信息安全管理基础

信息安全管理基础中国信息安全测评中心课程内容2信息安全管理基础知识体信息安全管理基本概念信息安全管理方法信息安全管理的定义信息安全管理成果关键因素风险管理的概念和作用信息安全管理体系的作用ISMS体系各阶段主要工作内容知识域知识子域信息安全管理的侧重点信息安全技管并重原则信息安全等级保护的管理机制知识体：信息安全管理基础和方法知识域：信息安全管理基本概念理解信息安全及管理的含义；理解信息安全管理的侧重点；理解信息安全“技管并重”原则的意义；理解成功实施信息安全管理工作的关键因素。3信息安全管理相关概念基本概念信息与信息安全管理与信息安全管理4信息与信息安全5信息：有意义的数据。（--ISO9000:2005质量管理体系基础和术语）“象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产”；信息已成为企业赖以生存和发展的最有价值的资产之一；需要加以适当的保护。信息的范例专利标准专有技术商业档案文件图样统计数据专有技术配方报价规章制度财务数据工艺计划资源配置管理体系NOTONLYIT!哪些信息需要“安全”6国家秘密国家规定需要保护的信息商业秘密专利、技术业务数据个人隐私家庭住址电话身份证号等……信息安全保密性可用性完整性信息、信息安全7信息安全：信息的保密性、完整性和可用性的保持。（另外，也可包括真实性、可稽核性、不可否认性和可靠性等属性)（--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。管理、信息安全管理8administeradministrationadministratormanagemanagementmanager18世纪工业革命（1700'S）管理康熙19年（1680）“管”“理”中国古代春秋战国管理与信息安全管理管理指挥和控制组织的协调的活动。（--ISO9000:2005质量管理体系基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动9规则项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织人员·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。10信息安全管理11信息安全管理的对象：包括人员在内的各类信息相关资产。规则人员目标项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织知识体：信息安全管理基础和方法知识域：信息安全管理基本概念理解信息安全及管理的含义；理解信息安全管理的侧重点；理解信息安全“技管并重”原则的意义；理解成功实施信息安全管理工作的关键因素。12如何理解信息安全管理侧重点管（责任与权利）组织架构职责任务考核理（方式）策略目标制度流程13信息安全管理14信息安全管理中的“管理”侧重于：股东大会董事会总经理职能部1职能部2职能部3职能部4监事会A.企业的组织管理人大政府工商税务技术监督其他政协B.政府对企业的管理企业C.企业的出入管理企业行政部门禁管理办法门禁设施员工管理访客管理监控管理检查部门信息安全管理15举例项目举例1：某大型国企发文，要求各单位建立和实施信息安全管理机制举例2：该国企总部根据自身需要决定建立和实施信息安全管理机制性质行政管理（政府管理）行为总部自身事务，与其它单位无关依据法律法规、国网制度总部自身业务需要和规章制度主体行政机关具体的“总部”这个组织目的行政管理自身的业务(工作)管理方法法规、文件总部自己决定知识体：信息安全管理基础和方法知识域：信息安全管理基本概念理解信息安全及管理的含义；理解信息安全管理的侧重点；理解信息安全“技管并重”原则的意义；理解成功实施信息安全管理工作的关键因素。16信息安全管理的需求17如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？18防火墙内网主机服务器Web服务器Internet防火墙精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求19信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求应对风险需要人为的管理过程信息安全管理的2/8原则2080%的问题20%的风险20%的损失安全产品2120%的问题80%的风险80%的损失安全管理三分技术,七分管理？信息安全管理的2/8原则信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。对于信息安全，到底是技术更重要，还是管理更重要？技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则22技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用23知识体：信息安全管理基础和方法知识域：信息安全管理基本概念理解信息安全及管理的含义；理解信息安全管理的侧重点；理解信息安全“技管并重”原则的意义；理解成功实施信息安全管理工作的关键因素。24实施信息安全管理的关键成功因素(CSF)安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育建立有效的信息安全事件管理流程建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进25实施信息安全管理的关键成功因素理解组织文化得到高层承诺做好风险评估整合管理体系积极有效宣贯纳入奖惩机制持续改进体系26知识体：信息安全管理基础和方法知识域：信息安全管理方法理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。理解风险管理是信息安全管理的基础和核心；理解信息安全管理体系的方法机制；理解信息安全等级保护的管理机制；了解NISTSP800中的安全管理机制。27安全风险要素安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……29安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问……自然灾害如：地震、火灾30安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当……31安全风险的基本概念32控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于33知识体：信息安全管理基础和方法知识域：信息安全管理方法理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。理解风险管理是信息安全管理的基础和核心；理解信息安全管理体系的方法机制；理解信息安全等级保护的管理机制；了解NISTSP800中的安全管理机制。34什么是风险管理GB/Z24364《信息安全风险管理规范》定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。36为什么要做风险管理成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程37风险管理是信息安全保障工作有效工作方式风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。38风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施的集合。39风险管理是信息安全管理的根本方法40周期性的风险评估与风险处置活动即形成对风险的动态管理。动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。有关风险管理的详细内容参见《CISP0302信息安全风险管理》。知识体：信息安全管理基础和方法知识域：信息安全管理方法理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。理解风险管理是信息安全管理的基础和核心；理解信息安全管理体系的方法机制；理解信息安全等级保护的管理机制；了解NISTSP800中的安全管理机制。41管理体系相关概念42体系相互关联和相互作用的一组要素。（--ISO9000:2005质量管理体系基础和术语）管理体系：建立方针和目标并达到目标的体系。（--ISO9000:2005质量管理体系基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。（--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）管理体系43ISO9000质量管理体系ISO14000环境管理体系OHSAS职业健康安全管理体系ISO/IEC27000信息安全管理体系ISO/IEC20000服务管理体系ISO22000食品安全管理体系管理体系ManagementSystem管理体系44管理体系方法图解