国家信息安全测评中心CISP201012.ppt

《国家信息安全测评中心CISP201012.ppt》由会员分享，可在线阅读，更多相关《国家信息安全测评中心CISP201012.ppt（182页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、国家信息安全测评中心CISP培训主讲：樊山QQ：86485660MSN：电话：1348067311915918780740E_Mail：信息安全管理体系信息安全管理体系概述概述安全管理基础：概念、ISMS要求、管理措施概述基本安全管理措施：策略、组织和人员重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性知识体系介绍知识体系介绍安全管安全管理体系理体系信息安全管理基础信息安全管理基础基本安全管理措施基本安全管理措施重要安全管理措施重要安全管理措施信息安全管理概念信息安全管理概念信息安全管理体系要求信息安全管理体系要求信息安全管理措施信息安全管理措施安全策略安全策略安全组织体系安全组织

2、体系人员安全人员安全资产管理资产管理通信和操作管理通信和操作管理访问控制访问控制符合性符合性知识体知识体知识域知识域知识子域知识子域学习目标n掌握信息安全管理的基本概念n认识和了解ISO27001和ISO27002标准n初步掌握建立信息安全管理体系的基本要求n较深入的了解策略、组织和人员等基本安全管理措施的概念和实施方法n较深入的了解资产管理、通信和操作管理、访问控制和符合性等重要安全管理措施的概念和实施方法信息安全管理基础信息安全管理概念信息安全管理概念信息安全管理体系要求信息安全管理体系要求信息安全管理措施信息安全管理措施信息安全管理概念n什么是信息什么是信息n信息是一种资产，像其他重要的

3、企业资产，在组织中是具有价值的，因此需要适当地加以保护。“信息可信息可以以多种形式存在。它可以打印或写在纸上，以电子以以多种形式存在。它可以打印或写在纸上，以电子方式储存，传送，邮寄或利用电子手段，对视频，或方式储存，传送，邮寄或利用电子手段，对视频，或在谈话中讲所示。在谈话中讲所示。nISO 17799q强调信息强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等信息安全管理概念n管理的定义管理的定义qISO9000:2000 质量管理体系基础和术语管理management：指挥和控制组织的协调的活动q管理学管理是指通过计划、组织、领

4、导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。信息安全管理概念n什么是信息安全管理？q组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动信息安全管理概念n什么是管理体系？（什么是管理体系？（Management System-MS）n管理体系的定义管理体系的定义qISO9000:2000 质量管理体系基础和术语qISO GUIDE 72:2001 管理体系标准合理性和制定导则n管理系统标准的合理性和开展的方针管理系统标准的合理性和开展的方针n体系system：相互关联和相互作用的一组要素n

5、管理体系management system：n建立方针和目标并实现这些目标的体系信息安全管理概念信息安全管理概念n目前成熟的管理体系目前成熟的管理体系n环境管理体系EMSqISO/IEC14000n质量管理体系QMSqISO/IEC9000，9001，9004等n职业健康安全管理体系qOHMSAS18000n信息安全管理体系ISMSqISO/IEC17799，ISO/IEC27001等信息安全管理概念管理职责管理职责分析改进分析改进产品实现产品实现资源管理资源管理输入输出管理体系方法图解管理体系方法图解小结n“管”和“理”体现了管理的两个不同范畴，即行政管理与业务管理，前者侧重“权力”，后者关

6、注业务，两者管理的对象、管理的主体和管理的方法应该不同；我们今天讨论的是业务管理。n“信息安全管理体系（ISMS）”已经成为一个专有名词，它的推广和应用渐渐成为信息安全产业中又一项新的业务领域。n信息安全管理体系是组织整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。信息安全管理体系要求：性质和目的n27001:200527001:2005的名称nInformation technology-Security techniques-Information technology-Security techniques-Information securit

7、y management systems-Information security management systems-requirementsrequirementsn信息技术-安全技术-信息安全管理体系-要求n27001:200527001:2005的目标nprovide a model for establishing,provide a model for establishing,implementing,operating,monitoring,implementing,operating,monitoring,reviewing,maintaining,and improvin

8、g an reviewing,maintaining,and improving an Information Security Management SystemInformation Security Management Systemn提供建立、实施、运行、监测、评审、保持和改进信息安全管理体系的模型信息安全管理体系要求：性质和目的n27001:2005的性质n提供模型帮助组织为ISMS设计、选择和应用适当的安全控制措施，以充分保护信息资产并给予相关方信心。nType A：management sysytem requeirements standard 要求标准n旨在为市场提供关于各组

