信息安全管理基礎(chǔ)中國(guó)信息安全測(cè)評(píng)中心CISP-09-信息安全管理基礎(chǔ)2007年7月.目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法.課程目標(biāo)掌握信息安全管理的一般知識(shí)了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認(rèn)識(shí)和了解ISO17799理解一個(gè)組織實(shí)施ISO17799的意義初步掌握建立信息安全管理體系（ISMS）的方法和步驟.一、信息安全管理基礎(chǔ).目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法.1.信息安全基礎(chǔ)知識(shí)1.1信息安全的基本概念1.2為什么需要信息安全1.3實(shí)踐中的信息安全問(wèn)題1.4信息安全管理的實(shí)踐經(jīng)驗(yàn).

請(qǐng)思考：

什么是信息安全？1.1信息安全基本概念.ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強(qiáng)調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對(duì)組織具有價(jià)值需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、影片、交談等什么是信息？.小問(wèn)題：你們公司的Knowledge都在哪里？信息在哪里？.什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保護(hù)信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來(lái)的損失降低到最小獲得最大的投資回報(bào)和商業(yè)機(jī)會(huì).信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個(gè)特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問(wèn)信息和相關(guān)的資產(chǎn)。.信息本身信息處理設(shè)施信息處理者信息處理過(guò)程機(jī)密可用完整總結(jié).

請(qǐng)思考：

組織為什么要花錢(qián)實(shí)現(xiàn)信息安全？1.2為什么需要信息安全.組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標(biāo)要求競(jìng)爭(zhēng)優(yōu)勢(shì)，樹(shù)立品牌加強(qiáng)內(nèi)部管理的要求…….法律法規(guī)的要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例知識(shí)產(chǎn)權(quán)保護(hù)互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定…….信息系統(tǒng)使命的要求信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障。。。。.

請(qǐng)思考：

目前，解決信息安全問(wèn)題，通常的做法是什么？1.3實(shí)踐中的信息安全問(wèn)題.“產(chǎn)品導(dǎo)向型”信息安全初始階段，解決信息安全問(wèn)題，通常的方法：采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案；Anti-Virus、Firewall、IDS&Scanner……組織內(nèi)部安排1-2人兼職負(fù)責(zé)日常維護(hù)，通常來(lái)自以技術(shù)為主的IT部門(mén)；更多的情況是幾乎沒(méi)有日常維護(hù)存在的問(wèn)題需求難以確定保護(hù)什么、保護(hù)對(duì)象的邊界到哪里、應(yīng)該保護(hù)到什么程度……管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià)通常用漏洞掃描（Scanner）來(lái)代替風(fēng)險(xiǎn)評(píng)估有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對(duì)風(fēng)險(xiǎn)的態(tài)度……“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題.信息安全管理ISO17799強(qiáng)調(diào)：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵；產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最好的作用；技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全；先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要，也證明了管理的重要；建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)持續(xù)安全。.1.4信息安全管理的實(shí)踐經(jīng)驗(yàn)反映組織業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；符合組織文化的安全實(shí)施方法；管理層明顯的支持和承諾；安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的正確理解；有效地向所有管理人員和員工推行安全措施；向所有的員工和簽約方提供本組織的信息安全方針與標(biāo)準(zhǔn)；提供適當(dāng)?shù)呐嘤?xùn)和教育；一整套用于評(píng)估信息安全管理能力和反饋建議的測(cè)量系統(tǒng).二、信息安全管理與信息系統(tǒng)安全保障.目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法.2、信息安全管理與信息系統(tǒng)安全保障信息系統(tǒng)的使命信息系統(tǒng)安全保障－模型信息系統(tǒng)安全保障－框架信息系統(tǒng)安全保障－生命周期的保證信息安全管理模型信息安全管理與信息系統(tǒng)安全保障的關(guān)系.信息系統(tǒng)的使命資產(chǎn)可能意識(shí)到引起增加利用導(dǎo)致威脅主體威脅所有者風(fēng)險(xiǎn)脆弱性對(duì)策可能被減少利用價(jià)值希望最小化希望濫用或破壞可能具有減少到到使命希望完成到可能阻礙或破壞.信息系統(tǒng)安全保障－模型技術(shù)過(guò)程管理人員保證對(duì)象生命周期信息特征計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性技術(shù)過(guò)程管理人員保障要素生命周期安全特征初始化開(kāi)發(fā)采購(gòu)實(shí)施運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性.信息系統(tǒng)安全保障－框架技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別管理準(zhǔn)則管理準(zhǔn)則管理能力成熟度級(jí)別管理能力成熟度級(jí)別工程準(zhǔn)則工程準(zhǔn)則工程能力成熟度級(jí)別工程能力成熟度級(jí)別信息系統(tǒng)安全保障評(píng)估信息系統(tǒng)安全保障評(píng)估XX信息系統(tǒng)安全保障要求（ISPP）XX信息系統(tǒng)安全保障要求（ISPP）XX信息系統(tǒng)安全保障目標(biāo)（ISST）XX信息系統(tǒng)安全保障目標(biāo)（ISST）信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障能力級(jí)ISAL評(píng)定信息系統(tǒng)安全保障能力級(jí)ISAL評(píng)定技術(shù)準(zhǔn)則技術(shù)準(zhǔn)則技術(shù)架構(gòu)成熟度級(jí)別技術(shù)架構(gòu)成熟度級(jí)別管理準(zhǔn)則管理準(zhǔn)則管理能力成熟度級(jí)別管理能力成熟度級(jí)別工程準(zhǔn)則工程準(zhǔn)則工程能力成熟度級(jí)別工程能力成熟度級(jí)別信息系統(tǒng)安全保障評(píng)估信息系統(tǒng)安全保障評(píng)估XX信息系統(tǒng)安全保障要求（ISPP）XX信息系統(tǒng)安全保障要求（ISPP）XX信息系統(tǒng)安全保障目標(biāo)（ISST）XX信息系統(tǒng)安全保障目標(biāo)（ISST）信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障評(píng)估方法信息系統(tǒng)安全保障能力級(jí)ISAL評(píng)定信息系統(tǒng)安全保障能力級(jí)ISAL評(píng)定.信息系統(tǒng)安全保障－生命周期的保障變更應(yīng)用于系統(tǒng)計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄建立使命要求建立使命要求審閱業(yè)務(wù)要求系統(tǒng)需求分析定義運(yùn)行需求系統(tǒng)體系設(shè)計(jì)項(xiàng)目與預(yù)算管理兩種類(lèi)型：

