信息安全管理基础
基本概念
信息
- 企业视角
- 用户视角
- 攻击者视角
信息安全管理
信息安全管理体系
信息安全管理的作用及对组织的价值
信息安全管理的作用
- 信息安全管理是组织整体安全管理重要、固有的组成部分
- 信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
- 信息安全管理能预防、组织或减少信息安全事件的发生
对组织机构的价值
- 对组织内信息安全管理的价值
- 对组织外信息安全管理的价值
信息安全风险管理
风险管理基本概念
风险与风险管理
风险管理的价值
- 风险管理创造和保护价值
- 风险管理是所有组织过程不可分割的一个部分
- 风险管理是决策的一个部分
- 风险管理明确地应对不确定性
- 风险管理是体系化的、结构化的过程
- 风险管理是基于最好的可获得的信息
- 风险管理是可裁剪的
- 风险管理考虑人员和文化因素
- 风险管理是透明的,参与人员包含广泛
- 风险管理是动态的、反复的、响应变化的
- 风险管理促进组织的持续改进
- 不断或定期重新评估
风险管理角色和责任
常见风险管理模型
内部控制整合框架(COSO 报告)
ISO 31000 风险管理 原则与实施指南
COBIT
ISMS
安全风险管理基本过程
背景建立
风险评估
风险处理
批准监督
监控审查
沟通咨询
信息安全管理体系建设
信息安全管理体系成功因素
PDCA 过程
plan-do-check-act
信息安全管理体系建设过程
规划与建立
- 组织背景
- 领导力
- 计划
- 支持
实施与运行
监视和评审
- 监测、测量、分析和评价
- 内部审核
- 管理评审
维护和改进
文档化
体系文件分类
- 一级文件:方针、政策
- 二级文件:制度、流程、规范
- 三级文件:使用手册、操作指南、作业指导书
- 四级文件:日志、记录、检查表、模板、表单
文件控制
- 文件的建立
- 文件的批准与发布
- 文件的评审与更新
- 文件保存
- 文件作废
记录管理
- 记录的作用
- 记录的管理
信息安全管理体系最佳实践
信息安全管理体系控制类型
预防性控制
检测性控制
纠正性控制
信息安全管理体系控制措施结构
- 控制措施
- 实施指南
- 其他信息
信息安全管理体系控制措施
信息安全方针
1 个目标 2 个控制措施
信息安全组织
2 个控制目标 7 个控制措施
人力资源安全
3 个控制目标 6 个控制措施
资产管理
3 个控制目标 10 个控制措施
访问控制
4 个控制目标 14 个控制措施
密码学
1 个控制目标 2 个控制措施
物理与环境安全
2 个控制目标 15 个控制措施
操作安全
7 个控制目标 14 个控制措施
通信安全
2 个控制目标 7 个控制措施
信息获取、开发和维护
3 个控制目标 13 个控制措施
供应商关系
2 个控制目标 5 个控制措施
信息安全事件管理
1 个控制目标 7 个控制措施
业务连续性管理
2 个控制目标 4 个控制措施
符合性
2 个控制目标 8 个控制措施