CISP0303信息安全控制措施_v3.0探索.pptx

信息安全控制措施 内容组织结构 每个主要安全控制措施类别，包括： 一个或多个控制目标，声明要实现什么 对于每个控制目标，包含一项或多项控制措施，可被用于实现该控制目标 不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用 2 课程内容 3 知识体 知识域 知识子域 信息安全 管理体系 信息安全 管理体系建设 信息安全 管理体系基础 信息安全 控制措施 知识域：信息安全控制措施 知识子域： 安全方针 理解信息安全方针控制目标的含义 掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法 4 Why? 有没有遇到过这样的事情？ 案例1 有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。” 5 安全方针 控制目标 （1）信息安全方针 6 信息安全方针 控制目标:组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全 控制措施 信息安全方针文件 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方 信息安全方针评审 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保其持续的适宜性、充分性和有效性 7 信息安全方针应符合实际情况，切实可行。对方针的落实尤为重要 信息安全方针文件 信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件 信息安全方针应当说明以下内容： 本单位信息安全的整体目标、范围以及重要性 信息安全工作的基本原则 风险评估和风险控制措施的架构 需要遵守的法规和制度 信息安全责任分配 对支持方针的文件的引用 8 信息安全方针主要阐述信息安全工作的原则，具体的技术实现问题，如设备的选型，系统的安全技术方案一般不写在安全方针中 知识域：信息安全控制措施 知识子域： 信息安全组织 理解内部组织控制目标的含义，掌握信息安全协调等实现这一目标的控制措施的常规实施方法 理解外部各方控制目标的含义，掌握与外部各方相关风险的识别等控制措施的实施方法 9 Why? 有没有遇到过这样的事情？ 案例1 我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？ 案例2 我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？ 应该有一群人，至少包括单位领导、技术部门和行政部门的人组织在一起，专门负责信息安全的事 10 信息安全组织 控制目标 （1）内部组织 （2）外部各方 11 (1)内部组织 控制目标：实现对组织内部的信息安全管理 控制措施：信息安全的管理承诺 12 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 保密性协议 与政府部门的联系 与特定利益集团的联系 信息安全的独立评审 信息安全的管理承诺 高层管理者参与信息安全建设，负责重大决策，提供资源，并对工作方向、职责分配给出清晰的说明 高层管理者就是说了算的，可以给人、给钱、给设备，提出工作要求还给与资源保障的人 13 信息安全协调 不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合。因此需要协调 信息安全工作和其他工作一样不是某个个人、某个部门就可以完成的 信息技术部门是信息安全组织中的重要执行机构，但不是全部 14 机构内部达成共识 避免流于形式或作假 信息安全职责的分配 为有效实施信息安全管理，保障和实施系统的信息安全，应在机构内部建立信息安全组织，明确角色和职责 信息安全责任的重要性 在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步 15 与政府部门的联系、与特定利益集团的联系 要注意充分利用外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系 例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供应 16 (2)外部各方 控制目标：保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 控制措施：与外部各方相关风险的识别 17 处理外部各方协议中的安全问题 访问风险： 维护软件设备的承包商 清洁、送餐人员 外部咨询人员 审核人员 知识域：信息安全控制措施 知识子域： 资产管理 理解对资产负责控制目标的含义，掌握资产清单、资产责任人等控制措施的实施方法 理解信息分类控制目标的含义，掌握分类指南、信息的标记和处理等控制措施的实施方法 18 Why？ 那些曾经发生过的事： 案例1：某单位欲安装一台网络防火墙，却发现没有人