信息安全体系-27001剖析.pptVIP

* 检查与审计的内容 对于安全框架是否已有效的建立起来，技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用，组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性，并对发现的问题采取有效的纠正措施并实施，对纠正措施实施的结果进行验证。 安全检查工作一般由信息安全管理部门来负责实施，经常性的检查，有利于落实信息安全方针与策略，及时发现信息安全在技术、人员及流程方面存在的隐患，也有利于提高员工安全意识，保证业务的持续运行。 审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审计。 对安全的检查与审计 审计的步骤 信息安全在每次检查审计前，由管理层任命适当资质的合适人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审组长。 内审小组负责编写本次内审的《内部审计方案》，其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法；内审小组成员及其分工；审计活动日程安排。 《内部审计方案》经批准后，至少提前二周通知被审计部门，以便被审计部门有充分时间进行内审，若被审计部门对时间等安排有异议时，应在三天内通知内审小组协商调整具体安排； 内审小组在完成了全部的审计准备工作后，就可按预先约定的日期和时间实施审计。内部审计实施可划分为首次会议、现场审计和末次会议三个阶段进行。 信息安全是一个多层面、多因素的过程，如果组织凭一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只木桶出现若干短板，从而无法提供信息安全水平。 * * 建立完善的安全治理结构，为信息安全提供战略保证； 审视组织的业务目标，确定安全需求，并建立相应的总体安全策略； 在风险评估的基础上，进行安全规划； 建立并运行信息安全体系，初步达到粗粒度的信息安全； 建立“人力防火墙”与“技术防火墙”,在细粒度上保证信息安全； 实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性； 持续监控业务与安全环境的变化，并对安全策略进行及时调整。 组织的IT实践人员在IT原则的指导下，通过对组织业务战略和IT规划的详细分析，发现并分析组织业务所处的环境，了解IT基础设施及应用系统可能存在的薄弱点，在此基础上制定出适宜的安全政策、保障措施及安全投资计划。 ISO17799差距分析调研问卷主要涵盖了ISO17799中的11个领域和133个控制项，由各部门参与风险评估的人员填写，从主观角度了解各层面人员从自身角度出发对于组织安全现状的认识和与标准的差距感受。 ISMS是以风险评估为前提，以风险管理为基础，通过建立一整套文件化的管理制度，包括方针、策略、程序文件，操作手册，记录等，在组织中以PDCA的方式实施，把风险控制到组织可接受的水平。 类似于质量管理体系的ISO9000标准，信息安全管理体系也有相应的国际标准ISO17799:2005 ISO27001:2005。国信办根据本次试点工作情况将推荐其为中国国家标准。 1984年中法合作建设大亚湾核电站，法国派来的第一位专家不是核电专家也不是建筑专家而是文件专家，负责编制文件代码。当时，很多人不理解为什么派个文件专家来，扬言要把文件专家退回去，但法方坚持标准必须先行。现在，不论是大亚湾核电站还是岭澳核电站采用的都是那位法国专家编制的文件标准。 进行安全控制规划 安全规划针对组织面临的主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。 安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全，进行设计、改进和加强，是进行安全建设的总体指导。 序号 项目内容 紧迫性 可实施性 难易程度 效果分析 综合分析 1 安全体系建设 2 安全策略管理 3 安全组织管理 4 安全运行管理 5 物理安全管理 6 网络访问控制 7 认证与授权 8 监控与审计 9 系统管理 10 响应和恢复 11 信息安全 12 系统开发管理 13 物理安全 14 …… 安全规划方法 安全预算计划 所以安全预算计划是一项具有挑战性的工作，要采用“适度防范”的原则，把有限的资金用在刀刃上。 一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设总投资额的20%，过高的安全成本将使安全失去意义。 投资回报计划 信息安全投资回报计划就是要研究信息安全的成本效益，其成本效益组成如下： 从系统生命周期看信息安全的成本：获取成本和运行成本 从安全防护手段看信息安全的成本：技术成本和管理成本