一、信息安全管理基礎(chǔ)
CISP相關(guān)文檔已經(jīng)上傳至Github:https://github.com/Double-q1015/cisp
- 管理的概念:組織橘沥、協(xié)調(diào)炮赦、控制的活動(dòng),核心過(guò)程的管理控制。
- 管理對(duì)象和組成:包括人員在內(nèi)的相關(guān)資產(chǎn);組成包括人員、目標(biāo)电抚、規(guī)則和
運(yùn)行。 - 管理體系概念:完備性竖共、邏輯性的管理措施的集合蝙叛,遵守“木桶原理”。
- 信息安全管理體系(isms):
例題
image.png
image.png
image.png
image.png
1)根據(jù) ISO/IEC 27001 所制定的體系公给,為狹義的體系甥温。
2)廣義信息安全管理體系:泛指一切與信息安全管理有關(guān)的措施的集合锻煌。
- 信息安全管理的作用,包括不限于這些作用:
1)促進(jìn)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)姻蚓;2)管理與組織整體的融合宋梧;3)預(yù)防、阻止和減少事
件發(fā)生的作用狰挡;4)技術(shù)和管理的結(jié)合捂龄;5)對(duì)內(nèi)和對(duì)外的作用。 - 信息安全管理的成功要素:包括不限于的要素 1)反應(yīng)業(yè)務(wù)目標(biāo)加叁;2)文化的
一致性倦沧;3)領(lǐng)導(dǎo)層實(shí)質(zhì)性的支持;4)領(lǐng)導(dǎo)對(duì)風(fēng)險(xiǎn)管理的理解它匕;5)科學(xué)的測(cè)量
體系展融;6)持續(xù)的教育和培訓(xùn)。
二豫柬、信息安全風(fēng)險(xiǎn)管理
信息安全風(fēng)險(xiǎn)管理的目的就是將風(fēng)險(xiǎn)控制在可以接受的范圍
- 風(fēng)險(xiǎn)管理的概念:識(shí)別和處置風(fēng)險(xiǎn)的過(guò)程告希,是預(yù)防的措施。風(fēng)險(xiǎn)四要素是資
產(chǎn)烧给、威脅燕偶、脆弱性、安全措施础嫡。 - 風(fēng)險(xiǎn)管理參考的方法:
1)COSO 風(fēng)險(xiǎn)控制框架:戰(zhàn)略指么、運(yùn)營(yíng)、報(bào)告和合規(guī)性風(fēng)險(xiǎn)管理榴鼎,具體包括組件伯诬。
2)ISO31000 的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)(國(guó)際標(biāo)準(zhǔn)工作參考),適用范圍非常的廣泛巫财。
3)ITIL 信息技術(shù)服務(wù)(信息安全風(fēng)險(xiǎn)管理):服務(wù)戰(zhàn)略盗似、服務(wù)設(shè)計(jì)、服務(wù)轉(zhuǎn)化翁涤、
服務(wù)運(yùn)營(yíng)桥言、服務(wù)改進(jìn)等五個(gè)階段來(lái)實(shí)施萌踱。
例題
image.png
4)COBIT 風(fēng)險(xiǎn)控制:通過(guò) IT 活動(dòng)風(fēng)險(xiǎn)控制支持 IT 過(guò)程和 IT 目標(biāo)葵礼,進(jìn)一步支持
業(yè)務(wù)目標(biāo)(商業(yè)目標(biāo))的實(shí)現(xiàn)。
- 基于 GB/Z 24364:2009 的風(fēng)險(xiǎn)管理指南(考試重點(diǎn))
1)四階段:
— 背景建立:風(fēng)險(xiǎn)管理準(zhǔn)備并鸵、系統(tǒng)調(diào)查鸳粉、系統(tǒng)分析、安全分析园担。
— 風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)評(píng)估準(zhǔn)備届谈、風(fēng)險(xiǎn)要素識(shí)別(資產(chǎn)枯夜、威脅、脆弱性艰山、安全措施)湖雹、
風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)報(bào)告曙搬。
