XXXX版-CISP0301信息安全管理基础与管理体系_v30

《XXXX版-CISP0301信息安全管理基础与管理体系_v30》由会员分享，可在线阅读，更多相关《XXXX版-CISP0301信息安全管理基础与管理体系_v30（102页珍藏版）》请在装配图网上搜索。

1、信息安全管理基础与管理体系信息安全管理基础与管理体系培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容课程内容2信息安全信息安全管理基础管理基础知识体知识域信息安全管理信息安全管理方法与实施方法与实施知识子域信息安全管理方法信息安全管理方法信息安全管理作用信息安全管理作用信息安全管理基本概念信息安全管理基本概念信息安全管理实施信息安全管理实施信息安全管理信息安全管理概述概述知识域：信息安全管理概述知识域：信息安全管理概述知识子域：知识子域：信息安全管理信息安全管理基本基本概念概念v 理解管理、信息安全管理的概念，理解信息安全管理的对象v 理解以建立体

2、系的方式实施信息安全管理的必要性v 理解体系、管理体系、信息安全管理体系的概念3信息安全管理的定义信息安全管理的定义v信息信息v信息安全信息安全v管理管理v信息安全管理信息安全管理4管理、信息安全管理管理、信息安全管理v 管理管理指挥和控制组织的协调的活动。（-ISO9000:2005 质量管理体系 基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。v 信息安全管理信息安全管理管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。5信息安全管理的对象信息安全管理的对象6n信息安全管理的

3、对象：包括人员在内的各类信息相关资产。规则人员目标组织以建立体系的方式实施信息安全管以建立体系的方式实施信息安全管理的必要性理的必要性7n信息安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难n信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施信息安全管理体系的定义信息安全管理体系的定义v体系体系v管理体系管理体系v信息安全管理体系信息安全管理体系8信息安全管理体系的定义信息安全管理体系的定义v 体系体系：相互关联和相互作用的一组要素。（-ISO9000:2005 质量管理体系 基础和术语）v 管理体系管理体系：建立方

4、针和目标并达到目标的体系。（-ISO9000:2005 质量管理体系 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。（-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）v 信息安全管理体系信息安全管理体系 (ISMS：Information Security Management System)：整体管理体系的一部分，基于业务风险的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。（-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）建立信息安全方针和目标并达到这些目标的体系。为达到组织信息安

5、全目标的策略、程序、指南和相关资源的框架。910v 信息安全管理体系，包括的要素有：信息安全组织架构 信息安全方针 信息安全规划活动 信息安全职责 信息安全相关的实践、规程、过程和资源.v 这些要素既相互关联又相互作用信息安全管理体系的构成要素信息安全管理体系的构成要素信息安全管理体系的特点信息安全管理体系的特点v 信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系v 体系的建立基于系统、全面、科学的信息安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方

6、面的要求v 强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性1112v 狭义狭义的的信息安全管理体系信息安全管理体系：指按照ISO27001标准定义的ISMSv 广义的信息安全管理体系广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系狭义和广义狭义和广义的信息安全管理体系的信息安全管理体系知识域：信息安全管理概述知识域：信息安全管理概述知识子域：知识子域：信息安全管理作用信息安全管理作用v 理解信息安全管理的重要作用v 理解信息安全管理体系的

7、作用v 理解实施信息安全管理的关键成功因素13信息安全管理的作用信息安全管理的作用14n（一）（一）信息安全管理是组织整体管理信息安全管理是组织整体管理的重要、固有组成部分，是组织实现的重要、固有组成部分，是组织实现其业务目标的重要保障其业务目标的重要保障15信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的作用信息安全管理的作用应对风险需要人为的管理过程信息安全管理的作用信息安全管理的作用v 如今，信息安全问题已经成为组织业务正常运营和持续发展的最大威胁v 信息安全问题本质上是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的v 实现信息安全是一个多层面、多因素

8、的过程，也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力v 如果组织想当然地制定一些控制措施和引入某些技术产品，难免存在挂一漏万、顾此失彼的问题，使信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平16信息安全管理的作用信息安全管理的作用v 信息安全管理，是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分具有能动性的部分v理解并重视管理对于信息安全的关键作用，制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要v组织建立一个管理框架，让好的安全策略在这个框架内实施，并不断得到修正，才可能为业务的正常

