CISP培训全套课件

資訊安全保障

知識域：資訊安全保障背景知識子域：資訊安全內涵和外延理解資訊安全基本概念，理解資訊安全基本屬性：保密性、完整性和可用性理解資訊安全的特徵與範疇知識子域：資訊安全問題根源理解資訊安全問題產生的內因是資訊系統自身存在脆弱性理解資訊安全問題產生的外因是資訊系統面臨著眾多威脅2資訊與資訊安全資訊:數據/資訊流資訊安全保密性完整性可用性資訊的以上三個基本安全屬性習慣上簡稱為CIA（Confidentiality-Integrity-Availability）。3資訊安全特徵資訊安全是系統的安全資訊安全是動態的安全資訊安全是無邊界的安全資訊安全是非傳統的安全資訊安全的範疇信息技術問題——技術系統的安全問題組織管理問題——人+技術系統+組織內部環境社會問題——法制、輿論國家安全問題——信息戰、虛擬空間資訊安全的特徵與範疇4知識域：資訊安全保障背景知識子域：資訊安全內涵和外延理解資訊安全基本概念，理解資訊安全基本屬性：保密性、完整性和可用性理解資訊安全的特徵與範疇知識子域：資訊安全問題根源理解資訊安全問題產生的內因是資訊系統自身存在脆弱性理解資訊安全問題產生的外因是資訊系統面臨著眾多威脅5資訊安全問題產生根源6因為有病毒嗎？因為有駭客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源內因：資訊系統自身存在脆弱性過程複雜結構複雜應用複雜

外因：威脅與破壞人为和環境資訊安全問題產生根源7系統理論：在程式與數據上存在“不確定性”設計：從設計的角度看，在設計時考慮的優先順序中安全性相對於易用性、代碼大小、執行程度等因素被放在次要的位置實現：由於人性的弱點和程式設計方法學的不完善，軟體總是存在BUG。使用、運行：人為的無意失誤、人為的惡意攻擊如：無意的檔刪除、修改主動攻擊：利用病毒、入侵工具實施的操作被動攻擊：監聽、截包維護 技術體系中安全設計和實現的不完整。 技術管理或組織管理的不完善，給威脅提供了機會。內在複雜-過程8工作站中存在資訊數據員工移動介質網路中其他系統網路中其他資源訪問Internet訪問其他局域網到Internet的其他路由電話和數據機開放的網路端口遠程用戶廠商和合同方的訪問訪問外部資源公共資訊服務運行維護環境內在複雜-結構9內在複雜-使用10外因—人為的威脅11外因—自然威脅12課程內容資訊安全保障基礎知識體知識域資訊安全保障背景資訊安全保障概念與模型知識子域資訊安全內涵與外延資訊安全問題根源資訊安全保障資訊技術與資訊安全發展階段資訊安全保障相關模型資訊系統安全保障概念與模型資訊系統安全保障資訊系統安全保障模型知識域：資訊安全保障背景知識子域：資訊技術與資訊安全發展階段瞭解通信、電腦、網路和網路化社會等階段資訊技術的發展概況瞭解信息技術和網路對經濟發展、社會穩定及國家安全等方面的影響瞭解通信安全、電腦安全、資訊系統安全和資訊安全保障等階段資訊安全的發展概況，瞭解各個階段資訊安全面臨的主要威脅和防護措施14網路化社會網路電腦通信（電報\電話）資訊技術發展階段15COMSEC通信安全COMPUSEC電腦安全INFOSEC資訊系統安全IA資訊安全保障CS/IA網路空間安全/資訊安全保障資訊安全發展階段解決傳輸數據安全斯巴達人的智慧：西元前500年，斯巴達人把一條羊皮螺旋形地纏在一個圓柱形棒上寫數據現代人的智慧：20世紀，40年代-70年代通過密碼技術解決通信保密，內容篡改16通信安全通信安全COMSEC：CommunicationSecurity20世紀，40年代-70年代核心思想：通過密碼技術解決通信保密，保證數據的保密性和完整性主要關注傳輸過程中的數據保護安全威脅：搭線竊聽、密碼學分析安全措施：加密17電腦安全COMPUSEC：ComputerSecurity20世紀，70-90年代核心思想：預防、檢測和減小電腦系統（包括軟體和硬體）用戶（授權和未授權用戶）執行的未授權活動所造成的後果。主要關注於數據處理和存儲時的數據保護。安全威脅：非法訪問、惡意代碼、脆弱口令等安全措施：通過操作系統的訪問控制技術來防止非授權用戶的訪問18資訊系統安全INFOSEC：InformationSecurity20世紀，90年代後核心思想：綜合通信安全和電腦安全安全重點在於保護比“數據”更精煉的“資訊”，確保資訊在存儲、處理和傳輸過程中免受偶然或惡意的非法洩密、轉移或破壞。安全威脅：網路入侵、病毒破壞、資訊對抗等安全措施：防火牆、防病毒、漏洞掃描、入侵檢測、PKI、VPN等19網路化社會新世紀資訊技術應用於人類社會的方方面面軍事經濟文化……現在人們意識到：技術很重要，但技術不是一切；資訊系統很重要，只有服務於組織業務使命才有意義20資訊安全保障IA：InformationAssurance今天，將來……核心思想：資訊安全從技術擴展到管理，從靜態擴展到動態通過技術、管理和工程等措施的綜合融合，形成對資訊、資訊系統乃至業務使命的保障。安全威脅：駭客、恐怖分子、信息戰、自然災難、電力中斷等安全措施：技術安全保障體系、安全管理體系、人員意識/培訓/教育、認證和認可21CS/IA：CyberSecurity/InformationAssurance2009年，在美國帶動下，世界各國資訊安全政策、技術和實踐等發生重大變革……共識：網路安全問題上升到國家安全的重要程度核心思想：從傳統防禦的資訊保障（IA），發展到“威懾”為主的防禦、攻擊和情報三位一體的資訊保障/網路安全（IA/CS）的網空安全網路防禦-Defense（運維）網路攻擊-Offense（威懾）網路利用-Exploitation（情報）22資訊安全保障發展歷史第一次定義：在1996年美國國防部DoD指令5-3600.1（DoDD5-3600.1）中，美國資訊安全界第一次給出了資訊安全保障的標準化定義現在：資訊安全保障的概念已逐漸被全世界資訊安全領域所接受。中國：中辦發27號文《國家資訊化領導小組關於加強資訊安全保障工作的意見》，是資訊安全保障工作的綱領性檔資訊安全保障發展歷史從通信安全（COMSEC）-〉電腦安全（COMPUSEC）-〉資訊系統安全（INFOSEC）-〉資訊安全保障（IA）-〉網路空間安全/資訊安全保障（CS/IA）。23網路空間安全/資訊安全保障2008年1月，布希政府發佈了國家網路安全綜合倡議（CNCI），號稱網路安全“曼哈頓專案”，提出威懾概念，其中包括愛因斯坦計畫、情報對抗、供應鏈安全、超越未來（“Leap-Ahead”）技術戰略2009年5月29日發佈了《網路空間政策評估：確保資訊和通訊系統的可靠性和韌性》報告2009年6月25日，英國推出了首份“網路安全戰略”，並將其作為同時推出的新版《國家安全戰略》的核心內容2009年6月，美國成立網路戰司令部12月22日，奧巴馬任命網路安全專家擔任“網路沙皇”2011年5月，美國發佈《網路空間國際戰略》，明確了針對網路攻擊的指導原則…24資訊安全保障是一種立體保障25課程內容資訊安全保障基礎知識體知識域資訊安全保障背景資訊安全保障概念與模型知識子域資訊安全內涵與外延資訊安全問題根源資訊安全保障資訊技術與資訊安全發展階段資訊安全保障相關模型資訊系統安全保障概念與模型資訊系統安全保障資訊系統安全保障模型知識域：資訊安全保障概念與模型知識子域：資訊安全保障理解資訊安全保障的概念理解資訊安全保障與資訊安全、資訊系統安全的區別27資訊安全保障定義28防止資訊洩露、修改和破壞檢測入侵行為，計畫和部署針對入侵行為的防禦措施採用安全措施和容錯機制在遭受攻擊的情況下保證機密性、私密性、完整性、抗抵賴性、真實性、可用性和可靠性修復資訊和資訊系統所遭受的破壞與資訊安全、資訊系統安全的區別資訊安全保障的概念更加廣泛。資訊安全的重點是保護和防禦，而安全保障的重點是保護、檢測和回應綜合資訊安全不太關注檢測和回應，但是資訊安全保障非常關注這兩點攻擊後的修復不在傳統資訊安全概念的範圍之內，但是它是資訊安全保障的重要組成部分。資訊安全的目的是為了防止攻擊的發生，而資訊安全保障的目的是為了保證資訊系統始終能保證維持特定水準的可用性、完整性、真實性、機密性和抗抵賴性。29課程內容資訊安全保障基礎知識體知識域資訊安全保障背景資訊安全保障概念與模型知識子域資訊安全內涵與外延資訊安全問題根源資訊安全保障資訊技術與資訊安全發展階段資訊安全保障相關模型資訊系統安全保障概念與模型資訊系統安全保障資訊系統安全保障模型知識域：資訊安全保障概念與模型知識子域：資訊安全保障相關模型理解P2DR模型的基本原理：策略、防護、檢測及回應，以及P2DR公式所表達的安全目標理解P2DR數學公式所表達的安全目標理解IATF的深度防禦思想，及其將資訊系統在技術層面的防禦劃分為本地計算環境、區域邊界、網路基礎設施和支撐性基礎設施四個方面，理解每一方面的安全需求及基本實現方法31什麼是資訊安全模型通過建模的思想來解決網路安全管理問題，有效抵禦外部攻擊，保障網路安全安全模型用於精確和形式地描述資訊系統的安全特徵，解釋系統安全相關行為。為什麼需要安全模型能準確地描述安全的重要方面與系統行為的關係。能提高對成功實現關鍵安全需求的理解層次。從中開發出一套安全性評估準則，和關鍵的描述變數安全模型的概念32思想：承認漏洞，正視威脅，適度防護，加強檢測，落實反應，建立威懾出發點：任何防護措施都是基於時間的，是可以被攻破的核心與本質：給出攻防時間表固定防守、測試攻擊時間；固定攻擊手法，測試防守時間缺點：難於適應網路安全環境的快速變化

