Download
1 / 97
970 likes | 1.24k Views
信息安全、信息技术( IT )服务 管理体系简介 二零一二年九月八日. 1. 一、背景介绍. 2. 二、体系介绍. 三、体系比较. 3. 4. 四、概括总结. 本次交流的主要内容. 交流内容. 1. 一、背景介绍. 本次交流的主要内容. 交流内容. 背景介绍. 我们身边的信息化: ●电脑→笔记本→宽带 ●露天电影→家庭影院 ●银行取款→刷卡购物 ●电话→手机→可视电话 ●手写情书→依妹儿 ●电子商务、电子政务 ……. “信息” 是有意义的数据. 电子交易. 电子商务 电子政务. Intranet 站点. Web 浏览.
E N D
信息安全、信息技术(IT)服务管理体系简介二零一二年九月八日信息安全、信息技术(IT)服务管理体系简介二零一二年九月八日
1 一、背景介绍 2 二、体系介绍 三、体系比较 3 4 四、概括总结 本次交流的主要内容 交流内容
1 一、背景介绍 本次交流的主要内容 交流内容
背景介绍 我们身边的信息化: ●电脑→笔记本→宽带 ●露天电影→家庭影院 ●银行取款→刷卡购物 ●电话→手机→可视电话 ●手写情书→依妹儿 ●电子商务、电子政务…… “信息” 是有意义的数据
电子交易 电子商务 电子政务 Intranet 站点 Web 浏览 Internet Email 背景介绍 复杂程度 Internet 技术的飞速增长 时间
在Internet上谁又知道我是只狗呢?^Q^ 背景介绍 信息化出现的新问题: ●网上信息可信度差 ●垃圾电子邮件 ●信息窃取 ●网络入侵 ●…… 人们享受信息化便利的同时遭受信息安全问题的困扰!!
背景介绍 ●基于互联网的信息安全问题 ●基于物理环境的信息安全问题(静电、灰尘、鼠蚁虫害…) ●基于自然灾害的信息安全问题 ●基于人为因素的信息安全问题 ……
文化安全 体系介绍 安全涉及的因素: 物理安全 信息安全 网络安全 2014/8/31 8
温度 电磁 湿度 环境 集群 备份 容灾 体系介绍 物理安全 2014/8/31 9
体系介绍 网络安全 研究安全漏洞以防之 安全漏洞危害在增大 广播 控制 因特网 工业 因特网 研究攻防技术以阻之 通讯 金融 电力 信息对抗的威胁在增加 交通 医疗 网络对国民经济的影响在加强 2014/8/31 10
体系介绍 加密技术 信息安全 数字签名 信息窃取 信息篡改 完整性技术 信息抵赖 信息传递 认证技术 信息冒充 2014/8/31 11
背景介绍 典型案例: ★1999年1月,美国黑客组织“美国地下军团”联合了波兰、英国等黑客组织有组织地对我国的政府网站进行了攻击。 ★伊朗核电站被“末日炸弹”病毒攻击,夹在win32中运行,攻击公控设备。和U盘使用有关。 2014/8/31 12
背景介绍 典型案例: ★2005年6月19日,万事达公司储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料在互联网上公开出售,每条100美元,并被用于金融欺诈活动。 ★2005年7月12日下午2时35分,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然同时大面积中断。经紧急抢修,至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。 2014/8/31 13
背景介绍 典型案例: ★中国电子商务协会等机构联合发布《2012年中国网站可信验证行业发展报告》显示,截止2012年6月底,在过去的一年间,在网购用户中,有31.8%的网民(6169万人)曾直接遭遇诈骗网站。每年因诈骗网站给网民造成的损失不低于308亿元。截止2012年6月底,全国团购网站累计诞生总数高达6069家,累计关闭2859家,死亡率达48%。 2014/8/31 14
背景介绍 其他典型案例: 汶川地震 “艳照门”事件 互联网、微博信息(虚假、色情、反动言论等) 景泰蓝技术(掐丝珐琅)的泄露 高考志愿篡改、作弊 个人信息、网银信息泄露 …… 2014/8/31 15
背景介绍 信息安全的根源: 内因:网络和系统的自身缺陷与脆弱性。 外因:国家、政治、商业和个人利益冲突。 2014/8/31 16
背景介绍 典型网络入侵技术 • 利用弱口令入侵 • 利用系统漏洞入侵 • 利用网络监听入侵 • 利用网络欺骗入侵 • 拒绝访问服务攻击 • 利用网络病毒攻击 • 其它网络入侵方式 常用攻击技术见下图:
黑客攻击 特洛伊木马 后门、隐蔽通道 计算机病毒 网络 信息丢失、篡改、销毁 拒绝服务攻击 逻辑炸弹 蠕虫 内部、外部泄密 背景介绍
