1、LOGO第三章第三章 信息安全管理体系信息安全管理体系信息安全管理LOGO本讲内容本讲内容ISMS实施方法与模型实施方法与模型1235ISMS实施过程实施过程4国外国外ISMS实践实践3ISMS、等级保护、风险评估三者的关系等级保护、风险评估三者的关系5总结总结LOGOISMS实施方法与模型实施方法与模型 v(PCDA)(PCDA)模型模型 在在ISMSISMS的实施过程中,采用了的实施过程中,采用了“规划规划(Plan)-(Plan)-实施实施(Do)-(Do)-检查检查(Check)-(Check)-处置处置(Act)”(Act)”可简称为可简称为P P阶阶段、段、D D阶段、阶段、C C
2、阶段、阶段、A A阶段。阶段。应用应用PDCAPDCA模型的模型的ISMSISMS实施过程内容实施过程内容规划(建立规划(建立ISMSISMS)建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方针、目标、方针、目标、过程和程序,以提供与组织整体方针和目标相一致的结果。过程和程序,以提供与组织整体方针和目标相一致的结果。实施实施(实施和运行实施和运行ISMS)ISMS)实施和运行实施和运行ISMSISMS方针、控制措施、过程和程序。方针、控制措施、过程和程序。检查检查(监视和评审监视和评审ISMS)ISMS)对照对照ISMSISMS方针、目标和实践经验,评估并
3、在适当时,测量方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。过程的执行情况,并将结果报告管理者以供评审。处置处置(保持和改进保持和改进ISMS)ISMS)基于基于ISMSISMS内部审核和管理评审的结果或者其它相关信息,内部审核和管理评审的结果或者其它相关信息,采取纠正和预防措施,以持续改进采取纠正和预防措施,以持续改进ISMSISMS。LOGOISMS实施方法与模型实施方法与模型v应用于应用于ISMSISMS过程的过程的PCDAPCDA模型图模型图LOGOISMS实施过程实施过程v ISMSISMS的规划和设计的规划和设计 以以A A单位的电子政务单位
4、的电子政务ISMSISMS的实施过程为例,的实施过程为例,A A单单位根据标准要求,将位根据标准要求,将I ISMSSMS的建设过程划分的建设过程划分建立阶段建立阶段(PlanPlan)、实施和运行阶段()、实施和运行阶段(DoDo)、监视和评审阶)、监视和评审阶段(段(CheckCheck)及保持和改进阶段()及保持和改进阶段(ActAct)。v建立阶段建立阶段PP阶段阶段 在该阶段在该阶段A A单位需完成六个方面的工作:单位需完成六个方面的工作:准备工作、确定准备工作、确定ISMSISMS范围、确定范围、确定ISMSISMS方针和目方针和目标、实施风险评估、选择控制措施、形成体系标、实施风
5、险评估、选择控制措施、形成体系文件文件。LOGOISMS实施过程实施过程 vA A单位单位ISMSISMS建设流程图建设流程图LOGO ISMS实施过程实施过程v准备工作准备工作建立建立ISMSISMS管理机构管理机构召开召开启动会启动会制订制订工作计划工作计划实施实施基础知识培训基础知识培训准备准备相关工具相关工具 LOGOISMS实施过程实施过程v确定确定ISMSISMS范围范围 确定确定ISMSISMS范围也是明确范围也是明确ISMSISMS覆盖的边界过程,覆盖的边界过程,在在经过一系列的调研、分析、讨论,最终形成经过一系列的调研、分析、讨论,最终形成ISMSISMS范范围围和和边界说明
6、文件边界说明文件。v确定确定ISMSISMS方针和目标方针和目标 确定确定ISMSISMS方针是整个体系的目的、意图和方向,方针是整个体系的目的、意图和方向,是建立安全目标的框架和基础,是建立安全目标的框架和基础,所以所以要求要求内容内容必须必须是是具体明确具体明确的。的。v实施风险评估实施风险评估实施实施风险评估是风险评估是ISMSISMS建立阶段的一个建立阶段的一个必须活动必须活动,其结果将直接影响到其结果将直接影响到ISMSISMS运行的运行的结果。结果。LOGOISMS实施过程实施过程v 风险评估模型风险评估模型 LOGOISMS实施过程实施过程v风险评估方法风险评估方法准备准备阶段:
7、主要任务是对风险范围进行评估、阶段:主要任务是对风险范围进行评估、对信息进行初步收集,并制定详尽风险评估方对信息进行初步收集,并制定详尽风险评估方案。案。识别识别阶段:主要识别以下阶段:主要识别以下4 4个对象,并形成各个对象,并形成各自的结果列表自的结果列表。LOGOISMS实施过程实施过程资产识别是对被评估信息系统的关键资产进行识资产识别是对被评估信息系统的关键资产进行识 别,并合理分配。别,并合理分配。威胁识别就是根据资产的环境和资产遭受过的威威胁识别就是根据资产的环境和资产遭受过的威 胁的损害情况来确认威胁的胁的损害情况来确认威胁的主体主体和和客体客体。脆弱性脆弱性评估就是对脆弱性被威
