【正文】 破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級 ? 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 信息安全管理體系化文件 知識體：信息安全管理方法 ?知識域：等級保護的安全管理體制 ? 了解 等級保護有關(guān)的重要國家標(biāo)準(zhǔn) ? 了解等級保護的定級要素及級別劃分準(zhǔn)則 ? 了解等級保護的工作流程 ? 理解等級保護的管理要求主要內(nèi)容 57 信息安全等級保護 58 ?《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 （ 1994年國務(wù)院 147號令） ? 第九條 計算機信息系統(tǒng)實行安全等級保護。 信息安全管理過程方法的結(jié)構(gòu) 55 D 1 開 發(fā) 風(fēng) 險 處 置 計 劃D 2 實 施 風(fēng) 險 處 置 計 劃D 3 實 施 安 全 控 制 措 施D 4 實 施 安 全 教 育 培 訓(xùn)D 5 管 理 I S M S 的 運 行D 6 管 理 I S M S 的 資 源D 7 執(zhí) 行 檢 測 安 全 事 件 程 序D 8 執(zhí) 行 響 應(yīng) 安 全 事 故 程 序A 1 實 施 已 識 別 的 I S M S 改 進 措 施A 2 執(zhí) 行 糾 正 性 和 預(yù) 防 性 措 施A 3 通 知 相 關(guān) 人 員 I S M S 的 變 更A 4 從 安 全 經(jīng) 驗 和 教 訓(xùn) 中 學(xué) 習(xí)C 1 執(zhí) 行 I S M S 監(jiān) 視 程 序C 2 執(zhí) 行 I S M S 評 價 程 序C 3 定 期 執(zhí) 行 I S M S 評 審C 4 測 量 控 制 措 施 的 有 效 性C 5 驗 證 安 全 要 求 是 否 被 滿 足C 6 按 計 劃 進 行 風(fēng) 險 評 估C 7 評 審 可 接 受 殘 余 風(fēng) 險C 8 按 計 劃 進 行 內(nèi) 部 審 核C 9 按 計 劃 進 行 管 理 評 審C 1 0 更 新 信 息 安 全 計 劃C 1 1 記 錄 對 I S M S 有 影 響 的 行 動 和 事 件P 1 定 義 I S M S 范 圍P 2 定 義 I S M S 方 針P 3 確 定 風(fēng) 險 評 估 方 法P 4 分 析 和 評 估 信 息 安 全 風(fēng) 險P 5 識 別 和 評 價 風(fēng) 險 處 理 的 可 選 措 施P 6 為 處 理 風(fēng) 險 選 擇 控 制 目 標(biāo) 和 控 制 措 施P 7 準(zhǔn) 備 詳 細(xì) 的 適 用 性 聲 明 S o AP l a n規(guī) 劃 和 建 立 I S M SAct維護和改進ISMSC h e c k監(jiān) 視 和 評 審 I S M SDo實施和運行ISMSI S M S 體 系 文 檔 化I S M S 文 件 控 制I S M S 紀(jì) 錄 控 制56 方針 、 手冊等 管理制度 、 程序 、 策略文件等 操作規(guī)范 、 規(guī)程 、 作業(yè)指導(dǎo)書 、 模板文件等 計劃 、 表格 、 報告 、 各種運行 /檢查記錄 、 日志文件等 一級文件 二級文件 三級文件 四級文件 ?一級文件：方針性文件； ?二級文件：信息安全管控程序及管理規(guī)定性文件； ?三級文件：操作指南及作業(yè)指導(dǎo)書類； ?四級文件：體系運行的各種記錄。 規(guī)劃和建立 實施和運行 監(jiān)視和評審 保持和改進 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 ?ISMS的核心內(nèi)容可以概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評審你所做的事情的符合性 ： C 4. 采取糾正和預(yù)防措施，持續(xù)改進 ： A 用 PDCA來理解什么是信息安全管理體系 53 信息安全管理過程方法的作用 54 ?過程方法要求（ Methodological requirements）：為組織根據(jù)業(yè)務(wù)風(fēng)險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系規(guī)定了要求。 ?遵循 PDCA循環(huán)， 能使任何一項活動都有效地進行。 90CADP90CADP 90CADP? PDCA特點三： 每通過一次 PDCA 循環(huán)，都要進行總結(jié)，提出新目標(biāo)，再進行第二次 PDCA 循環(huán)。 50 ? PDCA特點一： 按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復(fù)始，不斷循環(huán)。 A 規(guī)劃 實施 檢查 處置 P D C PDCA循環(huán) 48 PDCA循環(huán) 49 PDCA也稱“戴明環(huán)”，由美國質(zhì)量管理專家戴明提出。其中正式發(fā)布的標(biāo)準(zhǔn)有 13項；部分發(fā)布的標(biāo)準(zhǔn)有 2項； ?