信息安全管理體系PPT課件

信息安全管理體系教程,2020/6/1,.,課前介紹,課程目標(biāo)課程安排課程內(nèi)容注意事項學(xué)員介紹,2020/6/1,.,課程目標(biāo),掌握信息安全管理的一般知識了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認識和了解ISO17799理解一個組織實施ISO17799的意義初步掌握建立信息安全管理體系（ISMS）的方法和步驟,2020/6/1,.,課程安排,課時:24H課程方法：講授、小組討論、練習(xí),2020/6/1,.,課程內(nèi)容,1、信息安全基礎(chǔ)知識2、信息安全管理與信息系統(tǒng)安全保障3、信息安全管理體系標(biāo)準(zhǔn)概述4、信息安全管理體系方法5、ISO17799中的控制目標(biāo)和控制措施6、ISMS建設(shè)、運行、審核與認證7、信息系統(tǒng)安全保障管理要求,2020/6/1,.,注意事項,積極參與、活躍氣氛守時保持安靜有問題可隨時舉手提問,2020/6/1,.,1.信息安全基礎(chǔ)知識,1.1信息安全的基本概念1.2為什么需要信息安全1.3實踐中的信息安全問題1.4信息安全管理的實踐經(jīng)驗,2020/6/1,.,請思考：什么是信息安全？,1.1信息安全基本概念,2020/6/1,.,什么是信息？,ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對組織具有價值需要適當(dāng)?shù)谋Ｗo以各種形式存在：紙、電子、影片、交談等,2020/6/1,.,小問題：你們公司的Knowledge都在哪里？,信息在哪里？,2020/6/1,.,什么是信息安全?,ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保護信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業(yè)機會,2020/6/1,.,信息安全的特征（CIA）,ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個特征：機密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。,2020/6/1,.,信息本身,信息處理設(shè)施,信息處理者,信息處理過程,機密,可用,完整,總結(jié),2020/6/1,.,請思考：組織為什么要花錢實現(xiàn)信息安全？,1.2為什么需要信息安全,2020/6/1,.,組織自身業(yè)務(wù)的需要,自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標(biāo)要求競爭優(yōu)勢，樹立品牌加強內(nèi)部管理的要求,2020/6/1,.,法律法規(guī)的要求,計算機信息系統(tǒng)安全保護條例知識產(chǎn)權(quán)保護互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定,2020/6/1,.,信息系統(tǒng)使命的要求,信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障。,2020/6/1,.,請思考：目前，解決信息安全問題，通常的做法是什么？,1.3實踐中的信息安全問題,2020/6/1,.,“產(chǎn)品導(dǎo)向型”信息安全,初始階段，解決信息安全問題，通常的方法：采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案；Anti-Virus、Firewall、IDS定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；分為3個部分：第一部分：簡介和一般模型第二部分：安全功能要求第三部分：安全保證要求,2020/6/1,.,管理體系標(biāo)準(zhǔn),ISO9000族質(zhì)量管理體系ISO14000環(huán)境管理體系標(biāo)準(zhǔn)OHSAM18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)ISO17799信息安全管理體系標(biāo)準(zhǔn),2020/6/1,.,ISO/IEC17799:2000InformationtechnologyCodeofpracticeforinformationsecuritymanagement,信息技術(shù)信息安全管理實施細則,3.2ISO/IEC17799:2000,2020/6/1,.,歷史,3.3ISO17799的歷史及發(fā)展,2020/6/1,.,BSI簡介,BSI英國標(biāo)準(zhǔn)協(xié)會英國標(biāo)準(zhǔn)協(xié)會是全球領(lǐng)先的國際標(biāo)準(zhǔn)、產(chǎn)品測試、體系認證機構(gòu)。發(fā)起制定的標(biāo)準(zhǔn)ISO9000（質(zhì)量管理體系）ISO14001（環(huán)境管理體系）OHSAS18001（職業(yè)健康與安全管理體系）QS-9000/ISO/TS16949（汽車供應(yīng)行業(yè)的質(zhì)量管理體系）TL9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）BS7799。