1、構(gòu)建組織的ISMS體系,信息安全管理體系（ISMS）,由于許多信息系統(tǒng)并非在設計時充分考慮了安全，依靠技術(shù)手段實現(xiàn)安全很有限，必須依靠必要的管理手段來支持。 信息安全管理就是通過保證維護信息的機密性、完整性和可用性來管理和保護組織的所有信息資產(chǎn)的一項體制。 通過合理的組織體系、規(guī)章制度和控管措施，把具有信息安全保障功能的軟硬件設施和管理以及使用信息的人整合在一起，以此確保整個組織達到預定程度的信息安全，稱為信息安全管理體系（ISMS）。,明確保護和管理的對象,人 內(nèi)部員工、外部客戶、服務供應商、產(chǎn)品供應商等。 物 網(wǎng)絡設備、系統(tǒng)主機、工作站、PC機等； 操作系統(tǒng)、業(yè)務應用系統(tǒng)等； 商業(yè)涉密數(shù)據(jù)

2、、個人隱私數(shù)據(jù)、文檔數(shù)據(jù)等。,ISMS的建立與維護,遵循國內(nèi)外相關(guān)信息安全標準與最佳實踐過程，考慮到組織對信息安全的各個層面的實際需求，在風險分析的基本上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性； 安全體系還應當隨著組織環(huán)境的變化、業(yè)務發(fā)展和信息技術(shù)提高而不斷改進，不能一勞永逸，一成不變。因此實現(xiàn)信息安全是一個需要一個完整的體系來保證的持續(xù)過程。,建立ISMS的步驟,確定信息安全管理方針； 明確ISMS(信息安全管理體系)的范圍 ，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限； 實施適宜的風險評估，識別資產(chǎn)所受的威脅脆弱性和對組織的影響，并確

3、定風險程度； 根據(jù)組織的信息安全管理方針和需要的保證程度來確定管理的風險區(qū)域； 選擇適宜的控制目標和控制； 制定可用性聲明，控制目標和控制方式的選擇及選擇原因應在可用性聲明中文件化。,信息安全管理體系（ISMS）的作用,強化員工的信息安全意識，規(guī)范組織信息安全行為。,對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。,在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度。,使組織的生意伙伴和客戶對組織充滿信心。,如果體系通過認證，表明體系符合標準，證明組織有能力保障重要信息，能提高組織的知名度與信任度。,促使管理層堅持貫徹信息安全保障體系。,ISMS的內(nèi)容依據(jù),安全策略 組織安全 資

4、產(chǎn)分類與控制 人員安全 物理和環(huán)境安全 通信和操作管理 訪問控制 系統(tǒng)開發(fā)與維護 業(yè)務連續(xù)性管理 遵循性,ISMS的目標、方針、策略,企業(yè)的目標、方針、策略,企業(yè)的安全目標、方針、策略,企業(yè)的金融目標、方針、策略,企業(yè)的IT安全目標、方針、策略,企業(yè)的人員安全目標、方針、策略,IT系統(tǒng)（1）安全目標、方針、策略,IT系統(tǒng)（n）安全目標、方針、策略,ISMS的基本組成,安全管理流程 響應型,響應型安全管理屬于“被動式”，即各種角色發(fā)現(xiàn)安全事件/問題后向安全員匯報，請求處理的流程。,安全管理流程 主動型,主動型安全管理屬于“主動式”，即安全員定期檢查各種角色，發(fā)現(xiàn)安全事件/問題后及時處理的流程。,

5、ISMS設計應注意的問題,安全性 設計安全體系的最終目的是為安全工程提供一個可靠的依據(jù)和指導，保護信息與網(wǎng)絡系統(tǒng)的安全，所以安全性成為首要目標。要保證體系的安全性，必須保證體系的可理解性、完備性和可擴展性。 可行性 設計體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，那么也只能是一些廢紙。設計安全體系的目的是指導安全工程的實施，它的價值也體現(xiàn)在所設計的工程上，如果工程的難度太大以至于無法實施，那么體系本身也就沒有了實際價值。,ISMS體系設計應注意的問題,高效性 信息與網(wǎng)絡系統(tǒng)對安全提出要求的目的是能保證系統(tǒng)的正常運行，如果安全影響了系統(tǒng)的運行，那么就需要進行權(quán)衡了。信息網(wǎng)絡系

