信息安全管理(CISP)—— 信息安全管理
目錄
一、知識框架
二、信息安全管理基礎(chǔ)
1.信息安全管理基本概念
2.信息安全管理體系
三、信息安全風(fēng)險管理
1.基本概念
2.風(fēng)險管理
3.常見的風(fēng)險管理模型
GB/Z 24364《信息安全風(fēng)險管理指南》
四、息安全管理體系建設(shè)?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過程方法(27001)
五、信息安全管理體系實踐
安全控制措施內(nèi)部結(jié)構(gòu)
六、信息安全管理體系度量
七、總結(jié)
一、知識框架
二、信息安全管理基礎(chǔ)
1.信息安全管理基本概念
信息安全管理:信息安全管理是組織管理體系的一個重要環(huán)節(jié),管理者為實現(xiàn)信息安全目標(biāo)(CIA特性、業(yè)務(wù)連續(xù)性等)而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。
信息安全管理的對象:包括人員在內(nèi)的信息相關(guān)資產(chǎn)
信息安全管理的組成:人員、目標(biāo)、規(guī)則、過程
信息安全管理的作用(不限于):反應(yīng)業(yè)務(wù)目標(biāo)的重要保障、組織實現(xiàn)業(yè)務(wù)目標(biāo)的重要保障、信息安全技術(shù)的結(jié)合劑(技管并重)保障技術(shù)措施能夠發(fā)揮作用、預(yù)防阻止或減少信息安全事件的發(fā)生
特性:攻擊與防護嚴(yán)重不對稱,攻擊很容易,防護成功極為困難
原理:木桶原理,信息安全水平取決于防護最薄弱的環(huán)節(jié),要求完備性、邏輯性的管理措施的集合
2.信息安全管理體系
組織管理體系的一部分、基于風(fēng)險評估和組織風(fēng)險接受水平
狹義的信息安全管理體系:
按照ISO27001標(biāo)準(zhǔn)定義的ISMS
優(yōu)點:基于27001標(biāo)準(zhǔn),建立和執(zhí)行簡單
缺點:難以和其他體系和管理形成一體化
廣義的信息安全管理體系:
泛指任何一種有關(guān)信息安全的管理體系,進一步也包括了個體系的集合
優(yōu)點:最好實現(xiàn)各體系集成、運行效率高、成本低。
缺點:建立難度大、運行控制嚴(yán)格
三、信息安全風(fēng)險管理
1.基本概念
基于風(fēng)險的思想是所有信息系統(tǒng)安全保障工作的核心思想,預(yù)防為主!
風(fēng)險是未發(fā)生的事件,事件是已成事實的風(fēng)險
不確定性對目標(biāo)的影響 ISO31000
風(fēng)險是客觀存在的
2.風(fēng)險管理
是風(fēng)險識別、評估和優(yōu)化
協(xié)調(diào)和經(jīng)濟應(yīng)用資源以最小化檢測和控制不良事件的可能性及影響,最大限度實現(xiàn)業(yè)務(wù)
要素:資產(chǎn)、脆弱性、威脅、安全措施。
3.常見的風(fēng)險管理模型
內(nèi)部控制整合框架COSO報告
三個目標(biāo):財務(wù)報告可靠性、經(jīng)驗效率和效果、合規(guī)性
四個類別:戰(zhàn)略風(fēng)險管理、運營風(fēng)險管理、報告風(fēng)險管理、合規(guī)風(fēng)險管理
八個要素:監(jiān)督、目標(biāo)制定、內(nèi)部環(huán)境、控制活動、風(fēng)險評估、時間識別、風(fēng)險響應(yīng)、信息溝通
ISO31000《風(fēng)險管理原則與實施指南》
風(fēng)險管理框架設(shè)計、風(fēng)險管理實施、風(fēng)險管理檢測和評審、風(fēng)險管理改進四個部分
標(biāo)準(zhǔn)應(yīng)用于組織的整個生命過程,以及一些列廣泛的活動、流程、職能、項目、產(chǎn)品、服務(wù)、資產(chǎn)、業(yè)務(wù)和決策
COBIT(信息與相關(guān)技術(shù)控制目標(biāo))
面向信息系統(tǒng)過程審計和評價的標(biāo)準(zhǔn)
控制目標(biāo):有效性、高效性、保密性、可用性、完整性、符合性、信息可靠性
ITIL
服務(wù)戰(zhàn)略、設(shè)計、轉(zhuǎn)化、運營等五個階段
GB/Z 24364《信息安全風(fēng)險管理指南》
背景建立
背景建立是信息安全風(fēng)險管理的第一步驟,確定風(fēng)險管理的對象和范圍,確立實施風(fēng)險管理的準(zhǔn)備,進行相關(guān)信息的調(diào)查和分析
風(fēng)險管理準(zhǔn)備-信息系統(tǒng)調(diào)查-信息系統(tǒng)分析-信息安全分析
ps:還記得在kali-滲透測試(一)那篇博客里提到的一句話“偵察永遠(yuǎn)不浪費時間”背景建立階段其實就是偵察階段
風(fēng)險評估
信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動
評估準(zhǔn)備(制定方案選擇方法)-- 要素識別(發(fā)現(xiàn)威脅、脆弱性、控制措施)-- 分析(判斷風(fēng)險發(fā)生的可能性和影響程度)-- 結(jié)果判定(綜合分析結(jié)果判定風(fēng)險等級)
風(fēng)險處理
風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)
現(xiàn)存風(fēng)險判斷(判斷哪些風(fēng)險可以接受那些不可以)
處理目標(biāo)確認(rèn)(不可接收的風(fēng)險需要控制到怎樣的程度)
處理措施選擇(選擇處理方式,確定控制措施)
處理方式:降低、規(guī)避、轉(zhuǎn)移、接受風(fēng)險
處理后的風(fēng)險是參與風(fēng)險需要跟蹤監(jiān)視
批準(zhǔn)監(jiān)督
機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果做出是否認(rèn)可風(fēng)險管理活動的決定
檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化,監(jiān)督變化因素是否可能引入新風(fēng)險
監(jiān)控審查
類似信息系統(tǒng)工程中的監(jiān)理
及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題
采取適當(dāng)?shù)拇胧┻M行控制和糾正
保證信息安全風(fēng)險管理主循環(huán)的有效性
溝通咨詢
四、息安全管理體系建設(shè)?