背景介绍 产生的背景: 以上案例仅仅是冰山一角。从这些案例可以看出,信息资产一旦遭到破坏,将给组织或个人带来直接的经济损失,损害声誉和公众形象,丧失市场机会和竞争力,更为甚者,会威胁到组织的生存甚至国家安全。 信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。但人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生。 2014/8/31 19
背景介绍 三分技术 七分管理 2014/8/31 20
背景介绍 体系的诞生: 人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则,2005年6月,对该标准进行了修订,颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005),10月,又发布了ISO/IEC27001:2005“信息安全管理体系要求”。 之后又发布了IS0/IEC 20000一1:2005 “信息技术服务管理 第1部分:规范”和 IS0/IEC 20000一2:2005“信息技术服务管理 第2部分:实践规则” 2014/8/31 21
背景介绍 体系的产生: 信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系思想和方法在信息安全领域的应用。 IT服务管理体系(Information technology—Service Management System,简称为ITSMS),从2002年开始提出此理念。
背景介绍 体系的重要性: 如今,我们已经身处信息和网络时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。 可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,随时在我们身边发生。 2014/8/31 23
背景介绍 体系的重要性: ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。目前,在信息安全管理体系方面,ISMS 标准已经成为世界上应用最广泛与典型的信息安全管理标准。ITSMS标准成为信息技术服务管理的典型规范和实践规则。这两体系认证成为组织向社会及其相关方证明其信息安全水平和服务能力的一种有效途径。 建立体系是组织的一项战略性决策,保障信息安全和信息技术服务是一种系统性的工作。 2014/8/31 24
背景介绍 体系的重要性: 另外,在实际运行中,体系认证已经成为招投标项目中的重要组成部分。传统三个体系一般各占一分,ISMS在招投标中也越来越受到重视,除了金融、银行、IT相关行业是必然加分项之外,其他行业也逐渐成为加分项,例如印刷行业(母婴三证招投标中,除了国家秘密载体复制证之外,ISMS认证单独占一分)。ISMS认证和ITSMS认证会在今后招投标项目中更多的引用。 2014/8/31 25
背景介绍 体系的现状: 我们国家非常重视信息安全。2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”。2006年3月,认监委批准4家ISMS试点认证机构。CNCA于2009年发布第47号公告《关于正式开展信息安全管理体系认证工作的公告》。 到目前为止,经CNAS批准的ISMS认证机构有5家,经CNCA批准的ISMS认证机构有14家。 2014/8/31 26
背景介绍 体系的现状: 2010年8月12日,由工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会等6部委联合下发了《关于加强信息安全管理体系认证安全管理的通知》的394号文件。 目前,ITSMS还没有单独成为体系进行认证,一般和ISMS结合进行,2012年8月CNCA已经正式启动ITSMS认证机构申请材料上报工作。 2014/8/31 27
背景介绍 体系的现状: 截止2009年9月,全球有5941个组织获得了ISMS认证;截止到2009年4月,我国获得信息安全管理体系认证证书的机构约有200家。获得认证组织的数量正在呈快速增长趋势。 我们埃尔维已经正式提交申请ISMS认证资格的申报材料,不久就能获得CNCA的批准,随后我们将继续申请ITSMS的认证资格,让我们共同期待。 2014/8/31 28
背景介绍 体系的不足: ISMS和ITSMS标准是2005年正式发布的,7年来信息技术有了飞速的发展和变化,有些条款和措施已经不完全符合现实情况,不能完全满足现在的要求。ISO组织正对ISMS进行修订之中,预计明后年就会发布新版的标准,ITSMS也会随之更新。 2014/8/31 29