9、织管理体系要求的规范，以证实组织符合内部和外部要求的能力。nType B：management sysytem guidelines standard指南标准n旨在通过提供一个针对管理体系要求标准中各要素的附加指南，或与管理体系要求标准非等效的单独的指南，以帮助组织实施和/或增强其管理体系。nType C：management sysytem related standard相关标准n作为管理体系标准的补充，旨在就管理体系中特定部分提供详细的信息、或对有关支持性技术提供指南。信息安全管理体系要求：过程方法n过程方法n过程processq一组将输入转化为输出的相互关联或相互作用的活动。n过程方法

10、process approachn一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。n（系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为过程方法。ISO9000:2000）信息安全管理体系要求：过程方法nPDCA:持续改进的优秀方法信息安全管理体系要求：过程方法n又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:nP：规划nD：实施nC：检查nA：处置信息安全管理体系要求：过程方法nPDCA特点n1、按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。n2、组织中的每个部分，甚至个人，均可以循环，大

11、环套小环，一层一层地解决问题。n3、每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。信息安全管理体系要求：核心内容n27001:2005的核心内容建立建立ISMS实施和运作实施和运作ISMS维护和改进维护和改进ISMS计划计划PLAN实施实施DO改造改造ACTION监控和评审监控和评审ISMS检查检查CHECK开发、维护开发、维护和改进循坏和改进循坏相关单位相关单位管理状态管理状态下的信息下的信息安全安全相关单位相关单位信息信息安全需求安全需求和期望和期望信息安全管理体系要求：核心内容PDCAPDCA各阶段各阶段内容内容对应标准条款对应标准条款P-规划建立建立与

12、管理风险和改进信息安全有关的方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。4.14.2.14.35.1D-实施实施和运行实施和运行方针、控制措施、过程和程序。4.2.25.2C-检查监视和评审对照方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。4.2.367A-处置保持和改进基于内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进。4.2.48信息安全管理体系要求：核心内容n27001的核心内容可以概括为4句话q规定你应该做什么并形成文件：Pq做文件已规定的事情：Dq评审你所做的事情的符合性：Cq采取纠正和预防措施，持

13、续改进：A信息安全管理体系要求：建立ISMSn明确ISMS范围q根据组织的业务特征、组织结构、地址位置、资产、技术等各方面因素确定ISMS的范围n制定ISMS策略作为信息安全策略的一部分n定义风险评估方法n进行风险评估n设计和选择风险处置措施n编制ISMS文件n进行管理者承诺信息安全管理体系要求：建立ISMSnISMS文件的作用是指导组织有关信息安全工作方面的内部“法规”-使工作有章可循。q是组织实际工作的标准。ISMS文件是根据ISMS标准和组织需要“量身定做”的实际工作的标准。对一般员工来说，在其实际工作中，可以不过问ISMS标准(ISO/IEC 27001:2005)，但必须按照ISMS

14、文件的要求执行工作。q是控制措施（controls）的重要部分。q提供客观证据-为满足相关方要求，以及持续改进提供依据。q提供适宜的内部培训的依据。q提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核。信息安全管理体系要求：建立ISMSnISMS文件的内容序号文件名称标准条款说明1 1ISMS策略和目标4.3.1 a)4.3.1 a)可合并，一般是信息安全策略。2 2ISMS范围4.3.1 b)4.3.1 b)3 3风险评估方法的描述4.3.1 d)4.3.1 d)可编制风险评估程序，其运行结果产生风险评估报告。4 4风险评估报告4.3.1 e)4.3.1 e)5 5风险处理计划4.

15、3.1 f)4.3.1 f)可编制风险处理程序，其运行结果产生风险处理计划。6 6文件控制程序4.3.24.3.27 7记录控制程序4.3.34.3.38 8内部审核程序6 69 9纠正措施程序8.28.2通常合并在一起，称为纠正和预防措施程序。1010预防措施程序8.38.31111适用声明4.3.1 i)4.3.1 i)1212管理评审程序7.17.1在标准中，并没有称为“管理评审程序”，但作为管理体系，一般都要有。信息安全管理体系要求：建立ISMSn文件控制批准q评审、更新并再批准；q修订状态得到标识；q在使用处可获得适用文件；q清晰、易于识别；q对需要的人员可用，传输、贮存和最终销毁；

