3.1 知识子域:信息安全管理基础
3.1.1 基本概念
1.信息
(1)企业视角
(2)用户视角
(3)攻击者视角
2.信息安全管理
3.信息安全管理体系
信息安全管理体系(Information Security Management System, ISMS)
通俗意义所讲的 ISMS 是指以ISO/IEC 27001为代表的一套成熟的标准族
GB/T 22080:2008 等同采用 ISO/IEC 27001:2005
GB/T 22080:2016 等同采用 ISO/IEC 27001:2013
3.1.2 信息安全管理的作用及对组织的价值
1.信息安全管理的作用
(1)信息安全管理是组织整体安全管理重要、固有组成部分
组织应该将信息安全管理与生产安全管理、财务安全管理、安全保卫管理等构成组织整体安全管理
(2)信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
解决信息安全问题,成败通常取决于两个因素:一个是技术;另一个是管理
安全技术是信息安全的构筑材料,信息安全管理就是粘合剂和催化剂
技术和产品是基础,管理才是关键
三分技术、七分管理
“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则之一
(3)信息安全管理能预防、阻止或减少信息安全事件的发生
20%~30% 是由于攻击者入侵或其他外部原因造成的,70%~80% 是由于内部员工的疏忽或有意泄密造成的
与其说是技术原因,不如说是管理不善造成的
安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程
2.对组织机构的价值
(1)对组织内信息安全管理的价值
(2)对组织外信息安全管理的价值
3.2 知识子域:信息安全风险管理
3.2.1 风险管理基本概念
信息安全风险管理是基于分概念的信息安全管理,也就是始终以风险为主线进行信息安全的管理
1.风险与风险管理
威胁利用脆弱性作用于资产产生影响
2.风险管理的价值
为了使风险管理有效,一个组织应在所有层面上符合以下原则
(1)风险管理创造和保护价值
(2)风险管理是所有组织过程不可分割的一部分
(3)风险管理是决策的一部分
(4)风险管理明确地应对不确定性
(5)风险管理是体系化、结构化的过程
(6)风险管理是基于最好的可获得的信息
(7)风险管理是可裁剪的
(8)风险管理考虑人员和文化因素
(9)风险管理是透明的,参与人员包含广泛
(10)风险管理是动态的、反复的、响应变化的
(11)风险管理促进组织的持续改进
(12)不断或定期重新评估
3.风险管理角色和责任
参与角色一般分为国家信息安全主管机关、业务主管机关、信息系统拥有者/运营者、信息系统承建者、信息系统安全服务机构、信息系统的关联着
3.2.2 常见风险管理模型
1.内部控制整合框架(COSO 报告)
由美国反虚假财务报告委员会下属的发起人委员于1992年提出
2.ISO 31000 风险管理 原则与实施指南
作为风险管理标准家族的 ISO 31000 的总体范围并不是针对特定的行业组织、管理体系或业务领域开发的,而是为所有与风险管理相关的操作提供最佳实践结构和指导
3.COBIT
COBIT(信息和相关技术的控制目标)
也成为 IT 控制目标,定义了一套管理 IT 的通用流程
为信息系统和技术的治理和控制过程提供了一套推荐的最佳实践
4.ISMS
ISMS 通常是指以 ISO/IEC 27000 标准族为代表的信息安全管理体系。通过信息安全控制措施来管理信息系统安全,其设计类似于质量保障管理体系、环保等管理系统
ISMS 涉及隐私、保密性和 IT、技术、网络安全问题,适用于不同类型、不同规模的组织
3.2.3 安全风险管理基本过程
四个阶段:背景建立、风险评估、风险处理、批准监督
两个贯穿:监控检查、沟通咨询
1.背景建立
确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析 4 个阶段
2.风险评估
确定信息资产的价值、识别适用的威胁和脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定 4 个阶段
本阶段的最终输出《风险评估报告》
3.风险处理
风险处理的目的是为了将风险始终控制在可接受的范围内
风险处理的方式主要有降低、规避、转移和接受 4 种方式
降低方式:对面临风险的资产采取保护措施来降低风险,比如采用法律的手段;采取身份认证措施;及时给系统打补丁,关闭无用的网络服务端口;采用各种防护措施;采取容灾备份、应急响应和业务连续计划等措施
规避方式:当风险不能被降低时,通过不使用面临风险的资产来避免风险
转移方式:只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险,比如外包给满足安全保障要求的第三方机构;上保险
接受方式:选择对风险不采取进一步的处理措施,接受风险可能带来的结果
风险处理的发过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施 4 个阶段
形成《风险处理实施记录》
4.批准监督
批准监督包括批准和持续监督两部分
批准,决策层做出是否认可风险管理活动的决定
批准通过的依据有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求
5.监控审查
监控,是监视和控制
审查时跟踪受保护系统自身或所处环境的变化,以保证结果的有效性和符合性
监控审查包括 3 方面:监控过程有效性、监控成本有效性、审查结果有效性和符合性
6.沟通咨询
3.3 知识子域:信息安全管理体系建设
3.3.1 信息安全管理体系成功因素
信息安全管理就是风险管理,信息安全控制措施的本质就是风险处置
3.3.2 PDCA 过程
