ISO27001-&-ISO27002信息安全管理培训-分享.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,page,12/16/2004,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,信息安全管理标准与体系建制培训,讲师：陈岌,CISSP,（国际注册信息安全专家）,CISA,（国际注册信息系统审计师）,CISP,（国家注册信息安全专业人士）,ISO27001LA,（,ISO27001,主任审核员）,ITIL,Foundation,page,2,信息安全概述,风险评估与管理,ISO27001,信息安全管理体系规范,ISO27002,信息安全管理实施细则,信息安全管理体系认证,内容目录,page,3,信息安全概述,风险评估与风险管理,ISO27001,信息安全管理体系规范,ISO27002,信息安全管理实施细则,信息安全管理体系认证,page,4,信息安全概述,什么是信息？,Information,消息、信号、数据、情报和知识,信息本身是无形的，借助于信息媒体以多种形式存在或传播：,存储在计算机、磁带、纸张等介质中,记忆在人的大脑里,通过网络、打印机、传真机等方式进行传播,信息借助媒体而存在，对现代企业来说具有价值，就成为,信息资产,：,计算机和网络中的数据,硬件、软件、文档资料,关键人员,组织提供的服务,具有价值的信息资产面临诸多威胁，需要妥善保护,有价值的内容,ISO9000,page,5,信息安全概述,企业信息安全管理关注的信息类型,内部信息,组织,不想让其竞争对手知道的信息,客户信息,顾客,/,客户不想让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,page,6,信息安全概述,信息的处理方式,创建,传递,销毁,存 储,使用,更改,page,7,信息安全概述,什么是信息安全？,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,page,8,信息安全概述,信息安全的发展历史,20,世纪,60,年代前,60,年代到,80,年代,20,世纪,80,年代末以后,电话、电报、传真,强调的是信息的保密性,对安全理论和技术的研究只侧重于密码学,通信安全,，即,COMSEC,计算机软硬件极大发展,关注保密性、完整性和可用性目标,信息安全,，即,INFOSEC,代表性成果是美国的,TCSEC,和欧洲的,ITSEC,测评标准,互联网技术飞速发展，信息无论是对内还是对外都得到极大开放,信息安全从,CIA,中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展,信息保障,（,Information Assurance,），从整体角度考虑安全体系建设,美国的,IATF,规范,page,9,C,I,A,onfidentiality,ntegrity,vailability,信息安全基本目标,信息安全概述,page,10,企业重大泄密事件屡屡发生,信息安全概述,page,11,敏感信息遭受篡改也会导致恶劣后果,信息安全概述,page,12,破坏导致系统瘫痪后果非常严重,信息安全概述,page,13,信息安全概述,C,保密性（,Confidentiality,）,确保信息在存储、使用、传输过程中不会泄漏给非授权,用户,或实体。,完整性（,Integrity,）,确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。,可用性（,Availability,）,确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,CIA,三元组是信息安全的目标，也是基本原则，与之相反的是,DAD,三元组：,C.I.A.,和,D.A.D.,I,A,D,isclosure,A,lteration,D,estruction,泄漏,破坏,篡改,page,14,Confidentiality,机,密性,Availability,可用性,Integrity,完整性,信息安全概述,page,15,其他概念和原则,私密性（,Privacy,）,个人和组织控制私用信息采集、存储和分发的权利。,身份识别（,Identification,）,用户向系统声称其真实身份的方式。,身份认证（,Authentication,）,测试并认证用户的身份。,授权（,Authorization,）,为用户分配并校验资源访问权限的过程。,可追溯性（,Accountability,）,确认系统中个人行为和活动的能力。,抗抵赖性（,Non-repudiation,）,确保信息创建者就是真正的发送者的能力。