信息安全管理(CISP)—— 信息安全管理
目錄
一、知識(shí)框架
二、信息安全管理基礎(chǔ)
1.信息安全管理基本概念
2.信息安全管理體系
三、信息安全風(fēng)險(xiǎn)管理
1.基本概念
2.風(fēng)險(xiǎn)管理
3.常見(jiàn)的風(fēng)險(xiǎn)管理模型
GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》
四、息安全管理體系建設(shè)?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過(guò)程方法(27001)
五、信息安全管理體系實(shí)踐
安全控制措施內(nèi)部結(jié)構(gòu)
六、信息安全管理體系度量
七、總結(jié)
一、知識(shí)框架
二、信息安全管理基礎(chǔ)
1.信息安全管理基本概念
信息安全管理:信息安全管理是組織管理體系的一個(gè)重要環(huán)節(jié),管理者為實(shí)現(xiàn)信息安全目標(biāo)(CIA特性、業(yè)務(wù)連續(xù)性等)而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。
信息安全管理的對(duì)象:包括人員在內(nèi)的信息相關(guān)資產(chǎn)
信息安全管理的組成:人員、目標(biāo)、規(guī)則、過(guò)程
信息安全管理的作用(不限于):反應(yīng)業(yè)務(wù)目標(biāo)的重要保障、組織實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的重要保障、信息安全技術(shù)的結(jié)合劑(技管并重)保障技術(shù)措施能夠發(fā)揮作用、預(yù)防阻止或減少信息安全事件的發(fā)生
特性:攻擊與防護(hù)嚴(yán)重不對(duì)稱(chēng),攻擊很容易,防護(hù)成功極為困難
原理:木桶原理,信息安全水平取決于防護(hù)最薄弱的環(huán)節(jié),要求完備性、邏輯性的管理措施的集合
2.信息安全管理體系
組織管理體系的一部分、基于風(fēng)險(xiǎn)評(píng)估和組織風(fēng)險(xiǎn)接受水平
狹義的信息安全管理體系:
按照ISO27001標(biāo)準(zhǔn)定義的ISMS
優(yōu)點(diǎn):基于27001標(biāo)準(zhǔn),建立和執(zhí)行簡(jiǎn)單
缺點(diǎn):難以和其他體系和管理形成一體化
廣義的信息安全管理體系:
泛指任何一種有關(guān)信息安全的管理體系,進(jìn)一步也包括了個(gè)體系的集合
優(yōu)點(diǎn):最好實(shí)現(xiàn)各體系集成、運(yùn)行效率高、成本低。
缺點(diǎn):建立難度大、運(yùn)行控制嚴(yán)格
三、信息安全風(fēng)險(xiǎn)管理
1.基本概念
基于風(fēng)險(xiǎn)的思想是所有信息系統(tǒng)安全保障工作的核心思想,預(yù)防為主!
風(fēng)險(xiǎn)是未發(fā)生的事件,事件是已成事實(shí)的風(fēng)險(xiǎn)
不確定性對(duì)目標(biāo)的影響 ISO31000
風(fēng)險(xiǎn)是客觀存在的
2.風(fēng)險(xiǎn)管理
是風(fēng)險(xiǎn)識(shí)別、評(píng)估和優(yōu)化
協(xié)調(diào)和經(jīng)濟(jì)應(yīng)用資源以最小化檢測(cè)和控制不良事件的可能性及影響,最大限度實(shí)現(xiàn)業(yè)務(wù)
要素:資產(chǎn)、脆弱性、威脅、安全措施。
3.常見(jiàn)的風(fēng)險(xiǎn)管理模型
內(nèi)部控制整合框架COSO報(bào)告
三個(gè)目標(biāo):財(cái)務(wù)報(bào)告可靠性、經(jīng)驗(yàn)效率和效果、合規(guī)性
四個(gè)類(lèi)別:戰(zhàn)略風(fēng)險(xiǎn)管理、運(yùn)營(yíng)風(fēng)險(xiǎn)管理、報(bào)告風(fēng)險(xiǎn)管理、合規(guī)風(fēng)險(xiǎn)管理
八個(gè)要素:監(jiān)督、目標(biāo)制定、內(nèi)部環(huán)境、控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估、時(shí)間識(shí)別、風(fēng)險(xiǎn)響應(yīng)、信息溝通
ISO31000《風(fēng)險(xiǎn)管理原則與實(shí)施指南》
風(fēng)險(xiǎn)管理框架設(shè)計(jì)、風(fēng)險(xiǎn)管理實(shí)施、風(fēng)險(xiǎn)管理檢測(cè)和評(píng)審、風(fēng)險(xiǎn)管理改進(jìn)四個(gè)部分
標(biāo)準(zhǔn)應(yīng)用于組織的整個(gè)生命過(guò)程,以及一些列廣泛的活動(dòng)、流程、職能、項(xiàng)目、產(chǎn)品、服務(wù)、資產(chǎn)、業(yè)務(wù)和決策
COBIT(信息與相關(guān)技術(shù)控制目標(biāo))
面向信息系統(tǒng)過(guò)程審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)
控制目標(biāo):有效性、高效性、保密性、可用性、完整性、符合性、信息可靠性
ITIL
服務(wù)戰(zhàn)略、設(shè)計(jì)、轉(zhuǎn)化、運(yùn)營(yíng)等五個(gè)階段
GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》
背景建立
背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟,確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析
風(fēng)險(xiǎn)管理準(zhǔn)備-信息系統(tǒng)調(diào)查-信息系統(tǒng)分析-信息安全分析
ps:還記得在kali-滲透測(cè)試(一)那篇博客里提到的一句話(huà)“偵察永遠(yuǎn)不浪費(fèi)時(shí)間”背景建立階段其實(shí)就是偵察階段
風(fēng)險(xiǎn)評(píng)估
信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng)
評(píng)估準(zhǔn)備(制定方案選擇方法)-- 要素識(shí)別(發(fā)現(xiàn)威脅、脆弱性、控制措施)-- 分析(判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響程度)-- 結(jié)果判定(綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí))
風(fēng)險(xiǎn)處理
風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)
現(xiàn)存風(fēng)險(xiǎn)判斷(判斷哪些風(fēng)險(xiǎn)可以接受那些不可以)
處理目標(biāo)確認(rèn)(不可接收的風(fēng)險(xiǎn)需要控制到怎樣的程度)
處理措施選擇(選擇處理方式,確定控制措施)
處理方式:降低、規(guī)避、轉(zhuǎn)移、接受風(fēng)險(xiǎn)
處理后的風(fēng)險(xiǎn)是參與風(fēng)險(xiǎn)需要跟蹤監(jiān)視
批準(zhǔn)監(jiān)督
機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定
檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無(wú)變化,監(jiān)督變化因素是否可能引入新風(fēng)險(xiǎn)
監(jiān)控審查
類(lèi)似信息系統(tǒng)工程中的監(jiān)理
及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問(wèn)題
采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正
保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性
溝通咨詢(xún)
四、息安全管理體系建設(shè)?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過(guò)程方法(27001)
?
