信息安全管理體系課件1

信息平安管理體系培訓(xùn)機(jī)構(gòu)名稱講師名字1.信息平安管理體系培訓(xùn)機(jī)構(gòu)名稱1.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理基本概念信息安全管理體系建設(shè)知識子域信息安全管理的作用風(fēng)險(xiǎn)管理的概念和作用過程方法與PDCA循環(huán)安全管理控制措施的概念和作用建立、運(yùn)行、評審與改進(jìn)ISMS2.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理信息安全知識知識域：信息平安管理根本概念知識子域：信息平安管理的作用理解信息平安“技管并重〞原那么的意義理解成功實(shí)施信息平安管理工作的關(guān)鍵因素知識子域：風(fēng)險(xiǎn)管理的概念和作用理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性理解風(fēng)險(xiǎn)評估是信息平安管理工作的根底理解風(fēng)險(xiǎn)處置是信息平安管理工作的核心知識子域：信息平安管理控制措施的概念和作用理解平安管理控制措施是管理風(fēng)險(xiǎn)的具體手段了解11個(gè)根本平安管理控制措施的根本內(nèi)容33.知識域：信息平安管理根本概念知識子域：信息平安管理的作用3信息平安管理一、信息平安管理概述二、信息平安管理體系三、信息平安管理體系建立四、信息平安管理控制標(biāo)準(zhǔn)44.信息平安管理一、信息平安管理概述44.一、信息平安管理概述〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險(xiǎn)的信息平安〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理的標(biāo)準(zhǔn)4、成功實(shí)施信息平安管理的關(guān)鍵55.一、信息平安管理概述〔一〕信息平安管理根本概念55.〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險(xiǎn)的信息平安66.〔一〕信息平安管理根本概念66.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價(jià)值，因此需要妥善保護(hù)。信息平安：信息平安主要指信息的保密性、完整性和可用性的保持。即指通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等平安技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。77.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，1、信息平安信息安全保密性可用性完整性88.1、信息平安信息安全保密性可用性完整性88.1、信息平安-保密性保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。99.1、信息平安-保密性保密性99.1、信息平安-完整性完整性保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、喪失信息、錯(cuò)誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮?，有可能造成重要文件的喪失，甚至整個(gè)系統(tǒng)的癱瘓。1010.1、信息平安-完整性完整性1010.1、信息平安-可用性可用性確保那些已被授權(quán)的用戶在他們需要的時(shí)候，確實(shí)可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)。1111.1、信息平安-可用性可用性1111.2、信息平安管理統(tǒng)計(jì)結(jié)果說明，在所有信息平安事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會發(fā)現(xiàn)平安問題實(shí)際上都是人的問題，單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。信息平安是一個(gè)多層面、多因素的過程，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息平安這只“木桶〞出現(xiàn)假設(shè)干“短板〞，從而無法提高信息平安水平。1212.2、信息平安管理統(tǒng)計(jì)結(jié)果說明，在所有信息平安事故中，只有202、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標(biāo)準(zhǔn)與最正確實(shí)踐過程，根據(jù)組織對信息平安的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的根底上引入恰當(dāng)控制，建立合理平安管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。1313.2、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標(biāo)準(zhǔn)與最正2、信息平安管理14組織中為了完成信息平安目標(biāo)，針對信息系統(tǒng)，遵循平安策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息平安管理工作的對象

