CISP0301信息安全管理基础与管理体系_v30

来源:实验报告 发布时间:2020-01-06 09:05:49 点击:
信息安全管理基础与管理体系 培训机构名称 讲师姓名 版本3.0 发布日期2014-12-1 生效日期2015-1-1 课程内容 2 信息安全 管理基础 知识体知识域 信息安全管理 方法与实施 知识子域 信息安全管理方法 信息安全管理作用 信息安全管理基本概念 信息安全管理实施 信息安全管理 概述 知识域信息安全管理概述 知识子域 信息安全管理基本概念 v 理解管理、信息安全管理的概念,理解信息安全管理 的对象 v 理解以建立体系的方式实施信息安全管理的必要性 v 理解体系、管理体系、信息安全管理体系的概念 3 信息安全管理的定义 v信息 v信息安全 v管理 v信息安全管理 4 管理、信息安全管理 v 管理 指挥和控制组织的协调的活动。

(-- ISO90002005 质量管理体系 基础和术语) 管理者为了达到特定目的而对管理对象进行的计划、组织 、指挥、协调和控制的一系列活动。

v 信息安全管理 管理者为实现信息安全目标(信息资产的CIA等特性,以及 业务运作的持续)而进行的计划、组织、指挥、协调和控 制的一系列活动。

5 信息安全管理的对象 6 n信息安全管理的对象包括人员在内的各类信息相关资 产。

规则 人员 目标组织 以建立体系的方式实施信息安全管 理的必要性 7 n信息安全的攻击和防护严重不对称,相对来说攻击 成功很容易,防护成功却极为困难 n信息安全水平的高低遵循木桶原理信息安全水平 有多高,取决于防护最薄弱的环节 信息安全水平 被侵害的资产 防护措施 信息安全管理体系的定义 v体系 v管理体系 v信息安全管理体系 8 信息安全管理体系的定义 v 体系相互关联和相互作用的一组要素。

(-- ISO90002005 质量管理体系 基础和术语) v 管理体系 建立方针和目标并达到目标的体系。

(-- ISO90002005 质量管理体系 基础和术语) 为达到组织目标的策略、程序、指南和相关资源的框架。

(-- ISO/IEC 270002009 信息技术 安全技术 信息安全管理体系 概述和术语) v 信息安全管理体系 ISMSInation Security Management System 整体管理体系的一部分,基于业务风险的方法,来建立、 实施、运作、监视、评审、保持和改进信息安全。