,2020/6/1,.,IUG：InternationalUserGroup,1997年成立宗旨促進ISO17799/BS7799的應(yīng)用和推廣促進對信息安全管理體系標(biāo)準(zhǔn)、認證等的理解，服務(wù)全球商業(yè)提供一個基于互聯(lián)網(wǎng)的論壇提供一個信息交流的平臺研究和寫作成員,2020/6/1,.,ISO17799被各國或地區(qū)采用的情況,EnglandAustraliaNewZealandBrazilCzechRepublicFinlandIcelandIrelandNetherlands(SPE20003)NorwaySweden(SS627799)Taiwan中國,2020/6/1,.,ISO17799在中國,國內(nèi)從2000年初開始認識ISO17799/BS7799；2000年初開始，國內(nèi)一些公司和單位進行BS7799的研究和相關(guān)課程培訓(xùn)；20022003年，我國已經(jīng)提出了國標(biāo)化的計劃；,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架,ISO17799:2000（BS7799-1:1999）CodeofPracticeforInformationSecurityManagement信息安全管理實施細則BS7799-2:1999(已經(jīng)有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem信息安全管理體系規(guī)范,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),Foreword(ISO前言)Introduction(引言)1.Scope(范圍)2.TermandDefinitions(術(shù)語和定義)3.12.詳細控制目標(biāo)和控制措施,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),Foreword(ISO前言)ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)組成世界性標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的各國團體通過由各自組織設(shè)立的技術(shù)委員會參與國際標(biāo)準(zhǔn)的開發(fā)，處理特殊領(lǐng)域的技術(shù)活動。ISO和IEC技術(shù)委員會協(xié)調(diào)共同利益的領(lǐng)域。其它與ISO和IEC有聯(lián)系的國際組織（官方的和非官方的）也可參加工作。,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),Introduction(引言)什么是信息安全為何需要信息安全如何確定安全需求評估安全風(fēng)險選擇控制措施信息安全起點成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),Scope(范圍)本標(biāo)準(zhǔn)為組織中負責(zé)信息安全的啟動、實現(xiàn)和保持的人員提供了信息安全管理方面的建議。目的是為各個組織制定安全標(biāo)準(zhǔn)和有效的安全管理措施提供一個通用平臺，并建立組織間交易時的信心。本標(biāo)準(zhǔn)所提供的建議應(yīng)該根據(jù)相關(guān)法規(guī)有選擇的使用。,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),2.TermandDefinitions(術(shù)語和定義)2.1informationsecurity信息安全2.2Riskassessment風(fēng)險評估2.3Riskmanagement風(fēng)險管理,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),2.1informationsecurity信息安全Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.確保只有被授權(quán)的人員才可以訪問信息。-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.確保信息及其處理方法的準(zhǔn)確性和完整性。-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.確保被授權(quán)的用戶在需要時可以訪問信息和相關(guān)的資產(chǎn)。,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),2.2Riskassessment風(fēng)險評估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.對信息和信息處理設(shè)施所受到的威脅、影響和脆弱性以及發(fā)生這些事件的可能性進行評估。,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),2.3Riskmanagement風(fēng)險管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進行識別、控制、減小或消除的過程。,2020/6/1,.,3.4ISO17799:2000的內(nèi)容框架(續(xù)),3.Securitypolicy安全方針4.SecurityOrganizational安全組織5.Assetclassificationandcontrol資產(chǎn)分類與控制6.Personnelsecurity人員安全7.Physicalandenvironmentalsecurity物理和環(huán)境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol訪問控制10.Systemsdevlopmentandmaintenance系統(tǒng)開發(fā)和維護11.Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理12.Compliance符合性,2020/6/1,.,Foreword(BSI前言)1.Scope(范圍)2.TermandDefinitions(術(shù)語和定義)3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)4.Detailedcontrols（詳細控制措施）,3.5BS7799-2:1999的內(nèi)容框架,2020/6/1,.,1.Scope(范圍)BS7799的這一部分提出了建立、實施并記錄信息安全管理體系時的具體要求；同時，也提出了各組織根據(jù)具體需求采取安全控制措施的要求。,3.5BS7799-2:1999的內(nèi)容框架(續(xù)),2020/6/1,.,2.TermandDefinitions(術(shù)語和定義)2.1statementofapplicability(適用聲明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.