[精选]26安全管理技术jaf.pptx

安全管理技术安全管理技术计算机网络安全技术主要内容主要内容传统网络管理技术及其发展传统网络管理技术及其发展安全管理的必要性安全管理的必要性基于基于ESM理念的安全管理机制理念的安全管理机制安全管理系统的基本功能安全管理系统的基本功能信息信息安全管理安全管理标准简介标准简介传统网络管理传统网络管理技术及其发展技术及其发展网络管理的基本任务网络管理的基本任务及时了解网络拓扑及时了解网络拓扑变化变化及时及时检测检测网络内网络内各各条线路的条线路的流量流量，能能统计各线统计各线路丢包率、错包率，为线路性能的分析提供科路丢包率、错包率，为线路性能的分析提供科学学依据依据及时发现网络故障发生及时发现网络故障发生点点。记录网络设备、线。记录网络设备、线路、终端、病毒、非法入网、违规操作、相关路、终端、病毒、非法入网、违规操作、相关告警设置等各种严重和一般告警告警设置等各种严重和一般告警信息信息进行设备的进行设备的配置管理配置管理进行日志管理，分门别类记录网络的各种进行日志管理，分门别类记录网络的各种故障故障进行安全管理进行安全管理传统网络管理传统网络管理技术及其发展技术及其发展ISO的的FCAPS模型模型故障故障管理（管理（Fault Management）配置管理配置管理（Configuration Management）计费计费管理管理（Accounting Management）性能性能管理（管理（Performance Management）安全管理安全管理（Security Management）传统网络管理传统网络管理技术及其发展技术及其发展故障管理故障管理网络故障对网络中故障进行检测、隔离、报告和修网络故障对网络中故障进行检测、隔离、报告和修复复。目标目标是保证计算机网络组件的稳定性、可用性和可是保证计算机网络组件的稳定性、可用性和可服务性，即服务性，即Reliability，Availability and Serviceability，简称，简称RAS。基本功基本功能能检测被管对象的差错现象，接收被管对象的差错事件报告（也称故障单，Trouble Ticket）；执行诊断测试、确定故障位置和性质；当存在备用设备或迂回路由时，提供新的网络资源用于服务；通过设备的维护或更换等措施进行修复；维护差错日志文件，记录差错信息，分析故障原因。传统网络管理传统网络管理技术及其发展技术及其发展配置管理配置管理配置管理是提供了标识、收集、更改网络配置数据配置管理是提供了标识、收集、更改网络配置数据的功能，目的是为了实现网络的最优化服务功能。的功能，目的是为了实现网络的最优化服务功能。基本功能基本功能收集网络配置信息；修改网络配置信息；安装软件；存取配置信息；发现和显示网络的拓扑结构；生成配置报告。传统网络管理传统网络管理技术及其发展技术及其发展计费管理计费管理计费管理计费管理用来度量网络资源的使用情况，目的用来度量网络资源的使用情况，目的是控制和监测各类网络服务的费用和成本。是控制和监测各类网络服务的费用和成本。基本功能基本功能记录用户使用网络资源的情况和计算费用；统计网络利用率等效益数据，为网络运营部门提供制定资费政策的依据。传统网络管理传统网络管理技术及其发展技术及其发展性能管理性能管理性能管理的主要功能是以网络性能为准收集、性能管理的主要功能是以网络性能为准收集、分析和调整被管对象的状态，其目的是保证网分析和调整被管对象的状态，其目的是保证网络提供可靠、连续的服务。络提供可靠、连续的服务。基本功能基本功能从被管对象中收集、统计与性能有关的数据，并产生相应记录分析性能信息，检测性能故障，产生性能告警等报告预测性能的长期变化趋势控制被管对象，保证网络的性能指标传统网络管理传统网络管理技术及其发展技术及其发展安全管理安全管理网络安全管理包括进网络安全管理包括进网安全防护，限制非法入侵者网安全防护，限制非法入侵者入网入网；应用软件；应用软件访问的安全防护，检查用户访问软访问的安全防护，检查用户访问软件的权限件的权限；网络；网络传输信息的安全防护，对网络传输传输信息的安全防护，对网络传输信息的加密、信息的加密、防窃听、防窃听、防破坏和篡改等等防破坏和篡改等等。基本功基本功能能安全措施信息的管理，如用户口令、密钥、访问权限的管理，并根据安全措施信息判断非法操作，拒绝非法操作。安全审查，检查网络各种潜在安全漏洞；安全报告，对影响网络安全事件进行记录、形成报告网络操作事件的记录，记录用户登录、退出，记录涉及网络安全的网络操作，以便进行安全追查等事后分析。