,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,江苏金盾检测技术有限公司,等级保护制度,之,信息安全管理,1,目录,体系建立,2,基本概念,1,控制措施,3,客观、公正,及时、满意,2,客观、公正,及时、满意,基本概念,1,3,客观、公正,及时、满意,信息安全保护的是什么,“信息,资产,”,可包括所有形式的数据、文件、通信件（如,email,和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息系统和数据库等）也可作为一类信息资产。,4,5,Confidentiality,保密性,Availability,可用性,Integrity,完整性,6,组,织的,信息资产可面临许多威胁，包括人员（,内部人员和,外人员,）误操作,（不管有意的，还是无意的）、,盗窃、,恶意代码和自然灾害等。,另,一方面，组织本身存在某些,可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。,信息安全风险,7,风险避免，风险降低，风险转移，风险接受,安全性,风险性,安全需求,高,高,低,安全风险,支出平衡点,信息安全风险,的管理,8,安全措施,抗击,业务战略,脆弱性,安全需求,威胁,风险,残余风险,安全事件,依赖,拥有,被满足,利用,暴露,降低,增加,增加,导出,演变,未被满足,未控制,可能诱发,残留,成本,资产,资产价值,9,信息安全管理的本质是对信息安全风险的管理,信息安全管理主要工作是不断识别与处理信息安全风险的过程,安全组织,资产分级及控制,信息安全方针,应用控制措施,运营实现过程,检查过程,纠正措施,管理评审,计划,纠正,检查,实施,10,信息安全管理要求,ISO/IEC27001,的前身为英国的,BS7799,标准，该标准由英国标准协会（,BSI,）于,1995,年,2,月提出，并于,1995,年,5,月修订而成的。,ISO27001:2005,已经成为世界上应用最广泛与典型的信息安全管理标准，它是在,BSI/DISC,的,BDD/2,信息安全管理委员会指导下制定完成，最新版本为,ISO27001:2013,。,我国于,2008,年发布了重要信息系统信息安全等级保护基本要求,GB/T22239,标准化,11,有效的运行信息安全管理体系，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。,责任,证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。,通过体系的计划、建立、运行与改进的全过程，逐步增强员工的安全意识、责任感和相关安全技能、规范组织信息安全行为，减少人为原因造成的不必要的损失。,安全管理价值,12,安全管理价值,有效的实现风险管理，有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。,降低成本,ISMS,的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度,13,体系初步建立,2,14,制定信息安全方针为信息安全管理提供导向和支持,控制目标和控制方式的选择建立在,风险评,估（技术与管理测评）,基,础之上,预防控制为主的思想原则,动态管理原则,全员参与原则,遵循管理的一般循环模式,PDCA,持续改进模式,15,安全管理的主要,要素,要包括,：,建立,信息,安全管理机构,通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等,。,建立管理体系文件,包括战略方针,、,过程程序文件、作业指导书和记录留痕的,文件等,。,组织各类资源,包括,建立与,实施安全管理体系所,需要的合格人员、足够的资金和必要的设备等。,安全管理体系建立,要确保,这些体系要素,得到满足。,16,信息,安全管理机构的级别,信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：,高层：以总经理或管理者代表为领导，,确保信息安全工作有一个明确的方向和提供,管理承诺和,必要的资源。,中层：负责该组织日常信息安全的管理与监督活动。,基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。,信息安全管理机构,17,管理体系文件,四级文件体系,(,基于国家等级保护基本要求,）,1.,信息安全方针,2.,管理制度（程序文件）,3.,作业指导书（操作指南）,4.,运行记录（留痕文件）,18,1.,信息,安全方针,需要遵从法律,和合同,要求,信息安全定义，总目标和范围，安全的,重要性,职责（部门与人员）,19,2,.,管理制度,规定控制范围及程序（注意持续改进闭环管理）,（如：运维人员管理制度、网络管理制度、安全设备维护管理制度等）,人员管理类,机构管理类,运行维护类,系统建设类,事务,类（如,关于安全管理制度的修订办法）,20,3.,作业指导书,规范化的操作流程与工艺,如,XX,业务终端的使用方法,门禁系统的操作方法与注意事项,21,4.,运行记录,控制过程的留痕,如,服务器外出维修申请单,机房进出人员登记簿,22,安全策略（防恶意代码）,控制措施,管理制度,操作指南,运行记录,对内外网边界进行恶意代码防范,部署防毒墙，对网络边界实行恶意代码查杀,关于防病毒网关的运行维护规定,定义维护部门 人员 病毒库更新办法 供应商管理相关内容,防病毒网关的安装调试手册,等,略,重点对内网主机进行恶意代码防范防止计算机病毒的在内网扩散,部署终端防病毒软件，对终端实行恶意代码查杀,关于终端防病毒软件的运行维护规定,关于个人办公终端的使用规范,中的终端防病毒部分内容,防病毒系统服务器维护方法,终端杀毒软件的安装,等,略,23,组织各类资源,资金（基础安全设施建设、安全咨询机构、外部专家）,人员（三权分立 各司其职）,24,控制措施,3,25,管理,OR,技术？,26,通过识别风险确定控制目标，选择控制措施,方式：安全评估与测试,27,决策层,管理层,业务安全决策,安全战略规划,安全保证决策,信息安全领导小组,信息安全管理部门,安全管理,系统安全工程,安全保证管理,信息安全执行部门,实施与运作,运行管理,安全保证实施,执行层,28,29,物理安全,主机安全,网络安全,应用,安全,数据安全,30,防病毒,安全域划分与边界整合,入侵检测系统,日志审计系统,设备安全加固,整体安全体系,技术体系建设,补丁分发,应用系统代码审核,抗拒绝服务系统,组织体系建设,管理体系建设,流量监控系统,安全组织结构,组织安全职责,安全岗位设置,岗位安全职责,基础安全培训,高级安全培训,中级安全培训,岗位考核管理,安全管理培训,安全巡检小组,确定总体方针,统一安全策略体系,基础制度管理,资产登记管理,主机安全管理,基础流程管理,安全技术管理,网络安全管理,应用安全管理,数据安全管理,应急安全管理,工程安全管理,安全审计管理,身份认证,访问控制（防火墙，网络设备，隔离设备）,安全通告,漏洞扫描,行为审计系统,终端管理系统,应急灾备中心,VPN,31,谢 谢！,江苏金盾检测技术有限公司,32,