規(guī)則

人員目標(biāo)組織·信息輸入·立法·摘要變化？關(guān)鍵活動測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營過程14.2、信息平安管理14組織中為了完成信息平安目標(biāo)，針對信息系統(tǒng)2、信息平安管理信息平安管理是通過維護(hù)信息的保密性、完整性和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制；是組織中用于指導(dǎo)和管理各種控制信息平安風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動，有效的信息平安管理要盡量做到在有限的本錢下，保證平安風(fēng)險(xiǎn)控制在可接受的范圍。1515.2、信息平安管理信息平安管理是通過維護(hù)信息的保密性、完整性和3、基于風(fēng)險(xiǎn)的信息平安〔1〕平安風(fēng)險(xiǎn)的根本概念〔2〕信息平安的風(fēng)險(xiǎn)模型〔2〕基于風(fēng)險(xiǎn)的信息平安1616.3、基于風(fēng)險(xiǎn)的信息平安〔1〕平安風(fēng)險(xiǎn)的根本概念1616.〔1〕平安風(fēng)險(xiǎn)的根本概念資產(chǎn)資產(chǎn)是任何對組織有價(jià)值的東西信息也是一種資產(chǎn)，對組織具有價(jià)值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽(yù)……17.〔1〕平安風(fēng)險(xiǎn)的根本概念資產(chǎn)17.〔1〕平安風(fēng)險(xiǎn)的根本概念威脅資威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊 病毒和其他惡意程序軟硬件故障 人為誤操作盜竊 網(wǎng)絡(luò)監(jiān)聽供電故障 后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)18.〔1〕平安風(fēng)險(xiǎn)的根本概念威脅18.〔1〕平安風(fēng)險(xiǎn)的根本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或平安隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞 程序Bug專業(yè)人員缺乏 不良習(xí)慣缺少審計(jì) 缺乏平安意識后門物理環(huán)境訪問控制措施不當(dāng)……19.〔1〕平安風(fēng)險(xiǎn)的根本概念脆弱性19.〔1〕平安風(fēng)險(xiǎn)的根本概念平安控制措施根據(jù)平安需求部署的，用來防范威脅，降低風(fēng)險(xiǎn)的措施平安控制措施舉例技術(shù)措施防火墻防病毒入侵檢測災(zāi)備系統(tǒng)……管理措施平安規(guī)章平安組織人員培訓(xùn)運(yùn)行維護(hù)……20.〔1〕平安風(fēng)險(xiǎn)的根本概念平安控制措施技術(shù)措施管理措施20.〔2〕信息平安的風(fēng)險(xiǎn)模型21沒有絕對的平安，只有相對的平安信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過恰當(dāng)、足夠、綜合的平安措施來控制風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可接受的程度。21.〔2〕信息平安的風(fēng)險(xiǎn)模型21沒有絕對的平安，只有相對的平安信〔3〕基于風(fēng)險(xiǎn)的信息平安信息平安追求目標(biāo)確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險(xiǎn)最小化保護(hù)信息免受各種威脅的損害投資回報(bào)和商業(yè)機(jī)遇最大化獲得信息平安方式實(shí)施一組適宜的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。2222.〔3〕基于風(fēng)險(xiǎn)的信息平安信息平安追求目標(biāo)確保業(yè)務(wù)連續(xù)性獲得信〔3〕風(fēng)險(xiǎn)評估是信息平安管理的根底風(fēng)險(xiǎn)評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估，同時(shí)對已存在的或規(guī)劃的平安控制措施進(jìn)行界定。信息平安管理體系的建立需要確定信息平安需求信息平安需求獲取的主要手段就是平安風(fēng)險(xiǎn)評估信息平安風(fēng)險(xiǎn)評估是信息平安管理體系建立的根底，沒有風(fēng)險(xiǎn)評估，信息平安管理體系的建立就沒有依據(jù)。2323.〔3〕風(fēng)險(xiǎn)評估是信息平安管理的根底風(fēng)險(xiǎn)評估主要對ISMS范圍〔4〕風(fēng)險(xiǎn)處置是信息平安管理的核心風(fēng)險(xiǎn)評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上，風(fēng)險(xiǎn)處置的最正確集合就是信息平安管理體系的控制措施集合。控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息平安建立體系的建立過程。信息平安管理體系的核心就是這些最正確控制措施集合的。2424.〔4〕風(fēng)險(xiǎn)處置是信息平安管理的核心風(fēng)險(xiǎn)評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理有關(guān)標(biāo)準(zhǔn)4、成功實(shí)施信息平安管理的關(guān)鍵2525.〔二〕信息平安管理的狀況1、信息平安管理的作用2525.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險(xiǎn)柜就一定平安嗎？26.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？保險(xiǎn)WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？1、信息平安管理的作用27.WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能信息系統(tǒng)是人機(jī)交互系統(tǒng)應(yīng)對風(fēng)險(xiǎn)需要人為的管理過程設(shè)備的有效利用是人為的管理過程“堅(jiān)持管理與技術(shù)并重〞是我國加強(qiáng)信息平安保障工作的主要原那么1、信息平安管理的作用28.信息系統(tǒng)是人機(jī)交互系統(tǒng)應(yīng)對風(fēng)險(xiǎn)需要人為的管理過程設(shè)備的有效利2、信息平安管理的開展-1ISO/IECTR13335國際標(biāo)準(zhǔn)化組織在信息平安管理方面，早在1996年就開始制定?信息技術(shù)信息平安管理指南?〔ISO/IECTR13335〕，它分成五個(gè)局部：?信息平安的概念和模型??信息平安管理和規(guī)劃??信息平安管理技術(shù)??基線方法??網(wǎng)絡(luò)平安管理指南?2929.2、信息平安管理的開展-1ISO/IECTR1333522、信息平安管理的開展-2BS7799英國標(biāo)準(zhǔn)化協(xié)會〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分為兩個(gè)局部：BS7799-1?信息平安管理實(shí)施規(guī)那么?和BS7799-2?信息平安管理體系標(biāo)準(zhǔn)?。2002年又公布了?信息平安管理系統(tǒng)標(biāo)準(zhǔn)說明?〔BS7799-2:2002〕。BS7799將信息平安管理的有關(guān)問題劃分成了10個(gè)控制要項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。目前，在BS7799－2中，提出了如何了建立信息平安管理體系的步驟。3030.2、信息平安管理的開展-2BS77993030.2、信息平安管理的開展-33131.2、信息平安管理的開展-33131.2、信息平安管理的開展-43232.2、信息平安管理的開展-43232.3、國內(nèi)外信息平安管理標(biāo)準(zhǔn)〔1〕國際信息平安管理標(biāo)準(zhǔn)國際信息平安標(biāo)準(zhǔn)化組織國際信息平安管理標(biāo)準(zhǔn)〔2〕國內(nèi)信息平安管理標(biāo)準(zhǔn)國內(nèi)信息平安標(biāo)準(zhǔn)化組織國內(nèi)信息平安管理標(biāo)準(zhǔn)3333.3、國內(nèi)外信息平安管理標(biāo)準(zhǔn)〔1〕國際信息平安管理標(biāo)準(zhǔn)3333國際信息平安標(biāo)準(zhǔn)化組織3434.國際信息平安標(biāo)準(zhǔn)化組織3434.國際信息平安管理標(biāo)準(zhǔn)-13535.國際信息平安管理標(biāo)準(zhǔn)-13535.國際信息平安管理標(biāo)準(zhǔn)-23636.國際信息平安管理標(biāo)準(zhǔn)-23636.國際信息平安管理標(biāo)準(zhǔn)-33737.國際信息平安管理標(biāo)準(zhǔn)-33737.國內(nèi)信息平安標(biāo)準(zhǔn)化組織3838.國內(nèi)信息平安標(biāo)準(zhǔn)化組織3838.國內(nèi)信息平安管理標(biāo)準(zhǔn)-139WG7組已有的標(biāo)準(zhǔn)39.國內(nèi)信息平安管理標(biāo)準(zhǔn)-139WG7組已有的標(biāo)準(zhǔn)39.國內(nèi)信息平安管理標(biāo)準(zhǔn)-240WG7組研究中的標(biāo)準(zhǔn)40.國內(nèi)信息平安管理標(biāo)準(zhǔn)-240WG7組研究中的標(biāo)準(zhǔn)40.國內(nèi)信息平安管理標(biāo)準(zhǔn)-34141.國內(nèi)信息平安管理標(biāo)準(zhǔn)-34141.4、實(shí)施信息平安管理的關(guān)鍵成功因素理解組織文化得到高層承諾做好風(fēng)險(xiǎn)評估整合管理體系積極有效宣貫納入獎懲機(jī)制持續(xù)改進(jìn)體系4242.4、實(shí)施信息平安管理的關(guān)鍵成功因素理解組織文化4242.二、信息平安管理體系〔一〕什么是信息平安管理體系〔二〕信息平安管理體系的框架〔三〕信息平安管理過程方法要求〔四〕信息平安管理控制措施要求4343.二、信息平安管理體系〔一〕什么是信息平安管理體系4343.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義2、信息平安管理體系的特點(diǎn)3、信息平安管理體系的作用4、信息平安管理體系的文件4444.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義4441、信息平安管理體系的定義信息平安管理體系〔ISMS：InformationSecurityManagementSystem〕是組織在整體或特定范圍內(nèi)建立的信息平安方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原那么、目標(biāo)、方法、方案、活動、程序、過程和資源的集合。4545.1、信息平安管理體系的定義信息平安管理體系〔ISMS：Inf2、信息平安管理體系的特點(diǎn)信息平安管理體系要求組織通過確定信息平安管理體系范圍，制定信息平安方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評估為根底選擇控制目標(biāo)和措施等一系列活動來建立信息平安管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的平安風(fēng)險(xiǎn)評估，表達(dá)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息平安的法律、法規(guī)及其他合同方面的要求；強(qiáng)調(diào)全過程和動態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原那么合理選擇平安控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)的持續(xù)性。4646.2、信息平安管理體系的特點(diǎn)信息平安管理體系要求組織通過確定信3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促使管理層貫徹信息平安管理體系，強(qiáng)化員工的信息平安意識，標(biāo)準(zhǔn)組織信息平安行為；使組織的生意伙伴和客戶對組織充滿信心；組織可以按照平安管理，到達(dá)動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達(dá)可接受的信息平安水平，從根本上保證業(yè)務(wù)的持續(xù)性。4747.3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的4、信息平安管理體系的理念各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息平安管理的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息平安的各個(gè)角度和整個(gè)生命周期來考察，如果忽略了組織中最活潑的因素——人的作用，那么信息平安管理體系是不完備的，考察國內(nèi)外的各種信息平安事件，不難發(fā)現(xiàn)，在信息平安時(shí)間表象后面其實(shí)都是人的因素在起決定作用。4848.4、信息平安管理體系的理念各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息平安問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息平安管理體系是人員、管理與技術(shù)三者的互動。49.4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險(xiǎn)評估平安規(guī)劃信息平安管理框架管理措施技術(shù)手段信息系統(tǒng)平安審計(jì)監(jiān)控業(yè)務(wù)與平安環(huán)境符合平安控制標(biāo)準(zhǔn)？持續(xù)改進(jìn)調(diào)整50.5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險(xiǎn)評估平〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架2、信息平安管理體系內(nèi)容框架3、信息平安管理體系文件框架4、信息平安管理體系系列標(biāo)準(zhǔn)5151.〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架5151、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評審保持和改進(jìn)相關(guān)方信息平安要求和期望相關(guān)方受控的信息平安52.1、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)量管理專家戴明提出。P〔Plan〕：方案，確定方針和目標(biāo)，確定活動方案；D〔Do〕：實(shí)施，實(shí)際去做，實(shí)現(xiàn)方案中的內(nèi)容；C〔Check〕：檢查，總結(jié)執(zhí)行方案的結(jié)果，注意效果，找出問題；A〔Action〕：行動，對總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。5353.1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)1、信息平安管理體系循環(huán)框架54PDCA特點(diǎn)一：按順序進(jìn)行，它靠組織的力量來推動，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。

