信息安全管理知识点

《信息安全管理》考点核心知识点串讲

一、信息安全管理基础

1. 管理概念：组织、协调、控制的活动（参考），核心过程的管理控制。

2. 管理对象和组成：包括人员在内相关资产；包括人员、目标、规则和过程。

3. 管理体系原理：遵守“木桶原理”，要求完备性、逻辑性的管理措施的集合。

4. 信息安全管理体系：

1）狭义：根据ISO/IEC 27001所制定的体系。

2）广义：与信息安全管理有关的体系化的管理措施及制度等。

5. 信息安全管理作用包括不限于：

1）促进业务目标实现；2）信息安全管理是组织整体管理组成；3）预防、阻止或减少事件发生的作用；4）管理是技术融合剂（技管并重）；5）对内、对外作用。

6. 信息安全管理成功要素包括不限于：1）反应业务目标；2）文化一致性；3）领导实质性支持；4）领导对信息安全和风险管理的理解；5）建立科学测量体系；6）持续的教育和培训。

二、信息安全风险管理

1. 风险管理概念：识别和处置风险，是预防为主的措施。要素资产、威胁、脆弱性、安全措施。

2. 风险管理参考方法：

1）COSO-ERM：战略、运营、报告和合规性，具体包括8类组件（参考）。

2）ISO31000风险管理原则和实施指南：基于PDCA过程，适用范围非常广泛。

3）ITIL：服务战略、设计、转化、运营、改进等五个阶段。

4）COBIT：信息系统审计标准，通过IT审计，促进安全提升，支持商业目标的实现。

3. 基于GB/Z 24364:2009信息安全风险管理指南（考试重点）

1）四阶段：

— S1:背景建立：风险管理准备、系统调查、系统分析、安全分析。

— S2:风险评估：1-评估准备，2-要素识别（资产、威胁、脆弱性、安全措施），3-风险分析（定性、定量、知识、模型），4-风险报告（结果判定）。

— S3:风险处理：降低、规避、转移、接受风险。处理后的风险是残余风险（需跟踪监视）

— S4:批准监督：1-对风险管理的认可；2-风险管理中风险的控制。

2）两过程：

— 监控审查：风险管理过程中偏差、变化、延误及时控制和纠正，不限于质量、进度、成本、范围、环境等。

— 沟通咨询：通过协调沟通，提高风险管理的质量和效果的交流和沟通工作。

三、27001:2013信息安全管理体系（PDCA）

1.管理的方法：PDCA过程的方法。

2.体系四个阶段的内容：

P：规划和建立 D：实施和执行 C：监视和评审 A：保持和改进

3.体系文档的管理

1）规划和使用文档管理结构：3层或4层结构，其中1层-高层包括方针、策略、手册；4层-最底层包括表格、记录、表单等。

2）对体系文档要进行全生命周期的管理。

四、ISO/IEC 27002:2013信息安全管理控制措施（不能照搬，根据需求进行参考）

1. 安全策略-定目标

1）制定策略：由领导批准和发布，代表宏观的要求和导向，高级别策略为方针。

2）策略评审：新制定、修订等需要进行评审，保证适宜性、充分性和有效性。

2. 安全组织-建组织

1）内部组织：角色分配、职责分离、与政府的联系、与利益方的联系、项目中的信息安全管理。

2）移动设备和远程办公：环境安全、设备的安全，远程办公。

3. 人力资源安全-人的管理

1）任用前：安全审查、岗位的定义。

2）任用中：职责管理、安全教育培训、纪律处理。

3）任用终止或变化：权限回收、信息保密（签订保密协议）等要求。

4. 资产安全-资产的管理

1）资产清单：资产的清单、所有权确定责任人、可接受的使用要求、处理要求。

2）信息分类：分类指南、信息标记、信息处理。

3）介质管理：移动介质管理、介质处置、介质传输的安全。

5. 操作安全：核心为一切的操作均需要制定和执行相应的操作程序，减少操作对信息安全和系统业务的影响。

6. 供应商管理

1）供应商合作方针、信息安全问题的协议。

2）供应链的管理：知识产权、技术、产品、服务、人员等。

3）供应商监视和评审：供应商的监视和审查、供应商的服务变更管理。

7. 符合性管理：符合政策、法规、标准、知识产权、隐私保护、审计、审核、密码政策等要求。

8. 访问控制（结合参考访问控制知识）

9. 密码技术管理（结合参考密码学知识）：1.密码策略 2.密钥生命周期管理

10.物理和环境安全（结合参考物理环境安全）

11.通信安全（结合参考网络通信安全）

12. 系统获取开发和维护（结合参考软件安全开发、安全工程过程）

13.事件安全管理（详细参考《业务连续性管理》）（1）

14.业务连续性管理（详细参考《业务连续性管理》）（2）

五、信息安全管理测量

1. 重要性：衡量安全有效性的必须的实现闭环的关键方法。

2. 方法：ISO/IEC 27004：2016管理测量的标准（管理过程-对象-方法-执行-结果）。

3. 测量过程（没有统一要求）：

1-职责分配等准备，2-制定测量方案，3-测量的实施，4-测量分析与报告，5-测量的改进。

或 1-测量准备 2-测量实施 3-测量报告 4-测量改进

更新: 2025-03-11 12:24:54
原文: http://www.yuque.com/yuhui.net/network/pq0ruqz0vqukqf24