ISO27001信息安全管理体系培训基础知识.ppt

返回 相似
ISO27001信息安全管理体系培训基础知识.ppt_第1页
第1页 / 共35页
ISO27001信息安全管理体系培训基础知识.ppt_第2页
第2页 / 共35页
ISO27001信息安全管理体系培训基础知识.ppt_第3页
第3页 / 共35页
ISO27001信息安全管理体系培训基础知识.ppt_第4页
第4页 / 共35页
ISO27001信息安全管理体系培训基础知识.ppt_第5页
第5页 / 共35页
点击查看更多>>
资源描述:
信息安全管理体系 信息安全管理体系 ISMS 基 基 础知识培训础知识培训 目录 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 目录 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 目录 什么是信息 信息通常指消息 情报 数据和知识等 在 ISO IEC27001标准中信息是指对组织具有重要价值 可以通过多媒体传递和存储的一种资产 什么是信息 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 什么是信息安全 信息安全的作用是保护信息业务涉及范围不受威胁所 干扰 使组织业务畅顺 减少损失及增大投资回报和 商机 在 ISO IEC27001标准中信息安全主要指信息的 机密性 完整性和可用性的保持 即指通过采用计算 机软硬件技术 网络技术 密钥技术等安全技术和各 种组织管理措施 来保护信息在其生命周期内的产生 传输 交换 处理和存储的各个环节中 信息的机 密性 完整性和可用性不被破坏 什么是信息安全 什么是信息安全 信息的机密性 信息的机密性 是指确保授予或特定权限的人才能访问到信息 信息的机密性依据信息被允许访问对象的多 少而不同 所有人员都可以访问的信息为公开信息 需要限制访问的信息为敏感信息或秘密信息 根据信 息的重要程度和保密要求将信息分为不同密级 一般 分为秘密 机密和绝密三个等级 已授权用户根据所 授予的操作权限可以对保密信息进行操作 什么是信息安全 信息的机密性 什么是信息安全 信息的完整性 信息的完整性是 指要保证信息使用和处理方法的正确 性和完整性 信息完整性一方面是指在使用 传输 存储 备份 交换信息的过程中不发生篡改信息 丢 失信息 错误信息等现象 另一方面是指信息处理方 法的正确性 信息备份 系统恢复 销毁等处理不正 当的操作 有可能造成重要文件的丢失 甚至整个系 统的瘫痪 什么是信息安全 信息的完整性 什么是信息安全 信息的可用性 信息的可用性是 指确保已被授权的用户访问时得到所需要信息 即信息及相关信息资产在授权人需要时可立即 获得 例如 通信线路中断故障 网络的拥堵会造成信 息在一段时间内不可用 影响正常的业务运营 这是信 息可用性的破坏 提供信息的系统必须能适当地承受攻 击并在失败时及时恢复 另外还要保证信息的真实性和有效性 即组织之间或组 织与合作伙伴间的商业交易和信息交换是可信赖的 什么是信息安全 信息的可用性 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 为什么要实施信息安全管理 实施信息管理原因 自 1987年以来 全世界已发现超过 50000种计算机病毒 2000年爆发的 爱虫 病毒给全球 用户造成了 100亿美元的损失 美国每年因信息与网络安全 问题所造成的损失高达 75亿美元 即使是防备森严的美国 国防信息系统 2000年也受到 25万次黑客攻击 且成功进入 率高达 63 然而 能对组织造成巨大损失的风险主要还是来源于组织 内部 国外统计结果表明企业信息受到的损失中 70 是 由于内部员工的疏忽或有意泄密造成 为什么要实施信息安全管理 实施信息管理原因 多数计算机使用者很少接受严格 的信息安全意识培训 每天都在以不安全的方式处理企业 的大量重要信息 而且企业的合作单位 咨询机构等外部 人员都以不同的方式使用企业的信息系统 对企业的信息 系统构成了潜在的威胁 