ISO27001信息安全管理體系介紹課件

1、招商銀行信息系統(tǒng)內(nèi)部審計培訓ISO27001信息安全管理體系介紹2009年3月第1頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實用規(guī)則 第2頁，共52頁。幾個問題信息是否是企業(yè)的重要資產(chǎn)？信息的泄漏是否會給企業(yè)帶來重大影響？信息的真實性對企業(yè)是否帶來重大影響？信息的可用性對企業(yè)是否帶來重大影響？我們是否清楚知道什么信息對企業(yè)是重要的？信息的價值是否在企業(yè)內(nèi)部有一個統(tǒng)一的標準？我們是否知道企業(yè)關系信息的所有人我們是否知道企業(yè)關系信息的信息流向、狀態(tài)、存儲方式，是否收到足夠保護？信息安全事件給企業(yè)造成的最

2、大/最壞影響？第3頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實用規(guī)則 第4頁，共52頁。信息資產(chǎn)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓材料、操作或支持程序、業(yè)務連續(xù)性計劃、應變安排（fallback arrangement）、審核跟蹤記錄（audit trails）、歸檔信息；軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；物理資產(chǎn)：計算機設備、通信設備、可移動介質(zhì)和其他設備；服務：計算和通信服務（例如，網(wǎng)絡瀏覽、域名解析）、公用設施（例如，供暖，照明，能源，空調(diào)）

3、；人員，他們的資格、技能和經(jīng)驗；無形資產(chǎn)，如組織的聲譽和形象。信息資產(chǎn)類型:第5頁，共52頁。信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式：第6頁，共52頁。信息資產(chǎn)產(chǎn)生使用存儲傳輸銷毀/拋棄信息資產(chǎn)的生命周期：產(chǎn)生使用存貯傳輸銷毀/拋棄第7頁，共52頁。什么是信息安全? ISO27001 將信息安全定義如下:保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性保密性可用性保密性：信息不能被未授權的個人，實體或者過程利用或知悉的特性可用性：根據(jù)授權實體的要求可訪問和利用的特性 完整性：保護資產(chǎn)的準確和完整的特

4、性 第8頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實用規(guī)則 第9頁，共52頁。信息安全管理體系（ISMS）介紹Information Security Management System(ISMS)信息安全管理體系基于國際標準ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個成員ISO/IEC JTC1/SC27/WG1（國際標準化組織/國際電工委員會 聯(lián)合技術委員會1/子委員27/工作組1），WG1做為ISMS

5、標準的工作組，負責開發(fā)ISMS相關的標準與指南第10頁，共52頁。ISO 27000系列標準標準序號標準名稱發(fā)布時間ISO/IEC 27000基礎與術語起草中，未發(fā)布ISO/IEC 27001ISMS Requirement ISMS要求 2005年10月ISO/IEC 27002Code of Practice for ISMS實用規(guī)則2007年4月ISO/IEC 27003ISMS Implementation Guidance ISMS實施指南起草中，未發(fā)布ISO/IEC 27004ISMS Metrics and Measurement ISMS的測量起草中，未發(fā)布ISO/IEC 27

6、005Information Security Risk Management 信息安全風險管理2008年6月ISO/IEC 27006Certification and Registration process審核認證機構要求2007年2月第11頁，共52頁。ISO 27001 的歷史第12頁，共52頁。等同的國家標準GB/T 22080-2008 信息技術 安全技術 信息安全管理體系 要求 GB/T 22081-2008 信息技術 安全技術 信息安全管理實用規(guī)則 我國已將ISO27001和ISO27002系列標準等同轉(zhuǎn)化為國家標準。2008年9月，經(jīng)國家標準化管理委員會批準，全國信息安全標

7、準化技術委員會發(fā)布兩個新的國家標準，并于2008年11月1日起實施。第13頁，共52頁。提升競爭力提高合規(guī)性滿足利益相關方期望實施ISMS的好處建立持續(xù)改進的信息安全與風險管理有效保護組織的知識產(chǎn)權有效保護客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標準要求保護商業(yè)機密遵從法律法規(guī)要求更好的IT服務質(zhì)量保證業(yè)務連續(xù)性增強自信與客戶信任度提升投資回報率ISO 27001第14頁，共52頁。當前獲得ISO27001證書的組織分布(2008年9月) 第15頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理

8、實用規(guī)則 第16頁，共52頁。ISO27001信息安全管理體系要求相關方受控的信息安全信息安全要求和期望相關方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。 第17頁，共52頁。定義范圍和邊界定義安全策略定義風險評估方法識別風險識別和評價風險識別和評價

9、風險處理的可選措施為處理風險選擇控制目標和控制措施獲得管理者對建議的殘余風險的批準獲得管理者對實施和運行ISMS的授權準備適用性聲明（SoA）建立ISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMS第18頁，共52頁。實施和運行ISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMS制定風險處理計劃實施風險處理計劃 實施培訓和意識教育計劃管理ISMS的運行 管理ISMS的資源應急響應、事故管理第19頁，共52頁。監(jiān)視和評審ISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審IS

