信息安全管理體系課件

1、i 在線采購在線采購 BS7799 標(biāo)準(zhǔn)的組織分布標(biāo)準(zhǔn)的組織分布管理信息安全安全策略安全策略 Security Policy組織信息安全組織信息安全 Organizing Informantion Security資產(chǎn)管理資產(chǎn)管理 Asset management人力資源安全人力資源安全HumanResourceSecurity物理與環(huán)境安全物理與環(huán)境安全Physical andEnvironmentalSecurity通信與操作管理通信與操作管理Communications andOperationsManagement信息系統(tǒng)獲得、信息系統(tǒng)獲得、開發(fā)與維護(hù)開發(fā)與維護(hù)Information

2、System Acquisition,Development andMaintenance訪問控制訪問控制 Access Control信息安全事件管理信息安全事件管理 Information Security Incident Management業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 Business Continuity Management符合性符合性 Compliance要求認(rèn)證實施審核0 簡介簡介 0.1 概要概要 0.2 過程方法過程方法 0.3 與其他管理體系的兼容性與其他管理體系的兼容性1 范圍范圍 1.1 概要概要 1.2 應(yīng)用應(yīng)用2 標(biāo)準(zhǔn)引用標(biāo)準(zhǔn)引用3 術(shù)語定義術(shù)語定義4 信息安全

3、管理體系信息安全管理體系 4.1 一般要求一般要求 4.2 建立并管理建立并管理 ISMS 4.3 文檔要求文檔要求5 管理責(zé)任管理責(zé)任 5.1 管理承諾管理承諾 5.2 資源管理資源管理6 對對 ISMS 的管理復(fù)審的管理復(fù)審 6.1 概要概要 6.2 復(fù)審輸入復(fù)審輸入 6.3 復(fù)審輸出復(fù)審輸出 6.4 內(nèi)部內(nèi)部 ISMS 審計審計7 ISMS 改進(jìn)改進(jìn) 7.1 持續(xù)改進(jìn)持續(xù)改進(jìn) 7.2 糾正措施糾正措施 7.3 預(yù)防措施預(yù)防措施附錄附錄A 控制目標(biāo)和控制措施控制目標(biāo)和控制措施 A.1 簡介簡介 A.2 實施細(xì)則指南實施細(xì)則指南 A.3 安全策略安全策略 A.4 組織安全組織安全 A.5 資

4、產(chǎn)分類和控制資產(chǎn)分類和控制 A.6 人員安全人員安全 A.7 物理和環(huán)境安全物理和環(huán)境安全 A.8 通信和操作管理通信和操作管理 A.9 訪問控制訪問控制 A.10 系統(tǒng)開發(fā)和維護(hù)系統(tǒng)開發(fā)和維護(hù) A.11 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 A.12 依從性依從性附錄附錄B 標(biāo)準(zhǔn)使用指南標(biāo)準(zhǔn)使用指南 B.1 綜述綜述 B.2 計劃階段（計劃階段（Plan） B.3 實施階段（實施階段（Do） B.4 檢查階段（檢查階段（Check） B.5 措施階段（措施階段（Action）附錄附錄C BS EN ISO 9001:2000, BS EN ISO 14001:1996和和BS 7799-2:2002

5、之間的一致之間的一致性性附錄附錄D 內(nèi)部編號的變化內(nèi)部編號的變化信息安全管理體系信息安全管理體系ISMS選擇并實施控制選擇并實施控制評估安全風(fēng)險評估安全風(fēng)險建立一個信息建立一個信息安全管理框架安全管理框架根據(jù)需求采取措施消減風(fēng)險，根據(jù)需求采取措施消減風(fēng)險，以實現(xiàn)既定安全目標(biāo)以實現(xiàn)既定安全目標(biāo)確定安全需求確定安全需求設(shè)定信息安全的方向和目標(biāo)，設(shè)定信息安全的方向和目標(biāo)，定義管理層承諾的策略定義管理層承諾的策略 第一步會談協(xié)商了解現(xiàn)狀及商業(yè)流程、模式制定安全策略策略文件交付件第二步BS7799-2定義ISMS范圍組織/地點資產(chǎn)/技術(shù)ISMS范圍第三步威脅漏洞、弱點影響（Impact）現(xiàn)有措施（狀況）