開(kāi)發(fā)、購(gòu)買(mǎi)/客戶化/集成人員保證（決策人員）技術(shù)保證（技術(shù)方案安全產(chǎn)品）過(guò)程保證（服務(wù)能力工程過(guò)程）管理保證（安全管理）人員保證（管理/維護(hù)/使用人員）人員保證（管理人員）人員保證（實(shí)施人員）管理保證（安全管理）管理保證（安全管理）管理保證（安全管理）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過(guò)程和人員領(lǐng)域要求及保證）保障要素信息系統(tǒng)生命周期.信息系統(tǒng)安全保障－管理模型.信息安全管理與信息系統(tǒng)安全保障的關(guān)系信息系統(tǒng)安全保障三大部分：技術(shù)保障過(guò)程保障管理保障信息安全管理是信息系統(tǒng)安全保障的三大部分之一：管理保障信息安全管理涉及到系統(tǒng)的整個(gè)生命周期.三、信息安全管理體系標(biāo)準(zhǔn)概述.目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法.3.信息安全管理體系標(biāo)準(zhǔn)概述3.1信息安全標(biāo)準(zhǔn)介紹3.2ISO177993.3ISO17799的歷史及發(fā)展3.4ISO17799:2005的內(nèi)容框架3.5ISO27001:2005的內(nèi)容框架.3.1信息安全標(biāo)準(zhǔn)介紹

