构建组织的ISMS体系05.ppt

1、构建组织的ISMS体系,信息安全管理体系（ISMS）,由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。 信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。 通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理体系（ISMS）。,明确保护和管理的对象,人 内部员工、外部客户、服务供应商、产品供应商等。 物 网络设备、系统主机、工作站、PC机等； 操作系统、业务应用系统等； 商业涉密数据

2、、个人隐私数据、文档数据等。,ISMS的建立与维护,遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基本上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性； 安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。,建立ISMS的步骤,确定信息安全管理方针； 明确ISMS(信息安全管理体系)的范围 ，根据组织的特性、地理位置、资产和技术来确定界限； 实施适宜的风险评估，识别资产所受的威胁脆弱性和对组织的影响，并确

3、定风险程度； 根据组织的信息安全管理方针和需要的保证程度来确定管理的风险区域； 选择适宜的控制目标和控制； 制定可用性声明，控制目标和控制方式的选择及选择原因应在可用性声明中文件化。,信息安全管理体系（ISMS）的作用,强化员工的信息安全意识，规范组织信息安全行为。,对组织的关键信息资产进行全面系统的保护，维持竞争优势。,在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度。,使组织的生意伙伴和客户对组织充满信心。,如果体系通过认证，表明体系符合标准，证明组织有能力保障重要信息，能提高组织的知名度与信任度。,促使管理层坚持贯彻信息安全保障体系。,ISMS的内容依据,安全策略 组织安全 资

4、产分类与控制 人员安全 物理和环境安全 通信和操作管理 访问控制 系统开发与维护 业务连续性管理 遵循性,ISMS的目标、方针、策略,企业的目标、方针、策略,企业的安全目标、方针、策略,企业的金融目标、方针、策略,企业的IT安全目标、方针、策略,企业的人员安全目标、方针、策略,IT系统（1）安全目标、方针、策略,IT系统（n）安全目标、方针、策略,ISMS的基本组成,安全管理流程 响应型,响应型安全管理属于“被动式”，即各种角色发现安全事件/问题后向安全员汇报，请求处理的流程。,安全管理流程 主动型,主动型安全管理属于“主动式”，即安全员定期检查各种角色，发现安全事件/问题后及时处理的流程。,

5、ISMS设计应注意的问题,安全性 设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导，保护信息与网络系统的安全，所以安全性成为首要目标。要保证体系的安全性，必须保证体系的可理解性、完备性和可扩展性。 可行性 设计体系不能纯粹地从理论角度考虑，再完美的方案，如果不考虑实际因素，那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施，它的价值也体现在所设计的工程上，如果工程的难度太大以至于无法实施，那么体系本身也就没有了实际价值。,ISMS体系设计应注意的问题,高效性 信息与网络系统对安全提出要求的目的是能保证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权衡了。信息网络系

6、统的安全体系包含一些软件和硬件，它们也会占用信息网络系统的一些资源。因此，在设计安全体系时必须考虑系统资源的开销，要求安全防护系统本身不能妨碍信息网络系统的正常运转。 可承担性 安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的，单位要为此付出一定的代价和开销。如果单位要付出的代价比从安全体系中获得的利益还要多，那么单位就不会采用这个方案。所以，在设计安全体系时，必须考虑单位的实际承受能力。,ISMS执行常见现象,制度简单，内容不全 交叉重复，混乱无章 厚厚一本，无针对性 悬挂墙壁，应付检查 锁在柜中，无人知晓 ,ISMS执行建议,建立完善的信息安全

7、管理组织体系 建立信息安全巡检制 制定可操作性的管理规范 制定针对性的管理规范 与组织文化结合的管理方式 从松到严、从少到多的管理要求 制度、规范等的定期维护 安全管理平台的集中监控 安全服务商的定期安全服务,SOC安全管理平台,随着企业的IT应用的深入和规模的扩大，技术管理难度越来越大，用户的负担越来越重，企业提出了简化管理的要求；根据信息安全的特点，多种安全产品的应用将跨越多个部门甚至多个企业，密集分布的安全产品增加了管理的难度，同时安全完备性也要求实现集成化安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是真正意义上的安全

8、 。,信息安全保障体系案例一,信息安全保障体系建设,组织体系为核心 管理体系为保障 技术体系为支撑,技术体系,管理体系,组织体系,信息安全组织体系建设,组织体系 机构建设 建立决策层、管理层和执行层三层工作关系 明确信息安全主管领导 落实信息安全管理部门及职责 指定信息安全执行岗位 建立安全巡检小组 人员管理 建立专职的安全管理员和安全审计员岗位 明确定义本单位各种角色的安全职责，加强岗位权限审核 加强招聘、上岗、变更、离职等方面的管理 加强员工的安全普及培训和管理员的安全技术培训,明确的安全组织管理！,信息安全管理体系建设,管理体系 制度管理 统一的信息安全策略 全面、可操作的信息安全管理制

9、度 资产管理 保护信息系统设备、软件、数据和技术文档的安全 明确信息系统资产管理负责人 实现等级管理、密级管理，重点保护核心信息系统资产的安全 资产变更管理 物理管理 机房安全管理 环境安全管理 物理控制措施,信息安全管理体系建设,管理体系 技术管理 实现对信息系统规划、建设、运行、维护各个阶段的安全管理 建立网络、系统、应用等各层面的安全管理规范和流程 实现对安全产品的正确维护管理 风险管理 对资产、威胁和脆弱性的状况进行定期评估，持续性的发现安全问题并进行预防性的保护 ，选择适用、有效的安全措施,统一的安全管理策略！,信息安全技术体系建设,有效的安全预警体系 跟踪漏洞 定期评估 及时加固 完善的安全防护体系 身份认证 访问控制 防病毒 完整性检查 数据加密,信息安全技术体系建设,实时的安全监控体系 网络通断监控 流量异常监控 攻击入侵检测 实时日志审计 充分的应急恢复体系 完备的应急队