的重要性，客户明确要求必须在信息安全管理方面做出保证。半导体行业承担软件定制开发的很多企业，需要满足外部和客户明确提出的信息保护要求。软件开发行业保护客户信息、保证业务运转的可靠性和持续性，都是此行业组织实施ISMS并寻求认证的驱动力金融业和保险业由于牵涉到自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了必然。通讯行业信息安全管理体系主要适用对象尤其是主业为集成电路芯片制造的组12信息安全管理体系的主要活动制定信息安全目标和寻找实现目标的途径；建设信息安全组织机构，设置岗位、配置人员并分配职责；实施信息安全风险评估和管理；制定并实施信息安全策略；为实现信息安全目标提供资源并实施管理；信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。信息安全管理体系的主要活动制定信息安全目标和寻找实现目标的途13一个好的信息安全管理体系技术工具/技术措施策略制度流程操作指南过程记录岗位职责工作机制人员团队目标规划方针组织架构有武器有纪律有队伍有目标有组织一个好的信息安全管理体系技术工具/技术措施策略制度流程操作指14目录CONTENTS01信息安全管理体系简介02信息安全管理体系价值

03信息安全管理体系实现方法04信息安全管理体系建设方案目录01信息安全管理体系简介15信息安全管理体系的价值管理先行全局把控持续保障02信息安全管理体系的价值管理先行02信息安全管理体系的价值管理先行全局把控持续保障信息安全管理体系的价值三分技术，七分管理：信息安全问题不能只靠技术解决，安全管理的作用及其重要；把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全；没有绝对的安全状态，通过PDCA过程模式，对管理体系进行持续改进，保证系统在动态变化中保持安全目标；保证信息系统持续满足安全目标。信息安全管理体系的价值管理先行全局把控持续保障信息安全管理体17管理先行管理先行18管理先行的优势“唯技术论”很容易进入“头痛医头，脚痛医脚”的模式。1.同类型安全问题的解决方案难以沉淀，依赖技术人员的经验；2.无法发现企业根源的安全缺陷，真正解决根源问题；3.依赖大量的人力和资源投入，每一个安全问题都需要技术人员全程投入。管理主导，统筹技术，集中资源协调解决才能真正解决安全问题1.完善地解决安全问题，确保每一个安全问题从被发现、分析、处理、监控到被妥善处置的每一步都有可依据的管理方案，并依据方案真正地解决根源问题；2.集中资源处理安全问题，大大提升解决安全问题的效率，从分散投入人员解决独立问题转变为利用体系优势协调合作解决安全问题，大幅提升效率；3.将人员的能力与经验固化为具有可行性的解决方案，使企业不再只依赖技术人员的经验与技能，而是通过管理体系的资源解决安全问题。管理先行的优势“唯技术论”很容易进入“头痛医头，脚痛医脚”的19全局把控信息数据信息资产人员任职供应商项目硬件设备移动介质采购的软件开发的应用网络与系统密钥其他账号权限信息安全事件生成存储处理/传输备份/归档删除销毁前：筛选/入职中：能力/责任/意识后：转岗/离职前：筛选/合同中：监督/评价后：交接/验收容量计划采购/入库上架/投产监控/巡检下架/淘汰/报废登记/授权/发放保管使用回收销毁申请/采购登记/授权使用回收升级/淘汰需求分析设计/编码测试/验收维护/升级下线规划设计部署实施监控/巡检补丁升级改造/优化申请/审批授权/分配使用审计注销/回收事态监控/报告评判处理/上报升级证据收集总结/改进生成存储归档/检索分发回收销毁全方位建设安全管理体系，无死角地定位、分析、解决安全问题。全局把控信息数据信人员任职供应商项目硬件设备移动介质采购的软20全局把控：数据生命周期安全管理（例）数据采集数据收集和获取情况数据分类情况数据分级情况数据传输传输保密性控制措施传输完整性控制措施网络边界安全网络可用性管理数据存储数据存储加密数据备份和恢复数据库安全维护数据访问控制数据归档与时效性数据处理数据交换数据交换的必要性数据交换的合法性数据销毁介质使用管理数据销毁处置介质销毁处置数据正当使用数据脱敏数据权限管理数据生命周期各阶段安全要求数据生命周期通用安全要求数据安全策略与制度组织及人员管理合规性管理系统建设系统运维网络和通信安全第三方服务基础环境设备和计算安全数据安全事件应急处置安全监控安全审计以数据生命周期为例，在数据全生命周期中数据资产面临着来自各方面、以各种形式存在的安全威胁。信息安全管理体系的建设便是从顶层设计出发由上而下地推动信息系统有效地解决安全威胁。全局把控：数据生命周期安全管理（例）数据采集数据收集和获取情21全局把控：安全事件管理（例）

