HCIE-Security Day38：理论学习：信息安全管理

安全管理概述

动态管理，是企业生产管理中的重要组成部分，是对生产中一切人、物、环境的状态管理与控制，是一种动态管理。

实施安全管理过程中，必须正确处理五种关系，坚持六项基本管理原则。

安全管理的五种关系

安全与危险并存

安全与效益兼顾

安全与速度互保

安全与质量包涵

安全与生产统一

安全管理的六项基本原则

管生产同时管安全

坚持安全管理的目的性

贯彻预防为主的方针

坚持四全动态管理

安全管理重在控制

在管理中发展、提高

信息安全管理基本概念

信息系统安全管理包括信息系统相关的安全管理和信息系统管理安全两个方面。包含技术性管理和法律性管理两类。

信息安全管理的指导原则

策略原则

1、以安全保发展，在发展中求安全

2、受保护资源的价值与保护成本平衡

3、明确国家、企业和个人对信息安全的职责和可确认性

4、信息安全需要积极防御和综合防范

5、定期评估信息系统的残留风险

6、综合考虑社会因素对信息安全的制约

7、信息安全管理体现以人为本

工程原则

1、基本保证

2、适度安全

3、实用标准化

4、保护层次化和系统

5、降低复杂度

6、安全设计机构化

信息安全管理体系

ISMS.一个组织内部建立的信息安全方针与目标的总称，并包括为实现这些方针和目标所制定的文件体系与方法

实施过程中，采用：规划、实施、检查、处置PDCA模型。该模型可以应用于所有的ISMS过程。

ISMS的规划和设计

实施和运行阶段

1、正式发布：将所有ISMS体系文件以书面文件的方式正式发布。

2、任命角色：任命各部门负责人，向各部门传递相关程序和记录文件

3、组织学习培训：组织相关人员学习ISMS体系文件并落实具体职责到个人。

4、落实资源：准备ISMS实施的各种资源，包括人员配备、资金供给、设备到位等

5、信息处理：各责任人进行信息安全的信息收集、分析、传递、反馈、处理和归档等工作。

内部审核

启动审核---首次会议---审核实施---末次会议---审核报告---结果验证---记录归档

管理评审

在管理评审中需要讨论ISMS内部审核结果、相关方的反馈、以前风险评估中没有提出的弱点或者威胁，以及可能影响ISMS的任何更改等，并针对上述问题，提出下一步的工作重点。

保持和改进阶段

明确问题---确定改进方法---采取措施---持续改进

常见信息安全标准

中国：国家等级保护制度GB

依据信息安全技术网络安全等级保护基本要求等技术标准，定期对信息系统开展测评工作。

等保2.0基本要求

技术要求：

安全物理环境

安全通信网络

安全区域边界

安全计算环境

安全管理中心

管理要求：

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

拓展要求：

云计算安全

移动互联安全

物联网安全

工控系统安全

ISMS和等保区别

出发和侧重不同

实施依据不同

实施主体不同

实施对象不同

实施过程不同

结果不同

风险评估和等保关系

风险评估是等保出发点，风评中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低，但是等保中高级别的信息系统不一定就有高级别的安全风险。

国际：ISO27001

用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面持续地改进组织的信息安全管理。

美国：TCSEC

将计算机的安全划为4个等级、7个级别

欧盟：ITSEC

将完整性、可用性和保密性作为同等重要的因素，将安全分为功能与评估两个模块。功能模块是对系统安全的分类，从F1-F10共10个级别，评估模块是对安全等级的评估，从E0-E6共7个等级。