基於時間的PDR模型33系統審計、分析–入侵檢測–定時回應（警告、拒絕服務）系統的第一道防線防止遠程攻擊檔、數據安全應用服務層安全系統服務層安全系統內核安全物理安全系統的第二道防線防止內部許可權提升系統備份安全措施檔、數據安全應用服務層安全系統服務層安全系統內核安全物理安全漏洞分析檢測漏洞修補protectionReactionDetection攻擊者基於PDR的安全架構34PDR模型強調落實反應P2DR模型則更強調控制和對抗，即強調系統安全的動態性以安全檢測、漏洞監測和自適應填充“安全間隙”為迴圈來提高網路安全特別考慮人為的管理因素P2DR模型-分佈式動態主動模型35P2DR：Policy策略模型的核心，所有的防護、檢測、回應都是依據安全策略實施的。策略體系的建立包括安全策略的制定、評估與執行等。策略包括：訪問控制策略加密通信策略身份認證策略備份恢復策略……P2DR的基本原理36P2DR：Protection

防護通過傳統的靜態安全技術和方法提高網路的防護能力，主要包括：訪問控制技術ACLFirewall資訊加密技術身份認證技術–一次性口令–X.509……P2DR的理解37P2DR：Detection

檢測利用檢測工具，監視、分析、審計網路活動，瞭解判斷網路系統的安全狀態。使安全防護從被動防護演進到主動防禦，是整個模型動態性的體現。主要方法包括：即時監控檢測報警P2DR的理解38P2DR：Response

反應在檢測到安全漏洞和安全事件時，通過及時的回應措施將網路系統的安全性調整到風險最低的狀態。評估系統受到的危害與損失，恢復系統功能和數據，啟動備份系統等。主要方法包括：關閉服務跟蹤反擊消除影響P2DR的理解39P2DR模型中的數學法則假設S系統的防護、檢測和反應的時間關係如下：Pt=防護時間(有效防禦攻擊的時間)，Dt=檢測時間（發起攻擊到檢測到的時間），Rt=反應時間（檢測到攻擊到處理完成時間），Et=暴露時間，則該系統防護、檢測和反應的時間關係如下：如果Pt＞Dt＋Rt，那麼S是安全的；如果Pt＜Dt＋Rt，那麼Et＝(Dt＋Rt)－Pt。

40P2DR模型的安全目標依據P2DR模型構築的網路安全體系在統一安全策略的控制下在綜合運用防護工具基礎上利用檢測工具檢測評估網路系統的安全状态通過及時的回應措施將網路系統調整到風險最低的安全狀態41再看P2DR安全管理的持續性、安全策略的動態性：以即時監視網路活動、發現威脅和弱點來調整和填補網路漏洞。可測即可控通過經常對網路系統的評估把握系統風險點，及時弱化甚至堵塞系統的安全漏洞。42IATF-深度防禦保障模型信息保障技術框架（InformationAssuranceTechnicalFramework，IATF）美國國家安全局（NSA）制定的，為保護美國政府和工業界的資訊與資訊技術設施提供技術指南。IATF的代表理論為“深度防禦（Defense-in-Depth）”。在關於實現資訊保障目標的過程和方法上，IATF論述了系統工程、系統採購、風險管理、認證和鑒定以及生命週期支持等過程，指出了一條較為清晰的建設資訊保障體系的路子。43何謂“深度防禦”？IATF強調人、技術、操作這三個核心要素，從多種不同的角度對資訊系統進行防護。IATF關注四個資訊安全保障領域（三保護一支撐）本地計算環境區域邊界網路和基礎設施支撐性基礎設施在此基礎上，對資訊資訊系統就可以做到多層防護，實現組織的任務/業務運作。這樣的防護被稱為“深度防護戰略（Defense-in-DepthStrategy）”。44技術操作深度防禦戰略人

