您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > CISM0301信息安全管理基础
信息安全管理基础中国信息安全测评中心201408191课程内容2信息安全管理基础信息安全管理概念信息安全等级保护信息安全风险管理信息安全应急响应信息安全灾难恢复知识体:信息安全管理基础知识域:信息安全管理概念了解信息安全管理的概念和内涵理解信息安全管理和信息安全技术的关系33信息安全事件分析统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要44信息安全管理的需求5如果你把钥匙落在锁眼上会怎样?技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗?56防火墙内网主机服务器Web服务器Internet防火墙精心设计的网络防御体系,因违规外连形同虚设防火墙能解决这样的问题吗?信息安全管理的需求6管理与信息安全管理管理管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动信息安全管理组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动7规则项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织人员·信息输入·立法·摘要变化?关键活动测量拥有者资源记录标准输入输出生产经营过程7目标信息安全“技管并重”的原则信息安全的成败取决于两个因素:技术和管理安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂信息安全管理是预防、阻止或减少信息安全事件发生的重要保障对于信息安全,到底是技术更重要,还是管理更重要?“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则8技术和产品是基础,管理才是关键。产品和技术,要通过管理的组织职能才能发挥最佳作用适宜的、易于理解、方便操作的安全策略对信息安全至关重要安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但要让安全技术发挥应有的作用,必然要有适当管理程序的支持,否则,安全技术只能趋于僵化和失败根本上说,信息安全是个管理过程,而不是技术过程信息安全管理的作用9实施信息安全管理的关键成功因素制定符合业务目标的信息安全策略。安全策略、目标和活动应该反映业务目标实施符合单位文化的信息安全方案确保管理层的实质支持和承诺理解信息安全要求和风险管理概念加强信息安全管理作用和意义的宣传提供信息安全培训和教育制定信息安全事件管理过程建立信息安全测量体系,评估信息安全管理体系的表现,提供反馈建议供改进10知识体:信息安全管理基础知识域:信息安全风险管理理解信息安全风险的含义,理解威胁、脆弱性、影响和风险等要素含义及相互关系掌握信息安全风险管理的主要内容和流程理解风险评估的作用、工作形式和评估方法1111信息安全工作中的风险管理常见问题问题根源浅析安全投资逐年增加,但看不到收益没有根据风险优先级做安全投资规划,没有抓住主要矛盾,导致有限资金的有效利用率低按照国家要求或行业要求开展信息安全工作,但安全事件仍出现没有根据企业自身安全需求部署安全控制措施,没有突出控制高风险。IT安全需求很多,有限的资金应优先拨向哪个领域决策者没有看到安全投资收益报告,资金划拨无参考依据。当了CIO,时刻担心系统出事,无法预见可能会出什么事没有残余风险清单,在什么条件可被触发,如何做好控制12好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平什么是信息安全风险信息安全风险就是指在信息系统中,信息安全事件的概率及其结果的组合《信息安全风险管理指南》(GB/Z24364-2009)信息安全风险是指“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”13资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于安全风险的基本概念——资产资产资产是任何对组织有价值的东西信息也是一种资产,对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……14安全风险的基本概念——威胁威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问……自然灾害如:地震、火灾15安全风险的基本概念——脆弱性脆弱性是与信息资产有关的弱点或安全隐患脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当……16安全风险要素之间的相互关系17所有者脆弱性控制措施威胁主体威胁资产风险使命希望完成价值希望最小化利用可能被减少减少施加于可能意识到引起滥用或破坏阻碍或破坏利用增加到导致到到为什么要做风险管理定义信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程目的成本与效益平衡•好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平工作条理化•好的风险管理过程可以使机构用一致的、条理清晰的方式来组织有限的资源,更好地管理风险18信息安全风险管理的内容四个阶段,两个贯穿。