根據(jù)組織需要對所選的控制目標(biāo)和控制措施的說明,3.5BS7799-2:1999的內(nèi)容框架(續(xù)),2020/6/1,.,3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)3.1General(總則)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(實施)3.4Documentation(文檔化)3.5Documentcontrol(文件控制)3.6Records(記錄),3.5BS7799-2:1999的內(nèi)容框架(續(xù)),2020/6/1,.,4.Detailedcontrols（詳細控制措施）4.1Securitypolicy安全方針4.2SecurityOrganizational安全組織4.3Assetclassificationandcontrol資產(chǎn)分類與控制4.4Personnelsecurity人員安全4.5Physicalandenvironmentalsecurity物理和環(huán)境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol訪問控制4.8Systemsdevlopmentandmaintenance系統(tǒng)開發(fā)和維護4.9Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理4.10Compliance符合性,3.5BS7799-2:1999的內(nèi)容框架(續(xù)),2020/6/1,.,3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之區(qū)別,ISO/IEC17799:2000(BS7799-1:1999)為指南指導(dǎo)如何進行安全管理實踐BS7799-2:1999和BS7799-2:2002為標(biāo)準(zhǔn)建立的信息安全管理體系必須符合的要求BS7799-2:2002更接近ISO9000標(biāo)準(zhǔn)的格式控制目標(biāo)和控制措施作為附錄,2020/6/1,.,4.信息安全管理體系方法,4.1什么是ISMS4.2ISMS的重要原則4.3ISMS的實現(xiàn)方法,2020/6/1,.,4.1什么是ISMS,ISMS：InformationSecurityManagementSystem信息安全管理體系ISO9000-2000術(shù)語和定義組織organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施,如：公司、集團、商行、企事業(yè)單位、研究機構(gòu)、慈善機構(gòu)、代理商、社團、或上述組織的部分或組合。管理management指揮和控制組織的協(xié)調(diào)的活動體系system相互關(guān)聯(lián)和相互作用的一組要素管理體系managementsystem建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系管理學(xué)中的定義管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達到組織目標(biāo)的過程。,2020/6/1,.,信息安全管理體系ISMS定義,ISMS是：在信息安全方面指揮和控制組織的以實現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測量的要素可能包括信息安全方針、策略信息安全組織結(jié)構(gòu)各種活動、過程信息安全控制措施人力、物力等資源,2020/6/1,.,信息安全管理體系框圖,信息安全管理體系框圖,2020/6/1,.,4.2ISMS的重要原則,4.2.1PDCA循環(huán)4.2.2過程方法4.2.3其它重要原則,2020/6/1,.,PDCA循環(huán)：PlanDoCheckAct,計劃,實施,檢查,改進,4.2.1PDCA循環(huán),2020/6/1,.,4.2.1PDCA循環(huán)（續(xù)）,又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項活動有效進行的工作程序:P：計劃，方針和目標(biāo)的確定以及活動計劃的制定；D：執(zhí)行，具體運作，實現(xiàn)計劃中的內(nèi)容；C：檢查，總結(jié)執(zhí)行計劃的結(jié)果，分清哪些對了，哪些錯了，明確效果，找出問題；A：改進（或處理）,對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書，便于以后工作時遵循；對于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對于沒有解決的問題，應(yīng)提給下一個PDCA循環(huán)中去解決。,2020/6/1,.,PDCA循環(huán)的特點一,按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復(fù)始，不斷循環(huán),4.2.1PDCA循環(huán)（續(xù)）,2020/6/1,.,PDCA循環(huán)的特點二,組織中的每個部分，甚至個人，均有一個PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。,4.2.1PDCA循環(huán)（續(xù)）,2020/6/1,.,PDCA循環(huán)的特點三,每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標(biāo)，再進行第二次PDCA循環(huán)。,4.2.1PDCA循環(huán)（續(xù)）,2020/6/1,.,4.2.2過程方法定義,ISO9000-2000術(shù)語和定義過程：一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。過程方法系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為“過程方法”。