16、q外来文件标识；q分发控制；q防止作废文件的非预期使用；q作废文件的标识。信息安全管理体系要求：建立ISMSn4.3.3记录控制建立并保持，以提供证据。q保护和控制。应考虑相关法律法规要求和合同义务。q清晰、易于识别和检索。q记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。q记录的详略程度应通过管理过程确定。q应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。信息安全管理体系要求：建立ISMSn管理承诺制定ISMS策略；q确保ISMS目标和计划得以制定；q建立信息安全的角色和职责；q向组织传达满足信息安全目标、符合信息安全策略、履行法律责任

17、和持续改进的重要性；q提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；q决定接受风险的准则和风险的可接受级别；q确保ISMS内部审核的执行（见第6章）；q实施ISMS的管理评审（见第7章）。信息安全管理体系要求：实施和运行ISMSnD：实施和运行ISMS之4.2.2 q制定风险处理计划（见第5章）。q实施风险处理计划。q实施所选择的控制措施。q测量所选择的控制措施或控制措施集的有效性（见4.2.3c)）。q实施培训和意识教育计划（见5.2.2）。q管理ISMS的运行。q管理ISMS的资源（见5.2）。q事件和事故响应（见4.2.3 a）信息安全管理体系要求：实

18、施和运行ISMSn资源管理n资源提供n应确定并提供信息安全工作所需的资源人、财、物n培训、意识和能力n确保所有分配有ISMS职责的人员具有执行所要求任务的能力n确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。信息安全管理体系要求：监视和评审ISMSnC：监视和评审：监视和评审ISMS之工作内容之工作内容q执行监视和评审程序和其它控制措施。qISMS有效性的定期评审。q测量控制措施的有效性以验证安全要求是否被满足。q按照计划的时间间隔进行风险评估的评审。q按计划的时间间隔，对ISMS进行内部审核（见第6章）。q定期对ISMS进行管理评审。q考虑监视和评审

19、活动的结果，以更新安全计划。q记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。信息安全管理体系要求：监视和评审ISMSnC：监视和评审：监视和评审ISMS之之6 内部内部ISMS审核术语介绍审核术语介绍n审核auditq为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。n内部审核internalauditq有时称为第一方审核，用于内部目的的，由组织自己或以组织名义进行，可作为组织自我合格声明的基础。n审核员aditorq有能力实施审核的人员。n审核方案auditprogrammeq针对特定时间段所策划，并具有特定目的的一组(

20、一次或多次)审核。信息安全管理体系要求：监视和评审ISMSn符合（合格）conformityq满足要求。n不符合（不合格）nonconformityq未满足要求。n验证verificationq通过提供客观证据对规定要求已得到满足的认定。n要求requirementq明示的、通常隐含的或必须履行的需求或期望信息安全管理体系要求：监视和评审ISMSnC：监视和评审ISMS之6 内部ISMS审核按照计划的时间间隔进行内部ISMS审核。q审核方案。q审核的客观和公正，审核员不应审核自己的工作。q内审程序中的职责和要求。q受审核区域的管理者应消除不符合及其原因，并跟踪验证。qISO19011:2002

21、 给出了审核指南。信息安全管理体系要求：监视和评审ISMSnC：监视和评审ISMS 之7 ISMS的管理评审术语介绍n评审reviewq为确定主题事项达到规定目标的适宜性、充分性和有效性所进行的活动。也可包括确定效率。q如管理评审、设计和开发评审、顾客要求评审等。信息安全管理体系要求：监视和评审ISMSnC：监视和评审ISMS之7 ISMS的管理评审n7.1 总则q按照计划的时间间隔进行管理评审，至少一年一次。q包括评估ISMS改进的机会和变更的需要。q包括信息安全策略和信息安全目标。q评审报告和评审记录。信息安全管理体系要求：监视和评审ISMSnC：监视和评审ISMS之7 ISMS的管理评审

22、n7.2 评审输入qISMS审核和评审的结果；q相关方的反馈；q组织用于改进ISMS执行情况和有效性的技术、产品或程序；q预防和纠正措施的状况；q以往风险评估没有充分强调的脆弱点或威胁；q有效性测量的结果；q以往管理评审的跟踪措施；q可能影响ISMS的任何变更；q改进的建议。信息安全管理体系要求：监视和评审ISMSnC：监视和评审ISMS之7 ISMS的管理评审n7.3 评审输出qISMS有效性的改进；q风险评估和风险处理计划的更新；q必要时修改影响信息安全的程序，以响应内部或外部可能影响ISMS的事件；q资源需求；q正在被测量的控制措施的有效性的改进。信息安全管理体系要求：保持和改进ISMS

