信息安全管理体系介绍

安全管理体系介绍安全管理体系介绍一、信息安全基础知识二、信息安全管理标准三、认证相关介绍Agenda信息安全概念z什么是信息？–信息是一种资产象其它重要的业务资产一样，对组织具有价值因此需要适当的保护z什么是安全？–没有统一的定义–基本含义z客观上不受威胁z主观上不存在恐惧z什么是信息安全？–ISO的定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全特征z信息安全具有以下特征：–保密性：确保只有经过授权的人才能访问信息–完整性：保护信息和信息的处理方法准确而完整；–可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全的相对性z安全没有100%–完美的健康状态永远也不能达到；z安全工作的目标：将风险降到最低z安全应该与保护的事物的价值相称；z安全需要权衡–可用性与安全性–易用性与安全性–经济性与安全性信息安全现状z重视技术，轻视管理z重视产品功能，轻视人为因素z重视对外安全，轻视内部安全z静态不变的观念z缺乏整体性信息安全体系的考虑信息安全需求z强化责任意识，坚决做到责任到人，设备到人，工作到位z进一步完善安全规范体系，强化安全操作执行力z按照总部统一要求，大力推进安全防护技术手段建设有关标准1995z英国出版BS7799-1:1995《信息安全管理实施细则》z英国出版BS7799-2:1998《信息安全管理体系规范》1998zBS7799-1:1999与BS7799-2:1999经过修订后重新发布1999zBS7799-1:1999通过国际化标准组织ISO认可，12月正式成为国际标准ISO/IEC17799-1:2000《信息技术－信息学安全管理实施细则》2000zBSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。9月BS7799-2:2002公布发行。2002z2004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。20041993z率先由英国贸易工业部进行专案。有关规定z《关于加强信息安全保障工作的意见》（中办国办[2003]27号文件）–我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保障工作的纲领性文件。–文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性、战略性的规定。–总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全。有关标准及法规z《信息安全风险管理指南》z《电信网和互联网安全风险评估实施指南》(YDC051-2007)z《电信网和互联网安全等级保护实施指南》(YDC050-2007)zSOX一、信息安全基础知识二、信息安全管理标准三、认证相关介绍Agenda信息安全管理z信息安全管理的重要意义–在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。zISO27001/ISO17799ISO27001/ISO17799ISO27001/ISO17799体现原则z制定信息安全方针为信息安全管理提供导向和支持z控制目标和控制方式的选择建立在风险评估基础之上z预防控制为主的思想原则z全员参与原则z动态管理原则z遵循管理的一般循环模式—PDCA持续改进模式z商务持续性原则ISO27001zChapter0:简介zChapter1:范围zChapter2:引用标准zChapter3:术语和定义zChapter4:信息安全管理体系zChapter5:管理责任zChapter6:ISMS内部审核zChapter7:ISMS管理评审zChapter8:ISMS改进z附件A（强制性）控制目标和控制措施z附录BOECD准则和本国际标准z附录C本标准与ISO9001:200、ISO14001：2004标准的对应关系ISO27001zChapter0:简介–0.1总则z本标准为业务经理及其职员提供了建立和管理一个有效的信息安全管理体系(ISMS)的模型。z采用ISMS是企业(组织)的一项战略性决策。z企业的ISMS的设计和实施受各种业务需求、具体的目标、安全要求、所采用的过程以及组织的规模和结构的影响。z期望随着时间而变化(改进)。z本标准能够用户内部/外部(认证机构)评价企业满足顾客、法律法规和企业自身要求的能力。–0.2过程方法z过程IPO:通过利用资源和管理将输入转化为输出的一项活动。z过程方法:组织内过程系统的应用,连同这些过程的识别和相互作用及其管理。zPDCA模型:–0.3与其他管理体系的兼容性z本标准与ISO9001:2000和ISO14001:2004协调一致，以支持与相关管理标准的结合和整合的实施和运行。表C.1注了本标准与ISO9001:2000和ISO14001:2004的章节间的对应关系ISO27001zChapter0:简介（续）–又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。处置（保持和改进ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。检查（监视和评审ISMS）实施和运行ISMS方针、控制措施、过程和程序。实施（实施和运行ISMS）建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。规划（建立ISMS）ISO27001zChapter1:范围–总则zISMS是设计用于有足够的和适当的安全控制以确保信息资产，并给顾客及其它相关以信心。这将转化为维护和改善组织的竟争力、现金周转、收益率、法律符合性和商业形象。–应用z本标准规定的要求是通用的，意在适用于各种类型、不同规模、不同性质的企业。z当本标准的任何要求由于组织及其业务的特点而不适用时，可以考虑进行删减。