CISP0301信息安全管理體系ppt課件.ppt

信息安全管理體系 培訓機構(gòu)名稱講師名字 1 課程內(nèi)容 2 知識域 信息安全管理基本概念 知識子域 信息安全管理的作用理解信息安全 技管并重 原則的意義理解成功實施信息安全管理工作的關(guān)鍵因素知識子域 風險管理的概念和作用理解信息安全風險的概念 資產(chǎn)價值 威脅 脆弱性 防護措施 影響 可能性理解風險評估是信息安全管理工作的基礎(chǔ)理解風險處置是信息安全管理工作的核心知識子域 信息安全管理控制措施的概念和作用理解安全管理控制措施是管理風險的具體手段了解11個基本安全管理控制措施的基本內(nèi)容 3 3 信息安全管理 一 信息安全管理概述二 信息安全管理體系三 信息安全管理體系建立四 信息安全管理控制規(guī)范 4 4 一 信息安全管理概述 一 信息安全管理基本概念1 信息安全2 信息安全管理3 基于風險的信息安全 二 信息安全管理的狀況1 信息安全管理的作用2 信息安全管理的發(fā)展3 信息安全管理的標準4 成功實施信息安全管理的關(guān)鍵 5 5 一 信息安全管理基本概念 1 信息安全2 信息安全管理3 基于風險的信息安全 6 6 1 信息安全 7 信息 信息是一種資產(chǎn) 像其他重要的業(yè)務資產(chǎn)一樣 對組織具有價值 因此需要妥善保護 信息安全 信息安全主要指信息的保密性 完整性和可用性的保持 即指通過采用計算機軟硬件技術(shù) 網(wǎng)絡技術(shù) 密鑰技術(shù)等安全技術(shù)和各種組織管理措施 來保護信息在其生命周期內(nèi)的產(chǎn)生 傳輸 交換 處理和存儲的各個環(huán)節(jié)中 信息的保密性 完整性和可用性不被破壞 7 1 信息安全 8 8 1 信息安全 保密性 9 保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息 信息的保密性依據(jù)信息被允許訪問對象的多少而不同 所有人員都可以訪問的信息為公開信息 需要限制訪問的信息為敏感信息或秘密信息 根據(jù)信息的重要程度和保密要求將信息分為不同密級 9 1 信息安全 完整性 10 完整性保證信息和處理方法的正確性和完整性 信息完整性一方面指在使用 傳輸 存儲信息的過程中不發(fā)生篡改信息 丟失信息 錯誤信息等現(xiàn)象 另一方面指信息處理的方法的正確性 執(zhí)行不正當?shù)牟僮?有可能造成重要文件的丟失 甚至整個系統(tǒng)的癱瘓 10 1 信息安全 可用性 11 可用性確保那些已被授權(quán)的用戶在他們需要的時候 確實可以訪問到所需信息 即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候 可以立即獲得 例如 通信線路中斷故障 網(wǎng)絡的擁堵會造成信息在一段時間內(nèi)不可用 影響正常的業(yè)務運營 這是信息可用性的破壞 提供信息的系統(tǒng)必須能適當?shù)爻惺芄舨⒃谑r恢復 11 2 信息安全管理 統(tǒng)計結(jié)果表明 在所有信息安全事故中 只有20 30 是由于黑客入侵或其他外部原因造成的 70 80 是由于內(nèi)部員工的疏忽或有意泄密造成的 站在較高的層次上來看信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題 單憑技術(shù)是無法實現(xiàn)從 最大威脅 到 最可靠防線 轉(zhuǎn)變的 信息安全是一個多層面 多因素的過程 如果組織憑著一時的需要 想當然去制定一些控制措施和引入某些技術(shù)產(chǎn)品 都難免存在掛一漏萬 顧此失彼的問題 使得信息安全這只 木桶 出現(xiàn)若干 短板 從而無法提高信息安全水平 12 12 2 信息安全管理 13 正確的做法是參考國內(nèi)外相關(guān)信息安全標準與最佳實踐過程 根據(jù)組織對信息安全的各個層面的實際需求 在風險分析的基礎(chǔ)上引入恰當控制 建立合理安全管理體系 從而保證組織賴以生存的信息資產(chǎn)的保密性 完整性和可用性 13 2 信息安全管理 14 組織中為了完成信息安全目標 針對信息系統(tǒng) 遵循安全策略 按照規(guī)定的程序 運用恰當?shù)姆椒?