【正文】 險評估，識別引起業(yè)務過程中斷的因素、發(fā)生的概率和影響，以及造成的后果 ?制定業(yè)務連續(xù)性計劃，滿足業(yè)務中斷或失敗后能夠在要求的水平和時間內確保信息的可用性 ?保持一致的業(yè)務連續(xù)性計劃框架，明確前提條件、應急規(guī)程和相關責任人 ?對業(yè)務連續(xù)性計劃定期測試和更新，確保其及時性和有效性 93 1符合性 94 符合性 ?符合性 ? 符合性管理就是要避免違反法律、法規(guī)、規(guī)章、合同的要求，以及本單位安全策略和制度標準的規(guī)定 ? 控制目標 ? 與法律法規(guī)要求的符合性 —— 避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。研究整改措施時，發(fā)現(xiàn)平時沒有人對該服務器的安全負責 47 資產(chǎn)管理目標 ?目標 ? 對 資產(chǎn) 負責 —— 實現(xiàn)并保持組織資產(chǎn)的適當保護 ? 信息分類 —— 確保對信息資產(chǎn)的保護達到恰當?shù)乃? ?包含的 內容 ? 組織可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別信息資產(chǎn) ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單 ? 所有的信息資產(chǎn)都應該具有指定的屬主并且可以被追溯責任 ? 信息應該被分類，以標明其需求、優(yōu)先級和保護程度 ? 根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序 48 資產(chǎn)管理 ?信息安全管理工作的根本目的是保護系統(tǒng)中的資產(chǎn) ?資產(chǎn)包括 ? 信息 資產(chǎn) ： 業(yè)務數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊、系統(tǒng)配置、審計記錄、制度流程等 ? 軟件資產(chǎn)： 應用軟件、系統(tǒng)軟件、開發(fā) 工具等 ? 物理資產(chǎn)：計算機設備、通信設備、存儲介質等 ? 服務：通信 服務 、公用設施（供暖 、照明、 能源）等 ? 人員：他們的資格、技能和經(jīng)驗 ? 無形 資產(chǎn)：品牌 、聲譽和形象 49 資產(chǎn)管理控制目標 ?控制目標 ? 對資產(chǎn)負責 ? 信息分類 50 控制措施 —— 對資產(chǎn)負責 ?對資產(chǎn)負責 ? 列出資產(chǎn)清單，明確保護對象 ? 準確 識別資產(chǎn) ， 編制清單，形成文件 ? 括 資產(chǎn)類型 、位置 、備份 信息和 業(yè)務價值等內容 ? 為 資產(chǎn)指定 責任人，明確安全負責 ? “ 責任人 ” 不一定是指具有資產(chǎn)所有權的人，而是指具有控制生產(chǎn)、開發(fā)、使用和保護資產(chǎn)權限的個人或實體 ? 確定資產(chǎn)的使用限制 條件 ,合法使用 51 資產(chǎn)管理是信息安全管理的重要 內容 控制措施 —— 信息分類 ?信息分類 ? 分類 指南 ? 根據(jù) 信息的價值 、 法律要求 和對 組織的敏感程度和關鍵性 進行分類 ? 信息 標記和 處理 ? 信息類別標記， 設置合適的分類 說明 ? 如 表明文件的密級、存儲介質分類的標簽 ? 規(guī)定重要敏感信息的安全處理、存儲、傳輸、刪除和銷毀的程序 52 對 信息分類是使信息受到適當級別的保護，在處理信息時指明保護的需求、優(yōu)先級和期望程度 關鍵點 建議分類方法不宜復雜，否則容易造成混亂 每種分類應唯一區(qū)別于其它分類，同時不能有任何重疊 分類過程還應簡單說明如何在其生命周期內控制并處理 53 舉例 —— 商業(yè)公司和軍事機構信息分類 組織 分類類別 定義 實例 商業(yè)公司 公共 即使泄漏不會給公司或個 人造成不利影響 有多少人完成某個項 私有 可能給公司或個人帶來不 利影響 人事資源信息 軍事機構 絕密 如果泄漏會給國家安全帶 來毀滅性破壞 新型戰(zhàn)時武器設計圖 秘密 給國家安全造成重大威脅 部隊分布及部署 不保密 非保密信息 計算機通用學習手冊 54 55 Why? ?