6、風(fēng)險評估記錄分析第四步風(fēng)險管理的策略保證需求風(fēng)險管理剩余風(fēng)險第五步ISO/IEC 17799選擇控制目標(biāo)和措施降低/避免轉(zhuǎn)移/接受風(fēng)險第六步適用性聲明國際標(biāo)準(zhǔn)認(rèn)證信息資產(chǎn)風(fēng)險評估 結(jié)果及結(jié)論選擇控制項選擇控制目標(biāo)及控制識別并評價資產(chǎn)識別并評估弱點評估風(fēng)險（測量與等級劃分）選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實施選定的控制接受識別并評估威脅現(xiàn)有控制確認(rèn)保持現(xiàn)有控制確認(rèn)并評估殘留風(fēng)險定期評估NoYes申請認(rèn)證決定認(rèn)證范圍與報價簽約并安排日程預(yù)審模擬評審（可選）文件評審第一階段評審不符合事項糾正措施確認(rèn) 或追蹤確認(rèn)第二階段評審不符合事項建議頒證獲得證書定期復(fù)審糾正措施確認(rèn) 或追蹤確認(rèn)三年重新審

7、核風(fēng)險風(fēng)險威脅弱點資產(chǎn)資產(chǎn)安全措施安全措施價值/潛在影響安全需求利用存在具有導(dǎo)致增加導(dǎo)致抵御需要引出降低威脅帶來的影響威脅發(fā)生的可能性低影響高可能性高影響高可能性高影響低可能性低影響低可能性目標(biāo)目標(biāo)目標(biāo)識別并評價資產(chǎn)評估弱點影響評價風(fēng)險推薦對策評估控制評估威脅可能性計劃和準(zhǔn)備Basic MetricGroupImpact BiasAccessComplexityConfidentialityImpactAuthenticationAccess VectorIntegrityImpactAvailabilityImpactTemporal MetricGroupExploitabilityRem

8、ediationLevelReportConfidenceEnvironmental MetricGroupCollateralDamage PotentialTargetDistributionOverallVulnerabilityScore威脅防止弱點威脅事件影響保護(hù)發(fā)現(xiàn)減小威懾性控制預(yù)防性控制檢測性控制糾正性控制 可能性 后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）MHEEEB（很可能）MHH EEC（可能）LMHEED（不太可能）LLMHEE（罕見）LLMHH注：風(fēng)險的四個級別： E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L：低風(fēng)險ISO/IEC 17799:2000前言前言

9、簡介簡介什么是信息安全（應(yīng)該保護(hù)信息資產(chǎn)的保密性、完整性和可用性）為什么需要信息安全如何建立安全需求（安全需求的三個來源）評估安全風(fēng)險（安全需求經(jīng)過系統(tǒng)地評估安全風(fēng)險而得到確認(rèn)）選擇控制（安全控制可以從7799或其它有關(guān)標(biāo)準(zhǔn)選擇，也可以自己設(shè)計滿足特定要求的控制）信息安全起點（基于法律要求和信息安全最侍慣例來選擇控制措施）關(guān)鍵的成功因素開發(fā)你自己的指導(dǎo)方針范圍范圍術(shù)語和定義術(shù)語和定義2.1 信息安全2.2 風(fēng)險評估1.2.3 風(fēng)險管理安全策略安全策略3.1 信息安全策略3.1.1 信息安全策略文件3.1.2 復(fù)審與評估目標(biāo)：為信息安全提供管理指示及支持組織安全組織安全4.1 信息安全基礎(chǔ)設(shè)施4

10、.1.1 建立信息安全管理論壇4.1.2 組織內(nèi)部的信息安全協(xié)調(diào)機制4.1.3 分派信息安全責(zé)任4.1.4 信息處理設(shè)施的授權(quán)程序4.1.5 聽取信息安全專家的建議4.1.6 組織間的協(xié)作4.1.7 獨立的信息安全復(fù)審目標(biāo)：在組織內(nèi)部管理信息安全目標(biāo)：維護(hù)第三方訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全目標(biāo)：當(dāng)信息處理外包給其他組織時，維護(hù)信息的安全4.2 第三方訪問的安全4.2.1 識別來自第三方訪問的風(fēng)險4.2.2 第三方合同中的安全要求4.3 外包控制4.3.1 外包合同的安全要求資產(chǎn)分類與控制資產(chǎn)分類與控制5.1 資產(chǎn)責(zé)任5.1.1 資產(chǎn)清單目標(biāo)：維護(hù)對組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)5.2 信息分

