【正文】 :25:1320:25:13January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 下午 8時(shí) 25分 :25January 23, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 1月 23日星期一 8時(shí) 25分 13秒 20:25:1323 January 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 95 舉例 ?用戶個(gè)人 隱私保護(hù)問題 ? 信息系統(tǒng)使用時(shí)，需要采集用戶數(shù)據(jù) ? 是否符合國家有關(guān)法律法規(guī)要求 ? 是否符合上市公司有關(guān)規(guī)范要求 ? 是否符合行業(yè)、單位內(nèi)部管理要求 96 謝謝，請(qǐng)?zhí)釂栴}！ 靜夜四無鄰，荒居舊業(yè)貧。信息安全主管部門應(yīng)當(dāng)根據(jù)各自部門的業(yè)務(wù)特點(diǎn)制定本系統(tǒng)內(nèi)具體的資產(chǎn)分類與分級(jí)方法，并根據(jù)分級(jí)和分類辦法制定明晰的資產(chǎn)清單 ? 敏感信息、關(guān)鍵信息 ? 資產(chǎn)的可審計(jì)性 ?計(jì)算機(jī)和網(wǎng)絡(luò)的運(yùn)行管理 33 34 Why? ?有沒有遇到過這樣的事情？ ? 案例 1 ? 我是一名網(wǎng)絡(luò)管理員，發(fā)現(xiàn)最近來自外部的病毒攻擊很猖獗，要是有 15萬買個(gè)防毒墻就解決問題了，找誰要這筆錢，誰來采購？ ? 案例 2 ? 我是一名普通工作人員，我的內(nèi)網(wǎng)計(jì)算機(jī)上不了外網(wǎng)沒辦法打補(bǔ)丁，我該找誰獲得幫助？ 應(yīng)該 有一群人，至少包括單位領(lǐng)導(dǎo)、技術(shù)部門和行政部門的 人 ， 組織 在一起，專門負(fù)責(zé)信息安全的 事 35 控制目標(biāo) ?控制目標(biāo) ? 內(nèi)部組織 ? 在組織內(nèi)部建立信息安全框架 ? 外部組織 ? 識(shí)別和控制外部合作 過程中的風(fēng)險(xiǎn) ，保證單位信息 和信息系統(tǒng)安全性 36 具體解釋 ?為有效實(shí)施信息安全管理，保障和實(shí)施系統(tǒng)的信息安全，需要建立相應(yīng)的組織架構(gòu) ?信息安全責(zé)任的重要性 ? 在一個(gè)機(jī)構(gòu)中，安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步 37 控制措施 —— 內(nèi)部組織 ?內(nèi)部組織 ? 目標(biāo)：在組織內(nèi)管理信息安全 ?八 個(gè)控制措施 ? 管理層重視 ? 協(xié)調(diào)信息安全活動(dòng) ? 分配信息安全職責(zé) ? 新設(shè)備和系統(tǒng)授權(quán) ? 保密協(xié)議 ? 與政府部門的聯(lián)系 ? 與特定組織機(jī)構(gòu)的聯(lián)系 ? 信息安全的獨(dú)立評(píng)審 38 關(guān)鍵點(diǎn) ?高層管理者參與（如本單位信息化領(lǐng)導(dǎo)小組），負(fù)責(zé)重大決策，提供資源并對(duì)工作方向、職責(zé)分配給出清晰的說明 ?不僅僅由信息化技術(shù)部門參與，與信息安全相關(guān)的部門（如行政、人事、安保、采購、外聯(lián)）都應(yīng)參與到組織體系中各司其責(zé)，協(xié)調(diào)配合 39 劃分 內(nèi)部組織舉例 40 信息安全領(lǐng)導(dǎo)小組 信息技術(shù)部門 業(yè)務(wù)應(yīng)用部門 安全保衛(wèi)部門 人事行政部門 其他有關(guān)部門 信息 安全工作和其他工作 一樣 ， 不是 某個(gè) 個(gè)人 、 某個(gè) 部門就可以完成的。信息安全管理體系 中國信息安全測(cè)評(píng)中心 版本： 課程內(nèi)容 2 信息 安全 管理 信息安全 管理體系 信息安全管理控制措施 信息安全管理體系概念 信息安全 管理基礎(chǔ) 知識(shí) 體 ：信息安全管理 體系 ?知識(shí) 域：信息安全管理 體系概念 ? 理解信息安全管理體系（ ISMS）的概念和核心過程 ? 了解信息安全管理體系文檔要求 ? 了解 ISO/IEC 27000標(biāo)準(zhǔn)族 3 管理體系相關(guān)概念 4 ?體系 ? 相 互關(guān)聯(lián)和相互作用的一組 要素 （ ISO9000:2023 質(zhì)量管理體系 基礎(chǔ)和術(shù)語） ?管理體系： ? 