,审计（,Audit,）,对系统记录和活动进行独立复查和审核，确保遵守性,信息安全概述,page,16,信息安全概述,信息安全的重要性,信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护,信息安全是国家安全的需要,信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一,信息安全是保护个人隐私与财产的需要,许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏,现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击,网络技术的高速发展增加了对计算机系统未授权访问的机会,组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难,许多信息系统的设计本身就不安全,通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持,page,17,法律法规与,合同要求,组织原则目标和业务需要,风险评估的结果,从什么方面考虑信息安全？,信息安全概述,page,18,常规的技术措施,信息安全概述,物理安全技术,：环境安全、设备安全、媒体安全,系统安全技术,：操作系统及数据库系统的安全性,网络安全技术,：网络隔离、访问控制、,VPN,、入侵检测、扫描评估,应用安全技术,：,Email,安全、,Web,访问安全、内容过滤、应用系统安全,数据加密技术,：硬件和软件加密，实现身份认证和数据信息的,CIA,特性,认证授权技术,：口令认证、,SSO,认证（例如,Kerberos,）、证书认证等,访问控制技术,：防火墙、访问控制列表等,审计跟踪技术,：入侵检测、日志审计、辨析取证,防病毒技术,：单机防病毒技术逐渐发展成整体防病毒体系,灾难恢复和备份技术,：业务连续性技术，前提就是对数据的备份,page,19,防火墙,网络入侵检测,病毒防护,主机入侵检测,漏洞扫描评估,VPN,通道,访问控制,page,20,有没有更好的途径？,信息安全概述,page,21,信息安全管理,信息安全的成败取决于两个因素：技术和管理。,安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。,人们常说，,三分技术，七分管理,，可见管理对信息安全的重要性。,信息安全管理（,Information Security Management,）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。,现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。,信息安全管理的核心就是,风险管理,。,信息安全概述,page,22,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善,组织缺乏信息安全意识和明确的信息安全策略,对信息安全还持有传统的认识，即重技术，轻管理,安全管理缺乏系统管理的思想，还是就事论事式的静态管理,信息安全概述,page,23,调查显示有,8,成企业安全管理不理想,信息安全概述,page,24,各行业安全管理状况都不容乐观,信息安全概述,page,25,安全管理各方面能力都很低下,信息安全概述,page,26,信息安全管理应该是体系化的,信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子,这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分,信息安全概述,务必重视信息安全管理,加强信息安全建设工作,page,27,怎样实现信息安全？,信息安全概述,page,28,信息安全理念上的误区,仅仅通过技术手段就可以解决安全问题,七分管理三分技术,美国著名的黑客,北京移动,信息安全就是网络安全,员工安全意识,物理安全,没有,IT,的小企业的安全,解决安全问题搞运动,问题严重了，搞个运动,安全按项目操作,防病毒系统,信息安全概述,page,29,企业面临的困惑,安全事件发生后无法取证、处理,信息安全事件发生后，由于没有完整的管理体系和技术体系的保障，无法取证。往往是怀疑某个竞争对手盗取信息、或者某个内部员工违反规定泄露信息，但无法追究。导致得手的一方，变本加厉，肆无忌惮地再次作案。,例如：某企业老总的邮件泄密，怀疑邮件系统管理的员工窃取，没有证据，只能想办法逐步调离此员工,page,30,企业面临的困惑,安全事件发生后被动处理和补救,很多企业都是在信息安全事件发生后去弥补，有些方面的安全事件通过弥补的方式可以避免以后再次发生类似的问题，但有些安全事件对企业经营和声誉的影响，是无法估量的，可能会导致企业倒闭。,例如：,911,以后，很多在世贸大楼里面的公司，由于没有业务连续性计划，在遇到这样的灾难后纷纷倒闭。,page,31,企业面临的困惑,就事论事地解决信息安全问题,企业没有系统的安全防护体系，哪里出了问题，就从哪里着手解决，由于不能总结普遍规律，对于防范类似的安全问题没有帮助。,例如：财务报表泄露，就从财务部门着手解决，对于商务部门的信息泄露没有指导作用。,page,32,企业面临的困惑,员工信息安全意识淡漠，有意无意之中泄露公司机密,信息安全的重点和难点都是人，特别是占公司绝大多少的普通员工。很多企业员工没有安全意识，在谈话或者和外面交流的过程中不自觉地泄露公司机密。