51CTO下载-CISP-16-信息安全管理体系

信息安全管理基础中国信息安全测评中心内容ƒ信息安全管理的相关标准ƒ信息安全管理实用规则ƒ如何建立信息安全管理体系国际信息安全管理的相关标准ƒ2005年4月，ISO正式确定将信息安全管理体系系统列标准编号定为ISO/IEC27000；ƒISO/IEC27000系统标准包括：1、ISO/IEC信息安全管理体系《信息安全管理体系要求》2、ISO/IEC27002《信息安全管理实用规则》3、ISO/IEC27003《信息安全管理体系实施指南》4、ISO/IEC27004《信息安全管理测量》5、ISO/IEC27005《信息安全风险管理》6、。。我国信息安全管理的相关标准ƒGB/T22080-2008《信息安全管理体系要求》ƒGB/T22081-2008《信息安全管理实用规则》信息安全管理实用规则十一类安全控制要求A。5、信息安全策略（SecurityPolicy）A。6、信息安全组织（Organisinginformationsecurity）A。7、资产管理(Assetmanagement)A。8、人力资源安全(Humanresourcessecurity)A。9、物理与环境安全(PhysicandEnvironmentSecurity)A。10、通信与运行管理(CommunicationandOperationManagement)A。11、访问控制(Accesscontrol)A。12、信息系统获取,开发与维护(Informationsystemsacquisition,developmentandmaintenance)A。13、信息安全事件管理(Informationsecurityincidentmanagement)A。14、业务持续性管理(Businesscontinuitymanagement)A。15、符合性(Compliance)如何理解安全控制要求标准使用注意事项ƒ不是所有的控制措施都适用于组织的各种情形ƒ所描述的控制措施也未考虑组织的环境和适用技术的限制ƒ所描述的控制措施并不是必须适用于组织中的所有人信息安全方针6、信息安全组织7、信息资产管理8、人力资源安全-任用前8、人力资源安全-任用中8、人力资源安全-任用后9、物理环境安全10、通信和操作管理10.1操作程序和职责10.2第三方服务交付管理10.3系统规划和验收10.4防范恶意和移动代码10.5备份10.6网络安全管理10.7介质处理10.8信息的交换10.9电子商务安全10.10监视11、访问控制11.1访问控制的业务要求11.2用户访问管理11.3用户职责11.4访问控制功能11.5操作系统访问控制11.6应用和信息访问控制11.7移动计算和远程工作12、信息系统获取、开发和维护12.1信息系统的安全要求12.2应用中的正确处理12.3密码控制12.4系统文件的安全12.5开发和支持过程的安全12.6技术脆弱性管理13、信息安全事故管理14、业务持续性管理15、符合性15.1符合法律要求15.2符合安全策略和标准以及技术符合性15.3信息系统审核考虑如何建立信息安全管理体系信息安全管理体系的核心内容相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系的核心内容PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行ISMS方针、控制措施、过程和程序。4.2.2C-检查监视和评审ISMS对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。4.2.48„4.1总要求文件化的ISMS„4.2.1建立ISMSa)范围b)方针c)~h)风险评估和管理i)管理者授权实施和运行ISMSj)适用声明„4.3文件要求„5管理职责‡P：建立ISMS信息安全管理体系的核心内容‡P：建立ISMS之4.3文件要求－文件的作用„是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。„是组织实际工作的标准。ISMS文件是根据ISMS标准和组织需要“量身定做”的实际工作的标准。对一般员工来说，在其实际工作中，可以不过问ISMS标准(ISO/IEC信息安全管理体系:2005)，但必须按照ISMS文件的要求执行工作。„是控制措施（controls）的重要部分。„提供客观证据--为满足相关方要求，以及持续改进提供依据。„提供适宜的内部培训的依据。„提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核。信息安全管理体系的核心内容序号文件名称标准条款说明1ISMS方针和目标4.3.1a)2ISMS范围4.3.1b)可合并，一般是《信息安全方针》。3风险评估方法的描述4.3.1d)4风险评估报告4.3.1e)可编制《风险评估程序》，其运行结果产生《风险评估报告》。5风险处理计划4.3.1f)可编制《风险处理程序》，其运行结果产生《风险处理计划》。6文件控制程序4.3.27记录控制程序4.3.38内部审核程序69纠正措施程序8.210预防措施程序8.3通常合并在一起，称为《纠正和预防措施程序》。11适用声明4.3.1i)12管理评审程序7.1在标准中，并没有称为“管理评审程序”，但作为管理体系，一般都要有。‡P：建立ISMS之4.3文件要求4.3.1总则－必需的ISMS文件包括：信息安全管理体系的核心内容‡P：建立ISMS之4.3文件要求4.3.2文件控制a)批准b)评审、更新并再批准；c)修订状态得到标识；d)在使用处可获得适用文件；e)清晰、易于识别；f)对需要的人员可用，传输、贮存和最终销毁；g)外来文件标识；h)分发控制；i)防止作废文件的非预期使用；j)作废文件的标识。