— 風(fēng)險(xiǎn)處理:降低風(fēng)險(xiǎn)摔吏、規(guī)避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)纵装、接受風(fēng)險(xiǎn)征讲。
例題
image.png
2)兩過(guò)程:
— 監(jiān)控審查:對(duì)風(fēng)險(xiǎn)管理過(guò)程的偏差、變化橡娄、延誤進(jìn)行控制和糾正诗箍。
— 溝通咨詢:提高風(fēng)險(xiǎn)管理的質(zhì)量和效果的交流和溝通工作。
三挽唉、信息安全管理體系建設(shè)
1.管理的方法:PDCA 過(guò)程的方法滤祖。
2.體系的四個(gè)階段的內(nèi)容:3.體系文檔的管理
1)規(guī)劃和使用文檔管理結(jié)構(gòu):3 層或 4 層結(jié)構(gòu),其中高層包括方陣橱夭、策略氨距、手冊(cè);最底層
包括文件表格棘劣、記錄俏让、表單等。
2)對(duì)文檔要進(jìn)行全生命周期的管理茬暇。
四首昔、信息安全管理體系最佳實(shí)踐
- 安全策略
1)制定策略:由領(lǐng)導(dǎo)批準(zhǔn)和發(fā)布,代表宏觀的要求和導(dǎo)向糙俗,高級(jí)別策略為方針勒奇。
2)策略評(píng)審:新制定、修訂等需要進(jìn)行評(píng)審巧骚,保證適宜性赊颠、充分性和有效性。 - 安全組織
1)內(nèi)部組織:角色分配劈彪、職責(zé)分離竣蹦、與政府的聯(lián)系、與利益方的聯(lián)系沧奴、項(xiàng)目中
的信息安全管理痘括。
2)移動(dòng)設(shè)備和遠(yuǎn)程辦公:設(shè)備的安全,遠(yuǎn)程辦公。 - 人力資源安全
1)任用前:安全審查纲菌、崗位的定義挠日。
2)任用中:職責(zé)管理、安全教育培訓(xùn)翰舌、紀(jì)律處理嚣潜。
3)任用終止或變化:權(quán)限回收、信息保密等要求椅贱。 - 資產(chǎn)安全
1)資產(chǎn)清單:設(shè)備資產(chǎn)的清單郑原、責(zé)任人、可接受的使用夜涕、歸還犯犁。
2)信息分類:數(shù)據(jù)資產(chǎn)的分類指南、信息標(biāo)記女器、信息處理酸役。
3)介質(zhì)管理:移動(dòng)介質(zhì)管理、介質(zhì)處置驾胆、介質(zhì)傳輸?shù)陌踩?/li> - 操作安全:核心為一切的操作均需要制定和執(zhí)行相應(yīng)的操作程序涣澡。
- 供應(yīng)商管理
1)供應(yīng)商合作方針、信息安全問(wèn)題的協(xié)議丧诺。
2)供應(yīng)商的審查入桂、供應(yīng)商的服務(wù)變更管理。 - 符合性管理:安全管理要符合政策驳阎、法律抗愁、法規(guī)、標(biāo)準(zhǔn)呵晚、知識(shí)產(chǎn)權(quán)蜘腌、隱私保
護(hù)、審計(jì)饵隙、技術(shù)審核等要求撮珠。
8.訪問(wèn)控制(結(jié)合參考訪問(wèn)控制知識(shí))
9.密碼技術(shù)管理(結(jié)合參考密碼學(xué)知識(shí))
10.物理和環(huán)境安全(結(jié)合參考物理環(huán)境安全)
11.通信安全(結(jié)合參考網(wǎng)絡(luò)通信安全)
12.事件安全管理(詳細(xì)參考《業(yè)務(wù)連續(xù)性管理》)
13.業(yè)務(wù)連續(xù)性管理(詳細(xì)參考《業(yè)務(wù)連續(xù)性管理》)
14.系統(tǒng)獲取開(kāi)發(fā)和維護(hù)(結(jié)合參考安全工程過(guò)程)
五、信息安全管理體系度量
- 重要性:衡量安全有效性的必須的金矛,閉環(huán)的關(guān)鍵方法芯急。
- 測(cè)量方法:ISO/IEC 27004 的管理測(cè)量的標(biāo)準(zhǔn)(對(duì)象-過(guò)程-措施-目標(biāo))。
- 測(cè)量過(guò)程:測(cè)量職責(zé)分配等準(zhǔn)備-制定測(cè)量方案-測(cè)量的實(shí)施-測(cè)量分析與報(bào)告-
測(cè)量的改進(jìn)驶俊。