9、持续运作提供可靠的信息安全保障17信息安全管理的作用信息安全管理的作用18n（二）（二）信息安全管理是信息安全技术信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发的融合剂，保障各项技术措施能够发挥作用挥作用信息安全管理的作用信息安全管理的作用19v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗保险柜就一定安全吗？20精心设计的网络精心设计的网络防御体系，因违防御体系，因违规外连形同虚设规外连形同虚设防火墙能解决这样的问题吗？防火墙能解决这样的问题吗？信息安全管理的作用信息安全管理的作用v解决信息安全问题，成败通常取决于两个因素，一个是技术，另

10、一个是管理v安全技术是信息安全控制的重要手段，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败v说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂v技术和产品是基础，管理才是关键v产品和技术，要通过管理的组织职能才能发挥最佳作用信息安全管理的作用信息安全管理的作用21v技术不高但管理良好的系统远比技术高超但管理混乱的系统安全v只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证v根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用信息安全管理的作用v人们常说，三分技术，七

11、分管理，可见管理对信息安全的重要性 22信息安全信息安全“技管并重技管并重”的原则的原则v对于信息安全，到底是技术更重要，还是管理更重要？v强调信息安全管理，并不是要削弱信息安全技术的作用，开展信息安全管理要处理好管理和技术的关系v技管并重。“坚持管理与技术并重坚持管理与技术并重”是我国是我国加强信息安全加强信息安全保障工作的主要原则之一保障工作的主要原则之一23信息安全管理的作用信息安全管理的作用24n（三）（三）信息安全管理能预防、阻止或信息安全管理能预防、阻止或减少信息安全事件的发生减少信息安全事件的发生信息安全管理的作用信息安全管理的作用v统计结果显示，在所有信息安全事故中，只有20%

12、30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的v统计结果表明，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术原因，不如说是管理不善造成的v因此，防止发生信息安全事件不应仅从技术着手，同时更应加强信息安全管理25对信息安全的正确理解对信息安全的正确理解26信息安全管理体系的作用信息安全管理体系的作用对内：v能够保护关键信息资产和知识产权，维持竞争优势v在系统受侵袭时，确保业务持续开展并将损失降到最低程度v建立起信息安全审计框架，实施监督检查v建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查v强化员工的信息安全意识，建立

13、良好的安全作业习惯，培育组织的信息安全企业文化v按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性27信息安全管理体系的作用信息安全管理体系的作用对外：v能够使各利益相关方对组织充满信心v能够帮助界定外包时双方的信息安全责任v可以使组织更好地满足客户或其他组织的审计要求v可以使组织更好地符合法律法规的要求v若通过了ISO27001认证，能够提高组织的公信度v可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全28实施信息安全管理的关键成功因素实施信息安全管理的关键成功因素(CSF)(CSF)v 组织的信息安全方

14、针和活动能够反映组织的业务目标v 组织实施信息安全的方法和框架与组织的文化相一致v 管理者能够给予信息安全实质性的、可见的支持和承诺v 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解v 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识v 向全员和其他相关方分发并宣贯信息安全方针、策略和标准v 管理者为信息安全建设提供足够的资金v 向全员提供适当的信息安全培训和教育v 建立有效的信息安全事件管理过程v 建立有效的信息安全测量体系29知识域：信息安全管理方法与实施知识域：信息安全管理方法与实施知识子域：知识子域：信息安全管理信息安全管理方法方法v 理解风险管理是信息安全

15、管理的基本方法，理解风险评估是信息安全管理的基础，风险处理是信息安全管理的核心，理解控制措施是管理风险的具体手段v 理解过程方法是信息安全管理的基本方法，理解过程和过程方法的含义，理解PDCA模型30风险评估是信息安全管理的基础风险评估是信息安全管理的基础v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定v信息安全管理体系的建立需要确定信息安全需求v信息安全需求获取的主要手段就是安全风险评估v信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据31风险处理是信息

16、安全管理的核心风险处理是信息安全管理的核心v风险处理是对风险评估活动识别出的风险进行决策，采取适当的控制措施处理不能接受的风险，将风险控制在可按受的范围v风险评估活动只能揭示组织面临的风险，不能改变风险状况v只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足，才能实现其信息安全目标v信息安全管理的核心就是这些风险处理措施的集合32风险管理是信息安全管理的根本方法风险管理是信息安全管理的根本方法33v应对风险评估的结果进行相应的风险处理。本质上，风险处理的最佳集合就是信息安全管理体系的控制措施集合v梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程v周期性的风

17、险评估与风险处理活动即形成对风险的动态管理v动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法控制措施是管理风险的具体手段控制措施是管理风险的具体手段34v管理风险的具体手段是控制措施v风险处理时，需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施，那些不可接受的高风险才能降低到可以接受的水平之内控制措施控制措施的类别的类别35v从手段来看从手段来看，可以分为技术性、管理性、物理性、法律性等控制措施v从功能来看从功能来看，可以分为预防性、检测性、纠正性、威慑性等控制措施v从影响范围来看从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全