2 二、体系介绍 本次交流的主要内容 交流内容
体系介绍 信息安全管理体系(ISMS): 基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分, 注:管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。 信息安全是指:保护信息的保密性(C)、完整性(I)、可用性(A);另外也可包括如:真实性、可核查性、不可否认性和可靠性等。 2014/8/31 32
信息资产的安全属性: • 保密性:信息不能被未授权的个人、实体或者过程利用或知悉的特性。 • 完整性:保护资产的准确和完整的特性。 • 可用性:根据授权实体的要求可访问和利用的特性。 • 真实性:保证主体或资源确系其所声称的身份的特性。 • 可核查性:确保实体行为能被有效跟踪的特性。 • 可靠性:与预想的行为和结果相一致的特性。 是信息资产最重要的三个属性,国际上称之为信息的CIA属性或者信息安全金三角。 保密性 安全 完整性 可用性
体系标准介绍 ISO/IEC 27000族系列标准 1. ISO/IEC 27000:2009《信息安全管理体系原理和术语》 2. ISO/IEC 27001:2005《信息安全管理体系 要求》= GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》 3. ISO/IEC 27002:2005《信息安全管理实践规则》 4. ISO/IEC 27003:2008《信息安全管理体系实施指南》 5. ISO/IEC 27004:2008《信息安全管理测量与指标》 2014/8/31 34
体系标准介绍 ISO/IEC 27000族系列标准 6. ISO/IEC 27005:2011《信息安全风险管理》 7. ISO/IEC 27006:2007《信息安全管理体系审核认证机构要求》=CNAS-CC17:2012 8. ISO/IEC 27007:2011《信息安全管理体系审核指南》 9. ISO/IEC 27008:2011《ISMS控制措施审核员指南》 10. ISO/IEC 27010:2012《部门间和组织间通信的信息安全管理》 11. ISO/IEC 27011:2009《电信业信息安全管理指南》 2014/8/31 35
体系标准介绍 • 前言 • 引言 • 1、范围 • 2、规范性引用文件 • 3、术语和定义 • 4、信息安全管理体系(ISMS) • 5、管理职责 • 6、ISMS内部审核 • 7、ISMS的管理评审 • 8、ISMS改进 • 附录A(规范性附录)控制目标和控制措施 • 附录B(资料性附录)OECD原则和本标准 • 附录C(资料性附录)GB/T19001-2000,GB/T24001-2004和本标准之间的对照 • 参考文献 组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。 2014/8/31 36
体系标准介绍 ISMS标准删减要求: 此标准特别强调:对于第4章信息安全管理体系(ISMS)、第5章管理职责、第6章ISMS内部审核、第7章ISMS的管理评审和第8章ISMS改进的要求不能删减。 只有针对附录A的控制措施可以进行必要的删减,但必须证明是合理的,且需要提供证据。 2014/8/31 37
规划Plan 建立ISMS 相关方 相关方 实施和 运行ISMS 保持和 改进ISMS 处置Act 实施 Do 受控的信息安全 信息安全要求和期望 监视和 评审ISMS 检查Check 体系标准介绍 此标准采用PDCA模型: 2014/8/31 38
GB/T 22080-2008的主体:4-8章 4 信息安全管理体系(ISMS) 4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 4.2.2 实施和运行ISMS 4.2.3 监视和评审ISMS 4.2.4 保持和改进ISMS 4.3 文件要求 4.3.1 总则 4.3.2 文件控制 4.3.3 记录控制 体系标准介绍 PDCA循环 2014/8/31 39
GB/T 22080-2008的主体:4-8章 5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 资源提供 5.2.2 培训、意识和能力 6 ISMS内部审核 7 ISMS的管理评审 7.1 总则 7.2 评审输入 7.3 评审输出 8 ISMS改进 8.1 持续改进 8.2 纠正措施 8.3 预防措施 体系标准介绍 2014/8/31 40
