信息安全管理

1、信息安全管理,讲师名称 培训机构,版本：4.0,2,课程内容,信息安全管理,知识域,知识子域,安全管理体系,社会工程学攻击,安全控制措施,3,知识子域：安全管理体系,信息安全管理 了解管理与信息安全管理的概念及相互关系； 理解信息安全管理的作用和价值； 安全管理体系建设 理解信息安全管理体系建设的概念及相关要求； PDCA过程 了解PDCA模型的概念及在信息安全管理体系建设中的应用； 理解信息安全管理体系建设PDCA过程中各阶段的工作内容；,4,信息安全管理基本概念,管理 指挥和控制组织的协调的活动。- ISO9000:2005 质量管理体系 基础和术语） 信息安全管理 管理者为实现信息安全目

2、标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。 信息安全管理的对象：包括人员在内的各类信息相关资产,目标,5,信息安全管理的作用,信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障 信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用 信息安全管理能预防、阻止或减少信息安全事件的发生,信息安全管理体系的作用-对内,能够保护关键信息资产和知识产权，维持竞争优势 在系统受侵袭时，确保业务持续开展并将损失降到最低程度 建立起信息安全审计框架，实施监督检查 建立起文档化的信息安全管理规范，实现有“法”可依，有章

3、可循，有据可查 强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化 按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性,6,信息安全管理体系的作用-对外,能够使各利益相关方对组织充满信心 能够帮助界定外包时双方的信息安全责任 可以使组织更好地满足客户或其他组织的审计要求 可以使组织更好地符合法律法规的要求 若通过了ISO27001认证，能够提高组织的公信度 可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全,7,8,实施信息安全管理体系的关键成功因素,组织的信息安全方针和活动能够反映组

4、织的业务目标 组织实施信息安全的方法和框架与组织的文化相一致 管理者能够给予信息安全实质性的、可见的支持和承诺 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识 向全员和其他相关方分发并宣贯信息安全方针、策略和标准 管理者为信息安全建设提供足够的资金 向全员提供适当的信息安全培训和教育 建立有效的信息安全事件管理过程 建立有效的信息安全测量体系,信息安全管理方法与实施,信息安全管理的根本方法是风险管理 风险评估是信息安全管理的基础：管理体系建设需要确定需求，风险评估是需求获取的主要手段 风险处理是信息安全管理体系的核心

5、，风险处理最佳集合就是控制措施集合 信息安全管理的过程方法：PDCA循环 P（Plan）：计划 D（Do）：实施 C（Check）：检查 A（Act）：行动,9,信息安全管理体系建设,信息安全管理体系 组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合,10,11,ISO导则83的结构性要求,ISO 27001:2013采用ISO导则83做结构性要求,规划与建立ISMS,P1-定义ISMS范围和边界 P2-制定ISMS方针 P3-确定风险评估方法 P4-实施风险评估 P5-

6、选择、评价和确定风险处理方式、处理目标和处理措施 P6-获得管理者对建议的残余风险的批准 P7-获得管理者对实施和运行ISMS的授权 P8-编制适用性声明（SoA）,12,实施和运行ISMS,D1-制定风险处理计划 D2-实施风险处理计划 D3-开发有效性测量程序 D4-实施培训和意识教育计划 D5-管理ISMS的运行 D6-管理ISMS的资源 D7-执行检测事态和响应事件的程序,13,监视和评审ISMS,C1-日常监视和检查 C2-进行有效性测量 C3-实施内部审核 C4-实施风险再评估 C5-实施管理评审,14,保持和改进ISMS,A1-实施纠正和预防措施 A2-沟通措施和改进情况,15,

7、16,知识子域：信息安全控制措施,理解信息安全方针控制目标和控制措施； 了解信息安全组织包含2个控制目标7个控制措施 了解人力资源安全包含3个控制目标6个控制措施 了解资产管理包含3个控制目标10个控制措施； 了解访问控制包含4个控制目标14个控制措施； 了解密码学包含1个控制目标2个控制措施。 了解物理与环境安全包含2个控制目标15个控制措施。 了解操作安全包含7个控制目标14个控制措施,17,知识子域：信息安全控制措施,了解通信安全包含2个控制目标7个控制措施。 了解信息获取、开发和维护包含3个控制目标13个控制措施。 了解供应商关系包含2个控制目标5个控制措施。 了解信息安全事件管理包含

