信息安全管理(32張)課件

1、江蘇金盾檢測技術(shù)有限公司等級保護(hù)制度之信息安全管理目錄體系建立2基本概念1控制措施3客觀、公正及時、滿意客觀、公正及時、滿意基本概念1客觀、公正及時、滿意信息安全保護(hù)的是什么“信息資產(chǎn)”可包括所有形式的數(shù)據(jù)、文件、通信件（如email和傳真等）、交談（如電話等）、消息、錄音帶和照片等。信息資產(chǎn)是被認(rèn)為對組織具有“價值”的，以任何方式存儲的信息。通常，系統(tǒng)（如信息系統(tǒng)和數(shù)據(jù)庫等）也可作為一類信息資產(chǎn)。Confidentiality保密性Availability可用性Integrity完整性 組織的信息資產(chǎn)可面臨許多威脅，包括人員（內(nèi)部人員和外人員）誤操作 （不管有意的，還是無意的）、盜竊、惡意代

2、碼和自然災(zāi)害等。 另一方面，組織本身存在某些可被威脅者利用或進(jìn)行破壞的薄弱環(huán)節(jié)，包括員工缺乏安全意識、基礎(chǔ)設(shè)施中的弱點和控制中的弱點等。這就導(dǎo)致組織的密級信息資產(chǎn)和應(yīng)用系統(tǒng)可能遭受未授權(quán)訪問、修改、泄露或破壞，而使其造成損失，包括經(jīng)濟損失、公司形象損失和顧客信心損失等。信息安全風(fēng)險風(fēng)險避免，風(fēng)險降低，風(fēng)險轉(zhuǎn)移，風(fēng)險接受安全性風(fēng)險性安全需求 高高低安全風(fēng)險 支出平衡點信息安全風(fēng)險的管理安全措施 抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴擁有被滿足利用暴露降低增加增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值信息安全管理的本質(zhì)是對信息安全風(fēng)險的管理信息安全管理主要工作是不斷識

3、別與處理信息安全風(fēng)險的過程安全組織資產(chǎn)分級及控制信息安全方針應(yīng)用控制措施運營實現(xiàn)過程檢查過程糾正措施管理評審 計劃糾正檢查實施信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。 ISO27001:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成，最新版本為ISO27001:2013。我國于2008年發(fā)布了重要信息系統(tǒng)信息安全等級保護(hù)基本要求GB/T22239 標(biāo)準(zhǔn)化有效的運行信息安全管理體系，可以強化員工的信息安全意

4、識，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。責(zé)任證明組織在各個層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任。通過體系的計劃、建立、運行與改進(jìn)的全過程，逐步增強員工的安全意識、責(zé)任感和相關(guān)安全技能、規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。安全管理價值安全管理價值有效的實現(xiàn)風(fēng)險管理，有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運作。降低成本ISMS的實施，能降低因為潛在安全事件發(fā)生而給組織帶來的損失，在信息系統(tǒng)受到侵襲時，能確保業(yè)務(wù)持續(xù)開展并將損失降

5、到最低程度體系初步建立2制定信息安全方針為信息安全管理提供導(dǎo)向和支持控制目標(biāo)和控制方式的選擇建立在風(fēng)險評估（技術(shù)與管理測評）基礎(chǔ)之上預(yù)防控制為主的思想原則 動態(tài)管理原則 全員參與原則 遵循管理的一般循環(huán)模式PDCA持續(xù)改進(jìn)模式安全管理的主要要素要包括：建立信息安全管理機構(gòu)通過信息安全管理機構(gòu)，可建立各級安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動和實踐等。建立管理體系文件包括戰(zhàn)略方針、過程程序文件、作業(yè)指導(dǎo)書和記錄留痕的文件等。組織各類資源包括建立與實施安全管理體系所需要的合格人員、足夠的資金和必要的設(shè)備等。安全管理體系建立要確保這些體系要素得到滿足。信息安全管理機構(gòu)的級別 信息安全管理機構(gòu)的

6、級別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設(shè)立三個不同級別的信息安全管理機構(gòu)：高層：以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動?；鶎樱夯鶎硬块T指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。信息安全管理機構(gòu)管理體系文件四級文件體系(基于國家等級保護(hù)基本要求）1.信息安全方針2.管理制度（程序文件）3.作業(yè)指導(dǎo)書 （操作指南）4.運行記錄（留痕文件） 1.信息安全方針需要遵從法律和合同要求信息安全定義，總目標(biāo)和范圍，安全的重要性職責(zé)（部門與人員）

7、2.管理制度規(guī)定控制范圍及程序（注意持續(xù)改進(jìn)閉環(huán)管理）（如：運維人員管理制度、網(wǎng)絡(luò)管理制度、安全設(shè)備維護(hù)管理制度等）人員管理類機構(gòu)管理類運行維護(hù)類系統(tǒng)建設(shè)類事務(wù)類（如關(guān)于安全管理制度的修訂辦法）3.作業(yè)指導(dǎo)書規(guī)范化的操作流程與工藝如XX業(yè)務(wù)終端的使用方法 門禁系統(tǒng)的操作方法與注意事項4.運行記錄控制過程的留痕如服務(wù)器外出維修申請單 機房進(jìn)出人員登記簿安全策略（防惡意代碼）控制措施管理制度操作指南運行記錄對內(nèi)外網(wǎng)邊界進(jìn)行惡意代碼防范部署防毒墻，對網(wǎng)絡(luò)邊界實行惡意代碼查殺關(guān)于防病毒網(wǎng)關(guān)的運行維護(hù)規(guī)定定義維護(hù)部門 人員 病毒庫更新辦法 供應(yīng)商管理相關(guān)內(nèi)容 防病毒網(wǎng)關(guān)的安裝調(diào)試手冊等略重點對內(nèi)網(wǎng)主機進(jìn)

8、行惡意代碼防范防止計算機病毒的在內(nèi)網(wǎng)擴散部署終端防病毒軟件，對終端實行惡意代碼查殺關(guān)于終端防病毒軟件的運行維護(hù)規(guī)定關(guān)于個人辦公終端的使用規(guī)范中的終端防病毒部分內(nèi)容防病毒系統(tǒng)服務(wù)器維護(hù)方法終端殺毒軟件的安裝等略組織各類資源資金（基礎(chǔ)安全設(shè)施建設(shè)、安全咨詢機構(gòu)、外部專家）人員（三權(quán)分立 各司其職）控制措施3管理OR技術(shù)？通過識別風(fēng)險確定控制目標(biāo)，選擇控制措施方式：安全評估與測試決策層管理層業(yè)務(wù)安全決策 安全戰(zhàn)略規(guī)劃 安全保證決策信息安全領(lǐng)導(dǎo)小組信息安全管理部門安全管理 系統(tǒng)安全工程 安全保證管理信息安全執(zhí)行部門實施與運作 運行管理 安全保證實施執(zhí)行層物理安全主機安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全防病毒安全域劃分與邊界整合入侵檢測系統(tǒng)日志審計系統(tǒng)設(shè)備安全加固整體安全體系技術(shù)體系建設(shè)補丁分發(fā)應(yīng)用系統(tǒng)代碼審核抗拒絕服務(wù)系統(tǒng)組織體系建設(shè)管理體系建設(shè)流量監(jiān)控系統(tǒng)安全組織結(jié)構(gòu)組織安全職責(zé)安全崗位設(shè)置崗位安全職責(zé)基礎(chǔ)安全培訓(xùn)高級安全培訓(xùn)中級安全培訓(xùn)崗位考核管理安全管理培訓(xùn)安全巡檢小組確定總體方針統(tǒng)一安全策略體系基