传统网络管理技术及其发展传统网络管理技术及其发展网络管理体系结构网络管理体系结构网络管理网络管理实体实体网络管理协议网络管理协议管理代理管理代理管理管理信息库信息库传统网络管理技术及其发展传统网络管理技术及其发展网络管理体系结构网络管理体系结构网络管理实体（网络管理实体（Entity）即网络管理）即网络管理系统进程系统进程，它向运行在各网络设备上的网络管理代理它向运行在各网络设备上的网络管理代理（Agent）程序发出指令，对各种网络设备、网）程序发出指令，对各种网络设备、网络资源进行监控和控制。络资源进行监控和控制。网络管理协议是网络管理实体与网络管理代理网络管理协议是网络管理实体与网络管理代理程序间进行通信所遵守的规则和约定。程序间进行通信所遵守的规则和约定。传统网络管理技术及其发展传统网络管理技术及其发展网络管理体系结构网络管理体系结构网络管理代理是驻留在网络设备、网络资源等网络管理代理是驻留在网络设备、网络资源等网络实体上的，被网络管理实体控制的网络实体上的，被网络管理实体控制的进程。进程。接收网络管理实体发来的指令；从管理信息库中读取或修改被管理对象的各种配置信息；以通知的形式向网络管理实体报告被管理对象上发生的重要事件。管理信息库（管理信息库（Management Information Base，MIB）是被管理对象的信息集合）是被管理对象的信息集合。传统网络管理技术及其发展传统网络管理技术及其发展SNMP协议协议全称：简单网络管理协议（全称：简单网络管理协议（Simple Network Management Protocol）使管理者通过轮询被管代理，和被管代理自动使管理者通过轮询被管代理，和被管代理自动发给管理者的陷阱（发给管理者的陷阱（trap）信息，来）信息，来设置被设置被管管对象的属性和对象的属性和监控网络监控网络事件的发生，从而达到事件的发生，从而达到网络管理网络管理目的目的SNMP是基于是基于TCP/IP协议的应用层协议，采用无协议的应用层协议，采用无连接的传输层协议连接的传输层协议UDP传送网络管理传送网络管理报文报文传统网络管理技术及其发展传统网络管理技术及其发展SNMP协议协议SNMP的结构分为的结构分为SNMP管理者（管理者（SNMP Manager）和）和SNMP代理（代理（SNMP Agent）每每一个支持一个支持SNMP的网络设备中包含一个的网络设备中包含一个SNMP Agent，它随时记录网络设备的各种它随时记录网络设备的各种情况情况SNMP提供提供的管理的管理操作操作管理进程从代理处获取被管对象的信息；管理进程通过代理设置或修改被管对象的属性传统网络管理技术及其发展传统网络管理技术及其发展基于基于Web的网络管理（的网络管理（Web-Based Management，WBM）使用使用Web浏览器作为客户端浏览器作为客户端使用使用HTTP协议传输数据协议传输数据优点优点网管终端的可移动性地理上脱离了网管中心跨硬件平台和操作系统统一的管理界面平台独立性（适应不同的操作系统、体系结构、网络协议）互操作性（通过浏览器在不同管理系统之间切换）传统网络管理技术及其发展传统网络管理技术及其发展基于基于Web的网络管理的实现方案的网络管理的实现方案基于代理管理器的基于代理管理器的方案方案在网络管理平台上叠加一个Web服务器，使其成为浏览器用户的网络管理代理管理器传统网络管理技术及其发展传统网络管理技术及其发展基于基于Web的网络管理的实现方案的网络管理的实现方案嵌入式方案嵌入式方案将Web能力嵌入到被管设备中每个设备都有自己的Web地址，使管理人员可以通过浏览器和HTTP协议直接进行访问和管理传统网络管理技术及其发展传统网络管理技术及其发展基于基于CORBA的网络管理的网络管理CORBA（Common Object Request Broker Architecture，公共对象请求代理体系结构），公共对象请求代理体系结构）OMG（Object Management Group）为解决分布式处理环境下硬件和软件系统的互联互通而提出的一种解决方案利用对象请求代理（ORB）作为组件通信的软总线，用户可以透明地访问信息，而不必知道目标所在的软硬件平台或所在网络的具体位置传统网络管理技术及其发展传统网络管理技术及其发展基于基于CORBA的网络管理的网络管理CORBA的特性的特性独立于网络协议独立于编程语言独立于软硬件平台为可移植的、面向对象的分布式计算应用程序提供了不依赖于平台的编程接口和模型基于基于CORBA的网络管理的网络管理利用CORBA实现管理系统利用CORBA定义被管对象利用CORBA实现完整的网络管理系统传统网络管理技术及其发展传统网络管理技术及其发展基于基于CORBA的网络管理的网络管理SNMP/CORBA网关模型网关模型发挥现有网管模型在管理信息定义和通信协议方面的优势利用CORBA分布式和编程简单的特点，实现管理系统被管系统仍然采用传统模式安全管理的必要性安全管理的必要性通常的信息安全建设方法通常的信息安全建设方法采购各种安全产品，由产品厂商提供方案：采购各种安全产品，由产品厂商提供方案：防病毒，防火墙，IDS，Scanner，VPN等通常通常由由IT部门的技术人员兼职负责日常维护，甚至根本部门的技术人员兼职负责日常维护，甚至根本没有日常维护没有日常维护是是一种以产品为核心的信息安全解决方案一种以产品为核心的信息安全解决方案存在存在众多不足：众多不足：难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？