1.4 信息安全管理

数据参考：CISP官方 

目录

• 信息安全管理基础
• 信息安全管理体系
• 信息安全管理实践

一、信息安全管理基础 

1、信息

• 信息是一种资产，与其他重要的业务资产一样，对组织业务必不可少，因此需要得到适当的保护。

2、信息的价值

• 企业：对用户的信息保护成为新的关注点
• 用户：用户将安全作为选择服务的重要依据之一
• 攻击者：不起眼的数据对攻击者可能价值很高，倒逼企业和个人更关注信息安全

3、管理

• 针对特定对象、遵循确定原则、按照规定程序、运用恰当方法为了完成某项任务并实现既定目标而进行的计划、组织、指导协调和控制等活动

4、信息安全管理

• 信息安全管理是组织管理体系的一个重要环节
• 构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动
• 针对对象就是组织的信息资产。 

5、信息安全管理的作用

• 信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障
• 信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用
• 信息安全管理能预防、阻止或减少信息安全事件的发生 

6、信息安全管理对组织的价值

对内

• 能够保护关键信息资产和知识产权，维持竞争优势；
• 在系统受侵袭时，确保业务持续开展并将损失降到最低程度；
• 建立起信息安全审计框架，实施监督检査；
• 建立起文档化的信息安全管理规范，实现有“法"可依，有章可循，有据可查；

对外

• 能够使各利益相关方对组织充满信心；
• 能够帮助界定外包时双方的信息安全责任；
• 可以使组织更好地满足客户或其他组织的审计要求；
• 可以使组织更好地符合法律法规的要求；
• 若通过了ISO27001认证，能够提高组织的公信度；
• 可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全。

二、信息安全管理体系

1、什么是信息安全管理体系（ISMS）

• 组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。
• 由组织共同管理的政策、程序、指导方针和相关资源与活动组成，旨在保护其信息资产。
• 基于风险评估和组织的风险接受水平，旨在有效处理和管理风险。
• 信息安全管理体系已经形成，是指以ISO/IEC 27001为代表的一套成熟的标准族。
• 我国采用的信息安全管理标准是GB/T 22080，该标准与ISO/IEC 27001等同。

2、为什么需要信息安全管理体系

攻防的不对称性(木桶原理)：

• 组织机构的信息安全管理的水平取决于管理中最薄弱的环节，而以体系化的方式实施信息安全管理能有效的避免出现管理的短板。

3、信息安全管理体系建设成功的因素

• 信息安全策略、目标和与目标一致的活动；
• 与组织文化一致的，信息安全设计、实施、监视、保持和改进的方法与框架；
• 来自所有管理层级、特别是最高管理者的可见支持和承诺；
• 对应用信息安全风险管理(见 ISO/IEC 27005)实现信息资产保护的理解;
• 有效的信息安全意识、培训和教育计划，已使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务,并激励他们做出相应的行动；
• 有效的信息安全事件管理过程；
• 有效的业务持续性管理方法；
• 评价信息安全管理性能的测量系统和反馈的改进建议。

4、PDCA过程方法

管理学常用的过程模型

• P（Plan）计划：制定目标和计划，确定如何实现和达到目标的具体方法。在这个阶段，要进行风险评估、制定政策和目标、制定实施计划等。
• D（Do）实施：按照计划执行，并采集数据和信息。在这个阶段，要落实目标、执行政策、进行操作和实施相关控制措施等。
• C（Check）检查：对实施的结果进行评估和检查，与计划进行对比分析。在这个阶段，要对数据进行分析、评估绩效和风险、检查控制效果等。
• A（Act）行动：根据检查的结果采取行动，进行调整和改进。在这个阶段，要提出改善措施、制定纠正和预防行动计划，并进行实施和监控。

5、文档化与文件控制

体系文件分类

• 一级文件：由高级管理层发布，适用于整个组织所以成员以及外部相关的第三方机构和人员。
• 二级文件：由组织管理者代表签署发布，针对组织宏观战略提出的目标建立组织内部的“法”。
• 三级文件：包括员工具体执行所需的手册、指南和作业指导书。针对具体的岗位、角色进行发布和落实，确保成员能够依据文件执行任务并形成充分的记录。
• 四级文件：为了支撑文件的执行，包含记录和控制信息的表格、日志、审计报告等。确保文件执行的有效性和可追溯性。

文件控制

• 文件的建立、文件的批准与发布、文件的评审与更新、文件保存、文件作废

记录管理

记录的作用

• 记录不仅是审核信息安全管理体系执行力的证据，同样也是组织建立有效的问责和事件跟踪的重要证据

记录的管理

• 信息安全管理体系应该考虑任何有关的法律、法规和合同责任的要求；记录需要保持清晰、易于识别和检索。 

6、27001中定义的PDCA过程方法阶段工作 

7、规划与建立

组织背景·

• 建立信息安全管理体系的基础
• 了解组织有关信息安全的内部（人员、管理、流程等）和外部（合作伙伴、供应商、外包商等）问题
• 确定ISMS管理范围：明确定义ISMS的管理范围，确定哪些部门、流程、系统和数据将纳入ISMS的管理范围。此外，也要确定哪些方面不适用于ISMS。
• 建立、实施、运行、保持和持续改进符合国际标准要求的ISMS