P:計(jì)劃? ? ?D:實(shí)施? ? ?C:檢查? ? ?A:行動(dòng)
?根據(jù)ISO標(biāo)準(zhǔn)導(dǎo)則83的框架,包括10個(gè)部分
?體系四個(gè)階段的內(nèi)容
文檔化
文檔結(jié)構(gòu)示意圖
?
?文檔控制
建立-批準(zhǔn)與發(fā)布-評(píng)審與更新-文件保存-文件作廢
五、信息安全管理體系實(shí)踐
安全控制措施內(nèi)部結(jié)構(gòu)
結(jié)構(gòu):14個(gè)類(lèi)別 35個(gè)目標(biāo) 114個(gè)控制措施
描述方式:控制類(lèi) 控制目標(biāo) 控制措施 實(shí)施指南
①定目標(biāo):信息安全方針、信息安全方針評(píng)審
②建組織:
內(nèi)部組織:角色分配、職責(zé)分離、與政府的聯(lián)系、與利益方的聯(lián)系、項(xiàng)目中的信息安全管理
移動(dòng)設(shè)備和遠(yuǎn)程辦公:環(huán)境安全、設(shè)備的安全、遠(yuǎn)程辦公
③人的管理:
任用前:安全審查、任用條款及條件
任用中:職責(zé)管理、安全教育培訓(xùn)、紀(jì)律處理
任用終止:權(quán)限收回、保密協(xié)議
④資產(chǎn)管理:
資產(chǎn)清單:所有權(quán)確定負(fù)責(zé)人、可接受的使用要求、處理要求
信息分類(lèi):分類(lèi)指南、信息標(biāo)記、信息處理
介質(zhì)管理:移動(dòng)介質(zhì)管理、介質(zhì)處置、介質(zhì)傳輸?shù)陌踩?/span>
⑤操作安全:
一切操作均需要制定和執(zhí)行相應(yīng)的操作程序,減少操作最信息安全和系統(tǒng)業(yè)務(wù)的影響
⑥供應(yīng)商管理:
供應(yīng)商合作方針、信息安全問(wèn)題的協(xié)議
供應(yīng)鏈的管理:知識(shí)產(chǎn)權(quán)、技術(shù)、產(chǎn)品、服務(wù)、人員等
供應(yīng)監(jiān)視和評(píng)審:供應(yīng)商的監(jiān)視和審查、供應(yīng)商的服務(wù)變更管理
⑦符合性管理:符合政策、法規(guī)、標(biāo)準(zhǔn)、知識(shí)產(chǎn)權(quán)、隱私保護(hù)、審計(jì)、審核、密碼政策等要求
六、信息安全管理體系度量
衡量安全有效性的必須的實(shí)現(xiàn)閉環(huán)的關(guān)鍵方法
27004模型
管理過(guò)程-對(duì)象-方法-執(zhí)行-結(jié)果
測(cè)量過(guò)程:?
測(cè)量的過(guò)程沒(méi)有統(tǒng)一要求
職責(zé)分配等準(zhǔn)備--制定方案--實(shí)施--分析與報(bào)告--改進(jìn)
準(zhǔn)備-實(shí)施-報(bào)告-改進(jìn)
七、總結(jié)
這一章內(nèi)容挺多的,所以信息安全管理是很重要的!,在寫(xiě)博客的時(shí)候遇到了好幾個(gè)點(diǎn)是CISP題庫(kù)刷題時(shí)遇到的知識(shí)點(diǎn),而且這一章相比前兩章更難了,很多知識(shí)都是完全全新的,前兩章還可以借鑒一點(diǎn)平時(shí)的經(jīng)驗(yàn),這一章相對(duì)來(lái)說(shuō)還是需要慢慢打磨理解記憶的,后面應(yīng)該還會(huì)有博客專(zhuān)門(mén)總結(jié)補(bǔ)充這一章!
總結(jié)
以上是生活随笔為你收集整理的信息安全管理(CISP)—— 信息安全管理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Solve recurrence
- 下一篇: 4.4 竞赛题目选讲