搜索
信息安全管理讲师名称培训机构版本:4.0课程内容2信息安全管理知识域知识子域安全管理体系社会工程学攻击安全控制措施知识子域:安全管理体系信息安全管理了解管理与信息安全管理的概念及相互关系;理解信息安全管理的作用和价值;安全管理体系建设理解信息安全管理体系建设的概念及相关要求;PDCA过程了解PDCA模型的概念及在信息安全管理体系建设中的应用;理解信息安全管理体系建设PDCA过程中各阶段的工作内容;3信息安全管理基本概念管理指挥和控制组织的协调的活动。--ISO9000:2005质量管理体系基础和术语)信息安全管理管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。信息安全管理的对象:包括人员在内的各类信息相关资产4·信息输入·立法·摘要变化?关键活动测量拥有者资源记录标准输入输出生产经营过程规则人员目标信息安全管理的作用信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用信息安全管理能预防、阻止或减少信息安全事件的发生5信息安全水平被侵害的资产防护措施信息安全管理体系的作用-对内能够保护关键信息资产和知识产权,维持竞争优势在系统受侵袭时,确保业务持续开展并将损失降到最低程度建立起信息安全审计框架,实施监督检查建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性6信息安全管理体系的作用-对外能够使各利益相关方对组织充满信心能够帮助界定外包时双方的信息安全责任可以使组织更好地满足客户或其他组织的审计要求可以使组织更好地符合法律法规的要求若通过了ISO27001认证,能够提高组织的公信度可以明确要求供应商提高信息安全水平,保证数据交换中的信息安全7实施信息安全管理体系的关键成功因素组织的信息安全方针和活动能够反映组织的业务目标组织实施信息安全的方法和框架与组织的文化相一致管理者能够给予信息安全实质性的、可见的支持和承诺管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识向全员和其他相关方分发并宣贯信息安全方针、策略和标准管理者为信息安全建设提供足够的资金向全员提供适当的信息安全培训和教育建立有效的信息安全事件管理过程建立有效的信息安全测量体系8信息安全管理方法与实施信息安全管理的根本方法是风险管理风险评估是信息安全管理的基础:管理体系建设需要确定需求,风险评估是需求获取的主要手段风险处理是信息安全管理体系的核心,风险处理最佳集合就是控制措施集合信息安全管理的过程方法:PDCA循环P(Plan):计划D(Do):实施C(Check):检查A(Act):行动9规划和建立实施和运行监视和评审保持和改进信息安全管理体系建设信息安全管理体系组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合102700127002270002700627005270032700427000信息安全管理体系原则和术语27001信息安全管理体系要求27002信息安全管理实践准则27003信息安全管理实施指南27004信息安全管理的度量指标和衡量11127005信息安全风险管理指南27006信息和通信技术灾难恢复服务指南27007XXXISO导则83的结构性要求ISO27001:2013采用ISO导则83做结构性要求111.Scope范围2.NormativeReference规范性引用文件3.TermsandDefinitions术语和定义4.ContextoftheOrganization组织环境5.Leadership领导力6.Planning规划7.Support支持9.PerformanceEvaluation绩效评估10.Improvement改进8.Operation运行规划与建立ISMSP1-定义ISMS范围和边界P2-制定ISMS方针P3-确定风险评估方法P4-实施风险评估P5-选择、评价和确定风险处理方式、处理目标和处理措施P6-获得管理者对建议的残余风险的批准P7-获得管理者对实施和运行ISMS的授权P8-编制适用性声明(SoA)12实施和运行ISMSD1-制定风险处理计划D2-实施风险处理计划D3-开发有效性测量程序D4-实施培训和意识教育计划D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测事态和响应事件的程序13监视和评审ISMSC1-日常监视和检查C2-进行有效性测量C3-实施内部审核C4-实施风险再评估C5-实施管理评审14保持和改进ISMSA1-实施纠正和预防措施A2-沟通措施和改进情况15知识子域:信息安全控制措施理解信息安全方针控制目标和控制措施;了解信息安全组织包含2个控制目标7个控制措施了解人力资源安全包含3个控制目标6个控制措施了解资产管理包含3个控制目标10个控制措施;了解访问控制包含4个控制目标14个控制措施;了解密码学包含1个控制目标2个控制措施。了解物理与环境安全包含2个控制目标15个控制措施。了解操作安全包含7个控制目标14个控制措施16知识子域:信息安全控制措施了解通信安全包含2个控制目标7个控制措施。了解信息获取、开发和维护包含3个控制目标13个控制措施。了解供应商关系包含2个控制目标5个控制措施。了解信息安全事件管理包含2个控制目标5个控制措施。了解信息安全方面的业务连续性管理包含2个控制目标4个控制措施。了解符合性包含2个控制目标8个控制措施。