信息安全管理体系分析课件.ppt

1、信息安全管理体系教程课前介绍课程目标n掌握信息安全管理的一般知识掌握信息安全管理的一般知识n了解信息安全管理在信息系统安全保障了解信息安全管理在信息系统安全保障体系中的地位体系中的地位n认识和了解认识和了解ISO17799n理解一个组织实施理解一个组织实施ISO17799的意义的意义 n初步掌握建立信息安全管理体系（初步掌握建立信息安全管理体系（ISMS）的方法和步骤）的方法和步骤课程安排n课时课时: 24Hn课程方法：讲授、小组讨论、练习课程方法：讲授、小组讨论、练习课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO1

2、7799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求n积极参与、活跃气氛积极参与、活跃气氛n守时守时n保持安静保持安静n有问题可随时举手提问有问题可随时举手提问1.1. 信息安全基础知识 1.1 信息安全的基本概念信息安全的基本概念 1.2 为什么需要信息安全为什么需要信息安全 1.3 实践中的信息安全问题实践中的信息安全问题 1.4 信息安全管理的实践经验信息安全管理的实践经验 1.1 信息安全基本概念nISO17799中的描述“Information is an asset which, like other important business a

3、ssets, has value to an organization and consequently needs to be suitably protected. ”“Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. n强调信息：强调信息：是一种资产是一种资产同其它

4、重要的商业资产一样同其它重要的商业资产一样对组织具有价值对组织具有价值 需要适当的保护需要适当的保护以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等小问题：小问题：你们公司的Knowledge都在哪里？n ISO17799中的描述“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments

5、 and business opportunities.”n 信息安全： 保护信息免受各方威胁保护信息免受各方威胁 确保组织业务连续性确保组织业务连续性 将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会获得最大的投资回报和商业机会nISO17799中的描述Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailabilityn信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理

6、方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。 信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 机密 可用 完整 1.2 为什么需要信息安全组织自身业务的需要自身业务和利益的要求自身业务和利益的要求客户的要求客户的要求合作伙伴的要求合作伙伴的要求投标要求投标要求竞争优势，树立品牌竞争优势，树立品牌加强内部管理的要求加强内部管理的要求法律法规的要求计算机信息系统安全保护条例计算机信息系统安全保护条例知识产权保护知识产权保护互联网安全管理办法互联网安全管理办法网站备案管理规定网站备案管理规定信息系统使命的要求信息系统本身具有

7、特定的使命信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保信息安全的目的就是使信息系统的使命得到保障障。 1.3 实践中的信息安全问题nISO17799强调：“Information security is a management process, not a technological process.” 技术和产品是基础，管理是关键；技术和产品是基础，管理是关键； 产品和技术，要通过管理的组织职能才能发挥最好的作用；产品和技术，要通过管理的组织职能才能发挥最好的作用； 技术不高但管理良好的系统远比技术高但管理混乱的系统安技术不高但管理良好的系统远比技术高但管理混乱的系统

8、安全；全； 先进、易于理解、方便操作的安全策略对信息安全至关重要先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要；，也证明了管理的重要； 建立一个管理框架，让好的安全策略在这个框架内可重复实建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。施，并不断得到修正，就会持续安全。1.4 信息安全管理的实践经验 反映组织业务目标的安全方针、目标和活动； 符合组织文化的安全实施方法； 管理层明显的支持和承诺； 安全需求、风险评估和风险管理的正确理解； 有效地向所有管理人员和员工推行安全措施； 向所有的员工和签约方提供本组织的信息安全方针与标准；

9、 提供适当的培训和教育； 一整套用于评估信息安全管理能力和反馈建议的测量系统2、信息安全管理与信息系统安全保障资产资产可能意识到可能意识到引起引起增加增加利用利用导致导致威胁主体威胁主体威胁威胁所有者所有者风险风险脆弱性脆弱性对策对策可能被减少可能被减少利用利用价值价值希望最小化希望最小化希望滥用或破坏希望滥用或破坏可能具有可能具有减少减少到到到到使命使命希望完成希望完成到到可能阻碍或破坏可能阻碍或破坏信息系统使命信息系统使命信息系统建模，。信息系统建模，。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架

