北京邮电大学 - 信息安全管理(第二版).ppt
- 文档编号:13524525
- 上传时间:2023-06-15
- 格式:PPT
- 页数:99
- 大小:2.97MB
北京邮电大学 - 信息安全管理(第二版).ppt
《北京邮电大学 - 信息安全管理(第二版).ppt》由会员分享,可在线阅读,更多相关《北京邮电大学 - 信息安全管理(第二版).ppt(99页珍藏版)》请在冰点文库上搜索。
,信息安全管理(第二版),,,信息安全管理,授课内容:
信息安全管理体系,信息安全管理,Informationsecuritymanagement,上节回顾,6,信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
上节回顾,6,信息安全管理的重要性,信息安全管理国内外现状,信息安全管理体系构成,本节内容,6,人力资源,IT信息管理,Finance财务管理,业务管理,职业安全,质量管理,环境管理,战略和投资管理,综合管理体系,市场/客户满意管理,党务管理,ISO27000信息安全,ISO100015培训体系人力资源管理体系,财务管理体系,战略和投资管理体系,ISO14001,ISO9000,BS8600客户满意管理体系,职业安全健康管理体系ISO18000,Qs9000,ISMC,常见管理体系,2.1信息安全管理体系概述,信息安全管理体系(InformationSecurityManagementSystem,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完整这些目标所用的方法和手段所构成的体系。
2.1信息安全管理体系概述,ISMS的范围包括:
组织所有的信息系统;组织的部分信息系统;特定的信息系统。
2.1信息安全管理体系概述,ISMS的特点:
以预防控制为主的思想;强调合规性;强调全过程和动态控制;关注关键性信息资产。
2.1信息安全管理体系概述,建立ISMS的步骤:
信息安全管理体系的策划与准备信息安全管理体系文件的编制建立信息安全管理框架信息安全管理体系的运行信息安全管理体系的审核与评审,2.1信息安全管理体系概述,ISMS的作用,强化员工的信息安全意识,规范组织信息安全行为;促使管理层贯彻信息安全保障体系;对关键信息资产进行全面系统的保护,维持竞争优势;确保业务持续开展并将损失降到最低程度;使组织的生意伙伴和客户对组织充满信心;如果通过体系认证,可以提高组织的知名度与信任度。
2.1信息安全管理体系概述,PDCA,P(Plan)计划,确定方针、目标和活动计划;D(Do)实施,实现计划中的内容;C(Check)检查,检查并总结执行计划的结果;A(Action)行动,对检查总结的结果进行处理。
2.1信息安全管理体系概述,PDCA,*P(Plan),分析目前现状,找出存在的问题;分析产生问题的各种原因以及影响因素;分析并找出管理中的主要问题;制定管理计划,确定管理要点。
2.1信息安全管理体系概述,PDCA,*D(Do),本阶段的任务是在管理工作中全面执行制定的方案。
2.1信息安全管理体系概述,PDCA,*C(Check),它是对实施方案是否合理、是否可行以及有何不妥的检查。
2.1信息安全管理体系概述,PDCA,*A(Action),对已解决的问题,加以标准化,找出尚未解决的问题,2.1信息安全管理体系概述,ISMS的PDCA,持续改进的PDCA过程,2.1信息安全管理体系概述,ISMS的PDCA,计划阶段,确定信息安全方针,确定信息安全管理体系的范围,制定风险识别和评估计划,制定风险控制计划,2.1信息安全管理体系概述,ISMS的PDCA,实施阶段,风险治理,保证资源、提供培训、提高安全意识,2.1信息安全管理体系概述,ISMS的PDCA,检查阶段,自治程序,日常检查,从其他处学习,内部信息安全管理体系审核,管理评审,趋势分析,2.1信息安全管理体系概述,ISMS的PDCA,行动阶段,不符合项,纠正和预防措施,2.1信息安全管理体系概述,ISMS的PDCA,PDCA循环是螺旋式上升和发展的。
2.1信息安全管理体系概述,BS7799信息安全管理体系,BS7799的发展历史,*1993年,英国贸易工业部,BS7799-1:
1995信息安全管理实施规则;,*1998年,BS7799-2:
1998信息安全管理体系规范;,*1999年,BS7799-1:
1999取代了BS7799-1:
1995标准,BS7799-2:
1999取代了BS7799-2:
1998标准;,2.2BS7799安全管理体系,BS7799的发展历史,*国际标准化组织于2000年12月正式将BS7799转化成国际标准ISO/IEC17799;,*2005年6月15日发布了最新版本ISO/IEC17799:
2005。