而進行的規(guī)劃 組織 指導 協(xié)調(diào)和控制等活動信息安全管理工作的對象 目標 組織 14 2 信息安全管理 15 信息安全管理是通過維護信息的保密性 完整性和可用性 來管理和保護組織所有的信息資產(chǎn)的一項體制 是組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調(diào)的活動 有效的信息安全管理要盡量做到在有限的成本下 保證安全風險控制在可接受的范圍 15 3 基于風險的信息安全 16 1 安全風險的基本概念 2 信息安全的風險模型 2 基于風險的信息安全 16 1 安全風險的基本概念 資產(chǎn)資產(chǎn)是任何對組織有價值的東西信息也是一種資產(chǎn) 對組織具有價值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員服務性資產(chǎn)公司形象和名譽 17 1 安全風險的基本概念 威脅資威脅是可能導致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作盜竊網(wǎng)絡監(jiān)聽供電故障后門未授權(quán)訪問 自然災害如 地震 火災 18 1 安全風險的基本概念 脆弱性是與信息資產(chǎn)有關(guān)的弱點或安全隱患 脆弱性本身并不對資產(chǎn)構(gòu)成危害 但是在一定條件得到滿足時 脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害 脆弱性舉例系統(tǒng)漏洞程序Bug專業(yè)人員缺乏不良習慣缺少審計缺乏安全意識后門物理環(huán)境訪問控制措施不當 19 1 安全風險的基本概念 安全控制措施根據(jù)安全需求部署的 用來防范威脅 降低風險的措施安全控制措施舉例 20 技術(shù)措施防火墻防病毒入侵檢測災備系統(tǒng) 管理措施安全規(guī)章安全組織人員培訓運行維護 2 信息安全的風險模型 21 沒有絕對的安全 只有相對的安全 信息安全建設(shè)的宗旨之一 就是在綜合考慮成本與效益的前提下 通過恰當 足夠 綜合的安全措施來控制風險 使殘余風險降低到可接受的程度 21 3 基于風險的信息安全 信息安全追求目標 確保業(yè)務連續(xù)性業(yè)務風險最小化保護信息免受各種威脅的損害投資回報和商業(yè)機遇最大化 獲得信息安全方式 實施一組合適的控制措施 包括策略 過程 規(guī)程 組織結(jié)構(gòu)以及軟件和硬件功能 22 22 3 風險評估是信息安全管理的基礎(chǔ) 風險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價 然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估 同時對已存在的或規(guī)劃的安全控制措施進行界定 信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風險評估信息安全風險評估是信息安全管理體系建立的基礎(chǔ) 沒有風險評估 信息安全管理體系的建立就沒有依據(jù) 23 23 4 風險處置是信息安全管理的核心 風險評估的結(jié)果應進行相應的風險處置 本質(zhì)上 風險處置的最佳集合就是信息安全管理體系的控制措施集合 控制目標 控制手段 實施指南的邏輯梳理出這些風險控制措施集合的過程也就是信息安全建立體系的建立過程 信息安全管理體系的核心就是這些最佳控制措施集合的 24 24 二 信息安全管理的狀況 1 信息安全管理的作用2 信息安全管理的發(fā)展3 信息安全管理有關(guān)標準4 成功實施信息安全管理的關(guān)鍵 25 25 1 信息安全管理的作用 26 如果你把鑰匙落在鎖眼上會怎樣 技術(shù)措施需要配合正確的使用才能發(fā)揮作用 保險柜就一定安全嗎 26 27 WO 3G 精心設(shè)計的網(wǎng)絡防御體系 因違規(guī)外連形同虛設(shè) 防火墻能解決這樣的問題嗎 1 信息安全管理的作用 28 信息系統(tǒng)是人機交互系統(tǒng) 應對風險需要人為的管理過程 設(shè)備的有效利用是人為的管理過程 堅持管理與技術(shù)并重 是我國加強信息安全保障工作的主要原則 1 信息安全管理的作用 2 信息安全管理的發(fā)展 1 29 ISO IECTR13335國際標準化組織在信息安全管理方面 