1、信息安全管理體系,培訓機構名稱 講師名字,課程內容,2,知識域：信息安全管理基本概念,知識子域： 信息安全管理的作用 理解信息安全“技管并重”原則的意義 理解成功實施信息安全管理工作的關鍵因素 知識子域： 風險管理的概念和作用 理解信息安全風險的概念：資產價值、威脅、脆弱性、防護措施、影響、可能性 理解風險評估是信息安全管理工作的基礎 理解風險處置是信息安全管理工作的核心 知識子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理風險的具體手段 了解11個基本安全管理控制措施的基本內容,3,信息安全管理,一、信息安全管理概述 二、信息安全管理體系 三、信息安全管理體系建立 四、信

2、息安全管理控制規(guī)范,4,一、信息安全管理概述,（一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于風險的信息安全 （二）信息安全管理的狀況 1、信息安全管理的作用 2、信息安全管理的發(fā)展 3、信息安全管理的標準 4、成功實施信息安全管理的關鍵,5,（一）信息安全管理基本概念,1、信息安全 2、信息安全管理 3、基于風險的信息安全,6,1、信息安全,7,信息：信息是一種資產，像其他重要的業(yè)務資產一樣，對組織具有價值，因此需要妥善保護。 信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術、網(wǎng)絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信

3、息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。,1、信息安全,8,1、信息安全-保密性,9,保密性 確保只有那些被授予特定權限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。,1、信息安全-完整性,10,完整性 保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當?shù)牟僮鳎锌赡茉斐芍?/p>

4、要文件的丟失，甚至整個系統(tǒng)的癱瘓。,1、信息安全-可用性,11,可用性 確保那些已被授權的用戶在他們需要的時候，確實可以訪問到所需信息。即信息及相關的信息資產在授權人需要的時候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡的擁堵會造成信息在一段時間內不可用，影響正常的業(yè)務運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當?shù)爻惺芄舨⒃谑r恢復。,2、信息安全管理,統(tǒng)計結果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題，單憑技術是無法實現(xiàn)

5、從“最大威脅”到“最可靠防線”轉變的。 信息安全是一個多層面、多因素的過程，如果組織憑著一時的需要，想當然去制定一些控制措施和引入某些技術產品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全水平。,12,2、信息安全管理,13,正確的做法是參考國內外相關信息安全標準與最佳實踐過程，根據(jù)組織對信息安全的各個層面的實際需求，在風險分析的基礎上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產的保密性、完整性和可用性。,2、信息安全管理,14,組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，?/p>

6、進行的規(guī)劃、組織、指導、協(xié)調和控制等活動 信息安全管理工作的對象,目標,組織,2、信息安全管理,15,信息安全管理是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產的一項體制；是組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調的活動，有效的信息安全管理要盡量做到在有限的成本下，保證安全風險控制在可接受的范圍。,3、基于風險的信息安全,16,（1）安全風險的基本概念 （2）信息安全的風險模型 （2）基于風險的信息安全,（1）安全風險的基本概念,資產 資產是任何對組織有價值的東西 信息也是一種資產，對組織具有價值 資產的分類 電子信息資產 紙介資產 軟件資產 物理資產 人

7、員 服務性資產 公司形象和名譽 ,17,（1）安全風險的基本概念,威脅 資威脅是可能導致信息安全事故和組織信息資產損失的環(huán)境或事件 威脅是利用脆弱性來造成后果 威脅舉例 黑客入侵和攻擊病毒和其他惡意程序 軟硬件故障人為誤操作 盜竊網(wǎng)絡監(jiān)聽 供電故障后門 未授權訪問自然災害如：地震、火災,18,（1）安全風險的基本概念,脆弱性 是與信息資產有關的弱點或安全隱患。 脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產造成危害。 脆弱性舉例 系統(tǒng)漏洞程序Bug 專業(yè)人員缺乏不良習慣 缺少審計缺乏安全意識 后門 物理環(huán)境訪問控制措施不當,19,（1）安全風險的基本

