信息安全管理基础.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 这里需要注意，尽管BS7799包含了多达127项的安全控制，但并不是说所有打算通过7799认证的组织都必须严格实施这127项控制，我们的目的只在于 依据7799的控制框架，有选择地实施最符合我们需求的控制措施。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 不同的组织，对CIA三方面的要求侧重会有所不同 * * * * * * * * * * * * * * * * * * * * * * 范围：根据业务、组织、物理位置、资产和技术的特点来确定 安全策略：明确业务需求、法律法规要求和合同中的安全义务。包括一个设定目标的框架。 风险管理途径：识别风险管理方法，定义风险接受标准。 识别风险：识别纳入scope的资产，包括资产的属主。识别资产面临的威胁，识别资产弱点，识别资产在CIA方面的损失。 评估风险：评估业务损害，评估已识别威胁的现实可能性，识别当前实施的控制措施（Gap Analysis），估算风险水平，确定是否接受风险。 识别并评价风险处理方案：采用恰当的控制，避免风险，转嫁风险，接受风险。 选择控制目标和控制：从附录A中选择控制措施，但不限于附录A。 适用性声明：解释选择或排除的理由。这是一份关键文档，它建立起BS7799和ISMS之间的链接。 获得管理层批准：对残留风险予以批准，授权实施并运营ISMS。 * * * * * ISMS的文件体系 Policy Scope，RA，SOA Describes processes who, what, when, where. Describes how tasks and specific activities are done Provides objective evidence of compliance to ISMS requirements 第一级 方针策略 Security Manual 安全手册 第二级 Procedures 程序文件 第三级 Work Instructions, Checklist, Forms, etc. 第四级 Records 记录 ISO27001:2005信息安全管理体系规范 * 5. 管理责任 5.1 管理层的承诺： 建立信息安全方针策略 确保信息安全目标和规划已经建立 为信息安全分派角色和责任 与重要的组织进行沟通 提供开发、实施、操作和维护ISMS所需的足够的资源 确定可接受的风险水平 引导进行ISMS管理评审 5.2 资源管理： 5.2.1 组织应该确定并提供ISMS相关所有活动必要的资源，这些活动包括： 建立、实施、操作和维护ISMS；确保IS程序支持业务需求；识别法律法规和合同要求；正确实施所有的安全控制；执行必要的评审，对结果作出恰当反应；对ISMS进行必要改进 5.2.2 通过培训，组织应该确保所有在ISMS中承担了责任的人员能够胜任其职位 ISO27001:2005信息安全管理体系规范 * ISO27001:2005信息安全管理体系规范 6. 内部ISMS审核 组织应该通过定期的内部审核来确定ISMS的控制目标、控制、过程和程序满足以下要求： 符合本标准和相关法律法规的要求 符合已识别的信息安全需求 得到有效实施和维护 达到预期绩效 计划审核程序，定义审核标准、范围、频度和方法，任命审核员 ISO19011:2002给管理体系审核提供了指导 * 7. 对ISMS的管理评审 7.1 管理层应该对组织的ISMS定期进行评审，确保其持续适宜、充分和有效。 评估是否需要对ISMS加以改进，是否需要进行变更，包括安全策略和目标。 7.2 评审输入： ISMS审计和评审的结果 来自利益伙伴的反馈 可以用来改进ISMS性能及效力的技术、产品或程序 预防和纠正措施的状态 在以前的风险评估中并没有充分挖掘的弱点或威胁 效力衡量的结果 来自以前管理评审的跟进活动 任何可能影响ISMS的变化 改进推荐 7.3 评估输出： 管理复审的输出包括任何与改进ISMS相关的决策和活动：改进ISMS效力；更新风险评估；修改影响信息安全的程序；资源需求 ISO27001:2005信息安全管理体系规范 * 8. ISMS的改进