体系标准介绍 ISMS的适用范围: 适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等),规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求(绝不只针对IT行业和组织的IT部门)。如:金融、银行……印刷 该标准仅仅指出应该使用体系化的方法进行风险评估(风险评估的方法、法律要求、降低风险到可接受级别的策略和目标)。该标准并没有规定一个特定的方法论。 2014/8/31 41
体系标准介绍 ISMS的适用范围: 按照394号文件要求:为加强信息安全管理体系认证的安全管理,减少信息安全风险,各级政府机关和政府信息系统运行单位,不得利用社会第三方认证机构开展ISMS认证。为确保国家秘密安全,涉密信息系统建设使用单位不得申请ISMS认证。 应选择国家认证认可监督管理部门批准从事ISMS认证的认证机构进行认证,并签订安全和保密协议,履行不泄露、不扩散、不转让认证信息的义务,保证重要敏感信息不出境。 2014/8/31 42
体系标准介绍 ISMS标准的特点: ISO/IEC 27001标准用于为建立、实施、运行、监视、评审、保持和改进ISMS提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、经营状况、所采用的过程以及组织的规模和结构的影响,上述因素及其支持过程会不断发生变化。按照组织的实际需要实施ISMS是该标准所期望的,例如简单的情况可采用简单的ISMS解决方案。——(最佳合理可行) 2014/8/31 43
体系标准介绍 ISMS标准的特点: ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。标准的特点为: * 注重体系的完整性,是一套科学的ISMS * 强调对法律法规的符合性 * 以风险评估为基础,采用PDCA的过程方法 * 适用于各种类型、不同规模和业务性质的组织 * 与其他管理体系兼容(例如ISO9000标准等) 2014/8/31 44
体系标准介绍 附录A内容简介: 附录A——《控制目标和控制措施》包括11大控制领域(见图1)、39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。附录A是规范性附录,和标准等同使用,可以作为认证时判标的依据。 附录A中所列的控制目标和控制措施是直接源自并与GB/T 22081-2008(ISO/IEC 27002:2005)第5章到第15章一致。 附录A中的清单并不详尽,一个组织可能考虑另外必要的控制目标和控制措施。在附录A中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 2014/8/31 45
体系标准介绍 2014/8/31 46
体系标准介绍 附录A小结: 包括11个域,汇集了39个控制目标、133个控制措施; 目的是保护信息免受各种威胁的损害,以确保业务连续性、业务风险最小化、投资回报和商业机遇最大化; 是实施GB/T 22080-2008的支持标准,给出了组织建立信息安全管理体系(ISMS)时可选择实施的控制目标和控制措施集; 是一个信息安全最佳实践的汇总; 值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。 2014/8/31 47
体系标准介绍 信息安全基本观点: 绝对的安全不存在 任何安全机制的作用,都是为了在既定的安全目标和允许的投资规模下,有效地抑制和避免系统当前所面临的安全风险,而不是一劳永逸地解决所有的问题。 依据业务需求和运营需求,保密性(C),完整性(I),可用性(A)三者追求一种平衡,不能把其一搞成极致。否则,会导致无法运行。 2014/8/31 48
体系标准介绍 ISMS标准重点内容: 体系的核心理念是通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制措施选择及落实,有效降低企业面临的风险。风险评估是识别风险(资产、威胁、脆弱性、影响)的过程,该过程包括分析威胁,确定影响范围,发现信息、信息系统和过程机制中的脆弱性,并判断发生的可能性。 风险评估有不同方法,在ISO/IEC TR 13335-3中描述了风险评估方法的例子。 2014/8/31 49
体系标准介绍 风险管理关系图: 风险分析 风险评估 风险管理 风险评价 风险处置 2014/8/31 50