23、nA：保持和改进ISMS 之工作内容n组织应经常：q实施已识别的ISMS改进措施。q采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。q向所有相关方沟通措施和改进措施，其详细程度应与环境相适应，需要时，商定如何进行。q确保改进达到了预期目标。信息安全管理体系要求：保持和改进ISMSnA：保持和改进ISMS之8 ISMS改进术语介绍n持续改进continualimprovementq增强满足要求的能力的循环活动。n预防措施preventiveactionq为消除潜在不符合或其他潜在不期望情况的原因所采取的措施。n纠正措施correctiveactionq为消除已发现的不符合或其

24、他不期望情况的原因所采取的措施。n纠正correctiveq为消除已发现的不符合所采取的措施。信息安全管理体系要求：保持和改进ISMSnA：保持和改进ISMS之8 ISMS改进n8.1 持续改进n组织应通过使用信息安全策略、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审（见第7章），持续改进ISMS的有效性。信息安全管理体系要求：保持和改进ISMSnA：保持和改进ISMS之8 ISMS改进n8.2 纠正措施q应采取措施消除与ISMS要求不符合的原因，以防止再发生。q纠正措施程序应规定以下要求：识别不符合；q确定不符合的原因；q评价确保不符合不再发生的措施需求；q确定和实施所需要

25、的纠正措施；q记录所采取措施的结果（见4.3.3）；q评审所采取的纠正措施。信息安全管理体系要求：保持和改进ISMSnA：保持和改进ISMS之8 ISMS改进n8.3 预防措施q应确定措施，以消除潜在不符合的原因，防止其发生。n预防措施程序应规定以下要求：识别潜在的不符合及其原因；n评价防止不符合发生的措施需求；n确定和实施所需要的预防措施；n记录所采取措施的结果（见4.3.3）；n评审所采取的预防措施。q应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。q预防措施的优先级要根据风险评估的结果确定。q预防不符合的措施通常比纠正措施更节约成本。信息安全管理体系要求：其他方面n重要提示：

26、q本出版物不声称包括一个合同所有必要的规定。q用户负责对其进行正确的应用。q符合标准本身并不获得法律义务的豁免。信息安全管理体系要求：其他方面n与其他MS的兼容性q本标准与ISO9001:2000及ISO14001:2004相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。q本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。信息安全管理体系要求：其他方面n1.2应用q本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。q为了满足风险接受准

27、则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和或责任，否则不能声称符合本标准。q注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO9001或者ISO14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。信息安全管理体系要求：其他方面n2规范性引用文件nISO/IEC 17799:2005，信息技术-安全技术-信息安全管理实用规则信息安全管理体系要求：其他方面n3术语和定义q3.1 资产asset q3.2 可用性avai

28、labilityq3.3 保密性confidentialityq3.4 信息安全information securityq3.5 信息安全事件information security eventq3.6 信息安全事故information security incidentq3.7 信息安全管理体系（ISMS）information security management system（ISMS）q3.8 完整性integrity信息安全管理体系要求：其他方面n3.9 残余风险residual riskn3.10 风险接受risk acceptancen3.11 风险分析risk analys

29、isn3.12 风险评估risk assessmentn3.13 风险评价risk evaluationn3.14 风险管理risk managementn3.15 风险处理risk treatmentn3.16 适用性声明statement of applicability信息安全管理措施：27002nISO27002nInformation technology Security techniquesCode of practice for information security managementn信息技术安全技术信息安全管理实践规范信息安全管理措施：27002信息安全管理措施：27

30、002一、安全策略(SECURITY POLICY)(SECURITY POLICY)（1,21,2）二、信息安全组织(ORGANIZATION OF INFORMATION SECURITY)(2,11)(ORGANIZATION OF INFORMATION SECURITY)(2,11)三、资产管理(ASSET MANAGEMENT)(2,5)(ASSET MANAGEMENT)(2,5)四、人力资源安全(HUMAN(HUMAN RESOURCERESOURCES S SECURITYSECURITY)(3,9)(3,9)五、物理和环境安全(PHYSICAL(PHYSICAL AND A