2.2BS7799安全管理体系,BS7799的发展历史,BS7799标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架。
2.2BS7799信息安全管理体系,BS7799的内容,*BS7799-1:
信息安全管理实施规则,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。
*BS7799-2:
信息安全管理体系规范,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并根据自己的需求采取适当的安全控制。
2.2BS7799信息安全管理体系,BS7799的内容,BS7799-1:
信息安全管理实施规则,BS7799-1:
信息安全管理实施规则作为国际信息安全指导标准ISO/IEC17799基础的指导性文件,包括11大管理要项,134种控制方法。
2.2BS7799信息安全管理体系,BS7799的内容,BS7799-1:
信息安全管理实施规则,2.2BS7799信息安全管理体系,BS7799的内容,BS7799-2:
信息安全管理体系规范,BS7799-2:
信息安全管理体系规范说明了建立、实施和维护信息安全管理体系(ISMS)的要求;指出实施组织需要通过风险评估来鉴定最适宜的控制对象;根据自己的需求采取适当的安全控制。
2.2BS7799信息安全管理体系,BS7799的内容,BS7799-2:
信息安全管理体系规范,BS7799-2的新版本ISO/IEC27001:
2005,ISO/IEC27001:
2005更注重PDCA的过程管理模式,能够更好的与组织原有的管理体系,如质量管理体系、环境管理体系等进行整合,减少组织的管理过程,降低管理成本。
2.2BS7799信息安全管理体系,BS7799的内容,BS7799-2:
信息安全管理体系规范,BS7799-2的新版本ISO/IEC27001:
2005,2005.10,英国信息安全管理体系标准BS7799-2:
2002作为国际标准ISO/IEC27001:
2005采用,标志着信息安全管理体系认证进入了一个新阶段。
2.2BS7799信息安全管理体系,BS7799的内容,BS7799-2:
信息安全管理体系规范,BS7799-2的新版本ISO/IEC27001:
2005,截至2005.11,全球共签发了1882张认证证书,如:
Siemens,NEC,CANON、EPON、IBM等。
2.2BS7799信息安全管理体系,27001标准族,27000,27001,27002,27003,27004,27005,27006,27007,ISMS原则和术语,ISMS要求2005,17799:
2005ISMS最佳实践,ISMS实施指南,管理度量,风险管理,信息安全管理体系审核认证机构要求,信息安全管理审计,2.3ISO27000标准族,每年成倍增长的全球ISMS认证证书,平均每天有10家组织机构通过ISO27001体系认证.,全球ISMS的现状,2.3ISO27000标准族,ISO27001/ISO27002标准发展,标准改版背景国际标准化组织(ISO组织)遵循所有标准每隔5年必须进行升级的原则。
当前版本的信息安全管理体系标准ISO27001:
2005与ISO27002:
2005已绊使用了8年。
ISO27001:
2005与ISO27002:
2005版在体系整合、控制项逻辑性不充分性等方面都有改进的空间。
2000年4月将BS7799-1:
1999提交ISO组织,同年10月获得通过成为ISO17799:
2000,BS7799标准1992年在英国首次作为行业标准发布,ISO17799:
2005正式更名为ISO27002:
2007,2013年10月19日修订原版使用:
ISO27001:
2013ISO27002:
201320072013,BS7799-2:
2002成为国际标准ISO27001:
2005ISO17799:
2000修订升级为ISO17799:
2005版2005,将BS7799-2:
2000进行修订发布了BS7799-2:
2002,2002,将BS7799-2:
1999进行修订发布了BS7799-2:
20002001,2000,在1998年、1999年绊过两次修订之后出版BS7799-1:
1999BS7799-2:
19991998/1999,1992,标准改版特点管理体系更容易整合:
在新版标准中采取AnnexSL做结构性要求,使信息安全管理体系更容易与其他管理体系融合。
融入企业面临新安全挑战:
对部分控制项进行了合并、删除,并且新增了部分控制项以反映当前信息安全发展趋势。
更多指引延伸参考:
新增许多指引供企业参考,组织可以通过不同的面以及风险进行深度的强化。