信息安全管理体系采用通用的 PDCA (plan-do-check-act 或者 plan-do-check-adjust)过程方法,PDCA 过程方法也称为戴明环,由美国质量管理专家戴明博士首先提出
PDCA 循环的 4 个阶段,策划-实施-检查-改进
3.3.3 信息安全管理体系建设过程
1.规划与建立
(1)组织背景
建立组织背景时建立信息安全管理体系的基础,首先应该了解组织有关信息安全的内部和外部问题,以及影响组织建立体系时需要解决的内部和外部问题
(2)领导力
管理承诺时建立信息安全管理体系的关键成功因素之一
(3)计划
计划的建立时在风险评估基础之上
组织的计划必须符合组织的安全目标
(4)支持
组织在建立信息安全管理体系中需要获得资源以建立、实施、保持和持续改进 ISMS
2.实施与运行
3.监视与评审
组织需要通过根据组织政策和目标,监控和评估绩效来维护和改进 ISMS,并将结果报告给管理层进行审核
(1)监测、测量、分析和评价
在评价信息安全性能和 ISMS 的有效性时,应该确定需要检测和测量的对象
选择适用的监测、测量、分析和评价方法以确保有效的结果
(2)内部审核
内部审计目的是提供信息确定 ISMS 是否符合组织自身对 ISMS 的要求和对本国际标准的要求
(3)管理评审
组织的管理者按计划的时间间隔评审组织的 ISMS,确保其持续的适宜性、充分性和有效性
管理评审的输出应包括持续改进机会相关的决定和任何 ISMS 需要的变化
4.维护和改进
(1)不符合和纠正措施
(2)持续改进
3.3.4 文档化
1.体系文件分类
体系文件的分类 一级文件(目标):方针、政策
二级文件(措施):制度、流程、规范
三级文件(执行):使用手册、操作指南、作业指导书
四级文件(结果):日志、记录、检查表、模板、表单
管理体系的文档化分为文件和记录两部分。文件是管理体系审核的依据,记录时管理体系审核的证据
层次化的文件结构时构成管理体系的重要内容之一,通常文件分为 4 个层级
一级文件:由高级管理层发布
二级文件:由组织管理者代表签署发布;二级文件发布范围通常在组织内部
三级文件:包括员工具体执行所需的手册、指南和作业指导书
四级文件:为了有效支撑文件的执行,文件必须包含记录
2.文件控制
(1)文件的建立
只有在有风险的地方才需要建立文件
(2)文件的批准与发布
(3)文件的评审与更新
(4)文件保存
(5)文件作废
防止作废文件的非预期使用
3.记录管理
(1)记录的作用
(2)记录的管理
应保留过程执行记录和所有与信息安全管理体系有关的安全事故发生的记录
3.4 知识子域:信息安全管理体系最佳实践
3.4.1 信息安全管理体系控制类型
控制(控制措施)可以是预防性、检测性和纠正性
1.预防性控制
预防性控制是为了避免产生错误或尽量减少今后的更正性活动
2.检测性控制
建立检测性控制的目的是发现流程中可能发生的安全问题
检测性控制通常是管理层用来监督实现流程目标的控制
3.纠正性控制
纠正性控制措施无法组织安全事件的发生,但提供了一种系统的方式来检测何时发生了安全事件并对安全事件带来的影响进行纠正
3.4.2 信息安全管理体系控制措施结构
控制措施的描述结构:
控制措施
实施指南
其他信息
3.4.3 信息安全管理体系控制措施
1.信息安全方针
信息安全管理指导
2.信息安全组织
内部组织
移动设备和远程办公
3.人力资源安全
任用之前
任用中
任用的终止和变化
4.资产管理
对资产负责
信息分类
信息分类
信息的标记
资产的处理
介质处置
5.访问控制
访问控制的业务要求
用户访问管理
用户职责
系统和应用访问控制
6.密码学
加密控制(目标:通过加密方法保护信息的保密性、真实性或完整性)
使用加密控制的策略
密钥管理
7.物理与环境安全
安全区域
设备安全(目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断)
8.操作安全
操作规程和职责
文件化的操作规程
变更管理
容量管理
开发、测试和运行环境分离
恶意代码保护
恶意代码的控制
备份(目标:防止数据丢失)
日志记录和监控(目的:记录事件并生成证据)
事件日志
日志信息的保护
管理员和操作员日志
时钟同步(形成证据链)
操作软件控制
技术漏洞管理
信息系统审计的考虑
9.通信安全
网络安全管理(目标:确保网络中信息的安全性并保护支持性的基础设施)
网络控制
网络服务安全
网络隔离
信息交换
10.信息获取、开发和维护
信息系统的安全要求
开发和支持过程中的安全性
测试数据
11.供应商关系
供应商关系中的信息安全
供应商服务交付管理
12.信息安全事件管理
信息安全事件的管理和改进
13.业务连续性管理
信息安全的连续性
冗余
14.符合性
符合法律和合同规定
可用的法律和合同要求的识别
知识产权
记录的保护
个人身份信息的隐私和保护
加密控制的监管
信息安全审查
组织在规定的时间间隔(一般是一年)或重大变化发生时,组织的信息安全管理和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应独立审查。独立评审宜由管理者启动,由独立于被评审范围的人员执行,例如交叉审核(审核员A审查B的信息安全管理工作)、内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。内部审查的结果应该形成正式文件并长期留存。
评审结果和管理人员采取的纠正措施应该被记录,形成管理评审报告
任何技术符合性核查应由有能力的、已授权的人员来实施或在他们的监督下完成
3.5 知识子域:信息安全管理体系度量
3.5.1 基本概念
1.测量
测量是一个过程,包括信息安全管理体系和用以实现控制目标的控制措施的有效性,以及信息安全管理体系各过程相关信息的获取,测量方法、测量函数、测量模型及测量准则的使用等
2.测量的目的
3.ISO/IEC 27004 的测量模型
3.5.2 测量要求与实现
1.管理职责
2.测度和测量开发
3.测量运行
4.测量分析和报告
5.测量评价和改进