CISP-信息安全工程及保障管理體系建設方案

2 信息安全管理的作用 信息安全管理的作用信息安全管理信息安全管理基本概念 風險管理的概念和作用信息安全管理體系信息安全管理體系安全管理控制措施的概念和作用過程方法與過程方法與PDCA循環(huán)信息安全管理體系建設信息安全管理體系建設建立、運行、評審與改進建立、運行、評審與改進ISMS知識體知識域知識子域3u知識子域：信息安全管理的作用u知識子域：風險管理的概念和作用u知識子域：信息安全管理控制措施的概念和作用4u一、信息安全管理概述u二、信息安全管理體系u三、信息安全管理體系建立u四、信息安全管理控制規(guī)范5u（一）信息安全管理基本概念u（二）信息安全管理的狀況4、成功實施信息安全管理的關(guān)鍵6u1、信息安全u2、信息安全管理u3、基于風險的信息安全7u信息：信息是一種資產(chǎn)，像其他重要的業(yè)務資產(chǎn)一樣，對組織具有價值，因此需要妥善保護。u信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術(shù)、網(wǎng)絡技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。保密保密性性性性89u確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。u保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當?shù)牟僮?，有可能造成重要文件的丟失，甚至整個系統(tǒng)的癱瘓。u確保那些已被授權(quán)的用戶在他們需要的時候，確實可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡的擁堵會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當?shù)爻惺芄舨⒃谑r恢復。u統(tǒng)計結(jié)果表明，在所有信息安全事故中，~只有20%~30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題,單憑技術(shù)是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。u信息安全是一個多層面、多因素的過程，如果組織憑著一時的需要，想當然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全水平。u正確的做法是參考國內(nèi)外相關(guān)信息安全標準與最佳實踐過程，根據(jù)組織對信息安全的各個層面的實際需求，在風險分析的基礎上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。<——<——過程規(guī)則組織人員u信息安全管理是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調(diào)的活動，有效的信息安全管理要盡量做到在有限的成本下，保證安全風險控制在可接受的范圍。u（1）安全風險的基本概念u（2）信息安全的風險模型u（2）基于風險的信息安全u資產(chǎn)是任何對組織有價值的東西u信息也是一種資產(chǎn)，對組織具有價值u資威脅是可能導致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件u威脅是利用脆弱性來造成后果u黑客入侵和攻擊病毒和其他惡意程序u軟硬件故障人為誤操作u盜竊u供電故障后門u未授權(quán)訪問……自然災害如：地震、火災u是與信息資產(chǎn)有關(guān)的弱點或安全隱患。u脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。u系統(tǒng)漏洞程序Bugu專業(yè)人員缺乏不良習慣u缺少審計缺乏安全意識u后門u物理環(huán)境訪問控制措施不當……20安全控制措施根據(jù)安全需求部署的，用來防范威脅，降低風險的措施安全控制措施舉例……21沒有絕對的安全，只有相對的安全信息安全建設的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當、足夠、綜合的安全措施來控制風險，使殘余風險降低到可接受的程度。22信息安全追求目標確保業(yè)務連續(xù)性業(yè)務風險最小化保護信息免受各種威脅的損害投資回報和商業(yè)機遇獲得信息安全方式實施一組合適的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能23風險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行界定。信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風險評估信息安全風險評估是信息安全管理體系建立的基礎，沒有風險評估，信息安全管理體系的建立就沒有依據(jù)。24風險評估的結(jié)果應進行相應的風險處置，本質(zhì)上,風險處置的最佳集合就是信息安全管理體系的控制措施集合?？刂颇繕恕⒖刂剖侄?、實施指南的邏輯梳理出這些風險控制措施集合的過程也就是信息安全建立體系的建立過程。信息安全管理體系的核心就是這些最佳控制措施集合的。251、信息安全管理的作用2、信息安全管理的發(fā)展3、信息安全管理有關(guān)標準4、成功實施信息安全管理的關(guān)鍵26保險柜就一定安全嗎？