人通過技術進行操作計算環境區域邊界網路基礎設施支撐性基礎設施密鑰管理檢測回應成功的組織功能資訊安全保障（IA）IATF框架45人（People）：資訊保障體系的核心，是第一位的要素，同時也是最脆弱的。基於這樣的認識，安全管理在安全保障體系中愈顯重要，包括：意識培訓、組織管理、技術管理、操作管理……技術（Technology）：技術是實現資訊保障的重要手段。動態的技術體系：防護、檢測、回應、恢復操作（Operation）：也叫運行，構成安全保障的主動防禦體系。是將各方面技術緊密結合在一起的主動的過程，包括風險評估、安全監控、安全審計跟蹤告警、入侵檢測、回應恢復……IATF的三要素46IATF三要素47人員技術操作培訓深度防禦技術框架域分析意識安全標準監視物理安全獲得IA/TA入侵檢測人員安全風險分析警告系統安全管理證書與認證恢復IATF的安全需求劃分IATF定義了四個主要的技術焦點領域：本地計算環境區域邊界網路和基礎設施支撐性基礎設施。這四個領域構成了完整的資訊保障體系所涉及的範圍。在每個領域範圍內，IATF都描述了其特有的安全需求和相應的可供選擇的技術措施。48

邊界區域

計算環境

網路和基礎設施支撐性基礎設施目標：使用資訊保障技術確保數據在進人、離開或駐留客戶機和服務器時具有保密性、完整性和可用性。方法：使用安全的操作系統,使用安全的應用程式安全消息傳遞、安全流覽、檔保護等主機入侵檢測防病毒系統主機脆弱性掃描檔完整性保護保護計算環境49保護區域邊界什麼是邊界？“域”指由單一授權通過專用或物理安全措施所控制的環境，包括物理環境和邏輯環境。區域的網路設備與其它網路設備的接入點被稱為“區域邊界”。目標：對進出某區域（物理區域或邏輯區域）的數據流進行有效的控制與監視。方法：病毒、惡意代碼防禦防火牆人侵檢測邊界護衛遠程訪問多級別安全50保護網路和基礎設施目標：網路和支持它的基礎設施必須防止數據非法洩露防止受到拒絕服務的攻擊防止受到保護的資訊在發送過程中的時延、誤傳或未發送。方法：骨幹網可用性無線網路安全框架系統高度互聯和虛擬專用網。51支撐性基礎設施建設目標：為安全保障服務提供一套相互關聯的活動與基礎設施密鑰管理功能檢測和回應功能方法：密鑰管理優先權管理證書管理入侵檢測、審計、配置資訊調查、收集52遠程用戶遠程用戶遠程用戶遠程用戶

邊界保護（隔離器、防火牆等）遠程訪問保護（VPN，加密等）邊界電信運營商公共電話網公共移動網連接至其他邊界遠程用戶專網密級網路PBX公網(Internet)Internet服務供應商電信運營商本地計算環境網路基礎設施支撐性基礎設施（PKI公鑰基礎設施、檢測和回應基礎設施）帶密級網路的邊界專用網路的邊界公共網路的邊界IATF框架53課程內容資訊安全保障基礎知識體知識域資訊安全保障背景資訊安全保障概念與模型知識子域資訊安全內涵與外延資訊安全問題根源資訊安全保障資訊技術與資訊安全發展階段資訊安全保障相關模型資訊系統安全保障概念與模型資訊系統安全保障資訊系統安全保障模型知識域：資訊系統安全保障概念與模型知識子域：資訊系統安全保障瞭解資訊系統的概念及其包含的基本資源理解資訊系統安全保障的概念，以及風險、業務使命等資訊系統安全保障相關概念及其之間的關係知識子域：資訊系統安全保障模型理解資訊系統安全保障模型中生命週期、保障要素和安全特徵的含義和內容理解風險和策略是資訊系統安全保障的核心問題理解業務使命實現是資訊安全保障的根本目的55資訊系統56資訊系統安全保障資訊系統安全保障是在資訊系統的整個生命週期中，從技術、管理、工程和人員等方面提出安全保障要求，確保資訊系統的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統實現組織機構的使命。57

措施

資訊系統保障風險脆弱性威脅使命能力策略

模型資訊系統安全保障相關概念和關係58知識域：資訊系統安全保障概念與模型知識子域：資訊系統安全保障瞭解資訊系統的概念及其包含的基本資源理解資訊系統安全保障的概念，以及風險、業務使命等資訊系統安全保障相關概念及其之間的關係知識子域：資訊系統安全保障模型理解資訊系統安全保障模型中生命週期、保障要素和安全特徵的含義和內容理解風險和策略是資訊系統安全保障的核心問題理解業務使命實現是資訊安全保障的根本目的59資訊系統安全保障模型60國家標準：《GB/T20274.1-2006資訊安全技術資訊系統安全保障評估框架第一部分：簡介和一般模型》資訊系統安全保障安全特徵確保資訊的安全特徵確保資訊的保密性、完整性和可用性特徵，從而實現和貫徹組織機構策略並將風險降低到可接受的程度保護資產達到保護組織機構資訊和資訊系統資产最終保障業務使命從而保障組織機構實現其业务使命的最終目的61資訊系統安全保障生命週期62資訊系統安全保障要素從技術、工程、管理和人員四個領域進行綜合保障技術：密碼、訪問控制、網路安全、漏洞及惡意代碼防護等工程：資訊系統安全工程、安全工程能力成熟度模型管理：安全管理體系、風險管理、應急回應與災難恢復等人員：所有員工、資訊系統崗位、安全專業人員63課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護65知識子域：國外資訊安全保障情況瞭解發達國家資訊安全狀況和資訊安全保障的主要舉措瞭解發達國家資訊安全方面主要動態知識子域：我國資訊安全保障現狀瞭解我國資訊化與資訊安全形勢瞭解我國資訊安全保障發展階段理解我國資訊安全保障基本思路瞭解我國資訊安全保障目標瞭解我國資訊安全保障的整體規劃瞭解我國資訊安全保障體系的框架知識域：資訊安全保障現狀65國外資訊安全保障體系的最新趨勢戰略：發佈網路安全戰略、政策評估報告、推進計畫等檔組織：通過設立網路安全協調機構、設立協調官，強化集中領導和綜合協調軍事：陸續成立網路戰司令部，開展大規模攻防演練，招募網路戰精英人才，加快軍事網路和通信系統的升級改造，網路戰成為熱門話題外交：資訊安全問題的國際交流與對話增多，美歐盟友之間網路協同攻防傾向愈加明顯，資訊安全成為國際多邊或雙邊談判的實質性內容科技：各國尋求走突破性跨越式發展路線推進技術創新，力求在科技發展上保持和佔據優勢地位關鍵基礎設施仍然是資訊安全保障的最核心內容6667美國資訊安全保障戰略：