9090處置實(shí)施規(guī)劃檢查CADPPDCA特點(diǎn)二：組織中的每個(gè)局部，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。PDCA特點(diǎn)三：每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090處置實(shí)施規(guī)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃檢查CADP54.1、信息平安管理體系循環(huán)框架54PDCA特點(diǎn)一：按順序進(jìn)行，2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實(shí)踐標(biāo)準(zhǔn)與各平安控制域之間的對應(yīng)ISO27000系列不是信息平安管理體系的全部56.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實(shí)踐標(biāo)準(zhǔn)與各3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作手冊操作手冊考核指標(biāo)考核指標(biāo)58.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作4、信息平安管理體系系列標(biāo)準(zhǔn)〔1〕ISO27000系列〔2〕NISTSP800系列〔3〕ISO/IEC13335系列5959.4、信息平安管理體系系列標(biāo)準(zhǔn)〔1〕ISO27000系列59〔1〕ISO27000系列ISO

27000系列6027000~2700327004~2700727000信息平安管理體系原那么和術(shù)語27001信息平安管理體系要求27002信息平安管理實(shí)踐準(zhǔn)那么27003信息平安管理實(shí)施指南27004信息平安管理的度量指標(biāo)和衡量27005信息平安風(fēng)險(xiǎn)管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)效勞指南27007XXX27001270022700027006270052700327004信息平安管理體系根本原理和詞匯60.〔1〕ISO27000系列ISO27000系列60270〔1〕ISO27000系列27001ISMS要求27004ISMS度量指標(biāo)和衡量27002ISMS實(shí)踐準(zhǔn)則6127001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一局部測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來61.〔1〕ISO27000系列27001270042700227000：?ISMS根底和詞匯?正在啟動的新標(biāo)準(zhǔn)工程；它將主要以ISO/IEC13335-1:2004?信息和通信技術(shù)平安管理第1局部：信息和通信技術(shù)平安管理的概念和模型?為根底進(jìn)行研究；該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的根本原那么、概念和詞匯。6262.27000：?ISMS根底和詞匯?正在啟動的新標(biāo)準(zhǔn)工程；6227001：?信息平安管理體系要求?2005年10月15日發(fā)布；規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持、改進(jìn)信息平安管理體系的要求；基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程〔PDCA模型〕使組織到達(dá)有效的信息平安；使用了和ISO9001、ISO14001相同的管理體系過程模型；是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)；6363.27001：?信息平安管理體系要求?2005年10月15日發(fā)27002：?信息平安管理實(shí)用規(guī)那么?

即17799，2005年6月15日發(fā)布第二版；包含有11個(gè)平安類別、39個(gè)控制目標(biāo)、138個(gè)控制措施；實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng)選擇實(shí)施的控制目標(biāo)和控制措施集；是一個(gè)行業(yè)最正確慣例的匯總集，而不是一個(gè)認(rèn)證和審核標(biāo)準(zhǔn)；6464.27002：?信息平安管理實(shí)用規(guī)那么?

即17799，20027003：?ISMS實(shí)施指南?目前處于工作草案階段；它主要以BS7799-2:2002附錄B的內(nèi)容為根底進(jìn)行制定；提供了27001具體實(shí)施的指南。6565.27003：?ISMS實(shí)施指南?目前處于工作草案階段；65627004：?信息平安管理度量?旨在為組織提供一個(gè)如何通過使用度量、測量項(xiàng)以及適宜的測量技術(shù)來評估其平安管理狀態(tài)的指南。6666.27004：?信息平安管理度量?旨在為組織提供一個(gè)如何通過使27005：?信息平安風(fēng)險(xiǎn)管理?目前處于委員會草案階段；它將主要以ISO/IEC13335-2為根底進(jìn)行制定；描述了信息平安風(fēng)險(xiǎn)管理的過程及每個(gè)過程的詳細(xì)內(nèi)容。6767.27005：?信息平安風(fēng)險(xiǎn)管理?目前處于委員會草案階段；67〔2〕NISTSP800系列68NIST

