信息安全管理普通高等教育“十一五”国家级规划教材张红旗王新昌杨英杰唐慧林2第4次课-信息安全管理体系3上课用课件.ppt

信 息 安 全 管 理 Information security management 上节回顾 测评的广度和深度落实在具体的测评方法――访谈、检查和测试上，体现出访谈、检查和测试的 　努力程度不同。 本节内容 本节内容 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过五个基本步骤 。 第二章 信息安全管理体系3 建立信息安全管理体系一般要经过哪些基本步骤？ tanghuilin81@ 8、 BS7799信息安全管理体系的检查与持续改进 对信息安全管理体系的审查 日常检查 自治程序 学习其他组织的经验 内部信息安全管理体系审核 管理评审 趋势分析 8、 BS7799信息安全管理体系的检查与持续改进 对信息管理体系的持续改进 纠正性控制 预防性控制 组织应采取措施，以消除不合格的、与实施和运 行信息安全管理体系有关的原因，防止问题的再次发 生。 组织应针对未来的不合格事件确定预防措施以防 止其发生。预防措施应与潜在问题的影响程度相适应。 小结 习题 LOGO 授课内容：信息安全管理体系3 授课对象： 主讲教员：唐慧林 三种基本测评方法： 　访谈Interview 　检查Examine 　测试Test 信息安全管理体系建立步骤 1 BS7799信息安全管理体系的准备 2 建立BS7799信息安全管理框架 3 编写BS7799信息安全管理体系文件 4 BS7799信息安全管理体系的运行 5 BS7799信息安全管理体系的审核 6 BS7799信息安全管理体系的检查与持续改进 8 BS7799信息安全管理体系的管理评审 7 BS7799的内容 *BS7799-1:《信息安全管理实施规则》 主要是给负责开发的人员作为参考文档使用，从而 在他们的机构内部实施和维护信息安全。 *BS7799-2:《信息安全管理体系规范》 详细说明了建立、实施和维护信息安全管理体系的 要求，指出实施组织需要通过风险评估来鉴定最适宜的 控制对象，并根据自己的需求采取适当的安全控制。 1、信息安全管理体系建立步骤 信息安全管理体系的策划与准备 信息安全管理体系文件的编制 建立信息安全管理框架 信息安全管理体系的运行 信息安全管理体系的审核与评审 2、BS7799信息安全管理体系的准备 管理承诺 组织与人员建设 编制工作计划 能力要求与教育培训 3、建立BS7799信息安全管理框架 3、建立BS7799信息安全管理框架 信息安全策略（Information Security Policy）本质上 来说是描述组织具有哪些重要信息资产，并说明这些信息 资产如何被保护的一个计划。 *定义安全策略 3、建立BS7799信息安全管理框架 信息安全策略可以分为两个层次： 信息安全方针 具体的信息安全策略 *定义安全策略 3、建立BS7799信息安全管理框架 *定义ISMS的范围 组织现有部门 办公场所 资产状况 所采用技术 3、建立BS7799信息安全管理框架 *实施信息安全风险评估 对ISMS范围内的信息资产进行鉴定和估价 对信息资产面对的各种威胁和脆弱性进行评估 对已存在的或规划的安全控制措施进行鉴定 3、建立BS7799信息安全管理框架 *实施信息安全风险管理 降低风险 避免风险 转移风险 接受风险 3、建立BS7799信息安全管理框架 *确定控制目标和选择控制措施 控制目标的确定和控制