8、概念,安全控制措施 根據(jù)安全需求部署的，用來防范威脅，降低風險的措施 安全控制措施舉例,20,技術措施 防火墻 防病毒 入侵檢測 災備系統(tǒng) ,管理措施 安全規(guī)章 安全組織 人員培訓 運行維護 ,（2）信息安全的風險模型,21,沒有絕對的安全，只有相對的安全,信息安全建設的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當、足夠、綜合的安全措施來控制風險，使殘余風險降低到可接受的程度。,（3）基于風險的信息安全,信息安全追求目標,確保業(yè)務連續(xù)性 業(yè)務風險最小化 保護信息免受各種威脅的損害 投資回報和商業(yè)機遇最大化,獲得信息安全方式,實施一組合適的控制措施，包括策略、過程、規(guī)程、組織結構以及軟件

9、和硬件功能。,22,（3）風險評估是信息安全管理的基礎,風險評估主要對ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行界定。 信息安全管理體系的建立需要確定信息安全需求 信息安全需求獲取的主要手段就是安全風險評估 信息安全風險評估是信息安全管理體系建立的基礎，沒有風險評估，信息安全管理體系的建立就沒有依據(jù)。,23,（4）風險處置是信息安全管理的核心,風險評估的結果應進行相應的風險處置，本質上，風險處置的最佳集合就是信息安全管理體系的控制措施集合。 控制目標、控制手段、實施指南的邏輯梳理出這些風險控制措施集合的過程也就是

10、信息安全建立體系的建立過程。 信息安全管理體系的核心就是這些最佳控制措施集合的。,24,（二）信息安全管理的狀況,1、信息安全管理的作用 2、信息安全管理的發(fā)展 3、信息安全管理有關標準 4、成功實施信息安全管理的關鍵,25,1、信息安全管理的作用,26,如果你把鑰匙落在鎖眼上會怎樣？ 技術措施需要配合正確的使用才能發(fā)揮作用,保險柜就一定安全嗎？,27,WO!3G,精心設計的網(wǎng)絡防御體系，因違規(guī)外連形同虛設,防火墻能解決這樣的問題嗎？,1、信息安全管理的作用,28,信息系統(tǒng)是人機交互系統(tǒng),應對風險需要人為的管理過程,設備的有效利用是人為的管理過程,“堅持管理與技術并重”是我國加強信息安全保障工

11、作的主要原則,1、信息安全管理的作用,2、信息安全管理的發(fā)展-1,29,ISO/IEC TR 13335 國際標準化組織在信息安全管理方面，早在1996年就開始制定信息技術信息安全管理指南（ISO/IEC TR 13335），它分成五個部分： 信息安全的概念和模型 信息安全管理和規(guī)劃 信息安全管理技術 基線方法 網(wǎng)絡安全管理指南,2、信息安全管理的發(fā)展-2,30,BS 7799 英國標準化協(xié)會（BSI）1995年頒布了信息安全管理指南（BS 7799），BS 7799分為兩個部分： BS 7799-1信息安全管理實施規(guī)則和BS 7799-2信息安全管理體系規(guī)范。2002年又頒布了信息安全管理系

12、統(tǒng)規(guī)范說明（BS 7799-2:2002）。 BS 7799將信息安全管理的有關問題劃分成了10個控制要項、36 個控制目標和127 個控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。,2、信息安全管理的發(fā)展-3,31,2、信息安全管理的發(fā)展-4,32,3、國內外信息安全管理標準,33,（1）國際信息安全管理標準 國際信息安全標準化組織 國際信息安全管理標準 （2）國內信息安全管理標準 國內信息安全標準化組織 國內信息安全管理標準,國際信息安全標準化組織,34,國際信息安全管理標準-1,35,國際信息安全管理標準-2,36,國際信息安全管理標準-3,37,國內信息安

