【正文】 不是 所有的控制措施適用于任何場(chǎng)合，它也不會(huì)考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對(duì)一個(gè)組織中所有人都 適用 方針 27 Why? ?有沒(méi)有遇到過(guò)這樣的事情？ ? 案例 1 ? 有單位領(lǐng)導(dǎo)說(shuō)：“聽(tīng)說(shuō)信息安全工作很重要，可是我不知道對(duì)于我們單位來(lái)說(shuō)到底有多重要，也不知道究竟有哪些信息是需要保護(hù)的。信息安全管理體系 中國(guó)信息安全測(cè)評(píng)中心 版本： 課程內(nèi)容 2 信息 安全 管理 信息安全 管理體系 信息安全管理控制措施 信息安全管理體系概念 信息安全 管理基礎(chǔ) 知識(shí) 體 ：信息安全管理 體系 ?知識(shí) 域：信息安全管理 體系概念 ? 理解信息安全管理體系（ ISMS）的概念和核心過(guò)程 ? 了解信息安全管理體系文檔要求 ? 了解 ISO/IEC 27000標(biāo)準(zhǔn)族 3 管理體系相關(guān)概念 4 ?體系 ? 相 互關(guān)聯(lián)和相互作用的一組 要素 （ ISO9000:2023 質(zhì)量管理體系 基礎(chǔ)和術(shù)語(yǔ)） ?管理體系： ? 建立方針和目標(biāo)并達(dá)到目標(biāo)的 體系 （ ISO9000:2023 質(zhì)量管理體系 基礎(chǔ)和術(shù)語(yǔ)） ? 為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的 框架 （ ISO/IEC 27000:2023 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和術(shù)語(yǔ)） 管理體系 5 ISO9000 質(zhì)量管理體系 ISO14000 環(huán)境管理體系 OHSAS 職業(yè)健康安全管理體系 ISO/IEC27000 信息安全管理體系 ISO/IEC20230 服務(wù)管理體系 ISO22023食品安全管理體系 管理體系 Management System 信息安全管理體系 ?什么是信息安全管理 體系 ? Information Security Management System， ISMS ? 是 管理體系方法在信息安全領(lǐng)域的運(yùn)用 6 信息安全 管理體系 ISMS 信息安全管理體系 ?信息安全管理體系 是 整個(gè)管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的 體系 ?一般 地，信息安全管理體系包括信息安全組織架構(gòu)、信息安全方針、信息安全規(guī)劃活動(dòng)、信息安全職責(zé)，以及信息安全相關(guān)的實(shí)踐、規(guī)程、過(guò)程和資源等要素， 這些要素既 相互關(guān)聯(lián)，又相互作用 7 信息安全管理體系的作用 ?對(duì)內(nèi) ? 形成 單位 可 自我持續(xù) 改進(jìn)的 信息安全管理 機(jī)制 ? 使 信息安全的角色和職責(zé)清晰，并落實(shí)到 人 ? 確保 實(shí)現(xiàn) 動(dòng)態(tài)的、系統(tǒng) 的、制度化 的 信息安全管理 ? 有利于 根本上 保證業(yè)務(wù)的連續(xù)性，提高市場(chǎng) 競(jìng)爭(zhēng)力 ?對(duì)外 ? 能夠 使客戶、業(yè)務(wù) 伙伴對(duì)單位信息安全 充滿 信心 ? 有助于 界定 外包雙方的信息安全 責(zé)任 ? 可以 使單位更好地 滿足審計(jì)要求 和 符合 法律 法規(guī) ? 保證 和外部 數(shù)據(jù) 交換中的信息安全 8 作用解釋 ?ISMS是 一 個(gè)通用的信息安全管理 指南 ? 不是 說(shuō)明“怎么做” 的 詳細(xì) 細(xì)節(jié) ? 而是 具有 普遍意義的安全操作規(guī)則 指南 ? 指導(dǎo) 單位 在信息安全管理方面要做什么 ， 如何 選擇適宜的安全管理控制 措施 ?ISMS過(guò)程 ? 信息安全管理體系標(biāo)準(zhǔn)要求建立 ISMS過(guò)程 ? 制定信息安全策略，確定體系范圍，明確管理職責(zé) ? 單位應(yīng)該實(shí)施、維護(hù)和持續(xù) 改進(jìn) 該體系，保持其有效性 9 ISMS過(guò)程 10 相關(guān)方 受控的 信息安全 信息安全 要求和期望 相關(guān)方 檢查 Check 建立ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 改進(jìn)Act 建立 ISMS ?建立 ISMS， PLAN ?主要工作 ? 定義 ISMS范圍和 邊界 ? 《 ISMS范圍說(shuō)明書 》 ：組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍 ? 制定 ISMS方針和策略 ? 實(shí)施風(fēng)險(xiǎn) 評(píng)估 ? 識(shí)別 風(fēng)險(xiǎn)、分析和評(píng)價(jià)風(fēng)險(xiǎn) 11 實(shí)施和運(yùn)行 ISMS ?實(shí)施和運(yùn)行 ISMS， DO ?主要工作 ? 制定風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 ? 制定 有效性測(cè)量程序 ? 管理 ISMS的運(yùn)行 12 監(jiān)視和評(píng)審 ISMS ?監(jiān)視和評(píng)審 ISMS， CHECK ?主要 工作 ? 日常監(jiān)視和 檢查 ? 有效性測(cè)量 ? 內(nèi)部審核 ? 風(fēng)險(xiǎn) 再 評(píng)估 ? 管理評(píng)審 13 保持和改進(jìn) ISMS ?保持和改進(jìn) ISMS， ACT ?主要 工作 ? 實(shí)施糾正和預(yù)防 措施 ? 持續(xù) 改進(jìn) ISMS ? 溝通 措施改進(jìn)情況 14 ?ISMS的 核心過(guò)程可以 概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評(píng)審你所做的事情的符合性 ： C 4. 采取糾正和預(yù)防措施，持續(xù)改進(jìn) ： A 用 PDCA來(lái)理解什么是信息安全管理體系 15 16 ?一級(jí)文檔：宏觀 方針性文檔 ?二級(jí)文檔 ：管控 程序及 管理制度性文檔 ?三級(jí)文檔：操作指南及作業(yè)指導(dǎo)書 類 ?四級(jí)文檔 ：體系運(yùn)行 的各種 記錄 下級(jí)文件應(yīng)支持上級(jí)文件。 ? 它們可以是行政、技術(shù)、管理、法律等方面的措施。信息安全主管部門應(yīng)當(dāng)根據(jù)各自部門的業(yè)務(wù)特點(diǎn)制定本系統(tǒng)內(nèi)具體的資產(chǎn)分類與分級(jí)方法，并根據(jù)分級(jí)和分類辦法制定明晰的資產(chǎn)清單 ? 敏感信息、關(guān)鍵信息 ? 資產(chǎn)的可審計(jì)性 ?計(jì)算機(jī)和網(wǎng)絡(luò)的運(yùn)行管理 33 34 Why? ?有沒(méi)有遇到過(guò)這樣的事情？ ? 案例 1 ? 我是一名網(wǎng)絡(luò)管理員，發(fā)現(xiàn)最近來(lái)自外部的病毒攻擊很猖獗，要是有 15萬(wàn)買個(gè)防毒墻就解決問(wèn)題了，找誰(shuí)要這筆錢，誰(shuí)來(lái)采購(gòu)？ ? 案例 2 ? 我是一名普通工作人員，我的內(nèi)網(wǎng)計(jì)算機(jī)上不了外網(wǎng)沒(méi)辦法打補(bǔ)丁，我該找誰(shuí)獲得幫助？ 應(yīng)該 有一群人，至少包括單位領(lǐng)導(dǎo)、技術(shù)部門和行政部門的 人 ， 組織 在一起，專門負(fù)責(zé)信息安全的 事 35 控制目標(biāo) ?控制目標(biāo) ? 內(nèi)部組織 ? 在組織內(nèi)部建立信息安全框架 ? 外部組織 ? 識(shí)別和控制外部合作 過(guò)程中的風(fēng)險(xiǎn) ，保證單位信息 和信息系統(tǒng)安全性 36 具體解釋 ?為有效實(shí)施信息安全管理，保障和實(shí)施系統(tǒng)的信息安全，需要建立相應(yīng)的組織架構(gòu) ?信息安全責(zé)任的重要性 ? 在一個(gè)機(jī)構(gòu)中，安全角色與責(zé)任的不明確是實(shí)施信息安全過(guò)程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步 37 控制措施 —— 內(nèi)部組織 ?內(nèi)部組織 ? 目標(biāo)：在組織內(nèi)管理信息安全 ?八 個(gè)控制措施 ? 管理層重視 ? 協(xié)調(diào)信息安全活動(dòng) ? 分配信息安全職責(zé) ? 新設(shè)備和系統(tǒng)授權(quán) ? 保密協(xié)議 ? 與政府部門的聯(lián)系 ? 與特定組織機(jī)構(gòu)的聯(lián)系 ? 信息安全的獨(dú)立評(píng)審 38 關(guān)鍵點(diǎn) ?高層管理者參與（如本單位信息化領(lǐng)導(dǎo)小組），負(fù)責(zé)重大決策，提供資源并對(duì)工作方向、職責(zé)分配給出清晰的說(shuō)明 ?不僅僅由信息化技術(shù)部門參與，與信息安全相關(guān)的部門（如行政、人事、安保、采購(gòu)、外聯(lián)）都應(yīng)參與到組織體系中各司其責(zé)，協(xié)調(diào)配合 39 劃分 內(nèi)部組織舉例 40 信息安全領(lǐng)導(dǎo)小組 信息技術(shù)部門 業(yè)務(wù)應(yīng)用部門 安全保衛(wèi)部門 人事行政部門 其他有關(guān)部門 信息 安全工