首先,我们需要有整个信息安全工作的总体框架。企业信息安全做什么?怎么做?当你知道该做什么时,你就知道该学什么。
- 信息安全管理—具备建设信息安全管理体系的能力。--长久目标
见下面的第二点和第三点。
- 信息安全技术能力—具有信息安全技术能力,--短期具备能力。
见第三点。
- 从工作发展的角度,如何开展安全工作的思路,见第四点。-目前学习。
- 什么是信息安全工作?-见第五点。-目前的学习。了解框架和类别的方向,重点学习主机的安全WEB安全。主机安全工具测试能力见8.1-8.2、8.4,WEB安全扫描工具见8.3、8.5、8.7 。
- 近几年信息安全发现方向:数据安全、隐私安全,数据安全见第十部分—长期方向。
正在上传…重新上传取消
信息安全系统框架 - 百度文库
需要了解信息安全管理系统的范围、实施方法和涉及的内容(左上角图)
相关知识点:ISO27001认证、ISMS信息安全管理系统。
以BS7799的管理理念介绍了建立一般安全管理体系的方法;信息安全管理包括风险管理、项目管理、业务连续性管理等多个方面,每个管理点都有所不同。将详细介绍不同部分的管理.
即信息安全管理体系,即Information Security Management System(简称ISMS),它是组织在整体或特定范围内建立的信息安全政策和目标,以及完成这些目标的方法和系统。它是直接管理活动的结果,表现为政策、原则、目标、方法、计划、活动、程序、过程和资源的收集。
BS7799-2是建立和维护信息安全管理体系的标准。标准要求组织根据风险评估选择控制目标和控制措施,确定信息安全管理体系范围,制定信息安全政策,明确管理职责,建立信息安全管理体系;一旦建立了系统,组织应按照系统的要求运行,保持系统运行的有效性;信息安全管理系统应形成一定的文件,即组织应建立和保持文件化的信息安全管理系统,包括保护资产、组织风险管理方法、控制目标和控制措施、信息资产的保护程度等。
1。 ISMS的范围
ISMS范围可以根据整个组织或组织的一部分来定义,包括相关资产、系统、应用、服务、网络和技术、存储和通信信息,ISMS范围可包括:
- 组织所有信息系统;
- 部分部分信息系统;
- 特定的信息系统。
此外,为了保证不同的业务利益,组织需要定义不同的业务方面ISMS。例如,可以定义组织与其他公司之间的特定贸易关系ISMS,也可以定义组织结构ISMS,不同的情况可以是一个或多个ISMS表述。
- 信息安全管理安全管理的关键因素
- 反映业务目标的安全政策、目标和活动;
- 实施与组织文化一致的安全方法;
- 管理层的有形支持和承诺;
- 了解安全要求、风险评估和风险管理;
- 对所有管理者和员工实施安全意义;
- 向所有员工和承包商分发信息安全政策和标准的指南;
- 提供适当的培训和教育;
- 用于评价信息安全管理绩效和反馈改进建议,有利于综合平衡测量系统.
- 建立ISMS的步骤
在建立和完善信息安全管理体系时,不同的组织可以根据自己的特点和具体情况采取不同的步骤和方法。但一般来说,建立信息安全管理体系通常需要以下四个基本步骤:
1。 ISMS的特点
信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:
- 体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求;
- 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;
- 强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。
2。 实施ISMS的作用
组织建立、实施与保持信息安全管理体系将会产生如下作用:
- 强化员工的信息安全意识,规范组织信息安全行为;
- 对组织的关键信息资产进行全面体统的保护,维持竞争优势;
- 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
- 使组织的生意伙伴和客户对组织充满信心;
- 如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任度;
- 促使管理层贯彻信息安全保障体系;
- 组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性.
为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通.
- 成立信息安全委员会
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持.