13、全標準化組織,38,國內信息安全管理標準-1,39,WG7組已有的標準,國內信息安全管理標準-2,40,WG7組研究中的標準,國內信息安全管理標準-3,41,4、實施信息安全管理的關鍵成功因素,理解組織文化 得到高層承諾 做好風險評估 整合管理體系 積極有效宣貫 納入獎懲機制 持續(xù)改進體系,42,二、信息安全管理體系,（一）什么是信息安全管理體系 （二）信息安全管理體系的框架 （三）信息安全管理過程方法要求 （四）信息安全管理控制措施要求,43,（一）什么是信息安全管理體系,1、信息安全管理體系的定義 2、信息安全管理體系的特點 3、信息安全管理體系的作用 4、信息安全管理體系的文件,44,1

14、、信息安全管理體系的定義,信息安全管理體系（ISMS：Information Security Management System）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接 管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。,45,2、信息安全管理體系的特點,信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標和措施等一系列活動來建立信息安全管理體系； 體系的建立基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)以預防控制為主的思想，強調遵守國家有關信息安全的

15、法律、法規(guī)及其他合同方面的要求； 強調全過程和動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；強調保護組織所擁有的關鍵性信息資產，而不是全部信息資產，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務的持續(xù)性。,46,3、信息安全管理體系的作用,對組織的關鍵信息資產進行全面系統(tǒng)的保護，維持競爭優(yōu)勢； 在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度； 促使管理層貫徹信息安全管理體系，強化員工的信息安全意識，規(guī)范組織信息安全行為； 使組織的生意伙伴和客戶對組織充滿信心； 組織可以按照安全管理，達到動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預防為主的信息安全管理方式，用最

16、低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的持續(xù)性。,47,4、信息安全管理體系的理念,各廠商、各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準，這些基于產品、技術與管理層面的標準在某些領域得到了很好的應用，但從組織信息安全的各個角度和整個生命周期來考察，如果忽略了組織中最活躍的因素人的作用，則信息安全管理體系是不完備的，考察國內外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全時間表象后面其實都是人的因素在起決定作用。,48,4、信息安全管理體系的理念,49,在信息安全問題上，要綜合考慮人員與管理、技術與產品、流程與體系。信息安全管理體系是人員、管理與技術三者的互動。,5、信息

17、安全管理體系的過程,50,完善信息安全治理結構,風險評估,安全規(guī)劃,信息安全管理框架,管理措施,技術手段,信息系統(tǒng)安全審計,監(jiān)控業(yè)務與安全環(huán)境,符合安全控制標準？,持續(xù)改進,調整,（二）信息安全管理體系框架,1、信息安全管理體系循環(huán)框架 2、信息安全管理體系內容框架 3、信息安全管理體系文件框架 4、信息安全管理體系系列標準,51,1、信息安全管理體系循環(huán)框架,52,信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。,相關方,信息安全要求和期望,相關方,受控的信息安全,1、信息安全管理體系循環(huán)框架,53,PDCA也稱“戴明環(huán)”，由美國質量管理專家戴明提出。 P（Plan）：計劃，確定方針和目

18、標，確定活動計劃； D（Do）：實施，實際去做，實現(xiàn)計劃中的內容； C（Check）：檢查，總結執(zhí)行計劃的結果，注意效果，找出問題； A（Action）：行動，對總結檢查的結果進行處理，成功地經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現(xiàn)；未解決的問題放到下一個PDCA循環(huán)。,1、信息安全管理體系循環(huán)框架,54,PDCA特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán)。,PDCA特點二： 組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。,PDCA特點三：每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次P

19、DCA 循環(huán)。,2、信息安全管理體系內容框架,55,2、信息安全管理體系內容框架（續(xù)）,56,其他最佳實踐標準與各安全控制域之間的對應,ISO27000系列不是信息安全管理體系的全部,3、信息安全管理體系文檔框架,57,3、信息安全管理體系文檔框架,58,安全策略,操作手冊,操作手冊,操作手冊,操作手冊,考核指標,考核指標,4、信息安全管理體系系列標準,59,（1）ISO 27000系列 （2）NIST SP800系列 （3）ISO/IEC13335系列,（1）ISO 27000系列,60,ISO 27000系列,2700027003,2700427007,27000 信息安全管理體系原則和術