6、統(tǒng)的安全體系包含一些軟件和硬件，它們也會占用信息網(wǎng)絡系統(tǒng)的一些資源。因此，在設計安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護系統(tǒng)本身不能妨礙信息網(wǎng)絡系統(tǒng)的正常運轉(zhuǎn)。 可承擔性 安全體系從設計到工程實施以及安全系統(tǒng)的后期維護、安全培訓等各個方面的工作都是由對象單位來支持的，單位要為此付出一定的代價和開銷。如果單位要付出的代價比從安全體系中獲得的利益還要多，那么單位就不會采用這個方案。所以，在設計安全體系時，必須考慮單位的實際承受能力。,ISMS執(zhí)行常見現(xiàn)象,制度簡單，內(nèi)容不全 交叉重復，混亂無章 厚厚一本，無針對性 懸掛墻壁，應付檢查 鎖在柜中，無人知曉 ,ISMS執(zhí)行建議,建立完善的信息安全

7、管理組織體系 建立信息安全巡檢制 制定可操作性的管理規(guī)范 制定針對性的管理規(guī)范 與組織文化結(jié)合的管理方式 從松到嚴、從少到多的管理要求 制度、規(guī)范等的定期維護 安全管理平臺的集中監(jiān)控 安全服務商的定期安全服務,SOC安全管理平臺,隨著企業(yè)的IT應用的深入和規(guī)模的擴大，技術(shù)管理難度越來越大，用戶的負擔越來越重，企業(yè)提出了簡化管理的要求；根據(jù)信息安全的特點，多種安全產(chǎn)品的應用將跨越多個部門甚至多個企業(yè)，密集分布的安全產(chǎn)品增加了管理的難度，同時安全完備性也要求實現(xiàn)集成化安全管理和安全信息共享機制，以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應急響應，可管理的安全才是真正意義上的安全

8、 。,信息安全保障體系案例一,信息安全保障體系建設,組織體系為核心 管理體系為保障 技術(shù)體系為支撐,技術(shù)體系,管理體系,組織體系,信息安全組織體系建設,組織體系 機構(gòu)建設 建立決策層、管理層和執(zhí)行層三層工作關(guān)系 明確信息安全主管領(lǐng)導 落實信息安全管理部門及職責 指定信息安全執(zhí)行崗位 建立安全巡檢小組 人員管理 建立專職的安全管理員和安全審計員崗位 明確定義本單位各種角色的安全職責，加強崗位權(quán)限審核 加強招聘、上崗、變更、離職等方面的管理 加強員工的安全普及培訓和管理員的安全技術(shù)培訓,明確的安全組織管理！,信息安全管理體系建設,管理體系 制度管理 統(tǒng)一的信息安全策略 全面、可操作的信息安全管理制

9、度 資產(chǎn)管理 保護信息系統(tǒng)設備、軟件、數(shù)據(jù)和技術(shù)文檔的安全 明確信息系統(tǒng)資產(chǎn)管理負責人 實現(xiàn)等級管理、密級管理，重點保護核心信息系統(tǒng)資產(chǎn)的安全 資產(chǎn)變更管理 物理管理 機房安全管理 環(huán)境安全管理 物理控制措施,信息安全管理體系建設,管理體系 技術(shù)管理 實現(xiàn)對信息系統(tǒng)規(guī)劃、建設、運行、維護各個階段的安全管理 建立網(wǎng)絡、系統(tǒng)、應用等各層面的安全管理規(guī)范和流程 實現(xiàn)對安全產(chǎn)品的正確維護管理 風險管理 對資產(chǎn)、威脅和脆弱性的狀況進行定期評估，持續(xù)性的發(fā)現(xiàn)安全問題并進行預防性的保護 ，選擇適用、有效的安全措施,統(tǒng)一的安全管理策略！,信息安全技術(shù)體系建設,有效的安全預警體系 跟蹤漏洞 定期評估 及時加固 完善的安全防護體系 身份認證 訪問控制 防病毒 完整性檢查 數(shù)據(jù)加密,信息安全技術(shù)體系建設,實時的安全監(jiān)控體系 網(wǎng)絡通斷監(jiān)控 流量異常監(jiān)控 攻擊入侵檢測 實時日志審計 充分的應急恢復體系 完備的應急隊