自上而下的处理职责和规程自下而上的报告报告

信息安全弱点报告

信息安全事态评估和确定信息安全事态信息安全事件响应对信息安全事件的总结证据的收集全局把控：安全事件管理（例）自上而下的处理职责和规程自下而22持续保障威胁脆弱性事件资产具有利用导致损失破坏信息安全保障的本质就是面向风险、持续改进的过程企业信息安全保障不可一蹴而就，只有在动态中不断监控信息系统面临的风险，并通过不断地改进和优化来处置安全风险，才能在动态中使信息系统保持最佳的运营状态。持续保障威胁脆弱性事件资产具有利用导致损失破坏信息安全保障的23信息安全管理体系实现方法方法论与建设流程风险管理概述风险评估流程03信息安全管理体系实现方法方法论与建设流程03方法论与建设流程信息安全管理体系建设核心思想：PDCA信息安全管理体系建设流程方法论与建设流程信息安全管理体系建设核心思想：PDCA25信息安全管理体系建设核心思想：PDCA信息安全管理体系建设核心思想：PDCA26更高视角的PDCA管理过程4.2.1建立ISMS4.2.2实施和运行ISMS4.2.4维护和改造ISMS4.2.3监视和评审ISMS4.信息全管理体系5.管理职责5.1管理承诺5.2资源管理8.ISMS改进8.1持续改进8.2纠正性措施8.3预防性措施6.内部评审7.管理评审7.2评审输入7.3评审输出PDCA更高视角的PDCA管理过程4.2.1建立ISMS4.2.227ISO27003信息安全管理体系建设流程4.组织环境5.领导力6.规划7.支持8.运行9.绩效评价10.改进理解组织及其环境理解相关方的

需求和期望确定ISMS的

范围ISMS领导力与承诺方针组织角色、职责和权限应对风险和机会的措施信息安全目标

和实现计划资源能力意识沟通文件化信息运行的策划

与控制信息安全风险评估信息安全风险处置监视、测量、分析和评价内部审核管理评审不符合和纠正措施持续改进计划（Plan）执行（Do）检查（Check）改进（Act）ISO27003信息安全管理体系建设流程4.组织环境5.领28风险管理风险管理概述风险管理模型管理过程风险管理风险管理概述29风险管理概述残余风险接受基于风险管理的持续改进风险处置投资有效心里有数心里有底风险可控风险识别风险监控信息安全管理的精髓：风险管理与持续改进风险管理概述残余风险接受基于风险管理风险处置投资有效心里有数30风险管理模型风险管理模型（ISO31000）构建环境风险识别风险分析风险评价风险处置沟通与协商监控与评审ISO27001:2013第4章ISO27001:2013第9章ISO27001:2013第7章ISO27001:2013第6.1.3节ISO27001:2013第6.1.2节风险管理模型风险管理模型（ISO31000）构建环境风险识31管理过程风险评估准备信息识别信息载体识别风险场景识别已有安全措施的确认风险计算保持已有安全措施制定风险处理计划并评估残余风险实施风险管理风险是否接受是否接受残余风险GB/T20984-2007管理过程风险评估准备信息识别信息载体识别风险场景识别已有安全32风险评估流程风险评估概述评估准备风险识别风险分析风险评价风险处置风险评估流程风险评估概述33风险评估概述信息载体风险信息信息价值安全需求安全措施残余风险具有依赖依赖导出引发未控制降低面临可能性影响度降低安全事件决定决定引发影响---风险评估原理示意图风险评估概述信息载体风险信息信息价值安全需求安全措施残余风险34风险评估概述根据ISO27001:2013标准，风险评估采用何种方法不作要求，只要能识别出风险即可。在IT管理领域，可采用的常见评估方法：影响度/可能性分析：针对特定的系统、服务或管理领域梳理风险场景，分析风险发生导致后果造成的影响程度，以及该风险发生的概率（可能性）；差距评估：如有相关标准或法规作为评估依据，或相关方给定了检查项清单（Checklist），可直接采用“对标”式的差距分析方法，识别相关合规性风险；头脑风暴：针对特定的管理或技术领域，组织相关人员进行头脑风暴，穷举该领域范围内存在的问题和潜在风险；失效模式和效应分析：针对特定的系统、服务，采取失效模式和效应分析（FMEA），梳理服务或服务组件发生故障的场景，分析这些故障的影响、潜在原因，识别可以降低或避免故障影响的方法；业务影响分析：在连续性管理流程中，采取业务影响分析（BIA）方法，识别系统、服务的目标恢复要求（RTO、RPO）、最低运营要求（MOR），分析当前存在的差距和解决方案。以下介绍的评估方法，按照“影响度/可能性”模型设计。---风险评估方法选择风险评估概述根据ISO27001:2013标准，风险评估35评估准备准备内容：确定评估目标、范围；确定评估依据和方法：适用的管理体系和法律法规、监管要求；选择适用的风险评估方法；确认风险评价和风险接受准则；组建风险评估团队；听取最高管理者对本次风险评估的指示。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。评估准备准备内容：组织实施风险评估是一种战略性的考虑，其结果36风险识别：识别信息及其载体保密性可用性完整性People人Process、Services流程、服务Media、Equipment介质、设备Software数据库、应用软件、操作系统Information

