信息安全管理标准及规范课件.pptx

信息安全管理标准及规范,2022/11/27,1,提 纲,一 信息安全管理体系 二 信息安全标准化分类及体系 三 信息安全管理国际国内标准 四 信息安全管理案例分析,2022/11/27,2,一、信息安全管理体系,2022/11/27,3,信息面临安全威胁,2022/11/27,4,信息安全,2022/11/27,5,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,加密技术,完整性技术,认证技术,数字签名,保障信息安全的三大支柱,信息安全保障是一个复杂的系统工程，需要多管齐下，综合治理。三大支柱：信息安全技术信息安全法律法规信息安全标准,2022/11/27,6,信息安全的关键技术,2022/11/27,7,安全管理技术,安全集成技术,信息安全法律法规,从法律层面规范人们的行为，使信息安全工作有法可依，使相关违法犯罪得到处罚，促使组织和个人依法制作、发布、传播和使用信息,2022/11/27,8,信息安全标准,目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据,2022/11/27,9,信息安全管理,三分技术、七分管理木桶原理二八原则,2022/11/27,10,安全是个过程,安全存在于过程（高层管理者必须明白：信息安全不是一蹴而就的）安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是单位负责人、网络管理人员和用户对安全知识的忽视。,2022/11/27,11,安全层次体系结构,2022/11/27,12,安全产品类型,2022/11/27,13,密钥管理产品,高性能加密芯片产品,密码加密产品,数字 签名产品,安全授权认证产品,信息保密产品,数字证书管理系统,用户安全认证卡,智能IC卡,鉴别与授权服务器,安全平台/系统,安全操作系统,安全数据库系统,Web安全平台,安全路由器与虚拟专用网络产品,网络病毒检查预防和清除产品,安全检测与监控产品,网络安全隐患扫描检测工具,网络安全监控及预警设备,网络信息远程监控系统,网络舆情分析系统,信息安全管理体系ISMS,信息安全管理体系是保障组织信息安全的一套管理体系，专门负责组织信息资产的风险管理、确保组织的信息安全涉及到人员、技术和操作三个层面,2022/11/27,14,信息安全管理体系模型,2022/11/27,15,形成规范化文档,信息资源,结论,选择控制策略,控制目标,纲领性的统筹规划,对信息安全的总体目标、要求和规范的说明。例如：符合法律规定和合同要求；信息安全岗位及职责；安全教育的需求；业务连续性管理；病毒和其它恶意软件的阻止及检测；违反安全管理策略的后果。,信息安全管理的实施范围：资产清单的编写；资产的分类；信息的分类、标记和处理；物理和环境的安全,评估信息系统中存在的安全隐患：资产价值量化及评估资产中的潜在威胁及可能性评估；资产脆弱性评估；已有安全措施评估,确定、控制和降低或消除潜在安全风险，需考虑因素：技术和成本的约束；事务和操作的需要；IT安全框架和基础设施,信息安全风险评估,信息安全风险识别与评估应考虑的因素：,2022/11/27,16,2022/11/27,17,信息安全风险评估流程,2022/11/27,18,信息安全风险评估流程,资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。,2022/11/27,19,信息安全风险识别与评估（一）,2022/11/27,20,人员威胁,1,2,系统威胁,环境威胁,3,4,自然威胁,识别产生威胁的原因,信息安全风险识别与评估（二）,威胁识别与评估,2022/11/27,21,威胁识别与评估,2022/11/27,22,威胁识别与评估的主要任务,2022/11/27,23,脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。,2022/11/27,24,信息安全风险识别与评估（三）,脆弱性识别与评估脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。,2022/11/27,25,脆弱性识别与评估,2022/11/27,26,技术脆弱性,1,2,操作脆弱性,管理脆弱性,3,脆弱性的分类,脆弱性识别与评估评估脆弱性需要考虑的因素脆弱性的严重程度（Severity）；脆弱性的暴露程度（Exposure），即被威胁利用的可能性P， 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为：非常可能= 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。,2022/11/27,27,2022/11/27,28,信息安全风险识别与评估（四）,确认现有安全控制 在影响威胁事件发生的外部条件中，除了资产的弱点，再就是组织现有的安全控制措施。 在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。,2022/11/27,29,确认现有安全控制,2022/11/27,30,管理性安全控制,1,2,操作性安全控制,技术性安全控制,3,安全控制方式的分类(依据目标和针对性分类),2022/11/27,31,信息安全风险识别与评估（五）,风险评价 风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。,2022/11/27,32,风险评价风险度量常用方法预定义价值矩阵法,33,2022/11/27,该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。,2022/11/27,34,信息安全风险识别与评估（六）,安全措施建议,信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级，他们在这一步骤中根据风险等级和其他评估结论，结合被评估组织当前信息安全防护措施的状况，为被评估组织提供加强信息安全防护的建议。,二、信息安全标准化分类及体系,2022/11/27,36,标准分类,国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X GB XXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA ,SJ地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X,2022/11/27,37,标准的三要素（对象、内容和级别）,2022/11/27,38,国际级区域级国家级行业级地方级企业级,人员服务系统产品过程,管理,应用,技术机制,体系、框架,术语,X,Y,Z,X轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。,我国标准工作归口单位,2001年10月11日成立国家标准化委员会-信息技术标准委员会全国信息安全标准化技术委员会（简称信息安全标委会，TC260）于2002年4月15日在北京正式成立，是在信息安全技术专业领域内从事信息安全标准化工作的技术工作组织。