CISP课程培训知识总结

CISP课程培训知识总结机构名称讲师姓名2CISP课程培训知识总结（安全综合）主题一、信息安全保障基本知识二、信息安全保障实践三、信息安全管理体系四、信息安全风险管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程实践九、法律法规十、安全标准4课程内容5信息安全发展阶段6COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障CS/IA网络空间安全/信息安全保障阶段年代安全威胁安全措施通信安全20世纪，40—70年代搭线窃听、密码学分析加密计算机安全20世纪，70-90年代非法访问、恶意代码、脆弱口令等安全操作系统设计技术（TCB）信息系统安全20世纪，90年代后网络入侵、病毒破坏、信息对抗等防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等信息安全保障今天，……黑客、恐怖分子、信息战、自然灾难、电力中断等技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可网络安全空间/信息安全保障2009年开始国家安全的高度网络防御网络攻击网络利用信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。信息安全保障定义7技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期国家标准：《GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》信息系统安全保障模型8P2DR——策略、防护、检测、响应P2DR模型则更强调控制和对抗，即强调系统安全的动态性以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全特别考虑人为的管理因素分布式动态主动模型——P2DR模型9技术操作深度防御战略人人通过技术进行操作计算环境区域边界网络基础设施支撑性基础设施密钥管理检测响应成功的组织功能信息安全保障（IA）IATF框架10主题一、信息安全保障基本知识二、信息安全保障实践三、信息安全管理体系四、信息安全风险管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程实践九、法律法规十、安全标准1112课程内容12国家信息安全保障工作总体要求坚持积极防御、综合防范的方针，全面提高信息安全的防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。13信息安全保障工作的主要原则立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。14国家信息安全保障重点工作1.实行信息安全等级保护2.加强以密码技术为基础的信息保护和网络信任体系建设3.建设和完善信息安全监控体系4.重视信息安全应急处理工作5.加强信息安全技术研究开发，推进信息安全产业发展6.加强信息安全法制建设和标准化建设7.加快信息安全人才培训，增强全民信息安全意识8.保证信息安全资金9.加强对信息安全保障工作的领导，建立健全信息安全管理责任制1516制定信息安全保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品、人员、服务商、系统测评的方法和流程持续提高信息系统安全保障能力。信息系统安全监护和维护确定需求制定方案开展测评持续改进信息系统安全保障工作建设步骤1617国家信息安全测评主要对象信息产品安全测评信息系统安全测评服务商资质测评信息安全人员资质测评17主题一、信息安全保障基本知识二、信息安全保障实践三、信息安全管理体系四、信息安全风险管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程实践九、法律法规十、安全标准18三、信息安全管理体系19信息安全管理20什么是信息安全管理组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动信息安全管理工作的对象规则人员目标项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障后门未授权访问……自然灾害如：地震、火灾21安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识后门物理环境访问控制措施不当……22信息安全的风险模型23没有绝对的安全，只有相对的安全信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。24信息安全管理体系的定义信息安全管理体系（ISMS：InformationSecurityManagementSystem）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。25信息安全管理的特点明确建立管理体系的工作确定范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施管理体系建立有依据基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求强调过程和动态控制控制费用与风险平衡的原则合理选择安全控制方式26信息安全管理体系作用保护资产对组织的关键信息资产进行全面系统的保护，维持竞争优势；保护业务持续性在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；促进规范促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为；提高信心使组织的生意伙伴和客户对组织充满信心；27信息安全管理体系的理念技术因素人的因素管理因素28在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。ISO27000系列2927001ISMS要求27004ISMS度量指标和衡量27002ISMS实践准则27000：《ISMS基础和词汇》30正在启动的新标准项目；它将主要以ISO/IEC13335-1:2004《信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型》为基础进行研究；该标准将规定27000系列标准所共用的基本原则、概念和词汇。27001：《信息安全管理体系要求》312005年10月15日发布；规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求；基于风险管理的思想，旨在通过持续改进的过程（PDCA模型）使组织达到有效的信息安全；使用了和ISO9001、ISO14001相同的管理体系过程模型；是一个用于认证和审核的标准；27002：《信息安全管理实用规则》32即17799，2005年6月15日发布第二版；包含有11个安全类别、39个控制目标、138个控制措施；实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；是一个行业最佳惯例的汇总集，而不是一个认证和审核标准；27003：《ISMS实施指南》33目前处于工作草案阶段；它主要以BS7799-2:2002附录B的内容为基础进行制定；提供了27001具体实施的指南。27004：《信息安全管理度量》34旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。27005：《信息安全风险管理》35目前处于委员会草案阶段；它将主要以ISO/IEC13335-2为基础进行制定；描述了信息安全风险管理的过程及每个过程的详细内容。信息安全管理体系建设（一）信息安全管理体系的规划和建立（P)（二）信息安全管理体系的实施和运行(D)（三）信息安全管理体系的监视和评审(C)（四）信息安全管理体系的保持和改进(A)36信息安全管理体系循环框架37《GB/T22080-2008信息安全技术信息安全管理体系要》.信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立(plan)实施和运行(do)监视和评审check保持和改进action相关方信息安全要求和期望相关方受控的信息安全3、信息安全管理体系文档框架38信息安全管理体系规划和建立P1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA39信息安全管理控制规范十一项条款（一）信息安全策略（二）信息安全组织（三）人力资源安全（四）信息资产分类与控制（五）信息安全访问控制（六）物理与环境安全（七）系统开发与维护（八）通信与运营安全（九）信息安全事故管理（十）业务持续性管理（十一）符合性40主题一、信息安全保障基本知识二、信息安全保障实践三、信息安全管理体系四、信息安全风险管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程实践九、法律法规十、安全标准4142四、信息安全风险管理通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。43什么是信息安全风险管理定义一：GB/Z24364《信息安全风险管理指南》信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。44何时作风险管理信息安全风险管理是信息安全保障工作中的一项基础性工作是需要贯穿信息系统生命周期，持续进行的工作规划设计实施运维废弃45信息安全风险术语资产（Asset）威胁源（ThreatAgent）威胁（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影响（Impact,loss）风险（Risk）残余风险（ResidentalRisk）46信息安全风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询GB/Z24364《信息安全风险管理指南》四个阶段，两个贯穿。--47信息系统风险评估风险评估的政策要求风险评估的流程48风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定风险处理计划并评估