10、MS規(guī)劃Plan實施Do實施和運行ISMS執(zhí)行監(jiān)視與評審程序和其它控制措施 ISMS有效性的定期評審 測量控制措施的有效性 定期實施ISMS內(nèi)部審核 定期進行ISMS管理評審 第20頁，共52頁。保持和改進ISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMS實施已識別的ISMS改進措施 采取合適的糾正和預防措施 從安全經(jīng)驗中吸取教訓 向所有相關方溝通措施和改進情況 第21頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實用規(guī)則 第22頁，共52頁。風

11、險的概念風險是指遭受損害或損失的可能性，是實現(xiàn)一個事件的不想要的負面結果的潛在因素。對信息系統(tǒng)而言：兩種因素造成對其使命的實際影響：一個特定的威脅源利用或偶然觸發(fā)一個特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IEC GUIDE73將風險定義為：事件的概率及其結果的組合。第23頁，共52頁。風險管理的目標風險管理指標識、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。 風險管理被認為是良好管理的一個組成部分。 風險管理的目標：高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標概率第24頁，共52頁。信息安全風險管理一般方法資產(chǎn)識別 威

12、脅識別 分析和評價風險 風險處理計劃識別脆弱性當前控制措施分析風險監(jiān)控、檢查與溝通第25頁，共52頁。識別威脅威脅威脅可多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑幾種常見威脅：自然災害計算機犯罪員工操作失誤商業(yè)間諜黑客ISO 27001將威脅定義如下：可能導致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 第26頁，共52頁。識別脆弱性脆弱性常被成為漏洞幾種常見脆弱性：簡單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當?shù)男畔踩熑尾懦霈F(xiàn)的，但是進行風險評估時往往過分注重技術脆弱性。ISO 270

13、01將脆弱性定義如下：可能會被一個或多個威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點 第27頁，共52頁。分析當前控制ISO 27002將控制定義如下：管理風險的方法，包括策略、規(guī)程、指南、慣例或組織結構。它們可以是行政、技術、管理、法律等方面的?？刂拼胧┮灿糜诜雷o措施或?qū)Σ叩耐x詞。本步的目標是對已經(jīng)實現(xiàn)或規(guī)劃中的安全防護措施進行分析單位通過這些措施來減小或消除一個威脅源利用系統(tǒng)脆弱性的可能性（或概率）第28頁，共52頁。風險的分析與評價風險分析：系統(tǒng)地使用信息來識別風險來源和估計風險 風險評價:將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程存在定性、定量兩種風險分析方法實例：第29頁，共5

14、2頁。風險處理策略經(jīng)過風險評估后識別出來的風險，接著便是制定其對應的風險處理計劃. 可能的風險處理計劃包括以下四種之一或四種的組合:采取適當?shù)目刂拼胧﹣斫档?reduce) 風險。了解并客觀地接受( accept) 風險, 倘若他們清除的符合公司策略并在可接受風險范圍之內(nèi)，或者如果采取控制（control）措施的話，成本太高。通過放棄當前的某些活動來規(guī)避(avoid)風險發(fā)生。轉(zhuǎn)嫁(transfer)風險至其它組織， 例如保險公司、供應商等。第30頁，共52頁。定義風險接收水平風險處理計劃完成后的殘余風險水平應在可接受風險水平之內(nèi)初始風險水平（高）可接受的風險水平（Low）殘余風險風險級別高中

15、低殘余風險風險控制措施風險控制措施第31頁，共52頁?？刂拼胧┻x擇從針對性和實施方式來看，控制措施分三類：管理(Administrative)性: 安全策略,流程, 組織與職責等操作(Operation)性:人員職責, 事故反應, 意識培訓,系統(tǒng)開發(fā)等等技術(Technical)性: 加密,訪問控制,審計等或者從功能上來分,控制措施類型包括：威懾性(Deterrent): 告示、標語預防性(Preventive): 培訓，操作手冊，加密，身份認證檢測性(Detective): CCTV,保安，報警糾正性(Corrective):培訓，問責，應急響應，災備第32頁，共52頁。風險成本最佳投資點基

16、本原則實施安全控制措施的代價不應該大于要保護的資產(chǎn)的價值選擇控制措施時的成本效益分析第33頁，共52頁。1234信息安全概述信息安全風險評估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實用規(guī)則 第34頁，共52頁。ISO27002信息安全管理體系實用規(guī)則一、安全方針（Security Policy）二、組織信息安全（Organizing Information Security）三、資產(chǎn)管理（Asset Management）四、人力資源安全（Human Resource Security）五、物理及環(huán)境安全(Physical and Environ

17、mental Security) 六、通信與操作管理（Communications and Operations Management）八、系統(tǒng)獲取、開發(fā)與維護(Information System Acquisition, Development and Maintenance)七、訪問控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、業(yè)務持續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）11個安全域，39個控制目標，133個控制點第35頁

