信息安全管理ppt课件

江苏金盾检测技术有限公司等级保护制度之信息安全管理1体系建立2基本概念1控制措施3客观、公正及时、满意2客观、公正及时、满意基本概念13客观、公正及时、满意“信息资产”可包括所有形式的数据、文件、通信件（如email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息系统和数据库等）也可作为一类信息资产。45Confidentiality保密性Availability可用性Integrity完整性6组织的信息资产可面临许多威胁，包括人员（内部人员和外人员）误操作（不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。7风险避免，风险降低，风险转移，风险接受安全性风险性安全需求高高低安全风险支出平衡点信息安全风险的管理8的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，最新版本为ISO27001:2013。我国于2008年发布了重要信息系统信息安全等级保护基本要求GB/T2223911有效的运行信息安全管理体系，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。责任证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。通过体系的计划、建立、运行与改进的全过程，逐步增强员工的安全意识、责任感和相关安全技能、规范组织信息安全行为，减少人为原因造成的不必要的损失。12有效的实现风险管理，有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。降低成本ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度13体系初步建立214•制定信息安全方针为信息安全管理提供导向和支持•控制目标和控制方式的选择建立在风险评估（技术与管理测评）基础之上•预防控制为主的思想原则•动态管理原则•全员参与原则•遵循管理的一般循环模式—PDCA持续改进模式15安全管理的主要要素要包括：建立信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。建立管理体系文件包括战略方针、过程程序文件、作业指导书和记录留痕的文件等。组织各类资源包括建立与实施安全管理体系所需要的合格人员、足够的资金和必要的设备等。安全管理体系建立要确保这些体系要素得到满足。161)信息安全管理机构的级别信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a)高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。b)中层：负责该组织日常信息安全的管理与监督活动。c)基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。信息安全管理机构17管理体系文件四级文件体系(基于国家等级保护基本要求）1.信息安全方针2.管理制度（程序文件）3.作业指导书（操作指南）4.运行记录（留痕文件）181.信息安全方针–需要遵从法律和合同要求–信息安全定义，总目标和范围，安全的重要性–职责（部门与人员）192.管理制度–规定控制范围及程序（注意持续改进闭环管理）（如：运维人员管理制度、网络管理制度、安全设备维护管理制度等）人员管理类机构管理类运行维护类系统建设类事务类（如《关于安全管理制度的修订办法）203.作业指导书–规范化的操作流程与工艺如《XX业务终端的使用方法》《门禁系统的操作方法与注意事项》214.运行记录–控制过程的留痕如《服务器外出维修申请单》《机房进出人员登记簿》22安全策略（防恶意代码）控制措施管理制度操作指南运行记录对内外网边界进行恶意代码防范部署防毒墙，对网络边界实行恶意代码查杀《关于防病毒网关的运行维护规定》定义维护部门人员病毒库更新办法供应商管理相关内容《防病毒网关的安装调试手册》等略重点对内网主机进行恶意代码防范防止计算机病毒的在内网扩散部署终端防病毒软件，对终端实行恶意代码查杀《关于终端防病毒软件的运行维护规定》《关于个人办公终端的使用规范》中的终端防病毒部分内容《防病毒系统服务器维护方法》《终端杀毒软件的安装》等略23组织各类资源–资金（基础安全设施建设、安全咨询机构、外部专家）–人员（三权分立各司其职）24控制措施325管理OR技术？26业务流程1业务目标业务流程2……IT过程1IT过程2……安全管控目标1安全管控目标2……IT管控措施1……通过识别风险确定控制目标，选择控制措施方式：安全评估与测试27决策层管理层业务安全决策安全战略规划安全保证决策信息安全领导小组信息安全管理部门安全管理系统安全工程安全保证管理信息安全执行部门实施与运作运行管理安全保证实施执行层28总体方针安全策略安全策略安全组织资产分类与控制人员安全物理与环境安全通信和操作管理访问控制系统开发与维护业务连续性管理遵循性国内外标准行业规范、自有规范操作手册、规范流程、细则安全管理制度29–物理安全–主机安全–网络安全–应用安全–数据安全–…30防病毒安全域划分与边界整合入侵检测系统日志审计系统设备安全加固整体安全体系技术体系建设补丁分发应用系统代码审核抗拒绝服务系统组织体系建设管理体系建设流量监控系统安全组织结构组织安全职责安全岗位设置岗位安全职责基础安全培训高级安全培训中级安全培训岗位考核管理安全管理培训安全巡检小组确定总体方针统一安全策略体系基础制度管理资产登记管理主机安全管理基础流程管理安全技术管理网络安全管理应用安全管理数据安全管理应急安全管理工程安全管理安全审计管理身份认证访问控制（防火墙，网络设备，隔离设备）安全通告漏洞扫描行为审计系统终端管理系统应急灾备中心VPN31谢谢！江苏金盾检测技术有限公司32