CISM信息安全管理体系V().ppt

1、信息安全管理体系,中国信息安全测评中心,版本：3.0,课程内容,2,信息安全 管理,信息安全 管理体系,信息安全 管理基础,知识体：信息安全管理体系,知识域：信息安全管理体系概念 理解信息安全管理体系（ISMS）的概念和核心过程 了解信息安全管理体系文档要求 了解ISO/IEC 27000标准族,3,管理体系相关概念,4,体系 相互关联和相互作用的一组要素 （- ISO9000:2005 质量管理体系 基础和术语） 管理体系： 建立方针和目标并达到目标的体系 （- ISO9000:2005 质量管理体系 基础和术语） 为达到组织目标的策略、程序、指南和相关资源的框架 （- ISO/IEC 27

2、000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）,管理体系,5,ISO9000 质量管理体系,ISO14000 环境管理体系,OHSAS 职业健康安全管理体系,ISO/IEC27000 信息安全管理体系,ISO/IEC20000 服务管理体系,ISO22000食品安全管理体系,管理体系 Management System,信息安全管理体系,什么是信息安全管理体系 Information Security Management System，ISMS 是管理体系方法在信息安全领域的运用,6,信息安全管理体系,信息安全管理体系是整个管理体系的一部分，它是基于业务风险方法，来建立

3、、实施、运行、监视、评审、保持和改进信息安全的体系 一般地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，这些要素既相互关联，又相互作用,7,信息安全管理体系的作用,对内 形成单位可自我持续改进的信息安全管理机制 使信息安全的角色和职责清晰，并落实到人 确保实现动态的、系统的、制度化的信息安全管理 有利于根本上保证业务的连续性，提高市场竞争力 对外 能够使客户、业务伙伴对单位信息安全充满信心 有助于界定外包双方的信息安全责任 可以使单位更好地满足审计要求和符合法律法规 保证和外部数据交换中的信息安全,8,作用

4、解释,ISMS是一个通用的信息安全管理指南 不是说明“怎么做”的详细细节 而是具有普遍意义的安全操作规则指南 指导单位在信息安全管理方面要做什么，如何选择适宜的安全管理控制措施 ISMS过程 信息安全管理体系标准要求建立ISMS过程 制定信息安全策略，确定体系范围，明确管理职责 单位应该实施、维护和持续改进该体系，保持其有效性,9,ISMS过程,10,建立ISMS,建立ISMS，PLAN 主要工作 定义ISMS范围和边界 ISMS范围说明书：组织结构范围、业务范围、信息系统范围和物理范围 制定ISMS方针和策略 实施风险评估 识别风险、分析和评价风险,11,实施和运行ISMS,实施和运行ISM

5、S，DO 主要工作 制定风险处理计划 实施风险处理计划 制定有效性测量程序 管理ISMS的运行,12,监视和评审ISMS,监视和评审ISMS，CHECK 主要工作 日常监视和检查 有效性测量 内部审核 风险再评估 管理评审,13,保持和改进ISMS,保持和改进ISMS，ACT 主要工作 实施纠正和预防措施 持续改进ISMS 沟通措施改进情况,14,ISMS的核心过程可以概括为4句话 规定你应该做什么并形成文件：P 做文件已规定的事情：D 评审你所做的事情的符合性：C 采取纠正和预防措施，持续改进：A,用PDCA来理解什么是信息安全管理体系,15,16,一级文档：宏观方针性文档 二级文档：管控程

6、序及管理制度性文档 三级文档：操作指南及作业指导书类 四级文档：体系运行的各种记录,下级文件应支持上级文件。,信息安全管理体系文档要求,BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革,1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础 1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则 1998年2月 英国公布BS 7799-2:信息安全管理体系要求,1999年

7、4月修订 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799:2000信息安全管理实用规则 2002年9月 BSI对BS 7799-2进行了改版 2005年6月 ISO 17799:2000改版，成为ISO/IEC 17799:2005 2005年10月 ISO正式采用BS 7799-2:2002，命名为ISO/IEC 27001:2005 2007年7月 ISO 17799:2005归入ISO 27000系列，命名为ISO/IEC 27002:2005 2008年6月- 中国等同采用ISO 27001:2005

8、, 命名为GB/T 22080-2008 中国等同采用ISO 27002:2005, 命名为GB/T 22081-2008 2013年10月 ISO正式发布ISO/IEC 27001:2013和ISO/IEC 27002:2013,ISO/IEC 27000标准簇介绍,17,BS7799,BS7799-1,BS7799-2,ISO17799 ISO27002 GB/T22081,ISO27001 GB/T22080,ISO/IEC 27000标准簇介绍,BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系,18,19,ISO/IE

9、C 27000系列 已经制定标准：21个 正在制定标准：11个,ISO/IEC 27000标准簇介绍,ISMS标准我国采标情况,各国等同采标 我国采标情况,20,知识体：信息安全管理体系,知识域：信息安全管理控制措施 了解信息安全管理控制措施的作用 理解安全方针、信息安全组织、资产管理、人力资源管理、物理和环境安全等管理域的控制目标和主要控制措施 了解通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理等管理域的控制目标和控制措施,21,信息安全控制措施,控制措施 是实施信息安全管理的方法和手段 单位通过实施一组适当的安全控制措施，保护信息资产，抵御威胁并减少系统