信息保密性：信息只对授权的个人、主体或流程可用的特性完整性：保护信息的精确与完整的特性可用性：在需要时，被授权的主体可访问和可使用的特性信息价值：风险识别：识别信息及其载体保密性可用性完整性PeoplePr37风险识别：识别信息及其载体保密性赋值（C）描述赋值等级5高仅限少数人知悉，关乎企业的重大利益或竞争力，如果泄露会造成非常严重的损害。3中影响企业利益，如果泄露可能会造成一定程度的损害。1低可以对外公开。完整性赋值（I）描述赋值等级5高未经授权的修改或破坏，将难以恢复，会对企业的形象、利益造成难以弥补的重大影响。3中未经授权的修改或破坏，会对企业利益造成一定程度的冲击，但可以弥补。1低未经授权的修改或破坏，造成的影响可以忽略不计。可用性赋值（A）描述赋值等级5高不可用或不可访问时，对业务有严重影响，必须优先恢复，可用性要求极高。3中不可用或不可访问时，对业务有一定影响，应尽快恢复，可用性要求较高。1低不可用或不可访问时，对业务的影响较小，恢复时间要求不高，可用性要求相对较低。风险识别：识别信息及其载体保密性赋值（C）描述赋值等级5高仅38风险识别：风险场景举例：硬件：硬件设备及电子介质（服务器、存储、磁带及其他移动介质等）故障，导致其创建、存储、传输、处理的信息丢失或不可访问软件：软件（应用软件、系统软件、工具软件等）故障，导致其创建、存储、传输、处理、访问的信息损毁、丢失或不可访问纸质记录：纸质文件由于不耐火、不耐水、不耐虫蛀鼠咬等原因而损毁流程：流程步骤不合规、不落地，职责不明确，或者缺乏必要的资源支持，导致流程输出信息不可用服务：与供方的合同或服务级别协议不清晰，权责划分不清，供方服务不稳定或中止，发生知识产权归属纠纷，影响我方IT服务及相关信息的可用性人员：人员法律意识、安全意识不足，无意中或受到外部社会工程学攻击（引诱、胁迫、欺骗等）引发敏感信息泄漏基于“信息载体”的风险场景识别：确定识别风险场景的维度：信息载体类型、风险来源风险场景是否符合实际环境风险场景主要影响信息的C、I、A哪项属性风险识别：风险场景举例：基于“信息载体”的风险场景识别：39风险分析理解风险性质、确定风险级别：识别风险的后果严重性（影响度）估算风险发生的概率（可能性）确定风险的级别：计算风险可能性和影响度时需要考虑当前已有的控制措施以及控制的有效性可能性赋值时需要考虑防范风险发生的控制措施以及控制影响度赋值时需要考虑风险发生后的补救措施风险值=信息价值×影响度×可能性风险分析理解风险性质、确定风险级别：风险值=信息价值×40风险分析：分析结果赋值可能性赋值描述赋值等级5高基于现有的安全控制措施，该风险极有可能会发生；或