2.3ISO27000标准族,ISMS在中国,2000年前后,ISMS开始被中国用户认识2002年11月,ISMS国家标准开始被研究和制定2005年6月15日,我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”,该标准修改采用ISO/IEC17799:
20002006年3月,国信办在5个单位开展ISMS标准应用试点工作2006年4月,认监委批准4家ISMS试点认证机构2006年11月,成立中国信息安全认证中心2007年4月,中国向国际标准化组织ISO/IECJTC1/SC27提出ISMS审核标准提案2008年GB22080-2008-T信息技术安全技术信息安全管理体系要求2008年GB22081-2008-T信息技术安全技术信息安全管理实用规则,2.3ISO27000标准族,可以强化员工的信息安全意识,规范组织信息安全行为。
对组织的关键信息资产进行全面系统的保护,维持竞争优势。
在信息系统受到侵害时,确保业务连续开展并将损失降到最低程度。
向贸易伙伴证明对信息安全的承诺,使贸易伙伴和客户对组织充满信心。
如果通过体系认证,表明组织的信息安全体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度。
促使管理层坚持贯彻信息安全保障体系。
通过ISO27001认证的意义,2.3ISO27000标准族,ISMS核心思想,IS0/IEC27001:
2005的要求,2.3ISO27000标准族,IS0/IEC27001:
2005的要求,2.3ISO27000标准族,11个控制域,39个控制目标,133个控制项,10个控制域,36个控制目标,127个控制项,对比ISO17799:
2000老版,ISO27001系列标准的ISMS主体内容,2.3ISO27000标准族,ISO27001:
源自BS7799-2框架体系是建立信息安全管理系统(ISMS)的一套规范,一个完整的解决方案,ISO27001的内容框架,2.3ISO27000标准族,ISO/IEC27001的要求,ISO/IEC27001:
2005附录A的要求,2.3ISO27000标准族,ISMS实施过程,前期准备,现状调查,风险评估,体系建立,IT资产评估,确定风险水平,IT过程评估(试点),培训,风险管理策略,体系运行,成立项目小组,宣传动员,确定项目实施方案,培训,2.3ISO27000标准族,领导重视:
制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估的基础之上预防控制为主的思想原则全员参与原则动态管理原则持续改进:
遵循管理的一般循环模式PDCA模式持续性原则文件化,ISO27001实施体现以下原则,2.3ISO27000标准族,2.3ISO27000标准族,Procedures,WorkInstructions,checklists,forms,etc.,Records,SecurityManual,Policy,scoperiskassessment,statementofapplicability,Describesprocesseswho,what,when,where(4.1-4.10),Describeshowtasksandspecificactivitiesaredone,ProvidesobjectiveevidenceofcompliancetoISMSrequirementsclause3.6,ManagementframeworkpoliciesrelatingtoISO27001:
2005Clause4,Level2,Level3,Level4,ISO27001体系要求基本文档,Level1,ISO27001文档体系结构,第一级方针策略信息安全管理手册是XXXX信息安全管理工作的纲领性文件。
第二级管理规定、规范、程序文件用来规定所要求的管理制度或技术控制措施。
第三级作业指导书解释特殊工作和活动的细节;场所文件规定某一工作区域的要求。
第四级记录活动实行以符合等级1,2,和3的文件要求的客观证据,阐明所取得的结果或提供完成活动的证据,2.3ISO27000标准族,ISO27001文档体系结构-主策略,2.3ISO27000标准族,ISO27001文档体系结构-程序文件,2.3ISO27000标准族,ISO27001文档体系结构-操作流程,2.3ISO27000标准族,ISO27001文档体系结构,2.3ISO27000标准族,ISO27001最新版本为ISO27001:
20132013年10月正式发布对比:
ISO27001:
201314个控制域35个控制目标114个控制项ISO27001:
200511个控制域39个控制目标133个控制项,2.3ISO27000标准族,ISO27001:
2013,ISOGuide83:
国际标准未来框架,单化,这也将使标准更易读、易懂。