8、2个控制目标5个控制措施。 了解信息安全方面的业务连续性管理包含2个控制目标4个控制措施。 了解符合性包含2个控制目标8个控制措施。,18,安全控制措施内部结构,14个类别 35个目标 114个控制措施,19,信息安全方针,控制目标:组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全 控制措施 信息安全方针 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方 信息安全方针评审 宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性,20,信息安全方针应符合实际情况，切实可行。对方针的落实尤为重要,信息安全方针,信息安全方针是

9、陈述管理者的管理意图，说明信息安全工作目标和原则的文件,信息安全方针应当说明以下内容： 本单位信息安全的整体目标、范围以及重要性 信息安全工作的基本原则 风险评估和风险控制措施的架构 需要遵守的法规和制度 信息安全责任分配 对支持方针的文件的引用,信息安全方针主要阐述信息安全工作的原则，具体的技术实现问题，如设备的选型，系统的安全技术方案一般不写在安全方针中,21,信息安全组织-内部组织,控制目标 建立一个管理框架，用以启动和控制的组织内信息安全的实施和运行 控制措施 信息安全的角色和职责 职责分离 与政府部门的联系 与相关利益方的联系 项目管理的信息安全,22,信息安全组织-移动设备与远程办

10、公,控制目标：移动设备与远程办公 确保远程办公和使用移动设备时的安全性 控制措施 移动设备方针 远程工作,23,移动设备方针,应采用方针和配套保障措施以管理使用移动设备时带来的风险。 当使用移动设备时，应特别注意确保业务信息不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。 当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，宜加以小心。 宜对移动计算设施进行物理保护，以防被偷窃。,24,远程工作,远程工作指的是办公室以外的所有形式的工作，包括非传统工作环境比如那些被称为“远程办公”、“弹性工作场所”、“远程工作”和“虚拟工作”环境 应实施方针和配套保障措施以保护远程工作

11、地点的信息访问、处理和存储 组织宜仅对允许的远程工作行为发布方针，定义远程工作的条件和限制,25,人力资源安全-任用前,控制目标：确保雇员、承包方理解其职责，对其考虑的角色是适合的 控制措施： 审查 任用条款及条件,26,人力资源安全-任用前,关于所有任用的候选者与承包商的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。 对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录 应在雇员和承包商的合约协议中声明他们与组织的信息安全责任 明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任,27,

12、人力资源安全-任用中,控制目标：确保雇员、承包方意识并履行其信息安全职责 控制措施 管理职责 信息安全意识、教育和培训 纪律处理过程,28,人力资源安全-任用中,保证其充分了解所在岗位的信息安全角色和职责 有针对性地进行信息安全意识教育和技能培训 及时有效的惩戒措施,29,人力资源安全-任用的终止或变化,控制目标：将聘用的变更或终止作为组织过程的一部分以保护组织的利益。 控制措施 雇佣责任的改变和终结,30,人力资源安全-任用的终止或变化,离职可能引发的安全隐患 未删除的账户 未收回的各种权限 VPN、远程主机、企业邮箱和VoIP等应用 其它隐含信息 网络架构、规划，存在的漏洞 同事的账户、口

13、令和使用习惯等,这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息安全事件,31,人力资源安全-任用的终止或变化,终止职责：组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责，如通知相关人员人事变化，向离职者重申离职后仍需遵守的规定和承担的义务 归还资产：保证离职人员归还软件、电脑、存储设备、文件和其他设备 撤销访问权限：撤销用户名、门禁卡、密钥、数字证书等,32,资产管理-对资产负责,控制目标：实现和保持对组织资产的适当保护 控制措施： 资产清单 资产责任人 资产的可接受使用 资产归还,33,资产清单,信息安全管理工作的直接目的是保护组织的资产 资产包括： 信息：业务数

14、据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等 软件：应用软件、系统软件、开发工具 物理资产：计算机设备、通信设备、存储介质等 服务：通信服务、供暖、照明、能源等 人员 无形资产，如品牌、声誉和形象,34,资产责任人,明确资产责任 列出资产清单，明确保护对象 确保资产进行了适当的分类和保护 明确谁对资产的安全负责,35,资产的可接受使用和资产归还,应确定、记录并实施与信息处理设施有关的信息和资产可接受使用规则。 所有的雇员和外方用户在终止任用、合同或协议时，应归还他们使用的所有组织资产。 包括物理和电子资产 使用自己的设备时，宜遵循规程确保所有相关的信息已转移给组织，并且已从

