版CISP信息安全控制措施_v.pptx

信息平安控制措施版本：3.0发布日期：2021-12-1生效日期：2021-1-1培训机构名称讲师姓名11个类别39个目标133个控制措施内容组织结构每个主要平安控制措施类别，包括：一个或多个控制目标，声明要实现什么对于每个控制目标，包含一项或多项控制措施，可被用于实现该控制目标不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用资产管理信息系统获取、开发和维护符合性通信和操作管理访问控制人力资源安全信息安全组织安全方针物理和环境安全课程内容信息平安管理体系根底信息平安管理体系建设信息平安管理体系信息平安控制措施知识子域知识体知识域知识域：信息平安控制措施知识子域： 平安方针理解信息平安方针控制目标的含义掌握信息平安方针文件和信息平安方针评审两项措施的常规控制方法Why?有没有遇到过这样的事情？案例1 有单位领导说：“听说信息平安工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。〞平安方针控制目标 〔1〕信息平安方针信息平安方针控制目标:组织的平安方针能够依据业务要求和相关法律法规提供信息平安管理指导并支持信息平安控制措施信息平安方针文件信息平安方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息平安方针评审应按方案的时间间隔或当重大变化发生时进行信息平安方针评审，以确保其持续的适宜性、充分性和有效性信息平安方针文件信息平安方针是陈述管理者的管理意图，说明信息平安工作目标和原那么的文件信息平安方针应当说明以下内容：本单位信息平安的整体目标、范围以及重要性信息平安工作的根本原那么风险评估和风险控制措施的架构需要遵守的法规和制度信息平安责任分配对支持方针的文件的引用信息平安方针主要阐述信息平安工作的原那么，具体的技术实现问题，如设备的选型，系统的平安技术方案一般不写在平安方针中信息平安方针应符合实际情况，切实可行。对方针的落实尤为重要知识域：信息平安控制措施知识子域： 信息平安组织理解内部组织控制目标的含义，掌握信息平安协调等实现这一目标的控制措施的常规实施方法理解外部各方控制目标的含义，掌握与外部各方相关风险的识别等控制措施的实施方法Why?有没有遇到过这样的事情？案例1 我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2 我是一名普通工作人员，我的内网计算机上不了外网没方法打补丁，我该找谁获得帮助？应该有一群人，至少包括单位领导、技术部门和行政部门的人组织在一起，专门负责信息平安的事信息平安组织控制目标 〔1〕内部组织 〔2〕外部各方(1)内部组织控制目标：实现对组织内部的信息平安管理控制措施：信息平安的管理承诺信息平安协调信息平安职责的分配信息处理设施的授权过程必威体育官网网址性协议与政府部门的联系与特定利益集团的联系信息平安的独立评审信息平安的管理承诺高层管理者参与信息平安建设，负责重大决策，提供资源，并对工作方向、职责分配给出清晰的说明高层管理者就是说了算的，可以给人、给钱、给设备，提出工作要求还给与资源保障的人信息平安协调不仅仅由信息化技术部门参与，与信息平安相关的部门〔如行政、人事、安保、采购、外联〕都应参与到组织体系中各司其责，协调配合。因此需要协调信息平安工作和其他工作一样不是某个个人、某个部门就可以完成的信息技术部门是信息平安组织中的重要执行机构，但不是全部机构内部达成共识防止流于形式或作假信息平安职责的分配为有效实施信息平安管理，保障和实施系统的信息平安，应在机构内部建立信息平安组织，明确角色和职责信息平安责任的重要性 在一个机构中，平安角色与责任的不明确是实施信息平安过程中的最大障碍，建立平安组织与落实责任是实施信息平安管理的第一步 与政府部门的联系、与特定利益集团的联系要注意充分利用外部资源，与上级主管单位、国家职能部门、设备和根底设施提供商、平安效劳商、有关专家保持良好的沟通和合作关系例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供给(2)外部各方控制目标：保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的平安控制措施：与外部各方相关风险的识别处理外部各方协议中的平安问题访问风险：维护软件设备的承包商清洁、送餐人员外部咨询人员审核人员知识域：信息平安控制措施知识子域： 资产管理理解对资产负责控制目标的含义，掌握资产清单、资产责任人等控制措施的实施方法理解信息分类控制目标的含义，掌握分类指南、信息的标记和处理等控制措施的实施方法Why？那些曾经发生过的事：案例1：某单位欲安装一台网络防火墙，却发现没有人可以说清楚当前的真实网络拓扑情况，也没有人能说清楚系统中