11/11信息安全管理體系介紹安全管理體系介紹

Agenda

一、信息安全基礎知識

二、信息安全管理標準

三、認證相關介紹

信息安全概念

z什么是信息？

–信息是一種資產(chǎn)象其它重要的業(yè)務資產(chǎn)一樣，對組織具有價值因此需要適當?shù)谋Ｗo

z什么是安全？

–沒有統(tǒng)一的定義

–基本含義

z客觀上不受威脅

z主觀上不存在恐懼

z什么是信息安全？

–ISO的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)

不因偶然和惡意的原因而遭到破壞、更改和顯露。

信息安全特征

z信息安全具有以下特征：

–保密性：確保只有經(jīng)過授權的人才能訪問信息

–完整性：保護信息和信息的處理方法準確而完整；

–可用性：確保經(jīng)過授權的用戶在需要時可以訪問信

息并使用相關信息資產(chǎn)。

信息安全的相對性

z安全沒有100%

–完美的健康狀態(tài)永遠也不能達到；

z安全工作的目標：將風險降到最低z安全應該與保護的事物的價值相稱；z安全需要權衡

–可用性與安全性

–易用性與安全性

–經(jīng)濟性與安全性

信息安全現(xiàn)狀

z重視技術，輕視管理

z重視產(chǎn)品功能，輕視人為因素z重視對外安全，輕視內(nèi)部安全z靜態(tài)不變的觀念

z缺乏整體性信息安全體系的考慮

信息安全需求

z強化責任意識，堅決做到責任到人，設備到

人，工作到位

z進一步完善安全規(guī)范體系，強化安全操作執(zhí)行力

z按照總部統(tǒng)一要求，大力推進安全防護技術手段建設

有關規(guī)定

z《關于加強信息安全保障工作的意見》（中辦國辦[2003]27號文件）

–我國第一個全面關于信息安全保障工作的文件，是

我國今后一段時期內(nèi)信息安全保障工作的綱領性文

件。

–文件對中央各部委、各行業(yè)和各地區(qū)的信息安全保

障工作做出原則性、戰(zhàn)略性的規(guī)定。

–總體要求：堅持積極防御、綜合防范的方針，全面

提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和

重要信息系統(tǒng)安全。

有關標準及法規(guī)

z《信息安全風險管理指南》

z《電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南》(YDC051-2007)

z《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》(YDC050-2007)

zSOX

Agenda

一、信息安全基礎知識

二、信息安全管理標準

三、認證相關介紹

信息安全管理

z信息安全管理的重要意義

–在當今全球一體化的商業(yè)環(huán)境中，信息的重要性被

廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真

正的廣泛的應用。許多組織對其信息系統(tǒng)不斷增長

的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收

益和機會，使得信息安全管理成為企業(yè)管理越來越

關鍵的一部分。

zISO27001/ISO17799

ISO27001/ISO17799

ISO27001/ISO17799體現(xiàn)原則

z制定信息安全方針為信息安全管理提供導向和支持z控制目標和控制方式的選擇建立在風險評估基礎之上z預防控制為主的思想原則

z全員參與原則

z動態(tài)管理原則

z遵循管理的一般循環(huán)模式—PDCA持續(xù)改進模式

z商務持續(xù)性原則

ISO27001

zChapter0:簡介

zChapter1:范圍

zChapter2:引用標準

zChapter3:術語和定義

zChapter4:信息安全管理體系

zChapter5:管理責任

zChapter6:ISMS內(nèi)部審核

zChapter7:ISMS管理評審

zChapter8:ISMS改進

z附件A（強制性）控制目標和控制措施

z附錄BOECD準則和本國際標準

z附錄C本標準與ISO9001:200、ISO14001：2004標準的對應關系

ISO27001

zChapter0:簡介

–0.1總則

z本標準為業(yè)務經(jīng)理及其職員提供了建立和管理一個有效的信息安全管理體系(ISMS)的模型。

z采用ISMS是企業(yè)(組織)的一項戰(zhàn)略性決策。

z企業(yè)的ISMS的設計和實施受各種業(yè)務需求、具體的目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響。