所有管理体系标准将遵循ISOSupplementAnnexSL的要求,以便整,合其他标准文件中的不同主题和要求,如:
统一定义,如:
组织、相关方、方针、目标、能力、符合性统一的表述,如:
最高管理者应确保组织内的职责、权限得到规定和沟通。
1.Scope范围2.NormativeReference规范性引用文件,4.ContextoftheOrganization组织环境,5.Leadership领导力,6.Planning策划,7.Support支持,8.Operation运行,9.PerformanceEvaluation绩效评价,10.Improvement改进,ISO27001,ISO20000,ISO22301,.,导则83:
明确了ISO国际标准未来发展框架及方向3.TermsandDefinitions术语和定义,管理体系标准新结构和格式国际标准化组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。
这将确保今后编制或修订管理体系标准的持续性、整合性和简,PAS99:
整合管理体系,4.ContextoftheOrganization组织环境PAS99IntegratedManagementFramework,5.Leadership领导力Plan6.Planning策划,7.Support支持,DO,8.Operation运行,Check,10.Improvement改进Act9.PerformanceEvaluation绩效评价,ISO27001:
2013标准结构调整,相关方,相关方,信息安全要求和期望,受控的信息安全,输入,组织环境,领导力,策划支持,改进绩效评价,输入,运行文件信息,新标准正文内容结构,2.3ISO27000标准族,ISO27001:
2013,ISO27001:
2013文档结构与PDCA,新标准正文结构变化,0.前言1.范围2.规范性引用文件3.术语和定义4.信息安全管理体系4.1总要求4.2建立和管理ISMS4.3文件要求5.管理职责6.ISMS内部审核7.ISMS的管理评审8.ISMS改进,0.前言1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导力6.策划7.支持8.运行9.绩效评价10.改进,ISO27001:
2013,新标准正文内容简介,本章详细叙述了建立、实施、保持和改进一个有效的信息安全管理体系所要求的支持。
包括:
资源要求、,ISO27001:
2013,新标准正文内容简介,ISO27001:
2013,新标准控制域变化,ISO27001:
2013DISA.5安全方针A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码学(新增)A.11物理与环境安全A.12操作安全(拆分)A.13通信安全(拆分)A.14信息系统获取、开发和维护A.15供应关系(新增)A.16信息安全事件管理A.17信息安全方面的业务连续性管理A.18符合性,ISO27001:
2005A.5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理与环境安全A10通信和操作管理A11访问控制A12信息系统获取、开发和维护A13信息安全事件管理A14业务连续性管理A15符合性,Tips,2005版原本有11个领域、133项控制措施;新版标准目前调整为14个领域、113个控制措施.控制措施变化:
增加11个、删除26个、合并减少5个,总计减少了20个。
ISO27001:
2013,新增控制措施介绍,ISO27001:
2013,合并控制措施介绍,ISO27001:
2013,删除控制措施介绍,ISO27001:
2013,删除控制措施介绍,ISO27001:
2013,删除控制措施介绍,ISO27001:
2013,ISO27000标准系列,ISO27000标准系列,ISO27000标准系列,ISO27001:
2013DIS版草稿向公众开放并征求意见。
2013年6-7月发布DIS最终版。
发布DIS最终版,ISO组织公布的正式版本的颁布时间为2013年10月19日。
发布正式版,个月内是认证转换缓冲期,即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。
