【文章內(nèi)容簡介】 理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 七、建立信息安全管理體系 人們逐漸認識到安全管理的重要性，作為信息安全建設(shè)藍圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 火龍果 ? 整理 . ? 信息安全管理體系的定義 ? 信息安全管理體系（ ISMS： Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。 ? ISMS相對應(yīng)的 BS 7799 標準在國際上得到了廣泛的應(yīng)用，目前引標準已被采納為國際標準 ISO17799:2023 ISO27001:2023。 ? 在 ISO17799中 信息安全主要指信息的機密性 (Confidentiality)、完整性(Integrity)和可用性 (Availability)的保持。 用木桶原理說明 ISMS 火龍果 ? 整理 . 符合性 （ Co m p li a n c e ）業(yè)務(wù)連續(xù)性管理 （ Bu s in e s s c o n t in u it y m a n a g e m e n t ）信息安全事故管理 （ I n f o r m a t io n s e c u r it y i n c id e n t m a n a g e m e n t ）訪問控制 （ A c c e s s c o n t r o l ）人力資源安全（ Hu m a n r e s o u r c e ss e c u r it y ）物理和環(huán)境安全（ P h y s ic a l a n de n v ir o n m e n t a ls e c u r it y ）通信和操作安全（ Co m m u n ic a t io n sa n d o p e r a t io n sM a n a g e m e n t ）信息系統(tǒng)采集開發(fā)和維護（ I n f o r m a t io n s y s t e ma c q u is it io n , d e v e lo p m e n ta n d m a in t e n a n c e ）資產(chǎn)管理 （ A s s e t m a n a g e m e n t ）信息安全的組織 （ Or g a n izi n g i n f o r m a t io n s e c u r it y ）安全策略 （ S e c u r it y P o li c y ）? ISMS “ 木桶 ” 由哪些 “ 板 ” 組成？ ? 類似于質(zhì)量管理體系的 ISO9000標準， ISMS也有相應(yīng)的國際標準ISO27001，它確定了 ISMS的 11個安全領(lǐng)域及 133個相應(yīng)的控制措施。 火龍果 ? 整理 . ? ISO17799及 ISO27001的內(nèi)容 ? ISO17799:2023 信息安全管理實施規(guī)范，主要是給負責開發(fā)的人員作為參考文檔使用，從而在組織中實施和維護信息安全； ? ISO27001:2023 信息安全管理體系規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂啤? 獲得 BS7799和 ISO27001認證的組織 火龍果 ? 整理 . ISO17799 信息安全 BS15000 IT服務(wù)管理 職業(yè)安全健康管理體系指導意見 OHSAS18000 財務(wù)管理體系 BS8600 客戶滿意 管理體系 ISO100015培訓體系 人力資源管理體系 ISO9000 ISO14001 綜合管理體系 戰(zhàn)略和投資管理 戰(zhàn)略和投資管理體系 行業(yè)強制性管理體系及產(chǎn)品認證如 QS9000，ISMC， ISO17799與其他標準對比 ? ISO27001與其他標準的融合 火龍果 ? 整理 . ? ISMS體系設(shè)計 ? 在組織中要實現(xiàn)信息安全，比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。 ? 如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。 火龍果 ? 整理 . 定 義 安 全 方 針定 義 I S M S的 范 圍實 施 風 險 評 估風 險 管 理選 擇 控 制 目 標和 實 施 控 制準 備 適 用 性聲 明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 針 文 檔I S M S 范 圍 文 檔風 險 評 估 文 檔結(jié) 果 與 結(jié) 論選 擇 控 制適 用 性 聲 明識 別 資 產(chǎn)風 險 管 理 策 略控 制 概 要威 脅 、 脆 弱 點資 產(chǎn) 影 響組 織 風 險 管 理 方 法需 要 保 護 的 程 度B S 7 7 9 9 中 的 控 制其 他 控 制 措 施? ISMS建設(shè)過程： ? 建立 ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體安全建設(shè) ? 從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進行風險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。 體系運行 體系審核 管理評審 體系認證 第七步 第八步 第九步 第十步 運行說明 內(nèi)審報告 外審報告 認證證書 火龍果 ? 整理 . ? ISMS體系文件編寫 ? 對 ISMS體系的設(shè)計首先是以 規(guī)范化的 ISMS體系文件的形式表現(xiàn)出來。 把有關(guān) ISMS的重要內(nèi)容用文件的形式表述出來，就形成了組織的 ISMS體系文件。 ? ISMS體系文件是實施信息安全管理所必需的結(jié)構(gòu)、規(guī)則、過程和資源等因素所組成的有機總體，有效的信息安全管理需要明確管理的具體目標與范圍、流程與活動、人員與職責、資源與條件等內(nèi)容 ? ISMS體系文件的作用 ? 保護信息安全的指南 ? 對信息安全進行審核的依據(jù) ? 安全管理水平不斷改進的保障 ? 促進安全培訓工作的開展 火龍果 ? 整理 . ? ISMS體系文檔的組成 四級文件 三級文件 二級文件 一級 方針、策略文件 ISMS體系文件 規(guī)范、程序 作業(yè)指導書、記錄、表單 火龍果 ? 整理 . ? ISMS的正式運行 ? ISMS體系文件編制完成后，組織應(yīng)按照文件的控制要求進行審核與批準并發(fā)布實施，至此，信息安全管理體系將進入運行階段 ? 在試運行的基礎(chǔ)上，總結(jié)經(jīng)驗，進行認真的部署，選擇恰當?shù)臅r機進行 ISMS體系的正式運行。 ? 正式運行前，需要領(lǐng)導層進行動員，并進行全員培訓，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。 ? 只有保證 ISMS持續(xù)運行，才能使 ISMS的制度真正落到實處，使組織的安全狀況得到改觀。 ISMS體系建設(shè)案例 火龍果 ? 整理 . ? “技術(shù)防火墻”的總體要求 ? 技術(shù)結(jié)構(gòu)方面 ：完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評估，保護，檢測，反應(yīng)和恢復的五種技術(shù)能力。實現(xiàn) ISO74982所定義的鑒別，訪問控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功能。 ? 技術(shù)產(chǎn)品方面 ：綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機密性、完整性和可靠性。 ? 集中管理方面 ：實現(xiàn)集成化安全管理和安全信息共享機制，以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。 ? 災(zāi)難恢復與業(yè)務(wù)持續(xù)性方面 ：對于突發(fā)性的重大災(zāi)難，日常安全控制措施不再起作用，此時要采取適當和有效的措施來減輕相關(guān)威脅實際發(fā)生時所帶來的破壞后果，這是組織信息安全的最后一道防線。 八、建立 “ 技術(shù)防火墻 ” 火龍果 ? 整理 . ? “技術(shù)防火墻”的實現(xiàn)框架 ? 信息安全框架可通過基礎(chǔ)技術(shù)系統(tǒng)、安全運維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全。 基礎(chǔ)技術(shù)系統(tǒng) 安全防護系統(tǒng) 應(yīng)用支撐系統(tǒng) 安全 運維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎(chǔ)技術(shù)系統(tǒng) ? 縱深防御架構(gòu) ? 可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計算機不能直接到達可信網(wǎng)絡(luò)。 ? 使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”的思路，指導網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界