第3讲第二章信息安全风险评估(下)

LOGO第3讲信息安全风险评估（二）北京邮电大学计算机学院副教授郭燕慧ISO/IEC27001:2005标准介绍LOGOISO/IEC27001:2005是什么？ISO/IEC27001:2005内容ISO/IEC27001:2005建立练习ISO/IEC27001:2005介绍LOGOISO27001的标准全称（ISO27001标准题目）Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求ISMS信息安全管理体系-管理体系-信息安全相关-ISO27001的3术语和定义-3.7Requirements要求1.0ISO/IEC27001:2005是什么LOGO建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构，策略，规划，角色，职责，流程，程序和资源等。(ISO270013术语和定义-3.7)管理的方方面面以及公司的所有雇员，均囊括在管理体系范围内。1.1什么是管理体系？Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)LOGO1.1什么是信息安全？AlterationDestructionDisclosureInformationIntegrityAvailabilityConfidentialityInformation保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性(ISO270013术语和定义-3.4)机密性（Confidentiality）信息不能被未授权的个人，实体或者过程利用或知悉的特性(ISO270013术语和定义-3.3)完整性（Integrity）保护资产的准确和完整的特性(ISO270013术语和定义-3.8).确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。可用性（Availability）根据授权实体的要求可访问和利用的特性(ISO270013术语和定义-3.2).确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源LOGO信息安全管理体系(ISMS):是整个管理体系的一部分，建立在业务风险的方法上，以：建立实施运作监控评审维护改进信息安全。1.2ISO27001的第3章“术语和定义-3.7职业健康安全IT服务信息安全环境管理体系食品安全质量建设了ISMS，尤其是获取了ISO27001认证后，组织将在信息安全方面进入一个强制的良性循环。LOGO1.327001的总要求(ISO270014.1)相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。LOGO0.Introduction1.Scope2.Normativereferences3.Termsanddefinitions4.Informationsecuritymanagementsystem4.1Generalrequirements4.2EstablishingandmanagingtheISMS4.2.1EstablishtheISMS4.2.2ImplementandoperatetheISMS4.2.3MonitorandreviewtheISMS4.2.4MaintainandimprovetheISMS4.3Documentationrequirements5.Managementresponsibility6.InternalISMSaudits7.ManagementreviewoftheISMS8.ISMSimprovementAnnexAISO27001:2005,AnnexA11Clauses39Objectives133Controls1.4ISO27001的结构LOGO1.5ISO27001所关注的领域(ISO27001附录A)合规性（Compliance）业务连续性管理（BusinessContinuityManagement）信息安全事故管理（InformationSecurityIncidentManagement）访问控制（AccessControl）人力资源安全（HumanResourceSecurity）物理和环境安全（PhysicalandEnvironmentalSecurity）通信和操作管理（CommunicationsandOperationsManagement）信息系统的获取、开发和维护（InformationSystemAcquisition,DevelopmentandMaintenance）资产管理（AssetManagement）组织信息安全（OrganizationofInformationSecurity）安全策略（InformationSecurityPolicy）LOGO十大管理要项（BS7799）：信息安全策略：为信息安全提供管理指导和支持机构安全基础设施，目标包括：•内部信息安全管理；•保障机构的信息处理设施以及信息资产的安全；•当信息处理的责任外包时，维护信息的安全性资产分类和控制：对资产进行分类和控制，确保机构资产和信息资产得到适当水平的保护。