如果你把鑰匙落在鎖眼上會怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用27防火墻能解決這樣的問題嗎？28應對風險需要人為的管理過程應對風險需要人為的管理過程信息系統(tǒng)是人機交互系統(tǒng)設備的有效利用是人為的管理過程29就開始制定《信息技術(shù)信息安全管理指南》(），?《信息安全的概念和模型》?《信息安全管理和規(guī)劃》?《信息安全管理技術(shù)》?《基線方法》?《網(wǎng)絡安全管理指南》30），《信息安全管理體系規(guī)范》。2002年又頒布了《信息安全管理系統(tǒng)規(guī)范說明》（BS7799-2:2002）。313233u（1）國際信息安全管理標準u（2）國內(nèi)信息安全管理標準343536373839WG7組已有的標準40WG7組研究中的標準4142u理解組織文化u得到高層承諾u做好風險評估u整合管理體系u積極有效宣貫u納入獎懲機制u持續(xù)改進體系43u（一）什么是信息安全管理體系u（二）信息安全管理體系的框架u（三）信息安全管理過程方法要求u（四）信息安全管理控制措施要求44u1、信息安全管理體系的定義u2、信息安全管理體系的特點u3、信息安全管理體系的作用u4、信息安全管理體系的文件45SecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。46u信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標和措施等一系列活動來建立信息安全管理體系；u體系的建立基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)以預防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求；u強調(diào)全過程和動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務的持續(xù)性。47u對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；u在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；u促使管理層貫徹信息安全管理體系，強化員工的信息安全意識，規(guī)范組織信息安全行為；u使組織的生意伙伴和客戶對組織充滿信心；u組織可以按照安全管理，達到動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的持續(xù)性。48u各廠商、各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準，這些基于產(chǎn)品、技術(shù)與管理層面的標準在某些領域得到了很好的應用，但從組織信息安全的各個角度和整個生命周期來考察，如果忽略了組織中最活躍的因素——人的作用，則信息安全管理體系是不完備的，考察國內(nèi)外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全時間表象后面其實都是人的因素在起決定作用。49技術(shù)因素技術(shù)因素人的因素管理因素在信息安全問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者的互動。持續(xù)改進完善信息安全治理結(jié)構(gòu)持續(xù)改進完善信息安全治理結(jié)構(gòu)管理措施風險評估安全規(guī)劃信息安全管理框架↓管理措施風險評估安全規(guī)劃信息安全管理框架技術(shù)手段信息系統(tǒng)安全信息系統(tǒng)安全↓監(jiān)控業(yè)務與安全環(huán)境↓監(jiān)控業(yè)務與安全環(huán)境↓51u1、信息安全管理體系循環(huán)框架u2、信息安全管理體系內(nèi)容框架u3、信息安全管理體系文件框架u4、信息安全管理體系系列標準52信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。相關(guān)方相關(guān)方信息安全要求和期望信息安全要求和期望相關(guān)方相關(guān)方受控的信息安全53uPDCA也稱“戴明環(huán)”，由美國質(zhì)量管理專家戴明提出。uP（Plan）：計劃，確定方針和目標，確定活動計uD（Do）：實施，實際去做，實現(xiàn)計劃中的內(nèi)容；uC（Check）：檢查，總結(jié)執(zhí)行計劃的結(jié)果，注意效果，找出問題；uA（Action）：行動，對總結(jié)檢查的結(jié)果進行處理,成功地經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA循環(huán)。