8、胁利用的可能性进评估就是对脆弱性被威胁利用的可能性进行评估,最终为其赋相对行评估,最终为其赋相对等级值等级值。安全措施安全措施识别就是通过问卷调查、人工检查等方识别就是通过问卷调查、人工检查等方式识别被评估信息系统有效对抗风险的预防措施式识别被评估信息系统有效对抗风险的预防措施LOGOISMS实施过程实施过程分析阶段分析阶段 分析阶段是风险评估的主要阶段,其主要包括以下分析阶段是风险评估的主要阶段,其主要包括以下5个方面的分析:个方面的分析:资产影响分析:资产量化的过程,跟据资产遭受破资产影响分析:资产量化的过程,跟据资产遭受破坏时对系统产生的影响,对其进行赋值坏时对系统产生的影响,对其进行赋
9、值量化量化。威胁分析威胁分析:确定威胁的权值确定威胁的权值(155),威胁的等级越高威胁的等级越高威胁发生的可能性越大威胁发生的可能性越大。脆弱性分析:依据脆弱性被利用的难易程度和被成脆弱性分析:依据脆弱性被利用的难易程度和被成功利用后所产生的影响功利用后所产生的影响 来对来对脆弱性脆弱性进行进行赋值量化赋值量化。安全措施有效性分析:判断安全措施对防范威胁、安全措施有效性分析:判断安全措施对防范威胁、降低脆弱性的有效性。降低脆弱性的有效性。综合综合风险分析:风险分析:对风险量化,获得风险级别(对风险量化,获得风险级别(5级),等级越高风险越高级),等级越高风险越高。LOGOISMS实施过程实施
10、过程v风险风险值计算公式值计算公式 风险值风险值=资产重要性资产重要性威胁综合可能性威胁综合可能性综合脆弱性综合脆弱性/安安 全措施有效性全措施有效性v风险等级划分风险等级划分 等级等级标识标识风险值范围风险值范围描述描述5很高64.1125一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。4高27.164一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。3中8.127一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。2低1.18一旦发生造成的影响程度较低,一般仅限于组织内部,通过一
11、定手段很快能解决。1很低0.21一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。LOGOISMS实施过程实施过程v风险风险评估实施评估实施 根据风险评估方法实施风险评估工作,主要实施根据风险评估方法实施风险评估工作,主要实施方法有问卷访谈、现场调研、文件查阅、手工检查、方法有问卷访谈、现场调研、文件查阅、手工检查、工具检查等。工具检查等。v选择控制措施选择控制措施根据风险评估结果,综合考虑各种因素和要求,根据风险评估结果,综合考虑各种因素和要求,针对每项风险做出对应控制策略,形成针对每项风险做出对应控制策略,形成适用性声明适用性声明文件和风险处理计划文件和风险处理计划。v形成体系文件形成
12、体系文件 对对ISMSISMS文件进行总体设计,确定文件进行总体设计,确定ISMSISMS文件清单,文件清单,制定文件编写计划,结合前期工作结果和相关参考制定文件编写计划,结合前期工作结果和相关参考文献,编写出文献,编写出ISMSISMS各级文件各级文件。LOGOISMS实施过程实施过程v文件层次文件层次一级一级文件:信息安全管理手册文件:信息安全管理手册二二级文件:程序及策略文件级文件:程序及策略文件三三级文件:记录文件级文件:记录文件v文件案例文件案例 结合结合A单位的实际操作,形成如下单位的实际操作,形成如下3个体系文件。个体系文件。安全事故安全事故管理程序管理程序信息信息备份管理程序备
13、份管理程序业务业务连续性管理程序连续性管理程序 LOGOISMS实施过程实施过程vISMSISMS的实施和运行的实施和运行DD阶段阶段ISMSISMS体系文件以书面文件的正式发布标志着体系文件以书面文件的正式发布标志着ISMSISMS的试运行阶段正式开始。的试运行阶段正式开始。vISMSISMS的监视和评审的监视和评审CC阶段阶段在该阶段是对体系运转情况的监督,并制定了定在该阶段是对体系运转情况的监督,并制定了定期内审和管理评审的策略,以便及时发现问题。期内审和管理评审的策略,以便及时发现问题。内部审核内部审核审核流程图审核流程图LOGOISMS实施过程实施过程 审核结果审核结果形成审核报告形
