信息安全管理8.pptVIP

信息技术 安全技术信息安全管理实用规则 GB/T 22080-2008/ISO/IEC 27001:2005 2008-06-19 发布 2008-11-01 实施 如何识别安全要求 三个主要来源： 通过对组织进行风险的评估获得，并考虑到组织的整体业务策略与目标。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响； 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境； 组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。 如何选择控制措施 一旦安全要求和风险已经被识别并已作出风险处置决定，则宜选择并实现合适的控制措施，以确保风险降低到可接受的级别； 控制措施可以从标准或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求； 安全控制措施的选择依赖于组织所作出的决定，该决定是基于组织所应用的风险接受准则、风险处置选项和通用的风险管理方法，同时还宜遵守我国的法律法规； 成功的关键因素 组织成功地实施信息安全的关键因素： 反应业务目标的信息安全方针、目标以及活动； 与组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架； 来自所有级别管理者可见的支持和承诺； 正确理解信息安全要求、风险评估和风险管理； 想所有管理人员、员工和其他方传达有效的信息安全知识以使他们具备安全意识； 向所有管理人员、员工和其他方分发关于信息安全方针和标准的指导意见； 提供资金以支持信息安全管理活动； 提供适当的意识、培训和教育； 建立一个有效的信息安全事件管理过程； 实施一个测量系统，它可用来评价信息安全管理的执行情况和反馈的改进建议。 术语和定义 控制措施 管理风险的方法，包括策略、规程、指南、管理或组织结构。它们可以是行政、技术、管理、法律等方面的 指南 阐明要做什么和怎么做以达到方针策略中制定的目标的描述 方针 管理者正式发布的总的宗旨和方向 风险 事态的概率及其结果的组合 威胁 可能导致对系统或组织的损害的不期望事件发生的潜在原因 脆弱性 可能会被一个或多个威胁所利用的资产或一组资产的弱点 11个方面、39个主要安全类别 安全方针（1） 信息安全组织（2） 资产管理（2） 人力资源安全（3） 物理和环境安全（2） 通信和操作管理（10） 访问控制（7） 信息系统获取、开发和维护（6） 信息安全事件管理（2） 业务连续性管理（1） 符合性（3） 主要安全类别 每个主要安全类别包括 一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 定义 实施指南 其他信息 评估安全风险 对照风险接受准则和组织相关目标，识别、量化并区分风险的优先顺序； 其结果可指导并确定适当的管理措施及其优先级，以管理信息安全风险和实施为防范这些风险而选择的控制措施； 评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统； 包括估计风险大小的系统方法（风险分析）和将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程（风险评价）； 周期性加以执行，以指出安全要求和风险情形的变化，例如资产、威胁、脆弱性、影响、风险评价； 发生重大变化时也应进行风险评估； 应使用一种能够产生可比较和可在线结果的系统化的方式； 为使风险评估有效，应有一个清晰定义的范围；既可以是整个组织、组织的一部分、单个信息系统，特定的系统部件，也可以是服务。 处置安全风险-1 应先确定风险是否能被接受的准则。如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可接受，这些决定应加以记录。 每一个风险，需要作出风险处置决定，包括： 应用适当的控制措施以降低风险； 只要它们清晰的满足组织的方针和风险接受准则，则要有意识地、客观地接受该风险； 通过不允许可能导致风险发生的行为来避免风险； 将相关风险转移到其他方，例如，保险或供应商 处置安全风险-2 为将风险降低到可接受级别，控制措施应考虑如下因素： 我国的法律法规的要求和约束； 组织的目标； 运行要求和约束； 降低与风险相关的实施和运行的成本，并使之与组织的要求和约束保持相称； 保持实施和运行控制措施的投资与安全实效可能导致的损害之间平衡的需求 控制措施可以从标准中选择，也可以重新设计； 有些控制措施并不是对每一种信息系统或环境都适用，并且不是对所有组织都可行； 控制措施应在系统和项目需求说明书和设计阶段予以考虑； 没有一个控制措施结合能实现全部的安全，为支持组织的目标，应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。 * *