NISP二级笔记（一） 信息安全管理

ISO27001 信息安全管理体系要求

ISO27002 信息安全控制措施（实用规则）

ISO27003 信息安全管理体系实施指南

ISO27004 信息安全管理测量

ISO27005 信息安全风险管理

信息安全管理 对于保障信息系统安全的作用

信息安全管理体系、风险管理和信息安全管理控制措施的含义

建立和完善信息安全管理体系的一班方法

信息安全风险管理的方法、原则

信息安全管理的控制措施、作用

信息安全管理概述

信息：有规律、可被利用的数据

信息安全：有规律、可被利用的数据的安全

管理：管理者为了达到特定目的而对管理对象进行的计划、阻止、指挥、协调和控制的一系列活动

信息安全管理：管理者为实现信息安全目标（CIA，保密性、可以性、完整性）以及业务运行的持续而进行的计划、阻止等

信息安全管理对象：主要从体系的角度包括人员在内的各类信息相关的资产 与风险管理的对象是相同的

以建立体系的方式实施信息安全管理的必要性，主要是个木桶原理、信息安全水平有多高、取决于防护最薄弱的环节

信息安全管理体系的定义

体系：相互关联和相互作用的一组要素

管理体系：建立方针和目标并达到目标的体系

为达到组织目标的策略、程序、指南和相关资源的框架

信息安全管理体系：整体管理体系的一部分，基于业务风险的方法，来建立、实施、运作、监视、评审、保持和改进信息安全

ISO27000:2009

作用一：

信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障

管理系统的作用：对内往往大于对外的作用

对组织的价值

对内：

能够保护关键信息资产、知识产权，维持竞争优势

在系统被入侵时候，确保业务持续开展并将损失降到最低程度

建立信息安全审计框架，实施监督检查

建立起文档化的信息安全管理规范，实现有法可依，有章可循，有据可查

强化员工信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化

按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本达到可接受的信息安全水平，从根本上保证业务的持续性

对外：其实主要就是 对外的宣传 让别增加安全的信任

能够使得各个利益相关方对组织充满信心

能够鉴定外包时候双方的责任

可以使得组织更好的满足客户、其他组织的审计要求

使得更好的符合法律法规要求

实施信息安全管理端关键成功因素：（CSF）

组织的信息安全方针和活动能够反映组织的业务目标

组织实施信息安全的方法和框架与组织的文化（外企、国企、私营）相一致 ——从组织方面来讲

管理者能够给与信息安全实质性、可见的支持和承诺

管理者对信息安全的需求、信息安全风险、风险评估以及风险管理有深入理解

管理者为信息安全提供足够的资金 ——从管理者来讲

向全员和其他相关方提供有效的信息安全宣传以及提升信息安全意识

向全员和其他相关方分发并宣传信息安全方针、策略、标准 ——对员工来讲

建立有效的信息安全事件管理过程

建立有效的信息安全测量体系 ——机制上来讲

作用二：信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用

解决信息安全问题，成败通常取决于两个因素，一个是技术另一个是管理

技术和产品是基础 管理才是关键

产品和技术 要通过管理的组织职能才能发挥最大作用

作用三：信息安全管理能预防、阻止或减少信息安全事件的发生

20-30是由于黑客入侵或者其他外部原因造成 70-80是由于内部员工的疏忽或者有意泄密

现实世界里大多数安全事件的发送和安全隐患的存在与其说是技术原因 不如说是管理不善造成的

安全不善产品的简单堆积、也不是一次性的静态过程，是人员、技术、操作三者紧密结合的系统工程、是不断演进、循环发展的动态过程

风险评估是信息安全管理的基础

风险评估主要对ISMS范围内的信息资产进鉴定和估价，然后对信息资产面对各种威胁和脆弱性进行评估，同时对已经存在的或者桂爱华的安全控制措施进界定

信息安全管理体系的建立需要确定信息安全的需求

信息安全需求获取的主要手段就是安全风险评估

信息安全风险评估是信息安全管理体系建立的基础，没有风险评估信息安全管理体系的建立就没有依据

风险处理是信息安全管理的核心

风险处理是对风险评估活动识别出风险进行决策、采取适当的控制蚔处理不能接受的风险，将风险控制在可以接受的范围

风险评估活动只能揭示组织面临的风险，不能改变风险状况

只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足 才能实现其信息安全目标

信息安全管理的核心就是这些风险处理措施的集合

控制措施是管理风险的具体手段

风险处理时候，需要选择并确定适当的控制目标和控制措施，只有落实适当的控制措施，那些不可接受的高风险才能降低到可以接受的水平之内

控制措施的类别

手段：技术性、管理性、物理性、法律性

功能：预防性、检测性、纠正性、威慑性

过程、过程方法的概念

过程：一组将输入转化为输出的相互关联或者相互作用的活动

过程方法：一个组织内过程的系统的运用，连同这些过程的识别和互相作用以及其管理，可以称之为“过程方法”

PDCA循环 叫做 ”戴明环“  规划（计划） 实施 检查 处置（行动）

P plan 计划 规定你应该做什么并形成文件

D Do 实施 做文件已规定的事情

C Check 检查 评审你所做的事情的符合性

A Act 行动 采取纠正和预防措施 来持续改进结合总结

特点一：按照顺序进行，靠组织的力量来推动，像车轮一样前进，不断循环

特点二：组织中的每个部分，甚至个体，均可以PDCA循环 大环套小换

特点三：每一个PDCA循环后，都要进行总结，提出新目标，再进行第二次PDCA循环

PDCA循环 能够提供一种优秀的过程方法，以实现持续改进

遵循PDCA循环，能够使任何一项活动都有效地进行

信息安全管理体系

ISMS是一种常见的对组织信息安全进行全面、系统管理的方法

ISMS是ISO27001（不光是建设、也是审核的依据）定义的一种有关信息安全的管理体系。是一种典型的基于风险管理和过程方法的管理体系

信息安全管理体系是PDCA动态持续改进的一个循环体

P 规划建立   D 实施和运行   C 监视和评审   A 保持和改进