领导力

• 管理承诺是建立信息安全管理体系的关键成功因素之一
• 建立在组织的整体管理基础，需要组织整体参与
• 组织高层确定的信息安全方针并文档化，明确描述组织的角色职责和权限 

计划

• 计划建立在风险评估基础上：在制定计划之前，进行全面的风险评估是至关重要的。通过识别和评估组织面临的风险，可以确定关键的信息资产和系统的安全需求，以及所需的控制措施和改进计划
• 计划必须符合组织的安全目标：计划必须与组织的安全目标和战略相一致。根据风险评估结果，制定具体的计划和目标，以满足组织的安全需求。这些目标应该是可衡量的，并与信息安全方针相符合。
• 层次改进：计划的制定过程应该基于阶段性的改进。逐步实施和改进信息安全管理体系，将使组织能够逐步提高信息安全的能力和效果。同时，确保计划的连续性和一致性，以促进持续改进和遵守国际标准要求。

支持

• 获得资源支持：划的成功实施需要适当的资源支持。这包括资金、技术设施、人员和培训等方面的资源。确保根据计划的需要获得足够的资源支持，以保障计划的有效实施。
• 全员宣贯培训：计划的成功实施离不开组织内所有成员的积极参与和支持。通过组织全员宣贯培训，加强员工对信息安全管理体系的认识和理解，提高他们的信息安全意识和行为规范，以确保计划的有效执行。

8、实施与运行、监视和评审、维护与改进 

实施与运行

• 实施风险评估，确定所识别信息资产的信息安全风险以及处理信息安全风险的决策，形成信息安全要求
• 控制措施适度安全
• 控制在适用性声明中形成文件

监视和评审

• 根据组织政策和目标，监控和评估绩效来维护和改进ISMS

维护与改进

• 不符合和纠正措施：在监视和评审的过程中，可能发现不符合信息安全要求的情况。当发生不符合时，应立即采取适当的纠正措施，以消除不符合和防止再次发生。纠正措施应基于根本原因分析，以便解决问题的根本原因，而不仅仅是解决表面症状。
• 持续改进：持续改进是ISMS的关键要素。持续改进的目标是通过不断寻找机会，提高信息安全管理体系的效果、效率和适应性。

