信息安全体系综述.pptVIP

* * * 日常安全执行内容 多个PDCA循环 安全日常运作过程就是一个大的PDCA循环 风险评估与风险分析PDCA循环 文件体系的建立与维护PDCA循环…… 制定计划 行动计划主要有： 信息安全政策制订与实施 与信息安全相关的人力资源政策的制订 安全事件响应计划 监控日常安全事务及员工对安全政策的遵循 业务连续性计划及灾难恢复计划 安全教育计划 建设企业安全文化 预算计划 有足够资金支持的计划才是切实可行的计划，才能有效地落实信息安全所需要的人、财、物等资源的配置。 预算计划一定要合理，过高的安全预算会使安全失去意义，最好是结合投资回报分析。 检查与审计的内容 对于安全框架是否已有效的建立起来，技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用，组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性，并对发现的问题采取有效的纠正措施并实施，对纠正措施实施的结果进行验证。 安全检查工作一般由信息安全管理部门来负责实施，经常性的检查，有利于落实信息安全方针与策略，及时发现信息安全在技术、人员及流程方面存在的隐患，也有利于提高员工安全意识，保证业务的持续运行。 审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审计。 对安全的检查与审计 对安全的检查与审计 审计的步骤 信息安全在每次检查审计前，由管理层任命适当资质的合适人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审组长。 内审小组负责编写本次内审的《内部审计方案》，其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法；内审小组成员及其分工；审计活动日程安排。 《内部审计方案》经批准后，至少提前二周通知被审计部门，以便被审计部门有充分时间进行内审，若被审计部门对时间等安排有异议时，应在三天内通知内审小组协商调整具体安排； 内审小组在完成了全部的审计准备工作后，就可按预先约定的日期和时间实施审计。内部审计实施可划分为首次会议、现场审计和末次会议三个阶段进行。 * * * 建立完善的安全治理结构，为信息安全提供战略保证； 审视组织的业务目标，确定安全需求，并建立相应的总体安全策略； 在风险评估的基础上，进行安全规划； 建立并运行信息安全体系，初步达到粗粒度的信息安全； 建立“人力防火墙”与“技术防火墙”,在细粒度上保证信息安全； 实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性； 持续监控业务与安全环境的变化，并对安全策略进行及时调整。 * * ISMS是以风险评估为前提，以风险管理为基础，通过建立一整套文件化的管理制度，包括方针、策略、程序文件，操作手册，记录等，在组织中以PDCA的方式实施，把风险控制到组织可接受的水平。 类似于质量管理体系的ISO9000标准，信息安全管理体系也有相应的国际标准ISO17799:2005 ISO27001:2005。国信办根据本次试点工作情况将推荐其为中国国家标准。 1984年中法合作建设大亚湾核电站，法国派来的第一位专家不是核电专家也不是建筑专家而是文件专家，负责编制文件代码。当时，很多人不理解为什么派个文件专家来，扬言要把文件专家退回去，但法方坚持标准必须先行。现在，不论是大亚湾核电站还是岭澳核电站采用的都是那位法国专家编制的文件标准。 确定风险控制策略 信息安全控制规划 选择安全控制措施 防止商业活动中断和灾难事故的影响。 业务持续性管理 信息安全事件管理 保证系统开发与维护的安全 系统开发与维护 控制对业务信息的访问。 访问控制 保证通讯和操作设备的正确和安全维护。 通信与运营管理 防止对关于IT服务的未经许可的介入，损伤和干扰服务。 物理与环境安全 减少人为造成的风险。 人员安全 维护组织资产的适当保护系统。 资产管理 建立组织内的管理体系以便安全管理。 安全组织 为信息安全提供管理方向和支持。 安全方针 目的 ISO27001十一个域 避免任何违反法令、法规、合同约定及其他安全要求的行为。 符合性 确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 进行安全控制规划 安全规划针对组织面临的主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。 安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全，进行设计、改进和加强，是进行安全建设的总体指导。 序号 项目内容 紧迫性 可实施性 难易程度 效果分析 综合分析 1 安全体系建设 2 安全策略管理 3 安