早在1996年就開始制定 信息技術(shù)信息安全管理指南 ISO IECTR13335 它分成五個部分 信息安全的概念和模型 信息安全管理和規(guī)劃 信息安全管理技術(shù) 基線方法 網(wǎng)絡安全管理指南 29 2 信息安全管理的發(fā)展 2 30 BS7799英國標準化協(xié)會 BSI 1995年頒布了 信息安全管理指南 BS7799 BS7799分為兩個部分 BS7799 1 信息安全管理實施規(guī)則 和BS7799 2 信息安全管理體系規(guī)范 2002年又頒布了 信息安全管理系統(tǒng)規(guī)范說明 BS7799 2 2002 BS7799將信息安全管理的有關(guān)問題劃分成了10個控制要項 36個控制目標和127個控制措施 目前 在BS7799 2中 提出了如何了建立信息安全管理體系的步驟 30 2 信息安全管理的發(fā)展 3 31 31 2 信息安全管理的發(fā)展 4 32 32 3 國內(nèi)外信息安全管理標準 33 1 國際信息安全管理標準國際信息安全標準化組織國際信息安全管理標準 2 國內(nèi)信息安全管理標準國內(nèi)信息安全標準化組織國內(nèi)信息安全管理標準 33 國際信息安全標準化組織 34 34 國際信息安全管理標準 1 35 35 國際信息安全管理標準 2 36 36 國際信息安全管理標準 3 37 37 國內(nèi)信息安全標準化組織 38 38 國內(nèi)信息安全管理標準 1 39 WG7組已有的標準 39 國內(nèi)信息安全管理標準 2 40 WG7組研究中的標準 40 國內(nèi)信息安全管理標準 3 41 41 4 實施信息安全管理的關(guān)鍵成功因素 理解組織文化得到高層承諾做好風險評估整合管理體系積極有效宣貫納入獎懲機制持續(xù)改進體系 42 42 二 信息安全管理體系 一 什么是信息安全管理體系 二 信息安全管理體系的框架 三 信息安全管理過程方法要求 四 信息安全管理控制措施要求 43 43 一 什么是信息安全管理體系 1 信息安全管理體系的定義2 信息安全管理體系的特點3 信息安全管理體系的作用4 信息安全管理體系的文件 44 44 1 信息安全管理體系的定義 信息安全管理體系 ISMS InformationSecurityManagementSystem 是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標 以及完成這些目標所用的方法和體系 它是直接管理活動的結(jié)果 表示為方針 原則 目標 方法 計劃 活動 程序 過程和資源的集合 45 45 2 信息安全管理體系的特點 信息安全管理體系要求組織通過確定信息安全管理體系范圍 制定信息安全方針 明確管理職責 以風險評估為基礎(chǔ)選擇控制目標和措施等一系列活動來建立信息安全管理體系 體系的建立基于系統(tǒng) 全面 科學的安全風險評估 體現(xiàn)以預防控制為主的思想 強調(diào)遵守國家有關(guān)信息安全的法律 法規(guī)及其他合同方面的要求 強調(diào)全過程和動態(tài)控制 本著控制費用與風險平衡的原則合理選擇安全控制方式 強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn) 而不是全部信息資產(chǎn) 確保信息的保密性 完整性和可用性 保持組織的競爭優(yōu)勢和業(yè)務的持續(xù)性 46 46 3 信息安全管理體系的作用 對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護 維持競爭優(yōu)勢 在信息系統(tǒng)受到侵襲時 確保業(yè)務持續(xù)開展并將損失降到最低程度 促使管理層貫徹信息安全管理體系 強化員工的信息安全意識 規(guī)范組織信息安全行為 使組織的生意伙伴和客戶對組織充滿信心 組織可以按照安全管理 達到動態(tài)的 系統(tǒng)地 全員參與 制度化的 以預防為主的信息安全管理方式 用最低的成本 達到可接受的信息安全水平 從根本上保證業(yè)務的持續(xù)性 47 47 4 信息安全管理體系的理念 各廠商 各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準 這些基于產(chǎn)品 