CISP信息安全管理体系new资料.ppt

安全策略 注意事项： 得到管理层的审核批准 应采取适当的方式让有关人员获得并理解最新版本的策略文档 控制安全策略的发布范围，注意保密 系统变更后和定期的策略文件评审和改进 安全组织体系——内部组织 管理层承诺： 确定组织的总体安全目标 为信息安全管理提供方向性的指导 制定、评审和批准安全策略 评审安全策略的有效性 为信息安全工作提供所需的资源 审批安全角色和职责的分配 推动安全意识教育 协调各部门的利益和关系 管理层可以是一个专门高层管理机构，如信息化领导小组、信息安全领导小组；亦可以是一个通常意义的高层管理机构，如办公会，董事会 安全组织体系——内部组织 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调 协调的内容包括： 安全活动与安全策略的一致性 对违规活动的处理 信息的分类 教育与培训 安全控制措施的充分性、协调性、资源配备 安全事故的处理 典型的安全协调应包括如下人员： 管理人员 用户 行政人员 应用设计人员 系统运维人员 内部审计人员 安全专员 领域专家：法律、保险、人力资源、风险管理 安全组织体系——内部组织 组织结构是组织机构中部门的设置，以及工作和权力关系的层次划分 直线式的组织结构 按项目组划分的组织结构 安全组织体系——内部组织 职责分离是有效减少偶然或故意的未授权访问、误用和滥用的有效方法 安全组织体系——内部组织 职责分工补偿： 审计踪迹 核对:一般由用户来进行 例外报告 交易日志 监督性审核 独立性审核 安全组织体系——外部组织 保持被外部组织访问、处理、沟通或管理的组织信息及信息处理设备的安全： 识别与外部组织相关的安全风险 当与顾客接触时，强调安全 在第三方协议中强调安全 人员安全——雇佣前 确保员工、合同方和第三方人员了解他们的角色职责、具备必需的能力资质 明确人员的安全角色和职责 核实身份、教育背景、工作履历、技能和专业资质、信用和犯罪记录 雇佣合同、保密协议 人员安全——雇佣中 确保所有员工、合同方和第三方人员了解信息安全威胁和相关事宜，履行责任义务，在日常工作中贯彻落实信息安全策略 对工作过程的管理监督 安全意识教育和技能培训 建立违反安全策略的惩戒措施 人员安全——雇佣的终止和变更 确保员工、合同方和第三方人员离开组织或雇佣变更时以有序的方式进行 明确雇佣终止后仍然有效的职责条款，如利益冲突和竞争禁止协议 归还资产 撤销访问权限 重要安全管理措施 通信和操作管理 重要安全管理措施 资产管理 访问控制 符合性 资产管理——资产责任 资产清单 信息资产 软件资产 物理资产 服务、人员和无形资产 资产所有和责任关系 资产的使用规范和指南 资产管理——信息分类 分类方针 应按照信息的价值、法律要求及对资质的敏感程度和关键程度进行分类 《GB 17859计算机信息系统安全保护等级划分准则》 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 《信息系统安全等级保护实施指南》 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 《中国人民共和国保守国家秘密法》绝密、机密和秘密 信息标识与处置 应制定并实施与信息分类一致的信息标识和处置程序 通信和操作管理——操作程序和职责 文件化的操作程序 针对系统操作、备份、设备维护、系统变更、介质处理、机房管理等日常操作编制文件化的操作程序 变更管理 涉及系统变更的计划、批准、测试、记录和效果反馈等 开发、测试与生产环境的分离 通信和操作管理——第三方服务管理 清晰定义服务内容 服务水平协议 对服务过程进行监督和评审 监督与服务水平协议的符合性 对服务报告进行评审 对安全攻击事件、操作失误、系统故障的记录进行评审、 要求解决问题，并改进服务 管理第三方服务的变更 信息系统的改进和升级 安全加固 新技术、新产品在系统中的采用 新的开发工具和开发环境 服务地点和联系方式的改变 通信和操作管理——系统计划与验收 容量管理（Capacity Management） 为确保足够的系统容量、性能和资源来保持系统的可用性，需要预先的规划和准备 对未来系统容量进行预测 系统验收（acceptance） 在新建立的系统、升级后的系统投入使用之前，要建立该新系统的运行要求，并进行测试和审查，包括： 系统功能的完整性 系统性能是否满足业务要求 系统的易用性 是否具有必要的安全措施 信息系统的开发和使用文档 系统操作使用的培训等 通信和操作管理——其他 防范恶意代码 数据备份 网络安全管理 存储介质管理 运行状态的监控 操作日志和审计