15、设备中安全地删除,36,资产管理-信息分类,控制目标：确保信息受到适当级别的保护 控制措施： 分类指南 信息的标记 资产的处理,37,分类指南,分类依据 根据法律要求、价值和对泄露或篡改的敏感性和关键性分类 关注点、重点不同直接影响信息分类 军事机构更加关注机密信息的保护，私有企业通常更加关注数据的完整性和可用性,分类必要步骤 定义分类类别 说明决定信息分类的标准 制定每种分类所需的安全控制，或保护机制 建立一个定期审查信息分类与所有权的程序 让所有员工了解如何处理各种不同分类信息,38,信息的标记与资产的处理,信息的标记 信息应按照组织所采纳的分类机制建立和实施一组合适的信息标记规程。 标记

16、的规程需要涵盖物理和电子格式的信息资产。标记宜反映出分类。标记应易于辨认。 信息标记及其相关资产有时有负面影响。分类的资产容易被识别，从而被内部或外部攻击者偷窃。 资产的处理 应按照组织所采纳的分类机制建立和实施一组合适的资产处理规程。,39,资产管理-介质处置,控制目标：防止介质存储信息的未授权泄露、修改、移动或销毁 控制措施： 可移动介质的管理 介质的处置 物理介质传输,40,访问控制-访问控制的业务要求,控制目标：限制对信息和信息处理设施的访问。 控制措施： 访问控制方针 网络和网络服务的访问,41,访问控制方针,应建立访问控制策略并形成文件，并基于业务和访问的安全要求进行评审。 在“未

17、经明确允许，则一律禁止”的前提下，而不是“未经明确禁止，一律允许”的弱规则的基础上建立规则 访问控制角色的分割，例如访问请求、访问授权、访问管理,42,网络和网络服务的访问,用户应仅能访问已获专门授权使用的网络和网络服务。 宜制定关于使用网络和网络服务的策略： 允许被访问的网络和网络服务； 确定允许哪个人访问哪些网络和网络服务的授权规程； 保护访问网络连接和网络服务的管理控制措施和规程； 访问网络和网络服务使用的手段（如使用VPN和无线网络）； 访问各种网络服务的用户授权要求； 监视网络服务的使用。,43,访问控制-用户访问管理,控制目标：确保授权用户访问系统和服务，并防止未授权的访问。 控制

18、措施： 用户注册和注销 用户访问配置 特殊权限管理 用户的秘密验证信息管理 用户访问权的复查 访问权限的移除或调整,44,访问控制-用户职责,控制目标：使用户负责维护其授权信息。 控制措施： 秘密验证信息的使用,45,访问控制-系统和应用访问控制,控制目标：防止对系统和应用的未授权访问。 控制措施： 信息访问限制 安全登录规程 口令管理系统 特权实用程序的使用 程序源代码的访问控制,46,访问控制思路,由于服务是分层次的，攻击可能从各个层次发起，好的访问控制应该在多层面进行,只靠网络防火墙不能抵抗所有的攻击，操作系统层面、应用安全层面都要做好访问控制才行,47,密码学-加密控制,控制目标：通过

19、加密方法保护信息的保密性、真实性或完整性。 控制措施： 使用加密控制的策略 密钥管理,48,物理与环境安全-安全区域,控制目标：防止对组织场所和信息过程设备的未授权物理访问、损坏和干扰。 控制措施： 物理安全边界 物理入口控制 办公室、房间和设施的安全保护 外部和环境威胁的安全防护 在安全区域工作 送货和装卸区,49,物理与环境安全-设备安全,控制目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 控制措施： 设备安置和保护 支持性设施 布缆安全 设备维护 资产的移动,组织场所外的设备安全 设备的安全处置和再利用 无人值守的用户设备 清空桌面和屏幕方针,50,操作安全-操作规程和

20、职责,控制目标：确保正确、安全地操作信息处理设施 控制措施： 文件化的操作规程变更管理 容量管理 开发、测试和运行设施分离,51,操作安全-恶意代码防范,控制目标：保护信息和信息处理设施以防恶意代码。 控制措施 控制恶意代码,52,操作安全-备份,控制目标：防止数据丢失 控制措施： 信息备份,备份资料必须给予适当级别与保护 定期测试备份介质 定期检查与测试恢复步骤,53,操作安全-日志记录和监视,控制目标：记录事件并生成证据。 控制措施： 事件日志 日志信息的保护 管理员和操作员日志 时钟同步,54,操作安全-操作软件控制,控制目标：确保操作系统的完整性。 控制措施： 操作系统软件的安装,55

