【文章內(nèi)容簡(jiǎn)介】 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 七、建立信息安全管理體系 人們逐漸認(rèn)識(shí)到安全管理的重要性，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 火龍果 ? 整理 . ? 信息安全管理體系的定義 ? 信息安全管理體系（ ISMS： Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。 ? ISMS相對(duì)應(yīng)的 BS 7799 標(biāo)準(zhǔn)在國(guó)際上得到了廣泛的應(yīng)用，目前引標(biāo)準(zhǔn)已被采納為國(guó)際標(biāo)準(zhǔn) ISO17799:2023 ISO27001:2023。 ? 在 ISO17799中 信息安全主要指信息的機(jī)密性 (Confidentiality)、完整性(Integrity)和可用性 (Availability)的保持。 用木桶原理說(shuō)明 ISMS 火龍果 ? 整理 . 符合性 （ Co m p li a n c e ）業(yè)務(wù)連續(xù)性管理 （ Bu s in e s s c o n t in u it y m a n a g e m e n t ）信息安全事故管理 （ I n f o r m a t io n s e c u r it y i n c id e n t m a n a g e m e n t ）訪(fǎng)問(wèn)控制 （ A c c e s s c o n t r o l ）人力資源安全（ Hu m a n r e s o u r c e ss e c u r it y ）物理和環(huán)境安全（ P h y s ic a l a n de n v ir o n m e n t a ls e c u r it y ）通信和操作安全（ Co m m u n ic a t io n sa n d o p e r a t io n sM a n a g e m e n t ）信息系統(tǒng)采集開(kāi)發(fā)和維護(hù)（ I n f o r m a t io n s y s t e ma c q u is it io n , d e v e lo p m e n ta n d m a in t e n a n c e ）資產(chǎn)管理 （ A s s e t m a n a g e m e n t ）信息安全的組織 （ Or g a n izi n g i n f o r m a t io n s e c u r it y ）安全策略 （ S e c u r it y P o li c y ）? ISMS “ 木桶 ” 由哪些 “ 板 ” 組成？ ? 類(lèi)似于質(zhì)量管理體系的 ISO9000標(biāo)準(zhǔn)， ISMS也有相應(yīng)的國(guó)際標(biāo)準(zhǔn)ISO27001，它確定了 ISMS的 11個(gè)安全領(lǐng)域及 133個(gè)相應(yīng)的控制措施。 火龍果 ? 整理 . ? ISO17799及 ISO27001的內(nèi)容 ? ISO17799:2023 信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全； ? ISO27001:2023 信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤? 獲得 BS7799和 ISO27001認(rèn)證的組織 火龍果 ? 整理 . ISO17799 信息安全 BS15000 IT服務(wù)管理 職業(yè)安全健康管理體系指導(dǎo)意見(jiàn) OHSAS18000 財(cái)務(wù)管理體系 BS8600 客戶(hù)滿(mǎn)意 管理體系 ISO100015培訓(xùn)體系 人力資源管理體系 ISO9000 ISO14001 綜合管理體系 戰(zhàn)略和投資管理 戰(zhàn)略和投資管理體系 行業(yè)強(qiáng)制性管理體系及產(chǎn)品認(rèn)證如 QS9000，ISMC， ISO17799與其他標(biāo)準(zhǔn)對(duì)比 ? ISO27001與其他標(biāo)準(zhǔn)的融合 火龍果 ? 整理 . ? ISMS體系設(shè)計(jì) ? 在組織中要實(shí)現(xiàn)信息安全，比較切實(shí)可行的第一步的是按照PDCA的原則建立信息安全管理體系。 ? 如果沒(méi)有一個(gè)完整的管理體系和有效的過(guò)程來(lái)保證組織中的人員能理解他們的安全責(zé)任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。 火龍果 ? 整理 . 定 義 安 全 方 針定 義 I S M S的 范 圍實(shí) 施 風(fēng) 險(xiǎn) 評(píng) 估風(fēng) 險(xiǎn) 管 理選 擇 控 制 目 標(biāo)和 實(shí) 施 控 制準(zhǔn) 備 適 用 性聲 明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 針 文 檔I S M S 范 圍 文 檔風(fēng) 險(xiǎn) 評(píng) 估 文 檔結(jié) 果 與 結(jié) 論選 擇 控 制適 用 性 聲 明識(shí) 別 資 產(chǎn)風(fēng) 險(xiǎn) 管 理 策 略控 制 概 要威 脅 、 脆 弱 點(diǎn)資 產(chǎn) 影 響組 織 風(fēng) 險(xiǎn) 管 理 方 法需 要 保 護(hù) 的 程 度B S 7 7 9 9 中 的 控 制其 他 控 制 措 施? ISMS建設(shè)過(guò)程： ? 