信息安全管理體系成功的主要因素(GB/T 29246-2017)
PDCA過程方法(27001)
?
P:計劃? ? ?D:實施? ? ?C:檢查? ? ?A:行動
?根據(jù)ISO標(biāo)準(zhǔn)導(dǎo)則83的框架,包括10個部分
?體系四個階段的內(nèi)容
文檔化
文檔結(jié)構(gòu)示意圖
?
?文檔控制
建立-批準(zhǔn)與發(fā)布-評審與更新-文件保存-文件作廢
五、信息安全管理體系實踐
安全控制措施內(nèi)部結(jié)構(gòu)
結(jié)構(gòu):14個類別 35個目標(biāo) 114個控制措施
描述方式:控制類 控制目標(biāo) 控制措施 實施指南
①定目標(biāo):信息安全方針、信息安全方針評審
②建組織:
內(nèi)部組織:角色分配、職責(zé)分離、與政府的聯(lián)系、與利益方的聯(lián)系、項目中的信息安全管理
移動設(shè)備和遠(yuǎn)程辦公:環(huán)境安全、設(shè)備的安全、遠(yuǎn)程辦公
③人的管理:
任用前:安全審查、任用條款及條件
任用中:職責(zé)管理、安全教育培訓(xùn)、紀(jì)律處理
任用終止:權(quán)限收回、保密協(xié)議
④資產(chǎn)管理:
資產(chǎn)清單:所有權(quán)確定負(fù)責(zé)人、可接受的使用要求、處理要求
信息分類:分類指南、信息標(biāo)記、信息處理
介質(zhì)管理:移動介質(zhì)管理、介質(zhì)處置、介質(zhì)傳輸?shù)陌踩?/span>
⑤操作安全:
一切操作均需要制定和執(zhí)行相應(yīng)的操作程序,減少操作最信息安全和系統(tǒng)業(yè)務(wù)的影響
⑥供應(yīng)商管理:
供應(yīng)商合作方針、信息安全問題的協(xié)議
供應(yīng)鏈的管理:知識產(chǎn)權(quán)、技術(shù)、產(chǎn)品、服務(wù)、人員等
供應(yīng)監(jiān)視和評審:供應(yīng)商的監(jiān)視和審查、供應(yīng)商的服務(wù)變更管理
⑦符合性管理:符合政策、法規(guī)、標(biāo)準(zhǔn)、知識產(chǎn)權(quán)、隱私保護、審計、審核、密碼政策等要求
六、信息安全管理體系度量
衡量安全有效性的必須的實現(xiàn)閉環(huán)的關(guān)鍵方法
27004模型
管理過程-對象-方法-執(zhí)行-結(jié)果
測量過程:?
測量的過程沒有統(tǒng)一要求
職責(zé)分配等準(zhǔn)備--制定方案--實施--分析與報告--改進
準(zhǔn)備-實施-報告-改進
七、總結(jié)
這一章內(nèi)容挺多的,所以信息安全管理是很重要的!,在寫博客的時候遇到了好幾個點是CISP題庫刷題時遇到的知識點,而且這一章相比前兩章更難了,很多知識都是完全全新的,前兩章還可以借鑒一點平時的經(jīng)驗,這一章相對來說還是需要慢慢打磨理解記憶的,后面應(yīng)該還會有博客專門總結(jié)補充這一章!
總結(jié)
以上是生活随笔為你收集整理的信息安全管理(CISP)—— 信息安全管理的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Solve recurrence
- 下一篇: 4.4 竞赛题目选讲