13-CISP-2013-基本管理措施

基本安全管理措施培训机构名称讲师名字课程内容2信息安全管理措施知识体知识域基本安全管理措施重要安全管理过程知识子域安全方针人力资源安全访问控制物理与环境安全信息系统获取、开发和维护通信和操作管理信息安全组织资产管理符合性信息安全事件管理与应急响应业务连续性管理与灾难恢复信息安全管理措施理解安全管理控制措施是管理风险的具体手段了解8个基本安全管理控制措施的基本内容•知识子域：安全方针•知识子域：人力资源安全•知识子域：信息安全组织•知识子域：资产管理•知识子域：物理与环境安全•知识子域：通信和操作管理•知识子域：访问控制•知识子域：符合性基本安全管理措施3信息安全的内涵与定义内涵保障企业各类信息资产免于“不可承受的风险”的所有战略、程序与机制考虑所有信息资产的：保密性(Confidentiality)：保证信息只让合法用户访问；完整性(Integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；可用性(Availability)：保证合法用户在需要时可以访问到信息及相关资产。范围：关心的群体（总/分/子公司）、信息系统设备、人员、信息记录、服务完整性保密性可用性风险4为什么要信息安全管理信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。一项令人沮丧的调查结果：虽然90%的系统安装有防病毒软件，但这些系统中依然有85%感染了计算机病毒；虽然89%的系统安装有防火墙，60%的系统安装有入侵检测系统，但这些系统中依然有90%有安全漏洞，40%遭受了外来的入侵。“We'vedeployedfirewalls,virusscanning,andevenintrusiondetection.Yetwearestillgettinghit.Hmmm,maybetechnologyisnotthewholesolution?”人们常说，三分技术，七分管理，可见管理对信息安全的重要性。5信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。6基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。信息安全方针方针为信息安全管理提供导向和支持。控制目标与控制措施的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。7什么是控制措施什么是控制措施管理风险的方法。为达成企业目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：•预防性控制•检查性控制•纠正性控制8控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程中的Echo控制内部审计纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程9信息安全管理控制措施的作用符合控制标准？持续改进调整完善信息安全治理结构风险评估安全规划信息安全管理框架管理措施技术手段信息系统安全审计信息安全管理框架10信息安全实施细则信息安全方针安全组织资产分类和控制人员安全物理和环境安全通信和操作管理访问控制系统获得、开发和维护信息安全事件管理业务连续性管理依从性Part1–提供一套由最佳惯例构成的安全控制，涉及11个方面，包括39个控制目标和133项控制措施，可作为参考文件使用，但并不是认证评审的依据。ISO/IEC27002:200511信息安全实施细则——组织结构每个主要安全类别，包括：一个控制目标，声明要实现什么一个或多个控制措施，可被用于实现该控制目标控制：是对该控制措施的定义实施指南：是对实施该控制措施的指导性说明其它信息：其它需要说明的补充信息不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用。12信息安全实施细则11个方面39个目标133个控制措施13信息安全实施细则ISO/IEC27002:2005前言简介什么是信息安全（信息是一种资产，有多种存在形式，应该通过有效控制加以保护）为什么需要信息安全如何建立安全需求（安全需求的三个来源）评估安全风险（安全需求经过系统地评估安全风险而得到确认）选择控制（安全控制可以从7799或其它有关标准选择，也可以自己设计满足特定要求的控制）信息安全起点（基于法律要求和信息安全最佳实践来选择控制措施）关键的成功因素开发你自己的指南1范围2术语和定义2.1定义3本标准的结构3.1条款3.2主安全目录4风险评估和处理4.1评估安全风险4.2处理安全风险141.安全方针15Why?有没有遇到过这样的事情？案例1有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”案例2据说作为管理人员要把个人计算机的登录口令设置好，怎么设置才符合要求呢？这些问题需要在“安全方针”中寻找答案16具体解释-1信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求，为安全管理工作提供指导和支持信息安全方针应当说明以下问题：本单位信息安全的整体目标、范围以及重要性；信息安全工作的基本原则；风险评估和风险控制措施的架构；需要遵守的法规和制度；信息安全责任分配；信息系统用户和运行维护人员应该遵守的规则17安全方针目标目标：信息安全方针——为信息安全提供与业务需求和法律法规相一致的管理指示及支持评审信息安全方针安全方针应该做到：对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程18具体解释-2策略的种类：规章性策略建议性策略指示性策略可以包括：服从法律和合同要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动19关键点信息安全方针主要阐述信息安全工作的原则，具体的技术实现问题，如设备的选型，系统的安全技术方案一般不写在安全方针中信息安全方针应符合实际情况，切实可行。对策略的落实尤为重要信息安全方针不是一成不变的，要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整20举例——《XX系统信息安全总体策略》安全方针概述XX系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是XX系统的关键资产。信息的可用性、完整性和保密性是信息安全的基本要素，关系到XX机关的形象和业务的持续运行。必须保护这些资产不受威胁侵害。定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任。21举例——《XX系统信息安全总体策略》安全方针概述资产分类和控制信息分类•资产分类：信息资产，包括计算机和网络，应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法，并根据分级和分类办法制定明晰的资产清单。•敏感信息、关键信息资产的可审计性计算机和网络的运行管理222.信息安全组织23Why?有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？应该有一群人，至少包括单位领导、技术部门和行政部门的人组织在一起，专门负责信息安全的事24信息安全组织目标目标：信息安全基础设施——在组织内部管理信息安全外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全包含的内容：与第三方签订的协议中应覆盖所有相关的安全要求建立管理委员会，定义安全管理的角色和责任对软硬件的采购建立授权过程外包合同中的安全需求包括内部组织和外部伙伴25具体解释为有效实施信息安全管理，保障和实施系统的信息安全，在系统内部建立的组织架构。信息安全责任的重要性在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。26具体解释-内部组织内部组织目标：在组织内管理信息安全。8个控制措施：信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审1.企业内部达成共识2.组织的安全建立责任分工划分，不同责任有不同指导原则3.避免流于形式或作假27关键点高层管理者参与（如本单位信息化领导小组），负责重大决策，提供资源并对工作方向、职责分配给出清晰的说明高层管理者就是说了算的，可以给人、给钱、给设备，提出工作要求还给与资源保障的人。28关键点不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合信息安全工作和其他工作一样不是某个个人，某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构，但不是全部。29不同的部门和层次都必须参与进来外部股东董事会策略业务单元风险差距企业管理性能性能关键风险风险控制措施战略发展委员会执行委员会30举例——XX系统领导干部的信息安全责任信息安全领导小组信息安全领导小组是各级系统网络与信息安全工作的最高领导决策机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构。（负责本单位信息安全工作的宏观管理）。各级信息安全领导小组的组长一般由各级系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加。31领导小组责任领导小组责任落实XX系统安全建设的总体规划制定本单位安全规划并监督落实负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度负责本单位信息系统安全管理层以上的人员权限授予工作审阅本单位信息安全报告组织重大安全事故查处与汇报工作信息安全领导小组信息技术部门业务应用部门安全保卫部门人事行政部门其他有关部门32责任划分信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持，在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作，共同对信息系统的建设和运行维护承担管理责任。33信息技术部门岗位及其职责信息技术部门岗位与职责举例信息安全领导小组信息技术部门业务应用部门安全保卫部门人事行政部门其他有关部门34具体解释-外部各方外部各方目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。3个控制措施：与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题访问风险：1.维护软件设备的承包商2.清洁、送餐人员3.外部咨询人员35关键点要注意充分理由外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安