技術(shù)與管理層面的標準在某些領(lǐng)域得到了很好的應用 但從組織信息安全的各個角度和整個生命周期來考察 如果忽略了組織中最活躍的因素 人的作用 則信息安全管理體系是不完備的 考察國內(nèi)外的各種信息安全事件 不難發(fā)現(xiàn) 在信息安全時間表象后面其實都是人的因素在起決定作用 48 48 4 信息安全管理體系的理念 49 在信息安全問題上 要綜合考慮人員與管理 技術(shù)與產(chǎn)品 流程與體系 信息安全管理體系是人員 管理與技術(shù)三者的互動 49 5 信息安全管理體系的過程 50 完善信息安全治理結(jié)構(gòu) 風險評估 安全規(guī)劃 信息安全管理框架 管理措施 技術(shù)手段 信息系統(tǒng)安全審計 監(jiān)控業(yè)務與安全環(huán)境 符合安全控制標準 持續(xù)改進 調(diào)整 50 二 信息安全管理體系框架 1 信息安全管理體系循環(huán)框架2 信息安全管理體系內(nèi)容框架3 信息安全管理體系文件框架4 信息安全管理體系系列標準 51 51 1 信息安全管理體系循環(huán)框架 52 信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 52 1 信息安全管理體系循環(huán)框架 53 PDCA也稱 戴明環(huán) 由美國質(zhì)量管理專家戴明提出 P Plan 計劃 確定方針和目標 確定活動計劃 D Do 實施 實際去做 實現(xiàn)計劃中的內(nèi)容 C Check 檢查 總結(jié)執(zhí)行計劃的結(jié)果 注意效果 找出問題 A Action 行動 對總結(jié)檢查的結(jié)果進行處理 成功地經(jīng)驗加以肯定并適當推廣 標準化 失敗的教訓加以總結(jié) 以免重現(xiàn) 未解決的問題放到下一個PDCA循環(huán) 53 1 信息安全管理體系循環(huán)框架 54 PDCA特點一 按順序進行 它靠組織的力量來推動 像車輪一樣向前進 周而復始 不斷循環(huán) PDCA特點二 組織中的每個部分 甚至個人 均可以PDCA循環(huán) 大環(huán)套小環(huán) 一層一層地解決問題 PDCA特點三 每通過一次PDCA循環(huán) 都要進行總結(jié) 提出新目標 再進行第二次PDCA循環(huán) 54 2 信息安全管理體系內(nèi)容框架 55 55 2 信息安全管理體系內(nèi)容框架 續(xù) 56 其他最佳實踐標準與各安全控制域之間的對應 ISO27000系列不是信息安全管理體系的全部 56 3 信息安全管理體系文檔框架 57 57 3 信息安全管理體系文檔框架 58 安全策略 操作手冊 操作手冊 操作手冊 操作手冊 考核指標 考核指標 58 4 信息安全管理體系系列標準 59 1 ISO27000系列 2 NISTSP800系列 3 ISO IEC13335系列 59 1 ISO27000系列 60 ISO27000系列 27000 27003 27004 27007 27000信息安全管理體系原則和術(shù)語27001信息安全管理體系要求27002信息安全管理實踐準則27003信息安全管理實施指南 27004信息安全管理的度量指標和衡量27005信息安全風險管理指南27006信息和通信技術(shù)災難恢復服務指南27007XXX 信息安全管理體系基本原理和詞匯 60 1 ISO27000系列 61 27001的附錄A將兩者聯(lián)系起來 作為ISMS過程的一部分 測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來 61 27000 ISMS基礎(chǔ)和詞匯 62 正在啟動的新標準項目 它將主要以ISO IEC13335 1 2004 信息和通信技術(shù)安全管理第1部分 信息和通信技術(shù)安全管理的概念和模型 為基礎(chǔ)進行研究 該標準將規(guī)定27000系列標準所共用的基本原則 概念和詞匯 62 27001 信息安全管理體系要求 63 2005年10月15日發(fā)布 規(guī)定了一個組織建立 實施 運行 監(jiān)視 評審 保持 改進信息安全管理體系的要求 基于風險管理的思想 旨在通過持續(xù)改進的過程 PDCA模型 使組織達到有效的信息安全 使用了和ISO9001 