10、ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如：例如：ISO/IEC 15443, COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国DITSCAP, 中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则（信息技术系统评估准则）（信息技术系统评估准则）管理准则管理准则（信息系统管理评估准则）（信息系统管理评估准

11、则）过程准则过程准则（信息系统安全工程评估准则）（信息系统安全工程评估准则）信信息息系系统统安安全全保保障障评评估估准准则则变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃建立使命要求建立使命要求建立使命要求建立使命要求审阅业务要求审阅业务要求系统需求分析系统需求分析定义运行需求定义运行需求系统体系设计系统体系设计项目与预算管理项目与预算管理两种类型：两种类型： 开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保证（管理/维护/使用人员）人员保证（管理人员）人员保证（

12、实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）系系统统保保证证信信息息系系统统生生命命周周期期信息系统安全管理基础信息系统安全管理基础组织体系组织体系策略制度策略制度遵循性遵循性人人员员安安全全采采购购管管理理投投资资和和预预算算管管理理持持续续性性管管理理环环境境设设备备紧紧急急用用途途和和供供给给变更控制管理变更控制管理信信息息技技术术战战略略规规划划变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维

13、护废弃废弃信信息息技技术术战战略略规规划划系系统统操操作作物物理理访访问问运运行行环环境境设设备备管管理理3.3.信息安全管理体系标准概述3.1 信息安全标准介绍信息安全标准介绍3.2 ISO177993.3 ISO17799的历史及发展的历史及发展3.4 ISO17799:2000的内容框架的内容框架3.5 BS7799-2:1999的内容框架的内容框架3.6 ISO/IEC 17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:20023.1 信息安全标准介绍信息安全标准n 管理体系标准信息安全标准nISO7498-2(GB/T9387.2-19

14、95)nISO13335nSSE-CMM (GB21827)nISO15408（GB/T18336-2001）nISO17799ISO7498-2(GB/T9387.2-1995)n开放系统互联安全体系结构开放系统互联安全体系结构n由由ISO/ICE JTC1/SC21完成完成n1982年开始，年开始，1988年结束，年结束，ISO发布了发布了ISO7498-2n给出了基于给出了基于OSI参考模型的参考模型的7层协议上的安全体系结构层协议上的安全体系结构n其核心内容是：为了保证异构计算机进程与进程之间其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的远距离

15、安全交换信息的安全，它定义了该系统的5大类大类安全服务，以及提供这些服务的安全服务，以及提供这些服务的8大类安全机制及相应大类安全机制及相应的安全管理，并可根据具体系统适当的配置于的安全管理，并可根据具体系统适当的配置于OSI模模型的型的7层协议中。层协议中。ISO7498-2安全体系结构安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型ISO13335 IT安全管理n分为分为5个部分：个部分： ISO/IEC TR 13335-1：概念和模型：概念和模型 I

16、SO/IEC TR 13335-2：管理和规划：管理和规划 ISO/IEC TR 13335-3：管理技术：管理技术 ISO/IEC TR 13335-4：安全措施的选择：安全措施的选择 ISO/IEC TR 13335-5：网络安全性的管理指：网络安全性的管理指导导 n由由ISO/IEC JTC1/SC27完成完成SSE-CMM 信息系统安全工程能力成熟度模型nCMMCapability Maturity Model 首先用于软件工首先用于软件工程；程；n1993年年4月，由美国月，由美国NSA资助，安全业界、资助，安全业界、DOD、加拿大通信安全机构共同组成项目组，研究把加拿大通信安全机构

17、共同组成项目组，研究把CMM用于安全工程；用于安全工程；n1996年年10月推出第一版，月推出第一版，97年年4月推出方法（月推出方法（SSAM）第一版；）第一版；98年底推出第二版，年底推出第二版，99年年4月推出月推出SSAM第二版；第二版；n用于信息系统安全的工程组织、采购组织和评估机用于信息系统安全的工程组织、采购组织和评估机构构n5个能力级别，个能力级别，11个过程区个过程区n2003年，出版了年，出版了SSE-CMM V3.05 5个能力级别：个能力级别： 1 1级：非正式执行级级：非正式执行级 2 2级：计划和跟踪级级：计划和跟踪级 3 3级：充分定义级级：充分定义级 4 4级：