管理和服务跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描代替风险评估，对风险的认识很不全面这种这种方法是方法是“头痛医头，脚痛医脚头痛医头，脚痛医脚”，很难实现整体安，很难实现整体安全全不同不同厂商、不同产品之间的协调也是厂商、不同产品之间的协调也是难题难题安全管理的必要性安全管理的必要性真正有效地信息安全建设真正有效地信息安全建设技术和产品是基础，管理才是关键技术和产品是基础，管理才是关键产品产品和技术，要通过管理的组织职能才能发挥最佳和技术，要通过管理的组织职能才能发挥最佳作用作用技术技术不高但管理良好的系统远比技术高超但管理混不高但管理良好的系统远比技术高超但管理混乱的系统安全乱的系统安全先进先进、易于理解、方便操作的安全策略对信息安全、易于理解、方便操作的安全策略对信息安全至关重要至关重要建立建立一个管理框架，让好的安全策略在这个框架内一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全可重复实施，并不断得到修正，就会拥有持续安全根本上根本上说，信息安全是个管理过程，而不是技术说，信息安全是个管理过程，而不是技术过过程程三分技术，七分管理三分技术，七分管理安全管理的必要性安全管理的必要性传统网络管理中的安全管理功能不足传统网络管理中的安全管理功能不足传统网络管理架构不能完全满足需要传统网络管理架构不能完全满足需要某些安全设备不支持某些安全设备不支持SNMP协议协议某些某些安全设备不具备完整的安全设备不具备完整的MIB库库SNMP协议本身不适合传输安全事件和安全日协议本身不适合传输安全事件和安全日志信息志信息SNMP不支持联动和协同不支持联动和协同难以实现安全事件的定位和追溯难以实现安全事件的定位和追溯难以难以实现全网安全策略的部署实现全网安全策略的部署安全管理的必要性安全管理的必要性加入全面安全管理职能单元的必要性加入全面安全管理职能单元的必要性实现各类实现各类计算机安全技术、产品之间的协调与计算机安全技术、产品之间的协调与联动，实现有机化联动，实现有机化充分充分发挥各类安全技术和产品的功能发挥各类安全技术和产品的功能整体安全能力大幅度提高整体安全能力大幅度提高实现计算机安全手段与现有计算机网络应用系实现计算机安全手段与现有计算机网络应用系统的统的一体化一体化使全网安全事件准确定位以及全网安全策略制使全网安全事件准确定位以及全网安全策略制定成为可能定成为可能基于基于ESM理念理念的安全管理机制的安全管理机制ESM（Enterprise Security Management）一种整体安全一种整体安全框架，其主要思想是采用多种智能框架，其主要思想是采用多种智能Agent和安全控制中心，在同一安全策略（和安全控制中心，在同一安全策略（Security Policy）的指导下，将系统中的各个安全部件协同）的指导下，将系统中的各个安全部件协同起来，实现总体的安全策略，并且能够在多个安全起来，实现总体的安全策略，并且能够在多个安全部件协同的基础上实现监控、报表处理、统计分析部件协同的基础上实现监控、报表处理、统计分析等。等。主要是为了主要是为了解决各类安全产品各自为战、难以组成解决各类安全产品各自为战、难以组成一个整体安全防御体系的问题。一个整体安全防御体系的问题。ESM具有适应性强、可扩充性强、集中化安全管理具有适应性强、可扩充性强、集中化安全管理等优点。等优点。安全管理系统的基本功能安全管理系统的基本功能统一监控和管理统一监控和管理收集各类收集各类信息信息性能资源日志监控信息系统运行状况监控信息系统运行状况信息服务系统信息安全系统发现异常情况发现异常情况向向各各种安全种安全机制发布相应的总体安全策略机制发布相应的总体安全策略实现对安全机制的实时操控实现对安全机制的实时操控收集各种安全机制执行安全策略的结果收集各种安全机制执行安全策略的结果安全管理系统的基本功能安全管理系统的基本功能安全协同安全协同利用原有设备之间的互动功能，部署安全联动利用原有设备之间的互动功能，部署安全联动策略，并监视联动执行情况策略，并监视联动执行情况收集安全系统产生的数据，采用自动或手动响收集安全系统产生的数据，采用自动或手动响应引擎，