,2020/6/1,.,過程方法模型：,2020/6/1,.,信息安全管理過程方法,信息安全實現(xiàn)是一個大的過程；信息安全實現(xiàn)過程的每一個活動也是一個過程；識別組織實現(xiàn)信息安全的每一個過程；對每一個信息安全過程的實施進行監(jiān)控和測量；改進每一個信息安全過程。,2020/6/1,.,信息安全管理的過程網(wǎng)絡(luò),2020/6/1,.,信息安全管理的過程網(wǎng)絡(luò),將相互關(guān)聯(lián)的過程作為一個系統(tǒng)來識別、理解和管理一個過程的輸出構(gòu)成隨后過程輸入的一部分過程之間的相互作用形成相互依賴的過程網(wǎng)絡(luò)PDCA循環(huán)可用于單個過程，也可用于整個過程網(wǎng)絡(luò),2020/6/1,.,領(lǐng)導(dǎo)重視,指明方向和目標(biāo),權(quán)威,預(yù)算保障，提供所需的資源,監(jiān)督檢查,組織保障,4.2.3其它重要原則領(lǐng)導(dǎo)重視,2020/6/1,.,全員參與,信息安全不僅僅是IT部門的事；,讓每個員工明白隨時都有信息安全問題；,每個員工都應(yīng)具備相應(yīng)的安全意識和能力；,讓每個員工都明確自己承擔(dān)的信息安全責(zé)任；,4.2.3其它重要原則全員參與,2020/6/1,.,持續(xù)改進,4.2.3其它重要原則持續(xù)改進,2020/6/1,.,文件的作用：有章可循，有據(jù)可查,文件的類型：手冊、規(guī)范、指南、記錄,4.2.3其它重要原則文件化,溝通意圖，統(tǒng)一行動重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn),文件的作用：有章可循，有據(jù)可查,2020/6/1,.,文件的類型：手冊、規(guī)范、指南、記錄,-手冊：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件-規(guī)范：闡明要求的文件-指南：闡明推薦方法和建議的文件-記錄：為完成的活動或達到的結(jié)果提供客觀證據(jù)的文件,文件化,4.2.3其它重要原則文件化,2020/6/1,.,4.3ISMS的實現(xiàn)方法,4.3.1ISMS總則4.3.2建立ISMS框架4.3.3ISMS實施4.3.4ISMS體系文件4.3.5文件的控制4.3.6記錄,2020/6/1,.,TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganizationsapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.組織應(yīng)該建立并運行一套文件化的ISMS確定組織需要保護的資產(chǎn)確定風(fēng)險管理的方法確定風(fēng)險控制的目標(biāo)和控制措施確定要達到的安全保證程度,3.1General(總則),4.3.1ISMS總則,2020/6/1,.,建設(shè)ISMS的步驟：如下圖,3.2Establishingamanagementframework(建立管理框架),4.3.2建立ISMS框架,2020/6/1,.,制訂信息安全方針,定義ISMS范圍,進行風(fēng)險評估,實施風(fēng)險管理,選擇控制目標(biāo)措施,準(zhǔn)備適用聲明,第一步：,第二步：,第三步：,第四步：,第五步：,第六步：,4.3.2建立ISMS框架,2020/6/1,.,第一步制訂信息安全方針,4.3.2建立ISMS框架,組織應(yīng)定義信息安全方針。,BS7799-2對ISMS的要求：,2020/6/1,.,什么是信息安全方針？,信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程。,信息安全方針,4.3.2建立ISMS框架,第一步制訂信息安全方針,2020/6/1,.,4.3.2建立ISMS框架,第一步制訂信息安全方針,要經(jīng)最高管理者批準(zhǔn)和發(fā)布體現(xiàn)了最高管理者對信息安全的承諾與支持要傳達給組織內(nèi)所有的員工要定期和適時進行評審,信息安全方針,2020/6/1,.,目的和意義,為組織提供了關(guān)注的焦點，指明了方向，確定了目標(biāo)；確保信息安全管理體系被充分理解和貫徹實施；統(tǒng)領(lǐng)整個信息安全管理體系。,4.3.2建立ISMS框架,第一步制訂信息安全方針,2020/6/1,.,信息安全方針的內(nèi)容包括但不限于：,組織對信息安全的定義信息安全總體目標(biāo)和范圍最高管理者對信息安全的承諾與支持的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明對信息安全管理的總體責(zé)任和具體責(zé)任的定義相關(guān)支持文件,4.3.2建立ISMS框架,第一步制訂信息安全方針,2020/6/1,.,注意事項,簡單明了易于理解可實施避免太具體,4.3.2建立ISMS框架,第一步制訂信息安全方針,2020/6/1,.,4.3.2建立ISMS框架,第二步確定ISMS范圍,組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點來確定。,BS7799-2對ISMS的要求：,2020/6/1,.,可以根據(jù)組織的實際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。,4.3.2建立ISMS框架,第二步確定ISMS范圍,2020/6/1,.,文件是否明白地描述了信息安全管理體系的范圍范圍的邊界和接口是否已清楚定義,4.3.2建立ISMS框架,第二步確定ISMS范圍,ISMS范圍文件：,2020/6/1,.,4.3.2建立ISMS框架,第三步風(fēng)險評估,組織應(yīng)進行適當(dāng)?shù)娘L(fēng)險評估，風(fēng)險評估應(yīng)識別資產(chǎn)所面對的威脅、脆弱性、以及對組織的潛在影響，并確定風(fēng)險的等級。,BS7799-2對ISMS的要求：,2020/6/1,.,是否執(zhí)行了正式的和文件化的風(fēng)險評估？是否經(jīng)過一定數(shù)量的員工驗證其正確性？風(fēng)險評估是否識別了資產(chǎn)的威脅、脆弱性和對組織的潛在影響？風(fēng)險評估是否定期和適時進行？