收藏
下载资源

信息安全制度和流程宣导课件

上传人:我*** 文档编号:145301082 上传时间:2020-09-18 格式:PPT 页数:55 大小:713KB
返回 下载 相关 举报
信息安全制度和流程宣导课件_第1页
第1页 / 共55页
信息安全制度和流程宣导课件_第2页
第2页 / 共55页
信息安全制度和流程宣导课件_第3页
第3页 / 共55页
信息安全制度和流程宣导课件_第4页
第4页 / 共55页
信息安全制度和流程宣导课件_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《信息安全制度和流程宣导课件》由会员分享,可在线阅读,更多相关《信息安全制度和流程宣导课件(55页珍藏版)》请在金锄头文库上搜索。

1、1,信息管理中心 二一年十一月,信息安全制度和流程宣导,从小事做起,从自身做起 遵守合众各项安全策略和制度规范,2,第一部分 ISO27001信息安全管理体系介绍,介绍内容,第二部分 信息安全制度和流程要点介绍,3,宣导目的,一、了解ISO27001信息安全管理体系的过程方法、相关术语和定义,以及管理范围,促进安全体系的维护和发展; 二、结合公司信息安全管理的现状,了解ISO27001信息安全管理体系控制目标、控制措施的关键点; 三、根据公司安全管理制度和流程的执行情况,以及执行中的薄弱环节,学习安全制度和流程的重点内容,做到切实的贯彻和执行。,4,第一部分 ISO27001信息安全管理体系介

2、绍,介绍内容,5,什么是信息安全和信息安全管理体系?,信息安全管理体系:基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。,信息安全:保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。,6,ISO27001信息安全管理体系标准规范和最佳惯例,7,ISO27001信息安全管理体系的十一个控制领域,ISO27001是唯一一个规定了信息安全管理体系(简称ISMS)要求的可审核国际标准,该标准包括11个控制领域、39个控制目标和133项控制措施,能为公司提供全面的信息安全管理指导和保障。,8,应用于ISMS

3、过程的PDCA模型(1),ISO27001体系使用了PDCA(即戴明环)的持续改进的管理模式。确保选择充分而合适的安全控制措施,通过建立、实施、运行、监视、评审、保持和改进公司的信息安全管理体系,从而规范和完善公司的信息安全管理。,Plan阶段:根据风险评估结果、法律法规要求、公司业务运作自身需要来确定控制目标与控制措施。,Do阶段:实施所选的安全控制措施。,Act阶段:针对检查结果采取应对措施,改进安全状况。,Check阶段:依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,9,应用于ISMS过程的PDCA模型(2),通过PDCA的过程方法来管理信息安全体系,所具有的特点

4、:,PDCA顺序进行,依靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,持续改进。 每个部门,甚至每个人,在履行相关职责时,都是基于PDCA这个过程,如此一来,对管理问题的解决就成了大环套小环层层递进的模式。 每经过一次PDCA循环,都进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。,10,资产的定义和分类,什么是资产?,对组织有价值的任何东西。,在信息安全领域,资产主要有哪些分类?,保监厅发200728号文中把资产划分为以下五类: 信息资产、软件资产、硬件资产、人员资产和服务资产。,11,我们的资产面临着各种威胁,12,资产的三种基本安全特性(1),机密

5、性,完整性,可用性,CIA,13,机密性:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。 完整性:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,除了CIA,信息安全还有一些其他要素,包括真实性、可核查性、不可否认性、可靠性等,这些都是对CIA原则的细化、补充或加强。,资产的三种基本安全特性(2),14,第二部分 信息安全制度和流程要点介绍,介绍内容,15,信息安全管理体系的文件体系(1),IS

6、MS是一个文件化的体系,体系认证的第一阶段就是文件审核,文件是否完整、足够、有效是衡量整个体系是否完善的重要标准,逐步建立和完善文件体系非常重要,其中安全管理制度和流程的建设和完善,是文件体系建设的重要内容。,ISMS文件体系是一个层次化的体系,按照一般管理体系的惯例,合众的ISMS体系文件是由四个层次构成:,一级文件:全公司范围内的信息安全方针,以及下属各个方面的策略方针等。从公司的整体考虑来制定,为所有下级文件的编写指引方向。譬如合众的部分一级文件包括: 合众人寿信息安全方针 信息安全管理体系适用性声明 合众人寿信息安全风险评估报告 信息安全管理体系内部审核报告 信息安全管理体系管理评审报

7、告,16,信息安全管理体系的文件体系(2),二级文件:各类程序文件。这些程序文件是针对信息安全某方面工作的,是对信息安全方针、策略内容的进一步落实。譬如合众的部分二级文件包括: 信息安全管理体系建立和运作规定 互联网访问管理规定 信息安全管理体系风险评估与管理流程 防火墙安全规定 信息安全管理体系审核流程 机房管理规定 信息安全管理体系评审流程 文档控制流程 有效性测量方案 备份安全规定 纠正措施与预防措施规定 系统开发安全规定 信息安全事件处理流程 帐号密码安全规定 防病毒安全规定 信息系统重大突发事件处理流程,17,信息安全管理体系的文件体系(3),三级文件:具体的作业指导书。描述了某项任

8、务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。譬如合众的部分三级文件包括: 应用系统用户帐号管理指导书 系统调研指导书 Oracle数据库安全配置指导书 运营维护指导书 IBM AIX安全配置指导书 软件发布指导书 Linux安全配置指导书 产品上线指导书 数据修改指导书 数据采集指导书,四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,成为ISMS得以持续运行的有力证据,由各部门自行维护。譬如合众的部分四级文件包括: 资产识别与评价表 信息安全事件处理报告表 风险评估处理表 信息系统安全需求和分析表 风险处理计划 机房出入申请表 内审检查表