一個輪回三屆政府四個檔網路空間國家安全戰略框架98年克林頓政府PDD6300年資訊系統保護國家計劃01年布希政府PCIPB03年保護網際空間國家戰略1998年5月，克林頓政府發佈了第63號總統令（PDD63）：《克林頓政府對關鍵基礎設施保護的政策》2000年1月，克林頓政府發佈了《資訊系統保護國家計劃V1.0》，提出了美國政府在21世紀之初若干年的網路空間安全發展規劃。2001年10月16日，布希政府意識到了911之後資訊安全的嚴峻性，發佈了第13231號行政令《資訊時代的關鍵基礎設施保護》，宣佈成立“總統關鍵基礎設施保護委員會”，簡稱PCIPB，代表政府全面負責國家的網路空間安全工作2003年2月，在徵求國民意見的基礎上，發佈了《保護網際空間的國家戰略》的正式版本，對原草案版本做了大篇幅的改動，重點突出國家政府層面上的戰略任務，這是一個非常大的跨越2010年3月2日，奧巴馬政府部分解密了CNCI，包括3個重要目標，12個倡議68美國CNCI：網路“曼哈頓計畫”2008年1月2日發佈的國家安全總統令54/國土安全總統令23，建立了國家網路安全綜合計畫(CNCI)。三道防線建立第一線防禦：減少當前漏洞和隱患，預防入侵；全面應對各類威脅：增強反間能力，加強供應鏈安全來抵禦各種威脅；強化未來安全環境：增強研究、開發和教育以及投資先進的技術來構建將來的環境。十二項提议可信互聯網連接（TIC）、網路入侵檢測系統、網路入侵防護系統、科技研發、態勢感知、網路反間、增強涉密安全、加強網路教育、“超越未來（LeapAhead）”技術研發、網路威懾戰略、全球供應鏈風險管理機制、公私協作69美國資訊安全保障的重點對象關鍵基礎設施2001年美國出臺《美國愛國者法案》，定義“關鍵基礎實施”的含義；2003年12月發佈《國土安全總統令/HSPD-7》確定了17個關鍵基礎設施；2008年3月國土安全部將關鍵製造業類為第18項關鍵基礎設施；目前美國關鍵基礎設施和主要資源部門（1）資訊技術；（2）電信；（3）化學製品；（4）商業設施；（5）大壩；（6）商用核反應爐、材料和廢棄物；（7）政府設施；（8）交通系統；（9）應急服務；（10）郵政和貨運服務；（11）農業和食品；（12）飲用水和廢水處理系統；（13）公共健康和醫療；（14）能源；（15）銀行和金融；（16）國家紀念碑和象徵性標誌；（17）國防工業基地；（18）關鍵製造業70美國資訊安全保障組織機構網路安全協調官：負責領導白宮“網路安全辦公室”，制定和發佈國家資訊安全政策首任網路安全協調官霍華德·施密特，被喻為“網路沙皇”國土安全部（DHS）、國家安全局（NSA）、國防部（DOD）、聯邦調查局（FBI）、中央情況報局（CIA）、國家標準技術研究所（NIST）等6個機構具體執行不同的分管職責公私合作機構:國家基礎設施顧問委員會（NIAC）、資訊共用和分析中心（ISAC）、網路安全全國聯盟（NCSA）等等71其他國家信息安全保障體系建設動態英國全面紧跟美国，注重信息安全标准组织建设，注重标准向海外推广，积极参见国际信息安全标准制定強化网络监控，警方、国家安全、税务部门有权监控网络及电话德國第一个建立电子政务标准，注重基线安全防御法国強化四大安全目標（領導通信、政府通信、反攻擊能力、資訊安全納入安全政策範圍）俄羅斯注重測評分级管理分析總結—重點保護對象關鍵基礎設施是保障重點各國之間歷史、國情、文化不同，具體的重點保護對象也有所差異，但共同特點是將與國家安全、社會穩定和民生密切相關的關鍵基礎設施作為資訊安全保障的重點；《國際關鍵資訊基礎設施保護手冊（CIIPHandbook）2008/2009》顯示，所有國家最常被提到的關鍵部門都是現代化社會的核心部門，也是被破壞後可能造成極大規模災害的部門；其中銀行和金融被全部24個接受CIIP調查的國家列為國家關鍵基礎設施。72分析總結—資訊安全組織機構少數國家在中央政府一級設立機構專門負責處理網路資訊安全問題，如美國；大多數國家資訊安全管理職能由不同政府部門的多個機構和單位共同承擔；機構單位的設立，以及機構在資訊安全管理中的影響力，受到民防傳統、資源配置、歷史經驗以及決策者對資訊安全威脅總體認識程度的影響；兩種觀念在機構設置問題上具有較大影響力：執法機關強調資訊安全屬於防範敵對勢力入侵及網路犯罪的範疇經營基礎設施的部門將調資訊安全屬於技術問題或經濟成本問題在現實資訊安全威脅性質的決定下，前一種觀念在大多數國家成為主流73分析總結—基本做法將資訊安全視為國家安全的重要組成部分是主流積極推動資訊安全立法和標準規範建設是主流重視對基礎網路和重要資訊系統的監管和安全測評是主流普遍重視資訊安全事件應急回應普遍認識到公共私營合作夥伴關係的重要性，一方面政府加強管理力度，一方面充分利用社會資源7475瞭解我國資訊安全保障發展階段理解我國資訊安全保障基本思路瞭解我國資訊安全保障目標瞭解我國資訊安全保障的整體規劃瞭解我國資訊安全保障體系的框架我國資訊安全保障總體情況75我國資訊安全保障工作發展階段76階段主要工作2001-2002啟動國家資訊化小組重組；網路與資訊安全協調小組成立2003-2005逐步展開積極推進國家出臺指導政策；召開第一次全國資訊安全保障會議；發佈國家資訊安全戰略；國家網路與資訊安全協調小組召開四次會議2006至今深化落實資訊安全法律法規、標準化和人才培養工作取得新成果；資訊安全等級保護和風險評估取得新進展77以維護國家利益為根本出發點，服從和服務於國家發展和安全突出保障重点，推动自主創新，为國家發展和社會建設提供有力支撑從法律、管理、技术和人才等多方面入手，采取多种安全措施动员和组织全社会力量，共同构建国家信息安全保障体系。我國資訊安全保障基本思路7778我國資訊安全保障目標保障和促進資訊化發展維護企業與公民的合法權益構建安全可信的網路資訊傳播秩序保護互聯網知識產權我國資訊安全保障目標78我國資訊安全保障的整體規劃戰略規劃2005年5月，國家資訊化領導小組頒佈《國家資訊安全戰略報告》將資訊安全分為基礎資訊網絡安全、重要資訊系統安全和資訊內容安全堅持積極防禦、綜合防範的方針，立足當前，放眼長遠提高資訊安全的法律保障能力加強資訊安全內容管理，提高網路輿論宣傳的駕馭能力積極開展國際合作，提高我國在國際資訊安全領域的影響力2006年3月中共中央辦公廳、國務院辦公廳印發《2006-2020年國家資訊化戰略》堅持積極防禦、綜合防範堅持立足國情，綜合平衡安全成本和風險，確保重點資訊安全保障的六項工作政策規划79我國資訊安全保障體系80我國資訊安全保障體系建立健全國家資訊安全組織與管理體制機制，加強資訊安全工作的組織保障建立健全資訊安全法律法規體系，推進資訊安全法制建設建立完善資訊安全標準體系，加強資訊安全標準化工作建立資訊安全技術體系，實現國家資訊化發展的自主可控建設資訊安全基礎設施，提供國家資訊安全保障能力支撐建立資訊安全人才培養體系，加快資訊安全學科建設和資訊安全人才培養81課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護83知識子域：資訊安全標準化瞭解資訊安全標準化的意義瞭解我國資訊安全標準化工作的實踐情況知識子域：資訊安全應急處理與資訊通報瞭解資訊安全應急處理與資訊通報的意義瞭解我國資訊安全應急處理與資訊通報工作的實踐情況知識子域：資訊安全等級保護瞭解我國資訊安全等級保護的意義瞭解我國資訊安全等級保護工作的實踐情況知識子域：資訊安全風險評估瞭解資訊安全風險評估的意義瞭解我國資訊安全風險評估工作的實踐情況知識子域：災難恢復瞭解災難恢復的意義瞭解我國災難恢復工作的實踐情況知識子域：人才隊伍建設瞭解人才隊伍建設的意義瞭解我國資訊安全人才隊伍建設工作的實踐情況知識域：我國資訊安全保障工作主要內容8384意義政府進行宏觀管理的重要依據，同時也是保護國家利益、促進產業發展的重要手段之一解決資訊安全產品和系統在設計、研發、生產、建設、使用、測評中的一致性、可靠性、可控性、先進性和符合性的技術規範與依據實踐歷程2002年4月，全國資訊安全標準化技術委員會（簡稱“信安標委”，委員會編號為TC260）正式成立形成我國資訊安全標準體系框架，並以該標準體系框架作為指導我國配套標準的研究制定工作資訊安全標準化84資訊安全應急處理與資訊通報意義有利於提高基礎資訊網絡與重要資訊系統的資訊安全防範、保障能力助於加強國家網路與資訊安全應急處置工作實踐歷程我國的應急回應機構包括CNCERT/CC、中國教育和科研電腦網緊急回應組（CCERT）、國家電腦病毒應急處理中心、國家電腦網絡入侵防範中心、國家863計畫反電腦入侵和防病毒研究中心根據“誰主管、誰負責；誰經營，誰負責”的原則，採用分類、分級的處理方式，規範網路與資訊安全的預警和通報工作85資訊安全等級保護意義保障資訊安全與資訊化建設相協調重點保障基礎資訊網絡和關係國家安全、經濟命脈、社會穩定等方面的重要資訊系統的安全實踐歷程制定準則、規範和標準強化制度基礎調研組織試點快速推進86資訊安全風險評估意義資訊安全建設的起點和基礎資訊安全建設和管理的科學方法宣導適度安全實踐歷程2003年，國信辦成立課題組，啟動了資訊安全風險評估工作2005年，國務院資訊辦組織開展了國家基礎資訊網絡和重要資訊系統資訊安全風險評估試點工作2006年起，每年都組織風險評估專控隊伍對全國基礎資訊網絡和重要資訊系統進行檢查87災難恢復意義保持業務連續運作的需要，長期可持續發展的要求對現有資訊系統安全保護的延伸，是資訊安全綜合保障的最後一道防線實踐歷程2000年的“千年蟲”事件和2001年的“9•11”事件引發了國內對資訊系統災難的關注2004年9月，國信辦印發了《關於做好重要資訊系統災難備份工作的通知》（信安通[2004]11號）88人才隊伍建設意義人是最核心、最活躍的因素，資訊安全保障工作最終也是通過人來落實的實踐歷程1999年，高校設立資訊安全本科專業資訊安全專業教育已經形成了從專科、本科、碩士、博士到博士後的正規高等教育人才培養體系資訊安全專業人才缺口較大89課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護91知識域：資訊安全保障工作方法知識子域：確定資訊安全需求了解確定資訊安全保障需求的作用了解確定資訊安全保障需求的方法和原則91為什麼要提取資訊安全需求資訊安全需求是安全方案設計和安全措施實施的依據準確地提取安全需求一方面可以保證安全措施可以全面覆蓋資訊系統面臨的風險，是安全防護能力達到業務目標和法規政策的要求的基礎另一方面可以提高安全措施的針對性，避免不必要的安全投入，防止浪費922023-11-1693“資訊系統安全保障需求描述”風險評估確定資訊系統安全保障具體需求如何制定資訊安全保障需求93法規符合性業務需求安全需求的制定流程94$VISIOCORPORATION目標映射至要求安全策略系統現狀安全目標抵抗支持客戶審閱安全威脅系統