根据事先定义的安全策略及规则，对应引擎，根据事先定义的安全策略及规则，对相关安全系统进行设置和操控，实现安全系统相关安全系统进行设置和操控，实现安全系统之间的间接联动之间的间接联动安全管理系统的基本功能安全管理系统的基本功能基于权限控制的统一管理和区域自治基于权限控制的统一管理和区域自治提供统一管理提供统一管理功能功能为不同级别和性质的管理员提供其对应权限的为不同级别和性质的管理员提供其对应权限的管理视图管理视图提供区域自治能力提供区域自治能力对特定管辖区域的安全设备和安全系统实现自治管理对分布在整网中的某个单一安全子系统实现整体安全策略的发布和状态监控安全管理系统的基本功能安全管理系统的基本功能安全事件的处理安全事件的处理对重复安全事件的合并处理对重复安全事件的合并处理对相互管理的安全事件进行合并处理对相互管理的安全事件进行合并处理根据根据相近零碎的历史事件集合对安全事件进行确认相近零碎的历史事件集合对安全事件进行确认智能判断事件的真正起因智能判断事件的真正起因，并提供人工修正判断的，并提供人工修正判断的机制机制根据根据管理人员的管理人员的职责，将合并与确认后的事件通知职责，将合并与确认后的事件通知相应责任人，并提供处理建议相应责任人，并提供处理建议根据责任人处理事件的情况以及结果，确定是否对根据责任人处理事件的情况以及结果，确定是否对事件性质进行升级事件性质进行升级安全管理系统的基本功能安全管理系统的基本功能告警告警管理控制管理控制台告警台告警声音管理界面消息消息通知通知Email手机短信即时通信安全管理系统的基本功能安全管理系统的基本功能统计分析与决策支持统计分析与决策支持对安全事件的对安全事件的类型、来源、目的、产生的效果、类型、来源、目的、产生的效果、起因、发生的时间段进行综合分析，得到宏观起因、发生的时间段进行综合分析，得到宏观的规律的规律对重要事件的来源对重要事件的来源进行综合查证，精确定位进行综合查证，精确定位对相近时间段发生的各种事件进行相关性分析，对相近时间段发生的各种事件进行相关性分析，得出各类不同事件相互联系的规律，并指导自得出各类不同事件相互联系的规律，并指导自动联动规则和安全策略的制定动联动规则和安全策略的制定根据宏观统计的根据宏观统计的结果，提供决策支持，并进行结果，提供决策支持，并进行知识积累，为各类安全事件提供知识积累，为各类安全事件提供处理处理建议建议安全管理系统的基本功能安全管理系统的基本功能支持应急响应支持应急响应系统系统自身考虑备份和应急措施自身考虑备份和应急措施支持应急响应预案，可以定义应急情况和应急支持应急响应预案，可以定义应急情况和应急响应措施响应措施能通过能通过综合分析，及时发现系统的严重异常情综合分析，及时发现系统的严重异常情况，并及时以实现定义的措施通知责任人员况，并及时以实现定义的措施通知责任人员在在确认处于紧急情况的前提下，系统自动执行确认处于紧急情况的前提下，系统自动执行应急预案中设定的批量操作，并进行全程跟踪应急预案中设定的批量操作，并进行全程跟踪和记录和记录信息安全管理标准简介信息安全管理标准简介ISO/IEC 13335旧版被旧版被称作称作“IT 安全管理指南安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版称作），新版称作“信息信息和通信技术安全管理和通信技术安全管理”（Management of Information and Communications Technology Security，MICTS）是是ISO/IEC JTC1 制定的技术报告，是一个信息安全管理方制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施面的指导性标准，其目的是为有效实施IT安全管理提供建议安全管理提供建议和支持和支持。由由5部分标准部分标准组成组成ISO/IEC13335-1:1996IT安全的概念与模型ISO/IEC13335-2:1997IT安全管理和策划ISO/IEC13335-3:1998IT安全管理技术ISO/IEC13335-4:2000安全措施的选择ISO/IEC13335-5:2001网络安全管理指南信息安全管理标准简介信息安全管理标准简介ISO/IEC 13335目前目前，ISO/IEC 13335-1:1996 已经被新的已经被新的ISO/IEC 13335-1:2004（MICTS 第第1部分：信部分：信息和通信技术安全管理的概念和模型）所取代，息和通信技术安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也将被正在开发的也将被正在开发的ISO/IEC 13335-2（MICTS 第第2 部分：信息安部分：信息安全风险管理）取代全风险管理）取代。