信息安全管理体系的核心内容‡P：建立ISMS之4.3文件要求4.3.3记录控制a)建立并保持，以提供证据。b)保护和控制。应考虑相关法律法规要求和合同义务。c)清晰、易于识别和检索。d)记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。e)记录的详略程度应通过管理过程确定。f)应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。信息安全管理体系的核心内容‡P：建立ISMS之5管理职责5.1管理承诺－管理者应：a)制定ISMS方针；b)确保ISMS目标和计划得以制定；c)建立信息安全的角色和职责；d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e)提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；f)决定接受风险的准则和风险的可接受级别；g)确保ISMS内部审核的执行（见第6章）；h)实施ISMS的管理评审（见第7章）。信息安全管理体系的核心内容‡P：建立ISMS之5管理职责5.2资源管理5.2.1资源提供应确定并提供信息安全工作所需的资源－人、财、物5.2.1培训、意识和能力①确保所有分配有ISMS职责的人员具有执行所要求任务的能力②确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。信息安全管理体系的核心内容信息安全管理体系的核心内容PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行ISMS方针、控制措施、过程和程序。4.2.2C-检查监视和评审ISMS对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。4.2.48‡D：实施和运行ISMS之4.2.2a)制定风险处理计划（见第5章）。b)实施风险处理计划。c)实施4.2.1g）中所选择的控制措施。d)测量所选择的控制措施或控制措施集的有效性（见4.2.3c)）。e)实施培训和意识教育计划（见5.2.2）。f)管理ISMS的运行。g)管理ISMS的资源（见5.2）。h)事件和事故响应（见4.2.3a））。信息安全管理体系的核心内容信息安全管理体系的核心内容PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行ISMS方针、控制措施、过程和程序。4.2.2C-检查监视和评审ISMS对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。4.2.48‡C：监视和评审ISMS之4.2.3a)执行监视和评审程序和其它控制措施。b)ISMS有效性的定期评审。c)测量控制措施的有效性以验证安全要求是否被满足。d)按照计划的时间间隔进行风险评估的评审。e)按计划的时间间隔，对ISMS进行内部审核（见第6章）。f)定期对ISMS进行管理评审。g)考虑监视和评审活动的结果，以更新安全计划。h)记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。信息安全管理体系的核心内容‡C：监视和评审ISMS之6内部ISMS审核术语介绍„审核audit为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。„内部审核internalaudit有时称为第一方审核，用于内部目的的，由组织自己或以组织名义进行，可作为组织自我合格声明的基础。„审核员aditor有能力实施审核的人员。„审核方案auditprogramme针对特定时间段所策划，并具有特定目的的一组(一次或多次)审核。信息安全管理体系的核心内容‡C：监视和评审ISMS之6内部ISMS审核术语介绍„符合（合格）conformity满足要求。„不符合（不合格）nonconformity未满足要求。„验证verification通过提供客观证据对规定要求已得到满足的认定。„要求requirement明示的、通常隐含的或必须履行的需求或期望信息安全管理体系的核心内容‡C：监视和评审ISMS之6内部ISMS审核①按照计划的时间间隔进行内部ISMS审核。②审核方案。③审核的客观和公正，审核员不应审核自己的工作。④内审程序中的职责和要求。⑤受审核区域的管理者应消除不符合及其原因，并跟踪验证。⑥ISO19011:2002给出了审核指南。信息安全管理体系的核心内容‡C：监视和评审ISMS之7ISMS的管理评审术语介绍„评审review为确定主题事项达到规定目标的适宜性、充分性和有效性所进行的活动。也可包括确定效率。如管理评审、设计和开发评审、顾客要求评审等。信息安全管理体系的核心内容‡C：监视和评审ISMS之7ISMS的管理评审7.1总则①按照计划的时间间隔进行管理评审，至少一年一次。②包括评估ISMS改进的机会和变更的需要。③包括信息安全方针和信息安全目标。④评审报告和评审记录。信息安全管理体系的核心内容‡C：监视和评审ISMS之7ISMS的管理评审7.2评审输入a)ISMS审核和评审的结果；b)相关方的反馈；c)组织用于改进ISMS执行情况和有效性的技术、产品或程序；d)预防和纠正措施的状况；e)以往风险评估没有充分强调的脆弱点或威胁；f)有效性测量的结果；g)以往管理评审的跟踪措施；h)可能影