1、信息安全管理信息安全管理讲师 王厚奎 CISP/CISI版本:4.2课程内容课程内容2信息安全管理信息安全管理知识域知识域知识子域知识子域信息安全风险管理信息安全风险管理信息安全管理体系最佳实践信息安全管理体系最佳实践信息安全管理体系建设信息安全管理体系建设信息安全管理体系度量信息安全管理体系度量信息安全管理基础信息安全管理基础知识子域:信息安全管理基础知识子域:信息安全管理基础v基本概念 了解信息、信息安全管理、信息安全管理体系等基本概念。v信息安全管理的作用及对组织的价值 理解信息安全管理的作用,对组织内部和组织外部的价值。3基本概念基本概念v信息 企业:对用户的信息保护成为新的关注点 用
2、户:用户将安全作为选择服务的重要依据之一 攻击者:不起眼的数据对攻击者可能价值很高,倒逼企业和个人更关注信息安全 v信息安全管理 信息安全管理是组织管理体系的一个重要环节 v信息安全管理体系 组织管理体系的一部分 基于风险评估和组织风险接受水平 4信息安全管理的作用及对组织的价值信息安全管理的作用及对组织的价值v信息安全管理的作用 信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障 信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用 信息安全管理能预防、阻止或减少信息安全事件的发生v对组织的价值 对内 对外5信息安全水平被侵害的资产防护措施知识子域:信
3、息安全风险管理知识子域:信息安全风险管理v风险管理概述 了解信息安全风险、风险管理的概念; 理解信息安全风险管理的作用和价值;v常见风险管理模型 了解COSO报告、ISO31000、COBIT等风险管理模型的作用。v安全风险管理基本过程 理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容;6风险管理基本概念风险管理基本概念v风险:事态的概率及其结果的组合 风险是客观存在 风险管理是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化 风险的识别、评估和优化v风险管理的价值 安全措施的成本与资产价值之间的平衡7基于风
4、险的思想是所有信息系统安全保障工作的核心思想!常见风险管理模型常见风险管理模型 v内部控制整合框架(COSO报告) 三个目标:财务报告可靠性、经验效率和效果、合规性 五个管理要素:内制环境、风险评估、控制活动、信息与沟通、监控 vISO31000 为所有与风险管理相关的操作提供最佳实践结构和指导 vCOBIT 为信息系统和技术的治理及控制过程提供最佳实践 组件:框架、流程描述、控制目标、管理指南、成熟度模型 8信息安全风险管理基本过程信息安全风险管理基本过程vGB/Z 24364信息安全风险管理指南 四个阶段 两个贯穿9监控审查监控审查沟通咨询沟通咨询背景建立背景建立v背景建立是信息安全风险管
5、理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析 风险管理准备:确定对象、组建团队、制定计划、获得支持 信息系统调查:信息系统的业务目标、技术和管理上的特点 信息系统分析:信息系统的体系结构、关键要素 信息安全分析:分析安全要求、分析安全环境10风险评估风险评估v信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动 风险评估准备:制定风险评估方案、选择评估方法 风险要素识别:发现系统存在的威胁、脆弱性和控制措施 风险分析:判断风险发生的可能性和影响的程度 风险结果判定:综合分析结果判定风险等级11风险处理风险处理v风险处理是为了将风险始
6、终控制在可接受的范围内。 现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以 处理目标确认:不可接受的风险需要控制到怎样的程度 处理措施选择:选择风险处理方式,确定风险控制措施 处理措施实施:制定具体安全方案,部署控制措施12批准监督批准监督v批准:是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定v监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险13监控审查监控审查v监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保
