信息安全管理体系培训课件.ppt

《信息安全管理体系培训课件.ppt》由会员分享，可在线阅读，更多相关《信息安全管理体系培训课件.ppt（56页珍藏版）》请在金锄头文库上搜索。

1、,信息安全管理体系,目录,介绍 ISO27001认证过程和要点介绍 信息安全管理体系内容 信息安全管理体系准备-风险评估 信息安全管理体系设计 信息安全管理体系实施 信息安全管理体系监控 信息安全管理体系改进,通信公司员工泄漏内部信息获刑,法制晚报：5家调查公司因非法经营被查，由此牵出了移动、联通的三名在职员工和两名离职员工他们与调查公司勾结，将通话记录等信息透露给对方。 吴晓晨利用担任联通公司北京市三区分公司广安门外分局商务客户代表的工作之便，获取大量公民个人信息后非法出售给调查公司，从中获利。 案情供述： 联通公司吴晓晨：他帮调查公司查座机电话号码的安装地址，调查公司每个月固定给2000元

2、，后来又让帮忙查电话清单。 2008年10月初，他索性自己成立了一个商务调查公司单干了。 移动公司张宁：2008年原同事林涛找到他，让他查机主信息，修改手机密码。他一共帮查过50多个机主信息，修改过100多个手机客服密码。 只要提供给他机主姓名和手机号码，他就可以通过工作平台，将该人的个人信息调取出来，查出身份证号、住址和联系电话。 修改手机密码也是通过平台，只需要提供手机号码就行。修改完密码后，就可以通过 自动语音系统调通话记录了，通话记录会传真到查询者的传真电话上。这比一个个地查完通话记录再给他们，更方便省事。其实这是通信公司的一个漏洞。 朝阳法院以非法经营罪判处5人有期徒刑2年6个月至有

3、期徒刑2年2个月,清明小长假一政府网被篡改成黄色网站,4月6日上午，有网友登录扬州市城乡建设局官方网站时吃惊地发现，网页竟然成了黄色网页！页面上充斥着衣着暴露的性感美女，搔首弄姿，十分不雅。 “网站变成黄色网站的准确时间是3日，也就是清明小长假的第一天，因为放假，我们并没有发现。今天上午9点节后一上班，我们就发现了这个问题。”昨日，扬州市城乡建设局信息中心朱主任接受记者采访时表示，他们的网站确实被黑客袭击了，被挂上了木马。这次已是今年第二次遭黑客攻击，第一次是在今年1月下旬，情况跟这次类似。朱主任表示，他们一上班发现网站“被色情”后，一直忙着维护，到12点多钟恢复了正常。朱主任同时表示，他们的

4、网站创建已经好几年了，比较老了，由于现在仍然缺乏相关的网络安全保护设备，所以网站两次遭到攻击。目前网站正在准备升级，在软件、硬件上都要投入，将网站代码进行升级，提高安全性。他还透露，今年内扬州市政府可能对政府各部门网站进行集中管理，进一步保障安全性。,7天酒店数据库被盗,在腾讯微博上，一个名为“刺客”的用户发言称，“出售7天假日所有联网中心数据，附带会员注册个人信息，会员等级，开房信息，个人积分等全部数据。”同时该用户还留下了一个联系邮箱。 记者通过网络查询后，得到了该用户的QQ号，在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员，想购买7天的会员数据库。在交流中，该黑客明确告诉记者他

5、手中确实有数据库，会员总数在600万左右。当记者称愿意出价1000元购买时，该黑客在等待了几分钟后，称自己比较忙，不卖了。随后连续几天，该黑客的QQ头像始终处于离线状态，记者发出的10多条消息也无一回复。 黑客通过SQL注入漏洞，入侵了服务器，并窃取了数据库。,什么是信息？,通常我们可以把信息理解为消息、信号、数据、情报和知识。 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件和软件 关键人员 组织提供的服务

6、 各类文档 具有价值的信息资产面临诸多威胁，需要妥善保护。,Information,信息安全定义,广义上讲 领域 涉及到网络信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论 本质上 保护 网络系统的硬件，软件，数据 防止 系统和数据遭受破坏，更改，泄露 保证 系统连续可靠正常地运行，服务不中断 两个层面 技术层面 防止外部用户的非法入侵 管理层面 内部员工的教育和管理,信息安全金字塔,审计,管理,加密,访问控制,用户验证,安全策略,信息安全的成败取决于两个因素：技术和管理。 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息

