ISO27001LeadAuditorTrainingCourseNeilYuShanghaiFeb.18-22,2008Version1.6UpdatedonJune19,2008ISO27001LATrainingCourseDay1ShanghaiFeb.18,2008典型的信息安全事件HW事件HW到中东某国投标,5、6人住当地一家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘……LM事件LM一直与中国军方关系密切,承接过国家级信息安全项目骨干中一人离职出国,带出很多涉密文件,结果LM被封杀艳照门很傻很天真什么叫管理体系System–Setofinterrelatedorinteractingelements体系–一系列相关关联相互作用的元素Worksystematically–Tobeeffective,thingshavetobeorganizedinasuitable/practicalwayandshouldbedoneinacertainsequence系统地工作–为保证工作效率,事情必须按合适的/可行的方法进行组织,并以一定的顺序完成ManagementSystem–Systemtoestablishpolicyandobjectivesandtoachievethoseobjectives管理体系–建立方针和目标,并实现目标的体系管理体系的4大要素组织机构:明确职责、权限程序:告诉相关人员怎么做过程:具体的执行情况,如何做的?比如执行人是否每周2次检查了某个应用程序的日志?资源:可调配、使用的人员、设备等培训资源过程程序组织结构管理体系常见的管理体系质量管理:ISO9001环境管理:ISO14001职业安全:OHSAS18001社会责任:SA8000信息安全:ISO27001什么是质量质量3要素QCT符合客户的要求(Q)不能导致成本上升(C)时间(T)以上三个方面的平衡的结果就是质量QualityCostTime质量管理体系一览国际标准ISO9001汽车行业(比ISO9001多了项目管理方面的要求)TS16949(汽车行业的质量管理体系)QS9000(美国的汽车行业标准)VDA6.1(德国大众的质量管理体系)其他行业ISO22000(食品行业)TL9000(通讯业)ISO20000(可称为IT业的服务质量标准)CMMI(适合软件研发和新技术开发)信息安全的3要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entitiesorprocesses保密性–信息被获取或泄漏给未经授权的个人、实体或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompleteness完整性–保护资产准确和完整Availability–thepropertyofbeingaccessibleanduseableupondemandbyanauthorizedentity可用性–资产仅对授权人员在需要的时候是可访问的或可用的什么叫ISMS信息安全管理体系Information信息信息是一种重要资产,对组织的业务非常关键。信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储、邮寄或使用电子手段传输,以影片播放或对话。InformationSecurity信息安全对信息的保密性、完整性和可用性的保护,同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。InformationSecurityManagementSystem信息安全管理体系是管理体系的一部分,基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全。简单地说,是为了确保组织信息的“三性”,设立的组织机构、程序、过程和资源。step1如果ISMS和其他体系的联系和区别联系所有管理体系的共性(需要分析的5大要素):人、机、料、法、环区别ISMS:%5的人:做95%的工作%95的人:执行(需要接受培训)本页及下页图片来源于BSI中国网站ISMS适用的行业以信息为生命线的行业:金融行业:银行、保险、证券、基金、期货等通信行业:电信、网通、移动、联通等皮包公司:外贸、进出口、HR、猎头、会计师事务所等对信息技术依赖度高的行业:钢铁、半导体、物流电力、能源外包(ITO或BPO):IT、软件、电信IDC、CallCenter等工艺技术要求高、竞争对手渴望得到的:医药、精细化工研究机构ISO27001,20000&CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20000ISO27001ISO27001如何成为LA主任审核员?