企业信息安全管理体系建设
15
(三)信息安全管理体系监视和评审
❖ 组织采用什么样的方法来评估安全需求和选择控 制,完全由组织自己来决定。但无论采用什么样 的方法、工具,都需要靠来自风险、来自法规和 合同的遵从以及来自业务这三种安全需求来驱动 。
11
P7-准备详细的适用性声明SoA
❖ 在风险评估之后,组织应该选用符合组织自身需 要的控制措施与控制目标。所选择的控制目标和 措施以及被选择的原因应在适用性声明(SOA: Statement of Application)SOA中进行说明。
7
P3-确定风险评估方法
❖ 组织可采取不同风险评估法方法,一个方法是否 适合于特定组织,有很多影响因素,包括:
▪ 业务环境 ▪ 业务性质与业务重要性; ▪ 对支持组织业务活动的信息系统的依赖程度; ▪ 业务内容、支持系统、应用软件和服务的复杂性; ▪ 贸易伙伴、外部业务关系、合同数量的大小。
❖ 这些因素对风险评估方法的选择都很重要,不仅 风险评估要考虑成本与效益的权衡,不出现过度 安全;风险评估自身也要考虑成本与效益的权衡 ,不出现过度复杂。
9
P5-识别和评价风险处理的可选措施
❖ 根据风险评估的结果,在已有措施基础上从安全 控制最佳集合中选择安全控制措施。
10
P6-为处理风险选择控制目标和控制措施
❖ 在选择控制目标和控制措施时,并没有一套标准 与通用的办法,选择的过程往往不是很直接,可 能要涉及一系列的决策步骤、咨询过程,要和不 同的业务部门和大量的关键人员进行讨论,对业 务目标进行广泛的分析,最后产生的结果要很好 的满足组织对业务目标、资产保护、投资预算的 要求。
6
P2-定义ISMS方针
❖ 信息安全方针是组织的信息安全委员会或管理当 局制定的一个高层文件,用于指导组织如何对资 产,包括敏感信息进行管理、保护和分配的规则 和指示。
❖ 信息安全方针应当阐明管理层的承诺,提出组织 管理信息安全的方法,并由管理层批准,采用适 当的方法将方针传达给每一个员工。
❖ 信息安全方针应当简明、扼要,便于理解,至少 包括目标、范围、意图、法规的遵从性和管理的 责任等内容。
3
三、信息安全管理体系建设
❖ (一)信息安全管理体系的规划和建立 ❖ (二)信息安全管理体系的实施和运行 ❖ (三)信息安全管理体系的监视和评审 ❖ (四)信息安全管理体系的保持和改进
4
(一)信息安全管理体系规划和建立
❖ P1-定义ISMS范围 ❖ P2-定义ISMS方针 ❖ P3-确定风险评估方法 ❖ P4-分析和评估信息安全风险 ❖ P5-识别和评价风险处理的可选措施 ❖ P6-为处理风险选择控制目标和控制措施 ❖ P7-准备详细的适用性声明SoA8Biblioteka P4-分析和评估信息安全风险
❖ 风险评估主要对ISMS范围内的信息资产进行鉴定 和估价,然后对信息资产面对的各种威胁和脆弱 性进行评估,同时对已存在的或规划的安全控制 措施进行鉴定。
❖ 确定风险数值的大小不是评估的最终目的,重要 的是明确不同威胁对资产所产生的风险的相对值 ,即要确定不同风险的优先次序或等级,对于风 险级别高的资产应被优先分配资源进行保护。组 织可以采用按照风险数值排序的方法,也可以采 用区间划分的方法将风险划分为不同的优先等级 ,这包括将可接受风险与不可接受风险进行划分 。
措施降低风险; ❖ 避免风险:有些风险容易避免,例如采用不同的
技术、更改操作流程、采用简单的技术措施等; ❖ 转移风险:通常只有当风险不能被降低风险和避
免、且被第三方接受时才采用; ❖ 接受风险:用于那些在采取了降低风险和避免风
险措施后,出于实际和经济方面的原因,只要组 织进行运营,就必然存在并必须接受的风险。
❖ SOA是适合组织需要的控制目标和控制的评论, 需要提交给管理者、职员、具有访问权限的第三 方相关认证机构。
❖ SOA的准备一方面是为了向组织内的员工声明对
信息安全面对的风险的态度,更大程度上则是为
了向外界表明组织的态度和作为,以表明组织已
经全面、系统的审视了组织的信息安全系统,并
将所有需要控制的风险控制在能被接受的范围内
14
信息安全管理体系试运行
❖ 体系运行初期处于体系的磨合期,一般称为试运 行期,在此期间运行的目的是要在实践中体验体 系的充分性、适用性和有效性。在体系运行初期 ,组织应加强运作力度,通过实施ISMS手册、程 序和各种作业指导性文件等一系列体系文件,充 分发挥体系本身的各项工程,及时发现体系本身 存在的问题,找出问题的根据,采取纠正措施, 纠正各种不符合,并按照更改控制程序要求对体 系予以更改,以达到进一步完善信息安全管理体 系的目的。
企业信息安全管理体系建设
课程内容
信息安全 管理体系建设
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识域:信息安全管理体系建设
❖ 知识子域:过程方法与PDCA循环
▪ 理解ISMS过程和过程方法的含义 ▪ 理解PDCA循环的特征和作用
❖ 知识子域:建立、运行、评审与改进ISMS
▪ 了解建立ISMS的主要工作内容 ▪ 了解实施和运行ISMS的主要工作内容 ▪ 了解监视和评审ISMS的主要工作内容 ▪ 了解保持和改进ISMS的主要工作内容
5
P1-定义ISMS范围
❖ ISMS的范围就是需要重点进行信息安全管理的领 域,组织需要根据自己的实际情况,在整个组织 范围内、个别部门或领域构建ISMS。
❖ 在本阶段,应将组织划分成不同的信息安全控制 领域,以易于组织对有不同需求的领域进行适当 的信息安全管理。
❖ 在定义ISMS范围时,应重点考虑组织现有的部门 、信息资产的分布状况、核心业务的流程区域以 及信息技术的应用区域。
。
12
(二)信息安全管理体系实施和运行
❖ D1-开发风险处置计划 ❖ D2-实施风险处置计划 ❖ D3-实施安全控制措施 ❖ D4-实施安全教育培训
❖ D5-管理ISMS的运行 ❖D6-管理ISMS 的资源
❖ D7-执行检测安全事件程序 ❖ D8-执行响应安全事故程序
13
信息安全风险处置的分类
❖ 根据风险评估的结果进行相关的风险处置: ❖ 降低风险:在考虑转移风险前,应首先考虑采取