信息安全管理體系isms

信息平安管理體系培訓(xùn)大綱一、信息平安面臨的風(fēng)險Baidu灰鴿子吧華為訴前員工竊密案觸目驚心的泄密事件信息平安損失的“冰山〞理論信息平安直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時間被延誤修復(fù)的本錢可能造成的法律訴訟的本錢組織聲譽受到的影響商業(yè)時機的損失對生產(chǎn)率的破壞$10,000$60,000－$530,000二、保護信息平安的方法人們逐漸認識到平安管理的重要性，作為信息平安建設(shè)藍圖的平安體系就應(yīng)該顧及平安管理的內(nèi)容。建立信息平安管理體系對信息平安建立系統(tǒng)工程的觀念用制度來保證組織的信息平安更有效信息平安遵循木桶原理對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架并要時時兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的平安缺陷都會對系統(tǒng)構(gòu)成威脅。需要對信息平安進行有效管理治理與控制環(huán)境BHTP的方法論決策層對信息平安看法三、完善信息平安治理結(jié)構(gòu)信息平安組織結(jié)構(gòu)例如平安工作小組流程例如IT原那么例如信息平安方針例如四、確定IT原那么與平安方針五、進行風(fēng)險評估訪談提綱：管理層、部門經(jīng)理、員工，某員工的訪問例如人工評估記錄例如問卷調(diào)研平安日常運維現(xiàn)狀調(diào)研問卷：針對組織中實際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護、系統(tǒng)審計、權(quán)限管理等方面全面了解組織在信息系統(tǒng)平安管理和維護上的現(xiàn)實狀況。從平安日常運維角度出發(fā)，更貼近實際運維環(huán)境。平安日常運維現(xiàn)狀調(diào)研問卷?信息平安現(xiàn)狀分析報告?基線風(fēng)險評估所謂基線風(fēng)險評估，就是確定一個信息平安的根本底線，信息平安不僅僅是資產(chǎn)的平安，應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個根本的要求，在此根底之上，再選擇信息資產(chǎn)進行詳細風(fēng)險分析，這樣才能在兼顧信息平安風(fēng)險的方方面面的同時，對重點信息平安風(fēng)險進行管理與控制。ISO27001確立了組織機構(gòu)內(nèi)啟動、實施、維護和改進信息平安管理的指導(dǎo)方針和通用原那么，以標(biāo)準組織機構(gòu)信息平安管理建設(shè)的內(nèi)容，因此，風(fēng)險評估時，可以把ISO27001作為平安基線，與組織當(dāng)前的信息平安現(xiàn)狀進行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏ISO27001調(diào)查問卷例如?信息平安管理體系風(fēng)險評估與處置建議報告?信息資產(chǎn)風(fēng)險評估針對重要的信息資產(chǎn)進行平安影響、威脅、漏洞及可能性分析，從而估計對業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進行有效管理。?平安風(fēng)險評估與處置建議報告?平安風(fēng)險評估表例如資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水平風(fēng)險評估過程脆弱性評估平安控制措施的識別與選擇降低風(fēng)險風(fēng)險管理過程接受風(fēng)險電子政務(wù)風(fēng)險評估案例IT流程風(fēng)險評估信息平安不僅僅要看IT資產(chǎn)本身是否平安可靠，而且還應(yīng)當(dāng)在其所運行的環(huán)境和經(jīng)歷的流程中保證平安。沒有可靠的IT流程的保證，靜態(tài)的平安是不可靠的，而且IT的風(fēng)險也不僅僅是信息平安的問題，IT的效率與效果也同樣是需要考慮的問題，因此評估IT流程的績效特性并加以完善是風(fēng)險控制中必不可少的內(nèi)容。?IT相關(guān)業(yè)務(wù)流程風(fēng)險評估與處置建議報告?確定風(fēng)險控制策略風(fēng)險控制策略舉例六、信息平安控制規(guī)劃選擇平安控制措施風(fēng)險控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息平安事件管理保證系統(tǒng)開發(fā)與維護的平安系統(tǒng)開發(fā)與維護控制對業(yè)務(wù)信息的訪問。訪問控制保證通訊和操作設(shè)備的正確和平安維護。通信與運營管理防止對關(guān)于IT效勞的未經(jīng)許可的介入，損傷和干擾效勞。