-
- 评审和审批信息安全方针;
- 分配信息安全管理职责;
- 确认风险评估的结果;
- 对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;
- 评审与监督信息安全事故;
- 审批与信息安全管理有关的其他重要事项。
- 任命信息安全管理经理
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:
- 确定信息安全管理标准建立、实施和维护信息安全管理体系;
- 负责组织的信息安全方针与安全策略的贯彻与落实;
- 向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证据;
- 就信息安全管理的有关问题与外部各方面进行联络。
- 组建信息安全管理推进小组
在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组成员一般是企业各部门的骨干人员。
- 保证有关人员的作用、职责和权限得到有效沟通
用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。
- 组织机构的设立原则
- 合适的控制范围
一般情况下,一个经理直接控制的下属管理人员不少于6人,但不应超过10人。在作业复杂的部门或车间,一个组长对15人保持控制。在作业简单的部门或车间,一个组长能控制50个人或更多的人。
- 合适的管理层次
公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告.
- 一个上级的原则
- 责、权、利一致的原则
- 既无重叠,又无空白的原则
- 执行部门与监督部门分离的原则
- 信息安全部门有一定的独立性,不应成为生产部门的下属单位。
- 信息安全管理体系组织结构建立及职责划分的注意事项
- 如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理,则按上面(5)中所述规则对组织结构进行调整。
- 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。
- 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。
- 日常的信息安全监督检查工作应有专门的部门负责
- 对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门),安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席信息官负责)。美国“911"恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。
- 对于小型企业来说,可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”。在质量管理中应用广泛,PDCA代表的含义如下:
P(Plan):计划,确定方针和目标,确定活动计划;
D(Do):实施,实际去做,实现计划中的内容;
C(Check):检查,总结执行计划的结果,注意效果,找出问题;
A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
PDCA循环的四个阶段具体内容如下:
(1) 计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下4个步骤.
分析目前现状,找出存在的问题;
分析产生问题的各种原因以及影响因素;
分析并找出管理中的主要问题;
制定管理计划,确定管理要点.
根据管理体制中出现的主要问题,制定管理的措施、方案,明确管理的重点.制定管理方案时要注意整体的详尽性、多选性、全面性.
(2) 实施阶段:就是指按照制定的方案去执行。
在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况,直接影响全过程.所以在实施阶段要坚持按照制定的方案去执行。
(3) 检查阶段:即检查实施计划的结果.
检查工作这一阶段是比较重要的一个阶段,它是对实施方案是否合理,是否可行有何不妥的检查。是为下一个阶段工作提供条件,是检验上一阶段工作好坏的检验期。
(4) 处理阶段:根据调查效果进行处理。
对已解决的问题,加以标准化:即把已成功的可行的条文进行标准化,将这些纳入制度、规定中,防止以后再发生类似问题;
找出尚未解决的问题,转入下一个循环中去,以便解决。
PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序.在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,有人也称其为质量管理的基本方法.之所以叫PDCA循环,是因为这四个过程不是运行一次就完结,而是周而复始地进行,其特点是“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA四个阶段曾螺旋式上升和发展,每循环一次要求提高一步。
建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环:计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12—1所示.
正在上传…重新上传取消
图12—1 PDCA模型与信息安全管理体系过程
ISMS的PDCA具有以下内容:
一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的过程正式化,确定评审的方法和配置资源.这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。
检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标.
Summary of Controls)
组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。
信息安全管理另一个非常重要的原则就是文件化,即所有计划及操作过的事情都要有文件记录, 这样可做到有章可循,有据可查,文件的类型通常有手册、规范、指南、记录等,使用这些文件可以使组织内部沟通意图,统一行动,并为事件提客观证据,同时也可用于学习和培训.如果有些组织曾参与过9000或BS7799的认证,会深刻体会到文件化的重要性.
