信息安全管理體系課件VIP

1、i 在線采購在線采購 BS7799 標準的組織分布標準的組織分布管理信息安全安全策略安全策略 Security Policy組織信息安全組織信息安全 Organizing Informantion Security資產(chǎn)管理資產(chǎn)管理 Asset management人力資源安全人力資源安全HumanResourceSecurity物理與環(huán)境安全物理與環(huán)境安全Physical andEnvironmentalSecurity通信與操作管理通信與操作管理Communications andOperationsManagement信息系統(tǒng)獲得、信息系統(tǒng)獲得、開發(fā)與維護開發(fā)與維護Information

2、System Acquisition,Development andMaintenance訪問控制訪問控制 Access Control信息安全事件管理信息安全事件管理 Information Security Incident Management業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理 Business Continuity Management符合性符合性 Compliance要求認證實施審核0 簡介簡介 0.1 概要概要 0.2 過程方法過程方法 0.3 與其他管理體系的兼容性與其他管理體系的兼容性1 范圍范圍 1.1 概要概要 1.2 應用應用2 標準引用標準引用3 術語定義術語定義4 信息安全

3、管理體系信息安全管理體系 4.1 一般要求一般要求 4.2 建立并管理建立并管理 ISMS 4.3 文檔要求文檔要求5 管理責任管理責任 5.1 管理承諾管理承諾 5.2 資源管理資源管理6 對對 ISMS 的管理復審的管理復審 6.1 概要概要 6.2 復審輸入復審輸入 6.3 復審輸出復審輸出 6.4 內(nèi)部內(nèi)部 ISMS 審計審計7 ISMS 改進改進 7.1 持續(xù)改進持續(xù)改進 7.2 糾正措施糾正措施 7.3 預防措施預防措施附錄附錄A 控制目標和控制措施控制目標和控制措施 A.1 簡介簡介 A.2 實施細則指南實施細則指南 A.3 安全策略安全策略 A.4 組織安全組織安全 A.5 資

4、產(chǎn)分類和控制資產(chǎn)分類和控制 A.6 人員安全人員安全 A.7 物理和環(huán)境安全物理和環(huán)境安全 A.8 通信和操作管理通信和操作管理 A.9 訪問控制訪問控制 A.10 系統(tǒng)開發(fā)和維護系統(tǒng)開發(fā)和維護 A.11 業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理 A.12 依從性依從性附錄附錄B 標準使用指南標準使用指南 B.1 綜述綜述 B.2 計劃階段（計劃階段（Plan） B.3 實施階段（實施階段（Do） B.4 檢查階段（檢查階段（Check） B.5 措施階段（措施階段（Action）附錄附錄C BS EN ISO 9001:2000, BS EN ISO 14001:1996和和BS 7799-2:2002

5、之間的一致之間的一致性性附錄附錄D 內(nèi)部編號的變化內(nèi)部編號的變化信息安全管理體系信息安全管理體系ISMS選擇并實施控制選擇并實施控制評估安全風險評估安全風險建立一個信息建立一個信息安全管理框架安全管理框架根據(jù)需求采取措施消減風險，根據(jù)需求采取措施消減風險，以實現(xiàn)既定安全目標以實現(xiàn)既定安全目標確定安全需求確定安全需求設定信息安全的方向和目標，設定信息安全的方向和目標，定義管理層承諾的策略定義管理層承諾的策略 第一步會談協(xié)商了解現(xiàn)狀及商業(yè)流程、模式制定安全策略策略文件交付件第二步BS7799-2定義ISMS范圍組織/地點資產(chǎn)/技術ISMS范圍第三步威脅漏洞、弱點影響（Impact）現(xiàn)有措施（狀況）

6、風險評估記錄分析第四步風險管理的策略保證需求風險管理剩余風險第五步ISO/IEC 17799選擇控制目標和措施降低/避免轉移/接受風險第六步適用性聲明國際標準認證信息資產(chǎn)風險評估 結果及結論選擇控制項選擇控制目標及控制識別并評價資產(chǎn)識別并評估弱點評估風險（測量與等級劃分）選擇控制目標和控制方式制定/修訂適用性聲明實施選定的控制接受識別并評估威脅現(xiàn)有控制確認保持現(xiàn)有控制確認并評估殘留風險定期評估NoYes申請認證決定認證范圍與報價簽約并安排日程預審模擬評審（可選）文件評審第一階段評審不符合事項糾正措施確認 或追蹤確認第二階段評審不符合事項建議頒證獲得證書定期復審糾正措施確認 或追蹤確認三年重新審

7、核風險風險威脅弱點資產(chǎn)資產(chǎn)安全措施安全措施價值/潛在影響安全需求利用存在具有導致增加導致抵御需要引出降低威脅帶來的影響威脅發(fā)生的可能性低影響高可能性高影響高可能性高影響低可能性低影響低可能性目標目標目標識別并評價資產(chǎn)評估弱點影響評價風險推薦對策評估控制評估威脅可能性計劃和準備Basic MetricGroupImpact BiasAccessComplexityConfidentialityImpactAuthenticationAccess VectorIntegrityImpactAvailabilityImpactTemporal MetricGroupExploitabilityRem