環境

風險，策略,假設技術要求管理要求工程要求符合性聲明系統安全保障級別系統

描述標準化的安全保障需求文檔-ISPP資訊系統安全保障的具體需求由資訊系統保護輪廓(ISPP)確定資訊系統保護輪廓（ISPP）是根據組織機構使命和所處的运行環境，從組織機構的策略和風險的實際情況出發，对具体信息系统安全保障需求和能力进行具体描述。表达一类产品或系统的安全目的和要求。ISPP是從資訊系統的所有者（用戶）的角度規範化、結構化的描述資訊系統安全保障需求。95ISPP規範化保障需求ISPP引言資訊系統描述資訊系統安全環境安全保障目的安全保障要求ISPP應用注解符合性聲明96規範化、結構化資訊系統安全保障具體需求課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護知識域：資訊安全保障工作方法知識子域：設計並實施資訊安全方案

瞭解資訊安全方案的作用和主要內容瞭解制定資訊安全方案的主要原則瞭解資訊安全方案實施的主要原則98資訊安全保障解決方案制定的原則以風險評估和法規要求得出的安全需求為依據考慮系統的業務功能和價值考慮系統風險哪些是必須處置的，哪些是可接受的貼合實際具有可實施性可接受的成本合理的進度技術可實現性組織管理和文化的可接受性99100資訊系統安全目標（ISST）是根據資訊系統保護輪廓（ISPP）編制的資訊系統安全保障方案。某一特定產品或系統的安全需求。ISST從資訊系統安全保障的建設方（廠商）的角度制定的資訊系統安全保障方案。資訊系統安全目標（ISST）規範化、結構化資訊系統安全保障方案100101ISST的結構和內容ISST引言資訊系統描述資訊系統安全環境安全保障目的安全保障要求資訊系統概要規範ISPP聲明符合性聲明101課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護103知識域：資訊安全保障工作方法103知識子域：資訊安全測評瞭解資訊安全測評的重要性瞭解國內外資訊安全測評概況瞭解資訊產品安全測評方法瞭解資訊系統安全測評方法瞭解服務商資質測評方法瞭解資訊安全人員資質測評方法資訊安全測評資訊安全測評依據相關標準，從安全技術、功能、機制等角度對資訊技術產品、資訊系統、服務提供商以及人員進行測試和評估測評對象資訊產品安全測評信息系統安全測評服務商資質測評信息安全人員資質測評104105測評機構對產品的安全性做出的獨立評價目的為產品認證提供證據，增強用戶對已評估產品安全的信任，向消費者提供資訊技術安全產品的採購依據，推動資訊技術安全產業的發展、提高資訊技術安全科研和生產水準。資訊產品安全測評依據的標準是：CC資訊安全產品測評105106在資訊系統的生命週期內，根據組織機構的要求在資訊系統的安全技術、安全管理和安全工程領域內對資訊系統的安全技術控制措施和技術架構能力、安全管理控制和管理能力以及安全工程實施控制措施和工程實施能力進行評估綜合最終得出資訊系統在其運行環境中安全保障措施滿足其安全保障要求的符合性，以及資訊系統安全保障能力的評估資訊系統安全保障評估的內容106資訊系統安全測評標準資訊系統安全測評標準是GB/T20274《資訊系統安全保障評估框架》，它為資訊系統安全測評提供了思路框架和操作規範107保障要素生命週期資訊特徵資訊系統的安全保障能力成熟度級管理能力成熟度等級（MCML）：