,4.3.2建立ISMS框架,第三步風(fēng)險評估,2020/6/1,.,4.3.2建立ISMS框架,第四步風(fēng)險管理,組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全風(fēng)險。,BS7799-2對ISMS的要求：,2020/6/1,.,根據(jù)風(fēng)險評估的結(jié)果，選擇風(fēng)險控制方法，將組織面臨的風(fēng)險控制在可以接受的范圍之內(nèi)。,4.3.2建立ISMS框架,第四步風(fēng)險管理,2020/6/1,.,是否定義了組織的風(fēng)險管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？,4.3.2建立ISMS框架,第四步風(fēng)險管理,2020/6/1,.,4.3.2建立ISMS框架,第五步選擇控制目標(biāo)和控制措施,組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來滿足風(fēng)險管理的要求，并證明選擇結(jié)果的正確性。,BS7799-2對ISMS的要求：,2020/6/1,.,安全問題,安全需求,控制目標(biāo),控制措施,指出,第五步選擇控制目標(biāo)和控制措施,4.3.2建立ISMS框架,選擇控制措施的示意圖,2020/6/1,.,選擇的控制措施是否建立在風(fēng)險評估的結(jié)果之上？是否能從風(fēng)險評估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應(yīng)了組織的風(fēng)險管理戰(zhàn)略？針對每一種風(fēng)險，控制措施都不是唯一的，要根據(jù)實際情況進行選擇,4.3.2建立ISMS框架,第五步選擇控制目標(biāo)和控制措施,2020/6/1,.,未選擇某項控制措施的原因風(fēng)險原因-沒有識別出相關(guān)的風(fēng)險財務(wù)原因-財務(wù)預(yù)算的限制環(huán)境原因-安全設(shè)備、氣候、空間等技術(shù)-某些控制措施在技術(shù)上不可行文化-社會環(huán)境的限制時間-某些要求目前無法實施其它-？,4.3.2建立ISMS框架,第五步選擇控制目標(biāo)和控制措施,2020/6/1,.,4.3.2建立ISMS框架,第六步準(zhǔn)備適用聲明,組織應(yīng)準(zhǔn)備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。,BS7799-2對ISMS的要求：,2020/6/1,.,在選擇了控制目標(biāo)和控制措施后，對實施某項控制目標(biāo)、措施和不實施某項控制目標(biāo)、措施進行記錄，并對原因進行解釋的文件。,未來實現(xiàn)公司ISMS適用聲明,4.3.2建立ISMS框架,第六步準(zhǔn)備適用聲明,2020/6/1,.,Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.組織應(yīng)該對所選擇的控制目標(biāo)和控制措施有效的實施。實施程序的有效性應(yīng)依據(jù)4.10.2條之規(guī)定加以驗證。,4.10.2安全方針和技術(shù)符合性的評審,安全方針的符合性技術(shù)符合性的檢查,4.3.3ISMS實施,BS7799-2對ISMS實施的要求：,2020/6/1,.,信息安全管理體系文件應(yīng)包括如下方面的信息：按3.2條款規(guī)定采取的行動的證據(jù)對管理框架的總結(jié)，包括適用聲明中所列信息安全方針、控制目標(biāo)和控制措施3.3條規(guī)定的實施管理程序，此程序應(yīng)對責(zé)任和相關(guān)措施加以描述信息安全管理體系的管理和操作程序，此程序應(yīng)對責(zé)任和相關(guān)措施加以描述,4.3.4ISMS體系文件,BS7799-2對ISMS文件的要求：,2020/6/1,.,組織要建立和維護一套控制3.4條款中要求的所有文件的流程，應(yīng)確保這些文件：隨時可得根據(jù)組織的安全方針的變化得以定期評審和修訂版本要及時更新，并存放在信息安全管理體系的涉及的現(xiàn)場過時后及時撤換過時撤換后對其進行分類存檔，用于事后憑據(jù)或查閱此類文本應(yīng)保持整潔、清楚，并標(biāo)明日期，按分類妥善保存至規(guī)定期限到期為止。針對各類文件的建立和修訂，要制定一定的流程和職責(zé)劃分。,4.3.5ISMS文件控制,BS7799-2對ISMS文件控制的要求：,2020/6/1,.,記錄作為ISMS運行結(jié)果的證據(jù)，要求加以保留，以證明是否符合ISMS和組織所提出的要求。記錄可為訪客記錄、審計記錄和出入證明等等。各單位應(yīng)建立并運行合理程序，以確認、維護、保存和處理這些過程是否規(guī)范的要求。記錄要求清晰可辨，通過其可追溯到所記錄的活動情況。記錄的保存和維護應(yīng)當(dāng)做到隨時可得，并不得損壞、磨損或丟失。,4.3.6ISMS記錄,BS7799-2對ISMS記錄的要求：,2020/6/1,.,5.1十類控制措施5.2基本控制措施5.3ISO17799控制目標(biāo)和控制措施概述,5.ISO17799中的控制目標(biāo)和控制措施,2020/6/1,.,5.1十類控制措施,2020/6/1,.,5.1十類控制措施(續(xù)),ISO17799包含了36個控制目標(biāo)和127個控制措施不是所有的控制措施都適用于組織的各種情形所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制所描述的控制措施并不是必須適用于組織中的所有人,2020/6/1,.,ISO17799推薦了八個控制措施作為信息安全的起始點（StartingPoint），組織可以此為基礎(chǔ)建立ISMS。這些控制措施在大多數(shù)情況下是普遍適用的。