国家信息安全测评中心CISP培训201012

国家信息安全测评中心CISP培训主讲：樊山QQ：86485660MSN：fanshan@live.cn电话：1348067311915918780740E_Mail：fanfox7405@163.com信息安全管理体系概述安全管理基础：概念、ISMS要求、管理措施概述基本安全管理措施：策略、组织和人员重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性知识体系介绍知识体系介绍安全管理体系信息安全管理基础基本安全管理措施重要安全管理措施信息安全管理概念信息安全管理体系要求信息安全管理措施安全策略安全组织体系人员安全资产管理通信和操作管理访问控制符合性知识体知识域知识子域学习目标掌握信息安全管理的基本概念认识和了解ISO27001和ISO27002标准初步掌握建立信息安全管理体系的基本要求较深入的了解策略、组织和人员等基本安全管理措施的概念和实施方法较深入的了解资产管理、通信和操作管理、访问控制和符合性等重要安全管理措施的概念和实施方法信息安全管理基础信息安全管理概念信息安全管理体系要求信息安全管理措施信息安全管理概念什么是信息信息是一种资产，像其他重要的企业资产，在组织中是具有价值的，因此需要适当地加以保护。“信息可以以多种形式存在。它可以打印或写在纸上，以电子方式储存，传送，邮寄或利用电子手段，对视频，或在谈话中讲所示。ISO17799强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等信息安全管理概念管理的定义ISO9000:2000质量管理体系基础和术语管理management：指挥和控制组织的协调的活动管理学管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。信息安全管理概念什么是信息安全管理？组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动信息安全管理概念什么是管理体系？（ManagementSystem-MS）管理体系的定义ISO9000:2000质量管理体系基础和术语ISOGUIDE72:2001管理体系标准合理性和制定导则管理系统标准的合理性和开展的方针体系system：相互关联和相互作用的一组要素管理体系managementsystem：建立方针和目标并实现这些目标的体系信息安全管理概念信息安全管理概念目前成熟的管理体系环境管理体系EMSISO/IEC14000质量管理体系QMSISO/IEC9000，9001，9004等职业健康安全管理体系OHMSAS18000信息安全管理体系ISMSISO/IEC17799，ISO/IEC27001等信息安全管理概念管理体系的持续改进要求要求被满足管理职责分析改进产品实现资源管理输入输出管理体系方法图解小结“管”和“理”体现了管理的两个不同范畴，即行政管理与业务管理，前者侧重“权力”，后者关注业务，两者管理的对象、管理的主体和管理的方法应该不同；我们今天讨论的是业务管理。“信息安全管理体系（ISMS）”已经成为一个专有名词，它的推广和应用渐渐成为信息安全产业中又一项新的业务领域。信息安全管理体系是组织整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。信息安全管理体系要求：性质和目的27001:2005的名称Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements信息技术-安全技术-信息安全管理体系-要求27001:2005的目标provideamodelforestablishing,implementing,operating,monitoring,reviewing,maintaining,andimprovinganInformationSecurityManagementSystem提供建立、实施、运行、监测、评审、保持和改进信息安全管理体系的模型信息安全管理体系要求：性质和目的27001:2005的性质提供模型帮助组织为ISMS设计、选择和应用适当的安全控制措施，以充分保护信息资产并给予相关方信心。TypeA：managementsysytemrequeirementsstandard要求标准旨在为市场提供关于各组织管理体系要求的规范，以证实组织符合内部和外部要求的能力。TypeB：managementsysytemguidelinesstandard指南标准旨在通过提供一个针对管理体系要求标准中各要素的附加指南，或与管理体系要求标准非等效的单独的指南，以帮助组织实施和/或增强其管理体系。TypeC：managementsysytemrelatedstandard相关标准作为管理体系标准的补充，旨在就管理体系中特定部分提供详细的信息、或对有关支持性技术提供指南。信息安全管理体系要求：过程方法过程方法过程process一组将输入转化为输出的相互关联或相互作用的活动。过程方法processapproach一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。（系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为过程方法。－ISO9000:2000）信息安全管理体系要求：过程方法PDCA:持续改进的优秀方法信息安全管理体系要求：过程方法又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P：规划D：实施C：检查A：处置信息安全管理体系要求：过程方法PDCA特点1、按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。2、组织中的每个部分，甚至个人，均可以循环，大环套小环，一层一层地解决问题。3、每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。