如员工为了方便记忆系统登录口 令而在明显处粘一便条 就足以毁掉花费了大量成本建立 的信息系统 许多对企业心存不满的员工把 黑 掉企业 网站 偷窃并散布客户敏感信息 为竞争对手提供机密资 料 甚至破坏关键信息系统作为报复企业 致使企业蒙受 了巨大的经济损失 为什么要实施信息安全管理 实施信息管理原因 目前单一的技术手段已难以解决 企业信息安全问题 只有建立一套完善的信息安全管理流 程并严格执行 才能有效降低信息安全风险 保障企业信 息业务的连续性 实施信息管理必然性 实践证明信息安全是个复杂的系统问 题 解决系统性安全问题 必须以系统的方法来解决 建立管理 体系 明确方针和目标并实现这些目标的体系 是系统性解决复杂 问题的有效方法 为了保证信息安全管理的有效性 充分性和适 宜性组织需要建立信息安全管理体系 ISMS 信息安全管理体系 通过固化信息安全管理范围 制定信息安全管理策略方针与与目 标 明确信息安全管理职责 落实控制目标并选择控制措施进行 管控 全面系统保障管理信息的安全 从系统论观点来看 一个体系 系统 必须具有自组织 自学习 自适应 自修复 自生长的能力和功能才可以保证其持续有效 性 信息安全管理体系通过不断的识别组织和相关方的信息安全要 求 不断的识别外界环境和组织自身的变化 不断的学习采用 最新的管理理念和技术手段 不断的调整自己的目标 方针 程序和过程等 才可以实现持续的安全 本标准可以适合于不同性质 规模 结构和环境的各种组织 因为不拥有成熟的 IT系统而担心不可能通过 ISO IEC 27001认 证是不必要的 实施信息管理必然性 为什么要实施信息安全管理 如果因为预算困难或其他原因 不能一下子降低所有不可 接受风险到可接受程度时 能否通过体系认证 也是很多 人关心的问题 通常审核员关心的是组织建立的 ISMS是否 完整 是否运行正常 是否有重大的信息安全风险没有得 到识别和评估 有小部分的风险暂时得不到有效处置是允 许的 当然 暂时接受 的不可接受风险不可以包括违背 法律法规的风险 实施信息管理必然性 为什么要实施信息安全管理 什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 ISMS概述 本标准用于为建立 实施 运行 监视 评审 保持和改进信息安全 管理体系 Ination Security Management System 简称 ISMS 提供模型 采用 ISMS应当是一个组织的一项战略性决策 一个组织的 ISMS的设 计和实施受业务需求和目标 安全需求 所采用的过程以及组织的规 模和结构的影响 上述因素及其支持过程会不断发生变化 期望信息 安全管理体系可以根据组织的需求而测量 例如简单的情形可采用简 单的 ISMS解决方案 本标准可被相关的内部方和外部方运用以评估一致性 ISMS概述 什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 ISMS标准体系 ISO IEC27000族介绍 27007信息安全管理体系 审核指南 ISO IEC27000族 27000 信息安全管理体系 综述与术语 27001 信息安全管理体系 要求 27002 信息安全管理体系 实践规范 27003 信息安全管理体系 实施指南 27004 信息安全管理体系 测量 27005 信息安全管理体系信息安全风险管理 27006 信息安全管理体系认证机构要求 ISMS介绍 ISO IEC27000族发布时间 ISO IEC 17799 2005 信息安全管理实施细则 于 2005年 6月 15日正式 发布 ISO IEC 27001 信息安全管理体系要求 于 2005年 10月 15日正式发布 ISO IEC 27002 信息安全管理体系最佳实践 于 2007年 4月 正式发布 ISO IEC 27003 信息安全管理体系实施指南 正在 ISMS标准的工作组 研究并征求意见阶段 ISO IEC 27004 信息安全管理度量和改进 正在 委员会草案阶段 ISO IEC 27005 信息安全风险管理指南 以 2005年底刚刚推出的 BS 7799 3为准 ISMS介绍 ISO IEC27001信息 安全管理体系与其它体系兼容性 ISO9001 2008 质量管理体系 ISO14001 2004 环境管理体系 ISO TS16949 2009 汽车行业质量管理体系 TL9000 通信行业质量管理体系 IEC QC080000 2005 有害物质过程管理体系 ISOIEC20000 什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系 ISMS 概述 信息安全管理体系 ISMS 标准介绍 信息安全管理体系 ISMS 实施控制重点 A 6 信息安全组织信息安全组织 A 8 人力资源安全人力资源安全 A 7 资产管理资产管理 A 12 系统获取开发和维护系统获取开发和维护 A 9 物理和环境安全物理和环境安全 A 5 信息安全方针信息安全方针 A 14 业务持续性管理业务持续性管理 A 10 通信和操作管理通信和操作管理 A 13 信息安全事件管理信息安全事件管理 A 11 访问控制访问控制 A 15 符合性符合性 ISO IEC27001控制大项 A 16 教育培训教育培训 ISMS控制大项说明 安全方针 制定信息安全方针 为信息安全提供管理指导和支持 并定期评审 信息安全组织 建立信息安全基础设施 管理组织范围内的信息安 全 维护被第三方所访问的组织的信息处理设施和信息资产的安全 以及当信息处理外包给其他组织时 确保信息的安全 资产管理 核查所有信息资产 做好信息分类 确保信息资产受到 适当程度的保护 人力资源安全 确保所有员工 合同方和第三方了解信息安全威胁 和相关事宜 他们的责任 义务 以减少人为差错 盗窃 欺诈或 误用设施的风险 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 物理与环境安全 定义安全区域 防止对办公场所和信息的未授权 访问 破坏和干扰 保护设备的安全 防止信息资产的丢失 损坏 或被盗 以及对业务活动的干扰 同时 还要做好一般控制 防止 信息和信息处理设施的损坏或被盗 通讯和操作管理 制定操作规程和职责 确保信息处理设施的正确 和安全操作 建立系统规划和验收准则 将系统失效的风险减到最 低 防范恶意代码和移动代码 保护软件和信息的完整性 做好信 息备份和网络安全管理 确保信息在网络中的安全 确保其支持性 基础设施得到保护 建立媒体处置和安全的规程 防止资产损坏和 业务活动的中断 防止信息和软件在组织之间交换时丢失 修改或 误用 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 访问控制 制定文件化的访问控制策略 避免信息系统的未授权访 问 并让用户了解其职责和义务 包括网络访问控制 操作系统访 问控制 应用系统和信息访问控制 监视系统访问和使用 定期检 测未授权的活动 当使用移动办公和远程工作时 也要确保信息安 全 信息系统的获取 开发和维护 标识系统的安全要求 确保安全成 为信息系统的内置部分 控制应用系统的安全 防止应用系统中用 户数据的丢失 被修改或误用 通过加密手段保护信息的保密性 真实性和完整性 控制对系统文件的访问 确保系统文档的安全 严格控制开发和支持过程 维护应用系统软件和信息的安全 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 信息安全事故的管理 报告信息安全事件和弱点 及时采取纠正措 施 确保使用持续有效的方法管理信息安全事故 业务连续性管理 目的是为了减少业务活动的中断 使关键业务过 程免受主要故障或天灾的影响 并确保他们的及时恢复 符合性 信息系统的设计 操作 使用和管理要符合法律法规的要 求 符合组织安全方针和标准 还要控制系统审核 使系统审核过 程的效力最大化 干扰最小化 ISO IEC27001控制大项 管理内容 ISO IEC27001信息安全管理体系将信息安全管理的内容划分为 11个控制域 39个信息安全管理的控制目标 133项安全控制措施 以下是 12项管理大项 