NISP二級筆記（一） 信息安全管理

ISO27001 信息安全管理體系要求

ISO27002 信息安全控制措施（實用規則）

ISO27003 信息安全管理體系實施指南

ISO27004 信息安全管理測量

ISO27005 信息安全風險管理

 

信息安全管理 對於保障信息系統安全的做用

信息安全管理體系、風險管理和信息安全管理控制措施的含義

創建和完善信息安全管理體系的一班方法

信息安全風險管理的方法、原則

信息安全管理的控制措施、做用

 

信息安全管理概述

信息：有規律、可被利用的數據

信息安全：有規律、可被利用的數據的安全

管理：管理者爲了達到特定目的而對管理對象進行的計劃、阻止、指揮、協調和控制的一系列活動

信息安全管理：管理者爲實現信息安全目標（CIA，保密性、能夠性、完整性）以及業務運行的持續而進行的計劃、阻止等

 

信息安全管理對象：主要從體系的角度包括人員在內的各種信息相關的資產 與風險管理的對象是相同的

以創建體系的方式實施信息安全管理的必要性，主要是個木桶原理、信息安全水平有多高、取決於防禦最薄弱的環節

 

信息安全管理體系的定義

體系：相互關聯和相互做用的一組要素

管理體系：創建方針和目標並達到目標的體系

爲達到組織目標的策略、程序、指南和相關資源的框架

信息安全管理體系：總體管理體系的一部分，基於業務風險的方法，來創建、實施、運做、監視、評審、保持和改進信息安全

ISO27000:2009

 

 

 

做用一：

信息安全管理是組織總體管理的重要、固有組成部分，是組織實現其業務目標的重要保障

管理系統的做用：對內每每大於對外的做用

 

對組織的價值

對內：

可以保護關鍵信息資產、知識產權，維持競爭優點

在系統被入侵時候，確保業務持續開展並將損失降到最低程度

創建信息安全審計框架，實施監督檢查

創建起文檔化的信息安全管理規範，實現有法可依，有章可循，有據可查

強化員工信息安全意識，創建良好的安全做業習慣，培育組織的信息安全企業文化

按照風險管理的思想創建起自我持續改進和發展的信息安全管理機制，用最低的成本達到可接受的信息安全水平，從根本上保證業務的持續性

 

對外：其實主要就是 對外的宣傳 讓別增長安全的信任

可以使得各個利益相關方對組織充滿信心

可以鑑定外包時候雙方的責任

可使得組織更好的知足客戶、其餘組織的審計要求

使得更好的符合法律法規要求

 

實施信息安全管理端關鍵成功因素：（CSF）

組織的信息安全方針和活動可以反映組織的業務目標

組織實施信息安全的方法和框架與組織的文化（外企、國企、私營）相一致 ——從組織方面來說

管理者可以給與信息安全實質性、可見的支持和承諾

管理者對信息安全的需求、信息安全風險、風險評估以及風險管理有深刻理解

管理者爲信息安全提供足夠的資金 ——從管理者來說

向全員和其餘相關方提供有效的信息安全宣傳以及提高信息安全意識

向全員和其餘相關方分發並宣傳信息安全方針、策略、標準 ——對員工來說

創建有效的信息安全事件管理過程

創建有效的信息安全測量體系 ——機制上來說

 

做用二：信息安全管理是信息安全技術的融合劑，保障各項技術措施可以發揮做用

解決信息安全問題，成敗一般取決於兩個因素，一個是技術另外一個是管理

技術和產品是基礎 管理纔是關鍵

產品和技術 要經過管理的組織職能才能發揮最大做用

 

做用三：信息安全管理能預防、阻止或減小信息安全事件的發生

20-30是因爲黑客入侵或者其餘外部緣由形成 70-80是因爲內部員工的疏忽或者有意泄密

現實世界裏大多數安全事件的發送和安全隱患的存在與其說是技術緣由 不如說是管理不善形成的

 

安全不善產品的簡單堆積、也不是一次性的靜態過程，是人員、技術、操做三者緊密結合的系統工程、是不斷演進、循環發展的動態過程

 

風險評估是信息安全管理的基礎

風險評估主要對ISMS範圍內的信息資產進鑑定和估價，而後對信息資產面對各類威脅和脆弱性進行評估，同時對已經存在的或者桂愛華的安全控制措施進界定

信息安全管理體系的創建須要肯定信息安全的需求

信息安全需求獲取的主要手段就是安全風險評估

信息安全風險評估是信息安全管理體系創建的基礎，沒有風險評估信息安全管理體系的創建就沒有依據

 

風險處理是信息安全管理的核心

風險處理是對風險評估活動識別出風險進行決策、採起適當的控制蚔處理不能接受的風險，將風險控制在能夠接受的範圍

風險評估活動只能揭示組織面臨的風險，不能改變風險情況

只有經過風險處理活動，組織的信息安全能力纔會提高，信息安全需求才能被知足 才能實現其信息安全目標

信息安全管理的核心就是這些風險處理措施的集合

 

控制措施是管理風險的具體手段

風險處理時候，須要選擇並肯定適當的控制目標和控制措施，只有落實適當的控制措施，那些不可接受的高風險才能下降到能夠接受的水平以內

 

控制措施的類別

手段：技術性、管理性、物理性、法律性

功能：預防性、檢測性、糾正性、威懾性

 

過程、過程方法的概念

過程：一組將輸入轉化爲輸出的相互關聯或者相互做用的活動

過程方法：一個組織內過程的系統的運用，連同這些過程的識別和互相做用以及其管理，能夠稱之爲「過程方法」

 

PDCA循環 叫作 」戴明環「  規劃（計劃） 實施 檢查 處置（行動）

P plan 計劃 規定你應該作什麼並造成文件

D Do 實施 作文件已規定的事情

C Check 檢查 評審你所作的事情的符合性

A Act 行動 採起糾正和預防措施 來持續改進結合總結

特色一：按照順序進行，靠組織的力量來推進，像車輪同樣前進，不斷循環

特色二：組織中的每一個部分，甚至個體，都可以PDCA循環 大環套小換

特色三：每個PDCA循環後，都要進行總結，提出新目標，再進行第二次PDCA循環

 

PDCA循環 可以提供一種優秀的過程方法，以實現持續改進

遵循PDCA循環，可以使任何一項活動都有效地進行

 

信息安全管理體系

ISMS是一種常見的對組織信息安全進行全面、系統管理的方法

ISMS是ISO27001（不光是建設、也是審覈的依據）定義的一種有關信息安全的管理體系。是一種典型的基於風險管理和過程方法的管理體系

 

信息安全管理體系是PDCA動態持續改進的一個循環體

P 規劃創建   D 實施和運行   C 監視和評審   A 保持和改進