第二章 信息安全管理体系

第二章信息安全管理体系黄成Tel：15825906367Email：attila520@gmail.com重庆医科大学信息管理系InformationSecurityManagement重庆医科大学信息管理系国家注册ISMS咨询师;国家注册ISMS审核员；CareersInformationSecurityManagement重庆医科大学信息管理系CareersInformationSecurityManagement重庆医科大学信息管理系CareersInformationSecurityManagement重庆医科大学信息管理系CareersInformationSecurityManagement重庆医科大学信息管理系学习目标什么是信息安全管理体系，它的作用、意义为何;掌握BS7799的主要内容;与ISO/IEC17799:2000等标准的联系；掌握PDCA管理模型;掌握信息安全管理体系建立的主要流程;掌握信息安全管理体系认证的目的、依据及流程;学习目标InformationSecurityManagement重庆医科大学信息管理系主要内容第一节信息安全管理体系1第三节信息安全管理体系构架3InformationSecurityManagement重庆医科大学信息管理系第二节信息安全管理体系标准2第四节信息安全管理体系认证41.信息安全管理体系1.1什么是信息安全管理体系？信息安全技术计算机与网络信息安全信息安全管理体系——北京华泰网安信息技术公司1.1什么是信息安全管理体系信息安全管理体系（InformationSecurityManagementSystem,ISMS），是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面、科学的安全风险评估，以保障组织的技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。1.信息安全管理体系InformationSecurityManagement重庆医科大学信息管理系1.2建立信息安全管理体系的意义1.缺少信息安全管理策略，安全导向不明确，管理支持不明显；2.缺少跨部门的信息安全协调机制；3.保护特定资产以及完成特定安全过程的职责还不明确；4.雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；5.组织信息系统安全防范技术投入欠缺；6.缺少一旦发生意外时的保证生产经营连续性的措施和计划；1.信息安全管理体系InformationSecurityManagement重庆医科大学信息管理系主要内容第一节ISMS1第三节ISMS构架3InformationSecurityManagement重庆医科大学信息管理系第二节ISMS标准2第四节ISMS认证42.1常见的ISMS标准——BS77992.ISMS标准InformationSecurityManagement重庆医科大学信息管理系BS7799-1:1995BS7799-2:1998BS7799-1:1999BS7799-2:1999ISO/IEC17799-1:2000《信息技术—信息安全管理实施细则》《信息安全管理实施细则》《信息安全管理体系规范》HOWWHATBS7799-2:2002ISO27001:2005ISO/IEC17799-1:20052.1常见的ISMS标准——BS7799-1：1999BS7799-1：1999,信息安全管理实施细则(CodeofPracticeforInformationSecurityManagement)，主要供负责信息安全系统开发的人员作为参考使用，其中分十个标题，定义了127个安全控制。2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1常见的ISMS标准——BS7799-1：19992.ISMS标准InformationSecurityManagement重庆医科大学信息管理系安全策略；安全组织；资产分类与控制；人员安全；物理和坏境安全；通讯与操作管理；访问控制；系统开发与维护；业务连续性管理；遵循性；BS7799-1：1999.word2.1常见的ISMS标准——BS7799-2：1999BS7799-2：1999,信息安全管理体系规范(SpecificationforInformationSecurityManagementSystems)，其中详细说明了建立、实施和维护信息安全管理体系的要求。第二部分要求按照PDCA管理模型来建立和维护信息安全管理体系。2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1PDCA过程模型PDCA循环又叫戴明环；美国质量管理专家戴明（EdwardsDeming）博士在1950年提出，是全面质量管理所应遵循的科学程序。PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Act(纠正)的第一个字母，PDCA循环就是按照这样的顺序进行质量管理，并且循环不止地进行下去的科学程序。2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1PDCA过程模型2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1PDCA过程模型2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1PDCA过程模型2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系2.1PDCA过程模型2.ISMS标准InformationSecurityManagement重庆医科大学信息管理系主要内容第一节ISMS1第三节ISMS构架3InformationSecurityManagement重庆医科大学信息管理系第二节ISMS标准2第四节ISMS认证43ISMS的构架InformationSecurityManagement重庆医科大学信息管理系进行风险评估第三步第二步定义范围ISMS范围风险评估信息资产选择控制目标以及要实现的控制评估结果控制选项、控制措施及目标适用性声明适用性声明书第五步第四步定义策略策略文件第一步3ISMS的构架按照流程图所定的步骤生成的文档；管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制；统实施阶段产生的文档；覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关行动。文档的建立InformationSecurityManagement重庆医科大学信息管理系3ISMS的构架随时可用；按照机构的安全策略定期检查并在必要时做出修正；及时去掉过时的内容；标识并且保留过时的、法律需要的、或作为知识储备的部分。文档应该是清晰可读的、标有日期（及版本日期）的、可以确认的，并且在指定时间内有序维护和保管。文档控制InformationSecurityManagement重庆医科大学信息管理系3ISMS的构架目的：避免ISMS违背刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定，确保组织体系符合安全方针和标准要求，作为一种自我改进的机制，保持信息安全管理体系持续有效性并不断改进和完善。ISMS构架的符合性（见PDF文件）InformationSecurityManagement重庆医科大学信息管理系3ISMS的构架内容：与法律要求的符合性；符合安全方针、标准，技术符合性；信息系统审计的考虑；ISMS构架的符合性（见PDF文件）InformationSecurityManagement重庆医科大学信息管理系主要内容第一节ISMS1第三节ISMS构架3InformationSecurityManagement重庆医科大学信息管理系第二节ISMS标准2第四节ISMS认证44ISMS的认证获得最佳的信息安全运行方式；保证商业安全；降低风险、避免损失；保持核心竞争优势；提高商业活动中的信誉；满足客户的要求；符合法律法规的要求；…….认证的目的InformationSecurityManagement重庆医科大学信息管理系4ISMS的认证BS7799-2:1999；ISO27001系列；认证的依据InformationSecurityManagement重庆医科大学信息管理系4ISMS的认证一般组织按照BS7799-2标准与适用的法律法规要求建立并实施文件化的信息安全体系，满足以下基本条件的可以向被认可的认证机构提出认证申请：遵循法律法规的努力已被相关机构认同；体系文件完全符合标准要求；体系已被有效实施，即在风险评估的基础上识别出需要保护的关键信息资产、制定信息安全方针、确定安全控制目标与控制方式，并实施、完成体系审核与评审活动且采取相应的纠正措施。认证的基本条件InformationSecurityManagement重庆医科大学信息管理系思考题1.简述ISMS的建立流程。2.简述BS7799中的PDCA管理模型。3.简述ISMS建立过程中的遵循性的主要内容。4.如何向ISMS认证机构提出申请？需要满足哪些条件？InformationSecurityManagement重庆医科大学信息管理系谢谢！Thankyou!InformationSecurityManagement重庆医科大学信息管理系