NISP 二级知识点总结——信息安全管理

admin管理员组

文章数量:1599279

信息安全管理

信息安全管理基本概念

信息安全管理概述

信息

有规律可以被利用的有价值的数据

信息安全

保障信息可以安全

管理

指挥和控制组织的协调的活动

管理这为了达到特定的目的而管理对象进行的计划、组织、指挥、协调和控制的一系列活动

信息安全管理

管理这为实现信息安全目标（信息资产的CIA特性，以及业务运作的持续）而进行的计划、组织、指挥、协调的控制的一系列的活动

信息安全管理的对象：包括人员在内的各类信息相关的资产。

以建立体系的方式实施信息安全管理的必要性

• 信息安全的攻击和防护严重不对称，相对来说攻击成功和容易，防护成功却极为困难

• 信息安全水平的高低遵循木桶原理：信息安全水平多高，取决于防护最弱的环节

体系

相互管理和相互作用的一组要素

管理体系

建立方针和目标并达到目标的体系
为达到组织目标的策略、程序、指南和相关资源的框架。

信息安全管理体系（ISMS：Information Security Management System）

整体管理体系的一部分，基于业务风险的方法，来建立、实施运作、监视、评审、保持和改进信息安全。
建立信息安全方针和目标并达到这些目标的体系
为达到组织信息安全目标的策略、程序、指南和相关资源的框架

信息安全管理基本概念和作用

信息安全管理体系，包括的要素有：

• 信息安全组织架构

• 信息安全方针

• 信息安全规划活动

• 信息安全职责

• 信息安全相关的实践、规程、过程和资源

这些要素即相互管理又相互作用

信息安全管理体系的特点

信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系
体系的建立基于系统、全面、科学的信息安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求
强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性

狭义和广义的信息安全管理体系

• 狭义的信息安全管理体系：指按照ISO027001标准定义的ISMS

• 广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系

信息安全管理作用：

信息安全管理是组织整体管理的重要、固有组成成分，是组织实现其业务目标的重要保障。

如今，信息安全问题已经成为组织业务正常运营和持续发展的最大威胁
信息安全问题本质上是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的
实现信息安全是一个多层面 多因素的过程，也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力
如果组织想当然地制定一些控制措施和引入某些技术产品，难免存在挂一漏万、顾此失彼的问题，使信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平
信息安全管理，是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分
理解并重视管理对于信息安全的关键作用，制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要
组织建立一个管理框架，让好的安全策略在这个框架内实施，并不断得到修正，才可能为业务的正常持续运作提供可靠的信息安全保障

对内

• 能够保护关键信息资产和知识产权，维持竞争优势

• 在系统受侵袭时，确保业务持续开展并将损失降到最低程度建立起信息安全审计框架，实施监督检查

• 建立起文档化的信息安全管观范，实现有“法”可依，有章可循，有据可查

• 强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化

• 按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性

对外

• 能够使各利益相关方对组织充满信心

• 能够帮助界定外包时双方的信息安全责任

• 可以使组织更好地满足客户或其他组织的审计要求

• 可以使组织更好地符合法律法规的要求

• 若通过了ISO27001认证，能够提高组织的公信度

• 可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全

实施信息安全管理的关键成功因素

• 组织的信息安全方针和活动能够反映组织的业务目标

• 组织实施信息安全的方法和框架与组织的文化相一致

• 管理者能够给予信息安全实质性的、可见的支持和承诺

• 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解

• 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识

• 向全员和其他相关方分发并宣贯信息安全方针、策略和标准

• 管理者为信息安全建设提供足够的资金

• 向全员提供适当的信息安全培训和教育

• 建立有效的信息安全事件管理过程

• 建立有效的信息安全测量体系

信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用

解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理
安全技术是信息安全控制的重要手段，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败
说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂
技术和产品是基础，管理才是关键
产品和技术，要通过管理的组织职能才能发挥最佳作用
技术不高但管理良好的系统远比技术高超但管理混乱的系统安全
只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证
根本上说，信息安全是个管理过程，而不是技术过程