(-- ISO/IEC 270002009 信息技术 安全技术 信息安全管理体系 概述和术语) 建立信息安全方针和目标并达到这些目标的体系。

为达到组织信息安全目标的策略、程序、指南和相关资源的框架。

9 10 v 信息安全管理体系,包括的要素有 信息安全组织架构 信息安全方针 信息安全规划活动 信息安全职责 信息安全相关的实践、规程、过程和资源 ... ... v 这些要素既相互关联又相互作用 信息安全管理体系的构成要素 信息安全管理体系的特点 v 信息安全管理体系要求组织通过确定信息安全管理体系范 围,制定信息安全方针,明确管理职责,以风险评估为基 础选择控制目标和措施等一系列活动来建立信息安全管理 体系 v 体系的建立基于系统、全面、科学的信息安全风险评估, 体现以预防控制为主的思想,强调遵守国家有关信息安全 的法律、法规及其他合同方面的要求 v 强调全过程和动态控制,本着控制费用与风险平衡的原则 合理选择安全控制方式;
强调保护组织所拥有的关键性信 息资产,而不是全部信息资产,确保信息的保密性、完整 性和可用性,保持组织的竞争优势和业务的持续性 11 12 v 狭义的信息安全管理体系指按照ISO27001标准定义 的ISMS v 广义的信息安全管理体系泛指任何一种有关信息安 全的管理体系 狭义和广义的信息安全管理体系 知识域信息安全管理概述 知识子域 信息安全管理作用 v 理解信息安全管理的重要作用 v 理解信息安全管理体系的作用 v 理解实施信息安全管理的关键成功因素 13 信息安全管理的作用 14 n (一)信息安全管理是组织整体管理 的重要、固有组成部分,是组织实现 其业务目标的重要保障 15 信息系统是人机交互系统 设备的有效利用是人为的管理过程 信息安全管理的作用 应对风险需要人为的管理过程 信息安全管理的作用 v 如今,信息安全问题已经成为组织业务正常运营和持续发 展的最大威胁 v 信息安全问题本质上是人的问题,单凭技术是无法实现从 “最大威胁”到“最可靠防线”转变的 v 实现信息安全是一个多层面、多因素的过程,也取决于制 定信息安全方针策略标准规范、建立有效的监督审计机制 等多方面非技术性努力 v 如果组织想当然地制定一些控制措施和引入某些技术产品 ,难免存在挂一漏万、顾此失彼的问题,使信息安全这只 “木桶”出现若干“短板”,从而无法提高信息安全水平 16 信息安全管理的作用 v 信息安全管理,是组织完整的管理体系中一个重要的环节 ,它构成了信息安全具有能动性的部分 v理解并重视管理对于信息安全的关键作用,制定适宜的、 易于理解、方便操作的安全策略对实现信息安全目标、进 而实现业务目标至关重要 v组织建立一个管理框架,让好的安全策略在这个框架内实 施,并不断得到修正,才可能为业务的正常持续运作提供 可靠的信息安全保障 17 信息安全管理的作用 18 n (二)信息安全管理是信息安全技术 的融合剂,保障各项技术措施能够发 挥作用 信息安全管理的作用 19 v如果你把钥匙落在锁眼上会怎样 v技术措施需要配合正确的使用才能 发挥作用 保险柜就一定安全吗 20 精心设计的网络 防御体系,因违 规外连形同虚设 防火墙能解决这样的问题吗 信息安全管理的作用 v解决信息安全问题,成败通常取决于两个因素,一个是技 术,另一个是管理 v安全技术是信息安全控制的重要手段,但光有安全技术还 不行,要让安全技术发挥应有的作用,必然要有适当的管 理程序,否则,安全技术只能趋于僵化和失败 v说安全技术是信息安全的构筑材料,信息安全管理就是粘 合剂和催化剂 v技术和产品是基础,管理才是关键 v产品和技术,要通过管理的组织职能才能发挥最佳作用 信息安全管理的作用 21 v技术不高但管理良好的系统远比技术高超但管理混乱的系 统安全 v只有将有效的安全管理从始至终贯彻落实于安全建设的方 方面面,信息安全的长期性和稳定性才能有所保证 v根本上说,信息安全是个管理过程,而不是技术过程 信息安全管理的作用 3 3分技术分技术 7 7分管理分管理 v人们常说,三分技术,七分 管理,可见管理对信息安全 的重要性 22 信息安全“技管并重”的原则 v对于信息安全,到底是技术更重要,还是管理更重要 v强调信息安全管理,并不是要削弱信息安全技术的作用 ,开展信息安全管理要处理好管理和技术的关系 v技管并重。

“坚持管理与技术并重”是我国加强信息安全保 障工作的主要原则之一 23 信息安全管理的作用 24 n (三)信息安全管理能预防、阻止或 减少信息安全事件的发生 信息安全管理的作用 v统计结果显示,在所有信息安全事故中,只有2030是由 于黑客入侵或其他外部原因造成的,7080是由于内部员 工的疏忽或有意泄密造成的 v统计结果表明,现实世界里大多数安全事件的发生和安全 隐患的存在,与其说是技术原因,不如说是管理不善造成 的 v因此,防止发生信息安全事件不应仅从技术着手,同时更 应加强信息安全管理 25 安全安全不是不是产品的简单堆积产品的简单堆积 ,,也不是也不是一次性的静态过一次性的静态过 程,程,它是它是人员、技术、操人员、技术、操 作三者紧密结合的作三者紧密结合的系统工系统工 程程,是不断演进、循环发,是不断演进、循环发 展的展的动态过程。动态过程。