物理與環(huán)境平安減少人為造成的風(fēng)險。人員平安維護組織資產(chǎn)的適當(dāng)保護系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便平安管理。平安組織為信息平安提供管理方向和支持。平安方針目的ISO27001十一個域防止任何違反法令、法規(guī)、合同約定及其他平安要求的行為。符合性確保與信息系統(tǒng)有關(guān)的平安事件和弱點的溝通能夠及時采取糾正措施序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……平安規(guī)劃方法?信息平安實施總體規(guī)劃報告??信息平安實施總體規(guī)劃圖表?七、建立信息平安管理體系人們逐漸認識到平安管理的重要性，作為信息平安建設(shè)藍圖的平安體系就應(yīng)該顧及平安管理的內(nèi)容。用木桶原理說明ISMSISMS“木桶〞由哪些“板〞組成？類似于質(zhì)量管理體系的ISO9000標(biāo)準，ISMS也有相應(yīng)的國際標(biāo)準ISO27001，它確定了ISMS的11個平安領(lǐng)域及133個相應(yīng)的控制措施。ISO17799及ISO27001的內(nèi)容ISO17799:2005信息平安管理實施標(biāo)準，主要是給負責(zé)開發(fā)的人員作為參考文檔使用，從而在組織中實施和維護信息平安；ISO27001:2005信息平安管理體系標(biāo)準，詳細說明了建立、實施和維護信息平安管理系統(tǒng)的要求，指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤＋@得BS7799和ISO27001認證的組織ISO17799信息平安BS15000IT效勞管理職業(yè)平安健康管理體系指導(dǎo)意見OHSAS18000財務(wù)管理體系BS8600客戶滿意管理體系Finance財務(wù)管理質(zhì)量管理業(yè)務(wù)管理IT信息管理人力資源環(huán)境管理ISO100015培訓(xùn)體系人力資源管理體系ISO9000市場/客戶滿意管理ISO14001

綜合管理體系職業(yè)平安行業(yè)強制性管理體系及產(chǎn)品認證如QS9000，ISMC，ISO17799與其他標(biāo)準比照ISO27001與其他標(biāo)準的融合ISMS建設(shè)過程：建立ISMS首先要建立一個合理的信息平安管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體平安建設(shè)從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進行風(fēng)險分析和需求分析和選擇平安控制等步驟，建立平安體系并提出平安解決方案。體系運行體系審核管理評審體系認證第七步第八步第九步第十步運行說明內(nèi)審報告外審報告認證證書ISMS體系文件編寫對ISMS體系的設(shè)計首先是以標(biāo)準化的ISMS體系文件的形式表現(xiàn)出來。把有關(guān)ISMS的重要內(nèi)容用文件的形式表述出來，就形成了組織的ISMS體系文件。ISMS體系文件是實施信息平安管理所必需的結(jié)構(gòu)、規(guī)那么、過程和資源等因素所組成的有機總體，有效的信息平安管理需要明確管理的具體目標(biāo)與范圍、流程與活動、人員與職責(zé)、資源與條件等內(nèi)容ISMS體系文件的作用保護信息平安的指南對信息平安進行審核的依據(jù)平安管理水平不斷改進的保障促進平安培訓(xùn)工作的開展ISMS體系文檔的組成四級文件三級文件二級文件一級方針、策略文件ISMS體系文件標(biāo)準、程序作業(yè)指導(dǎo)書、記錄、表單ISMS的正式運行ISMS體系文件編制完成后，組織應(yīng)按照文件的控制要求進行審核與批準并發(fā)布實施，至此，信息平安管理體系將進入運行階段在試運行的根底上，總結(jié)經(jīng)驗，進行認真的部署，選擇恰當(dāng)?shù)臅r機進行ISMS體系的正式運行。正式運行前，需要領(lǐng)導(dǎo)層進行發(fā)動，并進行全員培訓(xùn)，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。只有保證ISMS持續(xù)運行，才能使ISMS的制度真正落到實處，使組織的平安狀況得到改觀。ISMS體系建設(shè)案例平安防護系統(tǒng)應(yīng)用支撐系統(tǒng)平安運維管理系統(tǒng)IATF平安域CARA證書認證中心注冊授權(quán)機構(gòu)Internet或?qū)＞W(wǎng)申請證書應(yīng)用系統(tǒng)用戶終端使用證書訪問鑒別證書鑒別與訪問控制系統(tǒng)LDAP數(shù)字證書證書查詢效勞利用PKI數(shù)字證書進行訪問控制用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫效勞訪問他是誰？