14、成审核报告管理评审管理评审目的:检查目的:检查ISMSISMS是否有效,识别可以改进的地方,是否有效,识别可以改进的地方,以保证以保证ISMSISMS持续保持适宜性,充分性和有效性持续保持适宜性,充分性和有效性。v ISMSISMS的保持和改进的保持和改进AA阶段阶段通过通过ISMSISMS内部审核和管理评审,发现体系运行过内部审核和管理评审,发现体系运行过程中存在的问题,并确定改进方法,采取相应措施,程中存在的问题,并确定改进方法,采取相应措施,使体系持续发展。使体系持续发展。LOGOISMS、等级保护、风险评估关系、等级保护、风险评估关系vISMSISMS建设与风险评估的关系建设与风险评估
15、的关系风险评估是风险评估是ISMSISMS建设的建设的出发点出发点,也是,也是ISMSISMS实施过实施过程的重要过程程的重要过程。风险评估也可作为风险评估也可作为ISMSISMS过程的一个过程的一个独立部分独立部分。vISMSISMS与等级保护的共同之处与等级保护的共同之处二者都可以加强对信息的安全保障工作二者都可以加强对信息的安全保障工作二者的安全管理要求有相同的地方二者的安全管理要求有相同的地方二者的相互促进与补充关系二者的相互促进与补充关系LOGOISMS、等级保护、风险评估关系、等级保护、风险评估关系vISMSISMS与等级保护、等级测评的区别与等级保护、等级测评的区别二者的出发点和
16、侧重点不同二者的出发点和侧重点不同二者的实施依据不同二者的实施依据不同二者的实施主体不同二者的实施主体不同二者的实施对象不同二者的实施对象不同二者的实施过程不同二者的实施过程不同二者的结果不同二者的结果不同LOGOISMS、等级保护、风险评估关系、等级保护、风险评估关系vISMSISMS与等级保护的融合与等级保护的融合相关标准的融合相关标准的融合 ISO/IEC27001:2005ISO/IEC27001:2005与与ISO/IEC17799:2005ISO/IEC17799:2005在控在控制措施的描述结构和内容上有相通之处,所以可通制措施的描述结构和内容上有相通之处,所以可通过过控制措施控
17、制措施将两个标准的内容进行融合。将两个标准的内容进行融合。结构结构的融合的融合内容内容的的融合融合实施过程的实施过程的融合融合 LOGO思考题v风险评估与等级保护的关系风险评估与等级保护的关系等级保护中的系统分类分级的思想和风险评估中对等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致信息资产的重要性分级基本一致。在风险评估中,在风险评估中,CIACIA价值高的信息资产不一定风险价值高的信息资产不一定风险等级就高等级就高。在确定系统安全等级级别后,风险评估的结果可作在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。为实施等级保护、等级
18、安全建设的出发点和参考。风险评估是等级保护(不同等级不同安全需求)的风险评估是等级保护(不同等级不同安全需求)的出发点出发点。等级保护中高级别的信息系统不一定就有高级别的等级保护中高级别的信息系统不一定就有高级别的安全风险。安全风险。ISMS、等级保护、风险评估关系、等级保护、风险评估关系LOGO国外国外ISMS实践实践v 西西澳大利亚政府电子政务的信息安全管理澳大利亚政府电子政务的信息安全管理目标目标当前的活动当前的活动(1 1)建立信息安全管理方针)建立信息安全管理方针(2 2)实施信息安全管理)实施信息安全管理(3 3)承担)承担ICTICT风险与安全管理风险与安全管理(4 4)计划灾难
19、恢复)计划灾难恢复(5 5)成立西澳大利亚计算机安全事故响应小组(成立西澳大利亚计算机安全事故响应小组(WACSIRTWACSIRT)(6 6)研究电子邮件过滤)研究电子邮件过滤LOGO国外国外ISMS实践实践v ISMSISMS在国外电子政务中的应用在国外电子政务中的应用英国贸工部(英国贸工部(DTIDTI)组织众多企业编写了)组织众多企业编写了“信息安信息安全管理实用规则全管理实用规则”,它是一个关于信息安全管理的,它是一个关于信息安全管理的控制措施集,该文本于控制措施集,该文本于19951995年年2 2月成为了英国的国家月成为了英国的国家标准标准。在。在20002000被修订并发布为被
20、修订并发布为ISO/IEC 17799ISO/IEC 17799:20052005。英国信息中心办公室英国信息中心办公室(The Central Office of The Central Office of InformationInformation,简称为简称为COICOI)是第一家获得国际标准)是第一家获得国际标准ISO/IEC 27001ISO/IEC 27001:20052005认证的政府机构。认证的政府机构。LOGO总结总结重点内容:重点内容:ISMSISMS实施过程实施过程重点分析:重点分析:ISMSISMS建设、等级保护、风险评估三者的关建设、等级保护、风险评估三者的关系以及相关标准之间的融合系以及相关标准之间的融合