z期望隨著時間而變化(改進)。

z本標準能夠用戶內(nèi)部/外部(認證機構)評價企業(yè)滿足顧客、法律法規(guī)和企業(yè)自身要求的能力。

–0.2過程方法

z過程IPO:通過利用資源和管理將輸入轉化為輸出的一項活動。

z過程方法:組織內(nèi)過程系統(tǒng)的應用,連同這些過程的識別和相互作用及其管理。

zPDCA模型:

–0.3與其他管理體系的兼容性

z本標準與ISO9001:2000和ISO14001:2004協(xié)調一致，以支持與相關管理標準的結合和整合的實施和運行。表C.1注了本標準與

ISO9001:2000和ISO14001:2004的章節(jié)間的對應關系

ISO27001

zChapter1:范圍

–總則

zISMS是設計用于有足夠的和適當?shù)陌踩刂埔源_保信息資產(chǎn)，

并給顧客及其它相關以信心。這將轉化為維護和改善組織的竟

爭力、現(xiàn)金周轉、收益率、法律符合性和商業(yè)形象。

–應用

z本標準規(guī)定的要求是通用的，意在適用于各種類型、不同規(guī)模、

不同性質的企業(yè)。

z當本標準的任何要求由于組織及其業(yè)務的特點而不適用時，可

以考慮進行刪減。

z如果進行刪減，除非刪減不影響組織提供(滿足風險評估和使用

法律法規(guī)要求決定的)信息安全的能力、責任，否則不能聲稱符

合本標準。

z對（滿足風險接受準則的）控制方式的任何刪減，必須評估其

合理性，同時必須提供相關風險已經(jīng)使相關責任人接受的證據(jù).

z對4、5、6、7、8章節(jié)的任何要求的刪減都是不可接受的。

ISO27001

zChapter2:引用標準

–ISO/IEC17799：2005信息技術－安全技術－信

息安全管理實施指南

ISO27001

zChapter3:術語和定義

–3.1資產(chǎn)：任何對組織有價值的事物

–3.2可用性:需要時，授權實體可以訪問和使用的特性。

–3.3機密性:信息不可用或不被泄漏給未授權的個人、實體和過程的特性。

–3.4信息安全:保護信息的保密性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性。

–3.5信息安全事件（Event）：信息安全事件是指識別出的發(fā)生的系統(tǒng)、服務或網(wǎng)絡事件表明可能違反信息安全策略或防

護措施失效；或以前未知的與安全相關的情況。

–3.6信息安全事故（Incident）：信息安全事故是指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可