20、語 27001 信息安全管理體系要求 27002 信息安全管理實踐準則 27003 信息安全管理實施指南,27004 信息安全管理的度量指標和衡量 27005 信息安全風險管理指南 27006 信息和通信技術災難恢復服務指南 27007 XXX,信息安全管理體系基本原理和詞匯,（1）ISO 27000系列,61,27001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一部分,測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來,27000：ISMS基礎和詞匯,62,正在啟動的新標準項目； 它將主要以ISO/IEC 13335-1:2004信息和通信技術安全管理第1部分：信息和通信技術安全管理的概

21、念和模型為基礎進行研究； 該標準將規(guī)定27000系列標準所共用的基本原則、概念和詞匯。,27001：信息安全管理體系要求,63,2005年10月15日發(fā)布； 規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息安全管理體系的要求； 基于風險管理的思想，旨在通過持續(xù)改進的過程（PDCA模型）使組織達到有效的信息安全； 使用了和ISO 9001、ISO 14001相同的管理體系過程模型； 是一個用于認證和審核的標準；,27002：信息安全管理實用規(guī)則,64,即17799，2005年6月15日發(fā)布第二版； 包含有11個安全類別、39個控制目標、138個控制措施； 實施27001的支撐標準，給出

22、了組織建立ISMS時應選擇實施的控制目標和控制措施集； 是一個行業(yè)最佳慣例的匯總集，而不是一個認證和審核標準；,27003：ISMS實施指南,65,目前處于工作草案階段； 它主要以BS 7799-2:2002附錄B的內容為基礎進行制定； 提供了27001具體實施的指南。,27004：信息安全管理度量,66,旨在為組織提供一個如何通過使用度量、測量項以及合適的測量技術來評估其安全管理狀態(tài)的指南。,27005：信息安全風險管理,67,目前處于委員會草案階段； 它將主要以ISO/IEC 13335-2為基礎進行制定； 描述了信息安全風險管理的過程及每個過程的詳細內容。,（2）NIST SP800系列

23、,68,NIST SP800系列,（3）ISO/IEC13335系列,69,ISO/IEC13335系列,（三）信息安全管理過程方法要求,1、信息安全管理過程方法的作用 2、信息安全管理過程方法的結構,70,1、信息安全管理過程方法的作用,71,過程方法要求（Methodological requirements）：為組織根據(jù)業(yè)務風險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系規(guī)定了要求。 按照PDCA循環(huán)理念運行的信息安全管理體系是從過程上嚴格保證了信息安全管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。,2、信息安全管理過程方法的結構

24、,72,（四）信息安全管理控制措施要求,1、信息安全管理控制措施的作用 2、信息安全管理控制措施的結構,73,1、信息安全管理控制措施的作用,74,安全控制要求（Security control requirements）：為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個最佳實踐集。 組織應根據(jù)法律法規(guī)的約束、自身的業(yè)務和風險特征選擇適用的控制措施。 當然組織也可以根據(jù)自身的特定要求對安全控制措施進行補充。,2、信息安全管理控制措施的結構,75,共有11個控制條款（方面） 每個條款包括許多主要的安全類。 每個安全類包括： 一個控制目標，聲明要實現(xiàn)什么 一個或多個控制措施，可被用于實現(xiàn)該控

25、制目標 每個控制措施 控制：是對該控制措施的定義 實施指南：是對實施該控制措施的指導性說明 其它信息：其它需要說明的補充信息,76,2、信息安全管理控制措施的結構示例,8、人員安全安全控制條款 8.1雇傭前安全類 確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，減少盜竊、濫用或設施誤用的風險。 安全類控制目標 8.1.1角色和職責安全控制措施 控制：是對該控制措施的定義 實施指南：是對實施該控制措施的指導性說明 其它信息：其它需要說明的補充信息,77,知識子域：過程方法與PDCA循環(huán) 理解ISMS過程和過程方法的含義 理解PDCA循環(huán)的特征和作用 知識子域：建立、運行、評審