,5.2基本控制措施,2020/6/1,.,與法律有關(guān)的控制措施,12.1.4數(shù)據(jù)保護和個人隱私12.1.3組織記錄的保護12.1.2知識產(chǎn)權(quán),5.2基本控制措施與法律相關(guān)的,2020/6/1,.,與法律有關(guān)的控制措施,12.1.4數(shù)據(jù)保護和個人隱私,目標(biāo)：符合所在國家的數(shù)據(jù)保護法律和與個人隱私相關(guān)的法律數(shù)據(jù)保護法1998（英國）電子數(shù)據(jù)保護法（歐盟2002年6月通過）電信服務(wù)數(shù)據(jù)保護法（德國）個人隱私法（美國、加拿大等）電子通信隱私法（美國）,5.2基本控制措施與法律相關(guān)的,2020/6/1,.,與法律有關(guān)的控制措施,12.1.3組織記錄的保護,目標(biāo)：保護重要的記錄不被丟失、破壞或偽造保留期存儲報廢處理,5.2基本控制措施與法律相關(guān)的,2020/6/1,.,與法律有關(guān)的控制措施,12.1.2知識產(chǎn)權(quán)版權(quán)軟件版權(quán),目標(biāo)：確保使用產(chǎn)品或服務(wù)時不違反國家有關(guān)知識產(chǎn)權(quán)和專屬軟件產(chǎn)品方面的法律、法規(guī)和法令。復(fù)制限制許可協(xié)議合同要求,5.2基本控制措施與法律相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,3.1信息安全方針4.1.3信息安全責(zé)任分配6.2.1信息安全教育與培訓(xùn)6.3.1安全事件匯報11.1業(yè)務(wù)連續(xù)性管理,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,3.1.1信息安全方針文件,目標(biāo)：為信息安全提供管理指導(dǎo)和支持。,信息安全方針,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,4.1.3信息安全責(zé)任分配,目標(biāo)：分配安全責(zé)任，使得信息安全在組織內(nèi)得以有效管理。和各個系統(tǒng)相關(guān)的各種資產(chǎn)和安全程序應(yīng)給予識別和明確的定義負責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案授權(quán)級別應(yīng)清晰定義并記錄在案,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,6.2.1信息安全教育與培訓(xùn),目標(biāo)：保證使用者有信息安全意識，理解并執(zhí)行信息安全方針，并有能力勝任信息安全的相關(guān)工作。安全意識安全知識,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,6.3.1安全事件匯報,目標(biāo)：最大程度減小安全事故和故障造成的破壞，并且監(jiān)控此類事故、從事故中學(xué)習(xí)。應(yīng)該建立正式的報告程序，同時建立事故響應(yīng)程序，闡明接到事故報告后所采取的行動。應(yīng)該使所有員工和簽約方知道報告安全事故的程序，并應(yīng)該要求他們盡快報告此類事故。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦?，以確保那些報告的事故被通告了結(jié)果。,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,11.1業(yè)務(wù)連續(xù)性管理,目標(biāo)：抵制商業(yè)活動的中斷，保護關(guān)鍵的商業(yè)過程免受主要的故障或災(zāi)難的影響。,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,與最佳實踐有關(guān)的控制措施,11.業(yè)務(wù)連續(xù)性管理,11.1業(yè)務(wù)連續(xù)性管理11.1.1過程11.1.2業(yè)務(wù)連續(xù)性和影響分析11.1.3制定和實施業(yè)務(wù)連續(xù)性計劃11.1.4業(yè)務(wù)連續(xù)性計劃框架11.1.5測試，維護和重新評估業(yè)務(wù)連續(xù)性計劃測試業(yè)務(wù)連續(xù)性計劃維護和重新評估業(yè)務(wù)連續(xù)性計劃,5.2基本控制措施與最佳實踐相關(guān)的,2020/6/1,.,10類控制36個控制目標(biāo)127項控制措施,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,5.3ISO17799控制目標(biāo)和控制措施概述,3.信息安全方針,目標(biāo)：為信息安全提供管理指導(dǎo)和支持。,3.1信息安全方針3.1.1信息安全方針文件3.1.2評審與評價,2020/6/1,.,4.安全組織,目標(biāo)：管理組織內(nèi)部的信息安全維護組織的信息處理設(shè)備和信息資產(chǎn)在被第三方訪問時的安全維護把信息處理的責(zé)任外包給其他組織時的信息安全性,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,4.安全組織,4.1信息安全基礎(chǔ)結(jié)構(gòu)4.2第三方訪問的安全4.3外包,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,4.1信息安全基礎(chǔ)結(jié)構(gòu),4.1.1信息安全管理委員會4.1.2信息安全協(xié)作4.1.3信息安全責(zé)任分配4.1.4信息處理設(shè)施的授權(quán)過程4.1.5信息安全專家建議4.1.6組織間的合作4.1.7信息安全的獨立評審,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,4.2第三方訪問的安全,4.2.1第三方訪問的風(fēng)險識別訪問類型訪問原因現(xiàn)場工作的合同方4.2.2第三方合同中的安全要求,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,4.3外包,4.3.1外包合同中的安全要求,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,5.資產(chǎn)分類與控制,目標(biāo)：保持對組織資產(chǎn)的適當(dāng)保護確保信息資產(chǎn)受到適當(dāng)級別的保護,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,5.