MCML1、MCML2、MCML3、MCML4和

MCML5工程能力成熟度等級（PCML）：

PCML1、PCML2、PCML3、PCML4和

PCML5技術體系架構成熟度級別（TCML）：

TCML1、TCML2、TCML3、TCML4、

TCML5108109資訊安全服務資質評估資訊安全服務資質測評是對資訊安全服務商的技術、資源、管理等方面的能力和穩定性、可靠性進行評估目前中國資訊安全測評中心開展的資訊安全服務資質評估包括3個類別資訊安全工程類資訊安全開發類資訊系統災難恢復類109資訊安全服務資質評估主要內容基本資格獨立實體——本身合法遵守國家有關法規——行為合法基本能力組織機構外部協作人員素質資產規模設施環境業績110資訊安全服務資質評估主要內容安全工程過程能力級別是評定資訊系統安全服務組織資質的主要依據，標誌著服務組織提供給客戶的安全服務專業水準和品質保證程度資訊系統工程的過程能力級別按成熟性排序，表示依次增加的組織能力。《資訊系統安全服務資質評估準則》將資訊系統安全服務組織的工程能力分為五個級別：一級：基本執行級二級：計畫跟蹤級三級：充分定義級四級：量化控制級五級：連續改進級111資訊安全服務資質評估主要內容專案和組織過程能力包括：1、品質保證；2、管理配置；3、管理專案風險；4、監控技術活動；5、規劃技術活動；6、管理系統工程支持環境；7、提供不斷發展的技能和知識；8、與供應商協調。112資訊安全人才知識體系戰略113CISP的知識體系架構114課程內容資訊安全保障實踐知識體知識域資訊安全保障現狀我國資訊安全保障工作主要內容知識子域國外資訊安全保障現狀資訊安全標準化我國資訊安全保障現狀資訊安全應急處理與資訊通報資訊安全保障工作方法確定資訊安全需求資訊安全測評資訊安全等級保護資訊安全風險評估災難恢復人才隊伍建設設計並實施資訊安全方案資訊安全監測與維護116知識域：資訊安全保障工作方法116知識子域：資訊安全監控與維護瞭解在系統生命週期中持續提高資訊系統安全保障能力的意義瞭解資訊系統安全監測與維護的主要原則系統安全監控維護的意義風險是動態變化的，資訊系統安全保障需要覆蓋資訊系統的整個生命週期，形成持續改進的資訊系統安全保障能力（技術/管理/工程能力）117持續的風險評估是資訊安全保障的一項基礎性工作持續的風險評估為新的安全決策和需求提供重要依據風險評估知識域：資訊安全管理概述知識子域：資訊安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對象理解以建立体系的方式实施信息安全管理的必要性理解體系、管理體系、資訊安全管理體系的概念118資訊安全管理的定義資訊資訊安全管理資訊安全管理119管理、資訊安全管理管理 指揮和控制組織的協調的活動。

（--

ISO9000:2005品質管理體系基礎和術語）

管理者為了達到特定目的而對管理對象進行的計畫、組織、指揮、協調和控制的一系列活動。

資訊安全管理 管理者為實現資訊安全目標（資訊資產的CIA等特性，以及業務運作的持續）而進行的計畫、組織、指揮、協調和控制的一系列活動。120資訊安全管理的對象121資訊安全管理的對象：包括人員在內的各類資訊相關資產。

規則

人員目標組織知識域：資訊安全管理概述知識子域：資訊安全管理基本概念理解管理、資訊安全管理的概念，理解資訊安全管理的對象理解以建立體系的方式實施資訊安全管理的必要性理解體系、管理體系、資訊安全管理體系的概念122以建立體系的方式實施資訊安全管理的必要性123資訊安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困難資訊安全水平的高低遵循木桶原理：資訊安全水平有多高，取决于防护最薄弱的环节資訊安全水準被侵害的資產防護措施知識域：資訊安全管理概述知識子域：資訊安全管理基本概念理解管理、資訊安全管理的概念，理解資訊安全管理的對象理解以建立體系的方式實施資訊安全管理的必要性理解體系、管理體系、資訊安全管理體系的概念124資訊安全管理體系的定義體系管理體系資訊安全管理體系125資訊安全管理體系的定義體系：相互關聯和相互作用的一組要素。