当然，也不排除有些员工看到公司没有相关的安全制度、安全手段保护公司的核心机密，为利益驱使，主动泄密。,例如：猎头公司挖人,page,33,企业面临的困惑,安全产品达不到预期的效果,很多企业，采购部署了许多的信息安全相关的产品，如：防病毒、防火墙、入侵检测等。这些产品本身不能和公司的管理思路结合，特别是企业没有相应的安全部门专门使用和管理这些安全工具，导致产品的使用效果大打折扣，达不到预期的效果。,例如：很多企业购买了防病毒产品，由于管理不善，公司内病毒还是泛滥，经常导致计算机崩溃，重要数据丢失。,page,34,通常的信息安全建设方法,采购各种安全产品，由产品厂商提供方案：,防病毒，防火墙，,IDS,，,Scanner,，,VPN,等,通常由,IT,部门的技术人员兼职负责日常维护，甚至根本没有日常维护,这是一种以产品为核心的信息安全解决方案,这种方法存在众多不足：,难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？,管理和服务跟不上，对采购产品运行的效率和效果缺乏评价,通常用漏洞扫描代替风险评估，对风险的认识很不全面,这种方法是“头痛医头，脚痛医脚”，很难实现整体安全,不同厂商、不同产品之间的协调也是难题,信息安全概述,page,35,真正有效的方法,技术和产品是基础，管理才是关键,产品和技术，要通过管理的组织职能才能发挥最佳作用,技术不高但管理良好的系统远比技术高超但管理混乱的系统安全,先进、易于理解、方便操作的安全策略对信息安全至关重要,建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全,根本上说，信息安全是个管理过程，而不是技术过程,信息安全概述,page,36,信息安全概述,对信息安全的正确认识,安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程,page,37,基于风险分析的安全管理方法,信息安全概述,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。,制定信息安全策略方针,风险评估和管理,控制目标和方式选择,风险控制,安全保证,信息安全策略方针为信息安全管理提供导向和支持。,控制目标与控制方式的选择应该建立在风险评估的基础上。,考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。,对风险实施动态管理。,需要全员参与。,遵循管理的一般模式,PDCA,模型。,page,38,安全管理模型,PDCA,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施，改进安全状况。,依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。,信息安全概述,page,39,信息安全概述,ISO 27001,定义的信息安全管理体系,建立一个信息安全 管理框架,评估安全风险,选择并实施控制,信息安全管理体系,ISMS,设定信息安全的方向和目标，定义管理层承诺的策略,确定安全需求,根据需求采取措施消减风险，以实现既定安全目标,page,40,信息安全概述,ISMS,必须明确的内容,要保护的资产,控制目标和控制措施,需要保证的程度,风险管理的途径,page,41,信息安全概述,ISMS,是一个文档化的体系,对管理框架的概括,包括策略、控制目标、已实施的控制措施、适用性声明（,SoA,）,各种程序文件,实施控制措施并描述责任和活动的程序文件,覆盖了,ISMS,管理和运行的程序文件,证据,能够表明组织按照,BS7799,要求采取相应步骤而建立了管理框架,各种,Records,：在操作,ISMS,过程当中自然产生的证据，可识别过程并显现符合性,page,42,信息安全概述,实施,ISMS,的,关键成功因素,（,CSF,）,安全策略、目标和活动应该反映业务目标,有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径,来自高级管理层的明确的支持和承诺,深刻理解安全需求、风险评估和风险管理,向所有管理者和员工有效地推广安全意识,向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准,为信息安全管理活动提供资金支持,提供适当的培训和教育,建立有效的信息安全事件管理流程,建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进,page,43,练习,1,：信息安全管理的工作内容,请列举你认为信息安全管理所应关注的工作方面？,信息安全概述,page,44,信息安全概述,风险评估与风险管理,ISO27001,信息安全管理体系规范,ISO27002,信息安全管理实施细则,信息安全管理体系认证,page,45,风险评估与管理,风险,风险管理（,Risk Management,）,就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，,风险（,Risk,）,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性,。