要成为LA,必须经过:2MDobserver-JuniorAuditor20MDjuniorauditor-Auditor15MDauditor-LeadAuditor注意:后两项经验需分别从3个新的、不同的客户中获取上述每一段经验,均需在2年内获得DNV可以帮助进行IRCA注册什么是好的ISMSGoodInformationSecurityManagementSystematicapproachImprovedunderstandingofbusinessaspectsReductioninsecuritybreachesand/orclaimsReductioninadversepublicityImprovedinsuranceliabilityratingIdentifycriticalassetsviathebusinessriskassessmentProvideastructureforcontinuousimprovementBeaconfidencefactorinternallyaswellasexternallyEnhancetheknowledgeandimportanceofsecurity-relatedissuesatthemanagementlevelEnsurethat“knowledgecapital”willbe“stored”andmanagedinabusinessmanagementsystem实施ISMS的关键成功因素与组织文化一致的信息安全方法老板的支持对信息安全的要求、风险评估和风险管理有好的理解向所有员工和其他人分发信息安全指南有效的对员工和其他人推销信息安全(外部人员也被要求进行信息安全培训)足够的财务支持,以及满足要求的现有系统的能力和配置水平有效的信息安全事故管理过程Tips1重要提示ISMS(信息安全管理体系)和ITSM(信息技术服务管理)的整合需求越来越大:来自最高管理者的关注增强来自客户的推动、压力政府的推动并提供资金的支持,如“十百千”工程行业的普遍关注,如电信IDC,移动,电力系统,海关总署,国家质监总局目前,各大银行和电力企业正在实施ITIL,每年有VeryLarge的市场。半导体业对ISMS的要求非常严格,甚至高过金融业!Tips2历史教训:保安和清洁工是信息安全的重要威胁!(无意伤害对“阶层”感情的好恶)所有员工,包括所有外来人员,必须接受信息安全的培训小窍门:在门卫/传达室放一个《外来人员安全须知》,外来人员在阅读后要签字,这是对外来人员进行了信息安全培训的证据Tips3信息安全容易忽视的两个的地方Thumbdrive(U盘,尽量禁用!)Domaincontroller(域控制器,加强管理!)Goodpractices:人员发生变动的时候,一定要调整访问权限查看企业的财产保险合同审核完毕后一般都需要提高保险级别!很NB的缩写BlackBelt:黑带#%!%!·#¥··#……ERM:企业风险管理(目前最高级别的认证)BCM:业务持续性管理CSR:企业可持续发展报告(验证各项指标)RPN:风险优先指数BCM/BCP:业务持续战略ContinualImprovement:持续改进RA:风险分析ITDRMCABIARTO:recoverytimeobjectiveRPO:recoverypointobjectiveLBCBCP与灾难恢复等概念的比较影响公司层面业务持续性的因素供应链中断:重要原料、IT硬件高层的错误决策客户不满关键人员流失数据中心重大事故恐怖袭击、战争员工信心天灾人祸、火灾爆炸联动点法律法规公众反应BCM非常重要实施ITSM业务连续性管理的两条途径公司层面的BCM(适合于ITOutsourcing或BPO企业)信息安全层面的BCM,适合大型制造业及工艺流程复杂的企业BCM或BCP比“可用性管理”有更大的范围和规模!BCM:一个好的平台QualitymanagementPublicrelationshipInvestmentdirectionSecuritymanagementDisasterrecoverySafetymanagementFacilitiesmanagementIT/OtherdisasterrecoverySupplychainmanagementRiskmanagementBCM的步骤1.理解你的业务BIA(BusinessImpactAssessment)2.业务持续性计划BCP(BusinessContinuityPlanning)3.研究并实施BCM行动4.建立并深入公司BCM文件5.演练/维护及审核BCMISO27001LATrainingCourseDay2ShanghaiFeb.19,2008建立ISMS的步骤1.制定方针2.确定边界3.识别资产4.风险评估5.风险处置6.风险接受7.动态的风险管理制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理风险、威胁和脆弱性的概念风险Risk:特定的威胁利用资产漏洞的潜在可能,并可导致对组织的危害。它根据事件的可能性及后果进行测量。风险分析:评估风险数量的系统化流程风险评估:包括风险定义,风险分析和风险评估的流程。威胁Threat:引起事故的潜在因素,可能对组织或系统产生损害脆弱性Vulnerability:资产的弱点,可能被一个或多个威胁利用影响Impact:信息安全事故的结果风险产生的原因5大因素:自然环境社会经济环境政治及法制因素营运环境意识及沟通因素或者:人机:软硬件,需要维护料:输入,包括客户需求法:程序、方法,是否清楚、适当环:大环境资产类型通常:网络机房PC台式机笔记本普通营销部/中层干部高层管理人员人员文档电子书面客户要求整体实体(物理)安全分类:信息资产:数据文件、数据库软件资产:系统软件、应用软件物理资产:计算机、通讯设备服务资产:电力、消防、打印机、复印机人力资产:员工、工人纸面资产:协议、合同无形资产:公司形象、名誉、品牌注意:IT部门可能拥有上述所有资产,其他部门可能只拥有其中1至2项编制资产识别表资产?对组织有价值的任何事物编制资产识别表的要点找对owner合并同类项,特性和风险相同的资产可以合并为一项小窍门:先按部门分别进行对资产项合并同类项后,可跨部门再进行一次合并同类项风险的计算第一种方法:风险=严重性*可能性影响程度的严重性(权重较大)威胁发生的可能性:按历史发生情况!第二种方法:严重性*可能性*脆弱性脆弱性