能對業(yè)務運營造成嚴重影響或威脅信息安全。

–3.7信息安全管理體系（ISMS）：整體管理體系的一部分，基于業(yè)務風險方法以建立、實施、運行、監(jiān)視、評審、保持

和改進信息安全。

ISO27001

zChapter3:術語和定義（續(xù)）

–3.8完整性:保護資產(chǎn)的正確和完整的特性

–3.9殘余風險:實施風險處置后仍舊殘留的風險。

–3.10風險接受:接受風險的決策。

–3.11風險分析:系統(tǒng)地使用信息以識別來源和估計風險

–3.12風險評估:風險分析和風險評價的全過程

–3.13風險評價:將估計的風險與既定的風險準則進行比較以確定重要風險的過程。

–3.14風險管理:指導和控制一個組織的風險的協(xié)調的活動

–3.15風險處置:選擇和實施措施以改變風險的過程。

–3.16適用性聲明:與組織ISMS相關并適用于組織ISMS的控制目標和控制措施的文件化的陳述。

ISO27001

zChapter4:信息安全管理體系（ISMS）–4.1總要求

z組織應根據(jù)整體業(yè)務活動和風險，建立、實施、運行、監(jiān)視、

評審、保持并改進文件化的信息安全管理體系。

–4.2建立并管理ISMS

z建立ISMS

z實施和運行ISMS

z監(jiān)視和評審ISMS

z保持和改進ISMS

–文件要求

z總則

z文件控制

z記錄控制

ISO27001

zChapter5:管理責任

–5.1管理層承諾

z管理者通過以下活動，對建立、實施、運作、監(jiān)督、審查、維護和改善ISMS作出的承諾提供證據(jù)。

z制定信息安全策略；

z確保信息安全目標和計劃的制定；

z規(guī)定信息安全的作用和責任；

z向組織傳達滿足信息安全目標和符合信息安全策略的重要性，法律和持續(xù)性改善需要方面的責任。

z提供充分的資源以制定、實施、運作和維護ISMS.(第5.2.1章)

z確定風險的可接收水平；

z進行ISMS管理審查；(見第6章)

–5.2資源管理

z5.2.1資源提供

z5.2.2培訓、意識和能力

ISO27001

zChapter5:管理責任（續(xù)）

–5.1管理層承諾

–5.2資源管理

z5.2.1資源提供，

–企業(yè)應確定并提供需要的資源:

z建立、實施、運作和維護ISMS;

z確保信息安全程序支持業(yè)務要求；

z識別和確定法律和法規(guī)要求、合約中規(guī)定的安全義務；

z通過對所有實施控制的正確應用保持足夠的安全；

z在必要時進行執(zhí)行審核，并對審查結果作出適當?shù)姆磻?/p>

z必要時，改善ISMS的有效性。

z5.2.2培訓、意識和能力

–企業(yè)應確保所有ISMS中所有責任相關人員有能力完成要求的任務，經(jīng)由:

z確定從事ISMS人員所必要的能力;

z提供能力培訓，必要時，委派有能力的人以滿足這些要求；

z評價所“提供的培訓”和“采取的措施”的有效性；

z維護教育、培訓、技能、經(jīng)歷和資格的記錄；

ISO27001

zChapter6:ISMS內(nèi)部審核

–應按策劃的時間間隔進行ISMS內(nèi)部審核，以確定組織ISMS的控制目標、控制措施、過程和程序是否：

za)符合本標準及相關法律法規(guī)的要求；

zb)符合已識別的信息安全要求；

zc)得到有效地實施和保持；

zd)按期望運行。

–應策劃審核方案，考慮受審核過程和區(qū)域的狀況及重要性，以及上次審核的結果。應規(guī)定審核準則、范圍、頻次和方法。

–審核員的選擇和審核的實施應保證審核過程的客觀和公正。不能審核自己的工作。

–形成文件的程序，以規(guī)定策劃和實施審核、報告結果和保持記錄（見4.3.3）的職責和要求。

ISO27001

zChapter7:ISMS管理評審

–7.1總則

z管理者應按策劃的時間間隔（至少一年一次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價ISMS改進的機會和變更的需要，包括

安全方針和安全目標。評審結果應清楚地寫入文件，并保持記錄–7.2評審輸入

z管理評審的輸入應包括：

–a)ISMS審核和評審的結果；

–b)相關方的反饋；

–c)組織用于改進ISMS業(yè)績和有效性的技術、產(chǎn)品或程序；

–d)糾正和預防措施的實施情況；

–e)上次風險評估未充分指出的脆弱性或威脅；

–f)有效性測量的結果；

–g)上次管理評審所采取措施的跟蹤驗證；

–h)任何可能影響ISMS的變更；

–i)改進的建議。

–7.3評審輸出

ISO27001

zChapter7:ISMS管理評審（續(xù)）

–7.1總則

–7.2評審輸入

–7.3評審輸出

z管理評審的輸出應包括與以下方面有關的任何決定和措施：

–a)ISMS有效性的改進；

–b)更新風險評估和風險處置計劃；

–b)必要時，修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下方面的變化：

z1)業(yè)務要求；

z2)安全要求；

z3)影響現(xiàn)有業(yè)務要求的業(yè)務過程；

z4)法律法規(guī)要求；

z5)合同責任；

z6)風險等級和/或風險接受準則。

zc)資源需求；

zd)改進測量控制措施有效性的方式。

ISO27001

zChapter8:ISMS改進

–8.1持續(xù)改進

z企業(yè)應通過信息安全策略、安全目標、審查結果、監(jiān)督的事件分析、矯正措施、預防措施以及管理審查，持續(xù)改善ISMS的有效性.

