《573编号信息安全培训课件》由会员分享,可在线阅读,更多相关《573编号信息安全培训课件(33页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系培训课件信息安全管理体系培训课件 信息安全 人人有责信息安全 人人有责信息安全 人人有责信息安全 人人有责 信息安全管理体系培训课件信息安全管理体系培训课件 目录目录 体系介绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 什么是信息安全管理体系?为什么要贯标信息安全管理体系? 海内存知己,天涯若比邻海内存知己,天涯若比邻 如今时代,信息高速发展,世界变得越来越“小” 信息安全管理体系培训课件信息安全管理体系培训课件 体系介绍体系介绍 信息安全管理体系(ISMS)Information security management system: 基于业务风险方法,建立、实施
2、、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系 的一部分; 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799 标准,该标准由英国标准协会(BSI)于1995年2月提出,并于 1995年5月修订而成的。 目前,在信息安全管理体系方面,ISO/IEC27001:2005 信息安全管理体系标准已经成为世界上应用最广泛与典型的信 息安全管理标准。标准适用于各种性质、各种规模的组织,如 政府、银行、电讯、研究机构、外包服务企业、软件服务企业 等。 2008年6月,ISO/IEC27001等同转换成国内标准GB/T22080- 2008,并在2008年11月1日
3、正式实施。 这体系谁想出来的? 提出来有多久了? 哪些企业适用呢? 会不会是忽悠人的呢 T1 信息安全管理体系培训课件信息安全管理体系培训课件 体系介绍体系介绍 信息安全管理体系(ISMS)-三要素 保密性:确保只有经过授权的人才能存取信息。 完整性:维护提供使用的信息为正确与完整的,未受破坏 或篡改。 可用性:确保经过授权的用户在需要时可以存取信息并使 用相关信息。 没有四要素吗? 还包含合规性、可追溯性、真实性和 可靠性保护等方面的技术和理论,都 是信息安全所要研究的范畴,也是信 息安全所要实现的目标。 T1 信息安全管理体系培训课件信息安全管理体系培训课件 体系介绍体系介绍 信息安全管理
4、体系(ISMS)-主要内容 安全策略 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 系统采集、开发和维护 信息安全事故管理 业务连续性管理 符合性 信息安全管理体系包含了133个控制点,39个控制措施,11个控制域; 这体系有些什么内容 呢? 信息安全管理体系培训课件信息安全管理体系培训课件 体系框架体系框架 体系介绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 如何搭建(策划)信息安全管理体系? 海内存知己,天涯若比邻海内存知己,天涯若比邻 信息安全管理体系培训课件信息安全管理体系培训课件 体系框架体系框架 信息安全管理体系培训课件信息安全管理体系
5、培训课件 体系框架-信息安全控制域体系框架-信息安全控制域 在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基 础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的 指导原则,信息安全管理体系是实现信息安全管理最为有效的手段” 信息安全管理体系培训课件信息安全管理体系培训课件 体系框架体系框架 在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基 础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的 指导原则,信息安全管理体系
6、是实现信息安全管理最为有效的手段” 与体系的PDCA过程有区别吗? 如何体现体系改进了呢? 信息安全管理体系培训课件信息安全管理体系培训课件 目录目录 体系介绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 体系如何运作? 海内存知己,天涯若比邻海内存知己,天涯若比邻 信息安全管理体系培训课件信息安全管理体系培训课件 体系实施流程体系实施流程 如何构架信息安全管理体系:如何构架信息安全管理体系: 建立信息安全管理框架 具体实施构架的ISMS 建立相关文档 文档的严格管理 安全事件记录、回馈 如何构架信息安全管理体系呢? 信息安全管理体系培训课件信息安全管理体系培训课件 目录目录 体系介
7、绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 如何识别风险,如何管控风险? 海内存知己,天涯若比邻海内存知己,天涯若比邻 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产识别风险评估-资产识别 ISMS中“资产”指的是什么? 与通常所说的公司资产有区 别吗? 资产:对组织有价值的任何东西资产:对组织有价值的任何东西 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产识别-信息资产风险评估-资产识别-信息资产 信息资产:数据库和数据文件、合同和协议、系统文件、研究信 息、用户手册、培训材料、操作或支持规程、业务连续性计划、 基本维持运行的安排、审核踪迹、
8、归档信息 部门涉及了多少信息资产? 部门哪些是关键信息资产呢? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产识别-软件资产风险评估-资产识别-软件资产 软件资产:应用软件、系统软件、开发工具和实用程序 物理资产:计算机设备、通信设备、可移动介质和其他设备 服务:计算和通信服务、公用设施,例如:供暖、照明、能源、 空调; 人员:岗位资格、技能和经验 无形资产:声誉、形象和品牌 部门涉及了哪些? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产评价风险评估-资产评价 资产三项属性:保密性、完整性和可用性 赋值标识定义赋值标识定义 5很高包含组织最重要的秘密,关系