11、類5.2.1 分類指南5.2.2 信息標(biāo)注及處理目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)水平的保護(hù)人員安全人員安全6.1 崗位定義和資源分配時的安全考慮6.1.1 在崗位責(zé)任中包括安全6.1.2 人員篩審和策略6.1.3 保密協(xié)議6.1.4 雇傭條款目標(biāo)：減少人為錯誤、偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險目標(biāo)：確保用戶意識到信息安全威脅及利害關(guān)系，并在其正常工作當(dāng)中支持組織的安全策略目標(biāo)：減少來自安全事件和故障的損失，監(jiān)視并從事件中吸取教訓(xùn)6.2 用戶培訓(xùn)6.2.1 信息安全教育和培訓(xùn)6.3 對安全事件和故障的響應(yīng)6.3.1 報告安全事件6.3.2 報告安全弱點6.3.3 報告軟件故障6.3.4 從事件中吸取教訓(xùn)

12、6.3.5 建立懲戒機制物理和環(huán)境安全物理和環(huán)境安全7.1 安全區(qū)域7.1.1 物理安全邊界7.1.2 物理入口控制7.1.3 保護(hù)辦化驗室7.1.4 雇傭條款7.1.5 隔離的運送和裝卸區(qū)域目標(biāo)：防止非授權(quán)訪問，破壞和干擾業(yè)務(wù)運行的前提條件及信息目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止業(yè)務(wù)活動被中斷目標(biāo)：防止危害或竊取信息及信息處理設(shè)施7.2 設(shè)備安全7.2.1 設(shè)備的放置與保護(hù)7.2.2 供電7.2.3 電纜安全7.2.4 設(shè)備保護(hù)7.2.5 不在辦公區(qū)的設(shè)備的安全7.2.6 設(shè)備處置和重用的安全7.3 一般性控制7.3.1 屏幕和桌面清除策略7.3.2 財物的搬遷通信和操作管理通信和操作管

13、理8.1 操作程序和責(zé)任8.1.1 文檔化操作程序8.1.2 操作變更控制8.1.3 事件管理程序8.1.4 責(zé)任分離8.1.5 分離開發(fā)和運營設(shè)施8.1.6 外部設(shè)施管理目標(biāo)：確保正確并安全地操作信息處理設(shè)施目標(biāo)：減少系統(tǒng)失效帶來的風(fēng)險目標(biāo)：保護(hù)軟件和信息的完整性8.2 系統(tǒng)規(guī)劃及驗收8.2.1 容量規(guī)劃8.2.2 系統(tǒng)驗收8.3 抵御惡意軟件8.3.1 惡意軟件的控制目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性8.4 內(nèi)務(wù)管理8.4.1 信息備份8.4.2 操作者日志8.4.3 事故記錄8.5 網(wǎng)絡(luò)管理8.5.1 網(wǎng)絡(luò)控制目標(biāo)：確保對網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)目標(biāo)：防止損害資產(chǎn)和

14、中斷業(yè)務(wù)活動目標(biāo)：防止機構(gòu)間交換的信息丟失、遭受篡改和誤用。8.6 介質(zhì)處理和安全8.6.1 可移動計算機介質(zhì)的管理8.6.2 介質(zhì)的處置8.6.3 信息處理的程序8.6.4 系統(tǒng)文件的安全8.7 信息和軟件的交換8.7.1 信息和軟件交換協(xié)議8.7.2 傳輸介質(zhì)的安全8.7.3 電子商務(wù)安全8.7.4 電子郵件安全8.7.5 電子辦公系統(tǒng)的安全8.7.6 公用系統(tǒng)8.7.7 其他形式的信息交換訪問控制訪問控制9.1 訪問控制的業(yè)務(wù)需求9.1.1 物理安全邊界目標(biāo)：控制對信息的訪問目標(biāo)：防止非授權(quán)訪問信息系統(tǒng)目標(biāo)：防止非授權(quán)的用戶訪問9.2 用戶訪問的管理9.2.1 用戶注冊9.2.2 特權(quán)管

