【文章內(nèi)容簡介】 Definitions (術(shù)語和定義 ) statement of applicability (適用聲明 ) Critique of the objectives and controls applicable to the needs of the anization. 根據(jù)組織需要對所選的控制目標和控制措施的說明 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 3. Information security management system requirements (信息安全管理體系的要求 ) General (總則 ) Establishing a management framework(建立管理框架 ) Implementation(實施 ) Documentation (文檔化 ) Document control (文件控制 ) Records (記錄 ) BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 4. Detailed controls （詳細控制措施） Security policy 安全方針 Security Organizational安全組織 Asset classification and control 資產(chǎn)分類與控制 Personnel security 人員安全 Physical and environmental security 物理和環(huán)境安全 Communications and operationa management 通信和操作管理 Access control 訪問控制 Systems devlopment and maintenance 系統(tǒng)開發(fā)和維護 Business continuity management 業(yè)務(wù)連續(xù)性管理 Compliance 符合性 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 ISO/IEC 17799:2023(BS77991:1999)、BS77992:199 BS77992:2023 之區(qū)別 ? ISO/IEC 17799:2023(BS77991:1999)為指南 ? 指導如何進行安全管理實踐 ? BS77992:1999和 BS77992:2023 為標準 ? 建立的信息安全管理體系必須符合的要求 ? BS77992:2023 ? 更接近 ISO9000標準的格式 ? 控制目標和控制措施作為附錄 2023/3/8 4. 信息安全管理體系方法 什么是 ISMS ISMS的重要原則 ISMS的實現(xiàn)方法 2023/3/8 什么是 ISMS ? ISMS： Information Security Management System 信息安全管理體系 ? ISO90002023 術(shù)語和定義 ? 組織 anization – 職責、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施 , 如：公司、集團、商行、企事業(yè)單位、研究機構(gòu)、慈善機構(gòu)、代理商、社團、或上述組織的部分或組合。 ? 管理 management – 指揮和控制組織的協(xié)調(diào)的活動 ? 體系 system – 相互關(guān)聯(lián)和相互作用的一組要素 ? 管理體系 management system – 建立方針和目標并實現(xiàn)這些目標的體系 ? 管理學中的定義 ? 管理 – 是指通過計劃、組織、領(lǐng)導、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達到組織目標的過程。 2023/3/8 信息安全管理體系 ISMS定義 ?ISMS是： 在信息安全方面指揮和控制組織的以實現(xiàn)信息安全目標的相互關(guān)聯(lián)和相互作用的一組要素 。 ? 信息安全目標應(yīng)是可測量的 ? 要素可能包括 – 信息安全方針、策略 – 信息安全組織結(jié)構(gòu) – 各種活動、過程 ? 信息安全控制措施 ? 人力、物力等資源 – ……… 2023/3/8 要求 信息安全 分析改進 資源管理 信息安全實現(xiàn) 管理職責 輸入 輸出 信息安全管理體系的持續(xù)改進 信息安全管理體系框圖 信息安全管理體系框圖 2023/3/8 ISMS的重要原則 PDCA循環(huán) 過程方法 其它重要原則 2023/3/8 PDCA循環(huán) ： Plan — Do—Check—Act 計劃 實施 檢查 改進 P D A C PDCA循環(huán) 2023/3/8 PDCA循環(huán)（續(xù)） ? 又稱“戴明環(huán)” ,PDCA循環(huán)是能使任何一項活動有效進行的工作程序 : – P：計劃，方針和目標的確定以及活動計劃的制定； – D：執(zhí)行，具體運作，實現(xiàn)計劃中的內(nèi)容； – C：檢查，總結(jié)執(zhí)行計劃的結(jié)果，分清哪些對了，哪些錯了，明確效果，找出問題； – A：改進（或處理） ,對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定，并予以標準化，或制定作業(yè)指導書，便于以后工作時遵循；對于失敗的教訓也要總結(jié)，以免重現(xiàn)。對于沒有解決的問題，應(yīng)提給下一個 PDCA循環(huán)中去解決。 2023/3/8 PDCA循環(huán) 的特點一 按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán) 90處理執(zhí)行計劃檢查CAD PDCA循環(huán)（續(xù)） 2023/3/8 PDCA循環(huán) 的特點二 組織中的每個部分，甚至個人，均有一個 PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。 90CADP90CADP 90CAD PDCA循環(huán)（續(xù)） 2023/3/8 PDCA循環(huán) 的特點三 每通過一次 PDCA 循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次 PDCA 循環(huán)。 