NISP二级笔记（一） 信息安全管理

ISO27001 信息安全管理体系要求

ISO27002 信息安全控制措施（实用规则）

ISO27003 信息安全管理体系实施指南

ISO27004 信息安全管理测量

ISO27005 信息安全风险管理

 

信息安全管理 对于保障信息系统安全的做用

信息安全管理体系、风险管理和信息安全管理控制措施的含义

创建和完善信息安全管理体系的一班方法

信息安全风险管理的方法、原则

信息安全管理的控制措施、做用

 

信息安全管理概述

信息：有规律、可被利用的数据

信息安全：有规律、可被利用的数据的安全

管理：管理者为了达到特定目的而对管理对象进行的计划、阻止、指挥、协调和控制的一系列活动

信息安全管理：管理者为实现信息安全目标（CIA，保密性、能够性、完整性）以及业务运行的持续而进行的计划、阻止等

 

信息安全管理对象：主要从体系的角度包括人员在内的各种信息相关的资产 与风险管理的对象是相同的

以创建体系的方式实施信息安全管理的必要性，主要是个木桶原理、信息安全水平有多高、取决于防御最薄弱的环节

 

信息安全管理体系的定义

体系：相互关联和相互做用的一组要素

管理体系：创建方针和目标并达到目标的体系

为达到组织目标的策略、程序、指南和相关资源的框架

信息安全管理体系：总体管理体系的一部分，基于业务风险的方法，来创建、实施、运做、监视、评审、保持和改进信息安全

ISO27000:2009

 

 

 

做用一：

信息安全管理是组织总体管理的重要、固有组成部分，是组织实现其业务目标的重要保障

管理系统的做用：对内每每大于对外的做用

 

对组织的价值

对内：

可以保护关键信息资产、知识产权，维持竞争优点

在系统被入侵时候，确保业务持续开展并将损失降到最低程度

创建信息安全审计框架，实施监督检查

创建起文档化的信息安全管理规范，实现有法可依，有章可循，有据可查

强化员工信息安全意识，创建良好的安全做业习惯，培育组织的信息安全企业文化

按照风险管理的思想创建起自我持续改进和发展的信息安全管理机制，用最低的成本达到可接受的信息安全水平，从根本上保证业务的持续性

 

对外：其实主要就是 对外的宣传 让别增长安全的信任

可以使得各个利益相关方对组织充满信心

可以鉴定外包时候双方的责任

可使得组织更好的知足客户、其余组织的审计要求

使得更好的符合法律法规要求

 

实施信息安全管理端关键成功因素：（CSF）

组织的信息安全方针和活动可以反映组织的业务目标

组织实施信息安全的方法和框架与组织的文化（外企、国企、私营）相一致 ——从组织方面来说

管理者可以给与信息安全实质性、可见的支持和承诺

管理者对信息安全的需求、信息安全风险、风险评估以及风险管理有深刻理解

管理者为信息安全提供足够的资金 ——从管理者来说

向全员和其余相关方提供有效的信息安全宣传以及提高信息安全意识

向全员和其余相关方分发并宣传信息安全方针、策略、标准 ——对员工来说

创建有效的信息安全事件管理过程

创建有效的信息安全测量体系 ——机制上来说

 

做用二：信息安全管理是信息安全技术的融合剂，保障各项技术措施可以发挥做用

解决信息安全问题，成败一般取决于两个因素，一个是技术另外一个是管理

技术和产品是基础 管理才是关键

产品和技术 要经过管理的组织职能才能发挥最大做用

 

做用三：信息安全管理能预防、阻止或减小信息安全事件的发生

20-30是因为黑客入侵或者其余外部缘由形成 70-80是因为内部员工的疏忽或者有意泄密

现实世界里大多数安全事件的发送和安全隐患的存在与其说是技术缘由 不如说是管理不善形成的

 

安全不善产品的简单堆积、也不是一次性的静态过程，是人员、技术、操做三者紧密结合的系统工程、是不断演进、循环发展的动态过程

 

风险评估是信息安全管理的基础

风险评估主要对ISMS范围内的信息资产进鉴定和估价，而后对信息资产面对各类威胁和脆弱性进行评估，同时对已经存在的或者桂爱华的安全控制措施进界定

信息安全管理体系的创建须要肯定信息安全的需求

信息安全需求获取的主要手段就是安全风险评估

信息安全风险评估是信息安全管理体系创建的基础，没有风险评估信息安全管理体系的创建就没有依据

 

风险处理是信息安全管理的核心

风险处理是对风险评估活动识别出风险进行决策、采起适当的控制蚔处理不能接受的风险，将风险控制在能够接受的范围

风险评估活动只能揭示组织面临的风险，不能改变风险情况

只有经过风险处理活动，组织的信息安全能力才会提高，信息安全需求才能被知足 才能实现其信息安全目标

信息安全管理的核心就是这些风险处理措施的集合

 

控制措施是管理风险的具体手段

风险处理时候，须要选择并肯定适当的控制目标和控制措施，只有落实适当的控制措施，那些不可接受的高风险才能下降到能够接受的水平以内

 

控制措施的类别

手段：技术性、管理性、物理性、法律性

功能：预防性、检测性、纠正性、威慑性

 

过程、过程方法的概念

过程：一组将输入转化为输出的相互关联或者相互做用的活动

过程方法：一个组织内过程的系统的运用，连同这些过程的识别和互相做用以及其管理，能够称之为“过程方法”

 

PDCA循环 叫作 ”戴明环“  规划（计划） 实施 检查 处置（行动）

P plan 计划 规定你应该作什么并造成文件

D Do 实施 作文件已规定的事情

C Check 检查 评审你所作的事情的符合性

A Act 行动 采起纠正和预防措施 来持续改进结合总结

特色一：按照顺序进行，靠组织的力量来推进，像车轮同样前进，不断循环

特色二：组织中的每一个部分，甚至个体，都可以PDCA循环 大环套小换

特色三：每个PDCA循环后，都要进行总结，提出新目标，再进行第二次PDCA循环

 

PDCA循环 可以提供一种优秀的过程方法，以实现持续改进

遵循PDCA循环，可以使任何一项活动都有效地进行

 

信息安全管理体系

ISMS是一种常见的对组织信息安全进行全面、系统管理的方法

ISMS是ISO27001（不光是建设、也是审核的依据）定义的一种有关信息安全的管理体系。是一种典型的基于风险管理和过程方法的管理体系

 

信息安全管理体系是PDCA动态持续改进的一个循环体

P 规划创建   D 实施和运行   C 监视和评审   A 保持和改进