19背景建立风险评估风险处理批准监督沟通咨询监控审查信息安全风险管理的内容第一步:背景建立即根据要保护系统的业务目标和特性,确定风险管理的范围和对象,明确对象的特性及安全需求第二步:风险评估分析风险和影响、评估风险等级风险评估是信息安全管理的基础第三步:风险处理依据风险评估的结果,选择和实施合适的安全措施第四步:批准监督对风险评估和风险处理的结果的批准和持续监督20风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动风险分析准备:制定风险评估方案、选择评估方法风险要素识别:发现系统存在的威胁、脆弱性和控制措施风险分析:判断风险发生的可能性和影响的程度风险结果判定:综合分析结果判定风险等级21风险处理过程风险处理批准监督处理措施选择现存风险判断处理目标确立确定可接受风险等级判断现存风险是否可接受明确风险处理需求确立风险处理目标选择风险处理方式确定风险处理措施制定风险处理实施计划实施风险处理措施沟通咨询监控审查处理措施实施风险评估接受否是22规避风险转移风险降低风险接受风险常用的四类风险处置方法23规避风险通过改变原有计划来消除风险或风险发生的条件,保护目标免受风险的影响在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击。通常在风险的损失无法接受,又难以通过控制措施减低风险的情况下24转移风险通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险通常只有当风险不能被降低或避免、且被被转嫁方接受时才被采用25转移风险的具体做法在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系外包给满足安全保障要求的第三方机构,从而避免技术风险通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失26购买保险服务外包降低风险通过采取保护措施来降低风险通常在安全投入小于负面影响价值的情况下采用保护措施减少威胁源•遏制打击威胁来源减低威胁能力•部署身份认证措施减少脆弱性•及时给系统打补丁、关闭无用的网络服务端口防护资产•设置各种防护措施,保护资产不受侵犯降低负面影响•采取容灾备份、应急响应等措施27接受风险接受风险是选择对风险不采取进一步的处理措施,接受风险可能带来的结果接受风险意味着经过成本效益评估,允许相关风险存在,并接受可能带来的损失接受风险不意味着不闻不问,需要对风险态势变化进行持续的监控,一旦发展为无法接受的风险就要进一步采取措施28批准监督和监控审查批准监督批准:决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定监督:监督检查信息系统以及信息安全相关的环境有无变化,是否有可能引入新风险监控审查监视和控制风险管理过程,及时发现变化和偏差,以保证上述四个步骤的过程有效性跟踪受保护系统自身或所处环境的变化,以保证上述四个步骤结果的有效性29沟通咨询通过畅通的交流和充分的沟通,保持行动的协调和一致通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能风险管理•与领导沟通,以得到理解和批准。•单位内部各有关部门相互沟通,以得到理解和协作。•与支持单位和系统用户沟通,以得到了解和支持。•为所有层面的相关人员提供咨询和培训等,以提高人员的安全意识、知识和技能30信息安全风险评估工作风险评估重要性风险评估是信息安全管理机制建立的基础信息安全需求获取的主要手段就是风险评估风险评估工作形式自评估、检查评估风险评估应以自评估为主,同时可以和检查评估相互结合、互为补充自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持31风险评估的工作形式—自评估自评估信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估优点有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用缺点可能缺乏专业技能,结果不够深入准确可能受内部因素影响,结果客观性易受影响32风险评估的工作形式—检查评估检查评估上级管理部门组织的或国家有关职能部门依法开展的风险评估优点:具权威性通过行政手段加强信息安全的重要措施缺点:安全保密管理工作难度较大实际中常常间隔和抽样进行,难于贯穿信息系统的生命周期33风险评估方法34方法优点缺点定量直观的数据来表述评估的结果,看起来比较客观研究结果更科学,更严密随着组织建立数据的历史记录并获得经验,其精确度将随时间的推移而提高难以确定准确的方法来有效计算资产和控制措施的价值取得风险一致意见的过程非常耗时。计算可能会非常复杂且耗时。风险结果以财务术语表达,对非技术性人员而言可能难以解释。评估成本较大定性无需精确量化资产价值大小和风险大小便于让非信息安全人员参与和达成一致意见,节约评估过程时长更便于不是安全或计算机专家的人员参与重要风险之间没有显著区别评估结果取决于风险管理小组人员的主观判断对评估者的能力和经验要求较高半定量在评估过程中综合使用定性和定量的风险评估技术可以综合定性和定量风险评估的优点,根据实际情况进行高效实施提供成本效益最佳的风险评估结果风险评估过程35风险评估准备36风险要素识别37需要保护的资产清单面临的威胁列表存在的脆弱性列表识别需要保护的资产并赋值识别面临的威胁并赋值识别存在的脆弱性并赋值漏洞库威胁库信息系统的安全要求报告信息系统的描述报告信息系统的分析报告已有安全措施列表确认已有的安全措施风险分析38风险分析参考GB/T20984-2007《信息安全风险评估规范》39威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件造成的损失风险值威胁识别脆弱性识别资产识别风险结果判定对风险分析结果进行评价,给出相应的等级划分40评估风险的等级综合评估风险状况风险计算报告风险综合评价系统风险程度等级列表风险评估报告知识体:信息安全管理基础知识域:信息安全等级保护掌握等级保护的定级要素及级别划分准则了解等级保护的工作流程理解等级保护有关的重要国家政策和标准理解等级保护的管理要求主要内容4
本文标题:CISM0301信息安全管理基础
链接地址:https://www.777doc.com/doc-694311 .html