文档介绍:信息安全管理体系教程
课前介绍
课程目标
课程安排
课程内容
注意事项
学员介绍
2022/7/29
课程目标
掌握信息安全管理的一般知识
了解信息安全管理在信息系统安全保障体系中的地位
认识和了解ISO17799
理解一S & Scanner……
组织内部安排1-2人兼职负责日常维护,通常来自以技术为主的IT部门;
更多的情况是几乎没有日常维护
存在的问题
需求难以确定
保护什么、保护对象的边界到哪里、应该保护到什么程度……
管理和服务跟不上,对采购产品运行的效率和效果缺乏评价
通常用***(Scanner)来代替风险评估
有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的态度……
“头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的协调也是难题
2022/7/29
信息安全管理
ISO17799强调:
“Information security is a management process, not a technological process.”
技术和产品是基础,管理是关键;
产品和技术,要通过管理的组织职能才能发挥最好的作用;
技术不高但管理良好的系统远比技术高但管理混乱的系统安全;
先进、易于理解、方便操作的安全策略对信息安全至关重要,也证明了管理的重要;
建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会持续安全。
2022/7/29
信息安全管理的实践经验
反映组织业务目标的安全方针、目标和活动;
符合组织文化的安全实施方法;
管理层明显的支持和承诺;
安全需求、风险评估和风险管理的正确理解;
有效地向所有管理人员和员工推行安全措施;
向所有的员工和签约方提供本组织的信息安全方针与标准;
提供适当的培训和教育;
一整套用于评估信息安全管理能力和反馈建议的测量系统
2022/7/29
2、信息安全管理与信息系统安全保障
-模型
-框架
-生命周期的保证
2022/7/29
资产
可能意识到
引起
增加
利用
导致
威胁主体
威胁
所有者
风险
脆弱性
对策
可能被减少
利用
价值
希望最小化
希望滥用或破坏
可能具有
减少
到
到
使命
希望完成
到
可能阻碍或破坏
2022/7/29
-模型
2022/7/29
-框架
信息系统使命
信息系统建模,。。。
GB 18336 idt ISO/IEC 15408
信息技术安全性评估准则
IATF 信息保障技术框架
ISSE
信息系统安全工程
SSE-CMM
系统安全工程能力成熟度模型
BS 7799, ISO/IEC 17799
信息安全管理实践准则
其他相关标准、准则
例如:ISO/IEC 15443, COBIT。。。
系统认证和认可标准和实践
例如:美国DITSCAP, …
中国信息安全产品测评认证中心
相关文档和系统测评认证实践
技术准则
(信息技术系统评估准则)
管理准则
(信息系统管理评估准则)
过程准则
(信息系统安全工程评估准则)
信息系统安全保障评估准则
信息安全管理和管理能力成熟度模型
将GB 18336从产品和产品系统扩展到信息技术系统安全性评估
安全工程过程和能力成熟度模型
传统C&A信息系统认证认可和实践
信息系统相关基础知识
2022/7/29
-生命周期的保证
变更应用于系统
计划组织
开发采购
实施交付
运行维护
废弃
建立使命要求
建立使命要求
审阅业务要求
系统需求分析
定义运行需求
系统体系设计
项目与预算管理
两种类型:
开发、购买/客户化/集成
人员保证
(决策人员)
技术保证
(技术方案
安全产品)
过程保证
(服务能力
工程过程)
管理保证
(安全管理)
人员保证
(管理/维护/使用人员)
人员保证
(管理人员)
人员保证
(实施人员)
管理保证
(安全管理)
管理保证
(安全管理)
管理保证
(安全管理)
信息系统安全保障(信息系统技术、管理、过程和人员领域要求及保证)
系统
保证
信息
系统
生命
周期
2022/7/29