21、,操作安全-技术漏洞管理,控制目标：防止对技术漏洞的利用。 控制措施： 技术脆弱性管理 软件安装限制,56,操作安全-信息系统审计的考虑,控制目标：极小化审计行为对业务系统带来的影响。 控制措施： 信息系统审计控制,57,通信安全-网络安全管理,控制目标：确保网络中信息和支持性基础设施的安全性 控制措施： 网络控制 网络服务安全 网络隔离,58,通信安全-信息的交换,控制目标：保持组织内以及与组织外信息交换的安全。 控制措施： 信息交换策略和规程 信息交换协议 电子消息 保密或不披露协议,59,信息获取开发及维护-信息系统的安全要求,控制目标：确保信息安全是信息系统生命周期中的一个有机组成部分

22、。这同样包含了在公共网络上提供服务的信息系统的要求。 控制措施： 安全需求分析和说明 公共网络上的安全应用服务 应用服务交换的保护,60,信息获取开发及维护-开发和支持过程中的安全,控制目标：确保信息系统开发的生命周期中设计和实施的信息安全。 控制措施： 安全开发策略 系统变更控制规程 操作系统变更后应用的技术评审 软件包变更的限制 安全系统工程原理,开发环境的安全 外包软件开发 系统安全测试 系统验收测试,61,信息获取开发及维护-测试数据,控制目标：确保用于测试的数据得到保护 控制措施： 测试数据的保护,62,供应商关系-供应商关系中的信息安全,控制目标：确保供应商可访问的组织资产受到保护

23、。 控制措施： 供应商关系的信息安全方针 供应商协议中解决安全问题 信息和通信技术的供应链,63,供应商关系-供应商服务交付管理,控制目标：根据供应协议，维持信息安全和服务交付在协定的等级 控制措施： 监控和审查供应商服务 供应商服务变更管理,64,信息安全事件管理-信息安全事件的管理和改进,控制目标：确保采用一致和有效的方法对信息安全事件进行管理，包括通信安全事件和弱点。 控制措施： 职责和规程 信息安全事态报告 信息安全弱点报告 信息安全事态的评估和决策 信息安全事件的响应 从信息安全事件中学习 证据的收集,65,信息安全事件管理-信息安全事件管理职责和规程,事件响应规程的计划和准备； 信

24、息安全事态和事件的监视、检测、分析和报告的规程； 事件管理活动日志的规程； 鉴定证据的处理规程； 信息安全事件评估和决断、信息安全弱点评估的规程； 包括升级、从事件的受控恢复、与内部和外部相关人或组织的联系在内的响应规程,66,信息安全事件的响应,应按照既定规程响应信息安全事件。 事件发生后尽快收集证据；按要求进行信息安全取证分析；确保所有涉及的响应活动被适当记录，便于日后分析； 按要求升级响应 根据按需了解原则，与其他内部和外部人员或组织交流存在的信息安全事件及相关细节； 处理发现的导致事件的信息安全弱点； 一旦事件被成功处理，正式关闭并记录。,67,信息安全方面的业务连续性管理-信息安全的

25、连续性,控制目标：应将信息安全连续性嵌入组织业务连续性管理之中。 控制措施： 信息安全连续性的计划 信息安全连续性的实施 信息安全连续性的确认、审查和评估,68,业务连续性与信息安全的连续性,组织应确定在业务连续性管理过程或灾难恢复管理过程中是否包含了信息安全连续性。应在计划业务连续性和灾难恢复时确定信息安全要求。 组织应建立、记录、实施并维持过程、规程和控制措施以确保在不利情况下信息安全连续性处于要求级别。,69,信息安全方面的业务连续性管理-冗余,控制目标：确保信息过程设施的可用性。 控制措施： 信息过程设施的可用性 应实施足够的信息过程设施冗余以确保可用性要求。 组织应明确信息系统可用性的业务要求。当使用现有系统体系结构不能保证可用性时，宜考虑冗余组件或架构。 若可行，宜测试冗余信息系统以确保故障按预期从一个组件转