人员安全，其目标是：•减少由于人为错误、盗窃、欺诈和设施误用等造成的风险；•确保用户了解信息安全威胁，确保其支持机构的安全策略；•减少安全事故和故障造成的损失，并从事故中吸取教训。物理和环境安全，其目标包括：•防止对业务场所和信息的非法访问、破坏以及干扰；•防止资产的丢失、破坏、威胁对业务活动的中断；•防止信息或信息处理设施的损坏或失窃。LOGO通信和操作的管理，其目标是•确保信息设施处理的正确、安全操作；•把系统错误的风险降到最低；•保护软件和信息的完整性；•维护信息处理和通信的完整性和有效性；•加强对网络中信息和支持设施的保护；•防止资产损坏和活动的中断；•在机构间交换信息时，防止信息的丢失、篡改以及误用等情况。系统访问控制，其目标是：•控制对信息的访问；•防止对信息系统的非授权访问；•确保对网络服务的保护；•防止未授权的计算机访问；•检测未授权的活动；•确保便携式计算机和无线网络的信息安全。LOGOISO27001正式的标准可认证的标准管理体系的要求控制措施的要求ISO17799实施细则（一整套最佳实践）控制措施的实施建议和实施指导ISO27001的附录A的细化与补充1.6ISO27001与ISO17799（27002）*为设计控制措施提供实施指南*“ISO270011范围-注2”：ISO/IEC17799为设计控制措施提供实施指南LOGOISO17799:2000国际标准BS7799-1:1999BS7799-2:1999英国标准BS7799-2:2002BS7799-1:2000ISO27002:2005ISO27001:2005BS7799:1996BS7799-3:20051.7安全管理体系标准的发展历史LOGOISO/IEC27001:2005是什么？ISO/IEC27001:2005内容ISO/IEC27001:2005建立练习ISO/IEC27001:2005介绍LOGO0.引言1.范围2.规范性应用文件3.术语和定义4.信息安全管理体系(ISMS)4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运维ISMS4.2.3监控和评审ISMS4.2.4维护和改进ISMS4.3文件要求5.管理职责6.ISMS的内部审核7.ISMS的管理评审8.ISMS改进附录A控制目标和控制措施附录BOECD原则与本标准附录CISO9001:2000和ISO14001:2004对照参考书目2ISO/IEC27001:2005的结构27001核心部分（条款4-8)27001核心部分27001辅助部分27001辅助部分LOGO2.127001核心内容（4-8条款）相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。(ISO270014.1总要求)LOGO2.2PDCA与4-8条款关系PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行ISMS方针、控制措施、过程和程序。4.2.2C-检查监视和评审ISMS对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。4.2.48规定你应该做什么并形成文件评审你所做的事情的符合性做文件已规定的事情采取纠正和预防措施，持续改进PLANDOCHECKACTLOGO条款的重要性本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。为了满足风险接受准则所必须进行的任何控制措施的删减（附录A），必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织提供由风险评估和适用法律法规要求所确定的安全需求的能力和/或责任，否则不能声称符合本标准。LOGO4.1总要求风险+PDCA+文件化的ISMS4.2.1建立ISMSa)范围(ScopeoftheISMS)b)策略(ISMSPolicy)c)~h)风险评估和管理(RiskManagement)i)管理者授权实施和运行ISMSj)适用声明(SOA)4.3文件要求5管理职责P：建立ISMS2.2PDCALOGO根据组织及其业务特点、位置、资产、技术，确定ISMS的范围和边界，包括对例外于此范围的对象作出详情和合理性的说明。组织：所有部门？还是某个业务部？业务：所有业务系统还是部门相关系统？位置：一个大楼？还是全北京，全省，全国？资产：软件、硬件、数据、服务、人员？拿证过外审须提交文件《ISMS范围》4.2.1a)ISMS范围2.2.1PDCA-4.2.1a)LOGO根据组织及其业务特点、位置、资产和技术，确定ISMS方针，应：1)为其目标建立一个框架并为信息安全行动建立整体的方向和原则；2)考虑业务和法律法规的要求，及合同中的安全义务；3)在组织的战略性风险管理环境下，建立和保持ISMS；4)建立风险评价的准则[见4.2.1c]；5)获得管理者批准。拿证过外审须提交文件《ISMS范围》4.2.1b)ISMSPolicy2.2.2PDCA-4.2.1b)LOGOC)风险