CISM0302信息安全管理体系_V30(XXXX年)

信息安全管理体系中国信息安全测评中心版本：3.0课程内容2信息安全管理信息安全管理体系信息安全管理控制措施信息安全管理体系概念信息安全管理基础知识体：信息安全管理体系知识域：信息安全管理体系概念理解信息安全管理体系（ISMS）的概念和核心过程了解信息安全管理体系文档要求了解ISO/IEC27000标准族3管理体系相关概念4体系相互关联和相互作用的一组要素（--ISO9000:2005质量管理体系基础和术语）管理体系：建立方针和目标并达到目标的体系（--ISO9000:2005质量管理体系基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架（--ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）管理体系5ISO9000质量管理体系ISO14000环境管理体系OHSAS职业健康安全管理体系ISO/IEC27000信息安全管理体系ISO/IEC20000服务管理体系ISO22000食品安全管理体系管理体系ManagementSystem信息安全管理体系什么是信息安全管理体系InformationSecurityManagementSystem，ISMS是管理体系方法在信息安全领域的运用6信息安全管理体系ISMS信息安全管理体系信息安全管理体系是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的体系一般地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，这些要素既相互关联，又相互作用7信息安全管理体系的作用对内形成单位可自我持续改进的信息安全管理机制使信息安全的角色和职责清晰，并落实到人确保实现动态的、系统的、制度化的信息安全管理有利于根本上保证业务的连续性，提高市场竞争力对外能够使客户、业务伙伴对单位信息安全充满信心有助于界定外包双方的信息安全责任可以使单位更好地满足审计要求和符合法律法规保证和外部数据交换中的信息安全8作用解释ISMS是一个通用的信息安全管理指南不是说明“怎么做”的详细细节而是具有普遍意义的安全操作规则指南指导单位在信息安全管理方面要做什么，如何选择适宜的安全管理控制措施ISMS过程信息安全管理体系标准要求建立ISMS过程制定信息安全策略，确定体系范围，明确管理职责单位应该实施、维护和持续改进该体系，保持其有效性9ISMS过程10相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do改进Act建立ISMS建立ISMS，PLAN主要工作定义ISMS范围和边界•《ISMS范围说明书》：组织结构范围、业务范围、信息系统范围和物理范围制定ISMS方针和策略实施风险评估•识别风险、分析和评价风险11实施和运行ISMS实施和运行ISMS，DO主要工作制定风险处理计划实施风险处理计划制定有效性测量程序管理ISMS的运行12监视和评审ISMS监视和评审ISMS，CHECK主要工作日常监视和检查有效性测量内部审核风险再评估管理评审13保持和改进ISMS保持和改进ISMS，ACT主要工作实施纠正和预防措施持续改进ISMS沟通措施改进情况14ISMS的核心过程可以概括为4句话1.规定你应该做什么并形成文件：P2.做文件已规定的事情：D3.评审你所做的事情的符合性：C4.采取纠正和预防措施，持续改进：A用PDCA来理解什么是信息安全管理体系1516一级文档：宏观方针性文档二级文档：管控程序及管理制度性文档三级文档：操作指南及作业指导书类四级文档：体系运行的各种记录下级文件应支持上级文件。信息安全管理体系文档要求BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础1995年2月——首次出版BS7799-1:1995《信息安全管理实用规则》1998年2月——英国公布BS7799-2:《信息安全管理体系要求》,1999年4月修订2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799:2000《信息安全管理实用规则》2002年9月——BSI对BS7799-2进行了改版2005年6月——ISO17799:2000改版，成为ISO/IEC17799:20052005年10月——ISO正式采用BS7799-2:2002，命名为ISO/IEC27001:20052007年7月——ISO17799:2005归入ISO27000系列，命名为ISO/IEC27002:20052008年6月-中国等同采用ISO27001:2005,命名为GB/T22080-2008中国等同采用ISO27002:2005,命名为GB/T22081-20082013年10月——ISO正式发布ISO/IEC27001:2013和ISO/IEC27002:2013ISO/IEC27000标准簇介绍17BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC27000标准簇介绍BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系1819ISO/IEC27000系列已经制定标准：21个正在制定标准：11个ISO/IEC27000标准簇介绍270002700527004270032700227001……27000信息安全管理体系概述和术语27001信息安全管理体系要求27002信息安全管理实用规则27003信息安全管理体系实施指南27004信息安全管理测量27