信息安全標(biāo)準(zhǔn)管理體系標(biāo)準(zhǔn).信息安全標(biāo)準(zhǔn)ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMMISO15408（GB/T18336-2001）ISO17799.ISO7498-2(GB/T9387.2-1995)開(kāi)放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)由ISO/ICEJTC1/SC21完成1982年開(kāi)始，1988年結(jié)束，ISO發(fā)布了ISO7498-2給出了基于OSI參考模型的7層協(xié)議上的安全體系結(jié)構(gòu)其核心內(nèi)容是：為了保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安全交換信息的安全，它定義了該系統(tǒng)的5大類(lèi)安全服務(wù)，以及提供這些服務(wù)的8大類(lèi)安全機(jī)制及相應(yīng)的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)呐渲糜贠SI模型的7層協(xié)議中。.ISO7498-2－安全體系結(jié)構(gòu)加密數(shù)字簽名數(shù)據(jù)完整性訪問(wèn)控制數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證抗抵賴數(shù)據(jù)保密性數(shù)據(jù)完整性訪問(wèn)控制鑒別服務(wù)物理層鏈路層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層會(huì)話層安全機(jī)制安全服務(wù)OSI參考模型.ISO13335IT安全管理分為5個(gè)部分：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和規(guī)劃ISO/IECTR13335-3：管理技術(shù)ISO/IECTR13335-4：安全措施的選擇ISO/IECTR13335-5：網(wǎng)絡(luò)安全性的管理指導(dǎo)由ISO/IECJTC1/SC27完成.SSE-CMM信息系統(tǒng)安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于軟件工程；1993年4月，由美國(guó)NSA資助，安全業(yè)界、DOD、加拿大通信安全機(jī)構(gòu)共同組成項(xiàng)目組，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系統(tǒng)安全的工程組織、采購(gòu)組織和評(píng)估機(jī)構(gòu)5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)2003年，出版了.5個(gè)能力級(jí)別：

1級(jí)：非正式執(zhí)行級(jí)

2級(jí)：計(jì)劃和跟蹤級(jí)

3級(jí)：充分定義級(jí)

4級(jí)：量化控制級(jí)

5級(jí)：持續(xù)改進(jìn)級(jí)

代表安全工程組織的成熟度級(jí)別11個(gè)過(guò)程區(qū)：

PA01管理安全控制

PA02評(píng)估影響

PA03評(píng)估安全風(fēng)險(xiǎn)

PA04評(píng)估威脅

PA05評(píng)估脆弱性

PA06建立保證論據(jù)

PA07協(xié)調(diào)安全

PA08監(jiān)視安全態(tài)勢(shì)

PA09提供安全輸入

PA10指定安全要求

PA11驗(yàn)證和證實(shí)安全性

SSE-CMM信息系統(tǒng)安全工程能力成熟度模型（續(xù)）.ISO15408(GB/T18336)信息技術(shù)安全性評(píng)估準(zhǔn)則通常簡(jiǎn)稱CC－通用準(zhǔn)則，ISO15408:1999，GB/T18336:2001;定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；分為3個(gè)部分：第一部分：簡(jiǎn)介和一般模型第二部分：安全功能要求第三部分：安全保證要求.管理體系標(biāo)準(zhǔn)ISO9000族質(zhì)量管理體系ISO14000環(huán)境管理體系標(biāo)準(zhǔn)OHSAM18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)BS7799信息安全管理體系標(biāo)準(zhǔn)ISO17799信息安全管理實(shí)施細(xì)則.

ISO/IEC17799:2005

Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement信息技術(shù)－信息安全管理實(shí)施細(xì)則

3.2ISO/IEC17799:2005.

歷史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的歷史及發(fā)展.BSI簡(jiǎn)介BSI英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)是全球領(lǐng)先的國(guó)際標(biāo)準(zhǔn)、產(chǎn)品測(cè)試、體系認(rèn)證機(jī)構(gòu)。發(fā)起制定的標(biāo)準(zhǔn)ISO9000（質(zhì)量管理體系）ISO14001（環(huán)境管理體系）OHSAS18001（職業(yè)健康與安全管理體系）QS-9000/ISO/TS16949（汽車(chē)供應(yīng)行業(yè)的質(zhì)量管理體系）TL9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）BS7799。.IUG：InternationalUserGroup1997年成立宗旨

促進(jìn)ISO17799/BS7799的應(yīng)用和推廣促進(jìn)對(duì)信息安全管理體系標(biāo)準(zhǔn)、認(rèn)證等的理解，服務(wù)全球商業(yè)提供一個(gè)基于互聯(lián)網(wǎng)的論壇提供一個(gè)信息交流的平臺(tái)研究和寫(xiě)作成員AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