18、量化控制级级：量化控制级 5 5级：持续改进级级：持续改进级 代表安全工程组织的 成熟度级别11个过程区：个过程区： PA 01 管理安全控制管理安全控制 PA 02 评估影响评估影响 PA 03 评估安全风险评估安全风险 PA 04 评估威胁评估威胁 PA 05 评估脆弱性评估脆弱性 PA 06 建立保证论据建立保证论据 PA 07 协调安全协调安全 PA 08 监视安全态势监视安全态势 PA 09 提供安全输入提供安全输入 PA 10 指定安全要求指定安全要求 PA 11 验证和证实安全性验证和证实安全性 SSE-CMM 信息系统安全工程能力成熟度模型（续）ISO15408(GB/T183

19、36) 信息技术安全性评估准则n通常简称通常简称CC通用准则，通用准则，ISO15408:1999，GB/T18336:2001;n定义了评估信息技术产品和系统安全性所需的定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；基础准则，是度量信息技术安全性的基准；n分为分为3个部分：个部分： 第一部分：简介和一般模型第一部分：简介和一般模型 第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保证要求第三部分：安全保证要求管理体系标准nISO9000族族 质量管理体系质量管理体系nISO14000 环境管理体系标准环境管理体系标准nOHSAM18000 职业安全

20、卫生管理体职业安全卫生管理体系标准系标准nISO17799 信息安全管理体系标信息安全管理体系标准准 ISO/IEC17799:2000 Information technology Code of practice for information security management信息技术信息安全管理实施细则 3.2 ISO/IEC17799:2000 l 历史BS 7799-2:19992001.6BS7799 Part 2version CCode of practiceDTIBS 7799-Part11993.9BSI1995.2BS 7799-Part21998.2BS 7799

21、-1:19991999.4ISO/IEC2000.12+ISO 177993.3 ISO17799ISO17799的历史及发展IUG：International User Group 1997年成立年成立 宗旨宗旨 促进促进ISO17799/BS7799的应用和推广的应用和推广 促进对信息安全管理体系标准、认证等的理解，服务全促进对信息安全管理体系标准、认证等的理解，服务全球商业球商业 提供一个基于互联网的论坛提供一个基于互联网的论坛 提供一个信息交流的平台提供一个信息交流的平台 研究和写作研究和写作 成员成员Australia Brazil Germany Hong Kong India I

22、reland JapanKoreaMalaysia The Netherlands New Zealand Norway Poland SingaporeSouth AfricaSweden Switzerland TaiwanUAE UK USA ISO17799被各国或地区采用的情况 England Australia New Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands (SPE 20003) Norway Sweden (SS 627799) Taiwan 中国ISO17799在中国 国内从国内从20

23、00年初开始认识年初开始认识ISO17799/BS7799； 2000年初开始，国内一些公司和单位进行年初开始，国内一些公司和单位进行BS7799 的研究和相关课程培训；的研究和相关课程培训； 20022003年，我国已经提出了国标化的年，我国已经提出了国标化的计划；计划；3.4 ISO17799:2000的内容框架 ISO17799:2000（BS7799-1:1999） Code of Practice for Information Security Management 信息安全管理实施细则 BS7799-2:1999(已经有已经有BS7799-2:2002草案草案) Specific

24、ation for Information Security Management System 信息安全管理体系规范3.4 ISO17799:2000的内容框架(续)Foreword(ISO前言前言)Introduction( 引言引言)1. Scope (范围范围)2. Term and Definitions (术语和定义术语和定义)3.12. 详细控制目标和控制措施详细控制目标和控制措施3.4 ISO17799:2000的内容框架(续) Foreword(ISO前言前言) ISO(国际标准化组织)和IEC(国际电工委员会)组成世界性标准化的专门体系。作为ISO或IEC成员的各国团体通过

25、由各自组织设立的技术委员会参与国际标准的开发，处理特殊领域的技术活动。ISO和IEC技术委员会协调共同利益的领域。其它与ISO和IEC有联系的国际组织（官方的和非官方的）也可参加工作。 3.4 ISO17799:2000的内容框架(续)Introduction( 引言引言)什么是信息安全什么是信息安全为何需要信息安全为何需要信息安全如何确定安全需求如何确定安全需求评估安全风险评估安全风险选择控制措施选择控制措施信息安全起点信息安全起点成功的关键因素成功的关键因素制定组织自身的指导方针制定组织自身的指导方针3.4 ISO17799:2000的内容框架(续)1. Scope (范围范围) 本标准为