545556其他最佳實踐標準與各安全控制域之間的對應ISO27000系列不是信息安全管理體系的全部5758操作手冊操作手冊操作手冊考核指標考核指標安全策略考核指標考核指標操作手冊操作手冊59u（2）NISTSP800系列6027001270012700227006270002700527003270046127001的附錄A27001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一部分測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來2700127004ISMS度量指標和衡量2700227004ISMS度量指標和衡量2700262u正在啟動的新標準項目；u它將主要以ISO/IEC13335-1:2004《信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型》為基礎進行研究；u該標準將規(guī)定27000系列標準所共用的基本原則、概念和詞匯。63u2005年10月15日發(fā)布；u規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息安全管理體系的要求；u基于風險管理的思想，旨在通過持續(xù)改進的過程（PDCA模型）使組織達到有效的信息安全；u使用了和ISO9001、ISO14001相同的管理體系過程模型；u是一個用于認證和審核的標準；64u即17799，2005年6月15日發(fā)布第二版；u包含有11個安全類別、39個控制目標、138個控制措施；u實施27001的支撐標準，給出了組織建立ISMS時應選擇實施的控制目標和控制措施集；u是一個行業(yè)最佳慣例的匯總集，而不是一個認證和審核標準；65u目前處于工作草案階段；u它主要以BS7799-2:2002附錄B的內(nèi)容為基礎進行u提供了27001具體實施的指南。66u旨在為組織提供一個如何通過使用度量、測量項以及合適的測量技術(shù)來評估其安全管理狀態(tài)的指67u目前處于委員會草案階段；u它將主要以ISO/IEC13335-2為基礎進行制定；u描述了信息安全風險管理的過程及每個過程的詳細內(nèi)容。68NISTSP800系列69ISO/IEC1335-ISO/IEC1335-2:1997IT安全管理和計劃ISO/IEC1335-1:1996IT安全概念和模型ISOISO/IEC1335-5:2001管理指南ISO/IECISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇70u1、信息安全管理過程方法的作用u2、信息安全管理過程方法的結(jié)構(gòu)71u過程方法要求（Methodologicalrequirements）：為組織根據(jù)業(yè)務風險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系規(guī)定了要求。u按照PDCA循環(huán)理念運行的信息安全管理體系是從過程上嚴格保證了信息安全管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。7273u1、信息安全管理控制措施的作用u2、信息安全管理控制措施的結(jié)構(gòu)74u安全控制要求（Securitycontrolrequirements)：為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個最佳實踐集。u組織應根據(jù)法律法規(guī)的約束、自身的業(yè)務和風險特征選擇適用的控制措施。u當然組織也可以根據(jù)自身的特定要求對安全控制措施進行補充。75u共有11個控制條款（方面）u每個條款包括許多主要的安全類。u每個安全類包括：76u8、人員安全——安全控制條款u8.1雇傭前——安全類8.1.1角色和職責——安全控制措施77u知識子域：過程方法與PDCA循環(huán)u知識子域：建立、運行、評審與改進ISMS78u（一）信息安全管理體系的規(guī)劃和建立u（二）信息安全管理體系的實施和運行u（三）信息安全管理體系的監(jiān)視和評審u（四）信息安全管理體系的保持和改進79uP4-分析和評估信息安全風險uP5-識別和評價風險處理的可選措施uP6-為處理風險選擇控制目標和控制措施uP7-準備詳細的適用性聲明SoA80uISMS的范圍就是需要重點進行信息安全管理的領域，組織需要根據(jù)自己的實際情況，在整個組織范圍內(nèi)、個別部門或領域構(gòu)建ISMS。u在本階段，應將組織劃分成不同的信息安全控制領域，以易于組織對有不同需求的領域進行適當?shù)男畔踩芾怼在定義ISMS范圍時，應重點考慮組織現(xiàn)有的部門、信息資產(chǎn)的分布狀況、核心業(yè)務的流程區(qū)域以及信息技術(shù)的應用區(qū)域。81u信息安全方針是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產(chǎn)，包括敏感信息進行管理、保護和分配的規(guī)則和指示。u信息安全方針應當闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準，采用適當?shù)姆椒▽⒎结槀鬟_給每一個員工。u信息安全方針應當簡明、扼要，便于理解，至少包括目標、范圍、意圖、法規(guī)的遵從性和管理的責任等內(nèi)容。82u組織可采取不同風險評估法方法，一個方法是否適合于特定組織，有很多影響因素，包括：u這些因素對風險評估方法的選擇都很重要，不僅風險評估要考慮成本與效益的權(quán)衡，不出現(xiàn)過度安全；風險評估自身也要考慮成本與效益的權(quán)衡83u風險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行鑒定。