005信息安全风险管理27006信息安全管理体系审核和认证机构要求27007信息安全管理体系审核指南27008信息安全管理体系控制措施审核员指南……ISMS标准我国采标情况各国等同采标我国采标情况20序号国际标准采标形式国家标准1ISO/IEC27000:2009等同采用《信息安全管理体系概述和词汇》（GB/T29246-2012）2ISO/IEC27001:2005等同采用《信息安全管理体系要求》（GBT22080-2008）3ISO/IEC27002:2005等同采用《信息安全管理实用规则》（GB/T22081-2008）4ISO/IEC27006:2007等同采用《信息安全管理体系审核认证机构的要求》（GB/T25067-2010）知识体：信息安全管理体系知识域：信息安全管理控制措施了解信息安全管理控制措施的作用理解安全方针、信息安全组织、资产管理、人力资源管理、物理和环境安全等管理域的控制目标和主要控制措施了解通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理等管理域的控制目标和控制措施21信息安全控制措施控制措施是实施信息安全管理的方法和手段单位通过实施一组适当的安全控制措施，保护信息资产，抵御威胁并减少系统脆弱性，降低安全风险，达到信息安全目标控制措施涉及行政、技术和管理等方面如何制定信息安全控制措施自己制定本单位的信息安全管理控制措施学习别人实践经验，参考国际/国家标准•《信息安全管理实用规则》（ISO27002）•《信息安全管理实用规则》（GB/T22081）22ISMS信息安全管理域23安全方针信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理信息系统获取开发和维护访问控制信息安全事件管理业务连续性管理符合性•《信息安全管理实用规则》（ISO27002:2005）•《信息安全管理实用规则》（GB/T22081-2008）信息安全管理实用规则（GB/T22081-2008）11个域39个目标133个控制措施24信息安全管理实用规则每个主要安全域，包括：控制目标，声明要实现什么一个或多个控制措施，用于实现该控制目标每个（安全）控制措施的描述内容控制措施：是对该控制措施的定义实施指南：是对实施该控制措施的指导性说明其它信息：其它需要说明的补充信息，如法律考虑25什么是控制措施什么是控制措施管理风险的方法。为达成企业目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：•预防性控制•检查性控制•纠正性控制26不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用1.安全方针27Why?有没有遇到过这样的事情？案例1•有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”案例2•据说作为管理人员要把个人计算机的登录口令设置好，怎么设置才符合要求呢？这些问题需要先在“安全方针”中寻找答案28安全方针控制目标控制目标制定信息安全方针评审信息安全方针信息安全方针应该做到对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程29具体解释信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求，为安全管理工作提供指导和支持信息安全方针应当说明以下问题：本单位信息安全的整体目标、范围以及重要性；信息安全工作的基本原则；风险评估和风险控制措施的架构；需要遵守的法规和制度；信息安全责任分配；信息系统用户和运行维护人员应该遵守的规则30关键点主要内容一般包括信息安全的整体目标、范围、原则、控制措施的框架、重要安全策略和需要遵守的各项规定等信息安全方针文件应由高层管理者审批后，作为正式文件发布，并有效传达给所有员工信息安全方针不是一成不变的，要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整31举例——《XX系统信息安全总体策略》安全方针概述XX系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是XX系统的关键资产信息的可用性、完整性和保密性是信息安全的基本要素，关系到XX机关的形象和业务的持续运行。必须保护这些资产不受威胁侵害定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任32举例——《XX系统信息安全总体策略》安全方针概述资产分类和控制信息分类•资产分类：信息资产，包括计算机和网络，应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法，并根据分级和分类办法制定明晰的资产清单•敏感信息、关键信息资产的可审计性计算机和网络的运行管理332.信息安全组织34Why?有没有遇到过这样的事情？案例1•我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2•我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？应该有一群人，至少包括单位领导、技术部门和行政部门的人，组织在一起，专门负责信息安全的事35控制目标控制目标内部组织•在组织内部建立信息安全框架外部组织•识别和控制外部合作过程中的风险，保证单位信息和信息系统安全性36具体解释为有效实施信息安全管理，保障和实施系统的信息安全，需要建立相应的组织架构信息安全责任的重要性在一个机构中，安全角色与责任