信息安全管理基础培训.ppt

这里需要注意，尽管BS7799包含了多达127项的安全控制，但并不是说所有打算通过7799认证的组织都必须严格实施这127项控制，我们的目的只在于 依据7799的控制框架，有选择地实施最符合我们需求的控制措施。 不同的组织，对CIA三方面的要求侧重会有所不同 范围：根据业务、组织、物理位置、资产和技术的特点来确定 安全策略：明确业务需求、法律法规要求和合同中的安全义务。包括一个设定目标的框架。 风险管理途径：识别风险管理方法，定义风险接受标准。 识别风险：识别纳入scope的资产，包括资产的属主。识别资产面临的威胁，识别资产弱点，识别资产在CIA方面的损失。 评估风险：评估业务损害，评估已识别威胁的现实可能性，识别当前实施的控制措施（Gap Analysis），估算风险水平，确定是否接受风险。 识别并评价风险处理方案：采用恰当的控制，避免风险，转嫁风险，接受风险。 选择控制目标和控制：从附录A中选择控制措施，但不限于附录A。 适用性声明：解释选择或排除的理由。这是一份关键文档，它建立起BS7799和ISMS之间的链接。 获得管理层批准：对残留风险予以批准，授权实施并运营ISMS。 定义ISMS的范围 确定ISMS范围的依据：组织结构（按部门），所处的地域，业务类别，所采用的技术等 可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围 信息安全管理范围必须用正式的文件加以记录 合适的范围划分对实施信息安全管理，以及各部门管理者和人员恪守职责至关重要 ISO27001:2005信息安全管理体系规范 制订信息安全策略 1. 目的： 信息安全是指保证信息的必威体育官网网址性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面的管理。 2. 公司总经理张三先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视。 ...... 信息安全策略方针 ISO27001:2005信息安全管理体系规范 进行风险评估 组织确认自己所拥有的资产，分析资产所面临的威胁、所具有的弱点、威胁事件发生的可能性、损害程度等，并最终得出资产所面临的风险等级的过程。 L L M S S 较小 2 M M S S H 中等 3 L L L M S 可忽略 1 H S D，不太可能 后果 H H C，有可能 S S E，很罕见 H H B，很可能 H H A，几乎肯定 可能性 较大 4 灾难性 5 ISO27001:2005信息安全管理体系规范 根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围内。 规避风险 降低风险 转嫁风险 接受风险 ISO27001:2005信息安全管理体系规范 选择控制目标和控制措施 控制目标： 可理解为在一定时间范围内或限定范围内，组织所规定的与信息安全相关的预期应达到的具体要求、标准或结果 信息安全控制目标应该是可测量的 控制措施： 可实现控制目标的所采取的机制或程序 可以参考全面、成熟、操作性强的一套标准，但最终选择的控制措施应该取决于组织的实际情况 ISO27001:2005信息安全管理体系规范 适用性声明（Statement of Applicability） 适用性声明是对组织选择的以适合组织业务目标的控制目标和控制措施的评判，该声明同时也记录了任何被排除的控制措施。 该声明是一份证明组织如何控制风险的文件，它不应该详细到给那些寻求破坏组织安全的人提供有价值的信息。潜在的贸易伙伴可将其当作附属文件，认证机构可将其作为正式的证书附件。 适用性声明是联系ISO27001和信息安全管理体系的文件，作为认证参考之用。 适用性声明应该阐述： 选择的控制目标和控制 选择的原因 列入ISO27001之中，但未被选择的控制，包括排除这些控制的原因 ISO27001:2005信息安全管理体系规范 一个适用性声明的例子 参照功能规范，文档号为XXX.nnn.AAA。 是 A.12.1.1 安全需求分析和规范 存在通过拨号非授权访问的高风险。安全策略规定要强制进行身份鉴别。作为基线控制而在整个组织范围内实施。 是 A.11.4.2 对外部连接用户认证 与此领域（应用系统）无关。 否 经风险评估指出，对PC系统和网络服务器具有高的破坏风险。组织广泛实施此基线控制。 是 A.15.3.2 保护信息系统审计工具 A.10.4.1 对恶意软件的控制 控制（ISO27001:2005） 是否选择 理由 ISO27001:2005信息安全管理体系规范 没有选择某项控制的原因 风险问题，风险暴露并未确认 预算问题，受到财务上的限制 环境问题，影响到安全保护、气