SP800系列68.〔2〕NISTSP800系列68NISTSP800系列6〔3〕ISO/IEC13335系列ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和計(jì)劃ISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇ISO/IEC1335-5:2001網(wǎng)絡(luò)安全管理指南69ISO/IEC13335系列69.〔3〕ISO/IEC13335系列ISO/IEC1335-1〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用2、信息平安管理過程方法的結(jié)構(gòu)7070.〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用1、信息平安管理過程方法的作用過程方法要求〔Methodologicalrequirements〕：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息平安管理體系規(guī)定了要求。按照PDCA循環(huán)理念運(yùn)行的信息平安管理體系是從過程上嚴(yán)格保證了信息平安管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。7171.1、信息平安管理過程方法的作用過程方法要求〔Methodol2、信息平安管理過程方法的結(jié)構(gòu)7272.2、信息平安管理過程方法的結(jié)構(gòu)7272.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用2、信息平安管理控制措施的結(jié)構(gòu)7373.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用1、信息平安管理控制措施的作用平安控制要求〔Securitycontrolrequirements〕：為組織選擇滿足自身信息平安環(huán)境要求的控制措施提供了一個(gè)最正確實(shí)踐集。組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險(xiǎn)特征選擇適用的控制措施。當(dāng)然組織也可以根據(jù)自身的特定要求對平安控制措施進(jìn)行補(bǔ)充。7474.1、信息平安管理控制措施的作用平安控制要求〔Security2、信息平安管理控制措施的結(jié)構(gòu)75共有11個(gè)控制條款〔方面〕每個(gè)條款包括許多主要的平安類。每個(gè)平安類包括：一個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么一個(gè)或多個(gè)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo)每個(gè)控制措施控制：是對該控制措施的定義實(shí)施指南：是對實(shí)施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補(bǔ)充信息75.2、信息平安管理控制措施的結(jié)構(gòu)75共有11個(gè)控制條款〔方面〕2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條款8.1雇傭前——平安類確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)?！桨差惪刂颇繕?biāo)8.1.1角色和職責(zé)——平安控制措施控制：是對該控制措施的定義實(shí)施指南：是對實(shí)施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補(bǔ)充信息76.2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條知識域：信息平安管理體系建設(shè)知識子域：過程方法與PDCA循環(huán)理解ISMS過程和過程方法的含義理解PDCA循環(huán)的特征和作用知識子域：建立、運(yùn)行、評審與改進(jìn)ISMS了解建立ISMS的主要工作內(nèi)容了解實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容了解監(jiān)視和評審ISMS的主要工作內(nèi)容了解保持和改進(jìn)ISMS的主要工作內(nèi)容77.知識域：信息平安管理體系建設(shè)知識子域：過程方法與PDCA循環(huán)三、信息平安管理體系建設(shè)〔一〕信息平安管理體系的規(guī)劃和建立〔二〕信息平安管理體系的實(shí)施和運(yùn)行〔三〕信息平安管理體系的監(jiān)視和評審〔四〕信息平安管理體系的保持和改進(jìn)7878.三、信息平安管理體系建設(shè)〔一〕信息平安管理體系的規(guī)劃和建立7〔一〕信息平安管理體系規(guī)劃和建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險(xiǎn)評估方法P4-分析和評估信息平安風(fēng)險(xiǎn)P5-識別和評價(jià)風(fēng)險(xiǎn)處理的可選措施P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施P7-準(zhǔn)備詳細(xì)的適用性聲明SoA7979.〔一〕信息平安管理體系規(guī)劃和建立P1-定義ISMS范圍797P1-定義ISMS范圍ISMS的范圍就是需要重點(diǎn)進(jìn)行信息平安管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、個(gè)別部門或領(lǐng)域構(gòu)建ISMS。在本階段，應(yīng)將組織劃分成不同的信息平安控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔⑵桨补芾怼Ｔ诙xISMS范圍時(shí)，應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域。8080.P1-定義ISMS范圍ISMS的范圍就是需要重點(diǎn)進(jìn)行信息平安P2-定義ISMS方針信息平安方針是組織的信息平安委員會或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)那么和指示。信息平安方針應(yīng)當(dāng)說明管理層的承諾，提出組織管理信息平安的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工。信息平安方針應(yīng)當(dāng)簡明、扼要，便于理解，至少包括目標(biāo)、范圍、意圖、法規(guī)的遵從性和管理的責(zé)任等內(nèi)容。8181.P2-定義ISMS方針信息平安方針是組織的信息平安委員會或管P3-確定風(fēng)險(xiǎn)評估方法組織可采取不同風(fēng)險(xiǎn)評估法方法，一個(gè)方法是否適合于特定組織，有很多影響因素，包括：業(yè)務(wù)環(huán)境業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性；對支持組織業(yè)務(wù)活動的信息系統(tǒng)的依賴程度；業(yè)務(wù)內(nèi)容、支持系統(tǒng)、應(yīng)用軟件和效勞的復(fù)雜性；貿(mào)易伙伴、外部業(yè)務(wù)關(guān)系、合同數(shù)量的大小。這些因素對風(fēng)險(xiǎn)評估方法的選擇都很重要，不僅風(fēng)險(xiǎn)評估要考慮本錢與效益的權(quán)衡，不出現(xiàn)過度平安；風(fēng)險(xiǎn)評估自身也要考慮本錢與效益的權(quán)衡，不出現(xiàn)過度復(fù)雜。8282.P3-確定風(fēng)險(xiǎn)評估方法組織可采取不同風(fēng)險(xiǎn)評估法方法，一個(gè)方法P4-分析和評估信息平安風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估，同時(shí)對已存在的或規(guī)劃的平安控制措施進(jìn)行鑒定。確定風(fēng)險(xiǎn)數(shù)值的大小不是評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級，對于風(fēng)險(xiǎn)級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。組織可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級，這包括將可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)進(jìn)行劃分。8383.P4-分析和評估信息平安風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估主要對ISMS范圍內(nèi)的信P5-識別和評價(jià)風(fēng)險(xiǎn)處理的可選措施根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，在已有措施根底上從平安控制最正確集合中選擇平安控制措施。8484.P5-識別和評價(jià)風(fēng)險(xiǎn)處理的可選措施根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，在已有P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施在選擇控制目標(biāo)和控制措施時(shí)，并沒有一套標(biāo)準(zhǔn)與通用的方法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務(wù)部門和大量的關(guān)鍵人員進(jìn)行討論，對業(yè)務(wù)目標(biāo)進(jìn)行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿足組織對業(yè)務(wù)目標(biāo)、資產(chǎn)保護(hù)、投資預(yù)算的要求。