,风险评估,风险管理,风险评估（,Risk Assessment,）,就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,page,46,与风险管理相关的概念,资产（,Asset,）,任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。,威胁（,Threat,）,可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（,Threat source,）或威胁代理（,Threat agent,）。,弱点（,Vulnerability,）,也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。,风险（,Risk,）,特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。,可能性（,Likelihood,）,对威胁发生几率（,Probability,）或频率（,Frequency,）的定性描述。,影响（,Impact,）,后果（,Consequence,），意外事件发生给组织带来的直接或间接的损失或伤害。,安全措施（,Safeguard,）,控制措施（,control,）或对策（,countermeasure,），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。,残留风险（,Residual Risk,）,在实施安全措施之后仍然存在的风险。,风险评估与管理,page,47,page,48,安全措施,安全需求,防范,采取,提出,减少,威胁,弱点,资产,资产价值,利用,导致,导致,暴露,增加,具有,风险,风险要素关系模型,风险评估与管理,page,49,风险管理概念的公式化描述,Risk,=,Asset Value,Threat,Vulnerability,Residual Risk,=,Asset Value,Threat,Vulnerability,Control Gap,（,）,风险评估与管理,page,50,风险评估与管理,风险评估和管理的目标,低影响,高可能性,高影响,高可能性,高影响,低可能性,低影响,低可能性,威胁带来的影响,威胁发生的可能性,目标,采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。,page,51,风险,RISK,RISK,RISK,RISK,风险,基本的风险,采取措施后剩余的风险,资产,威胁,漏洞,资产,威胁,漏洞,风险评估与管理,风险管理目标更形象的描述,page,52,绝对的零风险是不存在的，要想实现零风险，也是不现实的；,计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的！,在计算机安全领域有一句格言：,“,真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。,”,显然，这样的计算机是无法使用的。,风险评估与管理,page,53,关键是实现成本利益的平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本,/,损失,所提供的安全水平,风险评估与管理,page,54,风险评估与管理,风险管理过程,识别并评价资产,识别并评估威胁,识别并评估弱点,现有控制确认,评估风险（测量与等级划分）,接受,保持现有控制,选择控制目标和控制方式,制定,/,修订适用性声明,实施选定的控制,Yes,No,确认并评估残留风险,定期评估,风险评估,风险消减,风险接受,风险管理,page,55,风险评估与管理,定量与定性风险评估方法,定性风险分析,优点,计算方式简单，易于理解和执行,不必精确算出资产价值和威胁频率,不必精确计算推荐的安全措施的成本,流程和报告形式比较有弹性,缺点,本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果,对关键资产财务价值评估参考性较低,并不能为安全措施的成本效益分析提供客观依据,定量风险分析,优点,评估结果是建立在独立客观地程序或量化指标之上的,可以为成本效益审核提供精确依据，有利于预算决策,量化的资产价值和预期损失易理解,可利用自动化工具帮助分析,缺点,信息量大，计算量大，方法复杂,没有一种标准化的知识库，依赖于提供工具或实施调查的厂商,投入大，费时费力,定量风险评估,：,试图从数字上对安全风险进行分析评估的一种方法。,定性风险评估,：,凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或,高低程度定性分级。