建立方針和目標(biāo)并達(dá)到目標(biāo)的 體系 （ ISO9000:2023 質(zhì)量管理體系 基礎(chǔ)和術(shù)語） ? 為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的 框架 （ ISO/IEC 27000:2023 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和術(shù)語） 管理體系 5 ISO9000 質(zhì)量管理體系 ISO14000 環(huán)境管理體系 OHSAS 職業(yè)健康安全管理體系 ISO/IEC27000 信息安全管理體系 ISO/IEC20230 服務(wù)管理體系 ISO22023食品安全管理體系 管理體系 Management System 信息安全管理體系 ?什么是信息安全管理 體系 ? Information Security Management System， ISMS ? 是 管理體系方法在信息安全領(lǐng)域的運(yùn)用 6 信息安全 管理體系 ISMS 信息安全管理體系 ?信息安全管理體系 是 整個(gè)管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的 體系 ?一般 地，信息安全管理體系包括信息安全組織架構(gòu)、信息安全方針、信息安全規(guī)劃活動(dòng)、信息安全職責(zé)，以及信息安全相關(guān)的實(shí)踐、規(guī)程、過程和資源等要素， 這些要素既 相互關(guān)聯(lián)，又相互作用 7 信息安全管理體系的作用 ?對(duì)內(nèi) ? 形成 單位 可 自我持續(xù) 改進(jìn)的 信息安全管理 機(jī)制 ? 使 信息安全的角色和職責(zé)清晰，并落實(shí)到 人 ? 確保 實(shí)現(xiàn) 動(dòng)態(tài)的、系統(tǒng) 的、制度化 的 信息安全管理 ? 有利于 根本上 保證業(yè)務(wù)的連續(xù)性，提高市場(chǎng) 競(jìng)爭(zhēng)力 ?對(duì)外 ? 能夠 使客戶、業(yè)務(wù) 伙伴對(duì)單位信息安全 充滿 信心 ? 有助于 界定 外包雙方的信息安全 責(zé)任 ? 可以 使單位更好地 滿足審計(jì)要求 和 符合 法律 法規(guī) ? 保證 和外部 數(shù)據(jù) 交換中的信息安全 8 作用解釋 ?ISMS是 一 個(gè)通用的信息安全管理 指南 ? 不是 說明“怎么做” 的 詳細(xì) 細(xì)節(jié) ? 而是 具有 普遍意義的安全操作規(guī)則 指南 ? 指導(dǎo) 單位 在信息安全管理方面要做什么 ， 如何 選擇適宜的安全管理控制 措施 ?ISMS過程 ? 信息安全管理體系標(biāo)準(zhǔn)要求建立 ISMS過程 ? 制定信息安全策略，確定體系范圍，明確管理職責(zé) ? 單位應(yīng)該實(shí)施、維護(hù)和持續(xù) 改進(jìn) 該體系，保持其有效性 9 ISMS過程 10 相關(guān)方 受控的 信息安全 信息安全 要求和期望 相關(guān)方 檢查 Check 建立ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 改進(jìn)Act 建立 ISMS ?建立 ISMS， PLAN ?主要工作 ? 定義 ISMS范圍和 邊界 ? 《 ISMS范圍說明書 》 ：組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍 ? 制定 ISMS方針和策略 ? 實(shí)施風(fēng)險(xiǎn) 評(píng)估 ? 識(shí)別 風(fēng)險(xiǎn)、分析和評(píng)價(jià)風(fēng)險(xiǎn) 11 實(shí)施和運(yùn)行 ISMS ?實(shí)施和運(yùn)行 ISMS， DO ?主要工作 ? 制定風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 ? 制定 有效性測(cè)量程序 ? 管理 ISMS的運(yùn)行 12 監(jiān)視和評(píng)審 ISMS ?監(jiān)視和評(píng)審 ISMS， CHECK ?主要 工作 ? 日常監(jiān)視和 檢查 ? 有效性測(cè)量 ? 內(nèi)部審核 ? 風(fēng)險(xiǎn) 再 評(píng)估 ? 管理評(píng)審 13 保持和改進(jìn) ISMS ?保持和改進(jìn) ISMS， ACT ?主要 工作 ? 實(shí)施糾正和預(yù)防 措施 ? 持續(xù) 改進(jìn) ISMS ? 溝通 措施改進(jìn)情況 14 ?ISMS的 核心過程可以 概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評(píng)