7、证信息安全风险管理主循环的有效性14类似信息系统工程中的监理沟通咨询沟通咨询v通过畅通的交流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通咨询的意义所在15沟通咨询沟通咨询 与领导领导沟通,以得到理解和批准 单位内部各有关部门相互单位内部各有关部门相互沟通,以得到理解和协作 与支持单位和系统用户支持单位和系统用户沟通,以得到了解和支持 为所有层面的相关人员提供咨询和培训等,以提高人员的安全意识、知识和技能知识子域:信息安全管理体系建设知识子域:信息安全管理体系建设16v信息安全管理体系成功因素 理解GB/T 29246-2017中描述的
8、信息安全管理体系成功的主要因素。vPDCA过程 理解PDCA过程模型的构成及作用; 了解ISO/IEC 27001:2013中定义的PDCA过程方法四个阶段工作。信息安全管理体系建设信息安全管理体系建设v信息安全管理体系 组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接 管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合1727001270022700027006270052700327004 27000信息安全管理体系原则和术语信息安全管理体系原则和术语 27001信息安全管理体系要求信息安全管理体系要求27002 信息
9、安全管理实践准则信息安全管理实践准则27003信息安全管理实施指南信息安全管理实施指南27004 信息安全管理的度量指标和衡量信息安全管理的度量指标和衡量111 27005 信息安全风险管理指南信息安全风险管理指南27006 信息和通信技术灾难恢复服务指南信息和通信技术灾难恢复服务指南27007 XXX信息安全管理体系建设成功的因素信息安全管理体系建设成功的因素v信息安全策略、目标和与目标一致的活动;v与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架;v来自所有管理层级、特别是最高管理者的可见支持和承诺;v对应用信息安全风险管理(见ISO/IEC 27005)实现信息资产保护
10、的理解;18信息安全管理体系建设成功的因素信息安全管理体系建设成功的因素v有效的信息安全意识、培训和教育计划,已使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务,并激励他们做出相应的行动;v有效的信息安全事件管理过程;v有效的业务持续性管理方法;v评价信息安全管理性能的测量系统和反馈的改进建议。19PDCAPDCA过程方法过程方法v管理学常用的过程模型 P P(Plan):计划 D D(Do):实施 C C(Check):检查 A A(Act):行动v按照PDCA 进行循环,大环套小环,持续改进 vPDCA是27001定义的过程方法 202700127001中定义的中定义
11、的PDCAPDCA过程方法阶段工作过程方法阶段工作21知识子域:信息安全管理体系建设知识子域:信息安全管理体系建设22v信息安全管理体系建设过程 掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容; 理解实施与运行、监视和评审、维护和改进阶段工作内容。v文档化 理解文档化的重要性并了解文件体系及文件控制的方式。规划与建立规划与建立v组织背景 建立信息安全管理体系的基础 了解组织有关信息安全的内部(人员、管理、流程等)和外部(合作伙伴、供应商、外包商等)问题 确定ISMS管理范围 建立、实施、运行、保持和持续改进符合国际标准要求的ISMS23规划与建立规划与建立v领导力 管理承诺是建
12、立信息安全管理体系的关键成功因素之一 建立在组织的整体管理基础,需要组织整体参与 组织高层确定的信息安全方针并文档化,明确描述组织的角色、职责和权限24规划与建立规划与建立v计划 计划建立在风险评估基础上 计划必须符合组织的安全目标 层次改进v支持 获得资源 全员宣贯培训25实施与运行实施与运行v实施与运行 实施风险评估,确定所识别信息资产的信息安全风险以及处理信息安全风险的决策,形成信息安全要求 控制措施适度安全 控制在适用性声明中形成文件v监视和评审 根据组织政策和目标,监控和评估绩效来维护和改进ISMSv维护与改进 不符合和纠正措施 持续改进26文档化文档化v文档结构v文件控制 建立 批
