信息安全新版标准培训-0810

信息安全新版标准培训2015.11目录•信息安全重要性•信息安全管理体系标准（ISO27001:2013）•信息安全管理体系内审及管理评审信息技术的便利性与安全威胁业务人员客户A客户B互联网Internet信息系统业务人员客户A客户B互联网信息技术的便利性与安全威胁业务人员客户A客户B互联网Internet信息系统业务人员客户A客户B互联网信息安全的概念保密性(Confidentiality)信息不能被未授权的个人，实体或者过程利用或知悉的特性。完整性(Integrity)保护资产的准确和完整的特性。可用性(Availability)根据授权实体的要求可访问和利用的特性。信息安全CIA2015年《全球信息安全现状调研报告》2014年被侦测到的安全事件数量高达4280万件，比2013年增长48%。安全事件给企业带来的财务损失也急速飙升，2014年比2013年增长34%。报告中指出，今天的企业面临持续增长的安全威胁，企业需要考虑通过基于风险评估的方式提升安全防卫水平，对最重要的资产进行优先级排序，并主动应对最直接的安全威胁。信息安全现状特征网络风险成为主要的商业风险事件和经济影响彪升员工成为最引人注目的事件肇事者事件增加，安全投入却减少基础安全措施较少采取安全举措取得的成绩从安全管理到网络风险管理的升级信息安全事件的影响信息系统遭受破坏无法运行、业务中断泄露机密信息而产生社会影响经济或资金/资产损失组织的信誉受损丧失商业机会降低业务伙伴对组织的信任度2015年度信息安全事件知名连锁酒店桔子、锦江之星、速八、布丁等网站存在高危漏洞——房客开房信息泄露，一览无余，括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。2015年度信息安全事件•江苏省公安厅发布《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》称，主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，并要求各地立即进行全面清查，开展安全加固，消除安全隐患。•二十五条国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。“十二五”期间2014年2月27日，中央网络安全和信息化领导小组成立。中央网络安全和信息化建设领导小组的成立是以规格高、力度大、立意远来统筹指导中国迈向网络强国的发展战略，在中央层面设立一个更强有力、更有权威性的机构。体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展的决心。这是中共落实十八届三中全会精神的又一重大举措，是中国网络安全和信息化国家战略迈出的重要一步，标志着这个拥有6亿网民的网络大国加速向网络强国挺进。第十三章全面提高信息化水平第三节加强网络与信息安全保障健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广，加强信息网络监测、管控能力建设，确保基础信息网络和重点信息系统安全。推进信息安全保密基础设施建设，构建信息安全保密防护体系。加强互联网管理，确保国家网络与信息安全。“十二五”期间中华人民共和国网络安全法（草案）目录第一章总则第二章网络安全战略、规划与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则保障信息安全的途径？亡羊补牢?还是打打补丁?系统地全面整改?17信息安全管理体系（ISMS）信息安全追求的目标确保业务连续性业务风险最小化保护信息免受各种威胁的损害投资回报和商业机遇最大化信息安全管理体系（ISMS）国际标准化组织（ISO）于2013年10月1日发布了ISO/IEC27001:2013《Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems--Requirements》，该标准代替了ISO/IEC27001:2005。我国采用GB/T22080-2008《信息技术安全技术信息安全管理体系要求（等同采用ISO/IEC27001:2005）信息安全管理体系的架构三级文件二级文件一级文件信息安全手册安全方针策略文件适用性声明（SOA）过程/规程/制度文件作业指导书、检查单、表格方针目标机构职责风险评估描述工作流程Who,What,When,Where描述任务、活动是如何完成的20信息安全管理体系的特点–重点关注，全面布防基于对关键资产的风险评估，确定保护重点；通过对114项控制的选择和落实，实现对信息安全的全面保障–通过PDCA的持续循环，确保管理体系适应内外环境的变化•正文•规范性附录A标准内容构成标准正文部分构成PlanDoCheckAct4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定ISMS范围4.4信息安全管理体系5.领导5.1领导和承诺5.2方针5.3组织的角色，责任和权限6.规划6.1应对风险和机会的措施6.2信息安全目的及其实现规划7.支持7.1资源7.2能力7.3意识7.4沟通7.5文件化信息8.运行8.1运行规划和控制8.2信息安全风险评估8.3信息安全风险处置9.绩效评价9.1监视、测量、分析和评价9.2内部审核9.3管理评审10.改进10.1不符合及纠正措施10.2持续改进规范性附录表A.1控制目的和控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码A.11物理和环境安全A.12运行安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事件管理A.17业务连续性管理的信息安全方面A.18符合性高层管理者要做什么？