曾经发生多次（平均每年1次或1次以上）；或

曾经偶尔发生（平均每年少于1次），但发生频率呈上升趋势。3中基于现有的安全控制措施，该风险较有可能会发生；或

曾经偶尔发生（平均每年少于1次）；或

虽然尚未发生过，但无法保证其不会发生。1低基于现有的安全控制措施，该风险发生的可能性较小；或

过去极少发生（如：历史上仅1次），且以后也几乎不会发生。影响度赋值描述赋值等级5高风险发生后，现有安全控制措施无法有效应对，造成的损害是严重且难以弥补的，或者需要很长时间才能恢复，面临着上级/监管压力、客户压力和舆论压力。3中风险发生后，现有安全控制措施可以适当发挥作用，造成一定的损害但可以弥补，或者可以在较短时间内恢复。1低风险发生后，现有安全控制措施基本可以应对，造成的损害可忽略不计，或者可以迅速恢复。风险分析：分析结果赋值可能性赋值描述赋值等级5高基于现有的安41风险评价对识别出的风险的严重程度，按照风险评价准则进行比较，以确定是否可接受，是否需要处置。风险接受准则：最终确认是否处置，应由最高管理层及各风险责任人（RiskOwner）进行确认。不可接受的风险（高）不可接受的风险（中）可接受的风险（低）………………………默认需要处置是否处置待定默认不需处置风险清单风险评价对识别出的风险的严重程度，按照风险评价准则进行比较，42风险处置经济合理性（处置风险控制措施越多越严格，成本越高）法律法规、监管要求合规性与企业文化的一致性利益相关方的观点社会责任，如：环境因素对组织内的其他方或利益相关方的影响执行中的工作习惯、观点和认知……风险级别处置成本风险处置经济合理性（处置风险控制措施越多越严格，成本越高）风43风险处置风险削弱（Riskreduction）风险保留（Riskretention）风险规避（Riskavoidance）风险转移（Risktransfer）风险处置风险削弱（Riskreduction）风险保留（R44信息安全管理体系建设方案建设信息安全管理体系的关键因素第一阶段–实施准备与差距分析第二阶段-设计与发布第三阶段-运行与监控04信息安全管理体系建设方案建设信息安全管理体系的关键因素04建设信息安全管理体系的关键因素业务安全目标日常安全活动与其他管理体系企业文化管理层承诺监控、指导和评审培训宣贯对业务安全需求的吻合度组织管理风格的一致性必要的管理层支持有效的测量有效的推广指标评价建设信息安全管理体系的关键因素业务安全目标与其他管理体系管理46绿盟科技信息安全管理体系建设方案项目总结运行与监控项目准备与差距分析设计与发布项目范围确定安全方针建立业务安全需求和现状调研差距分析风险分析信息安全培训体系设计管理制度补充/优化安全基础手册编写体系分发和宣贯运行监控信息安全培训预防性改进和纠正性改进安全管理体系文件试运行报告有效性测量程序部分可参考测量指标培训项目总结与改进计划DOCHECKACT绿盟科技工作小组客户工作小组绿盟科技工作小组客户工作小组绿盟科技工作小组客户工作小组绿盟科技工作小组客户工作小组ISMS项目计划现状调研报告差距分析报告风险处置计划培训PLAN阶段主要任务主要交付品工作小组知识共享、项目沟通绿盟科技信息安全管理体系建设方案项目总结运行与监控项目准备设47第一阶段–实施准备与差距分析关键任务分解团队角色与责任绿盟科技客户1.项目启动会议双方确定项目范围，建立绿盟科技项目组和客户项目组，确定双方职责和沟通机制，制定详细的项目计划明确项目执行时双方配合方式协助客户确定安全管理组织架构、安全方针深入了解客户网络与信息安全现状引导并协助客户进行风险识别完成业务安全现状调研和差距分析提供培训和知识传递确定信息安全管理总目标和总原则确定信息安全管理组织架构协助业务安全需求、现状访谈与分析完成主要风险识别协助各类资料文档收集2.信息安全培训信息安全风险培训3.网络与信息安全现状分析确定网络与信息安全组织架构以及角色和职责业务安全需求和现状访谈/调研主要风险识别4.差距分析依据业界安全管理框架和最佳实践进行网络与信息安全差距分析第一阶段–实施准备与差距分析关键任务分解团队角色与责任绿48第二阶段-设计与发布关键任务分解团队角色与责任绿盟科技客户1.安全管理体系设计规划文件体系架构与清单编写信息安全手册编写信息安全作业程序、指导书、模板等制定安全管理体系，包括手册、作业程序、指导书、模板等提供相关资料（拓扑、制度文档、记录）参与部分制度文档编写、讨论和确认工作第二阶段-设计与发布关键任务分解团队角色与责任绿盟科技客第二阶段-设计与发布ISMS策略ISMS程序、流程工作指导书、操作说明、模板、检查表等文档、记录1级2级3级4级第一级信息安全方针信息安全管理手册信息安全管理评审程序信息安全内审管理程序纠正和预防措施管理程序文档记录管控程序有效性测量程序信息资产分类标准风险评估实施指南信息保密管理办法人员安全管理程序培训管理规定第三方安全管理规定第三方安全管理规定机房安全管理规定办公区域安全管理规定系统试运行审查规定系统安全管理规范网络运维管理规范IT终端设备使用管理规范变更管理规定帐户安全管理规范防病毒管理策略其它第二级第三级脆弱性检查列表威胁检查表内部审计检查项文件加密指南移动办公守则其它第四级审计报告日志检查表其它以ISO/IEC27000为依据，我们将帮助客户建立一个文件化的安全管理体系,包括：制定信息安全方针和手册和制度，并规划信息安全文件架构与控点对应，并且开发作业指导书、记录的相关模板体系文件发布。第二阶段-设计与发布ISMSISMS工作指导书、操作说明第三阶段-运行与监控关键任务分解团队角色与责任绿盟科技客户1.体系发布、运行和宣贯相关策略和制度进行发布和试运行内部宣贯协助导入测量程序并提供相应参考测量指标协助对体系运行情况进行监控提供培训和知识传递内部发布与宣贯制定测量指标执行内部审计安全事件收集监控体系运行效果2.测量与监控根据测量程序对制度相关内容进行测量和监控记录安全事件和事故发掘可能存在不足第三阶段-运行与监控关键任务分解团队角色与责任绿盟科技客第三阶段-运行与监控我们将协助客户建立对ISMS运行监控和度量的机制，使企业内部能够通过多视角对网络与信息安全的运行情况进行了解。测量内容安全策略标准资产管理风险管理员工意识帐号与权限变更管理物理安全业务连续性IT终端安全防病毒安全相关部门合格率月度安全事件监控关键指标示例：策略更新频率安全策略总体符合情况单个标准符合情况…关键指标示例：未经授权(/未及时授权)的权限变更(增删改)数量未及时删除/挂起的帐号或权限数量帐号权限检查的不符合比率定期进行帐号权限检查的执行比率帐号密码规范检查的系统执行比率关键指标示例：防病毒软件安装合格率防病毒代码更新合格率病毒感染设备总数/已清除设备总数/无法清除设备总数…第三阶段-运行与监控我们将协助客户建立对ISMS运行监控支持和协助项目阶段支持与协助第一阶段：准备与差距分析项目双方接口人员名单提供客户安全相关组织架构提供客户相关安全规范和流程提交调研阶段多涉及系统的拓扑图提供我方项目人员进出办公场所证件第二阶段：设计与发布参与部分安全管理制度体系编写、确认与讨论活动第三阶段：运行与监控试运行实施收集相关试运行数据第四阶段：项目总结参与项目总结项目沟通支持和协助项目阶段支持与协助第一阶段：准备与差距分析项目双方项目交付物一览项目阶段交付物第一阶段：准备与差距分析项目计划启动会PPT现状调研报告差距分析报告风险处置计划第二阶段：设计与发布安全管理制度体系第三阶段：运行与监控试运行报告有效性测量程序部分可参考测量指标培训2222222222222222第四阶段：项目总结项目总结与改进计划项目交付物一览项目阶段交付物项目计划第二阶段：设计与发布安全谢谢！谢谢！信息安全管理体系建设绿盟科技信息安全管理体系建设绿盟科技目录CONTENTS