18、、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域n过程过程 process 一组将输入转化为输出的相互关联或相互作用的活动。(-ISO/IEC 27000:2009、ISO 9000:2005)n过程方法过程方法 process approach一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。(-ISO/IEC 27001:2005)系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法”。(-ISO 9000:2005)过程、过程方法的概念过程、过程方法

19、的概念36过程方法示意图活动活动测量、改进测量、改进责任人责任人资资 源源记记 录录输入输入输出输出过程方法过程方法37信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要

20、收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营活动活动测量、改进资源资源记录记录过程的分解过程的分解v过程和子过程的每一个方面都是受控的，过程的输出才是有保障的过程和子过程的每一个方面都是受控的，过程的输出才是有保障的输出输出责任人责任人输入输入38A规划实施检查处置PDCPDCAPDCA循环循环39PDCAPDCA循环循环40PDCAPDCA也称也称“戴明环戴明

21、环”，由美国质量管理专家戴明提出，由美国质量管理专家戴明提出vP P（PlanPlan）：）：计划，确定方针和目标，确定活动计划vD D（DoDo）：）：实施，实际去做，实现计划中的内容vC C（CheckCheck）：）：检查，总结执行计划的结果，注意效果，找出问题vA A（ActAct）：）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环41v特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 9090处置处置实施实施规划规划检查检查C CA AD DP Pv特点二：组织中的

22、每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP Pv特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环90909090处置处置实施实施规划规划检查检查C CA AD DP P达到新的水平达到新的水平改进改进(修订标准修订标准)维持原有水平维持原有水平90909090处置处置实施实施规划规划检查检查C CA AD DP PPDCAPDCA循环的特征与作用循环的特征与作用vPDCA循环，能够提供一种优秀的过程方法，循环，能够

23、提供一种优秀的过程方法，以实现持续改进以实现持续改进v遵循遵循PDCA循环，循环，能使任何一项活动都有效地能使任何一项活动都有效地进行进行PDCAPDCA循环的作用循环的作用42知识域：信息安全管理方法与实施知识域：信息安全管理方法与实施知识子域：知识子域：信息安全管理信息安全管理实施实施v 理解建设信息安全管理体系是系统地实施信息安全管理的一种方法v 理解建设信息安全等级保护是系统地实施信息安全管理的一种方法v 了解基于NIST SP 800进行信息安全建设是实施信息安全管理的一种方法43vISMS是一种常见的对组织信息安全进行全面、系统是一种常见的对组织信息安全进行全面、系统管理的方法管理

24、的方法vISMS是由是由ISO27001定义的一种有关信息安全的管定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的理体系，是一种典型的基于风险管理和过程方法的管理体系管理体系v周期性的风险评估、内部审核、有效性测量、管理周期性的风险评估、内部审核、有效性测量、管理评审，是评审，是ISMS规定的四个必要活动，能确保规定的四个必要活动，能确保ISMS进入良性循环、持续自我改进进入良性循环、持续自我改进信息安全管理体系信息安全管理体系44信息安全管理体系持续改进的信息安全管理体系持续改进的PDCAPDCA循环过程循环过程45v 信息安全管理体系是PDCA动态持续改进的一个循环体

25、输入相关方信息安全要求和期望相关方受控的信息安全输出45vISMSISMS的核心内容可以概括为的核心内容可以概括为4 4句话句话 1.规定你应该做什么并形成文件规定你应该做什么并形成文件：Plan2.做文件已规定的事情做文件已规定的事情：Do3.评审你所做的事情的符合性评审你所做的事情的符合性：Check4.采取纠正和预防措施，持续改进采取纠正和预防措施，持续改进：Act用用PDCAPDCA来理解什么是信息安全管理体系来理解什么是信息安全管理体系4647ISO/IEC 27000ISO/IEC 27000标准族标准族27000270032700427008 27000信息安全管理体系信息安全管

26、理体系概述和术语概述和术语 27001信息安全管理体系信息安全管理体系要求要求27002 信息安全信息安全控制措施控制措施实用规则实用规则27003信息安全管理体系信息安全管理体系实施指南实施指南27004 信息安全管理测量信息安全管理测量 27005 信息安全风险管理信息安全风险管理27006 提供信息安全管理提供信息安全管理体系审核和认证机体系审核和认证机构的要求构的要求27007 信息安全管理体系信息安全管理体系审核指南审核指南27008信息安全管理体系信息安全管理体系控制措施审核员指控制措施审核员指南南27001270022700027006270052700327004信息安全管理体