有什么權(quán)限？認證系統(tǒng)授權(quán)系統(tǒng)用戶認證證書用戶權(quán)限證書設(shè)備認證證書設(shè)備認證證書軟件認證證書PKI與PMI的應(yīng)用：平安認證與授權(quán)省級局域網(wǎng)上級接口下級接口橫向接口互聯(lián)網(wǎng)接口加密機：保護離開局域網(wǎng)的信息平安，同時防止非法接入。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運行環(huán)境的最后一道防線?！簿W(wǎng)絡(luò)及主機操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺的加固〕安全邊界網(wǎng)絡(luò)行為審計：加強網(wǎng)絡(luò)平安管理，追查平安事件。構(gòu)造網(wǎng)絡(luò)平安邊界入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計操作系統(tǒng)加固高平安區(qū)域平安防護系統(tǒng)的層次終端平安控制由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)平安常識，通過瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運行，翻開郵件中不明來歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來的極大的危害，終端用戶觸發(fā)產(chǎn)生的平安事件逐漸成為企業(yè)IT平安問題的主要原因。應(yīng)用系統(tǒng)常見平安方案業(yè)務(wù)系統(tǒng)本身必須能夠準確地識別使用者的真實身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。解決方案:使用統(tǒng)一的身份認證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進行控制，能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。解決方案:基于角色的訪問控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進行保護，防止由于數(shù)據(jù)的平安得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。解決方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M行跟蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。解決方案:日志與平安事件審計在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對主要核心業(yè)務(wù)與交易的憑證進行數(shù)字簽名，以保證重要對已完成的業(yè)務(wù)與交易的無否認性。解決方案:基于數(shù)字簽名員工ISMS職責(zé)表ISMS文件與工作人員矩陣信息平安管理員職責(zé)矩陣、工作流程實施平安教育方案要制定各種不同范圍、不同層次的平安教育方案。完備的平安教育方案可以提高員工的平安意識與技能，改變他們對待平安事件的態(tài)度，使他們具有一定的平安保護技能，以更好地保護組織的信息資產(chǎn)。好的平安教育方案應(yīng)該讓員工知道組織的信息平安面臨的威脅及信息平安事件帶來的后果，使員工切身感覺到平安事件與自己息息相關(guān)。信息平安教育內(nèi)容ISO27001培訓(xùn)方案舉例平安事件報告程序營造組織信息平安文化信息平安文化附屬于組織文化，倡導(dǎo)良好的組織信息平安文化就是要在組織中形成團隊共同的態(tài)度、認識和價值觀，形成標(biāo)準的思維和行為模式，最終轉(zhuǎn)化為行動，實現(xiàn)組織信息平安目標(biāo)。人的這種對平安價值的認識以及使自己的一舉一動符合平安的行為標(biāo)準的表現(xiàn)，正是所謂的“平安修養(yǎng)〞。如果一個組織建立起濃厚的平安文化環(huán)境，不管決策層、管理層還是一般員工，都會在平安文化的約束下標(biāo)準自己的行為，平安文化就像一支看不見的手，但凡不平安的行為都會被這支手拉回到平安操作的軌道上來。信息平安文化的三個階段九、對平安的檢查與審計審計的步驟信息平安在每次檢查審計前，由管理層任命適當(dāng)資質(zhì)的適宜人選組成審計小組，審計小組由2名或以上人員組成，包括但不限于稽核審計部的內(nèi)審員，并由管理層指