《信息安全管理体系建设课件.pptx》由会员分享,可在线阅读,更多相关《信息安全管理体系建设课件.pptx(55页珍藏版)》请在三一办公上搜索。
1、信息安全管理体系建设,绿盟科技,目录CONTENTS,01 信息安全管理体系简介,02 信息安全管理体系价值,03 信息安全管理体系实现方法,04 信息安全管理体系建设方案,信息安全管理体系简介,信息安全的概念管理的概念信息安全管理的概念信息安全管理体系与ISO27001,信息安全的概念,信息安全,计算机安全,网络安全,知识安全,数据安全,内容安全,不同的声音,信息安全定义,已有的几个定义,ISO/IEC 17799,保持信息的保密性、完整性、可用性;另外,也包括其他属性,如:真实性、可核查性、抗抵赖性和可靠性。,美国联邦信息安全管理法案(FISMA),保护信息与信息系统,防止未授权的访问、使
2、用、泄露、中断、修改或破坏,以保护完整性、保密性、可用性。,中华人民共和国计算机信息系统安全保护条例,第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全、运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。,管理的定义,管,理,管理学中的定义,ISO/IEC9000:2000的定义,管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达成组织目标的过程,控制和控制组织的协调活动,管理的职能,为组织确定任务、总之、目标;实现目标的战略、措施、程序;以及实现目标的时间表和预算。,组织,领导,控
3、制,根据组织的目标、战略和内外环境设计组织结构,并为不同岗位配置人力资源的过程。,对组织成员施加影响,以推动其实现组织目标的过程。,衡量和纠正下属活动,以保证事态发展符合计划要求的过程。,计划,信息安全管理的定义,选择和采用的控制措施要全面覆盖主要风险,1,3,2,信息安全管理,是为了实现信息安全的目标,而进行的实践活动通过建立信息安全管理体系(Information Security Management System,简称ISMS),能够实现和达到信息安全的目标根据信息安全管理的国际标准ISO 27001的定义,信息安全管理体系是基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信
4、息安全的体系,信息安全管理体系的建设和维护是一个动态的过程,其中包括了顺序上的各个环节,建立信息安全管理体系,需要有正确的思路和方法,就是基于风险的方法,信息安全管理在IT管理中的位置,Process 流程,People 人员,组织架构, IT综合管理,Technology 技术,组织文化,以流程为基础的IT管理理论:IT服务管理(ITIL/ISO20000)项目管理(PRINCE2/P3O/MSP),以风险为基础的IT管理理论:信息安全与风险管理(ISMS/ISO27001/BS10012)业务连续性管理(BCM/BS25999/ISO27031)IT合规与审计,IT风险,IT价值,IT生命
5、周期活动,识别风险和机会,管理风险,管理价值,以控制为基础 IT治理(COBIT),平衡,IT管理是人员,技术,流程在组织当中的整合,IT管理的目标就是要在IT价值与IT风险之间取得平衡,信息安全管理体系与ISO 27000系列标准,ISO/IEC 27000系列标准以风险管理为基础,为企业建设信息安全管理体系提供了强有力的参考与支撑。,ISO 27001信息安全管理体系建设框架,数据,信息安全管理体系主要适用对象,尤其是主业为集成电路芯片制造的组织。鉴于知识产权的重要性,客户明确要求必须在信息安全管理方面做出保证。,半导体行业,承担软件定制开发的很多企业,需要满足外部和客户明确提出的信息保护
6、要求。,软件开发行业,保护客户信息、保证业务运转的可靠性和持续性,都是此行业组织实施ISMS并寻求认证的驱动力,金融业和保险业,由于牵涉到自身核心技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了必然。,通讯行业,信息安全管理体系的主要活动,制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。,一个好的信息安全管理体系,技术工具/技术措施,策略,制度,流程,操作指南,过程记录,岗位职责,工作机制,