27、系基本原理和词汇信息安全管理体系基本原理和词汇 vISO27000ISO27000标准族日益完善，已经开发和计划开发的标准有标准族日益完善，已经开发和计划开发的标准有6060余项余项v信息安全等级保护也是一种常见的对组织的信息安信息安全等级保护也是一种常见的对组织的信息安全进行全面、系统管理的实施方法全进行全面、系统管理的实施方法v依据计算机信息系统安全保护条例对信息安全依据计算机信息系统安全保护条例对信息安全进行全面管理的一套机制进行全面管理的一套机制v将信息系统按照重要性和受破坏危害程度分成五个将信息系统按照重要性和受破坏危害程度分成五个安全保护等级，不同保护等级的系统分别给予不同安全保护

28、等级，不同保护等级的系统分别给予不同级别的保护级别的保护v系统系统定级、安全建设定级、安全建设/整改、自查、等级测评、整改、自查、等级测评、系统系统备案和监督检查是信息安全等级保护的六个规定活备案和监督检查是信息安全等级保护的六个规定活动动信息安全等级保护信息安全等级保护48v参照参照NIST SP 800进行建设进行建设也是一种常见的对组织的也是一种常见的对组织的信息安全进行全面、系统管理的实施方法信息安全进行全面、系统管理的实施方法vNIST SP 800是由美国国家标准与技术研究院发布的是由美国国家标准与技术研究院发布的一系列特别出版物（一系列特别出版物（Special Publicat

29、ions，SP），是关于计算机安全的指南文档是关于计算机安全的指南文档v美国美国联邦信息安全管理法案（联邦信息安全管理法案（Federal Information Security Management Act，FISMA），专门指定），专门指定NIST负责开展信息安全标准、指导方针的制定负责开展信息安全标准、指导方针的制定NIST SP 800NIST SP 800规范规范49vSP 800-37描述了此系列规范遵从的描述了此系列规范遵从的风险管理框架风险管理框架NIST SP 800NIST SP 800规范规范50vSP 800-37 给出了递升给出了递升的的风险管理方法风险管理方法NI

30、ST SP 800NIST SP 800规范规范51三种典型信息安全管理实施方法的三种典型信息安全管理实施方法的区别和联系区别和联系52 应用对象应用对象应用特点应用特点ISMSISMS各种类型的组织（有体系建立需求）完全以市场化需求为主，不具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求等级保等级保护护国家基础网络和重要信息系统作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全NIST NIST SP 800SP 800联邦机构或非政府组织与FIPS不同，是非强制性

31、的。但联邦机构应采纳FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。以风险管理方法为基础，应用时有一定的灵活性课程内容课程内容53知识体知识域知识子域信息安全信息安全管理体系管理体系信息安全信息安全管理体系建设管理体系建设信息安全管理体系认证信息安全管理体系认证文档控制文档控制管理职责管理职责规划与建立规划与建立ISMS信息安全信息安全管理体系基础管理体系基础内部审核和管理评审内部审核和管理评审信息安全信息安全控制措施控制措施实施和运行实施和运行ISMS监视和评审监视和评审ISMS保持和改进保持和改进ISMS知识域：信息安全管理体系基础知识域：信息安全管理体系基础知识子域

32、：知识子域：管理职责管理职责v 理解管理者履行管理职责对成功实施信息安全管理体系（ISMS）的重要推动作用v 掌握实施ISMS过程中管理者应承担的管理职责的主要内容54管理者履行管理职责的重要作用管理者履行管理职责的重要作用v管理层管理层切实切实履行相应的管理职责是履行相应的管理职责是ISMSISMS能够成功能够成功实施的最关键因素，实施的最关键因素，会对会对ISMSISMS建设产生推动作用建设产生推动作用v管理者提供足够的资源是对管理者提供足够的资源是对ISMSISMS建设实质性的支建设实质性的支持持55主要管理职责主要管理职责v承担并履行职责承担并履行职责制定并颁布信息安全方针确保ISMS

33、目标和相应的计划得以制定建立信息安全的角色和职责向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性决定风险可接受级别和风险可接受准则确保ISMS内部审核的执行实施ISMS的管理评审v提供足够资源提供足够资源资金能胜任相关工作的人员（通过提供培训、教育）56知识域：信息安全管理体系基础知识域：信息安全管理体系基础知识子域：知识子域：文档控制文档控制v 理解文档化对实施ISMS的重要性v 理解风险评估结果是编制ISMS文件的依据v 了解对ISMS文件和记录进行保护和控制的常规措施57文档化对实施文档化对实施ISMSISMS的重要性的重要性v文档包括文件文档包括文件(如方针