26、组织中负责信息安全的启动、实现和本标准为组织中负责信息安全的启动、实现和保持的人员提供了信息安全管理方面的建议。保持的人员提供了信息安全管理方面的建议。目的是为各个组织制定安全标准和有效的安全目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台，并建立组织间交管理措施提供一个通用平台，并建立组织间交易时的信心。本标准所提供的建议应该根据相易时的信心。本标准所提供的建议应该根据相关法规有选择的使用。关法规有选择的使用。3.4 ISO17799:2000的内容框架(续)2. Term and Definitions (术语和定义术语和定义) 2.1 information securi

27、ty 信息安全信息安全 2.2 Risk assessment 风险评估风险评估 2.3 Risk management 风险管理风险管理3.4 ISO17799:2000的内容框架(续)2.1 information security 信息安全信息安全 Preservation of confidentiality, integrity, and availability of information. - Confidentiality Ensuring that information is accessible only to those authorized to have acce

28、ss. 确保只有被授权的人员才可以访问信息。确保只有被授权的人员才可以访问信息。 - Integrity Safeguarding the accuracy and completeness of information and processing methods. 确保信息及其处理方法的准确性和完整性确保信息及其处理方法的准确性和完整性。 - Availability Ensuring that authorized users have access to information and associated assets when required. 确保被授权的用户在需要时可确保被授

29、权的用户在需要时可以访问信息和相关的资产。以访问信息和相关的资产。3.4 ISO17799:2000的内容框架(续)2.2 Risk assessment 风险评估风险评估Assessment of threats to, impacts on and vulnerabilities of information and information processing facilities and the likelihood if their occurrence.对信息和信息处理设施所受到的威胁、影响和脆弱性对信息和信息处理设施所受到的威胁、影响和脆弱性以及发生这些事件的可能性进行评估以及发

30、生这些事件的可能性进行评估。3.4 ISO17799:2000的内容框架(续)2.3 Risk management 风险管理风险管理Process of identifying ,controlling and minimizing or eliminating security risks that may affect information systems, for an acceptable cost.基于可接受的成本，对影响信息系统的安全风险进行识别、控基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减小或消除的过程制、减小或消除的过程。3.4 ISO17799:2000

31、的内容框架(续)3. Security policy 安全方针安全方针4. Security Organizational 安全组织安全组织5. Asset classification and control 资产分类与控制资产分类与控制6. Personnel security 人员安全人员安全7. Physical and environmental security 物理和环境安全物理和环境安全8. Communications and operationa management 通信和操作管通信和操作管理理9. Access control 访问控制访问控制10. Systems d

32、evlopment and maintenance 系统开发和维护系统开发和维护11. Business continuity management 业务连续性管理业务连续性管理12. Compliance 符合性符合性 Foreword(BSI前言前言)1. Scope (范围范围)2. Term and Definitions (术语和定义术语和定义)3. Information security management system requirements (信息安全管理体系的要求信息安全管理体系的要求)4. Detailed controls （详细控制措施）（详细控制措施） 3.5

33、BS7799-2:1999的内容框架 1. Scope (范围范围) BS7799 BS7799的这一部分提出了建立、实施并记录信息安全管理体的这一部分提出了建立、实施并记录信息安全管理体系时的具体要求；同时，也提出了各组织根据具体需求采取安全系时的具体要求；同时，也提出了各组织根据具体需求采取安全控制措施的要求。控制措施的要求。 3.5 BS7799-2:1999的内容框架(续) 2. Term and Definitions (术语和定义术语和定义)2.1 statement of applicability (适用声明适用声明) Critique of the objectives an

34、d controls applicable to the needs of the organization. 根据组织需要对所选的控制目标和控制措施的说明根据组织需要对所选的控制目标和控制措施的说明 3.5 BS7799-2:1999的内容框架(续) 3. Information security management system requirements (信息安全管理体系的要求信息安全管理体系的要求)3.1 General (总则总则)3.2 Establishing a management framework(建立管理框架建立管理框架)3.3 Implementation(实施实施