01信息安全管理体系简介

02信息安全管理体系价值

03信息安全管理体系实现方法04信息安全管理体系建设方案目录01信息安全管理体系简介57信息安全管理体系简介信息安全的概念管理的概念信息安全管理的概念信息安全管理体系与ISO27001信息安全管理体系简介信息安全的概念信息安全的概念信息安全计算机安全网络安全知识安全数据安全内容安全不同的声音信息安全的概念信息安全计算机安全网络安全知识安全数据安全内容59信息安全定义已有的几个定义ISO/IEC17799保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性。《美国联邦信息安全管理法案》（FISMA）保护信息与信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护完整性、保密性、可用性。《中华人民共和国计算机信息系统安全保护条例》第三条：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全、运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。信息安全定义已有的几个定义ISO/IEC17799保持信息60管理的定义管理管理学中的定义ISO/IEC9000:2000的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程控制和控制组织的协调活动管理的定义管理管理学中的定义ISO/IEC9000:200061管理的职能为组织确定任务、总之、目标；实现目标的战略、措施、程序；以及实现目标的时间表和预算。组织领导控制根据组织的目标、战略和内外环境设计组织结构，并为不同岗位配置人力资源的过程。对组织成员施加影响，以推动其实现组织目标的过程。衡量和纠正下属活动，以保证事态发展符合计划要求的过程。计划管理的职能为组织确定任务、总之、目标；实现目标的战略、措施、62信息安全管理的定义选择和采用的控制措施要全面覆盖主要风险132信息安全管理，是为了实现信息安全的目标，而进行的实践活动通过建立信息安全管理体系（InformationSecurityManagementSystem，简称ISMS），能够实现和达到信息安全的目标根据信息安全管理的国际标准ISO27001的定义，信息安全管理体系是基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系信息安全管理体系的建设和维护是一个动态的过程，其中包括了顺序上的各个环节建立信息安全管理体系，需要有正确的思路和方法，就是基于风险的方法信息安全管理的定义选择和采用的控制措施要全面覆盖主要风险1363信息安全管理在IT管理中的位置Process流程People人员组织架构⑥IT综合管理Technology技术组织文化以流程为基础的IT管理理论：①IT服务管理

(ITIL/ISO20000)③项目管理

(PRINCE2/P3O/MSP)以风险为基础的IT管理理论：②信息安全与风险管理

(ISMS/ISO27001/BS10012)④业务连续性管理

(BCM/BS25999/ISO27031)⑤IT合规与审计IT风险IT价值IT生命周期活动识别风险和机会管理风险管理价值以控制为基础

IT治理（COBIT）平衡IT管理是人员，技术，流程在组织当中的整合IT管理的目标就是要在IT价值与IT风险之间取得平衡信息安全管理在IT管理中的位置Process流程Peopl64信息安全管理体系与ISO27000系列标准术语要求ISMS运作和审核的指南27000概要和术语27001ISMS要求27006认证机构认可要求27002实践规范27003实施指南27004指标与测量27005风险管理27007审核指南控制实施标准ISO/IEC27000系列标准以风险管理为基础，为企业建设信息安全管理体系提供了强有力的参考与支撑。信息安全管理体系与ISO27000系列标准术语要求ISMS65ISO27001信息安全管理体系建设框架A.15供应商关系相关方实施(D)策划(P)改进(A)检查(C)相关方A.14系统获取、开发和维护A.13通信安全A.7人力资源安全A.6信息安全组织A.5信息安全策略A.8资产管理A.9访问控制