90 改進 執(zhí)行 計劃 檢查 C A D P 達到新的水平 改進 (修訂標準 ) 維持原有水平 90 改進 執(zhí)行 計劃 檢查 C A D P PDCA循環(huán)（續(xù)） 2023/3/8 過程方法定義 ? ISO90002023術(shù)語和定義 ? 過程： – 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。 ? 過程方法 – 系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為“過程方法” 。 2023/3/8 活動 測量、改進 責任人 資 源 記 錄 輸入 輸出 過程方法模型： 2023/3/8 信息安全管理過程方法 ?信息安全實現(xiàn)是一個大的過程； ?信息安全實現(xiàn)過程的每一個活動也是一個過程； ?識別組織實現(xiàn)信息安全的每一個過程； ?對每一個信息安全過程的實施進行監(jiān)控和測量； ?改進每一個信息安全過程。 2023/3/8 制定信息安全方針 確定 ISMS的范圍 安全風險評估 風險管理 選擇控制目標和控制措施 準備適用聲明 實 施 測量、改進 安全需求 安全 信息安全管理的過程網(wǎng)絡(luò) 2023/3/8 信息安全管理的過程網(wǎng)絡(luò) ? 將相互關(guān)聯(lián)的過程作為一個系統(tǒng)來識別、理解和管理 ? 一個過程的輸出構(gòu)成隨后過程輸入的一部分 ? 過程之間的相互作用形成相互依賴的過程網(wǎng)絡(luò) ? PDCA循環(huán)可用于單個過程，也可用于整個過程網(wǎng)絡(luò) 2023/3/8 領(lǐng)導重視 √ 指明方向和目標 √ 權(quán)威 √ 預算保障，提供所需的資源 √ 監(jiān)督檢查 √ 組織保障 －領(lǐng)導重視 2023/3/8 全員參與 √ 信息安全不僅僅是 IT部門的事； √ 讓每個員工明白隨時都有信息安全問題； √ 每個員工都應(yīng)具備相應(yīng)的安全意識和能力； √ 讓每個員工都明確自己承擔的信息安全責任； 其它重要原則－全員參與 2023/3/8 持續(xù)改進 √ 信息安全是動態(tài)的，時間性強 √ 持續(xù)改進才能有最大限度的安全 √ 組織應(yīng)該為員工提供持續(xù)改進的方法和手段 √ 實現(xiàn)信息安全目標的循環(huán)活動 其它重要原則－持續(xù)改進 2023/3/8 文件化 √ 文件的作用：有章可循，有據(jù)可查 √ 文件的類型：手冊、規(guī)范、指南、記錄 其它重要原則－文件化 ? 溝通意圖，統(tǒng)一行動 ? 重復和可追溯 ? 提供客觀證據(jù) ? 用于學習和培訓 ? 文件的作用：有章可循，有據(jù)可查 2023/3/8 ? 文件的類型：手冊、規(guī)范、指南、記錄 手冊：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件 規(guī)范：闡明要求的文件 指南：闡明推薦方法和建議的文件 記錄：為完成的活動或達到的結(jié)果提供客觀證據(jù)的文件 文件化 其它重要原則－文件化 2023/3/8 ISMS的實現(xiàn)方法 ISMS總則 建立 ISMS框架 ISMS實施 ISMS體系文件 文件的控制 記錄 2023/3/8 The anization shall establish and maintain documented ISMS. This shall address the assets to be protected, the anization’s approach to risk management, the control objectives and controls, and the degree of assurance required. ? 組織應(yīng)該建立并運行一套文件化的 ISMS ? 確定組織需要保護的資產(chǎn) ? 確定風險管理的方法 ? 確定風險控制的目標和控制措施 ? 確定要達到的安全保證程度 General (總則 ) ISMS總則 2023/3/8 建設(shè) ISMS的步驟：如下圖 Establishing a management framework(建立管理框架 ) 建立 ISMS框架 2023/3/8 制訂信息安全方針 方針文檔 定義ISMS范圍 進行風險評估 實施風險管理 選擇控制目標措施 準備適用聲明 第一步： 第二步： 第三步： 第四步： 第五步： 第六步： ISMS范圍 評估報告 文件 文件 文件 文件 文件 文件 文檔化 文檔化 聲明文件 建立 ISMS框架 2023/3/8 信息安全方針 一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標是對公司的信息安全進行全面管理， 二、公司總經(jīng)理 張未來先生 決定在整個公司范圍內(nèi)建立并實施信息安全管理體系。要求各部門高度重視， 第一步 制訂信息安全方針 建立 ISMS框架 組織應(yīng)定義信息安全方針。 BS77992對 ISMS的要求： 2023/3/8 什么是信息安全方針？ 信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標和方向，用于指導信息安全管理體系的建立和實施過程。 信息安全方針 建立 ISMS框架 第一步 制訂信息安全方針 2023/3/8 建立 ISMS框架 第一步 制訂信息安全方針 ? 要經(jīng)最高管理者批準和發(fā)布 ? 體現(xiàn)了最高管理者對信息安全的承諾與支持 ? 要傳達給組織內(nèi)所有的員工 ? 要定期和適時進行評審 信息安全方針 2023/3/8 目的和意義 ? 為組織提供了關(guān)注的焦點，指明了方向，確定了目標； ? 確保信息安全管理體系被充分理解和貫徹實施； ? 統(tǒng)領(lǐng)整個信息安全管理體系。 建立 ISMS框架 第一步 制訂信息安全方針 2023/3/8 信息安全方針的內(nèi)容 包括但不限于： ? 組織對信息安全的定義 ? 信息安全總體目標和范圍 ? 最高管理者對信息安全的承諾與支持的聲明 ? 符合相關(guān)標準、