31、ND ENVIRONMENTAENVIRONMENTALSECURITY)(2,LSECURITY)(2,13)13)六、通信和操作管理(COMMUNICATI(COMMUNICATIONS AND ONS AND OPERATIONS OPERATIONS MANAGEMENT)MANAGEMENT)(10,32)(10,32)八、系统的获取、开发和维护(INFORMATION(INFORMATION SYSTEMS SYSTEMS ACQUISITION,ACQUISITION,DEVELOPMENT AND DEVELOPMENT AND MAINTENANCE)(6,16MAINTEN

32、ANCE)(6,16)七、访问控制(ACCESS CONTROL)(7,25)(ACCESS CONTROL)(7,25)九、信息安全故事管理(INFORMATION SECURITY INCIDENT MANAGEMENT)(2,5)(INFORMATION SECURITY INCIDENT MANAGEMENT)(2,5)十、业务连续性管理(BUSINESS CONTINUITY MANAGEMENT)(1,5)(BUSINESS CONTINUITY MANAGEMENT)(1,5)十一、符合性(COMPLIANCE)(3,10)(COMPLIANCE)(3,10)信息安全管理措施：2

33、7002信息安全管理措施：27002信息安全管理措施：安全策略n指导和规范信息安全管理的所有活动的文件n为信息安全提供管理指导和支持信息安全管理措施：资产管理信息安全管理措施：人员管理n人员任用前、任用中和终止任用的管理措施信息安全管理措施：物理安全n人身安全、实体安全、来自自然环境的威胁信息安全管理措施：通信和操作管理n信息系统在运行过程中的安全性得到保证和维持信息安全管理措施：访问控制n根据业务和安全要求对信息系统的访问进行控制信息安全管理措施：系统的获取、开发和维护n系统建设过程中采用必要的安全机制，符合安全工程过程信息安全管理措施：信息安全故事管理n对安全事故进行及时的报告和有效的处理

34、信息安全管理措施：业务连续性管理信息安全管理措施：符合性基本管理措施安全策略n指导性：策略体系文件是一个单位信息安全工作的指导性文件，对单位的整体信息安全工作提供全局性指导；n原则性：策略体系文件不涉及具体技术细节，只需要指出要完成的目标，不需要规定具体的实现方式；n可审核性：策略体系文件中的规定应该是可以审核的，即能够以策略体系文件为依据审核和评价本单位对信息安全策略的遵守和执行情况；n非技术性：尽管策略体系文件对制定信息安全技术解决方案有指导作用，但策略体系文件不是技术解决方案，其描述语言应该是非技术性的;n现实可行性：策略体系文件应适应本单位的现实情况和可预见的变化，在当前和未来的一段时

35、间内切实可行；n动态性：策略体系文件应有明确的时效性，不能长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展，需要对策略体系文件进行不断的调整和修正；n文档化：信息安全策略应该用清晰和完整的文档描述。安全策略n安全策略体系文件一般是层次化的n重点是说明信息安全工作的目标和原则n例：qOX公司安全总体方针：“.应根据业务数据的安全需求，实施适当的数据备份与恢复措施，保证业务数据遭到破坏后可以及时恢复。.”qOX公司网上交易系统数据备份策略:.网上订单数据，应当全部实现实时异地备份。备份数据至少保存半年.安全策略q安全策略体系文件应当包括的内容：安全策略体系文件应当包括的内容：n信息安全

36、的定义、总体目标、范围及对组织的重要性n管理者为实现信息安全目标而声名的意图和决断n策略文件体系的介绍和说明n安全控制措施的架构，包括风险管理的架构n对安全管理职责的定义和划分n需要遵守的法律法规n安全教育和培训的要求n违反安全策略的后果n针对特定工作、特定系统应遵守的安全规则，如XXX系统访问控制策略、防病毒制度等安全策略q注意事项：n得到管理层的审核批准n应采取适当的方式让有关人员获得并理解最新版本的策略文档n控制安全策略的发布范围，注意保密n系统变更后和定期的策略文件评审和改进安全组织体系：内部组织n管理层承诺：确定组织的总体安全目标q为信息安全管理提供方向性的指导q制定、评审和批准安全