15、理9.2.3 用戶口令管理9.2.4 用戶訪問權(quán)限的復(fù)審9.3 用戶責(zé)任9.3.1 口令使用9.3.2 無人值守的用戶設(shè)備目標(biāo)：保護(hù)網(wǎng)絡(luò)服務(wù)目標(biāo)：防止非授權(quán)的計算訪問9.4 網(wǎng)絡(luò)訪問控制9.4.1 網(wǎng)絡(luò)服務(wù)使用策略9.4.2 強制路徑9.4.3 對外部連接用戶進(jìn)行身份認(rèn)證9.4.4 節(jié)點認(rèn)證9.4.5 遠(yuǎn)程診斷端口的保護(hù)9.4.6 網(wǎng)絡(luò)隔離9.4.7 網(wǎng)絡(luò)連接控制9.4.8 網(wǎng)絡(luò)路由控制9.4.9 網(wǎng)絡(luò)服務(wù)的安全9.5 操作系統(tǒng)訪問控制9.5.1 自動終端身份識別9.5.2 終端登錄程序9.5.3 用戶身份識別與認(rèn)證9.5.4 口令管理系統(tǒng)9.5.5 系統(tǒng)工具的使用9.5.6 針對用戶保護(hù)的告

16、警9.5.7 終端超時9.5.8 限制連接時間9.6 應(yīng)用訪問控制9.6.1 信息訪問限制9.6.2 敏感系統(tǒng)的隔離目標(biāo)：防止非授權(quán)訪問信息系統(tǒng)的信息目標(biāo)：檢測非授權(quán)的活動目標(biāo)：確保使用移動計算和通訊設(shè)施時的信息安全9.7 監(jiān)視系統(tǒng)訪問和使用9.7.1 事件日志9.7.2 對系統(tǒng)的使用進(jìn)行監(jiān)視9.7.3 時鐘同步9.8 移動計算和通訊9.8.1 移動計算9.8.2 通訊 系統(tǒng)開發(fā)和維護(hù)系統(tǒng)開發(fā)和維護(hù)10.1 系統(tǒng)的安全需求10.1.1 安全需求分析和規(guī)范目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中目標(biāo)：防止丟失、篡改和誤用信息系統(tǒng)中的用戶數(shù)據(jù)目標(biāo)：保護(hù)信息的保密性、真實性和完整性10.2 應(yīng)用系統(tǒng)的安全10

17、.2.1 輸入數(shù)據(jù)的驗證10.2.2 內(nèi)部處理控制10.2.3 消息認(rèn)證10.2.4 輸出數(shù)據(jù)的驗證10.3 密碼控制10.3.1 密碼控制使用策略10.3.2 加密10.3.3 數(shù)字簽名10.3.4 抗抵賴性服務(wù)10.3.5 密鑰管理10.4 系統(tǒng)文件安全10.4.1 對運行軟件的控制10.4.2 系統(tǒng)測試數(shù)據(jù)的保護(hù)10.4.3 對源程序庫的訪問控制目標(biāo)：確保 IT 項目和支持活動得以安全地進(jìn)行目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全10.5 開發(fā)和支持過程的安全10.5.1 事件日志10.5.2 操作系統(tǒng)變更的技術(shù)復(fù)審10.5.3 軟件包變更的限制10.5.4 隱蔽通道和特洛伊代碼10.5.5 外包軟件開發(fā) 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理11.1 業(yè)務(wù)連續(xù)性的各個方面11.1.1 業(yè)務(wù)連續(xù)性管理過程11.1.2 業(yè)務(wù)連續(xù)性和影響分析11.1.3 編寫并實施連續(xù)性計劃11.1.4 業(yè)務(wù)連續(xù)性計劃框架11.1.5 測試、維護(hù)和再評審業(yè)務(wù)連續(xù)性計劃目標(biāo)：減少業(yè)務(wù)活動的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)害的影響 依從性依從性12.1