CISP0301信息安全管理基础与管理体系_v30.pptx

信息安全管理基础与管理体系;课程内容;知识域：信息安全管理概述;信息安全管理的定义;管理、信息安全管理;信息安全管理的对象;以建立体系的方式实施信息安全管理的必要性;信息安全管理体系的定义;信息安全管理体系的定义;10;信息安全管理体系的特点;12;知识域：信息安全管理概述;信息安全管理的作用;15;信息安全管理的作用;信息安全管理的作用;信息安全管理的作用;信息安全管理的作用;20;解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理 安全技术是信息安全控制的重要手段，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败 说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂 技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用;技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证 根本上说，信息安全是个管理过程，而不是技术过程;信息安全“技管并重”的原则;信息安全管理的作用;信息安全管理的作用;;信息安全管理体系的作用;信息安全管理体系的作用;实施信息安全管理的关键成功因素(CSF);知识域：信息安全管理方法与实施;风险评估是信息安全管理的基础;风险处理是信息安全管理的核心;风险管理是信息安全管理的根本方法;控制措施是管理风险的具体手段;控制措施的类别;过程 process 一组将输入转化为输出的相互关联或相互作用的活动。 ( -- ISO/IEC 27000:2009、ISO 9000:2005 ) 过程方法 process approach 一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。 ( -- ISO/IEC 27001:2005) 系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法” 。 ( -- ISO 9000:2005) ;过程方法示意图;;;PDCA循环;41; PDCA循环，能够提供一种优秀的过程方法，以实现持续改进 遵循PDCA循环，能使任何一项活动都有效地进行;知???域：信息安全管理方法与实施;ISMS是一种常见的对组织信息安全进行全面、系统管理的方法 ISMS是由ISO27001定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的管理体系 周期性的风险评估、内部审核、有效性测量、管理评审，是ISMS规定的四个必要活动，能确保ISMS进入良性循环、持续自我改进;信息安全管理体系持续改进的PDCA循环过程;ISMS的核心内容可以概括为4句话 规定你应该做什么并形成文件 ：Plan 做文件已规定的事情 ：Do 评审你所做的事情的符合性 ：Check 采取纠正和预防措施，持续改进 ：Act ;47;信息安全等级保护也是一种常见的对组织的信息安全进行全面、系统管理的实施方法 依据《计算机信息系统安全保护条例》对信息安全进行全面管理的一套机制 将信息系统按照重要性和受破坏危害程度分成五个安全保护等级，不同保护等级的系统分别给予不同级别的保护 系统定级、安全建设/整改、自查、等级测评、系统备案和监督检查是信息安全等级保护的六个规定活动;参照NIST SP 800进行建设也是一种常见的对组织的信息安全进行全面、系统管理的实施方法 NIST SP 800是由美国国家标准与技术研究院发布的一系列特别出版物（Special Publications，SP），是关于计算机安全的指南文档 美国《联邦信息安全管理法案》（Federal Information Security Management Act，FISMA），专门指定NIST负责开展信息安全标准、指导方针的制定;SP 800-37描述了此系列规范遵从的风险管理框架;SP 800-37 给出了递升的风险管理方法;三种典型信息安全管理实施方法的 区别和联系 ;课程内容;知识域：信息安全管理体系基础;管理者履行管理职责的重要作用;主要管理职责;知识域：信息安全管理体系基础;文档化对实施ISMS的重要性;文件编制依据;易于管理和维护的ISMS层次化文档结构;文件控制;记录控制;知识域：信息安全管理体系基础;内部审核;内部审核;管理评审;管理评审;知识域：信息安全管理体系基础;ISMS认证;ISMS认证;知识域：信息安全管理体系建设;采用过程方法来建立和管理ISMS;ISMS应用过程方法的结构;规划与建立ISMS;P1-定义ISMS范围和边界;P2-制定ISMS方针;P3-确定风险评估方法;P4-实施风险评估;P5-选择、评价