34、、策略、标准、指南等如方针、策略、标准、指南等)和记和记录录v文件文件是是ISMS的一个关键要素，的一个关键要素，是是组织内部的组织内部的“法法”，也是，也是ISMS审核的依据审核的依据v记录记录是文件执行情况的客观证据，为各项控制措施是文件执行情况的客观证据，为各项控制措施是否有效实施、是否有效实施、ISMS是否有效运行提供客观证据是否有效运行提供客观证据v层次化的文档是层次化的文档是ISMS建设的直接体现，也是建设的直接体现，也是ISMS建设的成果之一建设的成果之一v应对文件和记录进行控制应对文件和记录进行控制58文件编制依据文件编制依据v风险评估的结果是文件编制的直接依据风险评估的结果是

35、文件编制的直接依据v有风险的地方才需要管理和控制有风险的地方才需要管理和控制v依据风险评估结果编制的文件体系才是最适合的、依据风险评估结果编制的文件体系才是最适合的、最需要的最需要的59易于管理和维护的易于管理和维护的ISMSISMS层次化文档结构层次化文档结构方针、手册等方针、手册等管理制度、程序、策略文件等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行计划、表格、报告、各种运行/检查记录、日志文件等检查记录、日志文件等一级文件一级文件二级文件二级文件三级文件三级文件四级文件四级文件n一级文件：方针性文件n二级

36、文件：信息安全管控程序、管理规定性文件n三级文件：操作指南、作业指导书类n四级文件：体系运行的各种记录下级文件应支持上级文件 60文件控制文件控制v文件在发布以前，应得到相应级别管理层的批准文件在发布以前，应得到相应级别管理层的批准v定期评审、更新并再次得到批准，当发生重大变化或定期评审、更新并再次得到批准，当发生重大变化或重大信息安全事件时应及时评审重大信息安全事件时应及时评审和和修订修订v对文件的修订和修订状态、版本进行标识对文件的修订和修订状态、版本进行标识，确保员工确保员工使用文件的最新版本使用文件的最新版本v标明每份文件的密级和分发范围标明每份文件的密级和分发范围61记录控制记录控制

37、v明确明确记录的保存环境要求记录的保存环境要求v明确明确保存期限要求保存期限要求v明确明确访问控制要求访问控制要求v明确明确检索要求检索要求（比如，支持按特定条件进行查询比如，支持按特定条件进行查询和统计和统计）62知识域：信息安全管理体系基础知识域：信息安全管理体系基础知识子域：知识子域：内部审核和管理评审内部审核和管理评审v 了解内部审核的概念，以及内部审核的目的、实施主体、实施方式、审核准则v 了解管理评审的概念，以及管理评审的目的、实施主体、实施对象、实施方式63内部审核内部审核v是用于内部目的，由组织自己或以组织的名义所是用于内部目的，由组织自己或以组织的名义所进行的审核进行的审核v

38、也称第一方审核也称第一方审核v是是ISMS能够持续改进的重要动力之一能够持续改进的重要动力之一v组织应按照既定的周期实施组织应按照既定的周期实施ISMS内部审核内部审核64内部审核内部审核v目的目的确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求确定各项控制措施是否得到有效的实施和保持确定员工的业务行为是否符合组织ISMS文件所规定的要求v实施主体实施主体ISMS内审小组v实施方式实施方式文件审核、现场审核v审核准则审核准则相关标准、法规法规、合同条款、ISMS文件65管理评审管理评审v为实现已建立的目标为实现已建立的目标，而进行的确定管理体系的而进行的确定管理体系

39、的适宜性、充分性和有效性的活动适宜性、充分性和有效性的活动v也也是是ISMS能够持续改进的重要动力之一能够持续改进的重要动力之一v组织应按照既定的周期实施组织应按照既定的周期实施ISMS管理评审管理评审66管理评审管理评审v目的目的确保组织的ISMS持续具备适宜性、充分性和有效性v实施主体实施主体组织的高级管理层v实施对象实施对象ISMS文件体系、各种管理评审输入材料v实施方式实施方式最常见的是召开管理评审会议，由组织的高级管理层亲自主导实施67知识域：信息安全管理体系基础知识域：信息安全管理体系基础知识子域：知识子域：信息安全管理体系认证信息安全管理体系认证v 了解ISMS认证的概念v 理解