,page,56,风险评估与管理,识别并评估信息资产,数据信息,：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等,纸质文件,：合同，策略方针，企业文件，重要商业结果,软件资产,：应用软件，系统软件，开发工具，公用程序,实物资产,：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所,人员,：承担特定职能和责任的人员,服务,：计算和通信服务，其他技术性服务，例如供暖、照明、水电、,UPS,等,组织形象与声誉,：企业形象，客户关系等，属于无形资产,信息资产价值评估标准,高（,3,）：,非常重要，缺了这个资产（,CIA,的丧失），业务活动将中断并且遭受不可挽回的损失,中（,2,）：,比较重要，缺了这个资产（,CIA,的丧失或受损），业务活动将被迫延缓，造成明显损失,低（,1,）：,不太重要，缺了这个资产，业务活动基本上不受影响,page,57,风险评估与管理,识别并评估威胁,人员威胁,：故意破坏和无意失误,系统威胁,：系统、网络或服务出现的故障,环境威胁,：电源故障、污染、液体泄漏、火灾等,自然威胁,：洪水、地震、台风、雷电等,威胁可能性评估标准,高（,3,）：,非常可能，在业务活动持续期间，时刻都有可能出现,中（,2,）：,比较可能，在业务活动持续期间，有可能多次出现,低（,1,）：,不太可能，在业务活动持续期间，不大可能出现,page,58,风险评估与管理,识别并评估弱点,技术性弱点,：系统、程序、设备中存在的漏洞或缺陷。,操作性弱点,：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。,管理性弱点,：策略、程序、规章制度、人员意识、组织结构等方面的不足。,弱点严重性评估标准,高（,3,）：,很容易被利用,中（,2,）：,可被利用，但不是太容易,低（,1,）：,基本上不可能被利用,page,59,人最常犯的一些错误,将口令写在便签上，贴在电脑监视器旁,开着电脑离开，就像离开家却忘记关灯那样,轻易相信来自陌生人的邮件，好奇打开邮件附件,使用容易猜测的口令，或者根本不设口令,丢失笔记本电脑,不能保守秘密，口无遮拦，泄漏敏感信息,随便在服务器上接,Modem,，或者随意将服务器连入网络,事不关己，高高挂起，不报告安全事件,在系统更新和安装补丁上总是行动迟缓,只关注外来的威胁，忽视企业内部人员的问题,风险评估与管理,page,60,风险场景：,一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。,确定风险因子：,资产价值为,2,，弱点值为,3,，威胁值为,3,评估风险：,套用风险分析矩阵，该风险被定为高风险（,18,）,应对风险：,根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。,风险评价示例,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响,/,资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,page,61,信息安全概述,风险评估与风险管理,ISO27001,信息安全管理体系规范,ISO27002,信息安全管理实施细则,信息安全管理体系认证,什么是,ISO27001,？,是信息安全管理体系的认证标准；,信息安全管理方面最受推崇的国际标准；,以风险理论为基础，信息安全管理是建立在风险管理的基础上；,遵循过程的方法，强调不断改进；,以,11,个控制域为基础，在此基础上初步建立企业的信息安全管理体系,利益伙伴,信息安全需求和期望,利益伙伴,得到管理的信息安全,建立,ISMS,环境,&,风险评估,设计,&,实施,ISMS,监视,&,复审,ISMS,改进,ISMS,Plan,Do,Check,Act,安全,方针,安全组织及人员,安全规程,安全工具及设备,执行,ISO series of 27000 standards,ISO27000,Fundamentals and vocabulary,ISO27001,ISMS(Information Security Management System)Requirements,ISO27002,Code of practice for ISMS,，,currently ISO/IEC 17799:2005,ISO27003,ISMS implementation guidance,ISO27004,Information security management measurement,ISO27005,Information security risk management,ISO27006,Requirements for bodies providing audit and certification of ISMS,ISO27007,Guidelines for ISMS auditing,ISO27002,的内容框架,07,年,4,月发布，由,ISO17799:2005,转变过来,由信息安全方面的最佳惯例组成的一套全面的控制集工具包，为无论规模大小，行业类别的企业建立信息安全控制提供了基础；,提出,11,个控制域、,39,控制目标，,133,个控制项；,安全策略,Security policy,人力资源安全,Human