A.10密码A.11物理和环境安全A.12操作安全硬件服务人员受控的

信息安全信息安全

要求和期望可用性完整性保密性A.16信息安全事件管理A.17业务连续性管理的信息安全方面A.18符合性软件数据ISO27001信息安全管理体系建设框架A.15供应商关66信息安全管理体系主要适用对象尤其是主业为集成电路芯片制造的组织。鉴于知识产权的重要性，客户明确要求必须在信息安全管理方面做出保证。半导体行业承担软件定制开发的很多企业，需要满足外部和客户明确提出的信息保护要求。软件开发行业保护客户信息、保证业务运转的可靠性和持续性，都是此行业组织实施ISMS并寻求认证的驱动力金融业和保险业由于牵涉到自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了必然。通讯行业信息安全管理体系主要适用对象尤其是主业为集成电路芯片制造的组67信息安全管理体系的主要活动制定信息安全目标和寻找实现目标的途径；建设信息安全组织机构，设置岗位、配置人员并分配职责；实施信息安全风险评估和管理；制定并实施信息安全策略；为实现信息安全目标提供资源并实施管理；信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。信息安全管理体系的主要活动制定信息安全目标和寻找实现目标的途68一个好的信息安全管理体系技术工具/技术措施策略制度流程操作指南过程记录岗位职责工作机制人员团队目标规划方针组织架构有武器有纪律有队伍有目标有组织一个好的信息安全管理体系技术工具/技术措施策略制度流程操作指69目录CONTENTS01信息安全管理体系简介02信息安全管理体系价值

03信息安全管理体系实现方法04信息安全管理体系建设方案目录01信息安全管理体系简介70信息安全管理体系的价值管理先行全局把控持续保障02信息安全管理体系的价值管理先行02信息安全管理体系的价值管理先行全局把控持续保障信息安全管理体系的价值三分技术，七分管理：信息安全问题不能只靠技术解决，安全管理的作用及其重要；把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全；没有绝对的安全状态，通过PDCA过程模式，对管理体系进行持续改进，保证系统在动态变化中保持安全目标；保证信息系统持续满足安全目标。信息安全管理体系的价值管理先行全局把控持续保障信息安全管理体72管理先行管理先行73管理先行的优势“唯技术论”很容易进入“头痛医头，脚痛医脚”的模式。1.同类型安全问题的解决方案难以沉淀，依赖技术人员的经验；2.无法发现企业根源的安全缺陷，真正解决根源问题；3.依赖大量的人力和资源投入，每一个安全问题都需要技术人员全程投入。管理主导，统筹技术，集中资源协调解决才能真正解决安全问题1.完善地解决安全问题，确保每一个安全问题从被发现、分析、处理、监控到被妥善处置的每一步都有可依据的管理方案，并依据方案真正地解决根源问题；2.集中资源处理安全问题，大大提升解决安全问题的效率，从分散投入人员解决独立问题转变为利用体系优势协调合作解决安全问题，大幅提升效率；3.将人员的能力与经验固化为具有可行性的解决方案，使企业不再只依赖技术人员的经验与技能，而是通过管理体系的资源解决安全问题。管理先行的优势“唯技术论”很容易进入“头痛医头，脚痛医脚”的74全局把控信息数据信息资产人员任职供应商项目硬件设备移动介质采购的软件开发的应用网络与系统密钥其他账号权限信息安全事件生成存储处理/传输备份/归档删除销毁前：筛选/入职中：能力/责任/意识后：转岗/离职前：筛选/合同中：监督/评价后：交接/验收容量计划采购/入库上架/投产监控/巡检下架/淘汰/报废登记/授权/发放保管使用回收销毁申请/采购登记/授权使用回收升级/淘汰需求分析设计/编码测试/验收维护/升级下线规划设计部署实施监控/巡检补丁升级改造/优化申请/审批授权/分配使用审计注销/回收事态监控/报告评判处理/上报升级证据收集总结/改进生成存储归档/检索分发回收销毁全方位建设安全管理体系，无死角地定位、分析、解决安全问题。全局把控信息数据信人员任职供应商项目硬件设备移动介质采购的软75全局把控：数据生命周期安全管理（例）数据采集数据收集和获取情况数据分类情况数据分级情况数据传输传输保密性控制措施传输完整性控制措施网络边界安全网络可用性管理数据存储数据存储加密数据备份和恢复数据库安全维护数据访问控制数据归档与时效性数据处理数据交换数据交换的必要性数据交换的合法性数据销毁介质使用管理数据销毁处置介质销毁处置数据正当使用数据脱敏数据权限管理数据生命周期各阶段安全要求数据生命周期通用安全要求数据安全策略与制度组织及人员管理合规性管理系统建设系统运维网络和通信安全第三方服务基础环境设备和计算安全数据安全事件应急处置安全监控安全审计以数据生命周期为例，在数据全生命周期中数据资产面临着来自各方面、以各种形式存在的安全威胁。信息安全管理体系的建设便是从顶层设计出发由上而下地推动信息系统有效地解决安全威胁。全局把控：数据生命周期安全管理（例）数据采集数据收集和获取情76全局把控：安全事件管理（例）

