CISP培训笔记.docx

羀PPT信息安全保障10’莈信息安全保障莆中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保障工作的纲领性文件莄信息的安全属性CIA:保密性、完整性、可用性蝿信息安全的范畴:信息技术问题、组织管理问题,社会问题,国家安全问题蒈信息安全特征:系统性、动态性,无边界性、非传统性(最终保障业务的安全)螆信息安全问题根源:(信息战士和网络战士是最严重的)袂内因,过程复杂、结构复杂、应用复杂螁外因,人(个人威胁、组织威胁、国家威胁)SEC,信息窃取,加密,保证保密性、PUSEC,操作系统技术薀信息系统安全INFOSEC,防火墙、VPN、PKI公钥基础设施、蚈信息安全保障IA,技术、管理、人员培训等芄网络空间安全/信息安全保障CS/IA,防御、攻击、利用,强调威慑肂传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复艿信息安全保障模型螈PDR防护--检测--响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间蚅PPDR策略--防护--检测--响应,突出控制和对抗,强调系统安全的动态性螄信息安全保障技术框架IATF,深度防御的思想,层次化保护,人、技术、操作,关注4个领域:莂本地的计算机环境螇区域边界肆网络和基础设施膂支撑性技术设施肁信息系统:每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。袇信息系统安全保障,从技术、管理、工程、人员方面提出保障要求蒇信息系统安全保障模型GB/T20274羄保障要素4:技术、管理、工程、人员袀生命周期5:规划组织、开发采购、实施交付、运行维护、废弃羇安全特征3:保密性、完整性、可用性薄信息系统安全保障工作阶段莂确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全虿我国信息安全保障体系肇建立信息安全技术体系,NI《国家网络安全综合倡议》,3道防线膇1、减少漏洞和隐患,预防入侵莅2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁薁3、强化未来安全环境,增强研究、开发和教育,投资先进技术蒀我国的信息安全保障战略规划,信息安全分:基础信息网络安全、重要信息系统安全和信息内容安全芇信息安全保障工作方法,信息系统保护轮廓ISPP(所有者角度考虑安保需求),信息系统安全目标ISST,从建设方制定保障方案螆确定信息系统安全保障的具体需求:法规符合性、风险评估、业务需求(只放前2个也对)芃信息安全测评对象:信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评艿信息系统安全测评标准莇过程测评标准:GB/GB/T18336蚁信息安全管理体系ISMS节ISMS信息安全管理体系,按照ISO27001定义,基于业务风险的方法莆信息安全管理体系建设莄规划与建立、实施和运行、监视和评审、保持和改进蒃ISMS的层次化文档结构肁一级文件,顶层文件,方针、手册蒆二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件螅三级文件,操作指南、作业指导书、操作规范、实施标准等膅四级文件,各种记录表单,计划、表格、报告、日志文件等螀ISMS方法:风险管理方法、过程方法薆风险管理方法膆风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段薃控制措施的类别蕿从手段来看,分为技术性、管理性、物理性、法律性等控制措施蚆从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施薇从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域莅PDCA循环,戴明环薂特点:按顺序进行,组织每部分及个体也可使用,适用任何活动螆ISO/IEC27000标准族共7个袁27001信息安全管理体系要求,14个领域,新版的变动羀27002信息安全控制措施实用规则,11个控制类,内容安全和风险评估不属于薈27004信息安全管理测量,度量指标肄常见的管理体系标准节ISO27001定义的信息安全管理系统ISMS,国际标准蚂信息安全等级保护,公安部提出莇NISTSP800,适用美国联邦政府和组织莈管理者是实施ISMS的最关键因素蚃ISMS建设膀P阶段8步:确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8莀D阶段7步:制定风险处理计划,实施培训和教育计划蒇C阶段5步:审计和检查肄A阶段2步:实施纠正和预防,沟通和改进袂信息安全控制措施腿安全方针薇是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现蒅信息安全组织:内部组织、外部各方莀资产管理:资产负责和信息分类,信息分类按照信息的价值、法律