1.1 信息安全管理基础

信息的不同视角：

企业：对用户的信息保护成为新的关注点

用户：用户将安全作为选择服务的重要依据之一

攻击者：不起眼的数据对攻击者可能价值很高，倒逼企业和个人更关注信息安全

信息安全管理是组织管理体系的一个重要环节

信息安全管理体系是组织管理体系的一部分，基于风险评估和组织风险接受水平。

信息安全管理的作用：

信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障；

信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用；

信息安全管理能预防、阻止或减少信息安全事件的发生；

对组织的价值

对内：

1、能够保护关键信息资产和知识产权，维持竞争优势。

2、在系统受侵袭时，确保业务持续开展并将损失降低到最低程度。

3、建立起信息安全审计框架，设施监督审查。

4、建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查。

5、强化组织的信息安全意识。

对外

1、能够对各利益相关方对组织充满信息。

2、能够帮助界定外包时双方的信息安全责任。

3、可以使组织更好地满足客户或其他组织的审计要求。

4、可以使组织更好的符合法律法规的要求。

5、通过了ISO 27001认证，能够提高组织的公信力。

6、可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全。

1.2 信息安全风险管理

风险的定义：

事态的概率及其结果的的组合

险是客观存在
风险管理是指导和控制一个组织相关风险的协调活动，其目的是确保不确定性不会使企业的业务目标发生变化
风险的识别、评估和优化

风险管理的价值：安全措施的成本与资产价值之间的平衡

基于风险的思想是所有信息系统安全保障工作的核心思想！

常见的风险管理模型：

1、内部控制整合框架（COSO报告）

三个目标：财务报告可靠性、经验效率和效果、合规性

五个管理要素：内制环境、风险评估、控制活动、信息与沟通、监控

2、ISO31000

为所有与风险管理相关的操作提供最佳实践结构和指导

3、COBIT

为信息系统和技术的治理及控制过程提供最佳实践

组件：框架、流程描述、控制目标、管理指南、成熟度模型

1.2.1 信息安全风险管理基本过程

四个阶段、两个贯穿

1、背景建立

背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析

风险管理准备：确定对象、组建团队、制定计划、获得支持

信息系统调查：信息系统的业务目标、技术和管理上的特点

信息系统分析：信息系统的体系结构、关键要素

信息安全分析：分析安全要求、分析安全环境

2、风险评估

信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动

风险评估准备：制定风险评估方案、选择评估方法

风险要素识别：发现系统存在的威胁、脆弱性和控制措施

风险分析：判断风险发生的可能性和影响的程度

风险结果判定：综合分析结果判定风险等级

3、风险处理

风险处理是为了将风险始终控制在可接受的范围内。

现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以

处理目标确认：不可接受的风险需要控制到怎样的程度

处理措施选择：选择风险处理方式，确定风险控制措施

处理措施实施：制定具体安全方案，部署控制措施

4、批准监督

批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定

监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险

Ⅰ、监控审查

监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性

Ⅱ、沟通咨询

通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在

1.3 信息安全管理体系建设

组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

1.3.1 PDCA过程方法

管理学常用的过程模型

P（Plan）：计划、D（Do）：实施、C（Check）：检查、A（Act）：行动

1.3.2 27001中定义的PDCA过程方法阶段工作

1、建立与规划：

建立信息安全管理体系的基础；

了解组织有关信息安全的内部（人员、管理、流程等）和外部（合作伙伴、供应商、外包商等）问题；

确定ISMS管理范围；

建立、实施、运行、保持和持续改进符合国际标准要求的ISMS；

2、实施与运行：

实施风险评估，确定所识别信息资产的信息安全风险以及处理信息安全风险的决策，形成信息安全要求；

控制措施适度安全；

控制在适用性声明中形成文件；

3、监视和评审：

根据组织政策和目标，监控和评估绩效来维护和改进ISMS；

4、维护与改进：

不符合和纠正措施

持续改进

1.3.3 文档化

1.4 信息安全管理体系最佳实践

结构：14个类别、35个目标、114个控制措施

描述方式：控制类、控制目标、控制措施、实施指南

1.5 信息安全管理体系度量

略

CISP管理部分-3、信息安全管理相关推荐

医院计算机操作权限管理制度,医院信息安全管理制度_医院信息安全管理制度办法...
医院信息安全管理制度_医院信息安全管理制度办法医院的信息安全管理工作是保护广大病患隐私的重要措施之一.下面小编为大家整理了有关医院信息安全管理制度的范文,希望对大家有帮助. 医院信息安全管理制度篇1 ...
具有信息数字化功能的计算机硬件,数字化档案信息安全管理策略论文
数字化档案信息安全管理策略论文一.实施数字化档案信息安全管理的意义随着我国信息化水平的迅速提升,我国对数字化档案信息安全管理也有了更为深刻的认识.信息安全管理是维护数字化信息安全的重要手段,正所谓 ...
《CISP》（三）信息安全管理
本系列是学习<CISP>中易混淆点的记录,文章顺序是按照教材讲解而定目录一.信息安全管理体系 ISMS 二.信息安全风险管理 1.风险 2.风险管理 3.风险管理相关要素 4.信息安全 ...
信息安全管理（CISP）—— 业务连续性
一.知识框架业务连续性主要分为三个模块:业务连续性管理.信息安全应急响应.灾备与恢复二.业务连续性管理业务连续性管理基础业务连续性(BC):组织对事故和业务中断的规划和响应,使业务可能在预先定 ...
信息安全管理（CISP）—— 信息安全管理
目录一.知识框架二.信息安全管理基础 1.信息安全管理基本概念 2.信息安全管理体系三.信息安全风险管理 1.基本概念 2.风险管理 3.常见的风险管理模型 GB/Z 24364<信息安全 ...
总结信息安全管理体系如何落地？
公众号回复:干货,领取价值58元/套IT管理体系文档公众号回复:ITIL教材,领取最新ITIL4中文教材正文各行业许多企业都根据业务所需选择不同的国际.国内标准搭建了信息安全管理体系(ISMS) ...
高职信息安全比赛攻防思路_30.LNGZ2020-30：2020年辽宁省职业院校技能大赛(高职组)“信息安全管理与评估”赛项规程...
1 2020 年辽宁省职业院校技能大赛 ( 高职组 ) 信息安全管理与评估赛项规程一.赛项名称赛项编号: LNGZ2020-30 赛项名称:信息安全管理与评估英文名称: Information ...
未来的信息安全管理人员应当具备哪些技能
未来的信息安全领导者所需要的技能将远远超过安全方面.如今,首席安全官(CSO)和首席信息安全官(CISO)越来越多地发现,与十年以前自己的这种角色初次出现在各个单位中的时候相比,现在这个头衔中的&qu ...
信息安全管理体系 ISMS
PDCA简介计划(Plan)--根据风险评估结果.法律法规要求.组织业务运作自身需要来确定控制目标与控制措施: 实施(Do)--实施所选的安全控制措施: 检查(Check)--依据策略.程序.标准和 ...

CISP管理部分-3、信息安全管理