ISO27001信息安全体系简介

ISO27001信息安全体系简介2009年07月董翼枫（dongyifeng78@hotmail.com）ISO27001咨询系列目的审视自我理解信息安全管理标准的要求了解建立信息安全管理体系的基本思路了解信息安全咨询实施流程-1-内容第一部分全球及中国面临的信息安全风险第二部分信息安全概念及标准背景第三部分ISO27001信息安全管理体系标准介绍第四部分咨询实施流程第五部分ISO27001信息安全认证的得失分析-2--3-第一部分全球及中国面临的信息安全风险-4-全球面临的信息安全威胁美国安全事件报告数量1998：37342003：137528英国900家不同企业的调查一半的政府机构及三分之一的民营组织面临信息非法入侵、滥用和破坏100家英国大型企业信息安全专业人员年度调查（2007年）信息盗窃已经取代了恶意软件和黑客攻击成为企业最担心的安全问题中国面临的信息安全威胁中国国内80%网站有安全隐患中国国内20%网站有严重安全问题中国银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%-5-2006年CNCERT/CC年度工作报告网络安全事件大幅增加，影响最为严重的包括：涉及国内政府/重要信息系统部门的网页篡改事件涉及国内外商业机构网络仿冒类事件针对互联网企业的拒绝服务攻击类事件僵尸网络和木马威胁依然非常严重黑客地下产业链基本形成摘自CNCERT/CC2006年年度工作报告CNCERT/CC=国家计算机网络应急技术处理协调中心年度工作报告木马威胁方面中国大陆约4.5万IP地址的主机被植入木马，与2005年相比增长一倍僵尸网络方面抽样测试发现大陆地区约一千多万个IP地址主机被植入僵尸程序，境外约1.6万个IP对我国境内的僵尸主机实时监控网页篡改方面检测到中国大陆被篡改网页达24477个，比2005年增长近一倍，政府网站被篡改频繁摘自CNCERT/CC2006年年度工作报告-7-组织业务对信息安全的依赖-8-组织业务对信息安全的依赖-9-当今组织的信息安全管理状况根据最新一份研究报告指出，组织计算机系统的发展比保护他们的系统要快，很多组织存在以下信息安全问题：组织各级人员的信息安全意识薄弱组织缺乏对网络安全和应急响应有管理经验的人员由于组织的目的是制造收入，所以大部分组织不会花时间构建有效地信息安全管理体系大部分组织几乎没有全职人员对信息安全进行管理-10-企业存在的十五个信息安全问题1网络共享与恶意代码防控2信息化建设超速与安全规范不协调3信息产品国外引进与安全自主控制4IT产品单一性和大规模攻击问题5IT产品类型繁多和安全管理滞后矛盾6IT系统复杂性和漏洞管理7网络攻击突发性和防范响应滞后8口令安全设置和口令易记性难题9远程移动办公和内网安全10内外网络隔离安全和数据交换方便性11业务快速发展与安全建设滞后12网络资源健康应用与管理手段提升13信息系统用户安全意识差和安全整体提高困难14安全岗位设置和安全管理策略实施难题15信息安全成本投入和经济效益回报可见性-11-信息安全管理不当可能造成的后果很多组织几乎没有意识到，由于管理不充分而发生的信息安全事件可能带来以下的后果：财产或生命损失公司倒闭法律责任客户流失损坏公司声誉-12-组织信息安全的紧迫性-13-普华永道最新发布的2008年度全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数据失窃有关，而全球的平均水平只有16%。如今，信息安全问题越来越受企业关注，比如对银行而言，客户数据信息就等同于“货币”；高科技行业的专有技术(配方、软件等)信息如被竞争对手窃取，将遭受致命打击。可以说，信息安全涉及企业财产损失、知识产权保护以及品牌、声誉等。普华永道的调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，而亚洲国家大约为75万美元，印度大约为30.8万美元。此外，42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。国外实例新华社信息北京６月２８日电（记者张文娟）最近美国金融界爆出有史以来最严重的信息安全案件，约４０００万张信用卡资料外泄，对客户直接利益造成损害，信用卡的信息安全问题再度成为焦点。业内人士认为，在防范用户信息等数据泄密问题上，根本的解决办法只有提高相关机构的内控力度。内部制度不健全，内控机构不完善是案件发生的主要原因。相关部门应该通过加强日常管理、进行经常性的风险分析等方法来预防此类案件的发生，从而做到一旦案件发生能够得到及时的控制，减少受害人群，尽量降低案件的破坏性。参见=203-14-国内实例黑屏事件力拓间谍门事件DNS缓存漏洞银行内部员工携款私逃医院病人诊断信息泄露……-15-问题来了我们组织有没有可能出现上述安全问题或事件？（风险评估）如果出现，我们组织有没有应对的措施？（风险缓解和应对）-16--17-第二部分信息安全的概念和标准背景信息安全的概念和标准背景关于信息资产关于信息安全关于信息安全管理标准的发展关于其他相关标准及指南-18-什么是信息？ISO/IECIT安全指南(ISO/IECTR13335)定义：信息是通过在数据上施加某些约定而赋予这些数据特殊的含义。