ISO14001相同的管理體系過程模型 是一個用于認證和審核的標準 63 27002 信息安全管理實用規(guī)則 64 即17799 2005年6月15日發(fā)布第二版 包含有11個安全類別 39個控制目標 138個控制措施 實施27001的支撐標準 給出了組織建立ISMS時應選擇實施的控制目標和控制措施集 是一個行業(yè)最佳慣例的匯總集 而不是一個認證和審核標準 64 27003 ISMS實施指南 65 目前處于工作草案階段 它主要以BS7799 2 2002附錄B的內(nèi)容為基礎(chǔ)進行制定 提供了27001具體實施的指南 65 27004 信息安全管理度量 66 旨在為組織提供一個如何通過使用度量 測量項以及合適的測量技術(shù)來評估其安全管理狀態(tài)的指南 66 27005 信息安全風險管理 67 目前處于委員會草案階段 它將主要以ISO IEC13335 2為基礎(chǔ)進行制定 描述了信息安全風險管理的過程及每個過程的詳細內(nèi)容 67 2 NISTSP800系列 68 NISTSP800系列 68 3 ISO IEC13335系列 69 ISO IEC13335系列 69 三 信息安全管理過程方法要求 1 信息安全管理過程方法的作用2 信息安全管理過程方法的結(jié)構(gòu) 70 70 1 信息安全管理過程方法的作用 71 過程方法要求 Methodologicalrequirements 為組織根據(jù)業(yè)務風險建立 實施 運行 監(jiān)視 評審 保持和改進文件化的信息安全管理體系規(guī)定了要求 按照PDCA循環(huán)理念運行的信息安全管理體系是從過程上嚴格保證了信息安全管理體系的有效性 在過程上的這些要求是不可或缺的 也就是說不是可選的 是必須執(zhí)行的 71 2 信息安全管理過程方法的結(jié)構(gòu) 72 72 四 信息安全管理控制措施要求 1 信息安全管理控制措施的作用2 信息安全管理控制措施的結(jié)構(gòu) 73 73 1 信息安全管理控制措施的作用 74 安全控制要求 Securitycontrolrequirements 為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個最佳實踐集 組織應根據(jù)法律法規(guī)的約束 自身的業(yè)務和風險特征選擇適用的控制措施 當然組織也可以根據(jù)自身的特定要求對安全控制措施進行補充 74 2 信息安全管理控制措施的結(jié)構(gòu) 75 共有11個控制條款 方面 每個條款包括許多主要的安全類 每個安全類包括 一個控制目標 聲明要實現(xiàn)什么一個或多個控制措施 可被用于實現(xiàn)該控制目標每個控制措施控制 是對該控制措施的定義實施指南 是對實施該控制措施的指導性說明其它信息 其它需要說明的補充信息 75 76 2 信息安全管理控制措施的結(jié)構(gòu)示例 8 人員安全 安全控制條款8 1雇傭前 安全類確保員工 合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色 減少盜竊 濫用或設(shè)施誤用的風險 安全類控制目標8 1 1角色和職責 安全控制措施控制 是對該控制措施的定義實施指南 是對實施該控制措施的指導性說明其它信息 其它需要說明的補充信息 77 知識子域 過程方法與PDCA循環(huán)理解ISMS過程和過程方法的含義理解PDCA循環(huán)的特征和作用知識子域 建立 運行 評審與改進ISMS了解建立ISMS的主要工作內(nèi)容了解實施和運行ISMS的主要工作內(nèi)容了解監(jiān)視和評審ISMS的主要工作內(nèi)容了解保持和改進ISMS的主要工作內(nèi)容 知識域 信息安全管理體系建設(shè) 三 信息安全管理體系建設(shè) 一 信息安全管理體系的規(guī)劃和建立 二 信息安全管理體系的實施和運行 三 信息安全管理體系的監(jiān)視和評審 四 信息安全管理體系的保持和改進 78 78 一 信息安全管理體系規(guī)劃和建立 P1 定義ISMS范圍P2 定義ISMS方針P3 確定風險評估方法P4 分析和評估信息安全風險P5 識別和評價風險處理的可選措施P6 為處理風險選擇控制目標和控制措施P7 準備詳細的適用性聲明SoA 79 79 P1 定義ISMS范圍 80 ISMS的范圍就是需要重點進行信息安全管理的領(lǐng)域 組織需要根據(jù)自己的實際情況 在整個組織范圍內(nèi) 個別部門或領(lǐng)域構(gòu)建ISMS 在本階段 應將組織劃分成不同的信息安全控制領(lǐng)域 以易于組織對有不同需求的領(lǐng)域進行適當?shù)男畔踩芾?