那些曾經(jīng)發(fā)生過的事 ? 案例一 ? 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現(xiàn)有客戶。信息技術部門是信息安全組織中的重要執(zhí)行機構，但不是全部。 ? 必須保護這些資產(chǎn)不受威脅侵害 ? 定義和監(jiān)督執(zhí)行 XX系統(tǒng)網(wǎng)絡與信息安全總體策略是XX部門的責任 32 舉例 —— 《 XX系統(tǒng)信息安全總體策略 》 ?安全方針概述 ?資產(chǎn)分類和控制 ? 信息分類 ? 資產(chǎn)分類：信息資產(chǎn)，包括計算機和網(wǎng)絡，應當依據(jù)其價值和敏感性以及保密性、完整性和可用性原則進行分類。 ? 控制措施的分類： ? 預防性控制 ? 檢查性控制 ? 糾正性控制 26 不是 所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術限制，也不可能對一個組織中所有人都 適用 方針 27 Why? ?有沒有遇到過這樣的事情？ ? 案例 1 ? 有單位領導說：“聽說信息安全工作很重要，可是我不知道對于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護的。為達成企業(yè)目標提供合理保證，并能預防、檢查和糾正風險。信息安全管理體系 中國信息安全測評中心 版本： 課程內容 2 信息 安全 管理 信息安全 管理體系 信息安全管理控制措施 信息安全管理體系概念 信息安全 管理基礎 知識 體 ：信息安全管理 體系 ?知識 域：信息安全管理 體系概念 ? 理解信息安全管理體系（ ISMS）的概念和核心過程 ? 了解信息安全管理體系文檔要求 ? 了解 ISO/IEC 27000標準族 3 管理體系相關概念 4 ?體系 ? 相 互關聯(lián)和相互作用的一組 要素 （ ISO9000:2023 質量管理體系 基礎和術語） ?管理體系： ? 建立方針和目標并達到目標的 體系 （ ISO9000:2023 質量管理體系 基礎和術語） ? 為達到組織目標的策略、程序、指南和相關資源的 框架 （ ISO/IEC 27000:2023 信息技術 安全技術 信息安全管理體系 概述和術語） 管理體系 5 ISO9000 質量管理體系 ISO14000 環(huán)境管理體系 OHSAS 職業(yè)健康安全管理體系 ISO/IEC27000 信息安全管理體系 ISO/IEC20230 服務管理體系 ISO22023食品安全管理體系 管理體系 Management System 信息安全管理體系 ?什么是信息安全管理 體系 ? Information Security Management System， ISMS ? 是 管理體系方法在信息安全領域的運用 6 信息安全 管理體系 ISMS 信息安全管理體系 ?信息安全管理體系 是 整個管理體系的一部分，它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的 體系 ?一般 地，信息安全管理體系包括信息安全組織架構、信息安全方針、信息安全規(guī)劃活動、信息安全職責，以及信息安全相關的實踐、規(guī)程、過程和資源等要素， 這些要素既 相互關聯(lián)，又相互作用 7 信息安全管理體系的作用 ?對內 ? 形成 單位 可 自我持續(xù) 改進的 信息安全管理 機制 ? 使 信息安全的角色和職責清晰，并落實到 人 ? 確保 實現(xiàn) 動態(tài)的、系統(tǒng) 的、制度化 的 信息安全管理 ? 有利于 根本上 保證業(yè)務的連續(xù)性，提高市場 競爭力 ?對外 ? 能夠 使客戶、業(yè)務 伙伴對單位信息安全 充滿 信心 ? 有助于 界定 外包雙方的信息安全 責任 ? 可以 使單位更好地 滿足審計要求 和 符合 法律 法規(guī) ? 保證 和外部 數(shù)據(jù) 交換中的信息安全 8 作用解釋 ?ISMS是 一 個通用的信息安全管理 指南 ? 不是 說明“怎么做” 的 詳細 細節(jié) ? 而是 具有 普遍意義的安全操作規(guī)則 指南 ? 指導 單位 在信息安全管理方面要做什么