组织建立信息安全管理体系需要投入大量物力和人力,这就需要得到领导的认可,尤其是最高领导,这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点:
(1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:
-
- 建立信息安全方针;
- 确保建立信息安全目标和计划;
- 为信息安全确立职位和责任;
- 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要;
- 提供足够的资源以开发、实施,运行和维护信息安全管理体系;
- 确定可接受风险的水平;
- 进行信息安全管理体系的评审。
(2) 管理层为组织将确定和提供所需的资源,以:
-
-
- 建立、实施、运行和维护信息安全管理体系;
- 确保信息安全程序支持业务要求;
- 识别和强调法律和法规要求及合同的安全义务;
- 正确地应用所有实施的控制措施维护足够的安全;
- 必要时,进行评审,并适当回应这些评审的结果;
- 需要时,改进信息安全管理体系的有效性.
-
仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来,而组织内由于普通人员的误操作和疏忽造成严重损失的不止少数,因此我们必须明确安全管理体系不是组织内IT部门的事情,而是需要全体员工参与的。
组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应:
-
-
- 确定从事影响信息安全管理体系的人员所必要的能力;
- 提供能力培训和,必要时,聘用有能力的人员满足这些需求;
- 评价提供的培训和所采取行动的有效性;
- 保持教育、培训、技能、经验和资格的纪录。
-
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标.
下图是建立信息安全管理体系的流程图,图12—2,
|
制订信息安全方针 |
|
方针文档 |
|
定义ISMS范围 |
|
进行风险评估 |
|
实施风险管理 |
|
选择控制目标措施 |
|
准备适用声明 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ISMS范围 |
|
评估报告 |
|
文件 |
|
文件 |
|
文件 |
|
文件 |
|
文件 |
|
文件 |
|
文档化 |
|
文档化 |
|
声明文件 |
图12-2ISMS流程图
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
组织应做到如下几点:
-
- 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
- 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,方针应:
1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)考虑业务及法律或法规的要求,及合同的安全义务.
3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系.
4)建立风险评价的标准和风险评估定义的结构.
5)经管理层批准.
-
- 确定风险评估的系统化的方法
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法.为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平.
-
- 确定风险
1)在信息安全管理体系的范围内,识别资产及其责任人。
2)识别对这些资产的威胁。
3)识别可能被威胁利用的脆弱性。
4)别资产失去保密性、完整性和可用性的影响。
-
- 评价风险
1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果;
2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;
3)估计风险的等级;
4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。
-
- 识别和评价供处理风险的可选措施:
可能的行动包括:
1)应用合适的控制措施;
2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准;
3)避免风险;
4)转移相关业务风险到其他方面如:保险业,供应商等。
-
- 选择控制目标和控制措施处理风险:
应从2。6章节中控制措施中选择合适的控制目标和控制措施,应该根据风险评估和风险处理过程的结果调整。
-
- 准备一份适用性声明.
从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化.从2。6章节中剪裁的控制措施也应加以记录;
信息安全管理体系文件应包括:
信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序,以规定以下方面所需的控制:
应建立并保持纪录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求.记录应保持清晰、易于识别和检索.应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。
应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如:访问者的签名簿,审核记录和授权访问记录。
组织应按如下步聚实施:
-
- 识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处理计划;
- 实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色和责任;
- 实施在上述章节里选择的控制目标和控制措施;
- 培训和意识;
- 管理运作过程;
- 管理资源;
- 实施程序和其他有能力随时探测和回应安全事故的控制措施。
组织应:
-
- 执行监控程序和其他控制措施,以:
1)实时探测处理结果中的错误;
2)及时识别失败和成功的安全破坏和事故;
3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标;
4)确定解决安全破坏的行动是否反映了运营的优先级。
-
- 进行常规的信息安全管理体系有效性的评审(包括符合安全方针和目标,及安全控制措施的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;
- 评审残余风险和可接受风险的水平,考虑以下方面的变化:
1)组织
2)技术
3)业务目标和过程
4)识别威胁,及
5)外部事件,如:法律、法规的环境发生变化或社会环境发生变化.