（--

ISO9000:2005品質管理體系基礎和術語）管理體系： 建立方針和目標並達到目標的體系。 （--

ISO9000:2005品質管理體系基礎和術語）

為達到組織目標的策略、程式、指南和相關資源的框架。

（--

ISO/IEC27000:2009資訊技術安全技術資訊安全管理體系概述和術語）資訊安全管理體系(ISMS：Information

Security

Management

System)：

整體管理體系的一部分，基於業務風險的方法，來建立、實施、運作、監視、評審、保持和改進資訊安全。

（--

ISO/IEC27000:2009資訊技術安全技術資訊安全管理體系概述和術語）

建立資訊安全方針和目標並達到這些目標的體系。 為達到組織資訊安全目標的策略、程式、指南和相關資源的框架。126127資訊安全管理體系，包括的要素有：資訊安全组织架構資訊安全方針資訊安全规划活動資訊安全職責資訊安全相关的实践、规程、过程和資源......這些要素既相互关联又相互作用資訊安全管理體系的構成要素資訊安全管理體系的特點資訊安全管理體系要求組織通過確定資訊安全管理體系範圍，制定資訊安全方針，明確管理職責，以風險評估為基礎選擇控制目標和措施等一系列活動來建立資訊安全管理體系體系的建立基於系統、全面、科學的資訊安全風險評估，體現以預防控制為主的思想，強調遵守國家有關資訊安全的法律、法規及其他合同方面的要求強調全過程和動態控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；強調保護組織所擁有的關鍵性資訊資產，而不是全部資訊資產，確保資訊的保密性、完整性和可用性，保持組織的競爭優勢和業務的持續性128129狹義的資訊安全管理體系：指按照ISO27001標準定義的ISMS廣義的資訊安全管理体系：泛指任何一种有关信息安全的管理體系狹義和广义的資訊安全管理體系課程內容130資訊安全管理基礎知識體知識域資訊安全管理方法與實施知識子域資訊安全管理方法資訊安全管理作用資訊安全管理基本概念資訊安全管理實施資訊安全管理概述知識域：資訊安全管理概述知識子域：資訊安全管理作用理解資訊安全管理的重要作用理解信息安全管理体系的作用理解實施資訊安全管理的關鍵成功因素131資訊安全管理的作用132（一）資訊安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障133資訊系統是人機交互系統設備的有效利用是人為的管理過程資訊安全管理的作用應對風險需要人為的管理過程資訊安全管理的作用如今，資訊安全问题已经成为组织业务正常运营和持续发展的最大威胁資訊安全問題本质上是人的問題，單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的實現信息安全是一个多层面、多因素的过程，也取決於制定資訊安全方針策略標準規範、建立有效的監督審計機制等多方面非技術性努力如果組織想當然地制定一些控制措施和引入某些技術產品，難免存在挂一漏萬、顧此失彼的問題，使資訊安全這只“木桶”出現若干“短板”，從而無法提高資訊安全水準134資訊安全管理的作用資訊安全管理，是組織完整的管理體系中一個重要的環節，它構成了資訊安全具有能動性的部分理解並重視管理對於資訊安全的關鍵作用，制定適宜的、易於理解、方便操作的安全策略對實現資訊安全目標、進而實現業務目標至关重要組織建立一个管理框架，让好的安全策略在这个框架内实施，并不断得到修正，才可能为业务的正常持续运作提供可靠的信息安全保障135資訊安全管理的作用136（二）資訊安全管理是資訊安全技術的融合劑，保障各項技術措施能夠發揮作用資訊安全管理的作用137如果你把鑰匙落在鎖眼上會怎樣？技術措施需要配合正確的使用才能發揮作用保險櫃就一定安全嗎？138WO!3G精心設計的網路防禦體系，因違規外連形同虛設防火牆能解決這樣的問題嗎？資訊安全管理的作用解決信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理安全技術是資訊安全控制的重要手段，但光有安全技術還不行，要讓安全技術發揮應有的作用，必然要有適當的管理程式，否則，安全技術只能趨於僵化和失敗說安全技術是資訊安全的構築材料，資訊安全管理就是粘合劑和催化劑技術和產品是基礎，管理才是關鍵產品和技術，要通過管理的組織職能才能發揮最佳作用資訊安全管理的作用139技術不高但管理良好的系統遠比技術高超但管理混亂的系統安全只有將有效的安全管理從始至終貫徹落實於安全建設的方方面面，資訊安全的長期性和穩定性才能有所保證根本上說，資訊安全是個管理過程，而不是技術過程資訊安全管理的作用3分技術7分管理？人們常說，三分技術，七分管理，可見管理對資訊安全的重要性140資訊安全“技管並重”的原則對於信息安全，到底是技术更重要，还是管理更重要？強調資訊安全管理，並不是要削弱資訊安全技術的作用，開展資訊安全管理要處理好管理和技術的關係技管并重。“堅持管理與技術並重”是我國加強資訊安全保障工作的主要原则之一141資訊安全管理的作用142（三）資訊安全管理能預防、阻止或減少資訊安全事件的發生資訊安全管理的作用統計结果顯示，在所有信息安全事故中，只有20%~30%是由於駭客入侵或其他外部原因造成的，70%~80%是由於內部員工的疏忽或有意洩密造成的統計结果表明，现实世界裏大多數安全事件的發生和安全隱患的存在，與其說是技術原因，不如說是管理不善造成的因此，防止发生信息安全事件不应仅从技术着手，同时更应加强信息安全管理143安全不是產品的簡單堆積，也不是一次性的靜態過程，它是人員、技術、操作三者緊密結合的系統工程，是不斷演進、迴圈發展的動態過程。對資訊安全的正確理解144知識域：資訊安全管理概述知識子域：資訊安全管理作用理解資訊安全管理的重要作用理解資訊安全管理體系的作用理解實施資訊安全管理的關鍵成功因素145資訊安全管理體系的作用對內：能夠保護關鍵信息資產和知識產權，维持竞争优势在系統受侵襲时，确保业务持续开展并将损失降到最低程度建立起資訊安全审计框架，实施监督檢查建立起文檔化的信息安全管理规范，实现有“法”可依，有章可循，有據可查強化员工的信息安全意识，建立良好的安全作业习惯，培育組織的信息安全企业文化按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，達到可接受的資訊安全水準，從根本上保證業務的持续性146資訊安全管理體系的作用對外：能夠使各利益相關方對組織充滿信心能夠幫助界定外包時雙方的資訊安全责任可以使組織更好地滿足客戶或其他組織的審計要求可以使組織更好地符合法律法規的要求若通過了ISO27001認證，能夠提高组织的公信度可以明確要求供应商提高信息安全水平，保证数据交换中的信息安全147知識域：資訊安全管理概述知識子域：資訊安全管理作用理解資訊安全管理的重要作用理解資訊安全管理體系的作用理解實施資訊安全管理的關鍵成功因素148實施資訊安全管理的關鍵成功因素(CSF)

組織的信息安全方针和活动能够反映组织的业务目標

組織实施信息安全的方法和框架与组织的文化相一致

管理者能够给予信息安全实质性的、可见的支持和承諾

管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解

向全員和其他相關方提供有效的信息安全宣传以提升信息安全意識

向全員和其他相關方分發並宣貫資訊安全方針、策略和标准

管理者为信息安全建设提供足够的資金

向全員提供適當的資訊安全培訓和教育建立有效的信息安全事件管理過程

建立有效的信息安全测量體系149課程內容150資訊安全管理基礎知識體知識域資訊安全管理方法與實施知識子域資訊安全管理方法資訊安全管理作用資訊安全管理基本概念資訊安全管理實施資訊安全管理概述知識域：資訊安全管理方法與實施知識子域：資訊安全管理方法理解风险管理是信息安全管理的基本方法，理解风险评估是信息安全管理的基础，风险处理是資訊安全管理的核心，理解控制措施是管理風險的具體手段理解過程方法是資訊安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型151風險評估是資訊安全管理的基礎風險評估主要對ISMS範圍內的資訊資產進行鑒定和估價，然後對資訊資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規劃的安全控制措施進行界定資訊安全管理體系的建立需要確定資訊安全需求資訊安全需求獲取的主要手段就是安全風險評估資訊安全風險評估是資訊安全管理體系建立的基礎，沒有風險評估，資訊安全管理體系的建立就沒有依據152風險處理是資訊安全管理的核心風險處理是對風險評估活動識別出的風險進行決策，採取適當的控制措施處理不能接受的風險，將風險控制在可按受的範圍風險評估活動只能揭示組織面臨的風險，不能改變風險狀況只有通過風險處理活動，組織的資訊安全能力才會提升，資訊安全需求才能被滿足，才能實現其資訊安全目標資訊安全管理的核心就是這些風險處理措施的集合153風險管理是資訊安全管理的根本方法154應對風險評估的結果進行相應的風險處理。本質上，風險處理的最佳集合就是資訊安全管理體系的控制措施集合梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程週期性的风险评估與風險處理活動即形成对风险的动态管理動態的風險管理是進行資訊安全管理、實現資訊安全目標、維持資訊安全水準的根本方法控制措施是管理风险的具体手段155管理風險的具體手段是控制措施風險處理時，需要選擇並確定適當的控制目標和控制措施。只有落實適當的控制措施，那些不可接受的高風險才能降低到可以接受的水準之內控制措施的類別156從手段来看，可以分為技術性、管理性、物理性、法律性等控制措施從功能来看，可以分為預防性、檢測性、糾正性、威懾性等控制措施從影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11個類別/域知識域：資訊安全管理方法與實施知識子域：資訊安全管理方法理解風險管理是資訊安全管理的基本方法，理解風險評估是資訊安全管理的基礎，風險處理是資訊安全管理的核心，理解控制措施是管理風險的具體手段理解過程方法是資訊安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型157過程process