信息安全管理能预防、组织或减少信息安全事件的发生

统计结果显示，在所有信息安全事故中，只有20％～30％是由于黑客入侵或其他外部原因造成的，70％～80％是由于内部员工的疏忽或有意泄密造成的
统计结果表明，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术原因，不如说是管理不善造成的
因此，防止发生信息安全事件不应仅从技术着手，同时更应加强信息安全管理
安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。

信息安全管理方法与实施

风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定

信息安全管理体系的建立需要确定信息安全需求
信息安全需求获取的主要手段就是安全风险评估
信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据

风险处理是对风险评估活动识别出的风险进行决策采取适当的控制措施处理不能接受的风险，将风险控制在可按受的范围风险评估活动只能揭示组织面临的风险，不能改变风险状况

只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足，才能实现其信息安全目标

信息安全管理的核心就是这些风险处理措施的集合

风险管理是信息安全管理的根本方法

风险管理是信息安全管理的根本方法应对风险评估的结果进行相应的风险处理。本质上，风险处理的最佳集合就是信息安全管理体系的控制措施集合

梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程

周期性的风险评估与风险处理活动即形成对风险的动态管理

动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法

控制措施是管理风险的具体手段

管理风险的具体手段是控制措施
分线处理时候，需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施，那些不可接受的高风险才能降低到可以接受的水平之内。

控制措施的类别

• 从手段来看，可以分为技术性、管理性、物理性、法律性等控制措施。

• 从功能来看，可以分为预防性、检测性、纠正性、威慑性等控制措施。

• 从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务员连续性管理和符合性11个类别、域

过程、过程方法的概念

过程 process

一组将输入转化为输出的相互关联或互相作用的活动

过程方法 process approach

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”
系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法”。
系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法”。

PDCA循环

PDCA

PDCA也称“戴明环”，由美国质量管理专家戴明提出

• P（Plan）：计划，确定方针和目标，确定活动计划

• D（Do）：实施，实际去做，实现计划中的内容

• C（Check）：检查，总结执行计划的结果，注意效果，找出问题

• A（Act）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环

特征

特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环
特点二：组织中的每个部分，甚至个人，均可以PCDA循环，大环套小环，一层一层地解决问题
特点三：每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环

PDCA循环地作用

PDCA循环，能够提供一种优秀的过程方法，以实现持续性改进
遵循PDCA循环，能使任何一项活动都有效的进行
PDCA循环过程

信息安全管理体系

• ISMS是一种常见的对组织信息安全进行全面、系统管理的方法

• ISMS是由ISO27001定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的管理体系

• 周期性的风险评估、内部审核、有效性测量、管理评审，是ISMS规定的四个必要活动，能确保ISMS进入良性循环、持续自我改进

ISMS的核心内容可以被概括为四句话

1、规定你应该做什么并形成文件：Plan
2、做文件已规定的事情：Do
3、评审你所做的事情的符合性：Check
4、采取举证和预防措施，持续改进：Act

NIST SP 800规范

信息安全的风险管理

信息安全风险管理基础

• 风险，指事态的概率及其结果的组合

• 信息安全风险，指认为或自然的威胁利用信息系统及其管理系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响

• 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性

风险的构成

风险的构成包括五个方面：起源（威胁源）、方式（威胁方式）、途径（脆弱性）、受体（资产）和后果（影响）

风险相关术语

资产（Asset）
业务战略 威胁（Threat）
安全事件 脆弱性（Vunerability）
安全需求 可能性（Likelihood，
风险准则 Probability)
风险评估
安全措施／控制措施
风险处理 (Countermeasure,
风险管理 safeguard, control)
残余风险（Residental Risk）
信息安全风险评估

资产

资产任何对组织有价值的东西，是要保护的对象

资产以多种形式存在（多种分类方法）

物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）
硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）
有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）
静态的（如设施和规程等）和动态的（如人员和过程等）
技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等

威胁

• 可能导致对系统或组织威海的不希望事故潜在起因

• 引起风险的外因

• 威胁源采取恰当的威胁方式才可能引发风险

威胁举例

威胁举例
漏洞利用
操作失误
拒绝服务
滥用授权
窃取数据
行为抵赖
物理破坏
社会工程
身份假冒
口令攻击
密钥分析

脆弱性

• 可能被威胁所利用的

本文标签： 知识点信息安全NISP