9、信息安全管理体系控制类型

预防性控制

• 预防性控制是为了避免产生错误或尽量减少今后的更正性活动，是为了防止资金、时间或其他资源的损耗而采取的一种预防保证措施。

检测性控制

• 建立检测性控制的目的是发现流程中可能发生的安全问题

纠正性控制

• 纠正性控制措施无法阻止安全事件的发生，但提供了一种系统的方式来检测何时发生了安全事件并对安全事件带来的影响进行纠正。

10、信息安全管理控制措施

控制措施的描述结构如下

控制措施

• 定义满足控制目标的特定的控制措施的陈述。

实施指南

• 为支持控制措施的实施和满足控制目标，提供更详细的信息。本指南的某些内容可能不适用于所有情况，可能无法满足组织的具体控制要求。

其他信息

• 提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的引用。如无其他信息，本项即被省略。 

控制措施示例

控制类

• 信息安全方针信息安全管理指导

控制目标

• 依据业务要求和相关法律法规提供管理指导并支持信息安全。

控制措施

• 信息安全方针
• 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方。

实施指南

• 组织应在最高层次定义“信息安全方针”，该方针应获得管理层批准并阐述组织管理信息安全目标的方法

其他信息

三、信息安全管理实践

1、安全控制措施内部结构

2、信息安全方针 

控制目标

• 组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全

控制措施

信息安全方针

• 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方

信息安全方针评审

• 宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性

3、信息安全组织

内部组织

控制目标

• 建立一个管理框架，用以启动和控制的组织内信息安全的实施和运行

控制措施

• 信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全

移动设备与远程办公

控制目标：确保远程办公和使用移动设备时的安全性

控制措施

• 移动设备方针，管理移动带来的风险
• 保护远程工作地点的信息访问、处理和存储 

4、人力资源安全

任用前

• 控制目标：确保雇员、承包方理解其职责，对其考虑的角色是适合的
• 控制措施：审查、任用条款及条件

任用中

• 控制目标：确保雇员、承包方意识并履行其信息安全职责
• 控制措施：管理职责、意识教育和培训、纪律处理

任用终止和变化

• 控制目标：将聘用的变更或终止作为组织过程的一部分以保护组织的利益
• 控制措施：雇佣责任的改变和终结

5、资产管理

对资产负责

• 控制目标：标识组织资产并确定适当的保护责任
• 控制措施：资产清单、资产责任人、资产的可接受使用、资产归还

信息分类

• 控制目标：确保信息受到适当级别的保护
• 控制措施：分类指南、信息的标记、资产的处理

介质处理

• 控制目标：防止介质存储信息的未授权泄露、修改、移动或销毁
• 控制措施：可移动介质的管理、介质的处置、物理介质传输

6、访问控制 

访问控制的业务要求

• 控制目标：限制对信息和信息处理设施的访问。
• 控制措施：访问控制方针、网络和网络服务的访问

用户访问管理

• 控制目标：确保授权用户访问系统和服务，并防止未授权的访
• 控制措施：用户注册和注销、用户访问配置、特殊权限管理用户的秘密验证信息管理、用户访问权的复查、访问权限的移除或调整 

用户职责

• 控制目标：使用户负责维护其授权信息。
• 控制措施：秘密验证信息的使用

系统和应用访问控制

• 控制目标：防止对系统和应用的未授权访问
• 控制措施：信息访问限制、安全登录规程、口令管理系统、特权实用程序的使用、程序源代码的访问控制 

7、密码学

控制目标：

• 通过加密方法保护信息的保密性、真实性或完整性。

控制措施：

• 使用加密控制的策略
• 密钥管理 

8、物理与环境安全

安全区域

• 控制目标：防止对组织场所和信息过程设备的未授权物理访问、损坏和干扰。
• 控制措施：物理安全边界、物理入口控制、办公室、房间和设施的安全保护、外部和环境威胁的安全防护、在妄全区域工作送货和装卸区

设备安全

• 控制目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
• 控制措施：设备安置和保护、支持性设施、设备维护
• 资产的移动、.....

9、操作安全

操作规程和职责

• 控制目标：确保正确、安全地操作信息处理设施
• 控制措施：文件化的操作规程变更管理、容量管理、开发、测试和运行设施分离

恶意代码防范

• 控制目标：保护信息和信息处理设施以防恶意代码
• 控制措施：控制恶意代码

备份

• 控制目标：防止数据丢失
• 控制措施：信息备份 

日志记录和监视

• 控制目标：记录事件并生成证据。
• 控制措施：事件日志、日志信息的保护、管理员和操作员日志时钟同步

操作软件控制

• 控制目标：确保操作系统的完整性
• 控制措施：操作系统软件的安装

技术漏洞管理

• 控制目标：防止对技术漏洞的利用。
• 控制措施：技术脆弱性管理、软件安装限制 

信息系统审计的考虑

• 控制目标：极小化审计行为对业务系统带来的影响
• 控制措施：信息系统审计控制 

10、通信安全

网络安全管理

• 控制目标：确保网络中信息和支持性基础设施的安全性
• 控制措施：网络控制、网络服务安全、网络隔离

信息的交换

• 控制目标：保持组织内以及与组织外信息交换的安全。
• 控制措施：信息交换策略和规程、信息交换协议、电子消息保密或不披露协议 

11、信息获取开发及维护

信息系统的安全要求

• 控制目标：确保信息安全是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求
• 控制措施：安全需求分析和说明、公共网络上的安全应用服务应用服务交换的保护 

开发和支持过程中的安全

• 控制目标：确保信息系统开发的生命周期中设计和实施的信息安全。
• 控制措施：安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、......

测试数据

• 控制目标：确保用于测试的数据得到保护
• 控制措施：测试数据的保护

12、供应商关系

供应商关系中的信息安全

• 控制目标：确保供应商可访问的组织资产受到保护
• 控制措施：供应商关系的信息安全方针、供应商协议中解决安全问题、信息和通信技术的供应链

供应商服务交付管理

• 控制目标：根据供应协议，维持信息安全和服务交付在协定的等级
• 控制措施：监控和审查供应商服务、供应商服务变更管理 

13、信息安全事件管理

信息安全事件的管理和改进

控制目标：确保采用一致和有效的方法对信息安全事件进行理，包括通信安全事件和弱点。

控制措施：

• 职责和规程
• 信息安全事态报告
• 信息安全弱点报告
• 信息安全事态的评估和决策
• 信息安全事件的响应
• 从信息安全事件中学习
• 证据的收集

14、业务连续性管理

信息安全的连续性

• 控制目标：应将信息安全连续性嵌入组织业务连续性管理之中。
• 控制措施：信息安全连续性的计划、信息安全连续性的实施信息安全连续性的确认、审查和评估

冗余

• 控制目标：确保信息过程设施的可用性。
• 控制措施：信息过程设施的可用性 

15、符合性

符合法律和合同规定

• 控制目标：避免违反任何法律、法令、法规或合同义务，以及任何安全要求
• 控制措施：可用法律和合同要求的识别、知识产权、记录的保护、个人身份信息的隐私和保护、加密控制的监管

信息安全审核

• 控制目标：确保信息安全依据组织方针和规程实施和操作。
• 控制措施：信息安全的独立审核、符合安全策略和标准、技术符合性核查