9、防火墙策略申请表 控制措施有效性测量记录表 USB使用申请表 ISMS纠正和预防措施报告 信息系统用户帐号及权限申请表,18,合众信息安全制度和流程分布(1),下面我们将从ISMS体系的11个控制领域的划分形式,来介绍合众部分关键的信息安全制度的要点。首先,先回顾下ISMS体系的11个控制领域:, 信息安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续性管理 符合性,19,合众信息安全制度和流程分布(2),1、信息安全方针: 合众人寿信息安全方针 合众人寿信息安全策略,2、信息安全组织: (信息安全方针

10、中包含),3、资产管理: IT资产管理规定 已报废IT固定资产管理规定 文档控制流程 记录控制流程 信息分类、标识及处理规定 信息分类和文档控制实施流程,4、人力资源安全: (人力部门发布的相关制度),5、物理和环境安全: 机房管理规定 机房安全责任规定 机房出入管理规定 机房工作环境管理规定 机房值班手册 个人电脑使用规定 服务器设备管理规定 小型机设备管理规定,6、通信和操作管理: 电子邮件安全规定 服务器配置规定 防火墙安全规定 防病毒安全规定 监控管理流程 备份安全规定 介质重用和废弃规定 办公应用维护流程 办公职场网络接入管理规定 安装系统和应用软件流程 信息交流安全规定 安全风险等

11、级分类和处理规定 Terminal Server使用规定 IBM AIX安全配置指导书 Linux安全配置指导书 Oracle数据库安全配置指导书 基础架构部变更管理流程 机构筹备指南(IT部分),20,合众信息安全制度和流程分布(3),7、访问控制: 帐号密码安全规定 应用系统用户帐号管理指导书 小型机Unix用户口令管理规定 网络访问控制管理规定 互联网访问管理规定 互联网访问控制管理规定,11、符合性: 漏洞扫描规定 信息安全管理体系审核流程 信息安全管理体系评审流程 有效性测量方案 纠正措施与预防措施规定 信息安全管理体系建立和运作规定 信息安全管理体系风险评估与管理流程 信息安全管理

12、体系适用性声明,8、信息系统获取、开发和维护: 系统开发安全规定 信息系统安全需求和分析流程 开发访问生产系统的安全标准 系统调研指导书 产品上线指导书 软件发布指导书 运营维护指导书 数据采集指导书 数据修改指导书 补丁管理流程 合众人寿机构编码规定,10、业务连续性管理: 信息系统重大突发事件处理流程 核心业务系统重大突发事件处理流程 ERP系统重大突发事件处理流程 电话中心系统重大突发事件处理流程 机房基础设施故障处理流程 机房基础设施重大突发事件实施流程 硬件网络现场故障事件处理流程 网络重大突发事件处理流程 数据库紧急情况维护流程 数据库重大突发事件处理实施流程 应用系统软件故障处理

13、实施流程 灾难备份和恢复流程 业务连续性管理程序 合众人寿信息系统灾难恢复规划,9、信息安全事件管理: 信息安全事态和弱点报告流程 信息安全事件处理流程 信息安全弱点处理流程,21,合众信息安全制度和流程分布(4),查看以上制度请登陆IT工作站,浏览信息化建设制度,22, 信息安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续性管理 符合性,信息安全方针,23,合众人寿信息安全方针,合众人寿信息安全方针 合众人寿信息安全方针是合众信息安全管理的“根本大法”,方针适用于公司的所有部门、下属公司和员工以及第

14、三方用户,公司的所有信息和信息系统。公司其他具体的信息安全策略、安全标准、安全指引和安全程序用于管理特定信息和信息系统的安全。公司要求每个单位、机构和员工都必须执行此安全方针,以满足保障公司信息安全的需要。,合众人寿信息安全方针主要包含以下内容: (1)信息管理中心服务的范围和内容; (2)信息安全的组织结构和相关职责; (3)信息系统在建设、运营管理过程中的总体安全要求; (4)管理层对信息安全的要求和承诺。 该方针为公司的信息安全管理工作提供了方向上的指引,所以员工必须熟知和执行。,24,合众人寿信息安全策略,合众人寿信息安全策略 合众人寿信息安全策略以ISMS体系控制措施中的最佳实践为基

15、础制订,是合众信息安全管理要求的集中化体现。安全策略共有五百六十条,涉及了信息安全管理的各个方面,该策略为其他程序和流程的制定提供了指导。 策略中所有带有“必须”的策略都是强制性的。除非事先得到安全管理领导小组的认可,否则都要坚决执行。其它的策略则是强烈建议的,只要实际可行就应该被采用。 所有员工都受本策略的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。 建议: 员工在了解公司的信息安全制度之前,首先应该学习和了解合众人寿信息安全策略。,25,制度的创建、更新与发布, 所有制度在创建和更新后,必须经过相应管理层的审批。其中,安全策略和安全标准需要经过安全管理领导小组

16、的审批。 当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。 制度创建或更新后,发布人需在OA中提交签报,进行审批。审批通过后,发于制度维护人员进行统一汇总和备案。,26, 信息安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续性管理 符合性,信息安全组织,27,合众人寿ISMS体系组织结构(1),合众人寿ISMS体系组织结构,ISMS组织结构中明确了安全管理高层领导小组、安全管理领导小组、安全工作领导小组、安全管理代表、内审员、资产管理员和用户的相关职责。,2

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号