CISP 信息安全管理体系
❖ 控制目标、控制手段、实施指南的逻辑梳理出这 些风险控制措施集合的过程也就是信息安全建立 体系的建立过程。
❖ 信息安全管理体系的核心就是这些最佳控制措施 集合的。
24
(二)信息安全管理的状况
❖ 1、信息安全管理的作用 ❖ 2、信息安全管理的发展 ❖ 3、信息安全管理有关标准 ❖ 4、成功实施信息安全管理的关键
❖ 强调全过程和动态控制,本着控制费用与风险平衡的原则 合理选择安全控制方式;强调保护组织所拥有的关键性信 息资产,而不是全部信息资产,确保信息的保密性、完整 性和可用性,保持组织的竞争优势和业务的持续性。
46
3、信息安全管理体系的作用
❖ 对组织的关键信息资产进行全面系统的保护,维 持竞争优势;
❖ 在信息系统受到侵袭时,确保业务持续开展并将 损失降到最低程度;
信息安全管理体系
培训机构名称 讲师名字
课程内容
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
2
知识域:信息安全管理基本概念
❖知识子域: 信息安全管理的作用
❖ 信息安全管理体系的建立需要确定信息安全需求 ❖ 信息安全需求获取的主要手段就是安全风险评估 ❖ 信息安全风险评估是信息安全管理体系建立的基
础,没有风险评估,信息安全管理体系的建立就 没有依据。
23
(4)风险处置是信息安全管理的核心
❖ 风险评估的结果应进行相应的风险处置,本质上 ,风险处置的最佳集合就是信息安全管理体系的 控制措施集合。
应
对
风
险
需
要
人
为
的
管
信息系统是人机交互系统
理
过
程
设备的有效利用是人为的管理过 程
“坚持管理与技术并重”是我国加 强信息安全保障工作的主要原则
28
2、信息安全管理的发展-1
❖ISO/IEC TR 13335
▪ 国际标准化组织在信息安全管理方面,早在1996年 就开始制定《信息技术信息安全管理指南》( ISO/IEC TR 13335),它分成五个部分:
❖ 促使管理层贯彻信息安全管理体系,强化员工的 信息安全意识,规范组织信息安全行为;
❖ 使组织的生意伙伴和客户对组织充满信心; ❖ 组织可以按照安全管理,达到动态的、系统地、
全员参与、制度化的、以预防为主的信息安全管 理方式,用最低的成本,达到可接受的信息安全 水平,从根本上保证业务的持续性。
❖ 信息安全:信息安全主要指信息的保密性、完整 性和可用性的保持。即指通过采用计算机软硬件 技术、网络技术、密钥技术等安全技术和各种组 织管理措施,来保护信息在其生命周期内的产生 、传输、交换、处理和存储的各个环节中,信息 的保密性、完整性和可用性不被破坏。
7
1、信息安全
8
1、信息安全-保密性
❖ 保密性 ❖ 确保只有那些被授予特定权限的人才能够访问到
45
2、信息安全管理体系的特点
❖ 信息安全管理体系要求组织通过确定信息安全管理体系范 围,制定信息安全方针,明确管理职责,以风险评估为基 础选择控制目标和措施等一系列活动来建立信息安全管理 体系;
❖ 体系的建立基于系统、全面、科学的安全风险评估,体现 以预防控制为主的思想,强调遵守国家有关信息安全的法 律、法规及其他合同方面的要求;
《信息安全的概念和模型》 《信息安全管理和规划》 《信息安全管理技术》 《基线方法》 《网络安全管理指南》
29
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分:
▪ BS 7799-1《信息安全管理实施规则》和BS 7799-2 《信息安全管理体系规范》。2002年又颁布了《信 息安全管理系统规范说明》(BS 7799-2:2002)。
10
1、信息安全-可用性
❖ 可用性 ❖ 确保那些已被授权的用户在他们需要的时候,确
实可以访问到所需信息。即信息及相关的信息资 产在授权人需要的时候,可以立即获得。例如, 通信线路中断故障、网络的拥堵会造成信息在一 段时间内不可用,影响正常的业务运营,这是信 息可用性的破坏。提供信息的系统必须能适当地 承受攻击并在失败时恢复。
13
2、信息安全管理
组织中为了完成信息安全目标,针对信息系统,遵循安
全策略,按照规定的程序,运用恰当的方法,而进行的
规划、组织、指导、协调和控制等活动 拥有者 变化?
