【正文】 3/3/8 信息系統(tǒng)安全管理基礎(chǔ) 組織體系 策略制度 遵循性 人 員 安 全 采 購(gòu) 管 理 投 資 和 預(yù) 算 管 理 持 續(xù) 性 管 理 環(huán) 境 設(shè) 備 緊 急 用 途 和 供 給 變更控制管理 信 息 技 術(shù) 戰(zhàn) 略 規(guī) 劃 變更應(yīng)用于系統(tǒng) 計(jì)劃組織 開(kāi)發(fā)采購(gòu) 實(shí)施交付 運(yùn)行維護(hù) 廢棄 信 息 技 術(shù) 戰(zhàn) 略 規(guī) 劃 系 統(tǒng) 操 作 物 理 訪 問(wèn) 運(yùn) 行 環(huán) 境 設(shè) 備 管 理 2023/3/8 的關(guān)系 ? 信息系統(tǒng)安全保障三大部分： ? 技術(shù)保障 ? 過(guò)程保障 ? 管理保障 ? 信息安全管理是信息系統(tǒng)安全保障的三大部分之一： ? 管理保障 ? 信息安全管理涉及到系統(tǒng)的整個(gè)生命周期 2023/3/8 信息安全標(biāo)準(zhǔn)介紹 ISO17799 ISO17799的歷史及發(fā)展 ISO17799:2023的內(nèi)容框架 BS77992:1999的內(nèi)容框架 ISO/IEC 17799:2023(BS77991:1999)、BS77992:199 BS77992:2023 之區(qū)別 2023/3/8 信息安全標(biāo)準(zhǔn)介紹 ? 信息安全標(biāo)準(zhǔn) ? 管理體系標(biāo)準(zhǔn) 2023/3/8 信息安全標(biāo)準(zhǔn) ? ISO74982(GB/) ? ISO13335 ? SSECMM (GB21827) ? ISO15408（ GB/T183362023） ? ISO17799 2023/3/8 ISO74982(GB/) ? 開(kāi)放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu) ? 由 ISO/ICE JTC1/SC21完成 ? 1982年開(kāi)始， 1988年結(jié)束， ISO發(fā)布了 ISO74982 ? 給出了基于 OSI參考模型的 7層協(xié)議上的安全體系結(jié)構(gòu) ? 其核心內(nèi)容是：為了保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安全交換信息的安全，它定義了該系統(tǒng)的 5大類(lèi)安全服務(wù)，以及提供這些服務(wù)的 8大類(lèi)安全機(jī)制及相應(yīng)的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)呐渲糜?OSI模型的 7層協(xié)議中。 2023/3/8 信息本身 信息處理設(shè)施 信息處理者 信息處理 過(guò)程 機(jī)密 可用 完整 總結(jié) 2023/3/8 請(qǐng)思考： 組織為什么要花錢(qián)實(shí)現(xiàn)信息安全？ 為什么需要信息安全 2023/3/8 組織自身業(yè)務(wù)的需要 ?自身業(yè)務(wù)和利益的要求 ?客戶(hù)的要求 ?合作伙伴的要求 ?投標(biāo)要求 ?競(jìng)爭(zhēng)優(yōu)勢(shì)，樹(shù)立品牌 ?加強(qiáng)內(nèi)部管理的要求 ?…… 2023/3/8 法律法規(guī)的要求 ?計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 ?知識(shí)產(chǎn)權(quán)保護(hù) ?互聯(lián)網(wǎng)安全管理辦法 ?網(wǎng)站備案管理規(guī)定 ?…… 2023/3/8 信息系統(tǒng)使命的要求 ? 信息系統(tǒng)本身具有特定的使命 ? 信息安全的目的就是使信息系統(tǒng)的使命得到保障 ? 。 2023/3/8 請(qǐng)思考： 目前，解決信息安全問(wèn)題，通常的做法是什么？ 實(shí)踐中的信息安全問(wèn)題 2023/3/8 “產(chǎn)品導(dǎo)向型”信息安全 ? 初始階段，解決信息安全問(wèn)題，通常的方法： ? 采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案； ? AntiVirus、 Firewall、 IDS Scanner?? ? 組織內(nèi)部安排 12人兼職負(fù)責(zé)日常維護(hù)，通常來(lái)自以技術(shù)為主的 IT部門(mén)； ? 更多的情況是幾乎沒(méi)有日常維護(hù) ? 存在的問(wèn)題 ? 需求難以確定 ? 保護(hù)什么、保護(hù)對(duì)象的邊界到哪里、應(yīng)該保護(hù)到什么程度 ?? ? 管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià) ? 通常用漏洞掃描（ Scanner）來(lái)代替風(fēng)險(xiǎn)評(píng)估 ? 