10
有效的信息安全管理体系
物理和环境安全(MPE)
资产管理(MAM)
信息安全组织机构(MSO)
风险管理(MRM)
人员安全(MPS)
信息系统生命周期
规划组织 开发采购 实施交付 运行维护
废弃
信息安 全规划 管理 (MSP)
系统开 发管理 (MSD)
运行管理(MOP) 应急响应管理(MER) 业务持续性和灾难恢复管理(MBD)
▪ 管理者为了达到特定目的而对管理对象进行的计划 、组织、指挥、协调和控制的一系列活动。
❖ 信息安全管理
▪ 组织中为了完成信息安全目标，遵循安全策略，按 照规定的程序，运用恰当的方法，而进行的规划、 组织、指导、协调和控制等活动
规则
项目领导组 项目办公室
项目经理
项目专家组 变更控制委员会
实施小组
协调小组
▪ Facebook：1亿用户数据 ▪ CSDN、天涯、人人、多玩用户数据泄
漏
6
新技术、新应用对信息安全的挑战
❖ 三网融合 ❖ 工控安全 ❖ 云计算 ❖ 物联网 ❖ ……
7
信息安全保障定义
信息系统安全保障是在信息系统的整个生命 周期中，通过对信息系统的风险分析，制定并执 行相应的安全保障策略，从技术、管理、工程和 人员等方面提出安全保障要求，确保信息系统的 保密性、完整性和可用性，降低安全风险到可接 受的程度，从而保障系统实现组织机构的使命。
--GB/T 20274
8
信息系统安全保障模型-保障评估框架
废 弃
运 行 维 护
实 施 交
开付 发 采 购
计 划 组 织
生命周期
技术
保
工程
障
要
素
管理
安全特征
可 用 完性 保整 密性 性
人员
国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统 安全保障评估框架 第一部分：简介和一般模型》
Plan计划
建立ISMS环 境&风险评估
相关方
Do 设计和实施 实施 ISMS
开发、 维护&
改进循 环
相关方
改进ISMS Act 改进
信息安全需 求&期待
监控&审核 ISMS Check检查
13
管理的信 息安全
科学的信息安全工程过程
发掘需
DISCOVER
求 NEEDS
定DE义FIN系E 统要求 SYSTEM
❖ 信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业 信息技术人员，还需要信息系统普通使用者提高安全意识，加强个人 防范
信息安全保障专家
信息安全专业人员
（信息安全相关的岗位和职责）
计划 组织
开发 采购
实施 交付
运行 废 维护 弃
信息安全从业人员 （信息系统相关的岗位和职责）
安全基础和安全文化
注册信息安全专业人员 （CISP）
培 训
注册信息安全员 （CISM）
所有员工 安全意识
意 识
15
讲座内容
❖ 信息安全形势及安全保障概念 ❖ 信息安全管理体系 ❖ 等级保护标准 ❖ 安全工程模型
16
管理与信息安全管理
❖ 管理
▪ 指挥和控制组织的协调的活动。（-- ISO9000:2005 质量管
理体系 基础和术语）
3
网络安全上升的国家安全层面
❖ 网络空间安全概念得到体现
▪ 《网络空间安全国家战略》2003/2011
❖ 网络战争初现雏形
▪ 美国成立网络站司令部 2007 ▪ 网络攻击进入实战阶段
• 震网病毒 • 棱镜项目
4
各国政府高度重视关键信息基础设施的防护
❖ 美国
▪ 信息基础设施是美国经济繁荣、 军队强大，以及政府高效的根基
“坚持管理与技术并重”是我国加强信息安全 保障工作的主要原则
18
信息安全管理的基本概念
❖ 信息安全管理是基于风险的管理
▪ 信息安全管理体系建立需要安全需求 ▪ 安全需求来源于风险评估 ▪ 风险处置的的最佳集合就是信息安全管理体系中的措
REQUIREMENTS
定义系 统体系 DESIGN
SYSTEM
结构 ARCHITECTURE
用户/用户代表
D开EV发ELO详P 细设计 DETAILED
DESIGN
评估有效性 IM实PLE现ME系NT
统 SYSTEM
计划组 织
开发采 购
实施交 付
运行维 护
废弃
将安全措施融入信息系统生命周期
14
高素质的人员队伍
国税总局
测评中心
福建地税
国税总局
福建地税
组织
人员
17
拥有者
பைடு நூலகம்
变化？
经营 输入
关键活动
资源
标准
·信息输入
·立法
记录 ·摘要
测量 生产
输出
过程
信息安全管理的作用
❖ 信息安全的成败取决于两个因素：技术和管理。 ❖ 安全技术是信息安全的构筑材料，安全管理是真正的
粘合剂和催化剂 ❖ 信息安全是个管理过程，而不是技术过程
信息安全保障与体系建设
讲座内容
❖ 信息安全形势及安全保障概念 ❖ 信息安全管理体系 ❖ 等级保护标准 ❖ 安全工程模型
2
信息安全进入全面保障阶段
C通O信MSEC （电报\电话）
通信安全
COMPUSEC 计算机安全 计算机
信息系统安全
INFOSEC
信息安全保障
网络空间安全/信息安全保障
网络
IA
网络化C社S会/IA
9
完善的信息安全技术体系
业务处室
行政部病门毒防护 漏洞扫描
财务补门丁管理
人事部
更改缺省DM的Z 系统口?令E-Mail
? File Transfer ? HTTP
中继
路由
关闭安全维护
“I后nt门er”net
入侵检测 实时监控
Intranet
访问控制
数据文件加密
Modem 信息网络
审计系统
内部/个体 内部/组织 外部/个体 外部/组织 安全隐患
信息安全策略(MSP)
符合性管理(MCM) 11
信息安全保障管理体系建设
国家/业务/机构 策略，规范，
标准
使命要求
组织体系建设 策略体系
风业应意
险务急识
管持响培
理续应训
策略
性管和
管理教
标准
理
育
流程，指导方针&实践
系统测评/风险评估 生命周期安全管理
12
对手，动机 和攻击
管理体系建设
Plan计划（建立ISMS环境） 根据组织机构的整体策略和目标，建立 同策略控通过、制建实过程目风立施策执的险C纠和略Dh行、和正操oe、c做，目改和作k目检（A并结标进预策的c查设将果、信t防略行和（计结。过息的行（动实监&果程安执动过（践实控汇全和行以程改经施&报相流进和验进审）给关程一流）测核决的以步程量）策安交改）和人全付进评。过估程
▪ 18项基础设施（7）政府设施）
❖ 欧盟
▪ 明确将关键信息基础设施安全保 障作为欧洲网络防御第一要务
▪ 强调网络监测、恢复和应急能力
5
安全形势严峻
❖ 政治影响
▪ 棱镜门事件
❖ 商业影响
▪ 赛门铁克、Vmware产品源代码被盗 ▪ 全球支付、Zappos、linkedIn、雅虎
用户数据被窃取
❖ 个人隐私