–8.2糾正措施

z企業(yè)應該采取措施，以消除與ISMS的實施、運作相關的不合格的原因，防止再次發(fā)生。

z應編制形成文件化的“糾正措施程序文件”，并規(guī)定以下方面的要求:–(1)識別ISMS實施/運作的不合格項；

–(2)確定不合格項發(fā)生的原因；

–(3)評價(確保不合格項不再發(fā)生)措施的需求；

–(4)確定和實施所需的糾正措施；

–(5)記錄所采取糾正措施的結果；

–(6)審查所采取的糾正措施；

–8.3預防措施

ISO27001

zChapter8:ISMS改進（續(xù)）

–8.1持續(xù)改進

–8.2糾正措施

–8.3預防措施

z企業(yè)應該確定措施，以消除潛在不合格的原因，防止其發(fā)生。

z預防措施應與潛在問題的影響程度相適應。并編制形成文件化的“預防措施程序文件”，以規(guī)定以下方面的要求:

–(1)識別潛在的不合格項及其原因；

–(2)確定和實施必須的預防措施；

–(3)記錄所采取預防措施的結果；

–(4)審查所采取的預防措施；

–(5)識別風險的變化情況，將注意力集中到變化重大的風險上。

z預防措施的優(yōu)先事項必須基于風險評估的結果。

z注:采取措施預防不合格通常比矯正措施劃算。

ISO27001

表A.1中所列出的控制目標與控制措施直接從引用

ISO/IEC17799：2005第5到15章。

附錄A(強制性)控制目標和控制措施

z安全方針（1,2）

–5.1信息安全方針目標：為信息安全提供符合業(yè)務

要求和相關法律法規(guī)的管理指導和支持

z5.1.1信息安全方針文檔

–控制措施：信息安全方針文檔應經(jīng)過管理層的批準，并向所有員工和外部相關方公布和溝通

z5.1.2信息安全方針評審

–控制措施：應按策劃的時間間隔或當發(fā)生重大變化時，對信息安全方針文檔進行評審，以確保其持續(xù)的適宜性、充

分性和有效性

附錄A(強制性)控制目標和控制措施

z安全組織(2,11)

–6.1內(nèi)部組織目標：在組織內(nèi)部管理信息安全

z6.1.1信息安全管理委員會

z6.1.2信息安全協(xié)調

z6.1.3信息安全職責分配

z6.1.4信息處理設施授權過程

z6.1.5保密協(xié)議

z6.1.6與監(jiān)管機構的聯(lián)系

z6.1.7與特許利益團體的聯(lián)系

z6.1.8信息安全的獨立評審

–6.2外部組織目標：保持組織的被外部組織訪問、處理、溝通或管理的信息及信息處理設備的安全

z6.2.1識別與外部組織相關的風險

z6.2.2當與客戶接觸時強調安全

z6.2.3在第三方協(xié)議中強調安全

附錄A(強制性)控制目標和控制措施

z資產(chǎn)管理(2,5)

–7.1資產(chǎn)責任目標：實現(xiàn)并保持組織資產(chǎn)的適當保

護

z7.1.1資產(chǎn)列表

z7.1.2資產(chǎn)所有者關系

z7.1.3資產(chǎn)的可接受實用

–7.2資產(chǎn)分類目標：確保信息可以得到適當程度的

保護

z7.2.1分類指南

z7.2.2信息標識和處置

附錄A(強制性)控制目標和控制措施

z人力資源安全(3,9)