10、脆弱性，降低安全风险，达到信息安全目标 控制措施涉及行政、技术和管理等方面 如何制定信息安全控制措施 自己制定本单位的信息安全管理控制措施 学习别人实践经验，参考国际/国家标准 信息安全管理实用规则（ISO 27002） 信息安全管理实用规则（GB/T 22081）,22,ISMS信息安全管理域,23,信息安全管理实用规则（ISO 27002:2005） 信息安全管理实用规则（GB/T 22081-2008）,信息安全管理实用规则（GB/T 22081-2008）,24,信息安全管理实用规则,每个主要安全域，包括： 控制目标，声明要实现什么 一个或多个控制措施，用于实现该控制目标 每个（安全）

11、控制措施的描述内容 控制措施：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息，如法律考虑,25,什么是控制措施,什么是控制措施 管理风险的方法。为达成企业目标提供合理保证，并能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 控制措施的分类： 预防性控制 检查性控制 纠正性控制,26,1.安全方针,27,Why?,有没有遇到过这样的事情？ 案例1 有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。” 案例2 据说作为管理人员要把个人计算机的登录口令设置好，

12、怎么设置才符合要求呢？,这些问题需要先在“安全方针”中寻找答案,28,安全方针控制目标,控制目标 制定信息安全方针 评审信息安全方针 信息安全方针应该做到 对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程,29,具体解释,信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件 信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求，为安全管理工作提供指导和支持,信息安全方针应当说明以下问题： 本单位信息安全的整体目标、范围以及重要性； 信息安全工作的

13、基本原则； 风险评估和风险控制措施的架构； 需要遵守的法规和制度； 信息安全责任分配； 信息系统用户和运行维护人员应该遵守的规则,30,关键点,主要内容一般包括信息安全的整体目标、范围、原则、控制措施的框架、重要安全策略和需要遵守的各项规定等,信息安全方针文件应由高层管理者审批后，作为正式文件发布，并有效传达给所有员工,信息安全方针不是一成不变的，要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整,31,举例XX系统信息安全总体策略,安全方针概述 XX系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是XX系统的关键资产 信息的可用性、完整性和保密性是信息安全的基本

14、要素，关系到XX机关的形象和业务的持续运行。 必须保护这些资产不受威胁侵害 定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任,32,举例XX系统信息安全总体策略,安全方针概述 资产分类和控制 信息分类 资产分类：信息资产，包括计算机和网络，应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法，并根据分级和分类办法制定明晰的资产清单 敏感信息、关键信息 资产的可审计性 计算机和网络的运行管理,33,2.信息安全组织,34,Why?,有没有遇到过这样的事情？ 案例1 我是一名网络管理员，发现最近来自

15、外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？ 案例2 我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？,应该有一群人，至少包括单位领导、技术部门和行政部门的人，组织在一起，专门负责信息安全的事,35,控制目标,控制目标 内部组织 在组织内部建立信息安全框架 外部组织 识别和控制外部合作过程中的风险，保证单位信息和信息系统安全性,36,具体解释,为有效实施信息安全管理，保障和实施系统的信息安全，需要建立相应的组织架构 信息安全责任的重要性 在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任

16、是实施信息安全管理的第一步,37,控制措施内部组织,内部组织 目标：在组织内管理信息安全 八个控制措施 管理层重视 协调信息安全活动 分配信息安全职责 新设备和系统授权 保密协议 与政府部门的联系 与特定组织机构的联系 信息安全的独立评审,38,关键点,高层管理者参与（如本单位信息化领导小组），负责重大决策，提供资源并对工作方向、职责分配给出清晰的说明 不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合,39,1.企业内部达成共识 2.组织的安全建立责任分工划分 3.避免流于形式或作假,内部组织举例,40,信息安全工作和其他

17、工作一样，不是某个个人、某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构，但不是全部。,信息安全领导小组,信息安全领导小组 信息安全领导小组是各级系统网络与信息安全工作的最高领导决策机构 不隶属于任何部门，直接对本单位最高领导负责 是一个常设机构 领导小组成员一般由各级系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加,41,领导小组责任,领导小组责任 落实XX系统安全建设的总体规划 制定本单位安全规划并监督落实 负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度 负责本单位信息系统安全管理层以上的人员权限授予工作 审阅本单位信息安全报告 组织重大安

18、全事故查处与汇报工作,42,责任划分,信息技术部门 对信息系统及信息系统安全保障提供技术决策和技术支持 业务应用部门 对信息系统的业务处理以及业务流程的安全承担管理责任 安全保卫部门 对场地以及系统资产的防灾、防盗、防破坏等承担管理责任 人事行政部门 从人事、行政上对信息安全保障执行管理工作 其他有关部门 应与上述部门协作，共同对信息系统的建设和运行维护承担管理责任,43,控制措施外部各方,外部各方 目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 三个控制措施 识别外部各方风险 处理与顾客有关的安全问题 处理第三方协议中的安全问题,访问风险： 1.维护软件设备的承包商 2.清洁、送餐人员 3.外部咨询人员,44,关键点,要注意充分理由外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系 要注意外来风险，如与第三方机构签订保密协议，监督和限制其活动等,例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供应,45,3、 资产管理,46,Why？,那些曾经发生过的事 案例1 单位欲安装一台网络防火墙，却发现没有人可以说清楚当前的真实网络拓扑情况，也没有人能说清楚系统中有哪些服务器，这些服务器运行了哪些应用系统 案例