信息安全管理 第8讲 信息安全组织管理(2007年11月19日)(改进版).pptVIP

第8讲 信息安全组织管理 1 概述 信息安全管理 信息安全管理体系 信息安全保障 信息安全组织管理 信息安全管理 概念： 组织为实现信息安全目标而进行的管理活动，是组织完整的管理体系中的一个重要组成部分，是为保护信息资产安全，指导和控制组织的关于信息安全风险的相互协调的活动 范围： 包括组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等 从人员上看，信息安全管理涉及到全体员工，包括各级管理人员、技术人员、操作人员等； 从业务上看，信息安全管理贯穿到所有与信息及其处理设施有关的业务流程当中 重要性： 威胁的多样性和复杂性 技术手段的局限性，特别是对内部用户、合法用户 信息安全管理基本方法 ISO/IEC 27001提出的PDCA 我国的《信息安全风险管理指南》 美国卡耐基﹒梅隆大学软件工程研究所（CMU/SEI）的OCTAVE 美国国家安全局提出的SSE-CMM 美国审计总署提出的《信息安全管理指南——向先进公司学习》（GAO/AIMD-98-68） 美国国家标准和技术学会（NIST）信息技术实验室（ITL）通过对国家测量和标准体系提供技术指导。SP800 澳大利亚和新西兰提出的AS-NZS 4360：1990《风险管理指南》 信息安全管理体系 信息安全管理体系（ISMS：Information Security Management System） 基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系 整个管理体系的一部分。管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源 ISMS概念起源 源于BS7799-2，也就是后来的ISO/IEC 27001。ISO/IEC 27001提出了在组织整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进ISMS的PDCA模型，对PDCA模型的每个阶段的任务及注意事项、ISMS的文件要求、管理职责做了较为详细的说明，并对内部ISMS审核、ISMS管理评审、ISMS改进也分别做了说明 信息安全保障 组织管理保障 信息系统安全保障的动力源泉，普通的安全技术，通过制定恰当的管理措施予以配合，可以发挥出出色的安全效能 技术保障 技术保障是信息安全保障的基础，没有相应的安全技术作为支撑，信息安全目标很难实现 法律法规保障 法律法规建设不是组织的内部事务，而是整个社会共同面对的问题。法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分，它能为信息安全提供制度保障，没有法律法规保障，商务、政务活动将无章可循，信息安全的技术和管理人员将失去了约束。 标准化建设 信息安全标准是规范和协调信息安全管理和技术互通和一致的重要手段 信息安全组织管理 组织管理方面的安全保障措施包括： 信息安全策略：是在一个组织内指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示 安全组织建设：组织安全是指组织应建立一定的管理框架，以启动和控制组织范围内的信息安全的实施，同时加强处理因与外界各方交流而可能引发的安全问题。如信息安全职责分配、职能部门间工作的协调与沟通、与外部各方合同与协议安全等 人力资源安全：人员安全管理是不仅指组织内部人员的安全管理、也包括签约合作方及第三方人员的安全管理 业务连续性管理：业务连续性管理通过预防、检测和恢复的组合，将对机构的影响减少到最低水平，并将信息资产的损失恢复到可接受的程度。 信息安全事故管理：安全事故报告机制、处理机制、脆弱点的规范管理机制等 符合性：符合性包含三个方面的含义，其一是指法律法规的符合性，其二是指与有关标准、技术规范的符合性，其三是指与组织目标及安全策略的符合性。组织应执行符合性审查，如有不符合情况，应该： 确定不符合的原因； 评估要纠正这个不符合所需要的措施及代价； 决定和实施适当的纠正措施； 评审纠正措施 操作安全：组织应该具备规范化的操作程序、操作培训、职责分割、信息备份、安全监控与审计踪迹等 物理安全保护：物理安全保护是指对信息处理设施、介质、场所提供物理的安全保护，避免物理介质、设备的物理破坏以及信息处理场所的未授权进入。包括信息处理设备安全、电缆安全、信息处理场所的物理安全等 …… 2 信息安全策略 什么是信息安全策略 信息安全策略的制定 信息安全策略的框架 信息安全策略的支持文件 信息安全策略的推行 什么是信息安全策略 信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。分为两个部分： 问题策略（issue policy）：描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度 功能策略（functional policy）：描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用