35、)3.4 Documentation (文档化文档化)3.5 Document control (文件控制文件控制)3.6 Records (记录记录) 3.5 BS7799-2:1999的内容框架(续) 4. Detailed controls （详细控制措施）（详细控制措施）4.1 Security policy 安全方针安全方针4.2 Security Organizational安全组织安全组织4.3 Asset classification and control 资产分类与控制资产分类与控制4.4 Personnel security 人员安全人员安全4.5 Physical an

36、d environmental security 物理和环境安全物理和环境安全4.6 Communications and operationa management 通信和操作管理通信和操作管理4.7 Access control 访问控制访问控制4.8 Systems devlopment and maintenance 系统开发和维护系统开发和维护4.9 Business continuity management 业务连续性管理业务连续性管理4.10 Compliance 符合性符合性 3.5 BS7799-2:1999的内容框架(续)3.6 ISO/IEC 17799:2000(BS

37、7799-1:1999)、BS7799-2:1999、BS7799-2:2002nISO/IEC 17799:2000(BS7799-1:1999)为指南为指南 指导如何进行安全管理实践指导如何进行安全管理实践nBS7799-2:1999和和BS7799-2:2002 为标准为标准 建立的信息安全管理体系必须符合的要求建立的信息安全管理体系必须符合的要求nBS7799-2:2002 更接近更接近ISO9000标准的格式标准的格式 控制目标和控制措施作为附录控制目标和控制措施作为附录4. 信息安全管理体系方法4.1 什么是什么是ISMS4.2 ISMS的重要原则的重要原则4.3 ISMS的实现方

38、法的实现方法4.1 什么是ISMSISMS： Information Security Management System 信息安全管理体系nISO9000-2000 术语和定义组织组织 organization 职责、权限和相互关系得到安排的一组人员及设施, 如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理管理 management 指挥和控制组织的协调的活动体系体系 system 相互关联和相互作用的一组要素管理体系管理体系 management system 建立方针和目标并实现这些目标的体系n 管理学中的定义管理学中的定义管理管理 是指通

39、过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程。信息安全管理体系 ISMS定义定义nISMS是：在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的信息安全目标应是可测量的要素可能包括要素可能包括信息安全方针、策略 信息安全组织结构 各种活动、过程- 信息安全控制措施- 人力、物力等资源 要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图4.2 ISMS的重要原则4.2.1 PDCA循环 4.2.2 过程方法过程方法 4.2.3 其它重要原则其它重要原

40、则PDCA循环：Plan DoCheckAct计划实施检查改进PDAC 4.2.1 PDCA循环4.2.1 PDCA循环（续）n又称又称“戴明环戴明环”,PDCA循环是能使任何一项活循环是能使任何一项活动有效进行的工作程序动有效进行的工作程序: P：计划，方针和目标的确定以及活动计划的制定；：计划，方针和目标的确定以及活动计划的制定； D：执行，具体运作，实现计划中的内容；：执行，具体运作，实现计划中的内容； C：检查，总结执行计划的结果，分清哪些对了，哪些错：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；了，明确效果，找出问题； A：改进（或处理）：改进（或处理）,对

41、总结检查的结果进行处理，成功的对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个对于没有解决的问题，应提给下一个PDCA循环中去解决循环中去解决。PDCA循环的特点一 按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 90909090处理处理执行执行计划计划检查检查C CA AD DP P4.2.1 PDCA循环（续）PDCA循环的特点二 组织中的每个部分，甚至

42、个人，均有一个组织中的每个部分，甚至个人，均有一个PDCAPDCA循环，大循环，大环套小环，一层一层地解决问题。环套小环，一层一层地解决问题。 90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP P4.2.1 PDCA循环（续）PDCA循环的特点三 每通过一次每通过一次PDCA 循环，都要循环，都要进行总结，提出新目标，再进行第进行总结，提出新目标，再进行第二次二次PDCA 循环。循环。90909090改进改进执行执行计划计划检查检查C CA AD DP P达到新的水平达到新的水平改进改进( (修订标准修订标准) )维持原有水平

43、维持原有水平90909090改进改进执行执行计划计划检查检查C CA AD DP P4.2.1 PDCA循环（续）4.2.2 过程方法定义nISO9000-2000术语和定义 过程：过程： 一组将输入转化为输出的相互关联或相互作用一组将输入转化为输出的相互关联或相互作用的活动。的活动。 过程方法过程方法 系统地识别和管理组织所应用的过程，特别是这系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为些过程之间的相互作用，称之为“过程方法过程方法” 。活动活动测量、改进测量、改进责任人责任人资资 源源记记 录录输入输入输出输出过程方法模型：信息安全管理过程方法信息安全实现是一个大