,2022/11/27,39,信息安全标委会工作组设置,信息安全标准体系与协调工作组（WG1）涉密信息系统安全保密标准工作组（WG2） 密码技术标准工作组（WG3） 鉴别与授权标准工作组（WG4） 信息安全评估标准工作组（WG5） 通信安全标准工作组（WG6） 信息安全管理标准工作组（WG7）大数据安全特别工作组（ SWG-BDS ）,2022/11/27,40,2022/11/27,41,信息安全标准体系,信息安全技术与机制类标准主要包括标识、鉴别、授权、电子签名等领域的标准。具体诸如实体鉴别、抗抵赖、消息鉴别码、带附录的数字签名、PKI、电子签名等。信息安全管理类标准主要包括信息安全管理概念和模型、信息安全管理体系（ISMS）、信息安全服务管理、个人信息保护管理以及安全管理支撑等领域的标准。信息安全评估类标准主要包括测评基础、信息安全产品测评、信息系统安全测评，以及有关测评机构及服务能力评估等标准。其他标准。主要包括术语、可信计算、保密、密码、通信安全相关标准。,2022/11/27,42,三、ISO 27001国际标准及国标GB/T 22080-2016,2022/11/27,43,国内标准,2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日， GB/T 19716-2005作废，改为GB/T 22080-2008/ISO/IEC 27001:2005 。2016年8月29日，国家标准委批准发布了ISO 27001:2013版对应的国家标准GB/T 22080-2016（信息技术-安全技术-信息安全管理体系-要求）。,2022/11/27,44,BS7799信息安全管理标准,BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。1995 年，BS7799-1:1995信息安全管理实施细则首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年，BS7799-2:1998信息安全管理体系规范公布，这是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。,2022/11/27,45,ISO/IEC 27001,2002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式发布。2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。,2022/11/27,46,注：ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。,ISMS(信息安全管理系统)建设,2022/11/27,47,ISO/IEC 27001主要讲的是ISMS(信息安全管理系统)。 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS，是本标准所期望的。 本标准可被内部和外部相关方用于一致性评估。,ISO27001:2005标准内容,2022/11/27,48,ISO 27001:2013标准的结构变化,2022/11/27,49,ISO 27001:2005版,ISO 27001:2013版,ISO 27001:2013控制域的变化,2022/11/27,50,ISO 27001:2005标准包括11 个控制领域和133 项控制措施ISO 27001:2013标准包括14个控制领域和113 项控制措施,实施ISO 27001信息安全管理体系的方法PDCA模型,2022/11/27,51,PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。,PDCA特点,2022/11/27,52,大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。,PDCA特点(续),2022/11/27,53,不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,PDCA和ISMS的结合,2022/11/27,54,ISO27001：2013标准正文内容简介,2022/11/27,55,ISO27001 信息安全管理体系建设内容,2022/11/27,56,总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于下图所示的PDCA模型。 建立和管理ISMS建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标准备适用性声明（SoA）取得管理层对残留风险的承认，并授权实施和操作ISMS,P,D,C,A,ISO27001 信息安全管理体系建设(续),2022/11/27,57,实施和运行ISMS(DO)制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,ISO27001 信息安全管理体系建设(续),2022/11/27,58,监控和评审ISMS(CHECK)执行监视程序和控制对ISMS 的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS 审计定期对ISMS 进行管理复审记录活动和事件可能对ISMS 的效力或执行力度造成影响,P,D,C,A,ISO27001 信息安全管理体系建设(续),2022/11/27,59,保持和改进ISMS(ACT)对ISMS 实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标,P,D,C,A,ISO27001 信息安全管理体系建设(续),2022/11/27,60,文件要求总则文件控制记录控制,ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。,ISO27001 信息安全管理体系建设(续),2022/11/27,61,ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，由四个层次构成：信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）：信息安全方针风险评估报告适用性声明（SoA）二级文件：各类程序文件。至少包括（可能不限于此）：风险评估流程风险管理流程风险处理计划 管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。四级文件：各种记录文件，包括实施各项流程的记录成果。,四、信息安全管理案例分析,2022/11/27,62,武汉某银行信息安全管理体系,2022/11/27,63,信息安全管理层次模型,2022/11/27,64,信息安全管理职责划分,2022/11/27,65,应急管理体系建设,2022/11/27,66,信息安全管理规章制度建设,2022/11/27,67,谢谢大家！,2022/11/27,68,