自上而下的处理职责和规程自下而上的报告报告

信息安全弱点报告

信息安全事态评估和确定信息安全事态信息安全事件响应对信息安全事件的总结证据的收集全局把控：安全事件管理（例）自上而下的处理职责和规程自下而77持续保障威胁脆弱性事件资产具有利用导致损失破坏信息安全保障的本质就是面向风险、持续改进的过程企业信息安全保障不可一蹴而就，只有在动态中不断监控信息系统面临的风险，并通过不断地改进和优化来处置安全风险，才能在动态中使信息系统保持最佳的运营状态。持续保障威胁脆弱性事件资产具有利用导致损失破坏信息安全保障的78信息安全管理体系实现方法方法论与建设流程风险管理概述风险评估流程03信息安全管理体系实现方法方法论与建设流程03方法论与建设流程信息安全管理体系建设核心思想：PDCA信息安全管理体系建设流程方法论与建设流程信息安全管理体系建设核心思想：PDCA80信息安全管理体系建设核心思想：PDCA信息安全管理体系建设核心思想：PDCA81更高视角的PDCA管理过程4.2.1建立ISMS4.2.2实施和运行ISMS4.2.4维护和改造ISMS4.2.3监视和评审ISMS4.信息全管理体系5.管理职责5.1管理承诺5.2资源管理8.ISMS改进8.1持续改进8.2纠正性措施8.3预防性措施6.内部评审7.管理评审7.2评审输入7.3评审输出PDCA更高视角的PDCA管理过程4.2.1建立ISMS4.2.282ISO27003信息安全管理体系建设流程4.组织环境5.领导力6.规划7.支持8.运行9.绩效评价10.改进理解组织及其环境理解相关方的

需求和期望确定ISMS的

范围ISMS领导力与承诺方针组织角色、职责和权限应对风险和机会的措施信息安全目标

和实现计划资源能力意识沟通文件化信息运行的策划

与控制信息安全风险评估信息安全风险处置监视、测量、分析和评价内部审核管理评审不符合和纠正措施持续改进计划（Plan）执行（Do）检查（Check）改进（Act）ISO27003信息安全管理体系建设流程4.组织环境5.领83风险管理风险管理概述风险管理模型管理过程风险管理风险管理概述84风险管理概述残余风险接受基于风险管理的持续改进风险处置投资有效心里有数心里有底风险可控风险识别风险监控信息安全管理的精髓：风险管理与持续改进风险管理概述残余风险接受基于风险管理风险处置投资有效心里有数85风险管理模型风险管理模型（ISO31000）构建环境风险识别风险分析风险评价风险处置沟通与协商监控与评审ISO27001:2013第4章ISO27001:2013第9章ISO27001:2013第7章ISO27001:2013第6.1.3节ISO27001:2013第6.1.2节风险管理模型风险管理模型（ISO31000）构建环境风险识86管理过程风险评估准备信息识别信息载体识别风险场景识别已有安全措施的确认风险计算保持已有安全措施制定风险处理计划并评估残余风险实施风险管理风险是否接受是否接受残余风险GB/T20984-2007管理过程风险评估准备信息识别信息载体识别风险场景识别已有安全87风险评估流程风险评估概述评估准备风险识别风险分析风险评价风险处置风险评估流程风险评估概述88风险评估概述信息载体风险信息信息价值安全需求安全措施残余风险具有依赖依赖导出引发未控制降低面临可能性影响度降低安全事件决定决定引发影响---风险评估原理示意图风险评估概述信息载体风险信息信息价值安全需求安全措施残余风险89风险评估概述根据ISO27001:2013标准，风险评估采用何种方法不作要求，只要能识别出风险即可。在IT管理领域，可采用的常见评估方法：影响度/可能性分析：针对特定的系统、服务或管理领域梳理风险场景，分析风险发生导致后果造成的影响程度，以及该风险发生的概率（可能性）；差距评估：如有相关标准或法规作为评估依据，或相关方给定了检查项清单（Checklist），可直接采用“对标”式的差距分析方法，识别相关合规性风险；头脑风暴：针对特定的管理或技术领域，组织相关人员进行头脑风暴，穷举该领域范围内存在的问题和潜在风险；失效模式和效应分析：针对特定的系统、服务，采取失效模式和效应分析（FMEA），梳理服务或服务组件发生故障的场景，分析这些故障的影响、潜在原因，识别可以降低或避免故障影响的方法；业务影响分析：在连续性管理流程中，采取业务影响分析（BIA）方法，识别系统、服务的目标恢复要求（RTO、RPO）、最低运营要求（MOR），分析当前存在的差距和解决方案。以下介绍的评估方法，按照“影响度/可能性”模型设计。---风险评估方法选择风险评估概述根据ISO27001:2013标准，风险评估90评估准备准备内容：确定评估目标、范围；确定评估依据和方法：适用的管理体系和法律法规、监管要求；选择适用的风险评估方法；确认风险评价和风险接受准则；组建风险评估团队；听取最高管理者对本次风险评估的指示。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。评估准备准备内容：组织实施风险评估是一种战略性的考虑，其结果91风险识别：识别信息及其载体保密性可用性完整性People人Process、Services流程、服务Media、Equipment介质、设备Software数据库、应用软件、操作系统Information

