您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > CISP0301信息安全管理基础与管理体系_v30
信息安全管理基础与管理体系培训机构名称讲师姓名版本:3.0发布日期:2014-12-1生效日期:2015-1-1课程内容2信息安全管理基础知识体知识域信息安全管理方法与实施知识子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理实施信息安全管理概述知识域:信息安全管理概述知识子域:信息安全管理基本概念理解管理、信息安全管理的概念,理解信息安全管理的对象理解以建立体系的方式实施信息安全管理的必要性理解体系、管理体系、信息安全管理体系的概念3信息安全管理的定义信息信息安全管理信息安全管理4管理、信息安全管理管理指挥和控制组织的协调的活动。(--ISO9000:2005质量管理体系基础和术语)管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。信息安全管理管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。5信息安全管理的对象6信息安全管理的对象:包括人员在内的各类信息相关资产。规则人员目标项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织以建立体系的方式实施信息安全管理的必要性7信息安全的攻击和防护严重不对称,相对来说攻击成功很容易,防护成功却极为困难信息安全水平的高低遵循木桶原理:信息安全水平有多高,取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施信息安全管理体系的定义体系管理体系信息安全管理体系8信息安全管理体系的定义体系:相互关联和相互作用的一组要素。(--ISO9000:2005质量管理体系基础和术语)管理体系:建立方针和目标并达到目标的体系。(--ISO9000:2005质量管理体系基础和术语)为达到组织目标的策略、程序、指南和相关资源的框架。(--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语)信息安全管理体系(ISMS:InformationSecurityManagementSystem):整体管理体系的一部分,基于业务风险的方法,来建立、实施、运作、监视、评审、保持和改进信息安全。(--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语)建立信息安全方针和目标并达到这些目标的体系。为达到组织信息安全目标的策略、程序、指南和相关资源的框架。910信息安全管理体系,包括的要素有:信息安全组织架构信息安全方针信息安全规划活动信息安全职责信息安全相关的实践、规程、过程和资源......这些要素既相互关联又相互作用信息安全管理体系的构成要素信息安全管理体系的特点信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系体系的建立基于系统、全面、科学的信息安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务的持续性1112狭义的信息安全管理体系:指按照ISO27001标准定义的ISMS广义的信息安全管理体系:泛指任何一种有关信息安全的管理体系狭义和广义的信息安全管理体系知识域:信息安全管理概述知识子域:信息安全管理作用理解信息安全管理的重要作用理解信息安全管理体系的作用理解实施信息安全管理的关键成功因素13信息安全管理的作用14(一)信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障15信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的作用应对风险需要人为的管理过程信息安全管理的作用如今,信息安全问题已经成为组织业务正常运营和持续发展的最大威胁信息安全问题本质上是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的实现信息安全是一个多层面、多因素的过程,也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力如果组织想当然地制定一些控制措施和引入某些技术产品,难免存在挂一漏万、顾此失彼的问题,使信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全水平16信息安全管理的作用信息安全管理,是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分理解并重视管理对于信息安全的关键作用,制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要组织建立一个管理框架,让好的安全策略在这个框架内实施,并不断得到修正,才可能为业务的正常持续运作提供可靠的信息安全保障17信息安全管理的作用18(二)信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用信息安全管理的作用19如果你把钥匙落在锁眼上会怎样?技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗?20防火墙内网主机服务器Web服务器Internet防火墙精心设计的网络防御体系,因违规外连形同虚设防火墙能解决这样的问题吗?信息安全管理的作用解决信息安全问题,成败通常取决于两个因素,一个是技术,另一个是管理安全技术是信息安全控制的重要手段,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败说安全技术是信息安全的构筑材料,信息安全管理就是粘合剂和催化剂技术和产品是基础,管理才是关键产品和技术,要通过管理的组织职能才能发挥最佳作用信息安全管理的作用21技术不高但管理良好的系统远比技术高超但管理混乱的系统安全只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证根本上说,信息安全是个管理过程,而不是技术过程信息安全管理的作用3分技术7分管理?