组织应经常:
管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要, 包括安全方针和安全目标。 评审的结果应清楚地文件化,应保持管理评审的纪录。
管理评审的输入应包括以下方面的信息:
- 信息安全管理体系审核和评审的结果;
- 相关方的反馈;
- 可以用于组织改进其信息安全管理体系绩效和有效性的技术,产品或程序;
- 预防和纠正措施的状况;
- 以前风险评估没有足够强调的脆弱性或威胁;
- 以往管理评审的跟踪措施;
- 任何可能影响信息安全管理体系的变更;
- 改进的建议。
-
管理评审的输出应包括以下方面有关的任何决定和措施:
- 对信息安全管理体系有效性的改进;
- 修改影响信息安全的程序,必要时,回应内部或外部可能影响信息安全管理体系的事件,包括以下的变更:
- 业务要求;
- 安全要求;
- 业务过程影响现存的业务要求;
- 法规或法律环境;
- 风险的等级和/或可接受风险的水平;
- 资源需求.
-
组织应按策化的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否:
- 符合本标准和相关法律法规的要求;
- 符合识别的信息安全的要求;
- 被有效地实施和维护;
- 达到预想的绩效。
任何审核活动应策划, 策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准,范围,频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作.
应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录[见4。3.3]的责任及要求.
负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措施和报告验证的结果[见条款7].
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性.
组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生.应为纠正措施编制形成文件的程序,确定以下的要求:
组织应针对潜在的不合格确定措施以防止其发生.预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序,以规定以下方面的要求:
- 识别潜在的不合格及引起不合格的原因;
- 确定和实施所需的预防措施;
- 记录所采取措施的结果;
- 评价所采取的预防措施;
- 识别已变更的风险和确保注意力关注在重大的已变更的风险。
纠正措施的优先权应以风险评估的结果为基础确定。
注:预防不合格的措施总是比纠正措施更节约成本.
通常控制措施是在BS7799的十大领域中进行选择,当然针对不同组织的实际情况选择控制目标不同,上述曾介绍过的需进行适用性声明.以下将详细介绍十大领域的控制措施。
| 目标:为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针,并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。 |
方针文件应得到管理者批准,并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺,并陈述组织管理信息安全的方法,它至少应该包括以下几个部分:
信息安全的定义,其总体目标和范围,以及其作为信息共享的安全机制的重要性(见引言);
申明支持信息安全目标和原则的管理意向;
对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明,例如:符合法规和合同的要求;
安全教育的要求;
对计算机病毒和其他恶意软件的防范和检测;
可持续运营的管理;
违反安全方针的后果;
对信息安全管理的总体和具体责任的定义,包括汇报安全事故;
提及支持安全方针的文件,如:特定信息系统的更加详细的安全方针和程序,或用户应该遵守的安全规定.
本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达.
方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审,如:重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化.同样应对以下各项进行有计划的、定期的评审:
| 目标:在组织内部管理信息安全。 应建立管理框架,在组织内部开展和控制信息安全的实施。 应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道.另外应鼓励多学科的信息安全方法的发展,如:经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家(如保险和风险管理领域)之间的协作。 |
信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持.该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作.信息安全管理委员会可以作为现有管理团体的一部分,所承担的职责主要有:
评审和批准信息安全方针和总体职责;
监督信息资产面临重大威胁时所暴露出的重大变化;
评审和监督信息安全事故;
批准加强信息安全的主动行为.
应有一名经理负责和安全有关的所有行为。
在较大的组织内部,有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会,以合作实施信息安全的控制措施。它的主要功能有:
- 批准组织内关于信息安全的具体任务和责任;
- 批准信息安全方面的具体方法和程序,如风险评估、安全分类系统;
- 批准和支持全组织范围的信息安全问题的提议,如安全意识培训;
- 确保安全问题是信息设计过程的一部分;
- 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况;
- 评审信息安全事故;
- 提高全组织对信息安全的支持程度.