信息保密性：信息只对授权的个人、主体或流程可用的特性完整性：保护信息的精确与完整的特性可用性：在需要时，被授权的主体可访问和可使用的特性信息价值：风险识别：识别信息及其载体保密性可用性完整性PeoplePr92风险识别：识别信息及其载体保密性赋值（C）描述赋值等级5高仅限少数人知悉，关乎企业的重大利益或竞争力，如果泄露会造成非常严重的损害。3中影响企业利益，如果泄露可能会造成一定程度的损害。1低可以对外公开。完整性赋值（I）描述赋值等级5高未经授权的修改或破坏，将难以恢复，会对企业的形象、利益造成难以弥补的重大影响。3中未经授权的修改或破坏，会对企业利益造成一定程度的冲击，但可以弥补。1低未经授权的修改或破坏，造成的影响可以忽略不计。可用性赋值（A）描述赋值等级5高不可用或不可访问时，对业务有严重影响，必须优先恢复，可用性要求极高。3中不可用或不可访问时，对业务有一定影响，应尽快恢复，可用性要求较高。1低不可用或不可访问时，对业务的影响较小，恢复时间要求不高，可用性要求相对较低。风险识别：识别信息及其载体保密性赋值（C）描述赋值等级5高仅93风险识别：风险场景举例：硬件：硬件设备及电子介质（服务器、存储、磁带及其他移动介质等）故障，导致其创建、存储、传输、处理的信息丢失或不可访问软件：软件（应用软件、系统软件、工具软件等）故障，导致其创建、存储、传输、处理、访问的信息损毁、丢失或不可访问纸质记录：纸质文件由于不耐火、不耐水、不耐虫蛀鼠咬等原因而损毁流程：流程步骤不合规、不落地，职责不明确，或者缺乏必要的资源支持，导致流程输出信息不可用服务：与供方的合同或服务级别协议不清晰，权责划分不清，供方服务不稳定或中止，发生知识产权归属纠纷，影响我方IT服务及相关信息的可用性人员：人员法律意识、安全意识不足，无意中或受到外部社会工程学攻击（引诱、胁迫、欺骗等）引发敏感信息泄漏基于“信息载体”的风险场景识别：确定识别风险场景的维度：信息载体类型、风险来源风险场景是否符合实际环境风险场景主要影响信息的C、I、A哪项属性风险识别：风险场景举例：基于“信息载体”的风险场景识别：94风险分析理解风险性质、确定风险级别：识别风险的后果严重性（影响度）估算风险发生的概率（可能性）确定风险的级别：计算风险可能性和影响度时需要考虑当前已有的控制措施以及控制的有效性可能性赋值时需要考虑防范风险发生的控制措施以及控制影响度赋值时需要考虑风险发生后的补救措施风险值=信息价值×影响度×可能性风险分析理解风险性质、确定风险级别：风险值=信息价值×95风险分析：分析结果赋值可能性赋值描述赋值等级5高基于现有的安全控制措施，该风险极有可能会发生；或

曾经发生多次（平均每年1次或1次以上）；或

曾经偶尔发生（平均每年少于1次），但发生频率呈上升趋势。3中基于现有的安全控制措施，该风险较有可能会发生；或

曾经偶尔发生（平均每年少于1次）；或

虽然尚未发生过，但无法保证其不会发生。1低基于现有的安全控制措施，该风险发生的可能性较小；或

过去极少发生（如：历史上仅1次），且以后也几乎不会发生。影响度赋值描述赋值等级5高风险发生后，现有安全控制措施无法有效应对，造成的损害是严重且难以弥补的，或者需要很长时间才能恢复，面临着上级/监管压力、客户压力和舆论压力。3中风险发生后，现有安全控制措施可以适当发挥作用，造成一定的损害但可以弥补，或者可以在较短时间内恢复。1低风险发生后，现有安全控制措施基本可以应对，造成的损害可忽略不计，或者可以迅速恢复。风险分析：分析结果赋值可能性赋值描述赋值等级5高基于现有的安96风险评价对识别出的风险的严重程度，按照风险评价准则进行比较，以确定是否可接受，是否需要处置。风险接受准则：最终确认是否处置，应由最高管理层及各风险责任人（RiskOwner）进行确认。不可接受的风险（高）不可接受的风险（中）可接受的风险（低）………………………默认需要处置是否处置待定默认不需处置风险清单风险评价对识别出的风险的严重程度，按照风险评价准则进行比较，97风险处置经济合理性（处置风险控制措施越多越严格，成本越高）法律法规、监管要求合规性与企业文化的一致性利益相关方的观点社会责任，如：环境因素对组织内的其他方或利益相关方的影响执行中的工作习惯、观点和认知……风险级别处置成本风险处置经济合理性（处置风险控制措施越多越严格，成本越高）风98风险处置风险削弱（Riskreduction）风险保留（Riskretention）风险规避（Riskavoidance）风险转移（Risktransfer）风险处置风险削弱（Riskreduction）风险保留（R99信息安全管理体系建设方案建设信息安全管理体系的关键因素第一阶段–实施准备与差距分析第二阶段-设计与发布第三阶段-运行与监控04信息安全管理体系建设方案建设信息安全管理体系的关键因素04建设信息安全管理体系的关键因素业务安全目标日常安全活动与其他管理体系企业文化管理层承诺监控、指导和评审培训宣贯对业务安全需求的吻合度组织管理风格的一致性必要的管理层支持有效的测量有效的推广指标评价建设信息安全管理体系的关键因素业务安全目标与其他管理体系管理101绿盟科技信息安全管理体系建设方案项目总结运行与监控项目准备与差距分析设计与发布项目范围确定安全方针建立业务安全需求和现状调研差距分析风险分析信息安全