一組將輸入轉化為輸出的相互關聯或相互作用的活動。

(--

ISO/IEC27000:2009、ISO9000:2005)過程方法processapproach

一個組織內諸過程的系統的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。

(--ISO/IEC27001:2005) 系統地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為“過程方法”。(--ISO9000:2005)

過程、過程方法的概念158過程方法示意圖活動測量、改進責任人資源記錄輸入輸出過程方法159·資訊輸入·資訊輸出·資訊記錄·資源

—人

—環境

—設備

—工具

—通信

—其他·立法·規定·客戶·集團

—政治

—標準

—程式·摘要·收據·客戶·銷售發票等等變化？關鍵活動測量擁有者資源記錄標准輸入輸出生產經營·資訊輸入·資訊輸出·資訊記錄·資源

—人

—環境

—設備

—工具

—通信

—其他·立法·規定·客戶·集團

—政治

—標準

—程式·摘要·收據·客戶·銷售發票等等變化？關鍵活動測量擁有者資源記錄標准輸入輸出生產經營·資訊輸入·資訊輸出·資訊記錄·資源

—人

—環境

—設備

—工具

—通信

—其他·立法·規定·客戶·集團

—政治

—標準

—程式·摘要·收據·客戶·銷售發票等等變化？關鍵活動測量擁有者資源記錄標准輸入輸出生產經營·資訊輸入·資訊輸出·資訊記錄·資源

—人

—環境

—設備

—工具

—通信

—其他·立法·規定·客戶·集團

—政治

—標準

—程式·摘要·收據·客戶·銷售發票等等變化？關鍵活動測量擁有者資源記錄標准輸入輸出生產經營活動測量、改進資源記錄過程的分解過程和子過程的每一個方面都是受控的，過程的輸出才是有保障的輸出責任人輸入160A規劃實施檢查處置PDCPDCA迴圈161PDCA迴圈162PDCA也稱“戴明環”，由美國品質管理專家戴明提出P（Plan）：計畫，確定方針和目標，確定活動計畫D（Do）：實施，實際去做，實現計畫中的內容C（Check）：檢查，總結執行計畫的結果，注意效果，找出問題A（Act）：行動，對總結檢查的結果進行處理，成功地經驗加以肯定並適當推廣、標準化；失敗的教訓加以總結，以免重現；未解決的問題放到下一個PDCA迴圈163特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循环9090處置實施規劃檢查CADP特點二：組織中的每個部分，甚至個人，均可以PDCA迴圈，大環套小環，一層一層地解決問題特點三：每通過一次PDCA迴圈，都要進行總結，提出新目標，再進行第二次PDCA循环90909090處置實施規劃檢查CADP達到新的水準改進(修訂標準)維持原有水準90909090處置實施規劃檢查CADPPDCA迴圈的特徵與作用PDCA迴圈，能夠提供一種優秀的過程方法，以實現持續改进遵循PDCA迴圈，能使任何一項活動都有效地进行PDCA迴圈的作用164課程內容165資訊安全管理基礎知識體知識域資訊安全管理方法與實施知識子域資訊安全管理方法資訊安全管理作用資訊安全管理基本概念資訊安全管理實施資訊安全管理概述知識域：資訊安全管理方法與實施知識子域：資訊安全管理實施理解建设信息安全管理体系是系统地实施信息安全管理的一种方法理解建設資訊安全等級保護是系統地實施資訊安全管理的一種方法了解基於NISTSP800進行資訊安全建設是實施資訊安全管理的一種方法166ISMS是一種常見的對組織資訊安全進行全面、系統管理的方法ISMS是由ISO27001定義的一種有關資訊安全的管理體系，是一種典型的基於風險管理和過程方法的管理体系週期性的風險評估、內部審核、有效性測量、管理評審，是ISMS規定的四個必要活動，能確保ISMS進入良性迴圈、持續自我改進資訊安全管理体系167資訊安全管理體系持續改進的PDCA迴圈過程168資訊安全管理體系是PDCA動態持續改進的一個循环体規劃和建立實施和運行監視和評審保持和改進輸入相關方資訊安全要求和期望相關方受控的資訊安全輸出168ISMS的核心內容可以概括為4句話

規定你應該做什麼並形成檔 ：Plan做檔已規定的事情 ：Do評審你所做的事情的符合性 ：Check採取糾正和預防措施，持續改進 ：Act用PDCA來理解什麼是資訊安全管理體系169170ISO/IEC27000標準族27000~2700327004~2700827000資訊安全管理體系概述和術語27001資訊安全管理體系要求27002資訊安全控制措施實用規則27003資訊安全管理體系實施指南27004資訊安全管理測量27005資訊安全風險管理27006提供資訊安全管理体系审核和認證機構的要求27007資訊安全管理體系審核指南27008資訊安全管理體系控制措施審核員指南27001270022700027006270052700327004資訊安全管理體系基本原理和辭彙

ISO27000標準族日益完善，已經開發和计划開發的标准有60餘項知識域：資訊安全管理方法與實施知識子域：資訊安全管理實施理解建設資訊安全管理體系是系統地實施資訊安全管理的一種方法理解建設資訊安全等級保護是系統地實施資訊安全管理的一種方法了解基於NISTSP800進行資訊安全建設是實施資訊安全管理的一種方法171資訊安全等級保護也是一種常見的對組織的資訊安全進行全面、系統管理的實施方法依據《電腦資訊系統安全保護條例》對資訊安全進行全面管理的一套機制將信息系统按照重要性和受破壞危害程度分成五個安全保護等級，不同保護等級的系統分別給予不同級別的保護定級、安全建設/整改、定期自查、等級測評、備案和監督檢查是資訊安全等級保護的六個規定活动資訊安全等級保護172知識域：資訊安全管理方法與實施知識子域：資訊安全管理實施理解建設資訊安全管理體系是系統地實施資訊安全管理的一種方法理解建設資訊安全等級保護是系統地實施資訊安全管理的一種方法了解基於NISTSP800進行資訊安全建設是實施資訊安全管理的一種方法173參照NISTSP800進行建設也是一種常見的對組織的資訊安全進行全面、系統管理的實施方法NISTSP800是由美國國家標準與技術研究院發佈的一系列特別出版物（SpecialPublications，SP），是關於電腦安全的指南文档美國《聯邦資訊安全管理法案》（FederalInformationSecurityManagementAct，FISMA），專門指定NIST負責開展資訊安全標準、指導方針的制定NISTSP800規範174SP800-37描述了此系列規範遵從的風險管理框架NISTSP800規範175SP800-37給出了遞升的風險管理方法NISTSP800規範176三种典型信息安全管理实施方法的區別和联系177

應用對象應用特點ISMS各種類型的組織（有體系建立需求）完全以市場化需求為主，不具備強制性。以風險管理方法為基礎，如果實施體系認證，必須完全滿足27001標準要求等級保護國家基礎網路和重要資訊系統作為我國的一項基礎制度加以推行，有一定強制性。主要