信息安全管理体系

信息安全管理体系教程2020/2/7课前介绍课程目标课程安排课程内容注意事项学员介绍2020/2/7课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤2020/2/7课程安排课时:24H课程方法：讲授、小组讨论、练习2020/2/7课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求2020/2/7注意事项积极参与、活跃气氛守时保持安静有问题可随时举手提问2020/2/71.信息安全基础知识1.1信息安全的基本概念1.2为什么需要信息安全1.3实践中的信息安全问题1.4信息安全管理的实践经验2020/2/7请思考：什么是信息安全？1.1信息安全基本概念2020/2/7什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等2020/2/7小问题：你们公司的Knowledge都在哪里？信息在哪里？2020/2/7什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会2020/2/7信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。2020/2/7信息本身信息处理设施信息处理者信息处理过程机密可用完整总结2020/2/7请思考：组织为什么要花钱实现信息安全？1.2为什么需要信息安全2020/2/7组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……2020/2/7法律法规的要求计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定……2020/2/7信息系统使命的要求信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。。。。2020/2/7请思考：目前，解决信息安全问题，通常的做法是什么？1.3实践中的信息安全问题2020/2/7“产品导向型”信息安全初始阶段，解决信息安全问题，通常的方法：•采购各种安全产品，由产品厂商提供方案；Anti-Virus、Firewall、IDS&Scanner……•组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门；•更多的情况是几乎没有日常维护存在的问题•需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……•管理和服务跟不上，对采购产品运行的效率和效果缺乏评价•通常用漏洞扫描（Scanner）来代替风险评估有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的态度……•“头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的协调也是难题2020/2/7信息安全管理ISO17799强调：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”•技术和产品是基础，管理是关键；•产品和技术，要通过管理的组织职能才能发挥最好的作用；•技术不高但管理良好的系统远比技术高但管理混乱的系统安全；•先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要；•建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。2020/2/71.4信息安全管理的实践经验•反映组织业务目标的安全方针、目标和活动；•符合组织文化的安全实施方法；•管理层明显的支持和承诺；•安全需求、风险评估和风险管理的正确理解；•有效地向所有管理人员和员工推行安全措施；•向所有的员工和签约方提供本组织的信息安全方针与标准；•提供适当的培训和教育；•一整套用于评估信息安全管理能力和反馈建议的测量系统2020/2/72、信息安全管理与信息系统安全保障2.1信息系统的使命2.2信息系统安全保障－模型2.3信息系统安全保障－框架2.4信息系统安全保障－生命周期的保证2.5信息安全管理模型2.6信息安全管理与信息系统安全保障的关系2020/2/72.1信息系统的使命资产可能意识到引起增加利用导致威胁主体威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到使命希望完成到可能阻碍或破坏2020/2/72.2信息系统安全保障－模型技术过程管理人员保证对象生命周期信息特征计划组织开发采购实施交付运行维护废弃机密性完整性可用性技术过程管理人员保证对象生命周期信息特征计划组织开发采购实施交付运行维护废弃机密性完整性可用性2020/2/72.3信息系统安全保障－框架信息系统使命信息系统建模，。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则2020/2/72.4信息系统安全保障－生命周期的保证变更应用于系统计划组织开发采购实施交付运行维护废弃建立使命要求建立使命要求审阅业务要求系统需求分析定义运行需求系统体系设计项目与预算管理两种类型：•开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保证（管理/维护/使用人员）人员保证（管理人员）人员保证（实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）系统保证信息系统生命周期2020/2/72.5信息安全管理模型信息系统安全管理基础组织体系策略制度遵循性人员安全采购管理投资和预算管理持续性管理环境设备紧急用途和供给变更控制管理信息技术战略规划变更应用于系统计划组织开发采购实施交付运行维护废弃信息技术战略规划系统操作物理访问运行环境设备管理2020/2/72.6信息安全管理与信息系统安全保障的关系信息系统安全保障三大部分：•技术保障•过程保障•管理保障信息安全管理是信息系统安全保障的三大部分之一：•管理保障信息安全管理涉及到系统的整个生命周期2020/2/73.信息安全管理体系标准概述3.1信息安全标准介绍3.2ISO177993.3ISO17799的历史及发展3.4ISO17799:2000的内容框架3.5BS7799-2:1999的内容框架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之区别2020/2/73.1信息安全标准介绍信息安全标准管理体系标准2020/2/7信息安全标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408（GB/T18336-2001）ISO177992020/2/7ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构由ISO/ICEJTC1/SC21完成1982年开始，1988年结束，ISO发布了ISO7498-2给出了基于OSI参考模型的7层协议上的安全体系结构其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的5大类安全服务，以及提供这些服务的8大类安全机制及相应的安全管理，并可根据具体系统适当的配置于OSI模型的7层协议中。2020/2/7ISO7498-2－安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型2020/2/7ISO13335IT安全管理分为5个部分：•ISO/IECTR13335-1：概念和模型•ISO/IECTR13335-2：管理和规划•ISO/IECTR13335-3：管理技术•ISO/IECTR13335-4：安全措施的选择•ISO/IECTR13335-5：网络安全性的管理指导由ISO/IECJTC1/SC27完成2020/2/7SSE-CMM信息系统安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于软件工程；1993年4月，由美国NSA资助，安全业界、DOD、加拿大通信安全机构共同组成项目组，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系统安全的工程组织、采购组织和评估机构5个能力级别，11个过程区2003年，出版了SSE-CMMV3.02020/2/75个能力级别：1级：非正式执行级2级：计划和跟踪级3级：充分定义级4级：量化控制级5级：持续改进级代表安全工程组织的成熟度级别11个过程区：PA01管理安全控制PA02评估影响PA03评估安全风险PA04评估威胁PA05评估脆弱性PA06建立保证论据PA07协调安全PA08监视安全态势PA09提供安全输入PA10指定安全要求PA11验证和证实安全性SSE-CMM信息系统安全工程能力成熟度模型（续）2020/2/7ISO15408(GB/T18336)信息技术安全性评估准则通常简称CC－通用准则，ISO15408:1999，GB/T18336:2001;定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；分为3个部分：•第一部分：简介和一般模型•第二部分：安全功能要求•第三部分：安全保证要求2020/2/7管理体系标准ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM1