NISP二级笔记(一) 信息安全管理
ISO27001 信息安全管理体系要求
ISO27002 信息安全控制措施(实用规则)
ISO27003 信息安全管理体系实施指南
ISO27004 信息安全管理测量
ISO27005 信息安全风险管理
信息安全管理 对于保障信息系统安全的作用
信息安全管理体系、风险管理和信息安全管理控制措施的含义
建立和完善信息安全管理体系的一班方法
信息安全风险管理的方法、原则
信息安全管理的控制措施、作用
信息安全管理概述
信息:有规律、可被利用的数据
信息安全:有规律、可被利用的数据的安全
管理:管理者为了达到特定目的而对管理对象进行的计划、阻止、指挥、协调和控制的一系列活动
信息安全管理:管理者为实现信息安全目标(CIA,保密性、可以性、完整性)以及业务运行的持续而进行的计划、阻止等
信息安全管理对象:主要从体系的角度包括人员在内的各类信息相关的资产 与风险管理的对象是相同的
以建立体系的方式实施信息安全管理的必要性,主要是个木桶原理、信息安全水平有多高、取决于防护最薄弱的环节
信息安全管理体系的定义
体系:相互关联和相互作用的一组要素
管理体系:建立方针和目标并达到目标的体系
为达到组织目标的策略、程序、指南和相关资源的框架
信息安全管理体系:整体管理体系的一部分,基于业务风险的方法,来建立、实施、运作、监视、评审、保持和改进信息安全
ISO27000:2009
作用一:
信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障
管理系统的作用:对内往往大于对外的作用
对组织的价值
对内:
能够保护关键信息资产、知识产权,维持竞争优势
在系统被入侵时候,确保业务持续开展并将损失降到最低程度
建立信息安全审计框架,实施监督检查
建立起文档化的信息安全管理规范,实现有法可依,有章可循,有据可查
强化员工信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制,用最低的成本达到可接受的信息安全水平,从根本上保证业务的持续性
对外:其实主要就是 对外的宣传 让别增加安全的信任
能够使得各个利益相关方对组织充满信心
能够鉴定外包时候双方的责任
可以使得组织更好的满足客户、其他组织的审计要求
使得更好的符合法律法规要求
实施信息安全管理端关键成功因素:(CSF)
组织的信息安全方针和活动能够反映组织的业务目标
组织实施信息安全的方法和框架与组织的文化(外企、国企、私营)相一致 ——从组织方面来讲
管理者能够给与信息安全实质性、可见的支持和承诺
管理者对信息安全的需求、信息安全风险、风险评估以及风险管理有深入理解
管理者为信息安全提供足够的资金 ——从管理者来讲
向全员和其他相关方提供有效的信息安全宣传以及提升信息安全意识
向全员和其他相关方分发并宣传信息安全方针、策略、标准 ——对员工来讲
建立有效的信息安全事件管理过程
建立有效的信息安全测量体系 ——机制上来讲
作用二:信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
解决信息安全问题,成败通常取决于两个因素,一个是技术另一个是管理
技术和产品是基础 管理才是关键
产品和技术 要通过管理的组织职能才能发挥最大作用
作用三:信息安全管理能预防、阻止或减少信息安全事件的发生
20-30是由于黑客入侵或者其他外部原因造成 70-80是由于内部员工的疏忽或者有意泄密
现实世界里大多数安全事件的发送和安全隐患的存在与其说是技术原因 不如说是管理不善造成的
安全不善产品的简单堆积、也不是一次性的静态过程,是人员、技术、操作三者紧密结合的系统工程、是不断演进、循环发展的动态过程
风险评估是信息安全管理的基础
风险评估主要对ISMS范围内的信息资产进鉴定和估价,然后对信息资产面对各种威胁和脆弱性进行评估,同时对已经存在的或者桂爱华的安全控制措施进界定
信息安全管理体系的建立需要确定信息安全的需求
信息安全需求获取的主要手段就是安全风险评估
信息安全风险评估是信息安全管理体系建立的基础,没有风险评估信息安全管理体系的建立就没有依据
风险处理是信息安全管理的核心
风险处理是对风险评估活动识别出风险进行决策、采取适当的控制蚔处理不能接受的风险,将风险控制在可以接受的范围
风险评估活动只能揭示组织面临的风险,不能改变风险状况
只有通过风险处理活动,组织的信息安全能力才会提升,信息安全需求才能被满足 才能实现其信息安全目标
信息安全管理的核心就是这些风险处理措施的集合
控制措施是管理风险的具体手段
风险处理时候,需要选择并确定适当的控制目标和控制措施,只有落实适当的控制措施,那些不可接受的高风险才能降低到可以接受的水平之内
控制措施的类别
手段:技术性、管理性、物理性、法律性
功能:预防性、检测性、纠正性、威慑性
过程、过程方法的概念
过程:一组将输入转化为输出的相互关联或者相互作用的活动
过程方法:一个组织内过程的系统的运用,连同这些过程的识别和互相作用以及其管理,可以称之为“过程方法”
PDCA循环 叫做 ”戴明环“ 规划(计划) 实施 检查 处置(行动)
P plan 计划 规定你应该做什么并形成文件
D Do 实施 做文件已规定的事情
C Check 检查 评审你所做的事情的符合性
A Act 行动 采取纠正和预防措施 来持续改进结合总结
特点一:按照顺序进行,靠组织的力量来推动,像车轮一样前进,不断循环
特点二:组织中的每个部分,甚至个体,均可以PDCA循环 大环套小换
特点三:每一个PDCA循环后,都要进行总结,提出新目标,再进行第二次PDCA循环
PDCA循环 能够提供一种优秀的过程方法,以实现持续改进
遵循PDCA循环,能够使任何一项活动都有效地进行
信息安全管理体系
ISMS是一种常见的对组织信息安全进行全面、系统管理的方法
ISMS是ISO27001(不光是建设、也是审核的依据)定义的一种有关信息安全的管理体系。是一种典型的基于风险管理和过程方法的管理体系
信息安全管理体系是PDCA动态持续改进的一个循环体
P 规划建立 D 实施和运行 C 监视和评审 A 保持和改进
NISP二级笔记(一) 信息安全管理的更多相关文章
- NISP二级笔记(二) 信息安全管理体系
- ISO27001信息安全管理体系
0x00 前言 初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档.在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制 ...
