CMB培训ISO概要.ppt

Cost-Effective Analysis When Selecting Control Measures 分析当前控制 ISO 27002将控制定义如下： 管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。 控制措施也用于防护措施或对策的同义词。 本步的目标是对已经实现或规划中的安全防护措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率） 风险的分析与评价 风险分析：系统地使用信息来识别风险来源和估计风险 风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程 存在定性、定量两种风险分析方法 实例： 风险处理策略 经过风险评估后识别出来的风险，接着便是制定其对应的风险处理计划. 可能的风险处理计划包括以下四种之一或四种的组合: 采取适当的控制措施来降低(reduce) 风险。 了解并客观地接受( accept) 风险, 倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。 通过放弃当前的某些活动来规避(avoid)风险发生。 转嫁(transfer)风险至其它组织， 例如保险公司、供应商等。 定义风险接收水平 风险处理计划完成后的残余风险水平应在可接受风险水平之内 初始 风险水平 （高） 可接受的风险水平（Low） 残余风险 风险级别 高 中 低 残余风险 风险控制措施 风险控制措施 控制措施选择 从针对性和实施方式来看，控制措施分三类： 管理(Administrative)性: 安全策略,流程, 组织与职责等 操作(Operation)性:人员职责, 事故反应, 意识培训,系统开发等等 技术(Technical)性: 加密,访问控制,审计等 或者从功能上来分,控制措施类型包括： 威慑性(Deterrent): 告示、标语 预防性(Preventive): 培训，操作手册，加密，身份认证 检测性(Detective): CCTV,保安，报警 纠正性(Corrective):培训，问责，应急响应，灾备 风险 成本 最佳投资点 基本原则 实施安全控制措施的代价不应该大于要保护的资产的价值 选择控制措施时的成本效益分析 1 2 3 4 信息安全概述 信息安全风险评估 ISMS介绍 ISO27001 信息安全管理体系要求 目录 5 ISO27002 信息安全管理实用规则 ISO27002信息安全管理体系实用规则 一、安全方针（Security Policy） 二、组织信息安全（Organizing Information Security） 三、资产管理（Asset Management） 四、人力资源安全（Human Resource Security） 五、物理及环境安全(Physical and Environmental Security) 六、通信与操作管理（Communications and Operations Management） 八、系统获取、开发与维护(Information System Acquisition, Development and Maintenance) 七、访问控制（Access Control） 九、信息安全事件管理（Information Security Incident Management） 十、业务持续性管理（Business Continuity Management） 十一、符合性（Compliance） 11个安全域，39个控制目标，133个控制点 控制域1：安全方针 信息安全方针文件 信息安全方针文件的评审 1.1信息安全方针 依据业务要求和相关法律法规提供管理指导并支持信息安全 控制域2：组织信息安全 信息安全的管理承诺 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 必威体育官网网址性协议 2.1内部组织 在组织内管理信息安全 与外部各方相关风险的识别 处理与顾客有关的安全问题 处理第三方协议中的安全问题 2.2组织外部各方 保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 控制域3：资产管理 资产清单 资产责任人 资产的合格使用 3.1资产责任 实现和保持对组织资产的适当保护 分类指南 信息的标记和处理 3.2资产分类 确保信息受到适当级别的保护 控制域4：人力资源安全 角色和职责 背景审查 任用条款和条件 4.1任用之前 确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险 管理职责 信息安全意识、教育和培训 纪律处理过程 4.2任用中 确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系