17安全控制措施内部结构14个类别35个目标114个控制措施18信息安全方针控制目标:组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全控制措施信息安全方针信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方信息安全方针评审宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性19信息安全方针应符合实际情况,切实可行。对方针的落实尤为重要信息安全方针信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件20信息安全方针应当说明以下内容:•本单位信息安全的整体目标、范围以及重要性•信息安全工作的基本原则•风险评估和风险控制措施的架构•需要遵守的法规和制度•信息安全责任分配•对支持方针的文件的引用信息安全方针主要阐述信息安全工作的原则,具体的技术实现问题,如设备的选型,系统的安全技术方案一般不写在安全方针中信息安全组织-内部组织控制目标建立一个管理框架,用以启动和控制的组织内信息安全的实施和运行控制措施信息安全的角色和职责职责分离与政府部门的联系与相关利益方的联系项目管理的信息安全21信息安全组织-移动设备与远程办公控制目标:移动设备与远程办公确保远程办公和使用移动设备时的安全性控制措施移动设备方针远程工作22移动设备方针应采用方针和配套保障措施以管理使用移动设备时带来的风险。当使用移动设备时,应特别注意确保业务信息不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,宜加以小心。宜对移动计算设施进行物理保护,以防被偷窃。23远程工作远程工作指的是办公室以外的所有形式的工作,包括非传统工作环境比如那些被称为“远程办公”、“弹性工作场所”、“远程工作”和“虚拟工作”环境应实施方针和配套保障措施以保护远程工作地点的信息访问、处理和存储组织宜仅对允许的远程工作行为发布方针,定义远程工作的条件和限制24人力资源安全-任用前控制目标:确保雇员、承包方理解其职责,对其考虑的角色是适合的控制措施:审查任用条款及条件25人力资源安全-任用前关于所有任用的候选者与承包商的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录应在雇员和承包商的合约协议中声明他们与组织的信息安全责任明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任26人力资源安全-任用中控制目标:确保雇员、承包方意识并履行其信息安全职责控制措施管理职责信息安全意识、教育和培训纪律处理过程27人力资源安全-任用中保证其充分了解所在岗位的信息安全角色和职责有针对性地进行信息安全意识教育和技能培训及时有效的惩戒措施28人力资源安全-任用的终止或变化29控制目标:将聘用的变更或终止作为组织过程的一部分以保护组织的利益。控制措施雇佣责任的改变和终结人力资源安全-任用的终止或变化离职可能引发的安全隐患未删除的账户未收回的各种权限•VPN、远程主机、企业邮箱和VoIP等应用其它隐含信息•网络架构、规划,存在的漏洞•同事的账户、口令和使用习惯等30这些信息和权限如果被离职的员工和攻击者们恶意利用,很容易导致信息安全事件人力资源安全-任用的终止或变化终止职责:组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责,如通知相关人员人事变化,向离职者重申离职后仍需遵守的规定和承担的义务归还资产:保证离职人员归还软件、电脑、存储设备、文件和其他设备撤销访问权限:撤销用户名、门禁卡、密钥、数字证书等31资产管理-对资产负责32控制目标:实现和保持对组织资产的适当保护控制措施:资产清单资产责任人资产的可接受使用资产归还资产清单信息安全管理工作的直接目的是保护组织的资产资产包括:信息:业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件:应用软件、系统软件、开发工具物理资产:计算机设备、通信设备、存储介质等服务:通信服务、供暖、照明、能源等人员无形资产,如品牌、声誉和形象33资产责任人明确资产责任列出资产清单,明确保护对象确保资产进行了适当的分类和保护明确谁对资产的安全负责34资产的可接受使用和资产归还应确定、记录并实施与信息处理设施有关的信息和资产可接受使用规则。所有的雇员和外方用户在终止任用、合同或协议时,应归还他们使用的所有组织资产。包括物理和电子资产使用自己的设备时,宜遵循规程确保所有相关的信息已转移给组织,并且已从设备中安全地删除35资产管理-信息分类36控制目标:确保信息受到适当级别的保护控制措施:分类指南信息的标记资产的处理分类指南分类依据根据法律要求、价值和对泄露或篡改的敏感性和关键性分类关注点、重点不同直接影响信息分类军事机构更加关注机密信息的保护,私有企业通常更加关注数据的完整性和可用性37分类必要步骤定义分类类别说明决定信息分类的标准制定每种分类所需的安全控制,或保护机制建立一个定期审查信息分类与所有权的程序让所有员工了解如何处理各种不同分类信息信息的标记与资产的处理信息的标记信息应按照组织所采纳的分类机制建立和实施一组合适的信息标记规程。标记的规程需要涵盖物理和电子格式的信息资产。标记宜反映出分类。标记应易于辨认。信息标记及其相关资产有时有负面影响。分类的资产容易被识别,从而被内部或外部攻击者偷窃。资产的处理应按照组织所采纳的分类机制建立和实施一组合适的资产处理规程。38资产管理-介质处置39控制目标:防止介质存储信息的未授权泄露、修改、移动或销毁控制措施:可