在定義ISMS范圍時 應重點考慮組織現(xiàn)有的部門 信息資產(chǎn)的分布狀況 核心業(yè)務的流程區(qū)域以及信息技術(shù)的應用區(qū)域 80 P2 定義ISMS方針 81 信息安全方針是組織的信息安全委員會或管理當局制定的一個高層文件 用于指導組織如何對資產(chǎn) 包括敏感信息進行管理 保護和分配的規(guī)則和指示 信息安全方針應當闡明管理層的承諾 提出組織管理信息安全的方法 并由管理層批準 采用適當?shù)姆椒▽⒎结槀鬟_給每一個員工 信息安全方針應當簡明 扼要 便于理解 至少包括目標 范圍 意圖 法規(guī)的遵從性和管理的責任等內(nèi)容 81 P3 確定風險評估方法 82 組織可采取不同風險評估法方法 一個方法是否適合于特定組織 有很多影響因素 包括 業(yè)務環(huán)境業(yè)務性質(zhì)與業(yè)務重要性 對支持組織業(yè)務活動的信息系統(tǒng)的依賴程度 業(yè)務內(nèi)容 支持系統(tǒng) 應用軟件和服務的復雜性 貿(mào)易伙伴 外部業(yè)務關(guān)系 合同數(shù)量的大小 這些因素對風險評估方法的選擇都很重要 不僅風險評估要考慮成本與效益的權(quán)衡 不出現(xiàn)過度安全 風險評估自身也要考慮成本與效益的權(quán)衡 不出現(xiàn)過度復雜 82 P4 分析和評估信息安全風險 83 風險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價 然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估 同時對已存在的或規(guī)劃的安全控制措施進行鑒定 確定風險數(shù)值的大小不是評估的最終目的 重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值 即要確定不同風險的優(yōu)先次序或等級 對于風險級別高的資產(chǎn)應被優(yōu)先分配資源進行保護 組織可以采用按照風險數(shù)值排序的方法 也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級 這包括將可接受風險與不可接受風險進行劃分 83 P5 識別和評價風險處理的可選措施 84 根據(jù)風險評估的結(jié)果 在已有措施基礎(chǔ)上從安全控制最佳集合中選擇安全控制措施 84 P6 為處理風險選擇控制目標和控制措施 85 在選擇控制目標和控制措施時 并沒有一套標準與通用的辦法 選擇的過程往往不是很直接 可能要涉及一系列的決策步驟 咨詢過程 要和不同的業(yè)務部門和大量的關(guān)鍵人員進行討論 對業(yè)務目標進行廣泛的分析 最后產(chǎn)生的結(jié)果要很好的滿足組織對業(yè)務目標 資產(chǎn)保護 投資預算的要求 組織采用什么樣的方法來評估安全需求和選擇控制 完全由組織自己來決定 但無論采用什么樣的方法 工具 都需要靠來自風險 來自法規(guī)和合同的遵從以及來自業(yè)務這三種安全需求來驅(qū)動 85 P7 準備詳細的適用性聲明SoA 86 在風險評估之后 組織應該選用符合組織自身需要的控制措施與控制目標 所選擇的控制目標和措施以及被選擇的原因應在適用性聲明 SOA StatementofApplication SOA中進行說明 SOA是適合組織需要的控制目標和控制的評論 需要提交給管理者 職員 具有訪問權(quán)限的第三方相關(guān)認證機構(gòu) SOA的準備一方面是為了向組織內(nèi)的員工聲明對信息安全面對的風險的態(tài)度 更大程度上則是為了向外界表明組織的態(tài)度和作為 以表明組織已經(jīng)全面 系統(tǒng)的審視了組織的信息安全系統(tǒng) 并將所有需要控制的風險控制在能被接受的范圍內(nèi) 86 二 信息安全管理體系實施和運行 D1 開發(fā)風險處置計劃D2 實施風險處置計劃D3 實施安全控制措施D4 