由于移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等新概念新技術(shù)的出現(xiàn)，且基于 ISO的標(biāo)準(zhǔn)修訂周期規(guī)則， ISO2700 ISO27002標(biāo)準(zhǔn)已經(jīng)在修訂當(dāng)中。 ? 2023年 6月 中國政府等同采用 ISO 27001:2023, 命名為 GB/T 220802023； 中國政府等同采用 ISO 27002:2023, 命名為 GB/T 220812023. ISO/IEC 27000標(biāo)準(zhǔn)族介紹 39 BS7799 BS77991 BS77992 ISO17799 ISO27002 GB/T22081 ISO27001 GB/T22080 ISO/IEC 27000標(biāo)準(zhǔn)族介紹 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的對應(yīng)關(guān)系 40 41 ?ISO/IEC 27000系列 27000~27003 27004~27008 27000 信息安全管理體系 概述和術(shù)語 27001 信息安全管理體系要求 27002 信息安全管理實用規(guī)則 27003 信息安全管理體系 實施指南 27004 信息安全管理測量 27005 信息安全風(fēng)險管理 27006 提供信息安全管理體系 審核和認(rèn)證機構(gòu)的要求 27007 信息安全管理體系 審核指南 27008 信息安全管理體系 控制措施審核員指南 27001 27002 27000 27006 27005 27003 27004 信息安全管理體系基本原理和詞匯 ISO/IEC 27000標(biāo)準(zhǔn)族介紹 42 ?ISO27001標(biāo)準(zhǔn)是認(rèn)證機構(gòu)進行審核時的審核準(zhǔn)則，是ISO27000標(biāo)準(zhǔn)族中最重要最核心的一份標(biāo)準(zhǔn)。 ? 2023年 10月 —— ISO正式采用 BS 77992:2023，命名為 ISO 27001:2023。 ? 2023年 9月 —— BSI對 BS 77992進行了改版，用來替代原標(biāo)準(zhǔn)（ BS 77992:1999）使用。 ? 1999年 4月 —— BS 77991與 BS 77992修訂后重新發(fā)布。 ? 1995年 2月 —— 首次出版 BS 77991:1995《 信息安全管理實用規(guī)則 》 。 信息安全 管理體系 ISMS 信息安全管理體系 38 ?什么是信息安全管理 體系（ Information Security Management System, ISMS） ? 基于 國際標(biāo)準(zhǔn) ISO/IEC 27001《 信息 安全管理體系 要求 》， 是 綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種 方法 ? ISMS是管理體系（ MS）家族的一個成員 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的歷史沿革 ? 1990年代初 —— 英國貿(mào)工部（ DTI）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 ? 基于 ISO/IEC27000系列國際標(biāo)準(zhǔn)族 。 ? 管理體系方法 ? 管理體系要求 ? 認(rèn)證機構(gòu)和認(rèn)證 ? 審核和審核員 ? 國際互認(rèn) ? 。 （ ISO9000:2023 質(zhì)量管理體系 基礎(chǔ)和術(shù)語） ? 為達到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架。 知識 體 ：信息安全管理方法 ?知識 域：信息安全管理體系 ? 理解 什么是 ISMS ? 了解 ISO/IEC 27000標(biāo)準(zhǔn)族，包括其發(fā)展歷史和主要標(biāo)準(zhǔn) ? 了解 ISMS的主要特點，了解 ISMS的核心是 PDCA描述的過程 ? 理解 PDCA的特點和含義 33 管理體系相關(guān)概念 34 ?體系 ? 相 互關(guān)聯(lián)和相互作用的一組要素。 31 風(fēng)險管理是信息安全管理的根本方法 32 ?周期性的風(fēng)險評估與風(fēng)險處置活動即形成對風(fēng)險的動態(tài)管理。 ?控制目標(biāo)、控制手段、實施指南的邏輯梳理出這些風(fēng)險控制措施集合的過程也就是信息安全建立體系的建立過程。 30 風(fēng)險處置是信息安全管理的核心 ?應(yīng)對風(fēng)險評估的結(jié)果進行相應(yīng)的風(fēng)險處置。而不是將保貴的資源用于解決所有可能的風(fēng)險 ?PDCA過程的要求 ? 風(fēng)險管理是一個持續(xù)的 PDCA管理過程 29 風(fēng)險管理是信息安全保障工作有效工作方式 風(fēng)險評估是信息安全管理的基礎(chǔ) ?風(fēng)險評估主要對 ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行界定。 ? 理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。 通用風(fēng)險管理定義 ?定義 ? 是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。 ? 它們可以是行政、技術(shù)、管理、法律等方面的措施。 ?脆弱性舉例 ?