建立 ISMS首先要建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè) ? 從信息系統(tǒng)本身出發(fā)，通過(guò)建立資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。 體系運(yùn)行 體系審核 管理評(píng)審 體系認(rèn)證 第七步 第八步 第九步 第十步 運(yùn)行說(shuō)明 內(nèi)審報(bào)告 外審報(bào)告 認(rèn)證證書(shū) 火龍果 ? 整理 . ? ISMS體系文件編寫(xiě) ? 對(duì) ISMS體系的設(shè)計(jì)首先是以 規(guī)范化的 ISMS體系文件的形式表現(xiàn)出來(lái)。 把有關(guān) ISMS的重要內(nèi)容用文件的形式表述出來(lái)，就形成了組織的 ISMS體系文件。 ? ISMS體系文件是實(shí)施信息安全管理所必需的結(jié)構(gòu)、規(guī)則、過(guò)程和資源等因素所組成的有機(jī)總體，有效的信息安全管理需要明確管理的具體目標(biāo)與范圍、流程與活動(dòng)、人員與職責(zé)、資源與條件等內(nèi)容 ? ISMS體系文件的作用 ? 保護(hù)信息安全的指南 ? 對(duì)信息安全進(jìn)行審核的依據(jù) ? 安全管理水平不斷改進(jìn)的保障 ? 促進(jìn)安全培訓(xùn)工作的開(kāi)展 火龍果 ? 整理 . ? ISMS體系文檔的組成 四級(jí)文件 三級(jí)文件 二級(jí)文件 一級(jí) 方針、策略文件 ISMS體系文件 規(guī)范、程序 作業(yè)指導(dǎo)書(shū)、記錄、表單 火龍果 ? 整理 . ? ISMS的正式運(yùn)行 ? ISMS體系文件編制完成后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段 ? 在試運(yùn)行的基礎(chǔ)上，總結(jié)經(jīng)驗(yàn)，進(jìn)行認(rèn)真的部署，選擇恰當(dāng)?shù)臅r(shí)機(jī)進(jìn)行 ISMS體系的正式運(yùn)行。 ? 正式運(yùn)行前，需要領(lǐng)導(dǎo)層進(jìn)行動(dòng)員，并進(jìn)行全員培訓(xùn)，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。 ? 只有保證 ISMS持續(xù)運(yùn)行，才能使 ISMS的制度真正落到實(shí)處，使組織的安全狀況得到改觀。 ISMS體系建設(shè)案例 火龍果 ? 整理 . ? “技術(shù)防火墻”的總體要求 ? 技術(shù)結(jié)構(gòu)方面 ：完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評(píng)估，保護(hù)，檢測(cè)，反應(yīng)和恢復(fù)的五種技術(shù)能力。實(shí)現(xiàn) ISO74982所定義的鑒別，訪(fǎng)問(wèn)控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴(lài)五類(lèi)安全功能。 ? 技術(shù)產(chǎn)品方面 ：綜合利用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。 ? 集中管理方面 ：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。 ? 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性方面 ：對(duì)于突發(fā)性的重大災(zāi)難，日常安全控制措施不再起作用，此時(shí)要采取適當(dāng)和有效的措施來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶來(lái)的破壞后果，這是組織信息安全的最后一道防線(xiàn)。 八、建立 “ 技術(shù)防火墻 ” 火龍果 ? 整理 . ? “技術(shù)防火墻”的實(shí)現(xiàn)框架 ? 信息安全框架可通過(guò)基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來(lái)實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全。 基礎(chǔ)技術(shù)系統(tǒng) 安全防護(hù)系統(tǒng) 應(yīng)用支撐系統(tǒng) 安全 運(yùn)維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎(chǔ)技術(shù)系統(tǒng) ? 縱深防御架構(gòu) ? 可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計(jì)算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。 ? 使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級(jí)”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類(lèi)型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安