40、ISMS认证是促进信息安全管理体系改进的一种外部驱动力68ISMSISMS认证认证v ISMS认证，是由认证，是由ISMS认证机构依据认证机构依据ISO/IEC 27001对申对申请组织的请组织的ISMS进行审核，并向通过审核的申请组织颁发进行审核，并向通过审核的申请组织颁发ISMS认证证书的活动认证证书的活动v 认证机构是指那些从事对产品（服务）、过程、体系或认证机构是指那些从事对产品（服务）、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构人员是否符合规定要求实施认证活动的合格评定机构v ISMS认证是证明一个组织的信息安全水平达到并满足认证是证明一个组织的信息安全水平达到并满足

41、ISMS国际国际/国家标准要求的有效途径国家标准要求的有效途径v ISMS认证认证活动活动，能从第三方客观公正的角度，发现，能从第三方客观公正的角度，发现ISMS存在的不足和问题存在的不足和问题，是促进，是促进ISMS持续改进的一种持续改进的一种外部驱动外部驱动力力69ISMSISMS认证认证v ISMS认证通常包含一组审核，包括初次认证审核、年度认证通常包含一组审核，包括初次认证审核、年度监督审核和复审监督审核和复审v ISMS认证证书有效期一般为三年，颁发认证证书后的第认证证书有效期一般为三年，颁发认证证书后的第一、第二年需要进行年度监督审核，第三年进行复审，一、第二年需要进行年度监督审核

42、，第三年进行复审，复审通过后重新颁发认证证书复审通过后重新颁发认证证书70知识域：信息安全管理体系建设知识域：信息安全管理体系建设知识子域：知识子域：规划与建立规划与建立ISMSISMSv 理解定义ISMS范围和边界、实施风险评估、获得管理者对残余风险的批准等规划与建立ISMS的主要工作内容71采用过程方法来建立和管理采用过程方法来建立和管理ISMSISMS72vISO27001要求采用过程方法来建立、实施和运行、监视和评审、保持和改进组织的ISMSv按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了ISMS的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的

43、ISMSISMS应用过程方法的结构应用过程方法的结构73规划与建立规划与建立ISMSISMSv P1-定义ISMS范围和边界v P2-制定ISMS方针v P3-确定风险评估方法v P4-实施风险评估v P5-选择、评价和确定风险处理方式、处理目标和处理措施v P6-获得管理者对建议的残余风险的批准v P7-获得管理者对实施和运行ISMS的授权v P8-编制适用性声明（SoA）74P1-P1-定义定义ISMSISMS范围和边界范围和边界75vISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMSv在定义ISMS范围时，应重点考虑

44、组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域v在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理P2-P2-制定制定ISMSISMS方针方针76v信息安全方针是组织的管理层制定的一个高层文件，用于指导组织如何对资产进行管理、保护和分配的规则和指示v信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工v信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容P3-P3-确定风险评估方法确定风险评估方法77v 识别并确定

45、适合ISMS的风险评估方法，确保风险评估产生可比较的和可再现的结果v 组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括：业务环境 业务性质与业务重要性 对支持组织业务活动的信息系统的依赖程度 业务内容、支持系统、应用软件和服务的复杂性 贸易伙伴、外部业务关系、合同数量的大小v 这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂v 制定接受风险的准则，识别可接受的风险级别P4-P4-实施风险评估实施风险评估78v风险评估准备v风险要素识别识别ISMS范围内的资产及其责任人1识

46、别资产所面临的威胁识别可能被威胁利用的脆弱点识别已有的控制措施v风险分析分析事件发生的可能性分析事件造成的影响实施风险计算v风险结果判定评估风险的等级综合评估风险状况1 术语“责任人”标识了已经获得批准，负有控制资产的产生、开发、维护、使用和保证资产的安全的管理职责的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权P5-P5-选择、评价和确定风险处理方式选择、评价和确定风险处理方式、处理目标和处理措施、处理目标和处理措施79常用的处理方式包括常用的处理方式包括：v采用适当的控制措施（降低风险降低风险）v在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险接受风险

47、v避免风险避免风险v将相关业务风险转移到其他方，如：保险，供应商等（转移风险转移风险）风险处理方式及决策原则风险处理方式及决策原则80v降低风险：降低风险：在考虑转移风险前，应首先考虑采取措施降低风险v避免风险：避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等v转移风险：转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用v接受风险：接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险为处理风险选择控制目标和控制措施为处理风险选择控制目标和控制措施81v 选择控制目标和控制措