.ISO17799被各國(guó)或地區(qū)采用的情況EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中國(guó).ISO17799在中國(guó)國(guó)內(nèi)從2000年初開(kāi)始認(rèn)識(shí)ISO17799/BS7799；2000年初開(kāi)始，國(guó)內(nèi)一些公司和單位進(jìn)行BS7799的研究和相關(guān)課程培訓(xùn)；2002－2003年，我國(guó)已經(jīng)提出了國(guó)標(biāo)化的計(jì)劃；2005年，GB/T19716MODISO/IEC17799：2000.ISO/IEC17799/BS7799的發(fā)展趨勢(shì)2005年6月ISO/IEC17799:20052005年底BS7799-2轉(zhuǎn)化為ISO/IEC27001原定為ISO/IEC247432005年12月BS7799-3:2005信息安全風(fēng)險(xiǎn)管理指南2006~2007年ISO/IEC27000系列標(biāo)準(zhǔn).ISO/IEC17799:20052000版本2005版本安全方針安全方針安全組織組織信息安全資產(chǎn)分類(lèi)與控制資產(chǎn)管理人員安全人力資源安全物理和環(huán)境安全物理和環(huán)境安全通訊和運(yùn)行管理通訊和運(yùn)行管理訪問(wèn)控制訪問(wèn)控制系統(tǒng)開(kāi)發(fā)和維護(hù)信息系統(tǒng)的獲得、開(kāi)發(fā)和維護(hù)信息安全事故管理業(yè)務(wù)持續(xù)性管理業(yè)務(wù)持續(xù)性管理符合性符合性.ISO/IEC17799:2005修改了控制目標(biāo)增加了8個(gè)新的重新編排5個(gè)修改了控制措施保留了116個(gè)修改了9個(gè)新增17個(gè).ISO/IEC27000系列ISO/IEC27000原理與詞匯ISO/IEC27001ISMS要求ISO/IEC27002信息安全管理實(shí)施細(xì)則ISO/IEC27003ISMS測(cè)量與審核ISO/IEC27004ISMS實(shí)施指南ISO/IEC27005信息安全風(fēng)險(xiǎn)管理指南…BS7799-2ISO/IEC17799BS7799-3.3.4ISO17799:2005的內(nèi)容框架Foreword(ISO前言)Introduction(引言)Scope(范圍)TermandDefinitions(術(shù)語(yǔ)和定義)StructureAndThisStandard（標(biāo)準(zhǔn)的架構(gòu)）RiskAssessmentAndTreatment（風(fēng)險(xiǎn)的評(píng)估和處理）5.～15.詳細(xì)控制目標(biāo)和控制措施.3.4ISO17799:2005的內(nèi)容框架(續(xù))Introduction(引言)什么是信息安全為何需要信息安全如何建立安全需求評(píng)估安全風(fēng)險(xiǎn)選擇控制措施信息安全起點(diǎn)成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針.SECURITYPOLICY

安全方針ORGANIZATIONOFINFORMATIONSECURITY

信息安全組織ASSETMANAGEMENT

資產(chǎn)管理HUMANRESOURCESSECURITY

人力資源安全PHYSICALANDENVIRONMENTALSECURITY

物理和環(huán)境安全COMMUNICATIONSANDOPERATIONSMANAGEMENT

通信和運(yùn)行管理ACCESSCONTROL

訪問(wèn)控制INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE

系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)INFORMATIONSECURITYINCIDENTMANAGEMENT

信息安全故事管理BUSINESSCONTINUITYMANAGEMENT業(yè)務(wù)連續(xù)性管理COMPLIANCE

符合性3.4ISO17799:2005的內(nèi)容框架(續(xù)).十一類(lèi)控制措施一、安全方針(SECURITYPOLICY)（1,2）（附注）二、信息安全組織(ORGANIZATIONOFINFORMATIONSECURITY)(2,11)三、資產(chǎn)管理(ASSETMANAGEMENT)(2,5)四、人力資源安全(HUMANRESOURCESSECURITY)(3,9)五、物理和環(huán)境安全(PHYSICALANDENVIRONMENTAL

SECURITY)(2,13)六、通信和運(yùn)行管理(COMMUNICATIONSANDOPERATIONSMANAGEMENT)(10,32)八、系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)(INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE)(6,16)七、訪問(wèn)控制(ACCESSCONTROL)(7,25)九、

信息安全故事管理(INFORMATIONSECURITYINCIDENTMANAGEMENT)(2,5)十、業(yè)務(wù)連續(xù)性管理(BUSINESSCONTINUITYMANAGEMENT)(1,5)十一、符合性(COMPLIANCE)(3,10)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制方法的數(shù)目.十一類(lèi)控制措施(續(xù))ISO17799包含了39個(gè)控制目標(biāo)和133個(gè)控制措施不是所有的控制措施都適用于組織的各種情形所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制所描述的控制措施并不是必須適用于組織中的所有人.11類(lèi)39個(gè)目標(biāo)133項(xiàng)措施但這決不是全部！??！十一類(lèi)控制措施(續(xù)).