44、的过程；信息安全实现过程的每一个活动也是一个过程；识别组织实现信息安全的每一个过程；对每一个信息安全过程的实施进行监控和测量；改进每一个信息安全过程。制定信息安全方针制定信息安全方针确定确定ISMS的范围的范围安全风险评估安全风险评估风险管理风险管理选择控制目标和控制措施选择控制目标和控制措施准备适用声明准备适用声明实 施测量、改进安全需求安全信息安全管理的过程网络信息安全管理的过程网络信息安全管理的过程网络信息安全管理的过程网络n将相互关联的过程作为一个系统来识别、理解和管理将相互关联的过程作为一个系统来识别、理解和管理n一个过程的输出构成随后过程输入的一部分一个过程的输出构成随后过程输入的

45、一部分n过程之间的相互作用形成相互依赖的过程网络过程之间的相互作用形成相互依赖的过程网络nPDCA循环可用于单个过程，也可用于整个过程网络循环可用于单个过程，也可用于整个过程网络领导重视 指明方向和目标 权威 预算保障，提供所需的资源 监督检查 组织保障 4.2.3其它重要原则领导重视 全员参与 信息安全不仅仅是IT部门的事； 让每个员工明白随时都有信息安全问题； 每个员工都应具备相应的安全意识和能力； 让每个员工都明确自己承担的信息安全责任；4.2.3 其它重要原则全员参与持续改进 信息安全是动态的，时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段 实现信息安全

46、目标的循环活动 4.2.3 其它重要原则持续改进 文件化 文件的作用：有章可循，有据可查 文件的类型：手册、规范、指南、记录 4.2.3 其它重要原则文件化 沟通意图，统一行动沟通意图，统一行动重复和可追溯重复和可追溯提供客观证据提供客观证据用于学习和培训用于学习和培训 文件的作用：有章可循，有据可查 文件的类型：手册、规范、指南、记录 - - 手册：向组织内部和外部提供关于信息安全管理体系的一手册：向组织内部和外部提供关于信息安全管理体系的一致信息的文件致信息的文件 - - 规范：阐明要求的文件规范：阐明要求的文件 - - 指南：阐明推荐方法和建议的文件指南：阐明推荐方法和建议的文件 - -

47、 记录：为完成的活动或达到的结果提供客观证据的文件记录：为完成的活动或达到的结果提供客观证据的文件 文件化4.2.3 其它重要原则文件化4.3 ISMS的实现方法4.3.1 ISMS总则4.3.2 建立ISMS框架4.3.3 ISMS实施4.3.4 ISMS体系文件4.3.5 文件的控制4.3.6 记录 The organization shall establish and maintain documented ISMS. This shall address the assets to be protected, the organizations approach to risk ma

48、nagement, the control objectives and controls, and the degree of assurance required. 组织应该建立并运行一套文件化的组织应该建立并运行一套文件化的ISMSISMS 确定组织需要保护的资产确定组织需要保护的资产 确定风险管理的方法确定风险管理的方法 确定风险控制的目标和控制措施确定风险控制的目标和控制措施 确定要达到的安全保证程度确定要达到的安全保证程度 3.1 General (总则总则) 4.3.1 ISMS总则 建设建设ISMSISMS的步骤：如下图的步骤：如下图 3.2 Establishing a ma

49、nagement framework(建立管理框架建立管理框架) 4.3.2 建立建立ISMS框架框架制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件 4.3.2 建立建立ISMS框架框架 一、目的：信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理， 二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视， 第一步第一步 制订信息安全方针制订信

50、息安全方针 4.3.2 建立建立ISMS框架框架 组织应定义信息安全方针。组织应定义信息安全方针。BS7799-2对对ISMS的要求：的要求：什么是信息安全方针？什么是信息安全方针？ 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。 信息安全方针 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针 4.3.2 建立建立ISMS框架框架 第一步第一步 制订信息安全方针制订信息安全方针l要经最高管理者批准和发布l体现了最高管理者对信息安全的承诺与支持l要传达给组织内所有的员工l要定期和适时进行