組織采用什么樣的方法來評估平安需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風(fēng)險(xiǎn)、來自法規(guī)和合同的遵從以及來自業(yè)務(wù)這三種平安需求來驅(qū)動。8585.P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施在選擇控制目標(biāo)和控制措P7-準(zhǔn)備詳細(xì)的適用性聲明SoA在風(fēng)險(xiǎn)評估之后，組織應(yīng)該選用符合組織自身需要的控制措施與控制目標(biāo)。所選擇的控制目標(biāo)和措施以及被選擇的原因應(yīng)在適用性聲明〔SOA：StatementofApplication〕SOA中進(jìn)行說明。SOA是適合組織需要的控制目標(biāo)和控制的評論，需要提交給管理者、職員、具有訪問權(quán)限的第三方相關(guān)認(rèn)證機(jī)構(gòu)。SOA的準(zhǔn)備一方面是為了向組織內(nèi)的員工聲明對信息平安面對的風(fēng)險(xiǎn)的態(tài)度，更大程度上那么是為了向外界說明組織的態(tài)度和作為，以說明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息平安系統(tǒng)，并將所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi)。8686.P7-準(zhǔn)備詳細(xì)的適用性聲明SoA在風(fēng)險(xiǎn)評估之后，組織應(yīng)該選用〔二〕信息平安管理體系實(shí)施和運(yùn)行D1-開發(fā)風(fēng)險(xiǎn)處置方案D2-實(shí)施風(fēng)險(xiǎn)處置方案D3-實(shí)施平安控制措施D4-實(shí)施平安教育培訓(xùn)D5-管理ISMS的運(yùn)行D6-管理ISMS的資源D7-執(zhí)行檢測平安事件程序D8-執(zhí)行響應(yīng)平安事故程序8787.〔二〕信息平安管理體系實(shí)施和運(yùn)行D1-開發(fā)風(fēng)險(xiǎn)處置方案878信息平安風(fēng)險(xiǎn)處置的分類根據(jù)風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行相關(guān)的風(fēng)險(xiǎn)處置：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；防止風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)容易防止，例如采用不同的技術(shù)、更改操作流程、采用簡單的技術(shù)措施等；轉(zhuǎn)移風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和防止、且被第三方接受時(shí)才采用；接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和防止風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營，就必然存在并必須接受的風(fēng)險(xiǎn)。8888.信息平安風(fēng)險(xiǎn)處置的分類根據(jù)風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行相關(guān)的風(fēng)險(xiǎn)處置：信息平安管理體系試運(yùn)行體系運(yùn)行初期處于體系的磨合期，一般稱為試運(yùn)行期，在此期間運(yùn)行的目的是要在實(shí)踐中體驗(yàn)體系的充分性、適用性和有效性。在體系運(yùn)行初期，組織應(yīng)加強(qiáng)運(yùn)作力度，通過實(shí)施ISMS手冊、程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，充分發(fā)揮體系本身的各項(xiàng)工程，及時(shí)發(fā)現(xiàn)體系本身存在的問題，找出問題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以到達(dá)進(jìn)一步完善信息平安管理體系的目的。8989.信息平安管理體系試運(yùn)行體系運(yùn)行初期處于體系的磨合期，一般稱為〔三〕信息平安管理體系監(jiān)視和評審C1-執(zhí)行ISMS監(jiān)視程序C2-執(zhí)行ISMS評價(jià)程序C3-定期執(zhí)行ISMS評審C4-測量控制措施的有效性C5-驗(yàn)證平安要求是否被滿足C6-按方案進(jìn)行風(fēng)險(xiǎn)評估C7-評審可接受剩余風(fēng)險(xiǎn)C8-按方案進(jìn)行內(nèi)部審核C9-按方案進(jìn)行管理評審C10-更新信息平安方案C11-記錄對ISMS有影響的行動和事件9090.〔三〕信息平安管理體系監(jiān)視和評審C1-執(zhí)行ISMS監(jiān)視程序9常用的檢查措施－１：在檢查階段采集的信息應(yīng)該可以用來測量信息平安管理體系，判斷是否符合組織的平安方針和控制目標(biāo)的有效性。常用的檢查措施有：日常檢查：作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行，并設(shè)計(jì)用來偵測處理結(jié)果的錯(cuò)誤。自治程序：為了保證任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報(bào)警等。從其他處學(xué)習(xí)：一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的方法。9191.常用的檢查措施－１：在檢查階段采集的信息應(yīng)該可以用來測量信息常用的檢查措施－２：內(nèi)部在一個(gè)特定的常規(guī)審核時(shí)間內(nèi)檢查ＩＳＭＳ所有方面是否到達(dá)預(yù)想的效果。管理評審：管理評審的目的是檢查信息平安管理體系的有效性，以識別需要的改進(jìn)和采取的行動。管理評審指導(dǎo)每年進(jìn)行一次趨勢分析：經(jīng)常進(jìn)行趨勢分析有助于組織識別需要改進(jìn)的領(lǐng)域，并建立一個(gè)持續(xù)改進(jìn)和循環(huán)提高的根底。9292.常用的檢查措施－２：內(nèi)部在一個(gè)特定的常規(guī)審核時(shí)間內(nèi)檢查〔四〕信息平安管理體系保持和改進(jìn)A1-實(shí)施已識別的ISMS改進(jìn)措施A2-執(zhí)行糾正性和預(yù)防性措施A3-通知相關(guān)人員ISMS的變更A4-從平安經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)9393.〔四〕信息平安管理體系保持和改進(jìn)A1-實(shí)施已識別的ISMS改A1-實(shí)施已識別的ISMS改進(jìn)措施為使信息平安管理體系持續(xù)有效，應(yīng)以檢查階段采集的不符合項(xiàng)信息為根底，經(jīng)常進(jìn)行調(diào)整與改進(jìn)。不符合項(xiàng)指：缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息平安管理體系的要求；在有可觀證據(jù)的根底上，引起對信息平安管理體系平安方針和組織平安目標(biāo)能力的重大疑心。9494.A1-實(shí)施已識別的ISMS改進(jìn)措施為使信息平安管理體系持續(xù)有A2-執(zhí)行糾正性和預(yù)防性措施通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運(yùn)行中出現(xiàn)了不符合規(guī)定要求的事項(xiàng)后，就需要采取改進(jìn)措施。改進(jìn)措施主要通過糾正與預(yù)防性控制措施來實(shí)現(xiàn)，同時(shí)對潛在的不符合項(xiàng)采取預(yù)防性措施。糾正性措施：組織應(yīng)采取措施，以消除不合格的、與實(shí)施和運(yùn)行信息平安管理體系有關(guān)的原因、防止問題的再發(fā)生。預(yù)防性措施：組織應(yīng)對未來的不適宜事件確定預(yù)防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。9595.A2-執(zhí)行糾正性和預(yù)防性措施通過各種檢查措施，發(fā)現(xiàn)了組織ISA3-通知相關(guān)人員ISMS的變更按照內(nèi)部審計(jì)和管理評審的輸出結(jié)果對信息平安管理體系作持續(xù)性的改善，每次的改善會涉及到信息平安管理體系文件的變更，變更的結(jié)果應(yīng)該及時(shí)通知信息平安管理體系的相關(guān)人員，并提供相應(yīng)培訓(xùn)。9696.A3-通知相關(guān)人員ISMS的變更按照內(nèi)部審計(jì)和管理評審的輸出A4-從平安經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)從信息平安的最正確實(shí)踐經(jīng)驗(yàn)和平安事故教訓(xùn)中學(xué)習(xí)，持續(xù)提高信息平安管理的水平。9797.A4-從平安經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)從信息平安的最正確實(shí)踐經(jīng)驗(yàn)和平安四、信息平安管理控制標(biāo)準(zhǔn)十一項(xiàng)條款〔一〕信息平安策略〔二〕信息平安組織〔三〕人力資源平安〔四〕信息資產(chǎn)分類與控制〔五〕信息平安訪問控制〔六〕物理與環(huán)境平安〔七〕系統(tǒng)開發(fā)與維護(hù)〔八〕通信與運(yùn)營平安〔九〕信息平安事故管理〔十〕業(yè)務(wù)持續(xù)性管理〔十一〕符合性9898.四、信息平安管理控制標(biāo)準(zhǔn)十一項(xiàng)條款9898.〔一〕信息平安策略信息平安策略是陳述管理者的管理意圖，說明信息平安工作目標(biāo)和原那么的文件；從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)方案。9999.