对信息安全的正确理解 26 信息安全管理体系的作用 对内 v能够保护关键信息资产和知识产权,维持竞争优势 v在系统受侵袭时,确保业务持续开展并将损失降到最低程度 v建立起信息安全审计框架,实施监督检查 v建立起文档化的信息安全管理规范,实现有“法”可依,有章 可循,有据可查 v强化员工的信息安全意识,建立良好的安全作业习惯,培育 组织的信息安全企业文化 v按照风险管理的思想建立起自我持续改进和发展的信息安全 管理机制,用最低的成本,达到可接受的信息安全水平,从 根本上保证业务的持续性 27 信息安全管理体系的作用 对外 v能够使各利益相关方对组织充满信心 v能够帮助界定外包时双方的信息安全责任 v可以使组织更好地满足客户或其他组织的审计要求 v可以使组织更好地符合法律法规的要求 v若通过了ISO27001认证,能够提高组织的公信度 v可以明确要求供应商提高信息安全水平,保证数据交换中 的信息安全 28 实施信息安全管理的关键成功因素CSF v 组织的信息安全方针和活动能够反映组织的业务目标 v 组织实施信息安全的方法和框架与组织的文化相一致 v 管理者能够给予信息安全实质性的、可见的支持和承诺 v 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解 v 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识 v 向全员和其他相关方分发并宣贯信息安全方针、策略和标准 v 管理者为信息安全建设提供足够的资金 v 向全员提供适当的信息安全培训和教育 v 建立有效的信息安全事件管理过程 v 建立有效的信息安全测量体系 29 知识域信息安全管理方法与实施 知识子域 信息安全管理方法 v 理解风险管理是信息安全管理的基本方法,理解风险 评估是信息安全管理的基础,风险处理是信息安全管 理的核心,理解控制措施是管理风险的具体手段 v 理解过程方法是信息安全管理的基本方法,理解过程 和过程方法的含义,理解PDCA模型 30 风险评估是信息安全管理的基础 v风险评估主要对ISMS范围内的信息资产进行鉴定和估 价,然后对信息资产面对的各种威胁和脆弱性进行评 估,同时对已存在的或规划的安全控制措施进行界定 v信息安全管理体系的建立需要确定信息安全需求 v信息安全需求获取的主要手段就是安全风险评估 v信息安全风险评估是信息安全管理体系建立的基础, 没有风险评估,信息安全管理体系的建立就没有依据 31 风险处理是信息安全管理的核心 v风险处理是对风险评估活动识别出的风险进行决 策,采取适当的控制措施处理不能接受的风险, 将风险控制在可按受的范围 v风险评估活动只能揭示组织面临的风险,不能改 变风险状况 v只有通过风险处理活动,组织的信息安全能力才 会提升,信息安全需求才能被满足,才能实现其 信息安全目标 v信息安全管理的核心就是这些风险处理措施的集 合 32 风险管理是信息安全管理的根本方法 33 v应对风险评估的结果进行相应的风险处理。本质 上,风险处理的最佳集合就是信息安全管理体系 的控制措施集合 v梳理出这些风险控制措施集合的过程也就是信息 安全管理体系的建立过程 v周期性的风险评估与风险处理活动即形成对风险 的动态管理 v动态的风险管理是进行信息安全管理、实现信息 安全目标、维持信息安全水平的根本方法 控制措施是管理风险的具体手段 34 v管理风险的具体手段是控制措施 v风险处理时,需要选择并确定适当的控制目标和 控制措施。只有落实适当的控制措施,那些不可 接受的高风险才能降低到可以接受的水平之内 控制措施的类别 35 v从手段来看,可以分为技术性、管理性、物理性 、法律性等控制措施 v从功能来看,可以分为预防性、检测性、纠正性 、威慑性等控制措施 v从影响范围来看,常被分为安全方针、信息安全 组织、资产管理、人力资源安全、物理和环境安 全、通信和操作管理、访问控制、信息系统获取 开发和维护、信息安全事件管理、业务连续性管 理和符合性11个类别/域 n过程 process 一组将输入转化为输出的相互关

推荐访问:二十一 二十一 二十一
上一篇:新部编版四年级语文下册1.古诗《四时田园杂兴(其二十五)》教学课件
下一篇:最新实施学校自主发展规划自查报告-范文精品

Copyright @ 2013 - 2018 韩美范文网- 精品教育范文网 All Rights Reserved

韩美范文网- 精品教育范文网 版权所有 湘ICP备11019447号-73