–8.1雇傭前目標：確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，減少盜竊、濫用或設施誤用的風險

z8.1.1角色和職責

z8.1.2選拔

z8.1.3雇傭條款和條件

–8.2雇傭中目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險

z8.2.1管理職責

z8.2.2信息安全意識、教育和培訓

z8.2.3懲戒過程

–8.3雇傭終結或變更目標：：確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進行

z8.3.1終結責任

z8.3.2歸還資產(chǎn)

z8.3.3移出訪問權限

附錄A(強制性)控制目標和控制措施

z物理與環(huán)境安全(2,13)

–9.1安全區(qū)域目標：防止對組織辦公場所和信息的非授權物理訪問、破壞和干擾

z9.1.1物理安全邊界

z9.1.2物理進入控制

z9.1.3辦公室、房間和設施的安全

z9.1.4防范外部和環(huán)境的威脅

z9.1.5在安全局域工作

z9.1.6公共訪問和裝卸區(qū)域

–9.2設備安全目標：預防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾

z9.2.1設備選址和保護

z9.2.2支持設施

z9.2.3電纜安全

z9.2.4設備維護

z9.2.5場外設備安全

z9.2.6設備的安全銷毀或重用

z9.2.7財產(chǎn)轉移

附錄A(強制性)控制目標和控制措施

z通信與運行管理(10,32)

–10.1操作程序及職責目標：確保信息處理設施的正確和安全操作

–10.2第三方服務交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務符合協(xié)議要求

–10.3系統(tǒng)規(guī)劃與驗收目標：最小化系統(tǒng)失效的風險

–10.4防范惡意代碼和移動代碼目標：保護軟件和信息的完整性

–10.5備份目標：保持信息和信息處理設施的完整性和可用性

–10.6網(wǎng)絡安全管理目標：確保網(wǎng)絡中的信息和支持性基礎設施得到保護

–10.7媒體處置目標：防止對資產(chǎn)的未授權泄漏、修改、移動或損壞，及對業(yè)務活動的干擾

–10.8信息交換目標：應保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全

–10.9電子商務服務目標：確保電子商務的安全及他們的安全使用

–10.10監(jiān)督目標：檢測未經(jīng)授權的信息處理活動

附錄A(強制性)控制目標和控制措施

z訪問控制(7,25)

–11.1訪問控制的業(yè)務要求目標：控制信息訪問

–11.2用戶訪問管理目標：確保授權用戶的訪問，并預防信息系統(tǒng)的非授權訪問

–11.3用戶責任目標：預防未授權用戶的訪問，信息和信息處理設施的破壞或被盜

–11.4網(wǎng)絡訪問控制目標：防止對網(wǎng)絡服務未經(jīng)授權的訪問

–11.5操作系統(tǒng)訪問控制目標：防止對操作系統(tǒng)的未授權訪問–11.6應用系統(tǒng)和信息訪問目標：防止對應用系統(tǒng)中信息的未授權訪問

–11.7移動計算和遠程工作目標：確保在使用移動計算和遠程工作設施時信息的安全

附錄A(強制性)控制目標和控制措施

z信息系統(tǒng)的獲取、開發(fā)和維護(6,16)

–12.1信息系統(tǒng)安全要求目標：確保安全成為信息系統(tǒng)的內(nèi)置部分

–12.2應用系統(tǒng)的正確處理目標：防止應用系統(tǒng)信息的錯誤、丟失、未授權的修改或誤用

–12.3加密控制目標：通過加密手段來保護細膩的保密性、真實性或完整性

–12.4系統(tǒng)文檔安全目標：確保系統(tǒng)文檔的安全

–A.12.5開發(fā)和支持過程的安全目標：保持應用系統(tǒng)軟件和信息的安全

–12.6技術漏洞管理目標：減少由利用公開的技術漏洞帶來的風險

附錄A(強制性)控制目標和控制措施

z信息安全事件管理(2,5)

–13.1報告信息安全事件和弱點目標：確保