- java jvm学习笔记四(安全管理器)
欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 前面已经简述了java的安全模型的两个组成部分(类装载器,class文件校验器),接下来学习的是java安全模型的另外一 ...
- HBASE学习笔记--配置信息
hbase的配置信息,在hbase-site.xml里面有详细说明. 可以按照需要查询相关的配置. <?xml version="1.0"?> <?xml-sty ...
- Java编程思想学习笔记——类型信息
前言 运行时类型信息(RTTI:Runtime Type Information)使得我们可以在程序运行时发现和使用类型信息. Java在运行时识别对象和类的信息的方式: (1)一种是RTTI,它假定 ...
- Metasploit笔记之信息收集命令
书籍参考:Metasploit渗透指南 Nmap:使用没有时 ubuntu自动提示安装命令 用法: nmap -sS -Pn 192.168.1.0 -sS:执行一次隐秘的tcp扫描 -Pn:不使用 ...
- 实用maven笔记二-信息&依赖管理
目前我经历的公司的主要项目管理工具都是maven,maven除了是一个实用的构建工具外,也是一个功能强大的项目管理工具.其管理功能分为信息管理和依赖管理.通过pom.xml文件实现. 信息管理 信息管 ...
- 全国职业技能大赛信息安全管理与评估-MySQL爆破脚本
DEMO: #coding=utf-8 import MySQLdb class MSSQL: def __init__(self,host,user,pwd): self.host = host s ...
- cms 二级域名修改信息
\CMS\Collect\PageRes.cs _content = _content.Replace(r.orgurl, newurl); _content = _content.Replace(r ...
随机推荐
- gorm 批量插入数据
使用gorm 插入数据的时候,根据官方文档可以使用Create或者FirstOrCreate(). 但是官方没有提供批量插入数据的方法. 根据github的 issue得知,我们可以通过自己拼接sql ...
- Selenium_css 元素定位
1.通过id定位 # 代表id driver.find_element_by_css_selector("#kw").send_keys("hao" ...
- sql 作业创建
转载:https://jingyan.baidu.com/article/adc81513be3423f722bf7351.html
- Python之TensorFlow的卷积神经网络-5
一.卷积神经网络(Convolutional Neural Networks, CNN)是一类包含卷积计算且具有深度结构的前馈神经网络(Feedforward Neural Networks),是深度 ...
- IdentityServer4:发布环境的数字签名证书
一,jwt的三个组成部件 先来看一个由IdentityServer颁发的一个标准令牌 eyJhbGciOiJSUzI1NiIsImtpZCI6IjBiNTE3ZjIzYWY0OGM4ZjkyZjExM ...
- Python接口自动化基础---session关联接口
登录一个系统之后,如果需要在登录状态下进行一些操作,那么需要怎样保持会话呢? 可以使用Session() 举例如下: import requests s=requests.Session() url1 ...
- 11.15java实习生面试总结
坐了两个小时的车,到了面试地点面了十五分钟左右就结束了,心里有一点难受,不过这也是刚开始,后面的路还长着呢,所以先把面试官问的题目记录下来. 1.C语言能否跨平台? 虽然我面的是java实习生,但是因 ...
- 用户在浏览器输入URL回车之后,浏览器都做了什么
在直接列出执行的步骤之前先来普及几个知识,相信了解完这些知识之后会对前后端的交互有更深入的理解. 1.TCP连接 TCP:Transmission Control Protocol, 传输控制协议,是 ...
- AE二次开发,解决子窗体使用父窗体的AxControl控件
在子窗体写构造函数,然后再在父窗体按钮点击事件下写 public frmIDW(AxMapControl axMapControl1) { InitializeComponent(); this.ax ...
- jenkins报错 Upgrading Jenkins. Failed to update the default Update Site 'default'. Plugi
解决方案: jenkins\hudson.model.UpdateCenter.xml 文件, 将 url 中的 https://updates.jenkins.io/update-center.js ...