9、未来发展的前途命运,对组织根本利益有着决定性的影响, 如果泄露会造成灾难性的损害 4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害; 3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害; 2低仅能在组织内或组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微 损害 1很低可对社会公开的信息,公用的信息处理设备和系统资源等; 保密与工作效率如何取舍? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产评价风险评估-资产评价 资产三项属性:保密性、完整性(保护资产的准确和完整的特性)和可用性 赋值标识定义赋值标识定义 5很高完整性价值非常关键,未经授权
10、的修改或破坏会对组织造成重大的或无法接受的影响, 对业务冲击重大,并可能造成严重的业务中断,难以弥补 4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较 难弥补 3中等完整性机制中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以 弥补 2低完整性价值较低,未经授权的修改或迫害会对组织造成轻微影响,对业务冲击轻微,容 易弥补 1很低完整性价值低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽 略 完整性指的到底是什么呢? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产评价风险评估-资产评价 资产三项属性:保密性、完整
11、性和可用性(根据授权实体的要求可访问和利用的特性) 赋值标识定义赋值标识定义 5很高可用性价值非常高,合法使用者对信息及信息系统的可用率达到年度99.9%以上,或系统 不允许中断 4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许 中断时间小于10min; 3中等可用性价值中等,合法使用者对信息及信息及信息系统的可用度在正常工作时间达到70% 以上,或系统允许中断时间小于30min 2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上, 或系统允许中断时间小于60min 1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度
12、在正常工作时间低于35% 可用性指的到底是什么呢? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-资产识别-资产安全风险评估-资产识别-资产安全 信息安全 (information security) 保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认 性和可靠性等 信息安全信息安全 CIACIA 保密性保密性 (Confidentiality) 信息不能被未授权的个人,实体或者过程利用或知悉的特性。 完整性完整性(Integrity) 保护资产的准确和完整的特性。 可用性可用性(Availability) 根据授权实体的要求可访问和利用的特性。 何为信
13、息安全?要关注哪些方面? 信息安全的方针、目标如何制定?要关注哪些要素? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-风险评估-资产面临的威胁和脆弱性的识别 威胁:可能导致对系统或组织的损害的不期望事件发生的潜在原因; 脆弱性:可能会被一个或多个威胁所利用的资产或一组资产的弱点 来源描述来源描述 环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故 等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障; 人为因 素 恶意人 员 不满的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃 机密信息或进行篡改,获取利益;
14、 外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏, 以获取利益或炫耀能力 非恶意 人员 内部人员由于缺乏责任性,或者由于不关心和不专注,或者没有遵循规章制度和操作流 程而导致故障或信息损坏,内部人员由于缺乏培训、专业技能不足,不具备岗位技能要 求而导致信息系统故障或被攻击 威胁和脆弱性有什么关系? 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-风险评估-资产面临的威胁和脆弱性的识别 威胁:可能导致对系统或组织的损害的不期望事件发生的潜在原因; 脆弱性:可能会被一个或多个威胁所利用的资产或一组资产的弱点 威胁和脆弱性有什么关系? 信息安全管理体系培训课件
15、信息安全管理体系培训课件 风险评估-风险评估流程风险评估-风险评估流程 风险评估流程图 确定ISMS范围 信息资产识别/评价 是否重要信息资产 威胁性识别脆弱性识别已具备的控制措施 对信息资产威胁发生的可能 性、威胁发生的影响得出现有 的信息资产面临的风险等级 事件发生的可能性事件发生的影响 确定风险等级 是否接受保持现有控制措施 选择控制目标和措施 是 否 实施 残余风险评估 残余风险确认 产生风险评估报告 产生残余风险报告,并报最高 管理者批准 制定风险处置计划 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-风险评估流程风险评估-风险评估流程 信息资产识别重要程度赋值风险评估
16、风险评估报告 不可接受风险制定风险处置计划不可接受风险评估残余风险评估报告 选择控制目标和控制措施 选择控制目标和控制措施 信息安全管理体系培训课件信息安全管理体系培训课件 风险评估-风险决策流程风险评估-风险决策流程 信息安全管理体系培训课件信息安全管理体系培训课件 目录目录 体系介绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 内审员需要掌握哪些技能?如何开展内部审核? 海内存知己,天涯若比邻海内存知己,天涯若比邻 信息安全管理体系培训课件信息安全管理体系培训课件 目录目录 体系介绍 体系框架 体系实施流程 风险评估 内部审核 管理评审 管理评审包含了哪些内容,平时的总结算管理评审吗?如何有效实施评价呢? 海内存知己,天涯若比邻海内存知己,天涯若比邻 信息安全管理体系培训课件信息安全管理体系培训课件 管理评审管理评审 管理评审包含了哪些内容,平时的总结算管理评审吗?如何有效实施评价呢? COO CEO | 或 管理评审