48、施应考虑接受风险的准则以及法律法规和合同要求v 将ISO27001附录A作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施 v 组织也可能需要制定ISO27001附录A以外的控制目标和控制措施提示：在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的讨论、咨询和决策过程P6-P6-获得管理者对建议的残余风险的批准获得管理者对建议的残余风险的批准82v获得管理层接受风险评估团队所建议的残余风险的确认是风险评估活动中的一个重要过程v管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变

49、为现实后，组织能够且必须承担引发的后果v如果一个组织所建立的ISMS要寻求认证，认证机构将寻求管理层确认接受残余风险的书面证据P7-P7-获得管理者对实施和运行获得管理者对实施和运行ISMSISMS的授权的授权83v必须获得管理者对实施和运行ISMS的授权。没有授权，实施和运行ISMS的相关活动就很难推进v实施和运行ISMS，需要大量的资源（人力、资金等），没有管理层的授权，就很难申请并获得这些资源P8-P8-编制适用性声明（编制适用性声明（SoASoA）84v所选择的控制目标和措施以及被选择的原因应在适用性声明（Statement of Applicability，SoA）中进行说明vSoA

50、是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构v编制SoA一方面是为了向组织内的员工声明对在面临的信息安全风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内知识域：信息安全管理体系建设知识域：信息安全管理体系建设知识子域：知识子域：实施和运行实施和运行ISMSISMSv 理解实施风险处理计划、开发有效性测量程序、管理ISMS的运行等实施和运行ISMS的主要工作内容85实施和运行实施和运行ISMSISMSvD1-制定风险处理计划vD2-实施风险处

51、理计划vD3-开发有效性测量程序vD4-实施培训和意识教育计划vD5-管理ISMS的运行vD6-管理ISMS的资源vD7-执行检测事态和响应事件的程序86D3-D3-开发有效性测量程序开发有效性测量程序vISMS运行及控制措施是否有效，要有测量方法和途径，以便制定改进措施加以改进v开发一份有效性测量程序，明确需要设立的测量项目，以及每一测量项目的度量标准、要求达到的指标、测量方式、测量周期、测量执行人v有效性测量程序本身，应做为ISMS文件加以管理和控制87D5-D5-管理管理ISMSISMS的运行的运行v批准并发布ISMS文件v宣贯和解释ISMS文件要求vISMS试运行期间的管理v宣布ISM

52、S正式运行88ISMSISMS试运行试运行vISMS运行初期处于磨合期，一般称为试运行期v试运行期的目的是要在实践中检验ISMS的充分性、适用性和有效性v此期间，宜加强运作力度，通过实施ISMS文件，充分发挥ISMS本身的各项功能，及时发现ISMS本身存在的问题，找出问题的根源，采取纠正措施，并按照文件控制程序要求更改体系文件，以达到进一步完善ISMS的目的89知识域：信息安全管理体系建设知识域：信息安全管理体系建设知识子域：知识子域：监视和评审监视和评审ISMSISMSv 理解进行有效性测量、实施内部审核、实施管理评审等监视和评审ISMS的主要工作内容90监视和评审监视和评审ISMSISMS

53、vC1-日常监视和检查vC2-进行有效性测量vC3-实施内部审核vC4-实施风险再评估vC5-实施管理评审91C1-C1-日常监视和检查日常监视和检查v是监视与评审ISMS阶段的重要活动，能发现ISMS运行过程存在的问题v手段包括自动入侵检测、人工检查、趋势分析等v应作为正常业务过程的一部分予以执行，以便迅速检测出错误，识别安全违规行为和安全事件，确认安全活动或技术性措施是否如期执行92C2-C2-进行有效性测量进行有效性测量v 目的是验证ISMS运行及各项控制措施是否有效，是否满足组织的安全要求和信息安全方针，是否达成组织的信息安全目标v 各测量项目的测量执行人要按照既定的测量方式、测量周期

54、进行测量，生成并保持测量记录v 对照已经定义的度量标准，可以得到每个测量项目的评定结果，；对照应达到的指标，评判这一测量项目是否符合要求v 通过实施有效性测量，组织能够准确地掌握其当前信息安全水平93C3-C3-实施内部审核实施内部审核v 根据拟审核业务过程和范围的状况、重要性，以及以往审核结果，确定审核的准则、范围、频次和方法v 常规的内部审核实施流程：审核前的准备编制内部审核计划、成立内审小组、编制内审检查列表 实施内部审核召开首次会议、文件审核、现场审核、确定不符合项、召开末次会议 编写审核报告内容包括审核情况概述、审核发现（即符合项和不符合项的描述）、不符合项的统计与分析、审核结论以及

