需要理解的概念
- 风险管理是信息安全的基础
- “广义”与“侠义”的风险管理
- 定量 、半定量、定性风险评估
现状调研
首先:
- 业务及其特征、组织结构及其职责
- 组织的文化与管控模式
其次
- IT规划、IT制度文件、IT基础设施资料、IT应用系统资料、IT运维程序等
- 信息安全与相关的政策、策略、程序、记录及相关报告等
主要调研内容
现状
- 控制措施有没有
- 控制措施是否充分
- 控制措施是否有效
期望
调研的方式
1文档审查
2问卷调查
3人员访谈
- -覆盖面(高层、中层、基层)
- -关于访谈提纲
- 因人而异
- 与ISMS映射
4现场走查必要性
5技术评估
-网络架构、物理安全
-主机、应用的安全配置、权限、日志
-终端、智能设备管理
-漏洞扫描、渗透测试
其他注意事项
- 调研的范围与时长
- 调研内容不仅限于14个域114个控制箱,还有标准的正文
- 现场访谈的把握(消除对立性)
- 如何写访谈纪要(访谈过程中总结的问题)
- 要注意是否有补偿控制
- 关于调研报告的内容与形式
ISMS项目错误认识
- ISMS 是一套纯管理的标准,与技术无关
- 项目交付就是一些制度文档
- 安全部门自己就能搞定
安全部门牵头,覆盖主要的业务部门
ISMS 是组织开展并改进安全工作的系统的一套思路和方法(PDCA)
项目目的
- 认证导向(乙方)
- 改进导向(周期 长大小广深度深)
----------------------------
项目范围确定
-组织部门,物理地点,IT资源
第一次范围不建议过大
项目的组织
-高管、重点参与部门、协作部门
项目沟通机制
-与高层领导、与各个部门
----------------------
ISMS实施注意事项
现状调研->风险评估->安全规划->体系建设->体系运行->认证审核
- 调研与后续工作的关系?
- 风险处置计划与安全规划?
- 风险评估、制度编写、体系运行谁来做
- 关于体系文件制定不宜拖太长时间
- 所有领域在运行阶段都能落地---不现实
- 阶段性汇报,高层关注的重要性
- 建立--推广--优化--精细化--自动化
Security Policy(27001第一个域)
--方针、政策、策略
--四级文件体系
正式发布
传达给相关人
更新与评审
风险管理是信息安全的基础
广义与狭义的风险管理
定量、半定量、定性风险评估
资产分类与资产价值
- 分类的意义
- 关于人员、服务、无形资产
- 资产相对价值的确定
资产组的意义
- 资产价值不同不能划为同一资产组
评估算法重要吗?
层次
- 战略与治理
- 组织与管理
- 项目执行
- 日常运行方面
方法
- 基于详细资产的
- 基于合规标准的
- 基于应用系统的
- 基于IT流程的
- 基于数据分析的
- ……
范围:
组织部门、物理地点、IT资源
项目的组织:
高管、重点参与部门、协作部门
项目沟通机制:
与高层领导、与各个部门
建立→推广→优化→精细化→自动化
长期、多次项目,逐渐扩大范围。
沟通、合作。
授课教师
课程特色
视频(15)
