信息安全管理(CISP)—— 信息安全管理
目錄
一、知識框架
二、信息安全管理基礎
1.信息安全管理基本概念
2.信息安全管理體系
三、信息安全風險管理
1.基本概念
2.風險管理
3.常見的風險管理模型
GB/Z 24364《信息安全風險管理指南》
四、息安全管理體系建設?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過程方法(27001)
五、信息安全管理體系實踐
安全控制措施內部結構
六、信息安全管理體系度量
七、總結
一、知識框架
二、信息安全管理基礎
1.信息安全管理基本概念
信息安全管理:信息安全管理是組織管理體系的一個重要環節,管理者為實現信息安全目標(CIA特性、業務連續性等)而進行的計劃、組織、指揮、協調和控制的一系列活動。
信息安全管理的對象:包括人員在內的信息相關資產
信息安全管理的組成:人員、目標、規則、過程
信息安全管理的作用(不限于):反應業務目標的重要保障、組織實現業務目標的重要保障、信息安全技術的結合劑(技管并重)保障技術措施能夠發揮作用、預防阻止或減少信息安全事件的發生
特性:攻擊與防護嚴重不對稱,攻擊很容易,防護成功極為困難
原理:木桶原理,信息安全水平取決于防護最薄弱的環節,要求完備性、邏輯性的管理措施的集合
2.信息安全管理體系
組織管理體系的一部分、基于風險評估和組織風險接受水平
狹義的信息安全管理體系:
按照ISO27001標準定義的ISMS
優點:基于27001標準,建立和執行簡單
缺點:難以和其他體系和管理形成一體化
廣義的信息安全管理體系:
泛指任何一種有關信息安全的管理體系,進一步也包括了個體系的集合
優點:最好實現各體系集成、運行效率高、成本低。
缺點:建立難度大、運行控制嚴格
三、信息安全風險管理
1.基本概念
基于風險的思想是所有信息系統安全保障工作的核心思想,預防為主!
風險是未發生的事件,事件是已成事實的風險
不確定性對目標的影響 ISO31000
風險是客觀存在的
2.風險管理
是風險識別、評估和優化
協調和經濟應用資源以最小化檢測和控制不良事件的可能性及影響,最大限度實現業務
要素:資產、脆弱性、威脅、安全措施。
3.常見的風險管理模型
內部控制整合框架COSO報告
三個目標:財務報告可靠性、經驗效率和效果、合規性
四個類別:戰略風險管理、運營風險管理、報告風險管理、合規風險管理
八個要素:監督、目標制定、內部環境、控制活動、風險評估、時間識別、風險響應、信息溝通
ISO31000《風險管理原則與實施指南》
風險管理框架設計、風險管理實施、風險管理檢測和評審、風險管理改進四個部分
標準應用于組織的整個生命過程,以及一些列廣泛的活動、流程、職能、項目、產品、服務、資產、業務和決策
COBIT(信息與相關技術控制目標)
面向信息系統過程審計和評價的標準
控制目標:有效性、高效性、保密性、可用性、完整性、符合性、信息可靠性
ITIL
服務戰略、設計、轉化、運營等五個階段
GB/Z 24364《信息安全風險管理指南》
背景建立
背景建立是信息安全風險管理的第一步驟,確定風險管理的對象和范圍,確立實施風險管理的準備,進行相關信息的調查和分析
風險管理準備-信息系統調查-信息系統分析-信息安全分析
ps:還記得在kali-滲透測試(一)那篇博客里提到的一句話“偵察永遠不浪費時間”背景建立階段其實就是偵察階段
風險評估
信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監督活動
評估準備(制定方案選擇方法)-- 要素識別(發現威脅、脆弱性、控制措施)-- 分析(判斷風險發生的可能性和影響程度)-- 結果判定(綜合分析結果判定風險等級)
風險處理
風險處理是為了將風險始終控制在可接受的范圍內
現存風險判斷(判斷哪些風險可以接受那些不可以)
處理目標確認(不可接收的風險需要控制到怎樣的程度)
處理措施選擇(選擇處理方式,確定控制措施)
處理方式:降低、規避、轉移、接受風險
處理后的風險是參與風險需要跟蹤監視
批準監督
機構的決策層依據風險評估和風險處理的結果做出是否認可風險管理活動的決定
檢查機構及其信息系統以及信息安全相關的環境有無變化,監督變化因素是否可能引入新風險
監控審查
類似信息系統工程中的監理
及時發現已經出現或即將出現的變化、偏差和延誤等問題
采取適當的措施進行控制和糾正
保證信息安全風險管理主循環的有效性
溝通咨詢
四、息安全管理體系建設?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過程方法(27001)
?
P:計劃? ? ?D:實施? ? ?C:檢查? ? ?A:行動
?根據ISO標準導則83的框架,包括10個部分
?體系四個階段的內容
文檔化
文檔結構示意圖
?
?文檔控制
建立-批準與發布-評審與更新-文件保存-文件作廢
五、信息安全管理體系實踐
安全控制措施內部結構
結構:14個類別 35個目標 114個控制措施
描述方式:控制類 控制目標 控制措施 實施指南
①定目標:信息安全方針、信息安全方針評審
②建組織:
內部組織:角色分配、職責分離、與政府的聯系、與利益方的聯系、項目中的信息安全管理
移動設備和遠程辦公:環境安全、設備的安全、遠程辦公
③人的管理:
任用前:安全審查、任用條款及條件
任用中:職責管理、安全教育培訓、紀律處理
任用終止:權限收回、保密協議
④資產管理:
資產清單:所有權確定負責人、可接受的使用要求、處理要求
信息分類:分類指南、信息標記、信息處理
介質管理:移動介質管理、介質處置、介質傳輸的安全
⑤操作安全:
一切操作均需要制定和執行相應的操作程序,減少操作最信息安全和系統業務的影響
⑥供應商管理:
供應商合作方針、信息安全問題的協議
供應鏈的管理:知識產權、技術、產品、服務、人員等
供應監視和評審:供應商的監視和審查、供應商的服務變更管理
⑦符合性管理:符合政策、法規、標準、知識產權、隱私保護、審計、審核、密碼政策等要求
六、信息安全管理體系度量
衡量安全有效性的必須的實現閉環的關鍵方法
27004模型
管理過程-對象-方法-執行-結果
測量過程:?
測量的過程沒有統一要求
職責分配等準備--制定方案--實施--分析與報告--改進
準備-實施-報告-改進
七、總結
這一章內容挺多的,所以信息安全管理是很重要的!,在寫博客的時候遇到了好幾個點是CISP題庫刷題時遇到的知識點,而且這一章相比前兩章更難了,很多知識都是完全全新的,前兩章還可以借鑒一點平時的經驗,這一章相對來說還是需要慢慢打磨理解記憶的,后面應該還會有博客專門總結補充這一章!
總結
以上是生活随笔為你收集整理的信息安全管理(CISP)—— 信息安全管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Solve recurrence
- 下一篇: 4.4 竞赛题目选讲