ISO17799:2005推薦了十個(gè)控制措施作為信息安全的起始點(diǎn)（StartingPoint），組織可以此為基礎(chǔ)建立ISMS。這些控制措施在大多數(shù)情況下是普遍適用的?；究刂拼胧?與法律有關(guān)的控制措施15.1.4數(shù)據(jù)保護(hù)和個(gè)人隱私15.1.3組織記錄的保護(hù)15.1.2知識(shí)產(chǎn)權(quán)基本控制措施－與法律相關(guān)的.與最佳實(shí)踐有關(guān)的控制措施5.1.1信息安全方針6.1.3信息安全責(zé)任分配8.2.2信息安全教育與培訓(xùn)12.2應(yīng)用的正確處理12.6技術(shù)性脆弱性的管理業(yè)務(wù)連續(xù)性管理13.2安全事件和整改管理

基本控制措施－與最佳實(shí)踐相關(guān)的.3.5ISO27001:2005的內(nèi)容框架ISO27001：2005

信息技術(shù)-安全技術(shù)信息安全管理體系要求.

3.5ISO27001:2005的內(nèi)容框架ISO前言

簡(jiǎn)介1.范圍2.引用標(biāo)準(zhǔn)3.術(shù)語(yǔ)和定義4.信息安全管理體系5.管理職責(zé)內(nèi)部審核管理評(píng)審改進(jìn)附錄A控制目標(biāo)和控制措施.3.5ISO27001:2005的內(nèi)容框架(續(xù))4.信息安全管理體系4.1總要求4.2建立并管理ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.2記錄控制.

5.管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn),意識(shí)和能力

3.5ISO27001:2005的內(nèi)容框架(續(xù)).3.5ISO27001:2005的內(nèi)容框架(續(xù))6.ISMS內(nèi)部審核7.ISMS管理評(píng)審7.1總則7.2評(píng)審輸入7.2評(píng)審輸出.

8.ISMS改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施3.5ISO27001:2005的內(nèi)容框架(續(xù)).3.5ISO27001:2005的內(nèi)容框架(續(xù))附錄A控制目標(biāo)和控制措施直接引用了ISO/IEC17799:2005第5到第15章39個(gè)控制目標(biāo)133個(gè)具體的控制措施.四、信息安全管理體系方法.目錄信息安全基礎(chǔ)知識(shí)信息安全管理與信息系統(tǒng)安全保障信息安全管理體系標(biāo)準(zhǔn)概述信息安全管理體系方法.4.

信息安全管理體系方法4.1什么是ISMS4.2ISMS的重要原則4.3ISMS的實(shí)現(xiàn)方法.

什么是ISMS

ISMS：

InformationSecurityManagementSystem

信息安全管理體系ISO9000-2000術(shù)語(yǔ)和定義組織organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施,如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理management指揮和控制組織的協(xié)調(diào)的活動(dòng)體系system相互關(guān)聯(lián)和相互作用的一組要素管理體系managementsystem建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系管理學(xué)中的定義管理是指通過(guò)計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來(lái)協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到組織目標(biāo)的過(guò)程。.信息安全管理體系ISMS定義ISMS是：在信息安全方面指揮和控制組織的以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測(cè)量的要素可能包括信息安全方針、策略信息安全組織結(jié)構(gòu)各種活動(dòng)、過(guò)程信息安全控制措施人力、物力等資源……….要求信息安全分析改進(jìn)資源管理信息安全實(shí)現(xiàn)管理職責(zé)輸入輸出信息安全管理體系的持續(xù)改進(jìn)信息安全管理體系框圖信息安全管理體系框圖.4.2ISMS的重要原則

4.2.1PDCA循環(huán)