信息安全管理工作的对象
经营
关键活动 输入
资源 ·信息输入
标准 ·立法
记录 ·摘要
测量
输出
生产
过程
项目领导组 项目办公室 项目经理
43
(一)什么是信息安全管理体系
❖ 1、信息安全管理体系的定义 ❖ 2、信息安全管理体系的特点 ❖ 3、信息安全管理体系的作用 ❖ 4、信息安全管理体系的文件
44
1、信息安全管理体系的定义
❖ 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或 特定范围内建立的信息安全方针和目标,以及完 成这些目标所用的方法和体系。它是直接 管理活 动的结果,表示为方针、原则、目标、方法、计 划、活动、程序、过程和资源的集合。
▪ 理解信息安全“技管并重”原则的意义 ▪ 理解成功实施信息安全管理工作的关键因素
❖知识子域: 风险管理的概念和作用
▪ 理解信息安全风险的概念:资产价值、威胁、脆弱 性、防护措施、影响、可能性
▪ 理解风险评估是信息安全管理工作的基础 ▪ 理解风险处置是信息安全管理工作的核心
❖知识子域: 信息安全管理控制措施的概念和作用
▪ BS 7799将信息安全管理的有关问题划分成了10个 控制要项、36 个控制目标和127 个控制措施。目 前,在BS7799-2中,提出了如何了建立信息安全 管理体系的步骤。
30
2、信息安全管理的发展-3
31
2、信息安全管理的发展-4
32
3、国内外信息安全管理标准
❖ (1)国际信息安全管理标准
▪ 国际信息安全标准化组织 ▪ 国际信息安全管理标准
❖ (2)国内信息安全管理标准
▪ 国内信息安全标准化组织 ▪ 国内信息安全管理标准
33
国际信息安全标准化组织
34
国际信息安全管理标准-1
35
国际信息安全管理标准-2
36
国际信息安全管理标准-3
37
国内信息安全标准化组织
38
国内信息安全管理标准-1
▪ 理解安全管理控制措施是管理风险的具体手段 ▪ 了解11个基本安全管理控制措施的基本内容
3
信息安全管理
❖ 一、信息安全管理概述 ❖ 二、信息安全管理体系 ❖ 三、信息安全管理体系建立 ❖ 四、信息安全管理控制规范
4
一、信息安全管理概述
❖ (一)信息安全管理基本概念
▪ 1、信息安全 ▪ 2、信息安全管理 ▪ 3、基于风险的信息安全
25
1、信息安全管理的作用
保险柜就一定安全吗?
❖ 如果你把钥匙落在锁眼上会怎样? ❖ 技术措施需要配合正确的使用才能发
挥作用
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
WO!3G
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
27
1、信息安全管理的作用
15
3、基于风险的信息安全
❖ (1)安全风险的基本概念 ❖ (2)信息安全的风险模型 ❖ (2)基于风险的信息安全
16
(1)安全风险的基本概念
❖资产
❖ 资产是任何对组织有价值的东西 ❖ 信息也是一种资产,对组织具有价值
❖ 资产的分类
❖ 电子信息资产 ❖ 纸介资产 ❖ 软件资产 ❖ 物理资产 ❖ 人员 ❖ 服务性资产 ❖ 公司形象和名誉 ❖ ……
21
(3)基于风险的信息安全
Байду номын сангаас信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化 ❖ 保护信息免受各种威
胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能 。
22
(3)风险评估是信息安全管理的基础
❖ 风险评估主要对ISMS范围内的信息资产进行鉴定 和估价,然后对信息资产面对的各种威胁和脆弱 性进行评估,同时对已存在的或规划的安全控制 措施进行界定。
信息。信息的保密性依据信息被允许访问对象的 多少而不同,所有人员都可以访问的信息为公开 信息,需要限制访问的信息为敏感信息或秘密信 息,根据信息的重要程度和保密要求将信息分为 不同密级。
9
1、信息安全-完整性
❖ 完整性 ❖ 保证信息和处理方法的正确性和完整性。信息完
整性一方面指在使用、传输、存储信息的过程中 不发生篡改信息、丢失信息、错误信息等现象; 另一方面指信息处理的方法的正确性,执行不正 当的操作,有可能造成重要文件的丢失,甚至整 个系统的瘫痪。
❖ (二)信息安全管理的状况
▪ 1、信息安全管理的作用 ▪ 2、信息安全管理的发展 ▪ 3、信息安全管理的标准 ▪ 4、成功实施信息安全管理的关键
5
(一)信息安全管理基本概念
❖ 1、信息安全 ❖ 2、信息安全管理 ❖ 3、基于风险的信息安全
6
1、信息安全