ISO27001标准对信息的解释：任何对组织有价值的东西信息一种资产，和组织其他资产一样，是有价值的，应该得到适当保护信息本身是无形的，借助于媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中存储在人的大脑中通过网络、传真机、打印机进行传播-19-信息的类型计算机及网络中的数据客户提供的各类信息组织经营管理各类资料门户网站提供的信息纸面文件图纸管理规章制度培训记录-20-信息资产对信息的保护应该是信息生命周期的各个阶段，因此，对信息的保护涉及信息及信息生命周期各个阶段的资产：软件计算机人员打印机传真机-21-信息安全的概念和标准背景关于信息机信息资产关于信息安全关于信息安全管理标准的发展关于其他相关标准及指南-22-什么是信息安全？对于一个门户网站而言，其信息安全的核心是：网站信息能够准确和及时的发布保证网站随时随地可访问网站发布的所有新闻必须是合法的-23-什么是信息安全？对于网上银行而言，其信息安全的核心是：客户信息资料的保密性得到充分保证客户信息资料不出现任何错误网上电子商务随时可获取-24-什么是信息安全？对于一个提供IDC服务的组织而言，其信息安全的核心是：网络通信持续可用数据中心场地安全可靠避免客户财产因保管不当而遭受损坏-25-什么是信息安全？-26-三者必须达到一个平衡-27-其他信息安全元素还有其他信息安全元素来细化、补充CIA要素，如：可追溯性（Accountability）抗抵赖性（Non-repudiation）真实性（Authenticity）-28-与CIA相反的三元素（DAD）泄露（Disclosure）篡改（Alteration）破坏（Destruction）信息安全面临的最普遍的风险-29-信息安全的概念和标准背景关于信息机信息资产关于信息安全关于信息安全管理标准的发展关于其他相关标准及指南-30-ISO27001/ISO7799的发展1995/2---BS7799:第一部分信息安全管理实施细则1998/2---BS7799:第二部分信息安全管理体系规范1999/4---BS7799:第一部分/第二部分2000/12---ISO/IEC17799:第一部分信息安全管理实施细则2002/9---BS7799:第二部分信息安全管理体系规范2005/6---ISO1799:2005:信息技术安全技术信息安全管理实施细则2005/11---ISO27001:2005:信息技术安全技术信息安全管理体系要求规范-31-信息安全管理体系标准-32-ISO27000系列标准介绍ISO/IEC27000---标准介绍及术语ISO/IEC27001---信息安全管理体系要求ISO/IEC27002---信息安全管理实施细则ISO/IEC27003---信息安全管理体系实施指南ISO/IEC27004---信息安全管理测量方法ISO/IEC27005---信息安全管理体系风险评估ISO/IEC27006---认证机构认可要求-33-信息安全的概念和标准背景关于信息机信息资产关于信息安全关于信息安全管理标准的发展关于其他相关标准及指南-34-其他标准ISO/IEC13335TRCC---CommonCriteriaISO/IEC15408标准计算机信息系统安全保护条例----1994信息系统安全等级保护实施指南-35--36-第三部分ISO27001信息安全管理体系标准介绍ISO27001标准内容构成-37-ISO27001过程方法（PDCA模型）-38-相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act所谓过程方法-39-PDCA模型要求-40-信息安全管理控制措施(可裁剪)11个方面133项信息安全控制措施ISO/IEC27001附录A信息安全控制措施域控制目标控制措施A5安全方针12A6信息安全组织211A7资产管理25A8人力资源安全39A9物理和环境安全213A10通信和操作管理1032A11访问控制725A12信息系统获取、开发和维护616A13信息安全事件管理25A14业务连续性管理15A15符合性310合计39133-41--42-第四部分咨询实施流程准备和启动识别信息安全要求，进行差距分析制订项目工作计划，明确项目时间表ISMS培训，包括全员意识培训、标准要求培训、风险评估培训-43-规划（建立）制订信息安全方针和范围编制风险评估程序文件执行风险评估编制风险处理计划编制SOA（适用声明）文件编制ISO/IEC27001中4.3.1要求的其他相关ISMS文件ISO/IEC27001涉及的信息安全技术控制措施的方案设计、评审（可选）企业提出的特定的信息安全技术控制措施的方案设计、评审（可选）-44-实施（实施和运行）批准ISMS文件并颁布实施对ISMS文件开展宣传贯彻和培训确保承担信息安全职责的员工按照ISMS文件要求执行-45-检查（监视和评审）编制控制措施有效性测量程序实施检查和测量内审员培训和执行内部审核执行管理评审-46-改进（持续改进）采取预防措施采取纠正措施采取措施，持续改进ISMS-47-正式评估评估通过，最终发证总的实施时间4-6个月-48--49-第五部分ISO27001信息安全认证的得失分析失前期需要投入一定的人力、物力、财力存在一定的工作量，尤其是信息安全管理人员或组织网管人员原有的管理规范可能需要作调整引入信息安全体系后，组织需要有一个适应过程-50-得保护企业的知识产权、商标、竞争优势维护企业的声誉、品牌和客户信任减少可能潜在的风险隐患减少信息系统故障、人员流失带来的经济损失对员工进行了一次信息安全培训，强化员工的信息安全意识建立科学的信息安全管理体系，规范组织信息安全行为在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度获得政府奖励-51--52-ENDThankyou！