ISO/IEC TR 13335 只是一个技术报告和指导性只是一个技术报告和指导性文件，并不是可依据的认证标准，信息安全体文件，并不是可依据的认证标准，信息安全体系建设参考系建设参考BS 7799，具体具体实践可以参考实践可以参考ISO/IEC 13335信息安全管理标准简介信息安全管理标准简介BS7799被信息界喻为被信息界喻为“滴水不漏的信息安全管理标准滴水不漏的信息安全管理标准”BS7799是英国标准协会（是英国标准协会（British Standards Institute，BSI）于）于1995年年2月制定的信息安全月制定的信息安全管理管理标准标准BS7799分分两个两个部分部分BS7799-1(ISO/IEC17799)：信息安全管理实施细则BS7799-2(ISO/IEC27001)：信息安全管理系统规范信息安全管理标准简介信息安全管理标准简介BS7799BS7799-1信息安全管理实施细则信息安全管理实施细则2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准。主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全BS7799-2信息信息安全管理系统安全管理系统规范规范于2005年成为正式的ISO标准，即ISO/IEC 27001:2005详细说明了建立、实施和维护信息安全管理系统（ISMS）的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制信息安全管理标准简介信息安全管理标准简介1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。信息安全管理标准简介信息安全管理标准简介ISO/IEC 17799:2005安全策略安全策略组织信息安全组织信息安全资产管理资产管理人力资源安全人力资源安全物理和环境安全物理和环境安全通信和操作管理通信和操作管理访问控制访问控制信息系统获取、开发和维护信息系统获取、开发和维护信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理符合符合性性提供了一套由最佳实践提供了一套由最佳实践构成的控制目标和控制，构成的控制目标和控制，涉及涉及1111个方面，包括个方面，包括3939个控制目标和个控制目标和133133项控制项控制措施措施,可作为参考文件使可作为参考文件使用，但并不是认证评审用，但并不是认证评审的依据。的依据。ISO17799:2005信息安全管理标准简介信息安全管理标准简介ISO/IEC 17799:2005安全策略安全策略 Security policy人力资源安人力资源安全全 Human resources security物理与环境安全物理与环境安全 Physical and environmental security通信与操作管理通信与操作管理 Communications and operations management信息系统获取、开信息系统获取、开发和维护发和维护 Information systems acquisition,development and maintenance组织信息安全组织信息安全 Organizing information security资产管理资产管理 Asset management访问控制访问控制 Access control信息安全事件管理信息安全事件管理 Information security incident management业务连续性管理业务连续性管理 Business continuity management符合性符合性 Compliance信息安全管理标准简介信息安全管理标准简介ISO/IEC 17799:20051111个方面个方面3939个目标个目标133133个控制措施个控制措施1010个方面个方面3636个目标个目标127127个控制措施个控制措施对比对比ISO17799:2000旧版旧版信息安全管理标准简介信息安全管理标准简介ISO/IEC 27001:2005简介简介概要过程方法与其他管理体系的兼容性1范围范围1.1 概要1.2 应用2标准引用标准引用3术语和定义术语和定义4信息安全管理体系信息安全管理体系4.1 一般要求4.2 建立并管理ISMS4.2.1 建立ISMS4.2.2 实施和运行ISMS4.2.3 监督和评估ISMS4.2.4 维护和改进ISMS4.3 文件要求4.3.1 概要4.3.2 文件控制4.3.3 记录控制ISO27001:20055 管理责任管理责任5.1 管理承诺5.2 资源管理5.2.1 