8、ediationLevelReportConfidenceEnvironmental MetricGroupCollateralDamage PotentialTargetDistributionOverallVulnerabilityScore威脅防止弱點威脅事件影響保護發(fā)現(xiàn)減小威懾性控制預防性控制檢測性控制糾正性控制 可能性 后果可以忽略1較小2中等3較大4災難性5A（幾乎肯定）MHEEEB（很可能）MHH EEC（可能）LMHEED（不太可能）LLMHEE（罕見）LLMHH注：風險的四個級別： E：極度風險 H：高風險 M：中等風險 L：低風險ISO/IEC 17799:2000前言前言

9、簡介簡介什么是信息安全（應該保護信息資產(chǎn)的保密性、完整性和可用性）為什么需要信息安全如何建立安全需求（安全需求的三個來源）評估安全風險（安全需求經(jīng)過系統(tǒng)地評估安全風險而得到確認）選擇控制（安全控制可以從7799或其它有關標準選擇，也可以自己設計滿足特定要求的控制）信息安全起點（基于法律要求和信息安全最侍慣例來選擇控制措施）關鍵的成功因素開發(fā)你自己的指導方針范圍范圍術語和定義術語和定義2.1 信息安全2.2 風險評估1.2.3 風險管理安全策略安全策略3.1 信息安全策略3.1.1 信息安全策略文件3.1.2 復審與評估目標：為信息安全提供管理指示及支持組織安全組織安全4.1 信息安全基礎設施4

10、.1.1 建立信息安全管理論壇4.1.2 組織內(nèi)部的信息安全協(xié)調(diào)機制4.1.3 分派信息安全責任4.1.4 信息處理設施的授權程序4.1.5 聽取信息安全專家的建議4.1.6 組織間的協(xié)作4.1.7 獨立的信息安全復審目標：在組織內(nèi)部管理信息安全目標：維護第三方訪問的組織的信息處理設施和信息資產(chǎn)的安全目標：當信息處理外包給其他組織時，維護信息的安全4.2 第三方訪問的安全4.2.1 識別來自第三方訪問的風險4.2.2 第三方合同中的安全要求4.3 外包控制4.3.1 外包合同的安全要求資產(chǎn)分類與控制資產(chǎn)分類與控制5.1 資產(chǎn)責任5.1.1 資產(chǎn)清單目標：維護對組織資產(chǎn)的恰當?shù)谋Ｗo5.2 信息分

11、類5.2.1 分類指南5.2.2 信息標注及處理目標：確保信息資產(chǎn)得到恰當水平的保護人員安全人員安全6.1 崗位定義和資源分配時的安全考慮6.1.1 在崗位責任中包括安全6.1.2 人員篩審和策略6.1.3 保密協(xié)議6.1.4 雇傭條款目標：減少人為錯誤、偷竊、欺詐或誤用設施帶來的風險目標：確保用戶意識到信息安全威脅及利害關系，并在其正常工作當中支持組織的安全策略目標：減少來自安全事件和故障的損失，監(jiān)視并從事件中吸取教訓6.2 用戶培訓6.2.1 信息安全教育和培訓6.3 對安全事件和故障的響應6.3.1 報告安全事件6.3.2 報告安全弱點6.3.3 報告軟件故障6.3.4 從事件中吸取教訓

12、6.3.5 建立懲戒機制物理和環(huán)境安全物理和環(huán)境安全7.1 安全區(qū)域7.1.1 物理安全邊界7.1.2 物理入口控制7.1.3 保護辦化驗室7.1.4 雇傭條款7.1.5 隔離的運送和裝卸區(qū)域目標：防止非授權訪問，破壞和干擾業(yè)務運行的前提條件及信息目標：防止資產(chǎn)的丟失、損害和破壞，防止業(yè)務活動被中斷目標：防止危害或竊取信息及信息處理設施7.2 設備安全7.2.1 設備的放置與保護7.2.2 供電7.2.3 電纜安全7.2.4 設備保護7.2.5 不在辦公區(qū)的設備的安全7.2.6 設備處置和重用的安全7.3 一般性控制7.3.1 屏幕和桌面清除策略7.3.2 財物的搬遷通信和操作管理通信和操作管

