信息安全管理（第三章 信息安全管理体系）.pptVIP

LOGO LOGO LOGO LOGO 第三章 信息安全管理体系 信息安全管理 本讲内容 ISMS实施方法与模型 1 2 3 5 ISMS实施过程 4 国外ISMS实践 3 ISMS、等级保护、风险评估三者的关系 5 总结 ISMS实施方法与模型 (PCDA)模型 在ISMS的实施过程中，采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”可简称为P阶段、D阶段、C阶段、A阶段。 应用PDCA模型的ISMS实施过程内容 规划（建立ISMS） 建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。 实施(实施和运行ISMS) 实施和运行ISMS方针、控制措施、过程和程序。 检查(监视和评审ISMS) 对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。 处置(保持和改进ISMS) 基于ISMS内部审核和管理评审的结果或者其它相关信息，采取纠正和预防措施，以持续改进ISMS。 ISMS实施方法与模型 应用于ISMS过程的PCDA模型图 ISMS实施过程 ISMS的规划和设计 以A单位的电子政务ISMS的实施过程为例，A单位根据标准要求，将ISMS的建设过程划分建立阶段（Plan）、实施和运行阶段（Do）、监视和评审阶段（Check）及保持和改进阶段（Act）。 建立阶段—P阶段 在该阶段A单位需完成六个方面的工作： 准备工作、确定ISMS范围、确定ISMS方针和目标、实施风险评估、选择控制措施、形成体系文件。 ISMS实施过程 A单位ISMS建设流程图 ISMS实施过程 准备工作 建立ISMS管理机构 召开启动会 制订工作计划 实施基础知识培训 准备相关工具 ISMS实施过程 确定ISMS范围 确定ISMS范围也是明确ISMS覆盖的边界过程，在经过一系列的调研、分析、讨论，最终形成ISMS范围和边界说明文件。 确定ISMS方针和目标 确定ISMS方针是整个体系的目的、意图和方向，是建立安全目标的框架和基础，所以要求内容必须是具体明确的。 实施风险评估 实施风险评估是ISMS建立阶段的一个必须活动，其结果将直接影响到ISMS运行的结果。 ISMS实施过程 风险评估模型 ISMS实施过程 风险评估方法 准备阶段：主要任务是对风险范围进行评估、对信息进行初步收集，并制定详尽风险评估方案。 识别阶段：主要识别以下4个对象，并形成各自的结果列表。 ISMS实施过程 资产识别是对被评估信息系统的关键资产进行识 别，并合理分配。 威胁识别就是根据资产的环境和资产遭受过的威 胁的损害情况来确认威胁的主体和客体。 脆弱性评估就是对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。 安全措施识别就是通过问卷调查、人工检查等方式识别被评估信息系统有效对抗风险的预防措施 ISMS实施过程 分析阶段 分析阶段是风险评估的主要阶段，其主要包括以下5个方面的分析： 资产影响分析：资产量化的过程，跟据资产遭受破坏时对系统产生的影响，对其进行赋值量化。 威胁分析：确定威胁的权值(1~55),威胁的等级越高威胁发生的可能性越大。 脆弱性分析：依据脆弱性被利用的难易程度和被成功利用后所产生的影响 来对脆弱性进行赋值量化。 安全措施有效性分析：判断安全措施对防范威胁、降低脆弱性的有效性。 综合风险分析：对风险量化，获得风险级别（5级），等级越高风险越高。 ISMS实施过程 风险值计算公式 风险值=资产重要性×威胁综合可能性×综合脆弱性/安 全措施有效性 风险等级划分 等级 标识 风险值范围 描述 5 很高 64.1~125 一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。 4 高 27.1~64 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。 3 中 8.1~27 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。 2 低 1.1~8 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。 1 很低 0.2~1 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。 ISMS实施过程 风险评估实施 根据风险评估方法实施风险评估工作，主要实施方法有问卷访谈、现场调研、文件查阅、手工检查、工具检查等。 选择控制措施 根据风险评估结果，综合考虑各种因素和要求，针对每项风险做出对应控制策略，形成适用性声明文件和风险处理计划。 形成体系文件 对ISMS文件进行总