26、與改進ISMS 了解建立ISMS的主要工作內容 了解實施和運行ISMS的主要工作內容 了解監(jiān)視和評審ISMS的主要工作內容 了解保持和改進ISMS的主要工作內容,知識域：信息安全管理體系建設,三、信息安全管理體系建設,（一）信息安全管理體系的規(guī)劃和建立 （二）信息安全管理體系的實施和運行 （三）信息安全管理體系的監(jiān)視和評審 （四）信息安全管理體系的保持和改進,78,（一）信息安全管理體系規(guī)劃和建立,P1-定義ISMS范圍 P2-定義ISMS方針 P3-確定風險評估方法 P4-分析和評估信息安全風險 P5-識別和評價風險處理的可選措施 P6-為處理風險選擇控制目標和控制措施 P7-準備詳細的適用

27、性聲明SoA,79,P1-定義ISMS范圍,80,ISMS的范圍就是需要重點進行信息安全管理的領域，組織需要根據(jù)自己的實際情況，在整個組織范圍內、個別部門或領域構建ISMS。 在本階段，應將組織劃分成不同的信息安全控制領域，以易于組織對有不同需求的領域進行適當?shù)男畔踩芾怼?在定義ISMS范圍時，應重點考慮組織現(xiàn)有的部門、信息資產的分布狀況、核心業(yè)務的流程區(qū)域以及信息技術的應用區(qū)域。,P2-定義ISMS方針,81,信息安全方針是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產，包括敏感信息進行管理、保護和分配的規(guī)則和指示。 信息安全方針應當闡明管理層的承諾，提出組織管

28、理信息安全的方法，并由管理層批準，采用適當?shù)姆椒▽⒎结槀鬟_給每一個員工。 信息安全方針應當簡明、扼要，便于理解，至少包括目標、范圍、意圖、法規(guī)的遵從性和管理的責任等內容。,P3-確定風險評估方法,82,組織可采取不同風險評估法方法，一個方法是否適合于特定組織，有很多影響因素，包括： 業(yè)務環(huán)境 業(yè)務性質與業(yè)務重要性； 對支持組織業(yè)務活動的信息系統(tǒng)的依賴程度； 業(yè)務內容、支持系統(tǒng)、應用軟件和服務的復雜性； 貿易伙伴、外部業(yè)務關系、合同數(shù)量的大小。 這些因素對風險評估方法的選擇都很重要，不僅風險評估要考慮成本與效益的權衡，不出現(xiàn)過度安全；風險評估自身也要考慮成本與效益的權衡，不出現(xiàn)過度復雜。,P4-

29、分析和評估信息安全風險,83,風險評估主要對ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行鑒定。 確定風險數(shù)值的大小不是評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對值，即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產應被優(yōu)先分配資源進行保護。組織可以采用按照風險數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級，這包括將可接受風險與不可接受風險進行劃分。,P5-識別和評價風險處理的可選措施,84,根據(jù)風險評估的結果，在已有措施基礎上從安全控制最佳集合中選擇安全控制措施。,P6-為

30、處理風險選擇控制目標和控制措施,85,在選擇控制目標和控制措施時，并沒有一套標準與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務部門和大量的關鍵人員進行討論，對業(yè)務目標進行廣泛的分析，最后產生的結果要很好的滿足組織對業(yè)務目標、資產保護、投資預算的要求。 組織采用什么樣的方法來評估安全需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風險、來自法規(guī)和合同的遵從以及來自業(yè)務這三種安全需求來驅動。,P7-準備詳細的適用性聲明SoA,86,在風險評估之后，組織應該選用符合組織自身需要的控制措施與控制目標。所選擇的控制目標和措施以