55、纠正措施要求等v 内部审核结束后，还应有后续跟踪活动94C5-C5-实施管理评审实施管理评审v 应定期对ISMS实施管理评审。当系统环境发生较大变化、组织机构发生重大变化或安全需求发生改变时，需要适时进行管理评审v 通常以召开管理评审会议的方式进行v 评审输入材料95ISMS审核和评审的结果相关方的反馈改进技术、产品和规程、预防和纠正措施的状况以往风险评估没有充分强调的脆弱性和威胁有效性测量的结果以往管理评审的跟踪措施可能影响ISMS的任何变更改进ISMS的任何建议v 评审输出ISMS有效性的改进风险评估和风险处置计划的更新资源需求有效性测量方法的改进修改ISMS文件和控制措施以响应各种变化知

56、识域：信息安全管理体系建设知识域：信息安全管理体系建设知识子域：知识子域：保持和改进保持和改进ISMSISMSv 理解实施纠正和预防措施、沟通措施和改进情况等保持和改进ISMS的主要工作内容96保持和改进保持和改进ISMSISMSvA1-实施纠正和预防措施vA2-沟通措施和改进情况97A1-A1-实施纠正和预防措施实施纠正和预防措施98v不符合项指：缺少或缺乏有效地实施和维护一个或多个ISMS的要求 在有客观证据的基础上，引起对ISMS安全方针和组织安全目标能力的重大怀疑v从其它组织和组织自身的信息安全实践经验和安全事件教训中学习，采取相应的改进措施，持续提高信息安全管理的水平v纠正性措施：为

57、消除与ISMS要求不符合发生的原因，并防止其再发生所采取的措施v预防性措施：为消除潜在不符合原因，防止其发生所采取的措施A2-A2-沟通措施和改进情况沟通措施和改进情况99v 向所有相关方沟通措施和改进情况v 其详细程度应与环境相适应v 需要时，商定如何进行思考和体会思考和体会v标准不是罗列v文档不是摆设v劣法胜于无法v细节决定成败100谢谢，请提问题！谢谢，请提问题！9、静夜四无邻，荒居旧业贫。22.7.2922.7.29Friday,July 29,202210、雨中黄叶树，灯下白头人。3:35:233:35:233:357/29/2022 3:35:23 AM11、以我独沈久，愧君相见频

58、。22.7.293:35:233:35Jul-2229-Jul-2212、故人江海别，几度隔山川。3:35:233:35:233:35Friday,July 29,202213、乍见翻疑梦，相悲各问年。22.7.2922.7.293:35:233:35:23July 29,202214、他乡生白发，旧国见青山。2022年7月29日星期五上午3时35分23秒3:35:2322.7.2915、比不了得就不比，得不到的就不要。2022年7月上午3时35分22.7.293:35July 29,202216、行动出成果，工作出财富。2022年7月29日星期五3时35分23秒3:35:2329 July

59、202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午3时35分23秒上午3时35分3:35:2322.7.299、没有失败，只有暂时停止成功！。22.7.2922.7.29Friday,July 29,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。3:35:233:35:233:357/29/2022 3:35:23 AM11、成功就是日复一日那一点点小小努力的积累。22.7.293:35:233:35Jul-2229-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。3:35:233:35:233:35Friday,J

60、uly 29,202213、不知香积寺，数里入云峰。22.7.2922.7.293:35:233:35:23July 29,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月29日星期五上午3时35分23秒3:35:2322.7.2915、楚塞三湘接，荆门九派通。2022年7月上午3时35分22.7.293:35July 29,202216、少年十五二十时，步行夺得胡马骑。2022年7月29日星期五3时35分23秒3:35:2329 July 202217、空山新雨后，天气晚来秋。上午3时35分23秒上午3时35分3:35:2322.7.299、杨柳散和风，青山澹吾虑

61、。22.7.2922.7.29Friday,July 29,202210、阅读一切好书如同和过去最杰出的人谈话。3:35:233:35:233:357/29/2022 3:35:23 AM11、越是没有本领的就越加自命不凡。22.7.293:35:233:35Jul-2229-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。3:35:233:35:233:35Friday,July 29,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.2922.7.293:35:233:35:23July 29,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7

62、月29日星期五上午3时35分23秒3:35:2322.7.2915、最具挑战性的挑战莫过于提升自我。2022年7月上午3时35分22.7.293:35July 29,202216、业余生活要有意义，不要越轨。2022年7月29日星期五3时35分23秒3:35:2329 July 202217、一个人即使已登上顶峰，也仍要自强不息。上午3时35分23秒上午3时35分3:35:2322.7.29MOMODA POWERPOINTLorem ipsum dolor sit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis amet,consectetur adipiscing elit.Fusce id urna blanditut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