人们常说,三分技术,七分管理,可见管理对信息安全的重要性22信息安全“技管并重”的原则对于信息安全,到底是技术更重要,还是管理更重要?强调信息安全管理,并不是要削弱信息安全技术的作用,开展信息安全管理要处理好管理和技术的关系技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则之一23信息安全管理的作用24(三)信息安全管理能预防、阻止或减少信息安全事件的发生信息安全管理的作用统计结果显示,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的统计结果表明,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术原因,不如说是管理不善造成的因此,防止发生信息安全事件不应仅从技术着手,同时更应加强信息安全管理25安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。对信息安全的正确理解26信息安全管理体系的作用对内:能够保护关键信息资产和知识产权,维持竞争优势在系统受侵袭时,确保业务持续开展并将损失降到最低程度建立起信息安全审计框架,实施监督检查建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性27信息安全管理体系的作用对外:能够使各利益相关方对组织充满信心能够帮助界定外包时双方的信息安全责任可以使组织更好地满足客户或其他组织的审计要求可以使组织更好地符合法律法规的要求若通过了ISO27001认证,能够提高组织的公信度可以明确要求供应商提高信息安全水平,保证数据交换中的信息安全28实施信息安全管理的关键成功因素(CSF)组织的信息安全方针和活动能够反映组织的业务目标组织实施信息安全的方法和框架与组织的文化相一致管理者能够给予信息安全实质性的、可见的支持和承诺管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识向全员和其他相关方分发并宣贯信息安全方针、策略和标准管理者为信息安全建设提供足够的资金向全员提供适当的信息安全培训和教育建立有效的信息安全事件管理过程建立有效的信息安全测量体系29知识域:信息安全管理方法与实施知识子域:信息安全管理方法理解风险管理是信息安全管理的基本方法,理解风险评估是信息安全管理的基础,风险处理是信息安全管理的核心,理解控制措施是管理风险的具体手段理解过程方法是信息安全管理的基本方法,理解过程和过程方法的含义,理解PDCA模型30风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行界定信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据31风险处理是信息安全管理的核心风险处理是对风险评估活动识别出的风险进行决策,采取适当的控制措施处理不能接受的风险,将风险控制在可按受的范围风险评估活动只能揭示组织面临的风险,不能改变风险状况只有通过风险处理活动,组织的信息安全能力才会提升,信息安全需求才能被满足,才能实现其信息安全目标信息安全管理的核心就是这些风险处理措施的集合32风险管理是信息安全管理的根本方法33应对风险评估的结果进行相应的风险处理。本质上,风险处理的最佳集合就是信息安全管理体系的控制措施集合梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程周期性的风险评估与风险处理活动即形成对风险的动态管理动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法控制措施是管理风险的具体手段34管理风险的具体手段是控制措施风险处理时,需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施,那些不可接受的高风险才能降低到可以接受的水平之内控制措施的类别35从手段来看,可以分为技术性、管理性、物理性、法律性等控制措施从功能来看,可以分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域过程process一组将输入转化为输出的相互关联或相互作用的活动。(--ISO/IEC27000:2009、ISO9000:2005)过程方法processapproach一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。(--ISO/IEC27001:2005)系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为“过程方法”。(--ISO9000:2005)过程、过程方法的概念36过程方法示意图活动测量、改进责任人资源记录输入输出过程方法37·信息输入·信息输出·信息记录·资源—人—环境—设备—工具—通信—其他·立法·规定·客户·集团—政治—标准—程序·摘要·收据·客户·销售发票等等变化?关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源—人—环境—设备—工具—通信—其他·立法·规定·客户·集团—政治—标准—程序·摘要·收据·客户·销售发票等等变化?关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源—人—环境—设备—工具—通信—其他·立法·规定·客户
本文标题:CISP0301信息安全管理基础与管理体系_v30
链接地址:https://www.777doc.com/doc-694534 .html