〔一〕信息平安策略信息平安策略是陳述管理者的管理意圖，說明信〔二〕信息平安組織在一個(gè)機(jī)構(gòu)中，平安角色與責(zé)任的不明確是實(shí)施信息平安過程中的最大障礙，信息平安組織的作用就是明確組織信息平安責(zé)任和職責(zé)，形成組織的平安管理架構(gòu)。100100.〔二〕信息平安組織在一個(gè)機(jī)構(gòu)中，平安角色與責(zé)任的不明確是實(shí)施〔三〕人力資源平安人力資源平安是保證組織中的員工在雇傭前、雇傭中、離職后各關(guān)鍵環(huán)節(jié)人力資源上的平安要求事項(xiàng)和控制措施。101101.〔三〕人力資源平安人力資源平安是保證組織中的員工在雇傭前、雇〔四〕信息資產(chǎn)分類與控制信息資產(chǎn)分類與控制是確保組織中的信息資產(chǎn)按照不同等級受到適當(dāng)保護(hù)的控制措施，資產(chǎn)的分類原那么、分類清單、所有權(quán)人都是關(guān)鍵核心要素。102102.〔四〕信息資產(chǎn)分類與控制信息資產(chǎn)分類與控制是確保組織中的信息〔五〕信息平安訪問控制信息平安訪問控制是通過標(biāo)識〔identification〕、鑒別〔authentication〕、授權(quán)〔authorization〕這三種機(jī)制實(shí)現(xiàn)對業(yè)務(wù)、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序等平安訪問控制策略的最正確實(shí)踐。103103.〔五〕信息平安訪問控制信息平安訪問控制是通過標(biāo)識〔ident〔六〕物理與環(huán)境平安物理與環(huán)境平安是防止未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾企業(yè)運(yùn)行場所及信息，確保信息處理設(shè)施、關(guān)鍵核心設(shè)備和數(shù)據(jù)的平安。104104.〔六〕物理與環(huán)境平安物理與環(huán)境平安是防止未經(jīng)授權(quán)的進(jìn)入、訪問〔七〕系統(tǒng)開發(fā)與維護(hù)系統(tǒng)開發(fā)與維護(hù)是通過科學(xué)嚴(yán)謹(jǐn)?shù)能浖_發(fā)方法，減少自開發(fā)軟件的漏洞，定期保養(yǎng)維護(hù)、及時(shí)發(fā)現(xiàn)系統(tǒng)的平安脆弱點(diǎn)。105105.〔七〕系統(tǒng)開發(fā)與維護(hù)系統(tǒng)開發(fā)與維護(hù)是通過科學(xué)嚴(yán)謹(jǐn)?shù)能浖_發(fā)方〔八〕通信與運(yùn)營平安通信和運(yùn)營平安是確保正確、平安地操作信息處理設(shè)備，包括系統(tǒng)規(guī)劃及驗(yàn)收、對惡意軟件的防范、日常事務(wù)處理、網(wǎng)絡(luò)管理、存儲媒體的處理與平安、信息及軟件的交換等。106106.〔八〕通信與運(yùn)營平安通信和運(yùn)營平安是確保正確、平安地操作信息〔九〕信息平安事故管理對發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的事件進(jìn)行響應(yīng)，通過對策、檢測和響應(yīng)等手段最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小平安事件帶來的影響。107107.〔九〕信息平安事故管理對發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的〔十〕業(yè)務(wù)持續(xù)性管理業(yè)務(wù)連續(xù)性管理是通過制定和實(shí)施一系列事先的策略和規(guī)劃，確保單位在面臨突發(fā)的災(zāi)難事件時(shí)，關(guān)鍵業(yè)務(wù)功能能持續(xù)運(yùn)作、有效的發(fā)揮作用，以保證業(yè)務(wù)的正常和連續(xù)。108108.〔十〕業(yè)務(wù)持續(xù)性管理業(yè)務(wù)連續(xù)性管理是通過制定和實(shí)施一系列事先〔十一〕符合性符合性管理就是要防止違反法律、法規(guī)、規(guī)章、合同的要求，以及本單位平安策略和制度標(biāo)準(zhǔn)的規(guī)定109109.〔十一〕符合性符合性管理就是要防止違反法律、法規(guī)、規(guī)章、合同思考和體會標(biāo)準(zhǔn)不是羅列文檔不是擺設(shè)劣法勝于無法細(xì)節(jié)決定成敗110110.思考和體會標(biāo)準(zhǔn)不是羅列110110.謝謝，請?zhí)釂栴}！111.謝謝，請?zhí)釂栴}！111.信息平安管理體系培訓(xùn)機(jī)構(gòu)名稱講師名字112.信息平安管理體系培訓(xùn)機(jī)構(gòu)名稱1.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理基本概念信息安全管理體系建設(shè)知識子域信息安全管理的作用風(fēng)險(xiǎn)管理的概念和作用過程方法與PDCA循環(huán)安全管理控制措施的概念和作用建立、運(yùn)行、評審與改進(jìn)ISMS113.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理信息安全知識知識域：信息平安管理根本概念知識子域：信息平安管理的作用理解信息平安“技管并重〞原那么的意義理解成功實(shí)施信息平安管理工作的關(guān)鍵因素知識子域：風(fēng)險(xiǎn)管理的概念和作用理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性理解風(fēng)險(xiǎn)評估是信息平安管理工作的根底理解風(fēng)險(xiǎn)處置是信息平安管理工作的核心知識子域：信息平安管理控制措施的概念和作用理解平安管理控制措施是管理風(fēng)險(xiǎn)的具體手段了解11個(gè)根本平安管理控制措施的根本內(nèi)容114114.知識域：信息平安管理根本概念知識子域：信息平安管理的作用3信息平安管理一、信息平安管理概述二、信息平安管理體系三、信息平安管理體系建立四、信息平安管理控制標(biāo)準(zhǔn)115115.信息平安管理一、信息平安管理概述44.一、信息平安管理概述〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險(xiǎn)的信息平安〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理的標(biāo)準(zhǔn)4、成功實(shí)施信息平安管理的關(guān)鍵116116.一、信息平安管理概述〔一〕信息平安管理根本概念55.〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險(xiǎn)的信息平安117117.〔一〕信息平安管理根本概念66.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價(jià)值，因此需要妥善保護(hù)。信息平安：信息平安主要指信息的保密性、完整性和可用性的保持。即指通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等平安技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。118118.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，1、信息平安信息安全保密性可用性完整性119119.1、信息平安信息安全保密性可用性完整性88.1、信息平安-保密性保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。120120.1、信息平安-保密性保密性99.1、信息平安-完整性完整性保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、喪失信息、錯(cuò)誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮?，有可能造成重要文件的喪失，甚至整個(gè)系統(tǒng)的癱瘓。121121.1、信息平安-完整性完整性1010.1、信息平安-可用性可用性確保那些已被授權(quán)的用戶在他們需要的時(shí)候，確實(shí)可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)。122122.1、信息平安-可用性可用性1111.2、信息平安管理統(tǒng)計(jì)結(jié)果說明，在所有信息平安事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會發(fā)現(xiàn)平安問題實(shí)際上都是人的問題，單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。信息平安是一個(gè)多層面、多因素的過程，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息平安這只“木桶〞出現(xiàn)假設(shè)干“短板〞，從而無法提高信息平安水平。123123.2、信息平安管理統(tǒng)計(jì)結(jié)果說明，在所有信息平安事故中，只有202、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標(biāo)準(zhǔn)與最正確實(shí)踐過程，根據(jù)組織對信息平安的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的根底上引入恰當(dāng)控制，建立合理平安管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。124124.2、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標(biāo)準(zhǔn)與最正2、信息平安管理125組織中為了完成信息平安目標(biāo)，針對信息系統(tǒng)，遵循平安策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息平安管理工作的對象