實施安全教育培訓D5 管理ISMS的運行D6 管理ISMS的資源D7 執(zhí)行檢測安全事件程序D8 執(zhí)行響應安全事故程序 87 87 信息安全風險處置的分類 88 根據(jù)風險評估的結(jié)果進行相關(guān)的風險處置 降低風險 在考慮轉(zhuǎn)移風險前 應首先考慮采取措施降低風險 避免風險 有些風險容易避免 例如采用不同的技術(shù) 更改操作流程 采用簡單的技術(shù)措施等 轉(zhuǎn)移風險 通常只有當風險不能被降低風險和避免 且被第三方接受時才采用 接受風險 用于那些在采取了降低風險和避免風險措施后 出于實際和經(jīng)濟方面的原因 只要組織進行運營 就必然存在并必須接受的風險 88 信息安全管理體系試運行 體系運行初期處于體系的磨合期 一般稱為試運行期 在此期間運行的目的是要在實踐中體驗體系的充分性 適用性和有效性 在體系運行初期 組織應加強運作力度 通過實施ISMS手冊 程序和各種作業(yè)指導性文件等一系列體系文件 充分發(fā)揮體系本身的各項工程 及時發(fā)現(xiàn)體系本身存在的問題 找出問題的根據(jù) 采取糾正措施 糾正各種不符合 并按照更改控制程序要求對體系予以更改 以達到進一步完善信息安全管理體系的目的 89 89 三 信息安全管理體系監(jiān)視和評審 C1 執(zhí)行ISMS監(jiān)視程序C2 執(zhí)行ISMS評價程序C3 定期執(zhí)行ISMS評審C4 測量控制措施的有效性C5 驗證安全要求是否被滿足C6 按計劃進行風險評估C7 評審可接受殘余風險C8 按計劃進行內(nèi)部審核C9 按計劃進行管理評審C10 更新信息安全計劃C11 記錄對ISMS有影響的行動和事件 90 90 常用的檢查措施 在檢查階段采集的信息應該可以用來測量信息安全管理體系 判斷是否符合組織的安全方針和控制目標的有效性 常用的檢查措施有 日常檢查 作為正式的業(yè)務過程經(jīng)常進行 并設(shè)計用來偵測處理結(jié)果的錯誤 自治程序 為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的措施 如監(jiān)控程序報警等 從其他處學習 一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法 91 91 常用的檢查措施 內(nèi)部審核 在一個特定的常規(guī)審核時間內(nèi)檢查 所有方面是否達到預想的效果 管理評審 管理評審的目的是檢查信息安全管理體系的有效性 以識別需要的改進和采取的行動 管理評審指導每年進行一次趨勢分析 經(jīng)常進行趨勢分析有助于組織識別需要改進的領(lǐng)域 并建立一個持續(xù)改進和循環(huán)提高的基礎(chǔ) 92 92 四 信息安全管理體系保持和改進 A1 實施已識別的ISMS改進措施A2 執(zhí)行糾正性和預防性措施A3 通知相關(guān)人員ISMS的變更A4 從安全經(jīng)驗和教訓中學習 93 93 A1 實施已識別的ISMS改進措施 94 為使信息安全管理體系持續(xù)有效 應以檢查階段采集的不符合項信息為基礎(chǔ) 經(jīng)常進行調(diào)整與改進 不符合項指 缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求 在有可觀證據(jù)的基礎(chǔ)上 引起對信息安全管理體系安全方針和組織安全目標能力的重大懷疑 94 A2 執(zhí)行糾正性和預防性措施 95 通過各種檢查措施 發(fā)現(xiàn)了組織ISMS體系運行中出現(xiàn)了不符合規(guī)定要求的事項后 就需要采取改進措施 改進措施主要通過糾正與預防性控制措施來實現(xiàn) 同時對潛在的不符合項采取預防性措施 糾正性措施 組織應采取措施 以消除不合格的 與實施和運行信息安全管理體系有關(guān)的原因 防止問題的再發(fā)生 預防性措施 組織應對未來的不合適事件確定預防措施已防止其發(fā)生 預防措施應與潛在問題的影響程度相適應 95 A3 通知相關(guān)人員ISMS的變更 96 按照內(nèi)部審計和管理評審的輸出結(jié)果對信息安全管理體系作持續(xù)性的改善 每次的改善會涉及到信息安全管理體系文件的變更 變更的結(jié)果應該及時通知信息安全管理體系的相關(guān)人員 并提