第2章 信息安全管理体系.docVIP

第2章 信息安全管理体系 学习目标： 了解信息安全管理体系的建立流程 了解并掌握信息安全体系审核的定义和过程 了解信息安全体系的评审程序 掌握信息安全体系的认证目的、范围及如何向认证机关提出申请 2.1引言 《信息安全管理体系标准》于2002年12月制定的国际标准。 标准内容：信息安全策略、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理。 2.2 ISMS的构架 ISMS=信息安全管理体系 2．2.1 建立信息安全管理框架 第一步：定义信息安全策略 第二步:定义信息安全管理（ISMS）范围 重点考虑机构： 1.现有部门 2．处所 3．资产状况 4．所采取的技术 第三步:定义信息安全风险评估（3种评估方法） 1．基本风险评估 2．详细风险评估 3．基本风险评估和详细风险评估相结合 第四步: 定义信息安全风险管理 第五步: 选择管理目标和措施 第六步: 准备适用性申明 2.2.2 具体实施构架的ISMS 注意：1、充分考虑各种因素 2、实施有效的安全控制 （实施有效的，两方面含义：一、严格按要求执行；二、结果达到预期目标，风险控制的结果可以接受） 2.2.3 建立相关文档 2.2.4 文档的严格管理 （文档严格管理，要有规律、周期性的回顾和修正） 2.2.5 安全事件记录、回馈 2.3信息安全管理体系审核 2.3.1 体系审核的概念 概念：机构为验证所有安全程序的正确实施和检查信息系统符合安全实施标准的情况所进行的系统的、独立的检查和评价，是信息安全管理体系的一种自我保证手段。 2.3.2 审核准备 1．编制审核计划 2．收集并审核有关文件 3．准备审核工作文件——编写检查表 4．通知受审核部门并约定审核时间 2.3.4 审核报告 2.3.5 纠正措施 概念：为消除依法显得不合格项或其他不期望情况的原因所采取的措施。 2.3.6 审核风险控制 审核也有风险 2.4信息安全管理体系评审 2.4.1 信息安全管理体系评审程序 1．编制评审计划 2．准备评审资料 3．召开评审会议 4．评审报告分发与保存 5．评审后要求 2.4.2 体系评审与持续改进 2.5信息安全管理体系认证 国际新的信息安全管理标准——BS7799标准 2.5.1 信息安全管理体系认证的目的 2.5.2 信息安全管理认证的依据与范围 1．认证的依据 2．认证的范围 2.5.3 申请认证 1．申请认证的基本条件 2．寻求认证机构 3．向认证机构提供的信息