resources security,物理与环境安全,Physical and environmental security,通信与操作管理,Communications and operations management,信息系统获取、开发和维护,Information systems acquisition,development and maintenance,组织信息安全,Organizing information security,资产管理,Asset management,访问控制,Access control,信息安全事件管理,Information security incident management,业务连续性管理,Business continuity management,符合性,Compliance,ISO27001,的历史沿革,BS7799,标准最早是由英国工贸部、英国标准化协会（,BSI,）组织的相关专家共同开发制定的,1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。,BS7799,BS7799-1,BS7799-2,在,1998,年、,1999,年经过两次修订之后出版,BS7799-1,：,1999,和,BS7799-2,：,1999,。,ISO17799,ISO27001,2000,年,4,月，将,BS7799-1,：,1999,提交,ISO,，同年,10,月获得通过成为,ISO/IEC17799,：,2000,版。,2005,年对,ISO/IEC17799,：,2000,版进行了修订，于,6,月,15,日发布了,ISO/IEC17799,：,2005,版。,ISO/IEC 17799:2005,在,2008,年同等转为,IISO2/IEC 7002:2008,2001,年修订,BS7799-2,：,1999,，同年,BS7799-2,：,2000,发布。,2002,年对,BS7799-2,：,2000,进行了修订发布了,BS7799-2,：,2002,版。,ISO,于,2005,年,10,月,15,采用,BS7799-2,：,2002,版本成为国际标准,-,ISO/IEC27001,：,2005,版。,谁需要,ISO27001,企业或组织：面临自主知识产权、企业机密保护，企业持续运作问题的企业或组织,软件外包的发包方：接包方所宣称的安全是否如其说的一样呢？,软件外包的接包方：如何向发包方证明自己在客户信息保障方面的能力呢,企业管理人员：企业信息安全风险到底如何做到可控？信息安全的投资方向和重点到底在哪里？,质量管理人员：从哪些方面着手，才能向客户提供满意的产品和服务呢？,IT,管理人员,:,信息安全如何才能做到更好的保障企业业务的持续运行（从信息系统安全、可靠运行方面）？,信息系统管理员：如何才能拜托整天被问题牵着鼻子跑的困境？,网络管理员：网络安全当前已经足够好，为什么总是出现信息安全事件发生？,软件开发人员：如何才能开发出安全的软件？开发环境能够保证源代码和设计文档不被泄漏吗？,一般员工：员工哪些行为或操作可能会给企业带来不良后果？,ISO27001,认证的收益,对内：,对关键信息进行全面系统的保护，保障自身知识产权和市场竞争力,按照风险理论建立管理体系，对企业安全风险达到可控的状态,企业在信息安全方面有限的投入，解决企业最急迫的风险，达到投资方向明确，重点突出,改变问题驱动工作方式，信息安全以预防为主；,强化员工的信息安全意识，建立安全习惯，形成信息安全企业文化,对外：,通过,ISO27001,认证，表明公司的,ISMS,符合国际标准，证明公司有能力保障重要信息，提高公司的知名度与公信度,通过,ISO27001,认证，公司可以明确要求其他供应商相应提高信息安全水平，保证数据交换中的信息安全,界定外包双方的信息安全责任，接包方在自我责任实现基础上向发包方提出合理建议,ISO27001,全球认证状况,截至,2010,年,1,月,7,日，全球通,ISO27001,认证的有,6037,家机构，,其中中国,250,家,（,Security Management System,）,在信息安全方面指导和控制组织，用以实现信息安全目标的相互关联和相关作用的一组要素。,这组要素通常包括：,信息安全组织结构,各种活动和过程,信息安全管理体系文件,信息安全控制措施,人力物力等资源,ISO27001:2005,信息安全管理体系规范,page,73,ISMS,的重要原则,管理层足够重视,组织保障,指明方向和目标,权威,预算保障，提供所需的资源,监督检查,需要全员参与,信息安全不仅仅是,IT,部门的事情,每个员工都应明白随时可能出现的安全问题,每个员工都应具备相关的安全意识和能力,让每个员工都明确自己承担的安全责任,遵循过程的方法,信息安全是个管理过程,应该系统地识别每项管理活动并加以控制,需要持续改进,实现信息安全目标的循环活动,信息安全是动态的，时间性强,持续改进才能有最大限度的安全,组织应该为员工提供持续改进的方法和手段,必须做到文件化,文件的作用：有章可循，有据可查,文件的类型：手册、规范、指南、记录,ISO27001:2005,信息安全管理体系规范,page