13、准发布 评审与更新 文件保存 文件作废27一级文件方针、政策二级文件制度、流程、规范三级文件使用手册、操作指南、作业指导书四级文件日志、记录、检查表、模板、表单知识子域:信息安全管理体系最佳实践知识子域:信息安全管理体系最佳实践v信息安全管理体系控制类型 了解预防性、检测性、纠正性控制措施的差别及应用。v信息安全管理体系控制措施结构 了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、安全事件管理、业务连续性管理及合规性14个控制章节的控制目标、控制措施并理解实施指南的相关要素。28安全控制措施内部结构安全控
14、制措施内部结构v结构 14个类别 35个目标 114个控制措施v描述方式 控制类 控制目标 控制措施 实施指南 29信息安全方针信息安全方针v控制目标:组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全v控制措施 信息安全方针 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方 信息安全方针评审 宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性30信息安全组织信息安全组织v内部组织 控制目标:建立一个管理框架,用以启动和控制的组织内信息安全的实施和运行 控制措施 信息安全的角色和职责、职责分离、与政府部门的联系、与相关
15、利益方的联系、项目管理的信息安全v移动设备与远程办公 控制目标:确保远程办公和使用移动设备时的安全性 控制措施 移动设备方针,管理移动带来的风险 保护远程工作地点的信息访问、处理和存储31人力资源安全人力资源安全v任用前 控制目标:确保雇员、承包方理解其职责,对其考虑的角色是适合的 控制措施:审查、任用条款及条件v任用中 控制目标:确保雇员、承包方意识并履行其信息安全职责 控制措施:管理职责、意识教育和培训、纪律处理v任用终止和变化 控制目标:将聘用的变更或终止作为组织过程的一部分以保护组织的利益 控制措施:雇佣责任的改变和终结32资产管理资产管理33v对资产负责 控制目标:标识组织资产并确定
16、适当的保护责任 控制措施:资产清单、资产责任人、资产的可接受使用、资产归还v信息分类 控制目标:确保信息受到适当级别的保护 控制措施:分类指南、信息的标记、资产的处理v介质处理 控制目标:防止介质存储信息的未授权泄露、修改、移动或销毁 控制措施:可移动介质的管理、介质的处置、物理介质传输访问控制访问控制34v访问控制的业务要求 控制目标:限制对信息和信息处理设施的访问。 控制措施:访问控制方针、网络和网络服务的访问v用户访问管理 控制目标:确保授权用户访问系统和服务,并防止未授权的访问 控制措施:用户注册和注销、用户访问配置、特殊权限管理、用户的秘密验证信息管理、用户访问权的复查、访问权限的移
17、除或调整访问控制访问控制v用户职责 控制目标:使用户负责维护其授权信息。 控制措施:秘密验证信息的使用v系统和应用访问控制 控制目标:防止对系统和应用的未授权访问。 控制措施:信息访问限制、安全登录规程、口令管理系统、特权实用程序的使用、程序源代码的访问控制35密码学密码学v控制目标:通过加密方法保护信息的保密性、真实性或完整性。v控制措施: 使用加密控制的策略 密钥管理36物理与环境安全物理与环境安全37v安全区域 控制目标:防止对组织场所和信息过程设备的未授权物理访问、损坏和干扰。 控制措施:物理安全边界、物理入口控制、办公室、房间和设施的安全保护、外部和环境威胁的安全防护、在安全区域工作
18、、送货和装卸区v设备安全 控制目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 控制措施:设备安置和保护、支持性设施、备维护 资产的移动、操作安全操作安全38v操作规程和职责 控制目标:确保正确、安全地操作信息处理设施 控制措施:文件化的操作规程变更管理、容量管理、开发、测试和运行设施分离v恶意代码防范 控制目标:保护信息和信息处理设施以防恶意代码 控制措施:控制恶意代码v备份 控制目标:防止数据丢失 控制措施:信息备份操作安全操作安全39v日志记录和监视 控制目标:记录事件并生成证据。 控制措施:事件日志、日志信息的保护、管理员和操作员日志、时钟同步v操作软件控制 控制目标:
