管什么
管理对象:包括人在内的信息相关资产
管理组成:人员、目标、规则、过程
为什么管
反映业务目标的保障
组织整体组成部分
信息安全技术的融合剂
预防,组织或减少事件发生
对内、对外管控
管理特点
攻击和防护严重不对称,攻击很容易,防护成功极为困难
木桶原理,安全水平取决于防护最薄弱地带
常见管理标准
狭义的,ISO270001标准定义的ISMS,最新版是ISO/IEC 27001:2012版
建立和执行简单,难以和其他体系和管理形成一体化
广义的,管理包括各体系集合,建立难度大,控制严格
安全风险管理模型
常见的COSO、ISO31000、COBIT模型
风险识别、评估、优化,最小化检测和控制不良事件的可能性机影响,最大限度实现业务
保障是预防为主的思想
COSO
美国反虚假报告委员会缩写,主要是控环活评通监5项,适用很多地方,财务审计和战略常用模型
包括四类风险:战略、运营、报告、合规风险(宏观层,具体执行层,评价结果,法规层)
ISO31000
通用标准,不局限与特定行业部门。应用与组织的整个生命过程,及一系列广泛活动、流程、职能、项目、产品、服务、资产、业务和决策
包括四部分:风险管理框架设计、实施、监测和评审、改进
COBIT
是面向信息系统过程审计和评价的标准,ISASA信息系统审计和控制协会制定的
控制目标:CIA(保密性,完整性,可用性)、有效性、高效性、符合性、信息可靠性
ITIL
信息技术架构库
5个服务阶段:战略、设计、转换、运营、改进
