第六章信息安全管理
第一节信息安全管理概述
一、信息安全管理的内容
1、什么信息安全管理?
通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动
制定信息安全目标和寻找实现目标的途径;
建设信息安全组织机构,设置岗位、配置人员并分配职责;
实施信息安全风险评估和管理;制定并实施信息安全策略;
为实现信息安全目标提供资源并实施管理;
信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务
(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施
(4)信息安全工程项目管理(5)资源管理
◆(1)组织机构建设
★组织应建立专门信息安全组织机构,负责:
①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算
③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度
⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查
⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查
⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理
⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作
★组织应设立信息安全总负责人岗位,负责:
①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定
③提出信息安全年度工作计划④总协调、联络
◆(2)风险评估
★信息系统的安全风险
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估
是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程
它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:
服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。★信息系统安全风险评估的目的是:
认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
★信息安全风险评估的基本要素
使命:一个单位通过信息化实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。
风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
★信息安全风险评估的标准制定工作
2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。
目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布
国信办已以国信【2006】9号文的形式发各部委和省市
★《信息安全风险评估指南》主要内容
规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则;
介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程;
详细描述了对资产、威胁和脆弱性的识别方法;
描述了风险评估在信息系统生命周期中的作用;描述了风险评估的不同形式;
在附件中介绍了信息安全风险评估的方法、工具和实施案例
◆(3)信息安全策略的制定和实施
策略:解决某一方面问题的目的、范围、流程、准则的集合
信息安全策略文件
就每一个策略建立实施计划,落实所需资源
策略发布后,实施培训
策略的评审和修订
◆(4)信息安全工程项目管理
需求分析;规划立项;实施;验收;工程监理
◆(5)资源管理
信息安全预算;人力资源;基础设施;信息安全教育培训
二、信息安全管理体系
1、什么是管理体系
★ISO9000-2000中的相关定义
体系system——相互关联和相互作用的一组要素
管理体系management system——建立方针和目标并实现这些目标的体系
我国管理体系组织机构
国家认证认可监
督管理委员会
中国合格评定
国家认可中心
CNAB CNAT CNAL
★目前流行的管理体系
质量管理体系QMS——ISO/IEC9000,9001,9004等;环境管理体系EMS——ISO/IEC14000;职业安全卫生管理体系——OHMSAS18000;信息安全管理体系ISMS ——ISO/IE17799&ISO27001;
2、信息安全管理体系
★ISMS:
◇Information Security Management System 信息安全管理体系
◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。
◇信息安全目标应是可度量的
★信息安全管理体系要素包括
◇信息安全方针、策略;◇信息安全组织结构;◇各种活动、过程;◇信息安全控制措施;◇人力、物力等资源;◇其他……
信息安全管理体系方法图解:
三、信息安全管理标准
★安全标准可以分成以下几大类:
安全体系结构和框架标准;分层安全协议标准;安全技术标准;具体应用安全标准;安全管理标准
当前信息安全面临着“道高一尺,魔高一丈”的尴尬处境,在信息安全技术进步的同时,信息安全问题却越来越严重,人们逐渐深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段,如规范安全标准和进行信息安全管理,这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决