規(guī)則

人員目標(biāo)組織·信息輸入·立法·摘要變化？關(guān)鍵活動測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營過程125.2、信息平安管理14組織中為了完成信息平安目標(biāo)，針對信息系統(tǒng)2、信息平安管理信息平安管理是通過維護(hù)信息的保密性、完整性和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制；是組織中用于指導(dǎo)和管理各種控制信息平安風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動，有效的信息平安管理要盡量做到在有限的本錢下，保證平安風(fēng)險(xiǎn)控制在可接受的范圍。126126.2、信息平安管理信息平安管理是通過維護(hù)信息的保密性、完整性和3、基于風(fēng)險(xiǎn)的信息平安〔1〕平安風(fēng)險(xiǎn)的根本概念〔2〕信息平安的風(fēng)險(xiǎn)模型〔2〕基于風(fēng)險(xiǎn)的信息平安127127.3、基于風(fēng)險(xiǎn)的信息平安〔1〕平安風(fēng)險(xiǎn)的根本概念1616.〔1〕平安風(fēng)險(xiǎn)的根本概念資產(chǎn)資產(chǎn)是任何對組織有價(jià)值的東西信息也是一種資產(chǎn)，對組織具有價(jià)值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽(yù)……128.〔1〕平安風(fēng)險(xiǎn)的根本概念資產(chǎn)17.〔1〕平安風(fēng)險(xiǎn)的根本概念威脅資威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊 病毒和其他惡意程序軟硬件故障 人為誤操作盜竊 網(wǎng)絡(luò)監(jiān)聽供電故障 后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)129.〔1〕平安風(fēng)險(xiǎn)的根本概念威脅18.〔1〕平安風(fēng)險(xiǎn)的根本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或平安隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞 程序Bug專業(yè)人員缺乏 不良習(xí)慣缺少審計(jì) 缺乏平安意識后門物理環(huán)境訪問控制措施不當(dāng)……130.〔1〕平安風(fēng)險(xiǎn)的根本概念脆弱性19.〔1〕平安風(fēng)險(xiǎn)的根本概念平安控制措施根據(jù)平安需求部署的，用來防范威脅，降低風(fēng)險(xiǎn)的措施平安控制措施舉例技術(shù)措施防火墻防病毒入侵檢測災(zāi)備系統(tǒng)……管理措施平安規(guī)章平安組織人員培訓(xùn)運(yùn)行維護(hù)……131.〔1〕平安風(fēng)險(xiǎn)的根本概念平安控制措施技術(shù)措施管理措施20.〔2〕信息平安的風(fēng)險(xiǎn)模型132沒有絕對的平安，只有相對的平安信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過恰當(dāng)、足夠、綜合的平安措施來控制風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可接受的程度。132.〔2〕信息平安的風(fēng)險(xiǎn)模型21沒有絕對的平安，只有相對的平安信〔3〕基于風(fēng)險(xiǎn)的信息平安信息平安追求目標(biāo)確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險(xiǎn)最小化保護(hù)信息免受各種威脅的損害投資回報(bào)和商業(yè)機(jī)遇最大化獲得信息平安方式實(shí)施一組適宜的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。133133.〔3〕基于風(fēng)險(xiǎn)的信息平安信息平安追求目標(biāo)確保業(yè)務(wù)連續(xù)性獲得信〔3〕風(fēng)險(xiǎn)評估是信息平安管理的根底風(fēng)險(xiǎn)評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估，同時(shí)對已存在的或規(guī)劃的平安控制措施進(jìn)行界定。信息平安管理體系的建立需要確定信息平安需求信息平安需求獲取的主要手段就是平安風(fēng)險(xiǎn)評估信息平安風(fēng)險(xiǎn)評估是信息平安管理體系建立的根底，沒有風(fēng)險(xiǎn)評估，信息平安管理體系的建立就沒有依據(jù)。134134.〔3〕風(fēng)險(xiǎn)評估是信息平安管理的根底風(fēng)險(xiǎn)評估主要對ISMS范圍〔4〕風(fēng)險(xiǎn)處置是信息平安管理的核心風(fēng)險(xiǎn)評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上，風(fēng)險(xiǎn)處置的最正確集合就是信息平安管理體系的控制措施集合?？刂颇繕?biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息平安建立體系的建立過程。信息平安管理體系的核心就是這些最正確控制措施集合的。135135.〔4〕風(fēng)險(xiǎn)處置是信息平安管理的核心風(fēng)險(xiǎn)評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理有關(guān)標(biāo)準(zhǔn)4、成功實(shí)施信息平安管理的關(guān)鍵136136.〔二〕信息平安管理的狀況1、信息平安管理的作用2525.1、信息平安管理的作用137如果你把鑰匙落在鎖眼上會怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險(xiǎn)柜就一定平安嗎？137.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？保險(xiǎn)WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？1、信息平安管理的作用138.WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能信息系統(tǒng)是人機(jī)交互系統(tǒng)應(yīng)對風(fēng)險(xiǎn)需要人為的管理過程設(shè)備的有效利用是人為的管理過程“堅(jiān)持管理與技術(shù)并重〞是我國加強(qiáng)信息平安保障工作的主要原那么1、信息平安管理的作用139.信息系統(tǒng)是人機(jī)交互系統(tǒng)應(yīng)對風(fēng)險(xiǎn)需要人為的管理過程設(shè)備的有效利2、信息平安管理的開展-1ISO/IECTR13335國際標(biāo)準(zhǔn)化組織在信息平安管理方面，早在1996年就開始制定?信息技術(shù)信息平安管理指南?〔ISO/IECTR13335〕，它分成五個(gè)局部：?信息平安的概念和模型??信息平安管理和規(guī)劃??信息平安管理技術(shù)??基線方法??網(wǎng)絡(luò)平安管理指南?140140.2、信息平安管理的開展-1ISO/IECTR1333522、信息平安管理的開展-2BS7799英國標(biāo)準(zhǔn)化協(xié)會〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分為兩個(gè)局部：BS7799-1?信息平安管理實(shí)施規(guī)那么?和BS7799-2?信息平安管理體系標(biāo)準(zhǔn)?。2002年又公布了?信息平安管理系統(tǒng)標(biāo)準(zhǔn)說明?〔BS7799-2:2002〕。BS7799將信息平安管理的有關(guān)問題劃分成了10個(gè)控制要項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。目前，在BS7799－2中，提出了如何了建立信息平安管理體系的步驟。141141.2、信息平安管理的開展-2BS77993030.2、信息平安管理的開展-3142142.2、信息平安管理的開展-33131.2、信息平安管理的開展-4143143.2、信息平安管理的開展-43232.3、國內(nèi)外信息平安管理標(biāo)準(zhǔn)〔1〕國際信息平安管理標(biāo)準(zhǔn)國際信息平安標(biāo)準(zhǔn)化組織國際信息平安管理標(biāo)準(zhǔn)〔2〕國內(nèi)信息平安管理標(biāo)準(zhǔn)國內(nèi)信息平安標(biāo)準(zhǔn)化組織國內(nèi)信息平安管理標(biāo)準(zhǔn)144144.3、國內(nèi)外信息平安管理標(biāo)準(zhǔn)〔1〕國際信息平安管理標(biāo)準(zhǔn)3333國際信息平安標(biāo)準(zhǔn)化組織145145.國際信息平安標(biāo)準(zhǔn)化組織3434.國際信息平安管理標(biāo)準(zhǔn)-1146146.國際信息平安管理標(biāo)準(zhǔn)-13535.國際信息平安管理標(biāo)準(zhǔn)-2147147.國際信息平安管理標(biāo)準(zhǔn)-23636.國際信息平安管理標(biāo)準(zhǔn)-3148148.國際信息平安管理標(biāo)準(zhǔn)-33737.國內(nèi)信息平安標(biāo)準(zhǔn)化組織149149.國內(nèi)信息平安標(biāo)準(zhǔn)化組織3838.國內(nèi)信息平安管理標(biāo)準(zhǔn)-1150WG7組已有的標(biāo)準(zhǔn)150.國內(nèi)信息平安管理標(biāo)準(zhǔn)-139WG7組已有的標(biāo)準(zhǔn)39.國內(nèi)信息平安管理標(biāo)準(zhǔn)-2151WG7組研究中的標(biāo)準(zhǔn)151.國內(nèi)信息平安管理標(biāo)準(zhǔn)-240WG7組研究中的標(biāo)準(zhǔn)40.國內(nèi)信息平安管理標(biāo)準(zhǔn)-3152152.國內(nèi)信息平安管理標(biāo)準(zhǔn)-34141.4、實(shí)施信息平安管理的關(guān)鍵成功因素理解組織文化得到高層承諾做好風(fēng)險(xiǎn)評估整合管理體系積極有效宣貫納入獎懲機(jī)制持續(xù)改進(jìn)體系153153.4、實(shí)施信息平安管理的關(guān)鍵成功因素理解組織文化4242.二、信息平安管理體系〔一〕什么是信息平安管理體系〔二〕信息平安管理體系的框架〔三〕信息平安管理過程方法要求〔四〕信息平安管理控制措施要求154154.二、信息平安管理體系〔一〕什么是信息平安管理體系4343.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義2、信息平安管理體系的特點(diǎn)3、信息平安管理體系的作用4、信息平安管理體系的文件155155.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義4441、信息平安管理體系的定義信息平安管理體系〔ISMS：InformationSecurityManagementSystem〕是組織在整體或特定范圍內(nèi)建立的信息平安方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原那么、目標(biāo)、方法、方案、活動、程序、過程和資源的集合。156156.1、信息平安管理體系的定義信息平安管理體系〔ISMS：Inf2、信息平安管理體系的特點(diǎn)信息平安管理體系要求組織通過確定信息平安管理體系范圍，制定信息平安方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評估為根底選擇控制目標(biāo)和措施等一系列活動來建立信息平安管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的平安風(fēng)險(xiǎn)評估，表達(dá)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息平安的法律、法規(guī)及其他合同方面的要求；強(qiáng)調(diào)全過程和動態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原那么合理選擇平安控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)的持續(xù)性。157157.2、信息平安管理體系的特點(diǎn)信息平安管理體系要求組織通過確定信3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促使管理層貫徹信息平安管理體系，強(qiáng)化員工的信息平安意識，標(biāo)準(zhǔn)組織信息平安行為；使組織的生意伙伴和客戶對組織充滿信心；組織可以按照平安管理，到達(dá)動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達(dá)可接受的信息平安水平，從根本上保證業(yè)務(wù)的持續(xù)性。158158.3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的4、信息平安管理體系的理念各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息平安管理的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息平安的各個(gè)角度和整個(gè)生命周期來考察，如果忽略了組織中最活潑的因素——人的作用，那么信息平安管理體系是不完備的，考察國內(nèi)外的各種信息平安事件，不難發(fā)現(xiàn)，在信息平安時(shí)間表象后面其實(shí)都是人的因素在起決定作用。159159.4、信息平安管理體系的理念各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角4、信息平安管理體系的理念技術(shù)因素人的因素管理因素160在信息平安問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息平安管理體系是人員、管理與技術(shù)三者的互動。160.4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息5、信息平安管理體系的過程161完善信息平安治理結(jié)構(gòu)風(fēng)險(xiǎn)評估平安規(guī)劃信息平安管理框架管理措施技術(shù)手段信息系統(tǒng)平安審計(jì)監(jiān)控業(yè)務(wù)與平安環(huán)境符合平安控制標(biāo)準(zhǔn)？持續(xù)改進(jìn)調(diào)整161.5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險(xiǎn)評估平〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架2、信息平安管理體系內(nèi)容框架3、信息平安管理體系文件框架4、信息平安管理體系系列標(biāo)準(zhǔn)162162.〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架5151、信息平安管理體系循環(huán)框架163信息平安管理體系是PDCA動態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評審保持和改進(jìn)相關(guān)方信息平安要求和期望相關(guān)方受控的信息平安163.1、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)量管理專家戴明提出。P〔Plan〕：方案，確定方針和目標(biāo)，確定活動方案；D〔Do〕：實(shí)施，實(shí)際去做，實(shí)現(xiàn)方案中的內(nèi)容；C〔Check〕：檢查，總結(jié)執(zhí)行方案的結(jié)果，注意效果，找出問題；A〔Action〕：行動，對總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。164164.1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)1、信息平安管理體系循環(huán)框架165PDCA特點(diǎn)一：按順序進(jìn)行，它靠組織的力量來推動，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。