u確定風險數(shù)值的大小不是評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值,即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產(chǎn)應被優(yōu)先分配資源進行保護。組織可以采用按照風險數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級,這包括將可接受風險與不可接受風險進行劃分。84u根據(jù)風險評估的結(jié)果，在已有措施基礎上從安全控制最佳集合中選擇安全控制措施。85u在選擇控制目標和控制措施時，并沒有一套標準與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務部門和大量的關(guān)鍵人員進行討論，對業(yè)務目標進行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿足組織對業(yè)務目標、資產(chǎn)保護、投資預算的要求。u組織采用什么樣的方法來評估安全需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風險、來自法規(guī)和合同的遵從以及來自業(yè)務這三種安全需求來驅(qū)動。86u在風險評估之后，組織應該選用符合組織自身需要的控制措施與控制目標。所選擇的控制目標和措施以及被選擇的原因應在適用性聲明（SOA：StatementofApplication）SOA中進行說明。uSOA是適合組織需要的控制目標和控制的評論，需要提交給管理者、職員、具有訪問權(quán)限的第三方相關(guān)認證機構(gòu)。uSOA的準備一方面是為了向組織內(nèi)的員工聲明對信息安全面對的風險的態(tài)度，更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將所有需要控制的風險控制在能被接受的范圍內(nèi)。8788u根據(jù)風險評估的結(jié)果進行相關(guān)的風險處置：u降低風險：在考慮轉(zhuǎn)移風險前，應首先考慮采取措施降低風險；u避免風險：有些風險容易避免，例如采用不同的技術(shù)、更改操作流程、采用簡單的技術(shù)措施等；u轉(zhuǎn)移風險：通常只有當風險不能被降低風險和避免、且被第三方接受時才采用；u接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。89u體系運行初期處于體系的磨合期，一般稱為試運行期，在此期間運行的目的是要在實踐中體驗體系的充分性、適用性和有效性。在體系運行初期,組織應加強運作力度，通過實施ISMS手冊、程序和各種作業(yè)指導性文件等一系列體系文件，充分發(fā)揮體系本身的各項工程，及時發(fā)現(xiàn)體系本身存在的問題，找出問題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。90uC1-執(zhí)行ISMS監(jiān)視程序uC2-執(zhí)行ISMS評價程序uC3-定期執(zhí)行ISMS評審uC4-測量控制措施的有效性uC5-驗證安全要求是否被滿足uC6-按計劃進行風險評估uC7-評審可接受殘余風險uC8-按計劃進行內(nèi)部審核uC9-按計劃進行管理評審uC10-更新信息安全計劃uC11-記錄對ISMS有影響的行動和事件91u在檢查階段采集的信息應該可以用來測量信息安全管理體系，判斷是否符合組織的安全方針和控制目標的有效性。常用的檢查措施有：u日常檢查：作為正式的業(yè)務過程經(jīng)常進行，并設計用來偵測處理結(jié)果的錯誤。u自治程序：為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報警等。u從其他處學習：一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法。92SMS所有方面是否達到預想的效果。u管理評審：管理評審的目的是檢查信息安全管理體系的有效性，以識別需要的改進和采取的行動。管理評審指導每年進行一次u趨勢分析：經(jīng)常進行趨勢分析有助于組織識別需要改進的領域，并建立一個持續(xù)改進和循環(huán)提高的基礎。93uA1-實施已識別的ISMS改進措施uA2-執(zhí)行糾正性和預防性措施uA3-通知相關(guān)人員ISMS的變更uA4-從安全經(jīng)驗和教訓中學習94u為使信息安全管理體系持續(xù)有效，應以檢查階段采集的不符合項信息為基礎，經(jīng)常進行調(diào)整與改95u通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運行中出現(xiàn)了不符合規(guī)定要求的事項后，就需要采取改進措施。改進措施主要通過糾正與預防性控制措施來實現(xiàn)，同時對潛在的不符合項采取預防性措u糾正性措施：組織應采取措施，以消除不合格的、與實施和運行信息安全管理體系有關(guān)的原因、防止問題的再發(fā)生。u預防性措施：組織應對未來的不合適事件確定預防措施已防止其發(fā)生，預防措施應與潛在問題的影響程度相適應。96u按照內(nèi)部審計和管理評審的輸出結(jié)果對信息安全管理體系作持續(xù)性的改善，每次的改善會涉及到信息安全管理體系文件的變更，變更的結(jié)果應該及時通知信息安全管理體系的相關(guān)人員，并提供相應培訓。97u從信息安全的最佳實踐