完成认证转换,新标准认证转换时间安排在新版公布后的18至24,体系认证换证方案,Plan,Do,Check,Action,最佳实践,国际国内标准,监管要求,法律法规,安全实践,项目准备,获得新版证书,现状调研,风险评估,体系建设,体系运行,认证审核,1.项目资源准备2.项目计划编制3.实施工具准备4.项目启劢大会5.新版标准培训,课堂培训、共同实施、资料交付、知识转移,1.体系文件评审2.现场访谈走查3.安全技术评估4.新版差距分析5.现状调研总结,1.评估方法更新2.信息资产更新3.安全风险分析4.安全风险处置5.风险评估总结,1.体系整合设计2.文件架构更新3.制度文件编写4.制度文件评审5.制度文件发布,1.体系运行跟踪2.运行工具更新3.体系内部审核4.体系管理评审5.体系持续改进,1.宣传培训2.文件审核3.现场审核4.审核整改5.宣传展示,基于SSE-CMM的信息安全管理体系,系统安全工程能力成熟度模型(SystemSecurityEngineering-CapabilityMaturityModel,SSE-CMM)的提出是为了改善安全系统、产品和服务的性能、价格及可用性。
2.4基于SSE-CMM的管理体系,基于SSE-CMM的信息安全管理体系,SSE-CMM是一个过程参考模型关注的是信息技术安全(ITS)领域内某个系统或者若干相关系统实现安全的要求SSE-CMM关注的是用来实现ITS的过程,尤其是这些过程的成熟度SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。
而是希望准备使用SSE-CMM的组织利用其现有的过程那些以其他任何信息技术安全指导文件为基础的过程,2.4基于SSE-CMM的管理体系,基于SSE-CMM的信息安全管理体系,SSE-CMM范围包括:
涉及整个生存周期的安全产品或可信系统的系统安全工程活动:
概念定义、需求分析、设计、开发、集成、安装、运行、维护、最终退役对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求;适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。
2.4基于SSE-CMM的管理体系,基于SSE-CMM的信息安全管理体系,【原文标准名称】信息技术.系统安全工程.能力成熟度模型【标准号】GB/T20261-2006【标准状态】现行【国别】中国【发布日期】2006-03-14【实施或试行日期】2006-07-01【发布单位】国家质检总局(SBTS)【起草单位】中国电子技术标准化研究所;中国电子科技集团公司第三十研究所;北京思乐信息技术有限公司,2.4基于SSE-CMM的管理体系,SSE-CMM概述,*1993年4月,美国国家安全局(NSA)对当时各类能力成熟度模型(CMM)工作状况进行研究;,*1996年10月出版了SSE-CMM的第一个版本;,*1999年4月SSE-CMM模型和相应评估方法2.0版发布;,*2002年,国际标准化组织正式公布了系统安全工程能力成熟度模型的标准,即ISO/IEC21827:
2002。
2.4基于SSE-CMM的管理体系,SSE-CMM概述,SSE-CMM由50多个组织共同开发,其中有许多跨国公司。
这个项目的代表来自好几个国家,特别是澳大利亚、加拿大、欧洲和美国。
通过各种各样的聚会形式(包括会议上的介绍和分组讨论)以及公众互联网网站www.sse-cmm.org,SSE-CMM项目在不断地寻找新的参与者。
2.4基于SSE-CMM的管理体系,SSE-CMM的作用,工程组织包括系统集成商、应用开发者、产品厂商和服务供应商。
对于这些组织,SSE-CMM的作用包括:
通过可重复和可预测的过程及实施来减少返工;获得真正工程执行能力的认可,特别是在资源选择方面;侧重于组织的资格(成熟度)度量和改进。
2.4基于SSE-CMM的管理体系,SSE-CMM的作用,获取组织包括从内部/外部获取系统、产品和服务的组织以及最终用户。
对于这些组织,SSE-CMM的作用:
可重用的(RequestforProposal,RFP)标准语言和评定方法;减少选择不合格投标者的风险(性能、成本和工期风险);进行基于工业标准的统一评估,减少争议;在产品生产和提供服务过程中建立可预测和可重复级的可信度。
2.4基于SSE-CMM的管理体系,SSE-CMM的作用,评估机构包括系统认证机构、系统授权机构和产品评估机构。
对于这些机构,SSE-CMM的作用包括:
可重用的过程评定结果,并与系统或产品变化无关;在安全工程中以及安全工程与其他工程集成中的信任度;基于能力的显见可信度,减少安全评估工作量。
2.4基于SSE-CMM的管理体系,SSE-CMM的基本概念,*组织被定义为公司内部的单位、整个公司或其他实体(如政府机构或服务机构)。
*项目是各种活动和资源的总和,这些活动和资源用于开发或维护一个特定的产品或提供一种服务。
2.4基于SSE-CMM的管理体系,SSE-CMM的基本概念,系统:
提供某种能力用以满足一种需要或目标的人员、产品、服务和过程的综合;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 北京邮电大学 信息安全管理第二版 北京邮电 大学 信息 安全管理 第二