《iso27001信息安全管理体系培训基础知识》由会员分享,可在线阅读,更多相关《iso27001信息安全管理体系培训基础知识(35页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系(ISMS)基础知识培训,目录,什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,目录,什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,目录,什么是信息,信息通常指消息、情报、数据和知识等,在ISO/IEC27001标准中信息是指对组织具有重要价值,可以通过多媒体传递和存储的一种资产。,什么是信息,什么是
2、信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,什么是信息安全,信息安全的作用是保护信息业务涉及范围不受威胁所干扰,使组织业务畅顺,减少损失及增大投资回报和商机。在ISO/IEC27001标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。,什么是信息安全,什么是信息安全-信息
3、的机密性,信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。,什么是信息安全信息的机密性,什么是信息安全信息的完整性,信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理方法的正确性,信息备份、系统恢复、销
4、毁等处理不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。,什么是信息安全信息的完整性,什么是信息安全信息的可用性,信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时及时恢复。,另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。,什么是信息安全信息的可用性,什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理
5、体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,为什么要实施信息安全管理,实施信息管理原因:自1987年以来,全世界已发现超过50000种计算机病毒,2000年爆发的“爱虫”病毒给全球用户造成了100亿美元的损失;美国每年因信息与网络安全问题所造成的损失高达75亿美元。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击,且成功进入率高达63%。 然而,能对组织造成巨大损失的风险主要还是来源于组织内部,国外统计结果表明企业信息受到的损失中,70%是由于内部员工的疏忽或有意泄密造成。,为什么要实施信息安全管理,实施信息管理原因:多
6、数计算机使用者很少接受严格的信息安全意识培训,每天都在以不安全的方式处理企业的大量重要信息,而且企业的合作单位、咨询机构等外部人员都以不同的方式使用企业的信息系统,对企业的信息系统构成了潜在的威胁。如员工为了方便记忆系统登录口令而在明显处粘一便条,就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站,偷窃并散布客户敏感信息,为竞争对手提供机密资料,甚至破坏关键信息系统作为报复企业,致使企业蒙受了巨大的经济损失。,为什么要实施信息安全管理,实施信息管理原因:目前单一的技术手段已难以解决企业信息安全问题,只有建立一套完善的信息安全管理流程并严格执行,才能有效降低信息安
7、全风险,保障企业信息业务的连续性。,实施信息管理必然性:实践证明信息安全是个复杂的系统问题,解决系统性安全问题,必须以系统的方法来解决,建立管理体系(明确方针和目标并实现这些目标的体系,是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS),信息安全管理体系通过固化信息安全管理范围,制定信息安全管理策略方针与与目标,明确信息安全管理职责、落实控制目标并选择控制措施进行管控,全面系统保障管理信息的安全。,从系统论观点来看, 一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。 信息安全管理
8、体系通过不断的识别组织和相关方的信息安全要求,不断的识别外界环境和组织自身的变化,不断的学习采用最新的管理理念和技术手段,不断的调整自己的目标、方针、程序和过程等,才可以实现持续的安全。 本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认证是不必要的。,实施信息管理必然性:,为什么要实施信息安全管理,如果因为预算困难或其他原因,不能一下子降低所有不可接受风险到可接受程度时,能否通过体系认证,也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整,是否运行正常,是否有重大的信息安全风险没有得到识别和评估。有小部分
9、的风险暂时得不到有效处置是允许的,当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。,实施信息管理必然性:,为什么要实施信息安全管理,什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,ISMS概述,本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。 采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、
10、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。 本标准可被相关的内部方和外部方运用以评估一致性。,ISMS概述,什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系(ISMS)概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,ISMS标准体系ISO/IEC27000族介绍,27007信息安全管理体系 审核指南,ISO/IEC27000族,27000 -信息安全管理体系 综述与术语,27001-信息安全管理体系 要求,2700
11、2-信息安全管理体系 实践规范,27003-信息安全管理体系 实施指南,27004- 信息安全管理体系 测量,27005-信息安全管理体系信息安全风险管理,27006-信息安全管理体系认证机构要求,ISMS介绍- ISO/IEC27000族发布时间,ISO/IEC 177992005 信息安全管理实施细则,于2005年6月15日正式发布; ISO/IEC 27001 信息安全管理体系要求,于2005年10月15日正式发布; ISO/IEC 27002 信息安全管理体系最佳实践,于2007年4月正式发布; ISO/IEC 27003 信息安全管理体系实施指南,正在ISMS标准的工作组研究并征求意
12、见阶段; ISO/IEC 27004 信息安全管理度量和改进,正在委员会草案阶段; ISO/IEC 27005 信息安全风险管理指南,以2005年底刚刚推出的BS 7799-3为准。,ISMS介绍- ISO/IEC27001信息 安全管理体系与其它体系兼容性,ISO9001:2008 质量管理体系 ISO14001:2004 环境管理体系 ISO/TS16949:2009 汽车行业质量管理体系 TL9000:通信行业质量管理体系 IEC QC080000:2005 有害物质过程管理体系 ISOIEC20000: ,什么是信息 什么是信息安全 为什么实施信息安全管理 信息安全管理体系(ISMS)
13、概述 信息安全管理体系(ISMS)标准介绍 信息安全管理体系(ISMS)实施控制重点,A.6 信息安全组织,A.8 人力资源安全,A.7 资产管理,A.12 系统获取开发和维护,A.9 物理和环境安全,A.5 信息安全方针,A.14 业务持续性管理,A.10 通信和操作管理,A.13 信息安全事件管理,A.11 访问控制,A.15 符合性,ISO/IEC27001控制大项,A.16 教育培训,ISMS控制大项说明,安全方针:制定信息安全方针,为信息安全提供管理指导和支持,并定期评审; 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安全;维护被第三方所访问的组织的信息处理设施和信息资产
14、的安全,以及当信息处理外包给其他组织时,确保信息的安全。 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或误用设施的风险。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,物理与环境安全:定义安全区域,防止对办公场所和信息的未授权访问、破坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或被盗,以及对业务活动的干扰;同时,还要做好一般控制,防止信息和信息处理设施的损坏或被盗。 通讯和操作管理:制定操作规程和职责,确保信息处理设施的正确
15、和安全操作;建立系统规划和验收准则,将系统失效的风险减到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,访问控制:制定文件化的访问控制策略,避免信息系统的未授权访问,并让用户了解其职责和义务,包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用,定期检测未授权的活动;当使用移动办公和远程工作时,也要确保信息安全。
16、 信息系统的获取、开发和维护:标识系统的安全要求,确保安全成为信息系统的内置部分;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;通过加密手段保护信息的保密性、真实性和完整性;控制对系统文件的访问,确保系统文档的安全;严格控制开发和支持过程,维护应用系统软件和信息的安全。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措施,确保使用持续有效的方法管理信息安全事故。 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响,并确保他们的及时恢复。 符合性:信息系统的设计、操作、使用和管理要符合法律法规的要求,符合组织安全方针和标准,还要控制系统审核,使系统审核过程的效力最大化、干扰最小化。,ISO/IEC27001控制大项-管理内容,ISO/IEC27001信息安全管理体系将信息安全管理的内容划分为11个控制域,39个信息安全管理的控制目标,133项安全控制措施,以下是12项管理大项关系图。,ISMS