4.2.2過(guò)程方法

4.2.3其它重要原則.PDCA循環(huán)：Plan—Do—Check—Act計(jì)劃實(shí)施檢查改進(jìn)PDAC

PDCA循環(huán).4.2.1PDCA循環(huán)又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的工作程序:P：計(jì)劃，方針和目標(biāo)的確定以及活動(dòng)計(jì)劃的制定；

D：執(zhí)行，具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；

C：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，分清哪些對(duì)了，哪些錯(cuò)了，明確效果，找出問(wèn)題；

A：改進(jìn)（或處理）,對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書(shū)，便于以后工作時(shí)遵循；對(duì)于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對(duì)于沒(méi)有解決的問(wèn)題，應(yīng)提給下一個(gè)PDCA循環(huán)中去解決。.PDCA循環(huán)的特點(diǎn)一

按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)4.2.1PDCA循環(huán).PDCA循環(huán)的特點(diǎn)二

組織中的每個(gè)部分，甚至個(gè)人，均有一個(gè)PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題。

4.2.1PDCA循環(huán).PDCA循環(huán)的特點(diǎn)三每通過(guò)一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADP4.2.1PDCA循環(huán).

過(guò)程方法定義ISO9000-2000術(shù)語(yǔ)和定義過(guò)程：一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。過(guò)程方法系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱之為“過(guò)程方法”。.活動(dòng)測(cè)量、改進(jìn)責(zé)任人資源記錄輸入輸出過(guò)程方法模型：.

信息安全管理過(guò)程方法信息安全實(shí)現(xiàn)是一個(gè)大的過(guò)程；信息安全實(shí)現(xiàn)過(guò)程的每一個(gè)活動(dòng)也是一個(gè)過(guò)程；識(shí)別組織實(shí)現(xiàn)信息安全的每一個(gè)過(guò)程；對(duì)每一個(gè)信息安全過(guò)程的實(shí)施進(jìn)行監(jiān)控和測(cè)量；改進(jìn)每一個(gè)信息安全過(guò)程。

.制定信息安全方針確定ISMS的范圍安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理選擇控制目標(biāo)和控制措施準(zhǔn)備適用聲明實(shí)施測(cè)量、改進(jìn)安全需求安全信息安全管理的過(guò)程網(wǎng)絡(luò).信息安全管理的過(guò)程網(wǎng)絡(luò)將相互關(guān)聯(lián)的過(guò)程作為一個(gè)系統(tǒng)來(lái)識(shí)別、理解和管理一個(gè)過(guò)程的輸出構(gòu)成隨后過(guò)程輸入的一部分過(guò)程之間的相互作用形成相互依賴的過(guò)程網(wǎng)絡(luò)PDCA循環(huán)可用于單個(gè)過(guò)程，也可用于整個(gè)過(guò)程網(wǎng)絡(luò).領(lǐng)導(dǎo)重視√指明方向和目標(biāo)√權(quán)威√預(yù)算保障，提供所需的資源√監(jiān)督檢查√組織保障

其它重要原則－領(lǐng)導(dǎo)重視.

全員參與√信息安全不僅僅是IT部門(mén)的事；√讓每個(gè)員工明白隨時(shí)都有信息安全問(wèn)題；√每個(gè)員工都應(yīng)具備相應(yīng)的安全意識(shí)和能力；√讓每個(gè)員工都明確自己承擔(dān)的信息安全責(zé)任；

其它重要原則－全員參與.持續(xù)改進(jìn)√信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實(shí)現(xiàn)信息安全目標(biāo)的循環(huán)活動(dòng)

其它重要原則－持續(xù)改進(jìn).文件化√文件的作用：有章可循，有據(jù)可查√文件的類(lèi)型：手冊(cè)、規(guī)范、指南、記錄

其它重要原則－文件化

溝通意圖，統(tǒng)一行動(dòng)重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查.

文件的類(lèi)型：手冊(cè)、規(guī)范、指南、記錄

-

手冊(cè)：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件

-

規(guī)范：闡明要求的文件

-

指南：闡明推薦方法和建議的文件

-

記錄：為完成的活動(dòng)或達(dá)到的結(jié)果提供客觀證據(jù)的文件文件化

其它重要原則－文件化.4.3ISMS的實(shí)現(xiàn)方法4.3.1ISMS總則4.3.2建立ISMS框架4.3.3ISMS實(shí)施4.3.4ISMS體系文件4.3.5文件的控制4.3.6記錄.