31、及被選擇的原因應在適用性聲明（SOA：Statement of Application）SOA中進行說明。 SOA是適合組織需要的控制目標和控制的評論，需要提交給管理者、職員、具有訪問權限的第三方相關認證機構。 SOA的準備一方面是為了向組織內的員工聲明對信息安全面對的風險的態(tài)度，更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將所有需要控制的風險控制在能被接受的范圍內。,（二）信息安全管理體系實施和運行,D1-開發(fā)風險處置計劃 D2-實施風險處置計劃 D3-實施安全控制措施 D4-實施安全教育培訓 D5-管理ISMS的運行 D6-管理ISM

32、S 的資源 D7-執(zhí)行檢測安全事件程序 D8-執(zhí)行響應安全事故程序,87,信息安全風險處置的分類,88,根據(jù)風險評估的結果進行相關的風險處置： 降低風險：在考慮轉移風險前，應首先考慮采取措施降低風險； 避免風險：有些風險容易避免，例如采用不同的技術、更改操作流程、采用簡單的技術措施等； 轉移風險：通常只有當風險不能被降低風險和避免、且被第三方接受時才采用； 接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。,信息安全管理體系試運行,體系運行初期處于體系的磨合期，一般稱為試運行期，在此期間運行的目的是要在實踐中體驗體系的充

33、分性、適用性和有效性。在體系運行初期，組織應加強運作力度，通過實施ISMS手冊、程序和各種作業(yè)指導性文件等一系列體系文件，充分發(fā)揮體系本身的各項工程，及時發(fā)現(xiàn)體系本身存在的問題，找出問題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。,89,（三）信息安全管理體系監(jiān)視和評審,C1-執(zhí)行ISMS監(jiān)視程序 C2-執(zhí)行ISMS評價程序 C3-定期執(zhí)行ISMS評審 C4-測量控制措施的有效性 C5-驗證安全要求是否被滿足 C6-按計劃進行風險評估 C7-評審可接受殘余風險 C8-按計劃進行內部審核 C9-按計劃進行管理評審 C10-更

34、新信息安全計劃 C11-記錄對ISMS有影響的行動和事件,90,常用的檢查措施：,在檢查階段采集的信息應該可以用來測量信息安全管理體系，判斷是否符合組織的安全方針和控制目標的有效性。常用的檢查措施有： 日常檢查：作為正式的業(yè)務過程經(jīng)常進行，并設計用來偵測處理結果的錯誤。 自治程序：為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報警等。 從其他處學習：一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法。,91,常用的檢查措施：,內部審核：在一個特定的常規(guī)審核時間內檢查所有方面是否達到預想的效果。 管理評審：管理評審的目的是檢查信息安全管理體系的有效性，以識別需

35、要的改進和采取的行動。管理評審指導每年進行一次 趨勢分析：經(jīng)常進行趨勢分析有助于組織識別需要改進的領域，并建立一個持續(xù)改進和循環(huán)提高的基礎。,92,（四）信息安全管理體系保持和改進,A1-實施已識別的ISMS改進措施 A2-執(zhí)行糾正性和預防性措施 A3-通知相關人員ISMS的變更 A4-從安全經(jīng)驗和教訓中學習,93,A1-實施已識別的ISMS改進措施,94,為使信息安全管理體系持續(xù)有效，應以檢查階段采集的不符合項信息為基礎，經(jīng)常進行調整與改進。 不符合項指： 缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求； 在有可觀證據(jù)的基礎上，引起對信息安全管理體系安全方針和組織安全目標能力的重大懷疑。,A2-執(zhí)行糾正性和預防性措施,95,通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運行中出現(xiàn)了不符合規(guī)定要求的事項后，就需要采取改進措施。改進措施主要通過糾正與預防性控制措施來實現(xiàn)，同時對潛在的不符合項采取預防性措施。 糾正性措施：組織應采取措施，以消除不合格的、與實施和運行信息安全管理體系有關的原因、防止問題的再發(fā)生。 預防性措施：組織應對未來的不合適事件確定預防措施已防止其發(fā)生，預防措施應與潛在問題的影響程度相適應。,A3-通知相關人員ISMS的變更,96,按照內部審計和管理評審的輸出結果對信息安全管理體系作持續(xù)性的改善，每次的改善會涉及到信息安全管理體系文件的變更，