CISM0201信息安全管理

信息安全管理中国信息安全测评中心课程内容2信息安全管理信息安全管理基础信息安全管理方法知识体：信息安全管理基础知识域：信息安全管理基本概念了解信息安全管理的概念和内涵掌握信息安全管理的对象理解技管并重的原则，信息安全管理和信息安全技术相互配合一起保障信息系统安全3管理与信息安全管理管理指挥和控制组织的协调的活动。（--ISO9000:2005质量管理体系基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动4规则项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织人员·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。5信息安全管理6信息安全管理的对象：包括人员在内的各类信息相关资产。规则人员目标项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织信息安全管理的需求7如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？8防火墙内网主机服务器Web服务器Internet防火墙精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求9信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求应对风险需要人为的管理过程信息安全事件不断增加病毒、木马事件挂马网站、钓鱼网站拒绝服务攻击等系统漏洞呈快速增长趋势操作系统漏洞应用软件漏洞信息安全管理的紧迫性10电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化的后腿。这是发展的需要，是大势所趋。信息安全管理的紧迫性11信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。对于信息安全，到底是技术更重要，还是管理更重要？技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则12技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用13实施信息安全管理的关键成功因素(CSF)安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育建立有效的信息安全事件管理流程建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进14知识体：信息安全管理基础知识域：我国信息安全管理体制了解我国信息安全管理格局了解国家信息安全管理职能的有关机构和部门15信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。16我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理局等等17我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等18知识体：信息安全管理方法知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险处置的作用19安全风险要素安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……21安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问……自然灾害如：地震、火灾22安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当……23安全风险的基本概念24控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：•预防性控制•检查性控制•纠正性控制控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程中的Echo控制内部审计纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程25安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于26什么是风险管理GB/Z24364《信息安全风险管理规范》定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。28为什么要做风险管理成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程29风险管理是信息安全保障工作有效工作方式风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。30风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施的集合。31风险管理是信息安全管理的根本方法32周期性的风险评估与风险处置活动即形成对风险的动态管理。动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。知识体：信息安全管理方法知识域：信息安全管理体系理解什么是ISMS了解ISO/IEC27000标准族，包括其发展历史和主要标准了解ISMS的主要特点，了解ISMS的核心是PDCA描述的过程理解PDCA的特点和含义33管理体系相关概念34体系相互关联和相互作用的一组要素。（--ISO9000:2005质量管理体系基础和术语）管理体系：建立方针和目标并达到目标的体系。（--ISO9000:2005质量管理体系基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。（--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）管理体系35ISO9000质量管理体系ISO14000环境管理体系OHSAS职业健康安全管理体系ISO/IEC27000信息安全管理体系ISO/IEC20000服务管理体系ISO22000食品安全管理体系管理体系ManagementSystem信息安全管理体系36什么是信息安全管理体系（ISMS）信息安全管理体系ISMSISO/IEC27001信息安全管理体系37什么是信息安全管理体系（ISMS）数据安全网络安全系统安全设备安全物理安全人员安全应急响应。。。管理体系方法管理体系要求认证机构和认证审核和审核员国际互认。。。InformationSecurityManagementSystem-ISMS信息安全管理体系;基于ISO/IEC27000系列国际标准族;是综合信息安全管理和技术手段，保障组织信息安全的一种方法；ISMS是管理体系（MS）家族的一个成员。信息安全管理体系ISMS信息安全管理体系38什么是信息安全管理体系（InformationSecurityManagementSystem,ISMS）基于国际标准ISO/IEC27001《信息安全管理体系要求》，是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。1995年2月——首次出版BS7799-1:1995《信息安全管理实用规则》。1998年2月——英国公布BS7799-2:《信息安全管理体系要求》。1999年4月——BS7799-1与BS7799-2修订后重新发布。2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799:2000《信息安全管理实用规则》。2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用。2005年6月——ISO17799:2000改版，成为ISO17799:2005。2005年10月——ISO正式采用BS7799-2:2002，命