z如果进行删减，除非删减不影响组织提供(满足风险评估和使用法律法规要求决定的)信息安全的能力、责任，否则不能声称符合本标准。z对（满足风险接受准则的）控制方式的任何删减，必须评估其合理性，同时必须提供相关风险已经使相关责任人接受的证据.z对4、5、6、7、8章节的任何要求的删减都是不可接受的。ISO27001zChapter2:引用标准–ISO/IEC17799：2005信息技术－安全技术－信息安全管理实施指南ISO27001zChapter3:术语和定义–3.1资产：任何对组织有价值的事物–3.2可用性:需要时，授权实体可以访问和使用的特性。–3.3机密性:信息不可用或不被泄漏给未授权的个人、实体和过程的特性。–3.4信息安全:保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。–3.5信息安全事件（Event）：信息安全事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况。–3.6信息安全事故（Incident）：信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。–3.7信息安全管理体系（ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。ISO27001zChapter3:术语和定义（续）–3.8完整性:保护资产的正确和完整的特性–3.9残余风险:实施风险处置后仍旧残留的风险。–3.10风险接受:接受风险的决策。–3.11风险分析:系统地使用信息以识别来源和估计风险–3.12风险评估:风险分析和风险评价的全过程–3.13风险评价:将估计的风险与既定的风险准则进行比较以确定重要风险的过程。–3.14风险管理:指导和控制一个组织的风险的协调的活动–3.15风险处置:选择和实施措施以改变风险的过程。–3.16适用性声明:与组织ISMS相关并适用于组织ISMS的控制目标和控制措施的文件化的陈述。ISO27001zChapter4:信息安全管理体系（ISMS）–4.1总要求z组织应根据整体业务活动和风险，建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。–4.2建立并管理ISMSz建立ISMSz实施和运行ISMSz监视和评审ISMSz保持和改进ISMS–文件要求z总则z文件控制z记录控制ISO27001zChapter5:管理责任–5.1管理层承诺z管理者通过以下活动，对建立、实施、运作、监督、审查、维护和改善ISMS作出的承诺提供证据。z制定信息安全策略；z确保信息安全目标和计划的制定；z规定信息安全的作用和责任；z向组织传达满足信息安全目标和符合信息安全策略的重要性，法律和持续性改善需要方面的责任。z提供充分的资源以制定、实施、运作和维护ISMS.(第5.2.1章)z确定风险的可接收水平；z进行ISMS管理审查；(见第6章)–5.2资源管理z5.2.1资源提供z5.2.2培训、意识和能力ISO27001zChapter5:管理责任（续）–5.1管理层承诺–5.2资源管理z5.2.1资源提供，–企业应确定并提供需要的资源:z建立、实施、运作和维护ISMS;z确保信息安全程序支持业务要求；z识别和确定法律和法规要求、合约中规定的安全义务；z通过对所有实施控制的正确应用保持足够的安全；z在必要时进行执行审核，并对审查结果作出适当的反应；z必要时，改善ISMS的有效性。z5.2.2培训、意识和能力–企业应确保所有ISMS中所有责任相关人员有能力完成要求的任务，经由:z确定从事ISMS人员所必要的能力;z提供能力培训，必要时，委派有能力的人以满足这些要求；z评价所“提供的培训”和“采取的措施”的有效性；z维护教育、培训、技能、经历和资格的记录；ISO27001zChapter6:ISMS内部审核–应按策划的时间间隔进行ISMS内部审核，以确定组织ISMS的控制目标、控制措施、过程和程序是否：za)符合本标准及相关法律法规的要求；zb)符合已识别的信息安全要求；zc)得到有效地实施和保持；zd)按期望运行。–应策划审核方案，考虑受审核过程和区域的状况及重要性，以及上次审核的结果。应规定审核准则、范围、频次和方法。–审核员的选择和审核的实施应保证审核过程的客观和公正。不能审核自己的工作。–形成文件的程序，以规定策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求。ISO27001zChapter7:ISMS管理评审–7.1总则z管理者应按策划的时间间隔（至少一年一次）评审组织的ISMS，以确保其持续的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要，包括安全方针和安全目标。评审结果应清楚地写入文件，并保持记录–7.2评审输入z管理评审的输入应包括：–a)ISMS审核和评审的结果；–b)相关方的反馈；–c)组织用于改进ISMS业绩和有效性的技术、产品或程序；–d)纠正和预防措施的实施情况；–e)上次风险评估未充分指出的脆弱性或威胁；–f)有效性测量的结果；–g)上次管理评审所采取措施的跟踪验证；–h)任何可能影响ISMS的变更；–i)改进的建议。–7.3评审输出ISO27001zChapter7:ISMS管理评审（续）–7.1总则–7.2评审输入–7.3评审输出z管理评审的输出应包括与以下方面有关的任何决定和措施：–a)ISMS有效性的改进；–b)更新风险评估和风险处置计划；–b)必要时，修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件，包括以下方面的变化：z1)业务要求；z2)安全要求；z3)影响现有业务要求的业务过程；z4)法律法规要求；z5)合同责任；z6)风险等级和/或风险接受准则。zc)资源需求；zd)改进测量控制措施有效性的方式。ISO