信息安全的管理体系.ppt

信息安全管理体系 本讲内容 信息安全管理体系概述 BS7799 风险评估与管理 信息安全管理最佳惯例 信息安全管理体系概述 什么是信息 从学习、经验或指导中得到的知识。 Knowledge derived from study, experience, or instruction. 有关某个事件或情况的知识。 Knowledge of a specific event or situation. 事实或数据的汇总。 A collection of facts or data. 通过在数据上施加某些约定而赋予这些数据的特殊含义。通常我们把信息理解为消息、信号、数据、情报和知识。 什么是信息 信息是无形的，可借助多种介质存储（硬盘、纸张、人脑）和传递（网络、传真）。 信息具有价值，信息的价值与接受信息的对象（信宿）有关。 对现代组织而言，信息是宝贵的资源和资产，因此要妥善加以保护。 信息资产 业务数据 应用系统 专利、标准 设施和环境 关键人员 …… 信息资产的价值 评价信息资产的价值要考虑到： 创建信息付出的代价 恢复信息需要的代价 可能带来的增值效应 可能带来的负面影响 说不清的价值 信息的分类 信息分类的依据 按照人、组织结构划分（财务信息、人事信息） 按照信息媒体划分（纸质信息、磁带信息） 按照信息内容划分（财经信息、气象信息） 按照直接处理系统划分（OA信息、ERP信息） …… 为什么要对信息分类 对不同级别的信息有着不同的安全需求，需要采取不同的安全措施。 建立 ISMS 时需要确定信息安全资产的边界。 信息的生命周期 创建－使用－存储－传递－销毁或丢弃 信息安全 信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报。 信息安全包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的需要。 信息安全的需求来源 法律法规和合同的约束 组织的原则、目标和规定 风险评估的结果 信息安全的目标 一般目标： 维护信息的必威体育官网网址性、完整性、可用性、可追溯性、真实性和可靠性。 根本目标 维护组织关键业务活动的持续性和有效性。 基本要素：CIA Confidentiality 必威体育官网网址性 – Disclosure 泄漏 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 Integrity 完整性 – Alteration 篡改 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。 Availability 可用性 – Destruction 破坏 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 常用概念 私密性 身份识别 身份认证 授权 信息安全技术 物理安全技术 系统安全技术 网络安全技术 应用安全技术 数据加密技术 认证授权技术 信息安全管理 管理最基本的职能： 计划、组织、领导、控制 信息安全管理就是风险管理 风险 ＝ 影响 × 可能性 R ＝ ∑ F ( Pi , Ii ) 对风险的处理 减少、规避、转嫁、接受 信息安全管理 安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理程序支持。 信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。 如果说安全技术是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。 信息安全管理的认识误区 重技术、轻管理 缺少安全意识 缺乏安全策略 缺乏系统的管理思想 法律法规不完善 信息安全管理的几点认识 管理过程而非技术过程 高层支持 策略并不等于执行力 动态而非静态 主动而非被动 全员参与，培训开路 平衡性原则 什么是信息安全管理体系？ 根据木桶原理，组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息安全管理体系就是组织为使这只“木桶”的所有木板都要达到一定的长度所建立的安全防范体系。 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，是方针、原则、目标、方法、过程、核查表等要素的集合。 信息安全管理的 PDCA 模型 HTP 模型（IATF） HTP 实施过程 P2DR 模型（CC） P2DR 模型 1998 年美国、加拿大、欧洲等共同发起的 CC 成为 ISO 15408 标准，CC 的安全模型是一种动态风险模型，在它基础上建立起了一套公认的基于时间的 P2DR 动态模型。 P2