有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對(duì)風(fēng)險(xiǎn)的態(tài)度 ?? ? “ 頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 2023/3/8 信息安全管理 ?ISO17799強(qiáng)調(diào)： “ Information security is a management process, not a technological process.” ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵； ? 產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最好的作用； ? 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全； ? 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要，也證明了管理的重要； ? 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)持續(xù)安全。 2023/3/8 ISO74982－安全體系結(jié)構(gòu) 加密 數(shù)字簽名 數(shù)據(jù)完整性 訪問(wèn)控制 數(shù)據(jù)交換 業(yè)務(wù)流填充 路由控制 公證 抗抵賴(lài) 數(shù)據(jù)保密性 數(shù)據(jù)完整性 訪問(wèn)控制 鑒別服務(wù) 物理層 鏈路層 表示層 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 會(huì)話層 安全機(jī)制 安全服務(wù) OSI參考模型 2023/3/8 ISO13335 IT安全管理 ? 分為 5個(gè)部分： ? ISO/IEC TR 133351：概念和模型 ? ISO/IEC TR 133352：管理和規(guī)劃 ? ISO/IEC TR 133353：管理技術(shù) ? ISO/IEC TR 133354：安全措施的選擇 ? ISO/IEC TR 133355：網(wǎng)絡(luò)安全性的管理指導(dǎo) ? 由 ISO/IEC JTC1/SC27完成 2023/3/8 SSECMM 信息系統(tǒng)安全工程能力成熟度模型 ? CMM－ Capability Maturity Model 首先用于軟件工程； ? 1993年 4月，由美國(guó) NSA資助，安全業(yè)界、 DOD、加拿大通信安全機(jī)構(gòu)共同組成項(xiàng)目組，研究把 CMM用于安全工程； ? 1996年 10月推出第一版， 97年 4月推出方法（ SSAM）第一版； 98年底推出第二版， 99年 4月推出 SSAM第二版； ? 用于信息系統(tǒng)安全的工程組織、采購(gòu)組織和評(píng)估機(jī)構(gòu) ? 5個(gè)能力級(jí)別， 11個(gè)過(guò)程區(qū) ? 2023年，出版了 SSECMM 2023/3/8 ? 5個(gè)能力級(jí)別： 1級(jí)：非正式執(zhí)行級(jí) 2級(jí)：計(jì)劃和跟蹤級(jí) 3級(jí)：充分定義級(jí) 4級(jí)：量化控制級(jí) 5級(jí)：持續(xù)改進(jìn)級(jí) 代表安全工程組織的 成熟度級(jí)別 ? 11個(gè)過(guò)程區(qū)： PA 01 管理安全控制 PA 02 評(píng)估影響 PA 03 評(píng)估安全風(fēng)險(xiǎn) PA 04 評(píng)估威脅 PA 05 評(píng)估脆弱性 PA 06 建立保證論據(jù) PA 07 協(xié)調(diào)安全 PA 08 監(jiān)視安全態(tài)勢(shì) PA 09 提供安全輸入 PA 10 指定安全要求 PA 11 驗(yàn)證和證實(shí)安全性 SSECMM 信息系統(tǒng)安全工程能力成熟度模型（續(xù)） 2023/3/8 ISO15408(GB/T18336) 信息技術(shù)安全性評(píng)估準(zhǔn)則 ? 通常簡(jiǎn)稱(chēng) CC－通用準(zhǔn)則， ISO15408:1999，GB/T18336:2023。作為 ISO或 IEC成員的各國(guó)團(tuán)體通過(guò)由各自組織設(shè)立的技術(shù)委員會(huì)參與國(guó)際標(biāo)準(zhǔn)的開(kāi)發(fā)，處理特殊領(lǐng)域的技術(shù)活動(dòng)。目的是為各個(gè)組織制定安全標(biāo)準(zhǔn)和有效的安全管理措施提供一個(gè)通用平臺(tái)，并建立組織間交易時(shí)的信心。 Availability Ensuring that authorized users have access to information and associated assets when required. 