构建组织的ISMS体系05.ppt

构建组织的ISMS体系 信息安全管理体系（ISMS） 由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。 信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。 通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理体系（ISMS）。 明确保护和管理的对象 人 内部员工、外部客户、服务供应商、产品供应商等。 物 网络设备、系统主机、工作站、PC机等； 操作系统、业务应用系统等； 商业涉密数据、个人隐私数据、文档数据等。 ISMS的建立与维护 遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基本上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性； 安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。 建立ISMS的步骤 确定信息安全管理方针； 明确ISMS(信息安全管理体系)的范围 ，根据组织的特性、地理位置、资产和技术来确定界限； 实施适宜的风险评估，识别资产所受的威胁脆弱性和对组织的影响，并确定风险程度； 根据组织的信息安全管理方针和需要的保证程度来确定管理的风险区域； 选择适宜的控制目标和控制； 制定可用性声明，控制目标和控制方式的选择及选择原因应在可用性声明中文件化。 信息安全管理体系（ISMS）的作用 ISMS的内容依据 安全策略 组织安全 资产分类与控制 人员安全 物理和环境安全 通信和操作管理 访问控制 系统开发与维护 业务连续性管理 遵循性 ISMS的目标、方针、策略 ISMS的基本组成 安全管理流程 － 响应型 安全管理流程 － 主动型 ISMS设计应注意的问题 安全性 设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导，保护信息与网络系统的安全，所以安全性成为首要目标。要保证体系的安全性，必须保证体系的可理解性、完备性和可扩展性。 可行性 设计体系不能纯粹地从理论角度考虑，再完美的方案，如果不考虑实际因素，那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施，它的价值也体现在所设计的工程上，如果工程的难度太大以至于无法实施，那么体系本身也就没有了实际价值。 ISMS体系设计应注意的问题 高效性 信息与网络系统对安全提出要求的目的是能保证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权衡了。信息网络系统的安全体系包含一些软件和硬件，它们也会占用信息网络系统的一些资源。因此，在设计安全体系时必须考虑系统资源的开销，要求安全防护系统本身不能妨碍信息网络系统的正常运转。 可承担性 安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的，单位要为此付出一定的代价和开销。如果单位要付出的代价比从安全体系中获得的利益还要多，那么单位就不会采用这个方案。所以，在设计安全体系时，必须考虑单位的实际承受能力。 ISMS执行常见现象 制度简单，内容不全 交叉重复，混乱无章 厚厚一本，无针对性 悬挂墙壁，应付检查 锁在柜中，无人知晓 …… ISMS执行建议 建立完善的信息安全管理组织体系 建立信息安全巡检制 制定可操作性的管理规范 制定针对性的管理规范 与组织文化结合的管理方式 从松到严、从少到多的管理要求 制度、规范等的定期维护 安全管理平台的集中监控 安全服务商的定期安全服务 SOC安全管理平台 随着企业的IT应用的深入和规模的扩大，技术管理难度越来越大，用户的负担越来越重，企业提出了简化管理的要求；根据信息安全的特点，多种安全产品的应用将跨越多个部门甚至多个企业，密集分布的安全产品增加了管理的难度，同时安全完备性也要求实现集成化安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是真正意义上的安全 。 信息安全保障体系——案例一 信息安全保障体系建设 组织体系为核心 管理体系为保障 技术体系为支撑 信息安全组织体系建设 组织体系 机构建设 建立决策层、管理层和执行层三层工作关系 明确信息安全主管领导 落实信息安全管理部门及职责 指定信息安全执行岗位 建立安全巡检小组 人员管理 建立专职的安全管理员和安全审计员岗位 明确定义本单位各种角色的安全职责，加强岗位权限审核 加强招聘、上岗、变更、离职等方面的管理 加强员工的安全普及培训和管理员的安全技术培训