1、2.ISO/IEC27001:2005标准内标准内容容3.ISMS信息安全管理系统信息安全管理系统4.信息安全的实施信息安全的实施1.ISMS的背景介绍的背景介绍5.资产安全管理资产安全管理6.机房管理机房管理7.法律合规性管理法律合规性管理8.信息安全管理事件信息安全管理事件9.应急管理应急管理10.运行检查运行检查11.有效性测量有效性测量ISO27001背景介绍BS7799ISO27001背景介绍ISO/IEC 27002(17799)ISO27001背景介绍ISO/IEC 27001:2005ISO/IEC27001:2005标准内容nISO/IEC27001:2005包括11个方面,
2、39个控制目标,133个控制措施ISMS信息安全管理系统重点内容重点内容ISMS信息安全管理系统PDCAISMS信息安全管理系统PDCA与与ISMS的结合的结合重点章节重点章节ISMS信息安全管理系统ISMS信息安全管理系统信息安全管理体系信息安全管理体系ISMS信息安全管理系统信息安全管理体系信息安全管理体系ISMS信息安全管理系统信息安全管理体系信息安全管理体系ISMS信息安全管理系统信息安全管理体系信息安全管理体系ISMS信息安全管理系统信息安全管理体系信息安全管理体系管理职责管理职责ISMS信息安全管理系统ISMS内审内审ISMS信息安全管理系统ISMS管理评审管理评审持续改进持续改进
3、ISMS信息安全管理系统信息安全的实施资产的识别资产的识别信息安全的实施资产的分类资产的分类信息安全的实施资产的分类资产的分类信息安全的实施资产的分类资产的分类n保密性保密性ConfidentialityConfidentiality:信息不能被未授权的个人、实体或者过程利用或知悉的特性。n完整性完整性IntegrityIntegrity保护资产的准确和完整的特性。n可用性可用性AvailabilityAvailability:根据授权实体的要求可访问和利用的特性信息安全的实施信息安全三元组信息安全三元组 CIAu信息资产根据其在保密性(C)、完整性(I)、可用性(A)三个属性所表现出的不同的
4、重要程度,分为很低(赋值0)、低(赋值1)、中(赋值2)、高(赋值3)、很高(赋值4)五级。u资产评估的结果填写在资产识别与评估表中。u信息资产的价值取其C、I、A三个特性中最高的一个,价值大于2的信息资产为重要信息资产,对所有的重要信息资产必须进行风险评估。信息安全的实施资产评估资产评估各部门识别完资产后,参考风险评估与处理表中“弱点清单”,识别资产的弱点,并对弱点被利用的严重程度进行评价。弱点的严重性取值为低(1)、中(2)、高(3)、很高(4)。弱点被利用的严重性赋值结果记录在风险评估与处理表中。信息安全的实施评估弱点评估弱点弱点弱点是资产本身存在的某种缺陷,一旦被外部威胁所利用,就可能
5、使资产受到损害。各部门识别完资产的弱点后,参考风险评估与处理表中“威胁清单”,识别资产的威胁,并对威胁发生的可能性进行评价。威胁发生的可能性取值为低(1)、中(2)、高(3)、很高(4)。在评估威胁发生的可能性时,应先识别现有的控制措施,结合现有的安全控制措施、威胁利用的资产自身的薄弱点来综合考虑,并将评价结果记录在风险评估与处理表中。信息安全的实施评估威胁评估威胁威胁威胁是利用弱点而侵害资产的外在因素。威胁大致是利用弱点而侵害资产的外在因素。威胁大致可分为人员威胁、系统威胁、环境威胁和自人员威胁、系统威胁、环境威胁和自然威胁然威胁等几类,每一类里面都会有许多威胁形式。等几类,每一类里面都会有
6、许多威胁形式。风险值=信息资产价值 威胁可能性 弱点严重性其中:信息资产价值=MAX(C,I,A)。根据计算得出的风险值划分风险等级标准为:对于4级和3级风险,须采取控制措施;对于2级风险,可选择性采取控制措施;对于1级风险,认为是可接受的风险,不作进一步处理。信息安全的实施计算风险值计算风险值对于需要采取措施来控制风险的,一般会有四种处理策略:(1)转移风险;(2)规避风险;(3)消减风险;(4)接受风险。结合信息安全管理体系标准的133个控制要素选择对应的控制项,将结果记录在风险评估与处理表中。信息安全的实施采取措施采取措施各部门根据风险处理策略,制定风险处理措施,记录在风险处理计划中。信
7、息安全的实施风险处理计划风险处理计划各部门应再次评价风险处理措施实施之后的风险,看风险值是否在可接受水平之下。对于不在可接受水平以内(风险值大于9)的风险,应填写残余风险审批申请表,及时汇报给管理层并经管理层确认。信息安全的实施评价残余风险评价残余风险各部门信息安全员汇总本部门整个风险识别及处理结果,提交到体系推行及审核组,由体系推行及审核组编写风险评估报告,详细汇报资产调查情况、识别的弱点、面临的威胁以及准备采取的一些风险控制措施及残余风险处理情况,并将风险处理计划作为此报告的附件一并上报管理者代表。信息安全的实施汇报结果汇报结果固定资产的安全管理包括采购、入库、领用、出库、调拨、盘点、维修
8、等。具体参考固定资产管理制度。信息安全的实施资产管理资产管理公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财务信息等,确保重要资产不被泄露,各部门须根据重要资产分类制定相应的管理规定。资产安全管理重要数据资产安全重要数据资产安全重要数据资产安全重要数据资产安全资产安全管理人员安全人员安全资产安全管理网络管理员负责制定网络安全规范和网络访问策略,并管理网络设备。根据风险评估结果,网络管理员制定网络建设和维护方案。网络安全网络安全资产安全管理36网络安全网络安全资产安全管理网络安全网络安全资产安全管理38信息系统安全信息系统安全资产安全管理信息系统安全信息系统安全资产安全管理信息系统安
9、全信息系统安全资产安全管理信息系统安全信息系统安全资产安全管理信息系统安全信息系统安全资产安全管理信息系统安全信息系统安全资产安全管理系统的容量、变更、发布、配置管理由系统管理员负责,具体流程参考内部IT系统运维规范。信息系统安全信息系统安全资产安全管理机房的安全管理从机房的日常环境监控、机房布线、异常事件处理、秩序管理及消防安全方面进行规定,由网络管理员全面负责,具体要求参考机房管理制度,全体员工须遵守制度中的要求。机房管理法律合规性管理所有员工均有义务及时上报信息安全事件至事件响应小组,事件处理人填写信息安全事件报告处理单。报告机制按照公司应急事件处理流程规定执行。信息安全事件管理信息安全
10、的应急管理每年3月份由体系推行及审核组负责组织实施。应急管理应急管理运行检查有效性测量运营管理部负责有效性测量的组织和策划,负责分析测量结果,编制并提交测量报告。有效性测量有效性测量运营管理部对收集到的各种测量结果与信息安全管理体系的管控目标进行对比,以此衡量体系的有效性。对管理目标的达成情况,运营管理部负责每季度进行测量,对于分析结果提出改进建议,将具体情况记录在信息安全管理体系季度工作报告中。必要时根据统计分析数据实施对信息安全风险再评估,并制定相应的风险处理措施,以防止相同事件的再发生或降低发生的可能性。季度的测量报告作为管理评审的重要输入文件,从整体上评估体系运行的效果,为管理决策层提供量化的数据。同时考虑业务的变化与拓展等因素,结合SoA,及时修订相应的控制措施、目标、策略等相关规定。谢 谢!