確保被授權(quán)的用戶(hù)在需要時(shí)可以訪問(wèn)信息和相關(guān)的資產(chǎn)。 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 2. Term and Definitions (術(shù)語(yǔ)和定義 ) statement of applicability (適用聲明 ) Critique of the objectives and controls applicable to the needs of the anization. 根據(jù)組織需要對(duì)所選的控制目標(biāo)和控制措施的說(shuō)明 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 3. Information security management system requirements (信息安全管理體系的要求 ) General (總則 ) Establishing a management framework(建立管理框架 ) Implementation(實(shí)施 ) Documentation (文檔化 ) Document control (文件控制 ) Records (記錄 ) BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 4. Detailed controls （詳細(xì)控制措施） Security policy 安全方針 Security Organizational安全組織 Asset classification and control 資產(chǎn)分類(lèi)與控制 Personnel security 人員安全 Physical and environmental security 物理和環(huán)境安全 Communications and operationa management 通信和操作管理 Access control 訪問(wèn)控制 Systems devlopment and maintenance 系統(tǒng)開(kāi)發(fā)和維護(hù) Business continuity management 業(yè)務(wù)連續(xù)性管理 Compliance 符合性 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 ISO/IEC 17799:2023(BS77991:1999)、BS77992:199 BS77992:2023 之區(qū)別 ? ISO/IEC 17799:2023(BS77991:1999)為指南 ? 指導(dǎo)如何進(jìn)行安全管理實(shí)踐 ? BS77992:1999和 BS77992:2023 為標(biāo)準(zhǔn) ? 建立的信息安全管理體系必須符合的要求 ? BS77992:2023 ? 更接近 ISO9000標(biāo)準(zhǔn)的格式 ? 控制目標(biāo)和控制措施作為附錄 2023/3/8 4. 信息安全管理體系方法 什么是 ISMS ISMS的重要原則 ISMS的實(shí)現(xiàn)方法 2023/3/8 什么是 ISMS ? ISMS： Information Security Management System 信息安全管理體系 ? ISO90002023 術(shù)語(yǔ)和定義 ? 組織 anization – 職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施 , 如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。對(duì)于沒(méi)有解決的問(wèn)題，應(yīng)提給下一個(gè) PDCA循環(huán)中去解決。 ? 過(guò)程方法 – 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱(chēng)之為“過(guò)程方法” 。要求各部門(mén)高度重視， 第一步 制訂信息安全方針 建立 ISMS框架 組織應(yīng)定義信息安全方針。 BS77992對(duì) ISMS的要求： 2023/3/8 ? 可以根據(jù)組織的實(shí)際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍； ? 信息安全管理范圍必須用正式的文件加以記錄。 建立 ISMS框架 第四步 風(fēng)險(xiǎn)管理 2023/3/8 ? 是否定義了組織的風(fēng)險(xiǎn)管理方法？ ? 是否定義了所需的信息安全保證程度？ ? 是否給出了可選擇的控制措施供管理層做決定？ 建立 ISMS框架 第四步 風(fēng)險(xiǎn)管理 2023/3/8 建立 ISMS框架 第五步 選擇控制目標(biāo)和控制措施 組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來(lái)滿足風(fēng)險(xiǎn)