37、策略q评审安全策略的有效性q为信息安全工作提供所需的资源q审批安全角色和职责的分配q推动安全意识教育q协调各部门的利益和关系n管理层可以是一个专门高层管理机构，如信息化领导小组、信息安全领导小组；亦可以是一个通常意义的高层管理机构，如办公会，董事会安全组织体系：内部组织n信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调n协调的内容包括：q安全活动与安全策略的一致性q对违规活动的处理q信息的分类q教育与培训q安全控制措施的充分性、协调性、资源配备q安全事故的处理n典型的安全协调应包括如下人员：管理人员q用户q行政人员q应用设计人员q系统运维人员q内部审计人员q安全专员q领域

38、专家：法律、保险、人力资源、风险管理安全组织体系：内部组织n组织结构是组织机构中部门的设置，以及工作和权力关系的层次划分直线式的组织结构直线式的组织结构按项目组划分的组织结构按项目组划分的组织结构安全组织体系：内部组织n职责分离是有效减少偶然或故意的未授权访问、误用和滥用的有效方法安全组织体系：内部组织n职责分工补偿：q审计踪迹q核对:一般由用户来进行q例外报告q交易日志q监督性审核q独立性审核安全组织体系：外部组织q保持被外部组织访问、处理、沟通或管理的组织信息及信息处理设备的安全：n识别与外部组织相关的安全风险n当与顾客接触时，强调安全n在第三方协议中强调安全人员安全：雇佣前q确保员工、合

39、同方和第三方人员了解他们的角色职责、具备必需的能力资质n明确人员的安全角色和职责n核实身份、教育背景、工作履历、技能和专业资质、信用和犯罪记录n雇佣合同、保密协议人员安全：雇佣中q确保所有员工、合同方和第三方人员了解信息安全威胁和相关事宜，履行责任义务，在日常工作中贯彻落实信息安全策略n对工作过程的管理监督n安全意识教育和技能培训n建立违反安全策略的惩戒措施人员安全：雇佣的终止和变更q确保员工、合同方和第三方人员离开组织或雇佣变更时以有序的方式进行n明确雇佣终止后仍然有效的职责条款，如利益冲突和竞争禁止协议n归还资产n撤销访问权限资产管理：资产责任n资产清单信息资产q软件资产q物理资产q服务、

40、人员和无形资产n资产所有和责任关系n资产的使用规范和指南资产管理：信息分类n分类方针应按照信息的价值、法律要求及对资质的敏感程度和关键程度进行分类qGB17859计算机信息系统安全保护等级划分准则n第一级：用户自主保护级n第二级：系统审计保护级n第三级：安全标记保护级n第四级：结构化保护级n第五级：访问验证保护级q信息系统安全等级保护实施指南n第一级为自主保护级n第二级为指导保护级n第三级为监督保护级n第四级为强制保护级n第五级为专控保护级q中国人民共和国保守国家秘密法绝密、机密和秘密n信息标识与处置q应制定并实施与信息分类一致的信息标识和处置程序通信和操作管理：操作程序和职责n文件化的操作程

41、序q针对系统操作、备份、设备维护、系统变更、介质处理、机房管理等日常操作编制文件化的操作程序n变更管理q涉及系统变更的计划、批准、测试、记录和效果反馈等n开发、测试与生产环境的分离通信和操作管理：第三方服务管理n清晰定义服务内容q服务水平协议n对服务过程进行监督和评审q监督与服务水平协议的符合性q对服务报告进行评审q对安全攻击事件、操作失误、系统故障的记录进行评审、q要求解决问题，并改进服务n管理第三方服务的变更q信息系统的改进和升级q安全加固q新技术、新产品在系统中的采用q新的开发工具和开发环境q服务地点和联系方式的改变通信和操作管理：系统计划与验收n容量管理（CapacityManagem

42、ent）q为确保足够的系统容量、性能和资源来保持系统的可用性，需要预先的规划和准备q对未来系统容量进行预测n系统验收（acceptance）q在新建立的系统、升级后的系统投入使用之前，要建立该新系统的运行要求，并进行测试和审查，包括：n系统功能的完整性n系统性能是否满足业务要求n系统的易用性n是否具有必要的安全措施n信息系统的开发和使用文档n系统操作使用的培训等通信和操作管理：其他n防范恶意代码n数据备份n网络安全管理n存储介质管理n运行状态的监控n操作日志和审计访问控制：基本措施n访问控制策略q根据业务要求，建立和实施对信息、信息处理设备和应用程序进行访问的安全策略n用户身份（标识）q建立用