5.1领导和承诺•确保建立了信息安全策略和信息安全目的，并与组织战略方向一致；•确保将信息安全管理体系要求整合到组织过程中；•确保信息安全管理体系所需资源可用；•沟通有效的信息安全管理及符合信息安全管理体系要求的重要性；•确保信息安全管理体系达到预期结果；•指导并支持相关人员为信息安全管理体系的有效性做出贡献；•促进持续改进；•支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。高层管理者要做什么？5.2方针•最高管理层应建立信息安全方针5.3组织的角色，责任和权限•最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。9.3管理评审•最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。6.1.3信息安全风险处置•获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。高层管理者要做什么？•制定信息安全方针、目的，并批准发布；•批准信息安全管理体系文件；•明确信息安全管理体系组织构架及职责；•保障信息安全体系运行所需的人员、技术、资金等资源；•表达领导层对信息安全重要性的关注；•了解信息安全管理运行情况（日常检查结果和内外审结果）；•参与管理评审，提出信息安全改进的方向；•批准风险处置计划中层管理者要做什么？•了解自己的信息安全管理职责；•编制自己职责内的信息安全管理体系文件；•按文件要求进行信息安全管理活动（资产识别、风险评价、内审、管理评审、不符合纠正等）；•检查安全措施的实施效果员工要做什么？•应了解信息安全方针；•其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；•不符合信息安全管理体系要求带来的影响。（7.3意识）•管理使用职责内的资产•执行安全措施要求信息安全管理体系相关知识风险相关定义风险原则风险管理模型风险处置流程资产识别及风险评估信息安全管理体系活动风险级别残余风险风险风险接受风险接受标准风险分析风险评估风险沟通与协商风险标准风险评价风险识别风险管理风险管理流程风险处理流程信息安全管理体系活动风险是指不确定性对于目标的影响风险评估是指风险识别、风险分析以及风险评价的整个过程风险处置是指修正风险的过程控制是指修正风险的措施（如方针、程序、流程、技术或其它修正风险的行动)残余风险是指经过风险处理后仍剩余的风险信息安全管理体系活动风险原则•ISMS风险管理应创造及保护组织价值、业务投资及业务机会•ISMS风险管理应是所有组织流程中不可或缺的一部分•ISMS风险管理应构成决策的一部分•ISMS风险管理应是系统化、结构化和及时化•ISMS风险管理应基于所能得到的最准确信息基础之上信息安全管理体系活动风险原则•ISMS风险管理应根据组织环境、业务性质以及利益相关方的需求及期望进行定制。•ISMS风险管理应考虑人文因素•ISMS风险管理应是透明、包容的•ISMS风险管理应具有动态性及可重复性，并可根据风险变化及时响应•ISMS风险管理应促进组织的持续改进风险管理风险评估风险分析语境建立风险识别风险估算风险评价风险接受否是风险决策点1评估是否满意否是风险决策点2处置是否满意风险监视与评审风险处置风险沟通第一次或后续迭代的终点资产识别主要资产：•业务过程和活动；•信息。各种类型的支撑性资产（范围内的主要要素所依赖的）：•硬件；•软件；•网络；•人员；•场所；•组织结构。资产清单硬件数据处理设备（主动的）自动信息处理设备，包括独立运行所需的项目。可移动设备便携式计算机设备。笔记本电脑、平板、手机固定设备组织场所内所用的计算机设备。服务器、作为工作站使用的微机外围处理设备为输入、传送或传输数据，通过通信端口（串行、并行链接等）连接到计算机的设备。打印机、可移动硬盘驱动器数据介质（被动的）存储数据或功能的介质。电子介质可连接到计算机或计算机网络用于数据存储的信息介质。尽管体积小巧，这些介质可能含有大量的数据。它们可与标准的计算设备一起使用。软盘、CDROM、备份磁带、可移动硬盘、存储钥匙、磁带。其他介质含有数据的静态的、非电子的介质。纸张、幻灯片，胶片，文件，传真。资产脆弱性类型脆弱性示例威胁示例硬件存储介质的维护不足/错误安装信息系统可维护性破坏定期更换计划的缺乏设备或介质毁坏对潮湿、灰尘、污染的敏感性灰尘、腐蚀、冻结对电磁辐射的敏感性电磁辐射有效配置变更控制的缺乏使用中的错误对电压变化的敏感性电力供应失去对温度变化的敏感性气候现象未保护的存储器介质或文件偷窃废物谨慎处置的缺乏介质或文件偷窃未控制的复制介质或文件偷窃资产威胁类型威胁来源物理损害火灾A、D、E水灾A、D、E污染A、D、E重大事故A、D、E设备或介质毁坏A、D、E灰尘、腐蚀、冻结A、D、E自然灾害气候现象E地震现象E火山现象E气象现象E洪水E基本服务丧失空调或供水系统故障A、D电力供应失去A、D、E电信设备故障A、D风险值计算示例威胁发生的可能性低中高脆弱性利用的容易度低中高低中高低中高资产价值00121232341123234345223434545633454565674456567678风险处置风险处置风险降低评估是否满意风险决策点1风险处置风险评估结果风险保留风险规避风险转移处置是否满意风险决策点2风险评估结果控制举例：A.18符合性A.18.1符合法律和合同要求目的：避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。控制A.18.1.1适用的法律和合同要求的识别对每一个信息系统和组织而言，所有相关的法律、法规、规章和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。A.18.1.2知识产权应实现适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。A.18.1.3记录的保护应根据法律、法规、规章、合同和业务要