第六章 信息安全管理 第一节 信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理？ 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径； 建设信息安全组织机构，设置岗位、配置人员并分配职责； 实施信息安全风险评估和管理； 制定并实施信息安全策略； 为实现信息安全目标提供资源并实施管理； 信息安全的教育与培训； 信息安全事故管理； 信息安全的持续改进。 3、信息安全管理的基本任务 （1）组织机构建设 （2）风险评估 （3）信息安全策略的制定和实施 （4）信息安全工程项目管理 （5）资源管理 ◆（1）组织机构建设 ★组织应建立专门信息安全组织机构，负责： ①确定信息安全要求和目标； ②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位 ④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算，并监督预算的执行 ⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略，并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目 ⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训 ⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位，负责： ①向组织最高管理者负责并报告工作 ②执行信息安全组织机构的决定 ③提出信息安全年度工作计划 ④总协调、联络 ◆（2）风险评估 ★信息系统的安全风险 信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是： 服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。 ★信息系统安全风险评估的目的是： 认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命：一个单位通过信息化实现的工作任务。 依赖度：一个单位的使命对信息系统和信息的依靠程度。 资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值：资产的重要程度和敏感程度。 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。 脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。 安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 ★信息安全风险评估的标准制定工作 2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。 目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布 国信办已以国信【2006】9号文的形式发各部委和省市 ★《信息安全风险评估指南》主要内容 规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则； 介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程； 详细描述了对资产、威胁和脆弱性的识别方法； 描述了风险评估在信息系统生命周期中的作用； 描述了风险评估的不同形式； 在附件中介绍了信息安全风险评估的方法、工具和实施案例 ◆（3）信息安全策略的制定和实施 策略：解决某一方面问题的目的、范围、流程、准则的集合 信息安全策略文件 就每一个策略建立实施计划，落实所需资源 策略发布后，实施培训 策略的评审和修订 ◆（4）信息安全工程项目管理 需求分析；规划立项；实施；验收；工程监理 ◆（5）资源管理 信息安全预算；人力资源；基础设施；信息安全教育培训 二、信息安全管理体系 1、 什么是管理体系 ★ISO9000-2000中的相关定义 体系 system——相互关联和相互作用的一组要素 管理体系 management system——建立方针和目标并实现这些目标的体系 1、什么是管理体系我国管理体系组织机构

认证机构认可机构认证培训机构

国家行政管理机构

国家认证认可监督管理委员会

中国合格评定国家认可中心

CNABCNATCNAL ★目前流行的管理体系 质量管理体系 QMS——ISO/IEC9000，9001，9004等；环境管理体系 EMS——ISO/IEC14000；职业安全卫生管理体系—— OHMSAS18000；信息安全管理体系 ISMS——ISO/IE17799&ISO27001； 2、 信息安全管理体系 ★ISMS： ◇Information Security Management System 信息安全管理体系 ◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。 ◇信息安全目标应是可度量的 ★信息安全管理体系要素包括 ◇信息安全方针、策略；◇信息安全组织结构；◇各种活动、过程；◇信息安全控制措施； ◇人力、物力等资源；◇其他…… 信息安全管理体系方法图解：

2、信息安全管理体系信息安全管理体系方法图解

要求信息安全

三、信息安全管理标准 ★安全标准可以分成以下几大类： 安全体系结构和框架标准；分层安全协议标准；安全技术标准；具体应用安全标准；安全管理标准 当前信息安全面临着“道高一尺，魔高一丈”的尴尬处境，在信息安全技术进步的同时，信息安全问题却越来越严重，人们逐渐深刻地认识到，信息安全不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如规范安全标准和进行信息安全管理，这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护，仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。 在全社会普遍关注信息安全的情况下，各个企业或机构又都面临遵循保密标准与安全法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时，有关信息安全标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一安全标准的需求自然成为一个很现实的问题。 ★信息安全管理国际标准的发展过程 1992年，世界经济合作与发展组织（oecd）发表了《信息系统安全指南》，旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。 该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准，相关机构能通过此基准来衡量本身在信息安全管理方面的进展。 1998年，国际会计师联合会发表了一个有关《信息安全管理》的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。 1993年1月，英国标准协会（britishstandardsinstitution,简称bsi）成立了信息安全的行业工作小组。1993年9月，信息安全管理体系实施要则出版。1995年2月，英国标准协会制定的信息安全管理体系标准bs7799-1出版。1998年2月，bs7799-2出版。bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。2002年9月：bs7799-2:2002出版。 目前，在信息安全管理体系方面，ISO27001（原BS7799标准）已经成为世界上应用最广泛与典型的信息安全管理标准。 该标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。 1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了ISO的认可，正式成为国际标准―― ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准――ISO27001，同时BS7799-2:1999被废止。2006年5月，BS7799-3：2006《信息安全风险管理指南》出版。 针对ISO27001标准的受认可的认证，是对组织信息安全管理体系（ISMS）符合BS7799-2 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了信息安全管理体系，并且符合BS7799-2 标准的要求。通过认证的组织，将会被注册登记，并且与认证委员会、DTI 以及ISMS IUG的国际网络相联系。 目前，已有20多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001。并有41 个国家和地区开展了此项业务， 我国的台湾和香港地区也已经采用并推广了BS7799标准。在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。在中国大陆， BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而相关的ISMS认证工作正在逐步运行。 BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。