資產(chǎn)分類與控制,5.1資產(chǎn)責(zé)任5.1.1資產(chǎn)清單5.2信息資產(chǎn)分類5.2.1分類指南5.2.2標(biāo)識和處理,絕密,機密,秘密,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,6.人員安全,目標(biāo)：降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險確保用戶意識到信息安全的威脅和利害關(guān)系，并在其日常工作過程中樹立支持組織安全方針的意識盡量減小安全事件和故障造成的損失，監(jiān)督此類事件并從中吸取教訓(xùn),5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,6.人員安全,6.1崗位安全責(zé)任和人員錄用安全要求6.2用戶培訓(xùn)6.3安全事件與故障的響應(yīng),5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,6.1崗位安全責(zé)任和人員錄用安全要求,6.1.1崗位安全責(zé)任6.1.2人員選拔及其原則6.1.3保密協(xié)議6.1.4錄用條款,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,6.2用戶培訓(xùn),6.2.1信息安全教育與培訓(xùn),5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,6.3安全事件與故障響應(yīng),6.3.1報告安全事件6.3.2報告安全隱患6.3.3報告軟件故障6.3.4總結(jié)事件教訓(xùn)6.3.5處罰過程,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,7.物理和環(huán)境安全,目標(biāo)：防止進入業(yè)務(wù)安全區(qū)邊界，對信息進行未授權(quán)的訪問、破壞和干擾防止資產(chǎn)的丟失、損壞或損害，以及業(yè)務(wù)活動的中斷防止信息和信息處理設(shè)施遭受損害或被盜,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,7.物理和環(huán)境安全,7.1安全區(qū)域7.2設(shè)備安全7.3常規(guī)控制措施,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,7.1安全區(qū)域,7.1.1邊界7.1.2出入控制7.1.3辦公室、房間和設(shè)施的安全7.1.4安全區(qū)工作守則7.1.5交接區(qū)隔離,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,7.2設(shè)備安全,7.2.1設(shè)備安置及其保護7.2.2電源7.2.3線纜安全7.2.4設(shè)備維護7.2.5安全區(qū)外的設(shè)備安全7.2.6設(shè)備報廢或再利用的安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,7.3常規(guī)控制措施,7.3.1清空桌面和清屏7.3.2資產(chǎn)轉(zhuǎn)移,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.通信和操作管理,目標(biāo)：確保信息處理設(shè)施正確運行與安全運行將系統(tǒng)故障的風(fēng)險降到最低保護軟件和信息的完整性保持信息處理與通信服務(wù)的完整性和可用性確保網(wǎng)絡(luò)信息的安全和支持性基礎(chǔ)設(shè)施得到保護防止資產(chǎn)損失和業(yè)務(wù)活動的中斷防止丟失、修改或誤用組織之間交換的信息,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.通信和操作管理,8.1操作程序和責(zé)任8.2系統(tǒng)規(guī)劃和驗收8.3惡意軟件的防范8.4日常管理8.5網(wǎng)絡(luò)管理8.6媒體安全8.7信息及軟件的交換,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.1操作程序和責(zé)任,8.1.1操作程序文件化8.1.2操作的變更控制8.1.3事件管理程序8.1.4職責(zé)劃分8.1.5開發(fā)設(shè)備與操作設(shè)備的隔離8.1.6外部設(shè)施管理,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.2系統(tǒng)規(guī)劃和驗收,8.2.1容量規(guī)劃8.2.2系統(tǒng)驗收,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.3惡意軟件的防范,8.3.1惡意軟件的防范措施,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.4日常管理,8.4.1信息備份8.4.2操作日志8.4.3錯誤記錄,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.5網(wǎng)絡(luò)管理,8.5.1網(wǎng)絡(luò)控制,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.6媒體安全,8.6.1可移動的計算機媒體的管理8.6.2媒體處置8.6.3信息處理程序8.6.4系統(tǒng)文檔安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,8.7信息及軟件的交換,8.7.1信息及軟件交換協(xié)議8.7.2媒體傳輸安全8.7.3電子商務(wù)安全8.7.4電子郵件安全8.7.5電子辦公系統(tǒng)安全8.7.6公開可用系統(tǒng)8.7.7其它形式的信息交換,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.