43、户（即访问主体、可以是自然人、设备或程序）的注册/注销程序，为用户建立身份的标识n用户口令（鉴别）q选择适当的口令强度，生成和分发机制n用户权限q根据访问控制策略分配给用户访问权限访问控制：重要机制n安全域划分与隔离措施n会话和连接超时机制n动态口令、双因素或多因素鉴别n移动计算设备和远程管理的访问控制q物理环境q通信链路q接入方式q审计措施符合性n符合法律法规q识别适用的法律法规q知识产权q记录保存q个人隐私保护q信息处理设备的用于非法目的q密码控制的法律法规n安全策略和标准的符合性q信息安全工作应符合组织的安全策略q信息技术和安全机制应符合组织采用的技术标准n信息系统审计q最大化信息系统审

44、计的有效性q最小化信息系统审计的负面影响例题n1.下列哪项ISO 27000系列是关于ISMS要求的？qA.ISO27001qB.ISO27002qC.ISO27003qD.ISO27004n2.作为一个信息安全管理层，在信息安全管理体系的建设过程中，应履行一些必要的管理职责。以下哪一项不是信息安全管理者应当承诺完成的：qA.制定、评审、更新和监督实施信息安全策略qB.根据信息安全策略配置防火墙的访问控制规则qC.为信息安全工作提供必要的资源qD.建立信息安全角色和职责例题n3.作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成

45、了一定的安全风险。这时你应当怎么做？qA.抱怨且无能为力qB.向上级报告该情况，等待增派人手qC.通过部署审计措施和定期审查来降低风险qD.由于增加人力会造成新的人力成本，所以接受该风险例题n3.下面关于ISO27002的说法错误的是:qA.ISO27002的前身是ISO 17799-1qB.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用，但不是全部qC.ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其它信息”三个部分来进行描述qD.ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施讨论信息安全应急响应计划

46、规范 目录范围术语和定义应急响应需求分析和应急策略的确定编制应急响应计划文档范围范围 n概述了信息安全应急响应计划的制定过程，确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。n本标准适合于对负责制定和维护信息安全应急响应计划的人提供指导。术语和定义n信息系统InformationSystemn信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。n信息安全事件InformationSecurityIncidentn信息安全事件是由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危

47、害，或在信息系统内发生对社会造成负面影响的事件。n业务影响分析BusinessImpactAnalysisn业务影响分析（BIA）是分析业务功能及其相关信息系统资源、评估特定信息安全事件对各种业务功能的影响的过程。术语和定义n应急响应计划EmergencyResponsePlann应急响应计划是被设计用于在信息安全突发事件中维持或恢复包括计算机运行在内的业务运行的策略和规程。n备份Backupn备份是在需要的情况下协助进行恢复的文件和程序的复制件。n风险管理RiskManagementn风险管理是指导和控制一个组织相关风险的协调活动。术语和定义n恢复时间目标RecoveryTimeObject

48、iven恢复时间目标是信息安全事件发生后，信息系统或业务功能从停顿到必须恢复的时间要求。n恢复点目标RecoveryPointObjectiven恢复点目标是信息安全事件发生后，系统和数据必须恢复到的时间点要求。nBIA业务影响分析（BusinessImpactAnalysis）nRTO恢复时间目标(RecoveryTimeObjective)nRPO恢复点目标（RecoveryPointObjective）应急响应需求分析和应急策略的确定n风险评估n标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失，风

49、险评估具体内容参见国家标准信息安全技术信息安全风险评估规范（GB/T20984-2007）。应急响应需求分析和应急策略的确定n业务影响分析n分析业务功能和相关资源配置q对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求。n确定信息系统关键资源q对信息系统进行评估，确定系统所执行关键功能，并确定执行这些功能所需的特定系统资源。n评估突发信息安全事件影响q应采用如下的定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪等突发信息安全事件造成的影响进行评估应急响应需求分析和应急策略的确定n确定应急

50、响应的恢复目标n根据业务影响分析的结果，确定应急响应的恢复目标，包括：na）关键业务功能及恢复的优先顺序；nb）恢复时间范围，即恢复时间目标（RTO）和恢复点目标（RPO）的范围。应急响应需求分析和应急策略的确定n制定应急策略n应急策略提供了在业务中断、系统宕机、网络瘫痪等突发信息安全事件发生后快速有效地恢复信息系统运行的方法。这些策略应涉及到在业务影响分析（BIA）中确定的应急响应的恢复目标，并结合信息系统安全等级保护等级及其对应保护能力要求。n系统恢复的等级划分n系统恢复可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持及数据零丢失