信息安全管理体系跟技术提纲.pdf

第一讲 信息安全管理体系  信息资产及其价值  组织的信息资产有哪些？ 业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。  信息安全 － 信息安全的基本要素、需求来源、目标  信息安全基本要素？ （在不同历史阶段有着不同的涵义） COMSEC 阶段：保密性 COMPUSEC 阶段：CIA 三元组 － 保密性、完整性、可用性 IA 阶段：私密性、可追溯性、抗抵赖性、可控性、真实性等  信息安全的需求来源？ 法律法规和合同的约束；组织的原则、目标和规定；风险评估的结果  信息安全的目标？ 一般目标：维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。 根本目标：维护组织关键业务活动的持续性和有效性。  信息安全管理  对于信息安全管理的认识 （大题） 管理最基本的职能：计划、组织、领导、控制 信息安全管理就是风险管理。 安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理 程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具 有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术 是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理 从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。 管理过程而非技术过程 高层支持 策略并不等于执行力 动态而非静态 主动而非被动 全员参与，培训开路 平衡性原则  信息安全管理的认识误区 重技术、轻管理 缺少安全意识 缺乏安全策略 缺乏系统的管理思想 法律法规不完善  信息安全管理模型 P2DR 模型（CC ）：P: 策略P: 防护D: 检测R: 响应 PDRR 模型：P: 策略P: 防护D: 检测R: 响应R: 恢复 HTP 模型（IATF ）：H: 人员与管理T: 技术与产品P: 流程与体系 P-POT-PDRR 模型： PDCA 模型 （建设模型）：  常见的国际信息标准 BS7799 （信息安全管理标准） BS7799-1: 信息安全管理体系的实施指南 BS7799-2: 信息安全管理体系规范 ISO/IEC 13335 （风险管理标准）- IT 安全管理指南 GMITS ISO/IEC 15408 （技术与工程标准）- CC ITIL （IT 服务管理标准）- 信息技术基础设施库 CobiT （信息系统审计标准）- 信息及其相关技术控制目标  信息安全管理体系 （ISMS）  为什么需要ISMS ？ 木桶原理  ISMS 建设可遵循的模型？ BS7799 ：PDCA IATF ：HTP CC ：P2DR  BS7799  BS7799-1 覆盖范围 原 BS7799-1 包括 10 区域，36 个控制目标，127 项控制措施；新版 ISO/IEC 27002:2005 包括 11 个区域，39 个控制目标，133 项控制措施。  ISMS 的建设模型 PDCA － Plan 建立 ISMS - Do 实施和运作 ISMS - Check 监控和评审 ISMS - Act 维护和改进 ISMS  ISMS 的建设方法 1. 确定范围 2. 识别信息资产 3. 确定信