CISP课件信息安全管理_V4.2.pptxVIP

信息安全管理版本：4.2讲师名称 培训机构课程内容信息安全管理基础信息安全风险管理信息安全管理体系建设信息安全管理信息安全管理体系最佳实践信息安全管理体系度量知识子域知识域知识子域：信息安全管理基础基本概念 了解信息、信息安全管理、信息安全管理体系等基本概念。信息安全管理的作用及对组织的价值 理解信息安全管理的作用，对组织内部和组织外部的价值。基本概念信息 企业：对用户的信息保护成为新的关注点用户：用户将安全作为选择服务的重要依据之一 攻击者：不起眼的数据对攻击者可能价值很高，倒逼企业和个人更关注信息安全 信息安全管理 信息安全管理是组织管理体系的一个重要环节 信息安全管理体系 组织管理体系的一部分 基于风险评估和组织风险接受水平 信息安全管理的作用及对组织的价值防护措施信息安全水平被侵害的资产信息安全管理的作用信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用信息安全管理能预防、阻止或减少信息安全事件的发生对组织的价值对内对外知识子域：信息安全风险管理风险管理概述了解信息安全风险、风险管理的概念；理解信息安全风险管理的作用和价值；常见风险管理模型了解COSO报告、ISO31000、COBIT等风险管理模型的作用。安全风险管理基本过程理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容；风险管理基本概念基于风险的思想是所有信息系统安全保障工作的核心思想！风险：事态的概率及其结果的组合风险是客观存在风险管理是指导和控制一个组织相关风险的协调活动，其目的是确保不确定性不会使企业的业务目标发生变化风险的识别、评估和优化风险管理的价值安全措施的成本与资产价值之间的平衡常见风险管理模型 内部控制整合框架（COSO报告） 三个目标：财务报告可靠性、经验效率和效果、合规性 五个管理要素：内制环境、风险评估、控制活动、信息与沟通、监控 ISO31000 为所有与风险管理相关的操作提供最佳实践结构和指导 COBIT 为信息系统和技术的治理及控制过程提供最佳实践 组件：框架、流程描述、控制目标、管理指南、成熟度模型 监控审查沟通咨询信息安全风险管理基本过程背景建立风险评估风险处理批准监督GB/Z 24364《信息安全风险管理指南》四个阶段两个贯穿背景建立背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析风险管理准备：确定对象、组建团队、制定计划、获得支持信息系统调查：信息系统的业务目标、技术和管理上的特点信息系统分析：信息系统的体系结构、关键要素信息安全分析：分析安全要求、分析安全环境风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动风险评估准备：制定风险评估方案、选择评估方法风险要素识别：发现系统存在的威胁、脆弱性和控制措施风险分析：判断风险发生的可能性和影响的程度风险结果判定：综合分析结果判定风险等级风险处理风险处理是为了将风险始终控制在可接受的范围内。现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以处理目标确认：不可接受的风险需要控制到怎样的程度处理措施选择：选择风险处理方式，确定风险控制措施处理措施实施：制定具体安全方案，部署控制措施批准监督批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险监控审查类似信息系统工程中的监理监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性沟通咨询沟通咨询 与领导沟通，以得到理解和批准 单位内部各有关部门相互沟通，以得到理解和协作 与支持单位和系统用户沟通，以得到了解和支持 为所有层面的相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在知识子域：信息安全管理体系建设信息安全管理体系成功因素理解GB/T 29246-2017中描述的信息安全管理体系成功的主要因素。PDCA过程理解PDCA过程模型的构成及作用；了解ISO/IEC 27001:2013中定义的PDCA过程方法四个阶段工作。27003270022700127000270062700427005信息安全管理体系建设27004 信息安全管理的度量指标和衡量111 27005 信息安全风险管理指南27006 信息和通信技术灾难恢复