《信息安全风险管理》ISOIEC27006.ppt

第二章 信息安全管理体系 4、编写BS7799信息安全管理体系文件 *文件的作用 阐述声明的作用 规定和指导作用 记录和证实作用 评价信息安全管理体系 保障信息安全改进 平衡培训要求 第二章 信息安全管理体系 4、编写BS7799信息安全管理体系文件 *文件的层次 适用性声明 ISMS管理手册 程序文件 作业指导书 记录 第二章 信息安全管理体系 4、编写BS7799信息安全管理体系文件 *文件的控制管理 文件控制 记录控制 第二章 信息安全管理体系 5、 BS7799信息安全管理体系的运行 有针对性地宣传信息安全管理体系文件 完善信息反馈与信息安全协调机制 加强有关体系运行信息的管理 加强信息安全体系文件的管理 第二章 信息安全管理体系 6、 BS7799信息安全管理体系的审核 信息安全管理体系审核是指组织为验证所有安全方针、策略和程序的正确实施，检查信息系统符合安全实施标准的情况所进行的系统的、独立的检查和评价，是信息安全管理体系的一种自我保证手段。 管理性审核 技术性审核 第二章 信息安全管理体系 6、 BS7799信息安全管理体系的审核 ISMS审核的主要目的： 检查BS7799的实施程度与标准的符合性情况； 检查满足组织安全策略与安全目标的有效性和适用性； 识别安全漏洞与弱点； 向管理者提供安全控制目标实现状况，使管理者了解 安全问题； 第二章 信息安全管理体系 6、 BS7799信息安全管理体系的审核 ISMS审核的主要目的： 指出存在的重大的控制弱点，证实存在的风险； 建议管理者采用正确的校正行动，为管理者的决策提 供有效支持； 满足法律、法规与合同的需要； 提供改善ISMS的机会。 第二章 信息安全管理体系 6、 BS7799信息安全管理体系的审核 体系审核的分类 ： 内部信息安全管理体系审核 外部信息安全管理体系审核 第二章 信息安全管理体系 6、 BS7799信息安全管理体系的审核 体系审核的基本步骤 ： 确定任务（审核策划） 审核准备 现场审核 编写审核报告 纠正措施的跟踪 全面审核报告的编写和纠正措施计划完成情况的 汇总分析 第二章 信息安全管理体系 7、 BS7799信息安全管理体系的管理评审 管理评审主要是指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审，以确保体系的持续适宜性、充分性和有效性。 第二章 信息安全管理体系 7、 BS7799信息安全管理体系的管理评审 第二章 信息安全管理体系 7、 BS7799信息安全管理体系的管理评审 管理评审的输入 内、外部信息安全管理体系审核的结果； ISMS方针、风险控制目标和风险控制措施的实施情况； 事故、事件调查处理情况； 事故、事件、不符合项、纠正和预防措施的实施情况； 相关方的投诉、建议及其要求。 第二章 信息安全管理体系 7、 BS7799信息安全管理体系的管理评审 管理评审的输出 信息安全管理体系的适宜性、充分性和有效性 的结论； 组织机构是否需要调整； 信息安全管理体系文件是否需要修改； 资源配备是否充足，是否需要调整增加； 信息安全方针、策略、控制目标和控制措施是 否适宜，是否需要修改； ISMS风险是否需要调整更新。 第二章 信息安全管理体系 7、 BS7799信息安全管理体系的管理评审 管理评审的步骤 编制评审计划 准备评审材料 召开评审会议 评审报告分发与保存 第二章 信息安全管理体系 8、 BS7799信息安全管理体系的检查与持续改进 对信息安全管理体系的审查 日常检查 自治程序 学习其他组织的经验 内部信息安全管理体系审核 管理评审 趋势分析 第二章 信息安全管理体系 8、 BS7799信息安全管理体系的检查与持续改进 对信息管理体系的持续改进 纠正性控制 预防性控制 组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因，防止问题的再次发生。 组织应针对未来的不合格事件确定预防措施以防止其发生。预防措施应与潜在问题的影响程度相适应。 第二章 信息安全管理体系 信息安全管理体系的概念,建立步骤,特点; BS7799、ISO27000信息安全管理体系的内容与建立。 等级保护； 小结 * * 第二章 信息安全管理体系 4、等级保护的信息安全管理体系 在我国，1994年， 《中华人民共和国计算机信息系统安全保护条例》的发布，开始关注信息系统的安全和测评。 03年和04年，中央办公厅、国务院办公厅27号文、四部委66号文进一步规定： 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级；进行安全规