关系图 ISMS实施控制重点 信息安全管理体系构成 方针与策略 管理 确保企业 组织拥有明确的信息安全方针以及配套的策略和制度 以实现 对信息安全工作的支持和承诺 保证信息安全的资金投入 风险管理 信息安全建设不是避免风险的过程 而是管理风险的过程 没有绝对的安全 风险总是存在的 信息安全体系建设的目标就是要把风险控制在可以 接受的范围之内 风险管理同时也是一个动态持续的过程 人员与组织 管理 建立组织机构 明确人员岗位职责 提供安全教育和培训 对第三方人员 进行管理 协调信息安全监管部门与行内其他部门之间的关系 保证信息 安全工作的人力资源要求 避免由于人员和组织上的错误产生的信息安全 风险 环境与设备 管理 控制由于物理环境和硬件设施的不当所产生的风险 管理内容包括物理环 境安全 设备安全 介质安全等 网络与通信 管理 控制 保护网络和通信系统 防止其受到破坏和滥用 避免和降低由于网 络和通信系统的问题对业务系统的损害 主机与系统 管理 控制和保护计算机主机及其系统 防止其受到破坏和滥用 避免和降低由 此对业务系统的损害 ISMS实施控制重点 ISMS构成管理内容 信息安全管理体系构成 管理内容 应用与业务 管理 对各类应用和业务系统进行安全管理 防止其受到破坏和滥用 数据 文档 介质管理 采用数据加密和完整性保护机制 防止数据被窃取和篡改 保护业务数据的 安全 项目工程管 理 保护信息系统项目工程过程的安全 确保项目的成果是可靠的安全系统 运行维护管 理 保护信息系统在运行期间的安全 并确保系统维护工作的安全 业务连续性 管理 通过设计和执行业务连续性计划 确保信息系统在任何灾难和攻击下 都能 够保证业务的连续性 合规性管理 确保信息安全保障工作符合国家法律 法规的要求 且信息安全方针 规定和标准得到了遵循 信息安全管理体系构成 管理内容 ISMS实施控制重点 ISMS构成管理内容 信息安全管理体系 PDCA模型 采用一种过程方法来建立 实施 运行 监视 评审 保持和改 进一个组织的 ISMS 信息安全管理体系 PDCA模型 PDCA模式 步骤 方法 定义范围 根据组织业务特征 地理位置 资产 技术等确定 ISMS的范围 定义方针 方针是信息安全活动的总方向和总原则 是建立目 标的框架 应考虑业务 合同安全义务和法律法规 要求 确定风险评估的 方法 识别适用的风险评估方法 确定风险接收准则 识 别可接受的等级 策划 识别风险 识别 ISMS范围内的资产 资产的威胁 脆弱点以 及机密性 完整性 可用性损失的影响 评估风险 评估安全失效可能造成的影响 评估安全失效发生 的可能性 估计风险等级以及风险是否可接受 识别并评估风险 处理的措施 包括控制 规避 转嫁风险 接受残余风险 信息安全管理体系 PDCA模型 方法 策划 为处理风险选择 控制目标和控制 措施 考虑接受风险的准则 选择控制目标和措施 适用性声明 声明应包括选择的控制目标和措施 选择的原因 删减的合理性 实施和运 行 DO 实施和运行 ISMS 提供资源 实施培训 提高意识 按策划的要求 管理 ISMS的运行 检查 CHECK 监视和评审 ISMS 执行监视和评审程序 定期评审 ISMS的有效性和 测量控制措施的有效性 按计划实施内审和管理 评审 识别改进的机会 保持和改 进 ACT 保持和改进 ISMS 实施改进措施 不断总结经验教训 确保改进活 动达到预期目的 信息安全管理体系 PDCA模型 方法 ISMS与等级保护 ISMS信息安全管理体系与等级保护对比 体系 目的 控制项 控制点 ISO IEC27001 建立适合企业实际情况 的信息安全管理体系 11个 39个控制项 133个控制点 国家等级保护 2007版等 级保护基本 要求 保障国家 人民 社会 的信息安全 10个 一级 48个控制点 二级 66个控制点 三级 73个控制点 四级 77个控制点 ISMS信息安全管理体系与等级保护对比
展开阅读全文

copyright@2015-2019 知海文库信息技术咨询

网站备案号:冀ICP备18037993号-1

知海文库交流群:QQ群:812468598