第12章信息安全管理与审计 信息安全管理体系 信息安全风险评估 信息安全审计 本章小结
第12章 信息安全管理与审计 信息安全管理体系 信息安全风险评估 信息安全审计 本章小结
信息安全管理体系
信息安全管理体系
信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 应对风险需要人为的管理过程 程
信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 程 应对风险需要人为的管理过程
三分技术,七分管理 ■ 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 2007年网络安全事件类型分布 CNOERTICC 计算机安全事件 ■人为因崇 ■自然灾多 ■技术性误 毒,统求成木马.韩顺军将欢击.2以1号 黑两 ■组织内部人员作来■外部不法人员攻击 同格仿写152品55 ■阴传罗 10% 3% ■的家影将 10% 丝同其学意代玛 每落用 网沉满安代风 11512% 病毒。帆虫联木可 ■柜约限秀取击 25% 垃领M.11977写 数据来源 CNCERT/CC
三分技术,七分管理 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 数据来源 CNCERT/CC
信息安全工程 信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合
信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 信息安全工程 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合
信息安全工程 ■ 信息安全技术层面 建设安全的主机系统和安全的网络系统,包括物理层安全、系统层安全、网络层 安全和应用层安全等 配备一定的安全产品,如数据加密产品、数据存储备份产品、系统容错产品、防 病毒产品、安全网关产品等 ■ 信息安全管理层面 构建信息安全管理体系
信息安全工程 信息安全技术层面 建设安全的主机系统和安全的网络系统,包括物理层安全、系统层安全、网络层 安全和应用层安全等 配备一定的安全产品,如数据加密产品、数据存储备份产品、系统容错产品、防 病毒产品、安全网关产品等 信息安全管理层面 构建信息安全管理体系
信息安全管理 ■ 信息安全管理(Information Security Management)的概念没有统一的 定义。 信息安全管理:组织为了实现信息安全目标和信息资产保护,用来指导 和管理各种控制信息安全风险的、一组相互协调的活动。 要实现组织中信息的安全性、高效性和动态性管理,就需要依据信息安 全管理模型和信息安全管理标准构建信息安全管理体系
信息安全管理 信息安全管理(Information Security Management)的概念没有统一的 定义。 信息安全管理:组织为了实现信息安全目标和信息资产保护,用来指导 和管理各种控制信息安全风险的、一组相互协调的活动。 要实现组织中信息的安全性、高效性和动态性管理,就需要依据信息安 全管理模型和信息安全管理标准构建信息安全管理体系
信息安全管理体系 ■ 信息安全管理体系(Information Security Management System,ISMS) 组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系,包括建 立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。 ■ ISMS是整个管理体系的一部分。 ISMS的建立是基于组织,立足于信息安全风险评估,体现以预防为主 的思想,并且是全过程和动态控制
信息安全管理体系 信息安全管理体系(Information Security Management System, ISMS) 组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系,包括建 立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。 ISMS是整个管理体系的一部分。 ISMS的建立是基于组织,立足于信息安全风险评估,体现以预防为主 的思想,并且是全过程和动态控制
信息安全管理体系 ■ BS7799-2《信息安全管理体系规范》:详细说明了建立、实施和维护 信息安全管理体系的要求。 ■ BS7799-2的修订版本BS7799-2:2002中引入了PDCA(Plan-Do Check-Action)过程方法,用于建立、实施和持续改进ISMS。 PDCA循环又称“戴明环”,由美国质量管理专家Edwards Deming博士在2O世 纪50年代提出,是全面质量管理所应遵循的科学程序。 P心CA强调应将业务过程看作连续的反馈循环,在反馈循环的过程中识别需要改 进的部分,以使过程得到持续的改进,质量得到螺旋式上升
信息安全管理体系 BS7799-2《信息安全管理体系规范》:详细说明了建立、实施和维护 信息安全管理体系的要求。 BS7799-2 的修订版本 BS7799-2: 2002 中引入了 PDCA(Plan-DoCheck-Action)过程方法,用于建立、实施和持续改进ISMS。 PDCA循环又称“戴明环”,由美国质量管理专家Edwards Deming博士在20世 纪50年代提出,是全面质量管理所应遵循的科学程序。 PDCA强调应将业务过程看作连续的反馈循环,在反馈循环的过程中识别需要改 进的部分,以使过程得到持续的改进,质量得到螺旋式上升
应用于ISMS过程的PDCA模型 规划 Plan 建立 ISMS 相关方 处置 保持和改 实施和运 实施 行ISMS 相关方 Act 进ISMS Do 监视和评 审ISMS 信息安全要 受控的信息 求和期望 检查 安全 Check
应用于ISMS过程的PDCA模型 相相关关方方 信息安全要 求和期望 相相关关方方 受控的信息 安全 建立 ISMS 规划 Plan 保持和改 进ISMS 处置 Act 实施 Do 监视和评 审ISMS 检查 Check 实施和运 行ISMS