资源提供5.2.2 培训、意识和资格6 内部内部ISMS审计审计7 对对ISMS的管理评审的管理评审7.1 概要7.2 评审输入7.3 复审输出8 ISMS改进改进8.1 持续改进8.2 纠正措施8.3 预防措施ISO27001:2005附录附录A 控制目标和控制控制目标和控制A.5 安全策略A.6 组织信息安全A.7 资产管理A.8 人力资源管理A.9 物理和环境安全A.10 通信和操作管理A.11 访问控制A.12 信息系统获取、开发和维护A.13 信息安全事件管理A.14 业务连续性管理A.15 符合性附录附录B OECD原则与本标准原则与本标准附录附录C ISO 9001:2000，ISO 14001:1996和本标准和本标准ISO27001:2005信息安全管理标准简介信息安全管理标准简介ISO/IEC 27001:2005ISO27001标准对信息安全管理体系（标准对信息安全管理体系（ISMS）并没）并没有一个十分明确的定义，可以将其理解为组织管理有一个十分明确的定义，可以将其理解为组织管理体系的一部分。体系的一部分。ISMS涉及到的内容：用于组织信息资产风险管理、涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。程序、过程和资源。标准标准要求的要求的ISMS建立过程：制定信息安全策略，建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。遵循控制目标和控制方式。遵循PDCA。体系体系一旦建立，组织应该按规定要求进行运作，保一旦建立，组织应该按规定要求进行运作，保持体系的有效性持体系的有效性。信息安全管理标准简介信息安全管理标准简介ISMS（信息安全管理（信息安全管理体系，体系，Information Security Management System）在信息安全方面指导和控制组织，用以实现信息安在信息安全方面指导和控制组织，用以实现信息安全目标的相互关联和相关作用的一组要素。全目标的相互关联和相关作用的一组要素。通常通常包括：包括：信息安全组织结构各种活动和过程信息安全管理体系文件信息安全控制措施人力物力等资源信息安全管理标准简介信息安全管理标准简介ISMS的重要的重要原则原则管理层足够重视管理层足够重视组织保障指明方向和目标权威预算保障，提供所需的资源监督检查需要需要全员参与全员参与信息安全不仅仅是IT部门的事情每个员工都应明白随时可能出现的安全问题每个员工都应具备相关的安全意识和能力让每个员工都明确自己承担的安全责任遵循遵循过程的方法过程的方法信息安全是个管理过程应该系统地识别每项管理活动并加以控制信息安全管理标准简介信息安全管理标准简介ISMS的重要的重要原则原则需要持续改进需要持续改进实现信息安全目标的循环活动信息安全是动态的，时间性强持续改进才能有最大限度的安全组织应该为员工提供持续改进的方法和手段信息安全管理标准简介信息安全管理标准简介PDCA模型在模型在ISMS过程中的过程中的运用运用建立ISMS环境&风险评估设计&实施ISMS监视&复审ISMS改进ISMS开发、维护和开发、维护和改进生命周期改进生命周期PlanPlanDoDoCheckCheckActAct利益伙伴利益伙伴信息安全需信息安全需求和期望求和期望利益伙伴利益伙伴得到管理的得到管理的信息安全信息安全信息安全管理标准简介信息安全管理标准简介PDCA的特点的特点顺序进行，周而复始：解决了一部分问题，可能还有问题没有解顺序进行，周而复始：解决了一部分问题，可能还有问题没有解决，或者又出现了新的问题，再进行下一个决，或者又出现了新的问题，再进行下一个PDCA循环，不断循环循环，不断循环大环大环套小环：组织中的每个部分，甚至个人，均有一个套小环：组织中的每个部分，甚至个人，均有一个PDCA循环，循环，大环套小环，一层层地解决问题大环套小环，一层层地解决问题阶梯式阶梯式上升：每经过一次上升：每经过一次PDCA循环，都要进行总结，巩固成绩，循环，都要进行总结，巩固成绩，改进不足，并提出新的目标，再进行下一次改进不足，并提出新的目标，再进行下一次PDCA循环循环信息安全管理标准简介信息安全管理标准简介ISMS的重要的重要原则原则文件化的体系文件化的体系文件的作用：有章可循，有据可查文件的类型：手册、规范、指南、记录文件类型文件类型对管理框架的概括包括策略、控制目标、已实施的控制措施、适用性声明（SoA）各种程序文件实施控制措施并描述责任和活动的程序文件覆盖了ISMS管理和运行的程序文件证据能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架各种记录：在操作ISMS过程当中自然产生的证据，可识别过程并显现符合性信息安全管理标准简介信息安全管理标准简介ISMS的文件体系的文件体系PolicyScope，RA，SOADescribes processes who,what,when,where.Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements第一级第一级 方针策略方针策略Security Manual Security Manual 安全手册安全手册第二级第二级 Procedures Procedures 程序文件程序文件第三级第三级 Work Instructions,Checklist,Forms,etc.Work Instructions,Checklist,Forms,etc.第四级第四级 Records Records 记录记录谢 谢9、静夜四无邻，荒居旧业贫。3月-233月-23Monday,March 13,202310、雨中黄叶树，灯下白头人。16:07:1816:07:1816:073/13/2023 4:07:18 PM11、以我独沈久，愧君相见频。3月-2316:07:1816:07Mar-2313-Mar-2312、故人江海别，几度隔山川。16:07:1816:07:1816:07Monday,March 13,202313、乍见翻疑梦，相悲各问年。3月-233月-2316:07:1816:07:18March 13,202314、他乡生白发，旧国见青山。13 三月 20234:07:18 下午16:07:183月-2315、比不了得就不比，得不到的就不要。三月 234:07 下午3月-2316:07March 13,202316、行动出成果，工作出财富。2023/3/13 16:07:1816:07:1813 March 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。4:07:18 下午4:07 下午16:07:183月-239、没有失败，只有暂时停止成功！。3月-233月-23Monday,March 13,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。16:07:1816:07:1816:073/13/2023 4:07:18 PM11、成功就是日复一日那一点点小小努力的积累。3月-2316:07:1816:07Mar-2313-Mar-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。16:07:1816:07:1816:07Monday,March 13,202313、不知香积寺，数里入云峰。3月-233月-2316:07:1816:07:18March 13,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。13 三月 20234:07:18 下午16:07:183月-2315、楚塞三湘接，荆门九派通。三月 234:07 下午3月-2316:07March 13,202316、少年十五二十时，步行夺得胡马骑。2023/3/13 16:07:1816:07:1813 March 202317、空山新雨后，天气晚来秋。4:07:18 下午4:07 下午16:07:183月-239、杨柳散和风，青山澹吾虑。3月-233月-23Monday,March 13,202310、阅读一切好书如同和过去最杰出的人谈话。16:07:1916:07:1916:073/13/2023 4:07:19 PM11、越是没有本领的就越加自命不凡。3月-2316:07:1916:07Mar-2313-Mar-2312、越是无能的人，越喜欢挑剔别人的错儿。16:07:1916:07:1916:07Monday,March 13,202313、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2316:07:1916:07:19March 13,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。13 三月 20234:07:19 下午16:07:193月-2315、最具挑战性的挑战莫过于提升自我。三月 234:07 下午3月-2316:07March 13,202316、业余生活要有意义，不要越轨。2023/3/13 16:07:1916:07:1913 March 202317、一个人即使已登上顶峰，也仍要自强不息。4:07:19 下午4:07 下午16:07:193月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！