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

組織應(yīng)該建立并運(yùn)行一套文件化的ISMS

確定組織需要保護(hù)的資產(chǎn)確定風(fēng)險(xiǎn)管理的方法確定風(fēng)險(xiǎn)控制的目標(biāo)和控制措施確定要達(dá)到的安全保證程度

3.1General(總則)

4.3.1ISMS總則.

建設(shè)ISMS的步驟：如下圖

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架.制訂信息安全方針?lè)结樜臋n定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)管理選擇控制目標(biāo)措施準(zhǔn)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件4.3.2建立ISMS框架.信息安全方針

一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理，二、公司總經(jīng)理張未來(lái)先生決定在整個(gè)公司范圍內(nèi)建立并實(shí)施信息安全管理體系。要求各部門(mén)高度重視，第一步制訂信息安全方針組織應(yīng)定義信息安全方針。BS7799-2對(duì)ISMS的要求：4.3.2建立ISMS框架.什么是信息安全方針？信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過(guò)程。

信息安全方針第一步制訂信息安全方針4.3.2建立ISMS框架.第一步制訂信息安全方針要經(jīng)最高管理者批準(zhǔn)和發(fā)布體現(xiàn)了最高管理者對(duì)信息安全的承諾與支持要傳達(dá)給組織內(nèi)所有的員工要定期和適時(shí)進(jìn)行評(píng)審信息安全方針4.3.2建立ISMS框架.目的和意義為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)；確保信息安全管理體系被充分理解和貫徹實(shí)施；統(tǒng)領(lǐng)整個(gè)信息安全管理體系。第一步制訂信息安全方針4.3.2建立ISMS框架.信息安全方針的內(nèi)容

包括但不限于：組織對(duì)信息安全的定義信息安全總體目標(biāo)和范圍最高管理者對(duì)信息安全的承諾與支持的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義相關(guān)支持文件第一步制訂信息安全方針4.3.2建立ISMS框架.注意事項(xiàng)簡(jiǎn)單明了易于理解可實(shí)施避免太具體第一步制訂信息安全方針4.3.2建立ISMS框架.第二步確定ISMS范圍組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點(diǎn)來(lái)確定。

BS7799-2對(duì)ISMS的要求：4.3.2建立ISMS框架.可以根據(jù)組織的實(shí)際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。第二步確定ISMS范圍4.3.2建立ISMS框架.文件是否明白地描述了信息安全管理體系的范圍范圍的邊界和接口是否已清楚定義第二步確定ISMS范圍ISMS范圍文件：4.3.2建立ISMS框架.第三步風(fēng)險(xiǎn)評(píng)估組織應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估應(yīng)識(shí)別資產(chǎn)所面對(duì)的威脅、脆弱性、以及對(duì)組織的潛在影響，并確定風(fēng)險(xiǎn)的等級(jí)。BS7799-2對(duì)ISMS的要求：4.3.2建立ISMS框架.是否執(zhí)行了正式的和文件化的風(fēng)險(xiǎn)評(píng)估？是否經(jīng)過(guò)一定數(shù)量的員工驗(yàn)證其正確性？風(fēng)險(xiǎn)評(píng)估是否識(shí)別了資產(chǎn)的威脅、脆弱性和對(duì)組織的潛在影響？風(fēng)險(xiǎn)評(píng)估是否定期和適時(shí)進(jìn)行？第三步風(fēng)險(xiǎn)評(píng)估4.3.2建立ISMS框架.第四步風(fēng)險(xiǎn)管理組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來(lái)確定需要管理的信息安全風(fēng)險(xiǎn)。BS7799-2對(duì)ISMS的要求：4.3.2建立ISMS框架.根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇風(fēng)險(xiǎn)控制方法，將組織面臨的風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。第四步風(fēng)險(xiǎn)管理4.3.2建立ISMS框架.是否定義了組織的風(fēng)險(xiǎn)管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？第四步風(fēng)險(xiǎn)管理4.3.2建立ISMS框架.第五步選擇控制目標(biāo)和控制措施組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來(lái)滿足風(fēng)險(xiǎn)管理的要求，并證明選擇結(jié)果的正確性。BS7799-2對(duì)ISMS的要求：4.3.2建立ISMS框架.安全問(wèn)題安全需求控制目標(biāo)控制