【文章內容簡介】 查 C A D P PDCA循環(huán)的特征與作用 ?PDCA循環(huán)，能夠提供一種優(yōu)秀的過程方法，以實現(xiàn)持續(xù)改進 ?遵循 PDCA循環(huán)， 能使任何一項活動都有效地進行 PDCA循環(huán)的作用 42 知識域：信息安全管理方法與實施 知識子域： 信息安全管理 實施 ?理解建設信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法 ?理解建設信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法 ?了 解基于 NIST SP 800進行信息安全建設是實施信息安全管理的一種方法 43 ? ISMS是一種常見的對組織信息安全進行全面、系統(tǒng)管理的方法 ? ISMS是由 ISO27001定義的一種有關信息安全的管理體系，是一種典型的基于風險管理和過程方法的管理體系 ?周期性的風險評估、內部審核、有效性測量、管理評審，是 ISMS規(guī)定的四個必要活動，能確保 ISMS進入良性循環(huán)、持續(xù)自我改進 信息安全管理體系 44 信息安全管理體系持續(xù)改進的 PDCA循環(huán)過程 45 ?信息安全管理體系是 PDCA動態(tài)持續(xù)改進的一個循環(huán)體 規(guī)劃和建立 實施和運行 監(jiān)視和評審 保持和改進 輸入 相關方 信息安全要求和期望 相關方 受控的信息安全 輸出 45 ?ISMS的核心內容可以概括為 4句話 1. 規(guī)定你應該做什么并形成文件 ： Plan 2. 做文件已規(guī)定的事情 ： Do 3. 評審你所做的事情的符合性 ： Check 4. 采取糾正和預防措施，持續(xù)改進 ： Act 用 PDCA來理解什么是信息安全管理體系 46 47 ISO/IEC 27000標準族 27000~27003 27004~27008 27000 信息安全管理體系 概述和術語 27001 信息安全管理體系要求 27002 信息安全 控制措施實用規(guī)則 27003 信息安全管理體系 實施指南 27004 信息安全管理測量 27005 信息安全風險管理 27006 提供信息安全管理體系審核和認證機構的要求 27007 信息安全管理體系 審核指南 27008 信息安全管理體系 控制措施審核員指南 27001 27002 27000 27006 27005 27003 27004 信息安全管理體系基本原理和詞匯 ? ISO27000標準族日益完善，已經開發(fā)和計劃開發(fā)的標準有 60余項 ?信息安全等級保護也是一種常見的對組織的信息安全進行全面、系統(tǒng)管理的實施方法 ?依據(jù)《計算機信息系統(tǒng)安全保護條例》對信息安全進行全面管理的一套機制 ?將信息系統(tǒng)按照重要性和受破壞危害程度分成五個安全保護等級，不同保護等級的系統(tǒng)分別給予不同級別的保護 ?系統(tǒng) 定級、安全建設 /整改、自查、等級測評、 系統(tǒng)備案和監(jiān)督檢查是信息安全等級保護的六個規(guī)定活動 信息安全等級保護 48 ?參照 NIST SP 800進行建設 也是一種常見的對組織的信息安全進行全面、系統(tǒng)管理的實施方法 ? NIST SP 800是由美國國家標準與技術研究院發(fā)布的一系列特別出版物（ Special Publications， SP） ，是關于計算機安全的指南文檔 ?美國 《聯(lián)邦信息安全管理法案》（ Federal Information Security Management Act， FISMA），專門指定 NIST負責開展信息安全標準、指導方針的制定 NIST SP 800規(guī)范 49 ? SP 80037描述了此系列規(guī)范遵從的 風險管理框架 NIST SP 800規(guī)范 50 安 全 控 制監(jiān) 視風 險 管 理 框 架信 息 系 統(tǒng)分 類安 全 控 制選 擇安 全 控 制實 施安 全 控 制評 估信 息 系 統(tǒng)授 權起 始 點? SP 80037 給出了遞升 的 風險管理方法 NIST SP 800規(guī)范 51 戰(zhàn) 略 風 險階 梯 1組 織（ 治 理 ）階 梯 2使 命 / 業(yè) 務 過 程（ 信 息 和 信 息 流 ）階 梯 3信 息 系 統(tǒng)（ 運 行 環(huán) 境 ）戰(zhàn) 術 風 險? 