信息安全管理体系要求：核心内容27001:2005的核心内容建立ISMS实施和运作ISMS维护和改进ISMS计划PLAN实施DO改造ACTION监控和评审ISMS检查CHECK开发、维护和改进循坏相关单位管理状态下的信息安全相关单位信息安全需求和期望信息安全管理体系要求：核心内容PDCA各阶段内容对应标准条款P-规划建立建立与管理风险和改进信息安全有关的方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35.1D-实施实施和运行实施和运行方针、控制措施、过程和程序。4.2.25.2C-检查监视和评审对照方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进基于内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进。4.2.48信息安全管理体系要求：核心内容27001的核心内容可以概括为4句话规定你应该做什么并形成文件：P做文件已规定的事情：D评审你所做的事情的符合性：C采取纠正和预防措施，持续改进：A信息安全管理体系要求：建立ISMS明确ISMS范围根据组织的业务特征、组织结构、地址位置、资产、技术等各方面因素确定ISMS的范围制定ISMS策略作为信息安全策略的一部分定义风险评估方法进行风险评估设计和选择风险处置措施编制ISMS文件进行管理者承诺信息安全管理体系要求：建立ISMSISMS文件的作用是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。是组织实际工作的标准。ISMS文件是根据ISMS标准和组织需要“量身定做”的实际工作的标准。对一般员工来说，在其实际工作中，可以不过问ISMS标准(ISO/IEC27001:2005)，但必须按照ISMS文件的要求执行工作。是控制措施（controls）的重要部分。提供客观证据--为满足相关方要求，以及持续改进提供依据。提供适宜的内部培训的依据。提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核。信息安全管理体系要求：建立ISMSISMS文件的内容序号文件名称标准条款说明1ISMS策略和目标4.3.1a)可合并，一般是《信息安全策略》。2ISMS范围4.3.1b)3风险评估方法的描述4.3.1d)可编制《风险评估程序》，其运行结果产生《风险评估报告》。4风险评估报告4.3.1e)5风险处理计划4.3.1f)可编制《风险处理程序》，其运行结果产生《风险处理计划》。6文件控制程序4.3.27记录控制程序4.3.38内部审核程序69纠正措施程序8.2通常合并在一起，称为《纠正和预防措施程序》。10预防措施程序8.311适用声明4.3.1i)12管理评审程序7.1在标准中，并没有称为“管理评审程序”，但作为管理体系，一般都要有。信息安全管理体系要求：建立ISMS文件控制批准评审、更新并再批准；修订状态得到标识；在使用处可获得适用文件；清晰、易于识别；对需要的人员可用，传输、贮存和最终销毁；外来文件标识；分发控制；防止作废文件的非预期使用；作废文件的标识。信息安全管理体系要求：建立ISMS4.3.3记录控制建立并保持，以提供证据。保护和控制。应考虑相关法律法规要求和合同义务。清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。记录的详略程度应通过管理过程确定。应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。信息安全管理体系要求：建立ISMS管理承诺制定ISMS策略；确保ISMS目标和计划得以制定；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全策略、履行法律责任和持续改进的重要性；提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；决定接受风险的准则和风险的可接受级别；确保ISMS内部审核的执行（见第6章）；实施ISMS的管理评审（见第7章）。信息安全管理体系要求：实施和运行ISMSD：实施和运行ISMS之4.2.2制定风险处理计划（见第5章）。实施风险处理计划。实施所选择的控制措施。测量所选择的控制措施或控制措施集的有效性（见4.2.3c)）。实施培训和意识教育计划（见5.2.2）。管理ISMS的运行。管理ISMS的资源（见5.2）。事件和事故响应（见4.2.3a））信息安全管理体系要求：实施和运行ISMS资源管理资源提供应确定并提供信息安全工作所需的资源－人、财、物培训、意识和能力确保所有分配有ISMS职责的人员具有执行所要求任务的能力确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。信息安全管理体系要求：监视和评审ISMSC：监视和评审ISMS之工作内容执行监视和评审程序和其它控制措施。ISMS有效性的定期评审。测量控制措施的有效性以验证安全要求是否被满足。按照计划的时间间隔进行风险评估的评审。按计划的时间间隔，对ISMS进行内部审核（见第6章）。定期对ISMS进行管理评审。考虑监视和评审活动的结果，以更新安全计划。记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。信息安全管理体系要求：监视和评审ISMSC：监视和评审ISMS之6内部ISMS审核术语介绍审核audit为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。内部审核internalaudit有时称为第一方审核，用于内部目的的，由组织自己或以组织名义进行，可作为组织自我合格声明的基础。审核员aditor有能力实施审核的人员。审核方案auditprogramme针对特定时间段所策划，并具有特定目的的一组(