19、确保操作系统的完整性。 控制措施:操作系统软件的安装v技术漏洞管理 控制目标:防止对技术漏洞的利用。 控制措施:技术脆弱性管理、软件安装限制操作安全操作安全v信息系统审计的考虑 控制目标:极小化审计行为对业务系统带来的影响 控制措施:信息系统审计控制40通信安全通信安全41v网络安全管理 控制目标:确保网络中信息和支持性基础设施的安全性 控制措施:网络控制、网络服务安全、网络隔离v信息的交换 控制目标:保持组织内以及与组织外信息交换的安全。 控制措施:信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议信息获取开发及维护信息获取开发及维护42v信息系统的安全要求 控制目标:确保信息安全
20、是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求。 控制措施:安全需求分析和说明、公共网络上的安全应用服务、应用服务交换的保护v开发和支持过程中的安全 控制目标:确保信息系统开发的生命周期中设计和实施的信息安全。 控制措施:安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、.信息获取开发及维护信息获取开发及维护43v开发和支持过程中的安全 控制目标:确保信息系统开发的生命周期中设计和实施的信息安全。 控制措施:安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、
21、.v测试数据 控制目标:确保用于测试的数据得到保护 控制措施:测试数据的保护供应商关系供应商关系44v供应商关系中的信息安全 控制目标:确保供应商可访问的组织资产受到保护 控制措施:供应商关系的信息安全方针、供应商协议中解决安全问题、信息和通信技术的供应链v供应商服务交付管理 控制目标:根据供应协议,维持信息安全和服务交付在协定的等级 控制措施:监控和审查供应商服务、供应商服务变更管理信息安全事件管理信息安全事件管理45v信息安全事件的管理和改进 控制目标:确保采用一致和有效的方法对信息安全事件进行管理,包括通信安全事件和弱点。 控制措施: 职责和规程 信息安全事态报告 信息安全弱点报告 信息
22、安全事态的评估和决策 信息安全事件的响应 从信息安全事件中学习 证据的收集业务连续性管理业务连续性管理46v信息安全的连续性 控制目标:应将信息安全连续性嵌入组织业务连续性管理之中。 控制措施:信息安全连续性的计划、信息安全连续性的实施、信息安全连续性的确认、审查和评估v冗余 控制目标:确保信息过程设施的可用性。 控制措施:信息过程设施的可用性符合性符合性47v符合法律和合同规定 控制目标:避免违反任何法律、法令、法规或合同义务,以及任何安全要求 控制措施:可用法律和合同要求的识别、知识产权、记录的保护、个人身份信息的隐私和保护、加密控制的监管v信息安全审核 控制目标:确保信息安全依据组织方针
23、和规程实施和操作。 控制措施:信息安全的独立审核、符合安全策略和标准、技术符合性核查知识子域:信息安全管理体系度量知识子域:信息安全管理体系度量v基本概念 了解ISMS测量的基本概念、方法选择、作用; 了解27004定义的测量模型。v测量要求与实现 了解测量实现的工作内容。48基本概念基本概念v测量的概念 根据多个因素选择合理的测量方法 v测量的目的 帮助管理层识别和评价不符合和无效的控制措施 帮助组织展示与组织信息安全管理体系的符合程度,并能产生管理评审过程的输入492700427004测量模型测量模型50测量要求与实现测量要求与实现 v管理职责:管理者建立测量方案,利益相关者参与测量活动 v测度和测量开发:建立测量所需活动及测度 v测量运行:收集、存储和验证被用来创建信息安全测度的数据 v测量分析和报告:对已收集的数据进行分析并提交报告 v测量项目评价和改进 51总结总结v信息安全管理基础 信息、信息安全管理、信息安全管理体系v信息安全风险管理 风险管理作用 风险管理过程方法v信息安全管理体系建设 PDCA 信息安全管理体系最佳实践v信息安全测量52邀请您参与讲师考评邀请您参与讲师考评53谢谢,请提问题!谢谢,请提问题!
