信息安全管理体系ppt课件.ppt

;,包括BS7799、SSE-CMM等;。(ISMS)的内涵ISMS是组织在整体或特定范围内建立的信息安全方针和目标,以及完善这些目标所用的方法和手段所构成的体系;ISMS是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。(注意:属于风险管理的范畴)(1)定义信息安全政策;(2)定义ISMS范围;(3)风险评估;(4)确定管制目标和选择管制措施;(5)准备信息安全适用性申明。,又称为“戴明环”,广泛应用于质量管理。(1)P:Plan,根据风险评估和自身运营要求确定控制目标和方式;(2)D:Do,资源、培训、风险治理;(3)C:Check,符合性检查;(4)A:Action,评价并寻求改进;,英国贸易工业部立项,制定了第一个ISMS实施标准,即BS7799-1:1995《信息安全管理实施规则》。该规则不宜作为认证标准使用。,制定了第一个ISMS认证标准BS7799-2:1998《信息安全管理体系规范》。它可以作为对一个组织的全面或部分ISMS进行评审认证的标准。,英国对ISMS进行了修订。修订版特别强调了业务工作所涉及的信息安全和信息安全的责任。,国际标准化组织将BS7799转化成国际标准ISO/IEC17799,并于2005年6月15日发布了新版标准。、134种安全控制指南供组织选择和使用。(1)信息安全政策;(2)信息安全组织;(3)信息资产分类与管理;(4)人员信息安全;(5)物理和环境安全;(6)通信和运营管理;(7)访问控制;(8)信息系统的开发与维护;(9)业务持续性管理;(10)信息安全事故管理;(11)符合性管理。-1:《信息安全管理实施规则》-2:《信息安全管理体系规范》:为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用,它旨在为一个机构提供用来制订安全标准、实施有效安全管理的通用要素,并使跨机构的交易得到互信。(1)按照BS7799的标准,自我建立和实施组织的安全管理体系;(2)在上述基础上,通过BS7799体系认证;(3)通过安全咨询顾问,来建立和实施组织的安全管理体系;(4)在(3)的基础上,通过BS7799体系认证。---CMM的起源:1993年NSA;1996年10月第一个版本。-CMM的作用(1)对工程组织工程执行能力进行认可,对其组织的成熟度进行度量和改进;同时可以通过可重复和可预测的过程来减少重复劳动。(2)对于获取组织,可以获得可重用的标准语言和评定方法,减少选择不合格投标者的风险,进行基于工业标准的统一评估。(3)对于评估机构,可提供可重用的过程评定结果,提供基于能力的显见可信度,减少安全评估工作量,在安全工程中以及安全工程与其他工程集成中的信任度。---CMM的基本概念(1)组织和项目;(2)系统:提供某种能力用以满足一种需要或目标的人员、产品、服务和过程的综合。(3)工作产品:在执行任何过程中产生的所有文档、报告、文件和数据等。(4)客户:需要第三方为其提供产品开发或服务的个人或实体组织。(5)过程:为了一个给定目的而执行的一系列活动。(6)过程区(PA,ProcessArea):是一组相关安全工程过程的特征,当这些特征全部实施后,将达到过程区定义的目的。一个过程区由基本实践(BP,BasePractice)组成。