目录
信息安全管理体系成功的主要因素(GB/T 29246-2017)
一、知识框架
二、信息安全管理基础
1.信息安全管理基本概念
信息安全管理:信息安全管理是组织管理体系的一个重要环节,管理者为实现信息安全目标(CIA特性、业务连续性等)而进行的计划、组织、指挥、协调和控制的一系列活动。
信息安全管理的对象:包括人员在内的信息相关资产
信息安全管理的组成:人员、目标、规则、过程
信息安全管理的作用(不限于):反应业务目标的重要保障、组织实现业务目标的重要保障、信息安全技术的结合剂(技管并重)保障技术措施能够发挥作用、预防阻止或减少信息安全事件的发生
特性:攻击与防护严重不对称,攻击很容易,防护成功极为困难
原理:木桶原理,信息安全水平取决于防护最薄弱的环节,要求完备性、逻辑性的管理措施的集合
2.信息安全管理体系
组织管理体系的一部分、基于风险评估和组织风险接受水平
狭义的信息安全管理体系:
按照ISO27001标准定义的ISMS
优点:基于27001标准,建立和执行简单
缺点:难以和其他体系和管理形成一体化
广义的信息安全管理体系:
泛指任何一种有关信息安全的管理体系,进一步也包括了个体系的集合
优点:最好实现各体系集成、运行效率高、成本低。
缺点:建立难度大、运行控制严格
三、信息安全风险管理
1.基本概念
基于风险的思想是所有信息系统安全保障工作的核心思想,预防为主!
风险是未发生的事件,事件是已成事实的风险
不确定性对目标的影响 ISO31000
风险是客观存在的
2.风险管理
是风险识别、评估和优化
协调和经济应用资源以最小化检测和控制不良事件的可能性及影响,最大限度实现业务
要素:资产、脆弱性、威胁、安全措施。
3.常见的风险管理模型
内部控制整合框架COSO报告
三个目标:财务报告可靠性、经验效率和效果、合规性
四个类别:战略风险管理、运营风险管理、报告风险管理、合规风险管理
八个要素:监督、目标制定、内部环境、控制活动、风险评估、时间识别、风险响应、信息沟通
ISO31000《风险管理原则与实施指南》
风险管理框架设计、风险管理实施、风险管理检测和评审、风险管理改进四个部分
标准应用于组织的整个生命过程,以及一些列广泛的活动、流程、职能、项目、产品、服务、资产、业务和决策
COBIT(信息与相关技术控制目标)
面向信息系统过程审计和评价的标准
控制目标:有效性、高效性、保密性、可用性、完整性、符合性、信息可靠性
ITIL
服务战略、设计、转化、运营等五个阶段
GB/Z 24364《信息安全风险管理指南》
背景建立
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
风险管理准备-信息系统调查-信息系统分析-信息安全分析
ps:还记得在kali-渗透测试(一)那篇博客里提到的一句话“侦察永远不浪费时间”背景建立阶段其实就是侦察阶段
风险评估
信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
评估准备(制定方案选择方法)-- 要素识别(发现威胁、脆弱性、控制措施)-- 分析(判断风险发生的可能性和影响程度)-- 结果判定(综合分析结果判定风险等级)
风险处理
风险处理是为了将风险始终控制在可接受的范围内
现存风险判断(判断哪些风险可以接受那些不可以)
处理目标确认(不可接收的风险需要控制到怎样的程度)
处理措施选择(选择处理方式,确定控制措施)
处理方式:降低、规避、转移、接受风险
处理后的风险是参与风险需要跟踪监视
批准监督
机构的决策层依据风险评估和风险处理的结果做出是否认可风险管理活动的决定
检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否可能引入新风险
监控审查
类似信息系统工程中的监理
及时发现已经出现或即将出现的变化、偏差和延误等问题
采取适当的措施进行控制和纠正
保证信息安全风险管理主循环的有效性
沟通咨询
四、息安全管理体系建设
信息安全管理体系成功的主要因素(GB/T 29246-2017)
PDCA过程方法(27001)
P:计划 D:实施 C:检查 A:行动
根据ISO标准导则83的框架,包括10个部分
体系四个阶段的内容
文档化
文档结构示意图
文档控制
建立-批准与发布-评审与更新-文件保存-文件作废
五、信息安全管理体系实践
安全控制措施内部结构
结构:14个类别 35个目标 114个控制措施
描述方式:控制类 控制目标 控制措施 实施指南
①定目标:信息安全方针、信息安全方针评审
②建组织:
内部组织:角色分配、职责分离、与政府的联系、与利益方的联系、项目中的信息安全管理
移动设备和远程办公:环境安全、设备的安全、远程办公
③人的管理:
任用前:安全审查、任用条款及条件
任用中:职责管理、安全教育培训、纪律处理
任用终止:权限收回、保密协议
④资产管理:
资产清单:所有权确定负责人、可接受的使用要求、处理要求
信息分类:分类指南、信息标记、信息处理
介质管理:移动介质管理、介质处置、介质传输的安全
⑤操作安全:
一切操作均需要制定和执行相应的操作程序,减少操作最信息安全和系统业务的影响
⑥供应商管理:
供应商合作方针、信息安全问题的协议
供应链的管理:知识产权、技术、产品、服务、人员等
供应监视和评审:供应商的监视和审查、供应商的服务变更管理
⑦符合性管理:符合政策、法规、标准、知识产权、隐私保护、审计、审核、密码政策等要求
六、信息安全管理体系度量
衡量安全有效性的必须的实现闭环的关键方法
27004模型
管理过程-对象-方法-执行-结果
测量过程:
测量的过程没有统一要求
职责分配等准备--制定方案--实施--分析与报告--改进
准备-实施-报告-改进
七、总结
这一章内容挺多的,所以信息安全管理是很重要的!,在写博客的时候遇到了好几个点是CISP题库刷题时遇到的知识点,而且这一章相比前两章更难了,很多知识都是完全全新的,前两章还可以借鉴一点平时的经验,这一章相对来说还是需要慢慢打磨理解记忆的,后面应该还会有博客专门总结补充这一章!