7、人员团队,目标,规划,方针,组织架构,有武器,有纪律,有队伍,有目标,有组织,目录CONTENTS,01 信息安全管理体系简介,02 信息安全管理体系价值,03 信息安全管理体系实现方法,04 信息安全管理体系建设方案,信息安全管理体系的价值,管理先行全局把控持续保障,02,信息安全管理体系的价值,管理先行,全局把控,持续保障,三分技术,七分管理:信息安全问题不能只靠技术解决,安全管理的作用及其重要;,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全;,没有绝对的安全状态,通过PDCA过程模式,对管理体系进行持续改进,保证系统在动态变化
8、中保持安全目标;,保证信息系统持续满足安全目标。,管理先行,管理先行的优势,全局把控,全方位建设安全管理体系,无死角地定位、分析、解决安全问题。,全局把控:数据生命周期安全管理(例),数据生命周期通用安全要求,数据安全策略与制度组织及人员管理合规性管理,系统建设系统运维网络和通信安全,第三方服务基础环境设备和计算安全,数据安全事件应急处置安全监控安全审计,以数据生命周期为例,在数据全生命周期中数据资产面临着来自各方面、以各种形式存在的安全威胁。信息安全管理体系的建设便是从顶层设计出发由上而下地推动信息系统有效地解决安全威胁。,全局把控:安全事件管理(例),自上而下的处理,自下而上的报告,报告信
9、息安全弱点,报告信息安全事态,评估和确定信息安全事态,信息安全事件响应,对信息安全事件的总结,证据的收集,持续保障,信息安全保障的本质就是面向风险、持续改进的过程,企业信息安全保障不可一蹴而就,只有在动态中不断监控信息系统面临的风险,并通过不断地改进和优化来处置安全风险,才能在动态中使信息系统保持最佳的运营状态。,信息安全管理体系实现方法,方法论与建设流程风险管理概述风险评估流程,03,方法论与建设流程,信息安全管理体系建设核心思想:PDCA信息安全管理体系建设流程,信息安全管理体系建设核心思想:PDCA,更高视角的PDCA管理过程,4.信息全管理体系,5.管理职责5.1管理承诺5.2 资源管
10、理,8.ISMS改进8.1持续改进8.2 纠正性措施8.3 预防性措施,6.内部评审7.管理评审7.2 评审输入7.3 评审输出,P,D,C,A,ISO 27003信息安全管理体系建设流程,4.组织环境,5.领导力,6.规划,7.支持,8.运行,9.绩效评价,10.改进,计划(Plan),执行(Do),检查(Check),改进(Act),风险管理,风险管理概述风险管理模型管理过程,风险管理概述,残余风险接受,基于风险管理的持续改进,风险处置,风险识别,风险监控,信息安全管理的精髓:风险管理与持续改进,风险管理模型,风险管理模型(ISO 31000),构建环境,风险识别,风险分析,风险评价,风险
11、处置,沟通与协商,监控与评审,ISO27001:2013第4章,ISO27001:2013第9章,ISO27001:2013第7章,ISO27001:2013第6.1.3节,ISO27001:2013第6.1.2节,管理过程,GB/T20984-2007,风险评估流程,风险评估概述评估准备风险识别风险分析风险评价风险处置,风险评估概述,-风险评估原理示意图,风险评估概述,根据 ISO27001:2013 标准,风险评估采用何种方法不作要求,只要能识别出风险即可。在IT管理领域,可采用的常见评估方法:影响度/可能性分析:针对特定的系统、服务或管理领域梳理风险场景,分析风险发生导致后果造成的影响程
12、度,以及该风险发生的概率(可能性);差距评估:如有相关标准或法规作为评估依据,或相关方给定了检查项清单(Checklist),可直接采用“对标”式的差距分析方法,识别相关合规性风险;头脑风暴:针对特定的管理或技术领域,组织相关人员进行头脑风暴,穷举该领域范围内存在的问题和潜在风险;失效模式和效应分析:针对特定的系统、服务,采取失效模式和效应分析(FMEA),梳理服务或服务组件发生故障的场景,分析这些故障的影响、潜在原因,识别可以降低或避免故障影响的方法;业务影响分析:在连续性管理流程中,采取业务影响分析(BIA)方法,识别系统、服务的目标恢复要求(RTO、RPO)、最低运营要求(MOR),分析
13、当前存在的差距和解决方案。以下介绍的评估方法,按照“影响度/可能性”模型设计。,-风险评估方法选择,评估准备,准备内容:确定评估目标、范围;确定评估依据和方法:适用的管理体系和法律法规、监管要求;选择适用的风险评估方法;确认风险评价和风险接受准则;组建风险评估团队;听取最高管理者对本次风险评估的指示。,组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。,风险识别:识别信息及其载体,Information信息,保密性:信息只对授权的个人、主体或流程可用的特性完整性:保护信息的精确与完整的特性可用性:在需要时,被授权的主体可访问和可使用
