1.1 信息安全管理基础

信息的不同视角：

企业：对用户的信息保护成为新的关注点

用户：用户将安全作为选择服务的重要依据之一

攻击者：不起眼的数据对攻击者可能价值很高，倒逼企业和个人更关注信息安全

信息安全管理是组织管理体系的一个重要环节

信息安全管理体系是组织管理体系的一部分，基于风险评估和组织风险接受水平。

信息安全管理的作用：

信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障；

信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用；

信息安全管理能预防、阻止或减少信息安全事件的发生；

对组织的价值

对内：

1、能够保护关键信息资产和知识产权，维持竞争优势。

2、在系统受侵袭时，确保业务持续开展并将损失降低到最低程度。

3、建立起信息安全审计框架，设施监督审查。

4、建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查。

5、强化组织的信息安全意识。

对外

1、能够对各利益相关方对组织充满信息。

2、能够帮助界定外包时双方的信息安全责任。

3、可以使组织更好地满足客户或其他组织的审计要求。

4、可以使组织更好的符合法律法规的要求。

5、通过了ISO 27001认证，能够提高组织的公信力。

6、可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全。

1.2 信息安全风险管理

风险的定义：

事态的概率及其结果的的组合

险是客观存在
风险管理是指导和控制一个组织相关风险的协调活动，其目的是确保不确定性不会使企业的业务目标发生变化
风险的识别、评估和优化

风险管理的价值：安全措施的成本与资产价值之间的平衡

基于风险的思想是所有信息系统安全保障工作的核心思想！

常见的风险管理模型：

1、内部控制整合框架（COSO报告）

三个目标：财务报告可靠性、经验效率和效果、合规性

五个管理要素：内制环境、风险评估、控制活动、信息与沟通、监控

2、ISO31000

为所有与风险管理相关的操作提供最佳实践结构和指导

3、COBIT

为信息系统和技术的治理及控制过程提供最佳实践

组件：框架、流程描述、控制目标、管理指南、成熟度模型

1.2.1 信息安全风险管理基本过程

四个阶段、两个贯穿

1、背景建立

背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析

风险管理准备：确定对象、组建团队、制定计划、获得支持

信息系统调查：信息系统的业务目标、技术和管理上的特点

信息系统分析：信息系统的体系结构、关键要素

信息安全分析：分析安全要求、分析安全环境

2、风险评估

信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动

风险评估准备：制定风险评估方案、选择评估方法

风险要素识别：发现系统存在的威胁、脆弱性和控制措施

风险分析：判断风险发生的可能性和影响的程度

风险结果判定：综合分析结果判定风险等级

3、风险处理

风险处理是为了将风险始终控制在可接受的范围内。

现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以

处理目标确认：不可接受的风险需要控制到怎样的程度

处理措施选择：选择风险处理方式，确定风险控制措施

处理措施实施：制定具体安全方案，部署控制措施

4、批准监督

批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定

监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险

Ⅰ、监控审查

监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性

Ⅱ、沟通咨询

通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在

1.3 信息安全管理体系建设

组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

1.3.1 PDCA过程方法

管理学常用的过程模型

P（Plan）：计划、D（Do）：实施、C（Check）：检查、A（Act）：行动

1.3.2 27001中定义的PDCA过程方法阶段工作

1、建立与规划：

建立信息安全管理体系的基础；

了解组织有关信息安全的内部（人员、管理、流程等）和外部（合作伙伴、供应商、外包商等）问题；

确定ISMS管理范围；

建立、实施、运行、保持和持续改进符合国际标准要求的ISMS；

2、实施与运行：

实施风险评估，确定所识别信息资产的信息安全风险以及处理信息安全风险的决策，形成信息安全要求；

控制措施适度安全；

控制在适用性声明中形成文件；

3、监视和评审：

根据组织政策和目标，监控和评估绩效来维护和改进ISMS；

4、维护与改进：

不符合和纠正措施

持续改进

1.3.3 文档化

1.4 信息安全管理体系最佳实践

结构：14个类别、35个目标、114个控制措施

描述方式：控制类、控制目标、控制措施、实施指南

1.5 信息安全管理体系度量

略

CISP管理部分-3、信息安全管理