13、理8.1 操作程序和責任8.1.1 文檔化操作程序8.1.2 操作變更控制8.1.3 事件管理程序8.1.4 責任分離8.1.5 分離開發(fā)和運營設施8.1.6 外部設施管理目標：確保正確并安全地操作信息處理設施目標：減少系統(tǒng)失效帶來的風險目標：保護軟件和信息的完整性8.2 系統(tǒng)規(guī)劃及驗收8.2.1 容量規(guī)劃8.2.2 系統(tǒng)驗收8.3 抵御惡意軟件8.3.1 惡意軟件的控制目標：維護信息處理和通信服務的完整性和可用性8.4 內(nèi)務管理8.4.1 信息備份8.4.2 操作者日志8.4.3 事故記錄8.5 網(wǎng)絡管理8.5.1 網(wǎng)絡控制目標：確保對網(wǎng)絡中信息和支持性基礎設施的安全保護目標：防止損害資產(chǎn)和

14、中斷業(yè)務活動目標：防止機構間交換的信息丟失、遭受篡改和誤用。8.6 介質(zhì)處理和安全8.6.1 可移動計算機介質(zhì)的管理8.6.2 介質(zhì)的處置8.6.3 信息處理的程序8.6.4 系統(tǒng)文件的安全8.7 信息和軟件的交換8.7.1 信息和軟件交換協(xié)議8.7.2 傳輸介質(zhì)的安全8.7.3 電子商務安全8.7.4 電子郵件安全8.7.5 電子辦公系統(tǒng)的安全8.7.6 公用系統(tǒng)8.7.7 其他形式的信息交換訪問控制訪問控制9.1 訪問控制的業(yè)務需求9.1.1 物理安全邊界目標：控制對信息的訪問目標：防止非授權訪問信息系統(tǒng)目標：防止非授權的用戶訪問9.2 用戶訪問的管理9.2.1 用戶注冊9.2.2 特權管

15、理9.2.3 用戶口令管理9.2.4 用戶訪問權限的復審9.3 用戶責任9.3.1 口令使用9.3.2 無人值守的用戶設備目標：保護網(wǎng)絡服務目標：防止非授權的計算訪問9.4 網(wǎng)絡訪問控制9.4.1 網(wǎng)絡服務使用策略9.4.2 強制路徑9.4.3 對外部連接用戶進行身份認證9.4.4 節(jié)點認證9.4.5 遠程診斷端口的保護9.4.6 網(wǎng)絡隔離9.4.7 網(wǎng)絡連接控制9.4.8 網(wǎng)絡路由控制9.4.9 網(wǎng)絡服務的安全9.5 操作系統(tǒng)訪問控制9.5.1 自動終端身份識別9.5.2 終端登錄程序9.5.3 用戶身份識別與認證9.5.4 口令管理系統(tǒng)9.5.5 系統(tǒng)工具的使用9.5.6 針對用戶保護的告

16、警9.5.7 終端超時9.5.8 限制連接時間9.6 應用訪問控制9.6.1 信息訪問限制9.6.2 敏感系統(tǒng)的隔離目標：防止非授權訪問信息系統(tǒng)的信息目標：檢測非授權的活動目標：確保使用移動計算和通訊設施時的信息安全9.7 監(jiān)視系統(tǒng)訪問和使用9.7.1 事件日志9.7.2 對系統(tǒng)的使用進行監(jiān)視9.7.3 時鐘同步9.8 移動計算和通訊9.8.1 移動計算9.8.2 通訊 系統(tǒng)開發(fā)和維護系統(tǒng)開發(fā)和維護10.1 系統(tǒng)的安全需求10.1.1 安全需求分析和規(guī)范目標：確保安全內(nèi)建于信息系統(tǒng)中目標：防止丟失、篡改和誤用信息系統(tǒng)中的用戶數(shù)據(jù)目標：保護信息的保密性、真實性和完整性10.2 應用系統(tǒng)的安全10

17、.2.1 輸入數(shù)據(jù)的驗證10.2.2 內(nèi)部處理控制10.2.3 消息認證10.2.4 輸出數(shù)據(jù)的驗證10.3 密碼控制10.3.1 密碼控制使用策略10.3.2 加密10.3.3 數(shù)字簽名10.3.4 抗抵賴性服務10.3.5 密鑰管理10.4 系統(tǒng)文件安全10.4.1 對運行軟件的控制10.4.2 系統(tǒng)測試數(shù)據(jù)的保護10.4.3 對源程序庫的訪問控制目標：確保 IT 項目和支持活動得以安全地進行目標：維護應用系統(tǒng)軟件和信息的安全10.5 開發(fā)和支持過程的安全10.5.1 事件日志10.5.2 操作系統(tǒng)變更的技術復審10.5.3 軟件包變更的限制10.5.4 隱蔽通道和特洛伊代碼10.5.5 外包軟件開發(fā) 業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理11.1 業(yè)務連續(xù)性的各個方面11.1.1 業(yè)務連續(xù)性管理過程11.1.2 業(yè)務連續(xù)性和影響分析11.1.3 編寫并實施連續(xù)性計劃11.1.4 業(yè)務連續(xù)性計劃框架11.1.5 測試、維護和再評審業(yè)務連續(xù)性計劃目標：減少業(yè)務活動的中斷，保護關鍵業(yè)務過程不受重大事故或災害的影響 依從性依從性12.1