訪問控制,目標(biāo)：控制對信息的訪問防止對信息系統(tǒng)的未授權(quán)訪問防止未授權(quán)的用戶訪問保護網(wǎng)絡(luò)服務(wù)，控制對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)的訪問防止對計算機的未授權(quán)訪問防止對信息系統(tǒng)內(nèi)的信息的未授權(quán)訪問檢測未授權(quán)的活動確保使用可移動計算機和遠程工作設(shè)施時的信息的安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.訪問控制,9.1訪問控制的業(yè)務(wù)需求9.2用戶訪問管理9.3用戶職責(zé)9.4網(wǎng)絡(luò)訪問控制9.5操作系統(tǒng)訪問控制9.6應(yīng)用系統(tǒng)訪問控制9.7系統(tǒng)訪問和使用的監(jiān)控9.8移動計算和遠程工作,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.1訪問控制的業(yè)務(wù)需求,9.1.1訪問控制策略策略和業(yè)務(wù)需求訪問控制規(guī)則,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.2用戶訪問管理,9.2.1用戶注冊9.2.2特權(quán)管理9.2.3用戶口令管理9.2.4用戶訪問權(quán)限的評審,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.3用戶職責(zé),9.3.1口令的使用9.3.2無人值守的用戶設(shè)備,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.4網(wǎng)絡(luò)訪問控制,9.4.1網(wǎng)絡(luò)服務(wù)使用策略9.4.2強制路徑9.4.3外部連接的用戶身份認證9.4.4節(jié)點認證9.4.5遠程診斷端口保護9.4.6網(wǎng)絡(luò)劃分9.4.7網(wǎng)絡(luò)連接控制9.4.8網(wǎng)絡(luò)路由控制9.4.9網(wǎng)絡(luò)服務(wù)安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.5操作系統(tǒng)訪問控制,9.5.1自動終端識別9.5.2終端登錄程序9.5.3用戶識別與認證9.5.4口令管理系統(tǒng)9.5.5系統(tǒng)工具的使用9.5.6強制報警9.5.7終端超時9.5.8連接時間的限制,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.6應(yīng)用系統(tǒng)訪問控制,9.6.1信息訪問限制9.6.2敏感系統(tǒng)隔離,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.7系統(tǒng)訪問和使用的監(jiān)控,9.7.1事件日志9.7.2系統(tǒng)使用的監(jiān)控監(jiān)控程序風(fēng)險因素事件記錄與評審9.7.3時鐘同步,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,9.8移動計算和遠程工作,9.8.1移動計算9.8.2遠程工作,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.系統(tǒng)開發(fā)和維護,目標(biāo)：確保信息系統(tǒng)的安全防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)保護信息的機密性、真實性或完整性確保IT項目及其支持活動得以一種安全的方式進行。對系統(tǒng)文件的訪問應(yīng)得到控制維護應(yīng)用系統(tǒng)軟件與信息的安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.系統(tǒng)開發(fā)和維護,10.1系統(tǒng)安全需求10.2應(yīng)用系統(tǒng)安全10.3加密控制10.4系統(tǒng)文件安全10.5開發(fā)過程和支持過程的安全,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.1系統(tǒng)安全需求,10.1.1安全需求分析及其說明,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.2應(yīng)用系統(tǒng)安全,10.2.1輸入數(shù)據(jù)的確認10.2.2內(nèi)部處理的控制風(fēng)險檢查和控制10.2.3消息驗證10.2.4輸出數(shù)據(jù)的確認,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.3加密控制,10.3.1加密控制策略10.3.2加密10.3.3數(shù)字簽名10.3.5密鑰管理10.3.4防抵賴10.3.5密鑰管理密鑰保護標(biāo)準(zhǔn)、程序和方法,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.4系統(tǒng)文件安全,10.4.1運行軟件的控制10.4.2系統(tǒng)測試數(shù)據(jù)的保護10.4.3源代碼的訪問控制,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,10.5開發(fā)過程和支持過程的安全,10.5.1變更控制程序10.5.2操作系統(tǒng)變更的技術(shù)評審10.5.3軟件包變更的限制10.5.4隱蔽信道和特洛伊代碼10.5.5外包的軟件開發(fā),5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,11.業(yè)務(wù)連續(xù)性管理,目標(biāo)：防止業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)過程免受重大故障或災(zāi)難的影響,5.3ISO17799控制目標(biāo)和控制措施概述,2020/6/1,.,11.業(yè)務(wù)連續(xù)性管理,11.1業(yè)務(wù)連續(xù)性管理11.1.1過程