9090處置實(shí)施規(guī)劃檢查CADPPDCA特點(diǎn)二：組織中的每個(gè)局部，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。PDCA特點(diǎn)三：每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090處置實(shí)施規(guī)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃檢查CADP165.1、信息平安管理體系循環(huán)框架54PDCA特點(diǎn)一：按順序進(jìn)行，2、信息平安管理體系內(nèi)容框架166166.2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架〔續(xù)〕167其他最正確實(shí)踐標(biāo)準(zhǔn)與各平安控制域之間的對應(yīng)ISO27000系列不是信息平安管理體系的全部167.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實(shí)踐標(biāo)準(zhǔn)與各3、信息平安管理體系文檔框架168168.3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架169平安策略操作手冊操作手冊操作手冊操作手冊考核指標(biāo)考核指標(biāo)169.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作4、信息平安管理體系系列標(biāo)準(zhǔn)〔1〕ISO27000系列〔2〕NISTSP800系列〔3〕ISO/IEC13335系列170170.4、信息平安管理體系系列標(biāo)準(zhǔn)〔1〕ISO27000系列59〔1〕ISO27000系列ISO

27000系列17127000~2700327004~2700727000信息平安管理體系原那么和術(shù)語27001信息平安管理體系要求27002信息平安管理實(shí)踐準(zhǔn)那么27003信息平安管理實(shí)施指南27004信息平安管理的度量指標(biāo)和衡量27005信息平安風(fēng)險(xiǎn)管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)效勞指南27007XXX27001270022700027006270052700327004信息平安管理體系根本原理和詞匯171.〔1〕ISO27000系列ISO27000系列60270〔1〕ISO27000系列27001ISMS要求27004ISMS度量指標(biāo)和衡量27002ISMS實(shí)踐準(zhǔn)則17227001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一局部測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來172.〔1〕ISO27000系列27001270042700227000：?ISMS根底和詞匯?正在啟動的新標(biāo)準(zhǔn)工程；它將主要以ISO/IEC13335-1:2004?信息和通信技術(shù)平安管理第1局部：信息和通信技術(shù)平安管理的概念和模型?為根底進(jìn)行研究；該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的根本原那么、概念和詞匯。173173.27000：?ISMS根底和詞匯?正在啟動的新標(biāo)準(zhǔn)工程；6227001：?信息平安管理體系要求?2005年10月15日發(fā)布；規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持、改進(jìn)信息平安管理體系的要求；基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程〔PDCA模型〕使組織到達(dá)有效的信息平安；使用了和ISO9001、ISO14001相同的管理體系過程模型；是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)；174174.27001：?信息平安管理體系要求?2005年10月15日發(fā)27002：?信息平安管理實(shí)用規(guī)那么?

即17799，2005年6月15日發(fā)布第二版；包含有11個(gè)平安類別、39個(gè)控制目標(biāo)、138個(gè)控制措施；實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng)選擇實(shí)施的控制目標(biāo)和控制措施集；是一個(gè)行業(yè)最正確慣例的匯總集，而不是一個(gè)認(rèn)證和審核標(biāo)準(zhǔn)；175175.27002：?信息平安管理實(shí)用規(guī)那么?

即17799，20027003：?ISMS實(shí)施指南?目前處于工作草案階段；它主要以BS7799-2:2002附錄B的內(nèi)容為根底進(jìn)行制定；提供了27001具體實(shí)施的指南。176176.27003：?ISMS實(shí)施指南?目前處于工作草案階段；65627004：?信息平安管理度量?旨在為組織提供一個(gè)如何通過使用度量、測量項(xiàng)以及適宜的測量技術(shù)來評估其平安管理狀態(tài)的指南。177177.27004：?信息平安管理度量?旨在為組織提供一個(gè)如何通過使27005：?信息平安風(fēng)險(xiǎn)管理?目前處于委員會草案階段；它將主要以ISO/IEC13335-2為根底進(jìn)行制定；描述了信息平安風(fēng)險(xiǎn)管理的過程及每個(gè)過程的詳細(xì)內(nèi)容。178178.27005：?信息平安風(fēng)險(xiǎn)管理?目前處于委員會草案階段；67〔2〕NISTSP800系列179NIST

SP800系列179.〔2〕NISTSP800系列68NISTSP800系列6〔3〕ISO/IEC13335系列ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和計(jì)劃ISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇ISO/IEC1335-5:2001網(wǎng)絡(luò)安全管理指南180ISO/IEC13335系列180.〔3〕ISO/IEC13335系列ISO/IEC1335-1〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用2、信息平安管理過程方法的結(jié)構(gòu)181181.〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用1、信息平安管理過程方法的作用過程方法要求〔Methodologicalrequirements〕：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息平安管理體系規(guī)定了要求。按照PDCA循環(huán)理念運(yùn)行的信息平安管理體系是從過程上嚴(yán)格保證了信息平安管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。182182.1、信息平安管理過程方法的作用過程方法要求〔Methodol2、信息平安管理過程方法的結(jié)構(gòu)183183.2、信息平安管理過程方法的結(jié)構(gòu)7272.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用2、信息平安管理控制措施的結(jié)構(gòu)184184.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用1、信息平安管理控制措施的作用平安控制要求〔Securitycontrolrequirements〕：為組織選擇滿足自身信息平安環(huán)境要求的控制措施提供了一個(gè)最正確實(shí)踐集。組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險(xiǎn)特征選擇適用的控制措施。當(dāng)然組織也可以根據(jù)自身的特定要求對平安控制措施進(jìn)行補(bǔ)充。185185.1、信息平安管理控制措施的作用平安控制要求〔Security2、信息平安管理控制措施的結(jié)構(gòu)186共有11個(gè)控制條款〔方面〕每個(gè)條款包括許多主要的平安類。每個(gè)平安類包括：一個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么一個(gè)或多個(gè)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo)每個(gè)控制措施控制：是對該控制措施的定義實(shí)施指南：是對實(shí)施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補(bǔ)充信息186.2、信息平安管理控制措施的結(jié)構(gòu)75共有11個(gè)控制條款〔方面〕2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條款8.1雇傭前——平安類確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考