,74,信息安全概述,实施,ISMS,的过程,定义,ISMS,的范围,定义,ISMS,策略,定义一个系统化的风险管理途径,识别风险,评估风险,识别并评价风险处理的可选方案,选择控制目标和控制措施，以便处理风险,准备适用性声明（,SoA,）,获得管理层批准,page,75,ISMS,是一个文档化的体系,对管理框架的概括,包括策略、控制目标、已实施的控制措施、适用性声明（,SoA,）,各种程序文件,实施控制措施并描述责任和活动的程序文件,覆盖了,ISMS,管理和运行的程序文件,证据,能够表明组织按照,BS7799,要求采取相应步骤而建立了管理框架,各种,Records,：在操作,ISMS,过程当中自然产生的证据，可识别过程并显现符合性,ISO27001:2005,信息安全管理体系规范,page,76,建立,ISMS,环境,&,风险评估,设计,&,实施,ISMS,监视,&,复审,ISMS,改进,ISMS,开发、维护和改进生命周期,Plan,Do,Check,Act,利益伙伴,信息安全需求和期望,利益伙伴,得到管理的信息安全,PDCA,模型在,ISMS,过程中的运用,ISO27001:2005,信息安全管理体系规范,page,77,PDCA,的特点,顺序进行，周而复始,：解决了一部分问题，可能还有问题没有解决，或者又出现了新的问题，再进行下一个,PDCA,循环，不断循环,大环套小环,：组织中的每个部分，甚至个人，均有一个,PDCA,循环，大环套小环，一层层地解决问题,阶梯式上升,：每经过一次,PDCA,循环，都要进行总结，巩固成绩，改进不足，并提出新的目标，再进行下一次,PDCA,循环,ISO27001:2005,信息安全管理体系规范,page,78,4.1,一般性需求,“,The organization shall develop,implement,maintain and continually improve a documented ISMS within the context of the organizations overall business activities and the risk they face.”,在组织全面的业务活动和风险环境中，组织应该开发、实施、维护并持续改进一个文档化的,ISMS,。,ISO27001:2005,信息安全管理体系规范,page,79,4.2,建立和管理,ISMS,（,1,）,4.2.1,建立,ISMS,（,Plan,）：,定义,ISMS,的范围（从业务、组织、位置、资产和技术等方面考虑）,定义,ISMS,策略,框架，法律法规和业务上的要求，战略组织和风险管理的环境，风险评估标准，管理层批准,定义系统的风险评估途径,识别风险,识别资产，识别威胁，识别弱点，识别由于资产,CIA,的丧失而引发的影响,分析并评估风险,评估业务危害，评估威胁事件现实发生的可能性，评估风险等级，确定风险是否可接受,识别并评价风险处理措施,采用恰当的控制，接受可接受的风险，避免风险，转嫁风险,选择用于风险处理的控制目标和控制,取得管理层对残留风险的承认和实施并操作,ISMS,的授权,准备适用性声明（,SoA,）,ISO27001:2005,信息安全管理体系规范,page,80,定义,ISMS,的范围,确定,ISMS,范围的依据：组织结构（按部门），所处的地域，业务类别，所采用的技术等,可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围,信息安全管理范围必须用正式的文件加以记录,合适的范围划分对实施信息安全管理，以及各部门管理者和人员恪守职责至关重要,ISO27001:2005,信息安全管理体系规范,page,81,制订信息安全策略,1.目的：,信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面的管理。,2.公司总经理张三先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视。,.,信息安全策略方针,ISO27001:2005,信息安全管理体系规范,page,82,进行风险评估,组织确认自己所拥有的资产，分析资产所面临的威胁、所具有的弱点、威胁事件发生的可能性、损害程度等，并最终得出资产所面临的风险等级的过程。,可能性,后果,可忽略,1,较小,2,中等,3,较大,4,灾难性,5,A,，几乎肯定,S,S,H,H,H,B,，很可能,M,S,S,H,H,C,，有可能,L,M,S,H,H,D,，不太可能,L,L,M,S,H,E,，很罕见,L,L,M,S,S,ISO27001:2005,信息安全管理体系规范,page,83,根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围内。,规避风险,降低风险,转嫁风险,接受风险,ISO27001:2005,信息安全管理体系规范,page,84,选择控制目标和控制措施,控制目标：,可理解为在一定时间范围内或限定范围内，组织所规定的与信息安全相关的预期应达到的具体要求、标准或结果,信息安全控制目标应该是可测量的,控制措施：,可实现控制目标的所采取的机制或程