信息安全管理体系03604.pptVIP

信息安全管理体系 中国信息安全测评中心 CISP培训课程 樊山 E-Mail:fanfox7405@163.com QQ我国信息安全管理体制 1、国家信息安全管理政策背景 2003年底：国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》（中办发【2003】27号），提供政策指导 2004年初，全国信息安全工作会议，部署重点保障信息网络和重要信息系统安全、创建安全健康的网络环境的各项工作 我国信息安全管理体制 我国信息安全管理体制 2、我国信息安全管理制度 国信办 国家密码管理局 国家安全部 公安部 保密局 信息产业部 信息安全管理 1、信息安全管理概述 （1）信息安全管理体系策划与准备 策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。 （2）确定信息安全管理体系适用的范围 信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。 信息安全管理 （3）现状调查与风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。 （4）建立信息安全管理框架 建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。 信息安全管理 （5）信息安全管理体系文件编写 建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。 信息安全管理 （6）信息安全管理体系的运行与改进 信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。 （7）信息安全管理体系审核 体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部独立的组织进行，可以提供符合要求（如ISO/IEC27001）的认证或注册。 信息安全管理 2、信息安全管理组织机构 a) 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责； b) 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责； c) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 信息安全管理 沟通与合作 a) 应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题； b) 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施； c) 应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持。 信息安全管理 3、信息安全策略 （1）制定安全策略 （2）信息安全策略体系 安全策略 规章制度和标准 基线 流程 指南 （3）审核批准安全策略 信息安全管理 （4）发布和落实安全策略 （5）维护和更新安全策略 信息安全管理 4、安全控制措施的类型 信息安全管理 信息安全管理 5、人员管理 人员审查 人员录用 a) 应保证被录用人具备基本的专业技术水平和安全管理知识； b) 应对被录用人声明的身份、背景、专业资格和资质等进行审查； c) 应对被录用人所具备的技术技能进行考核； d) 应对被录用人说明其角色和职责； e) 应签署保密协议。 信息安全管理 人员离岗