18、，共52頁?？刂朴?：安全方針信息安全方針文件信息安全方針文件的評審1.1信息安全方針 依據(jù)業(yè)務要求和相關法律法規(guī)提供管理指導并支持信息安全 第36頁，共52頁?？刂朴?：組織信息安全信息安全的管理承諾信息安全協(xié)調(diào) 信息安全職責的分配信息處理設施的授權過程保密性協(xié)議2.1內(nèi)部組織 在組織內(nèi)管理信息安全 與外部各方相關風險的識別處理與顧客有關的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全 第37頁，共52頁?？刂朴?：資產(chǎn)管理資產(chǎn)清單資產(chǎn)責任人資產(chǎn)的合格使用3.1資產(chǎn)責任實現(xiàn)和保持對組織資產(chǎn)的適當保護 分類指南

19、信息的標記和處理3.2資產(chǎn)分類確保信息受到適當級別的保護 第38頁，共52頁。控制域4：人力資源安全角色和職責背景審查任用條款和條件4.1任用之前確保雇員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的，以降低設施被竊、欺詐和誤用的風險 管理職責信息安全意識、教育和培訓 紀律處理過程4.2任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險終止職責資產(chǎn)的歸還撤銷訪問權4.3任用的終止或變化確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關系 第39頁，共

20、52頁?？刂朴?：物理和環(huán)境安全物理安全邊界 物理入口控制 辦公室、房間和設施的安全保護外部和環(huán)境威脅的安全防護在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域防止對組織場所和信息的未授權物理訪問、損壞和干擾 設備安置和保護支持性設施布纜安全設備維護組織場所外的設備安全設備的安全處置和再利用資產(chǎn)的移動5.2設備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷 第40頁，共52頁?？刂朴?：通信和操作管理文件化的操作程序變更管理責任分割開發(fā)、測試和運行設施分離6.1操作程序和職責確保正確、安全的操作信息處理設施 服務交付第三方服務的監(jiān)視和評審第三方服務的變更管理6.2第三方服務交付

21、管理實施和保持符合第三方服務交付協(xié)議的信息安全和服務交付的適當水準 容量管理系統(tǒng)驗收6.3系統(tǒng)規(guī)劃和驗收將系統(tǒng)失效的風險降至最小 第41頁，共52頁。控制域6：通信和操作管理（續(xù)）控制惡意代碼控制移動代碼6.4防范惡意和移動代碼保護軟件和信息的完整性 信息備份6.5備份保持信息和信息處理設施的完整性及可用性 網(wǎng)絡控制網(wǎng)絡服務安全6.6網(wǎng)絡安全管理確保網(wǎng)絡中信息的安全性并保護支持性的基礎設施 第42頁，共52頁?？刂朴?：通信和操作管理（續(xù)）可移動介質(zhì)的管理介質(zhì)的處置信息處理程序系統(tǒng)文件安全6.7介質(zhì)處置防止資產(chǎn)遭受未授權泄露、修改、移動或銷毀以及業(yè)務活動的中斷 信息交換策略和程序交換協(xié)議運輸中

22、的物理介質(zhì)電子消息發(fā)送業(yè)務信息系統(tǒng)6.8信息的交換保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全 電子商務在線交易公共可用信息6.9電子商務服務確保電子商務服務的安全及其安全使用 第43頁，共52頁?？刂朴?：通信和操作管理（續(xù)）審計日志監(jiān)視系統(tǒng)的使用日志信息的保護管理員和操作員日志故障日志時鐘同步6.10監(jiān)視檢測未經(jīng)授權的信息處理活動 第44頁，共52頁?？刂朴?：訪問控制訪問控制策略7.1訪問控制的業(yè)務要求控制對信息的訪問 用戶注冊特殊權限管理用戶口令管理用戶訪問權的復查7.2用戶訪問管理確保授權用戶訪問信息系統(tǒng)，并防止未授權的訪問 口令使用無人值守的用戶設備清空桌面和屏幕策略7

23、.3用戶職責防止未授權用戶對信息和信息處理設施的訪問、危害或竊取 第45頁，共52頁?？刂朴?：訪問控制（續(xù)）使用網(wǎng)絡服務的策略外部連接的用戶鑒別網(wǎng)絡上的設備標識遠程診斷和配置端口的保護網(wǎng)絡隔離網(wǎng)絡連接控制網(wǎng)絡路由控制7.4網(wǎng)絡訪問控制防止對網(wǎng)絡服務的未授權訪問 安全登錄程序用戶標識和鑒別口令管理系統(tǒng)系統(tǒng)實用工具的使用會話超時聯(lián)機時間的限定7.5操作系統(tǒng)訪問控制防止對操作系統(tǒng)的未授權訪問 信息訪問限制敏感系統(tǒng)隔離7.6應用和信息訪問控制防止對應用系統(tǒng)中信息的未授權訪問 第46頁，共52頁?？刂朴?：訪問控制（續(xù)）移動計算和通訊遠程工作7.7移動計算和遠程工作確保使用移動計算和遠程工作設施時的信息安全 第47頁，共52頁?？刂朴?：信息系統(tǒng)獲取、開發(fā)和維護安全要求分析和說明8.1信息系統(tǒng)的安全要求確保安全是信息系統(tǒng)的一個有機組成部分 輸入數(shù)據(jù)驗證內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗證8.2應用中的正確處理防止應用系統(tǒng)中的信