14、的特性,信息价值:,风险识别:识别信息及其载体,风险识别:风险场景,举例:硬件:硬件设备及电子介质(服务器、存储、磁带及其他移动介质等)故障,导致其创建、存储、传输、处理的信息丢失或不可访问软件:软件(应用软件、系统软件、工具软件等)故障,导致其创建、存储、传输、处理、访问的信息损毁、丢失或不可访问纸质记录:纸质文件由于不耐火、不耐水、不耐虫蛀鼠咬等原因而损毁流程:流程步骤不合规、不落地,职责不明确,或者缺乏必要的资源支持,导致流程输出信息不可用服务:与供方的合同或服务级别协议不清晰,权责划分不清,供方服务不稳定或中止,发生知识产权归属纠纷,影响我方IT服务及相关信息的可用性人员:人员法律意识
15、、安全意识不足,无意中或受到外部社会工程学攻击(引诱、胁迫、欺骗等)引发敏感信息泄漏,基于“信息载体”的风险场景识别:确定识别风险场景的维度:信息载体类型、风险来源风险场景是否符合实际环境风险场景主要影响信息的C、I、A哪项属性,风险分析,理解风险性质、确定风险级别:识别风险的后果严重性(影响度)估算风险发生的概率(可能性)确定风险的级别:计算风险可能性和影响度时需要考虑当前已有的控制措施以及控制的有效性可能性赋值时需要考虑防范风险发生的控制措施以及控制影响度赋值时需要考虑风险发生后的补救措施,风险值 = 信息价值 影响度 可能性,风险分析:分析结果赋值,风险评价,对识别出的风险的严重程度,按
16、照风险评价准则进行比较,以确定是否可接受,是否需要处置。风险接受准则:最终确认是否处置,应由最高管理层及各风险责任人(Risk Owner)进行确认。,风险处置,经济合理性(处置风险控制措施越多越严格,成本越高)法律法规、监管要求合规性与企业文化的一致性利益相关方的观点社会责任,如:环境因素对组织内的其他方或利益相关方的影响执行中的工作习惯、观点和认知,风险处置,信息安全管理体系建设方案,建设信息安全管理体系的关键因素第一阶段 实施准备与差距分析第二阶段 - 设计与发布第三阶段 - 运行与监控,04,建设信息安全管理体系的关键因素,业务安全目标日常安全活动,与其他管理体系企业文化,管理层承诺监
17、控、指导和评审,培训宣贯,对业务安全需求的吻合度,组织管理风格的一致性,必要的管理层支持,有效的测量,有效的推广,指标评价,绿盟科技信息安全管理体系建设方案,项目总结,运行与监控,项目准备与差距分析,设计与发布,项目范围确定安全方针建立业务安全需求和现状调研差距分析风险分析信息安全培训,体系设计管理制度补充/优化安全基础手册编写,体系分发和宣贯运行监控信息安全培训,预防性改进和纠正性改进,安全管理体系文件,试运行报告有效性测量程序部分可参考测量指标培训,项目总结与改进计划,DO,CHECK,ACT,绿盟科技工作小组客户工作小组,绿盟科技工作小组客户工作小组,绿盟科技工作小组客户工作小组,绿盟科
18、技工作小组客户工作小组,ISMS项目计划现状调研报告差距分析报告风险处置计划培训,PLAN,阶段,主要任务,主要交付品,工作小组,知识共享、项目沟通,第一阶段 实施准备与差距分析,第二阶段 - 设计与发布,第二阶段 - 设计与发布,ISMS策略,ISMS程序、流程,工作指导书、操作说明、模板、检查表等,文档、记录,1级,2级,3级,4级,以ISO/IEC 27000为依据,我们将帮助客户建立一个文件化的安全管理体系, 包括:制定信息安全方针和手册和制度 ,并规划信息安全文件架构与控点对应,并且开发作业指导书、记录的相关模板体系文件发布。,第三阶段 - 运行与监控,第三阶段 - 运行与监控,我们
19、将协助客户建立对ISMS运行监控和度量的机制,使企业内部能够通过多视角对网络与信息安全的运行情况进行了解。,测量内容,安全策略标准资产管理风险管理员工意识帐号与权限变更管理物理安全业务连续性IT终端安全防病毒安全,相关部门合格率,月度安全事件监控,关键指标示例:策略更新频率安全策略总体符合情况单个标准符合情况 ,关键指标示例:未经授权(/未及时授权)的权限变更(增删改)数量未及时删除/挂起的帐号或权限数量帐号权限检查的不符合比率定期进行帐号权限检查的执行比率 帐号密码规范检查的系统执行比率,关键指标示例:防病毒软件安装合格率 防病毒代码更新合格率病毒感染设备总数/已清除设备总数/无法清除设备总数 ,支持和协助,项目沟通,项目交付物一览,谢谢!,