多 層 全 組 織 的 風 險 管 理? 由 風 險 執(zhí) 行 官 （ 職 務 ） 實 施 ? 與 業(yè) 務 體 系 結 構 和 信 息 安 全 體 系 結 構 緊 耦 合? 系 統(tǒng) 開 發(fā) 生 命 周 期 的 關 注 ? 遵 守 紀 律 和 安 排 的 過 程? 靈 活 機 敏 的 執(zhí) 行三種典型信息安全管理實施方法的 區(qū)別和聯(lián)系 52 應用對象 應用特點 ISMS 各種類型的組織（有體系建立需求） 完全以市場化需求為主，不具備強制性。以風險管理方法為基礎 ， 如果實施體系認證，必須完全滿足 27001標準要求 等級保護 國家基礎網(wǎng)絡和重要信息系統(tǒng) 作為我國的一項基礎制度加以推行，有一定強制性。主要目標是有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全 NIST SP 800 聯(lián)邦機構或非政府組織 與 FIPS不同，是非強制性的。但聯(lián)邦機構應采納 FIPS中要求使用的 NIST SP以及 OMB要求的特定 NIST SP。 以風險管理方法為基礎 ， 應用時有一定的靈活性 課程內容 53 知識體 知識域 知識子域 信息安全 管理體系 信息安全 管理體系建設 信息安全管理體系認證 文檔控制 管理職責 規(guī)劃與建立 ISMS 信息安全 管理體系基礎 內部審核和管理評審 信息安全 控制措施 實施和運行 ISMS 監(jiān)視和評審 ISMS 保持和改進 ISMS 知識域：信息安全管理體系基礎 知識子域： 管理職責 ?理解管理者履行管理職責對成功實施信息安全管理體系（ ISMS）的重要推動作用 ?掌握實施 ISMS過程中管理者應承擔的管理職責的主要內容 54 管理者履行管理職責的重要作用 ?管理層 切實 履行相應的管理職責是 ISMS能夠成功實施的最關鍵因素， 會對 ISMS建設產生推動作用 ?管理者提供足夠的資源是對 ISMS建設實質性的支持 55 主要管理職責 ?承擔并履行職責 ? 制定并頒布信息安全方針 ? 確保 ISMS目標和相應的計劃得以制定 ? 建立信息安全的角色和職責 ? 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性 ? 決定風險可接受級別和風險可接受準則 ? 確保 ISMS內部審核的執(zhí)行 ? 實施 ISMS的管理評審 ?提供足夠資源 ? 資金 ? 能勝任相關工作的人員（通過提供培訓、教育） 56 知識域：信息安全管理體系基礎 知識子域： 文檔控制 ?理解文檔化對實施 ISMS的重要性 ?理解風險評估結果是編制 ISMS文件的依據(jù) ?了解對 ISMS文件和記錄進行保護和控制的常規(guī)措施 57 文檔化對實施 ISMS的重要性 ?文檔包括文件 (如方針、策略、標準、指南等 )和記錄 ?文件 是 ISMS的一個關鍵要素， 是 組織內部的“法”，也是 ISMS審核的依據(jù) ?記錄 是文件執(zhí)行情況的客觀證據(jù)，為各項控制措施是否有效實施、 ISMS是否有效運行提供客觀證據(jù) ?層次化的文檔是 ISMS建設的直接體現(xiàn)，也是 ISMS建設的成果之一 ?應對文件和記錄進行控制 58 文件編制依據(jù) ?風險評估的結果是文件編制的直接依據(jù) ?有風險的地方才需要管理和控制 ?依據(jù)風險評估結果編制的文件體系才是最適合的、最需要的 59 易于管理和維護的 ISMS層次化文檔結構 方針 、 手冊等 管理制度 、 程序 、 策略文件等 操作規(guī)范 、 規(guī)程 、 作業(yè)指導書 、 模板文件等 計劃 、 表格 、 報告 、 各種運行 /檢查記錄 、 日志文件等 一級文件 二級文件 三級文件 四級文件 ?一級文件：方針性文件 ?二級文件：信息安全管控程序、管理規(guī)定性文件 ?三級文件：操作指南、作業(yè)指導書類 ?四級文件：體系運行的各種記錄 下級文件應支持上級文件 60 文件控制 ?文件在發(fā)布以前，應得到相應級別管理層的批準 ?定期評審、更新并再次得到批準，當發(fā)生重大變化或重大信息安全事件時應及時評審 和 修訂 ?對文件的修訂和修訂狀態(tài)、版本進行標識 ， 確保員工使用文件的最新版本 ?標明每份文件的密級和分發(fā)范圍 61 記錄控制 ?明確 記錄的保存環(huán)境要求 ?明確 保存期限要求 ?明確 訪問控制要求 ?明確 檢索要求 （ 比如