7、安全的重要性。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。,信息安全管理,安全管理观点,技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术

8、高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全 根本上说，信息安全是个管理过程，而不是技术过程,基于风险分析的安全管理方法,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制和处理 安全保证 信息安全策略方针为信息安全管理提供导向和支持。 控制目标与控制方式的选择应该建立在风险评估的基础上。 考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。 需要全员参与。 遵循管理的一般模式PDC

9、A模型。,ISO27001发展历程（由BS7799演变而来）,评估标准的发展历程,信息安全的CIA目标,保护信息的保密性、完整性和可用性 ISO17799,目录,1介绍 ISO27001认证过程和要点介绍 信息安全管理体系准备-风险评估 信息安全管理体系设计 信息安全管理体系实施 信息安全管理体系监控 信息安全管理体系改进,ISO27001认证过程-11个Domain,16,目录,介绍 ISO27001认证过程和要点介绍 信息安全管理体系准备-风险评估 信息安全管理体系设计 信息安全管理体系实施 信息安全管理体系监控 信息安全管理体系改进,Plan 阶段,定义ISMS的范围（从业务、组织、位置

10、、资产和技术等方面考虑） 定义ISMS策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明（SoA） 取得管理层对残留风险的承认和实施并操作ISMS的授权,组织实现信息安全的必要的、重要的步骤,了解组织的安全现状,分析组织的安全需求,建立信息安全管理体系的要求,制订安全策略和实施安防措施的依据,风险评估的目的,评估与安全防护的关系,风险管理全过程原理,21,识别并评价资产,识别并评估威胁,识别并评估弱点,现有控制确认,风险评价,接受,保持现有控制,选择控制目标和控制方式,实施选定的控制,Yes,No,确认并评估残留风险,定期

11、评估,22,对资产进行保护是信息安全和风险管理的首要目标。 划入风险评估范围和边界的每项资产都应该被识别和评价。 应该清楚识别每项资产的拥有者、保管者和使用者。 信息资产的存在形式有多种，物理的、逻辑的、无形的。 信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息； 软件资产：应用程序软件、系统软件、开发工具以及实用程序； 实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源 、空调器）、机房； 书面文件：包含系统文件、使用手册、各种程序及指引

12、办法、合约书等。 人员：承担特定职能和责任的人员； 服务：计算和通信服务，其他技术服务， 例如供暖、照明、水电、UPS,识别信息资产,识别并评估弱点,23,针对每一项需要保护的资产，找到其现实存在的弱点，包括： 技术性弱点：系统、程序、设备中存在的漏洞或缺陷。 操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。 管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。 弱点的识别途径： 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试 对弱点的评估需要考虑其严重程度（Severity）或暴露程度（

13、Exposure，即被利用的容易度）。 如果资产没有弱点或者弱点很轻微，就不存在风险问题。,24,识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）： 人员威胁：故意破坏和无意失误 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。 对威胁的评估，主要考虑其发生的可能性。评

14、估威胁可能性时要考虑威胁源的动机（Motivation）和能力（Capability）等因素。,识别并评估威胁,25,关于风险可接受水平,决策者应该根据公司实际情况来确定风险可接受水平,26,降低风险（Reduce Risk） 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。 减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。 规避风险（Avoid Risk） 或者Rejecting

15、Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转移风险（Transfer Risk） 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。,确定风险处理策略,27,依据风险评估的结果来选择安全控制措施。 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）： 基本原则：实施安全措施的代价不应该大于所要保

16、护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 除了成本效益，还应该考虑： 控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正） 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。,选择控制措施,28,资产评估 识别信息资产 评价信息资产 识别并评估弱点 安全漏洞工具扫描 人工评估 识别并评估威胁 网络架构分析 渗透测试,风险评估阶段流程,风险评价,降低风险,规避风险,转移风险,接受风险,控制措施,风险处置,评价残留风险,目录,ISO27001认证过程和要点介绍 ISO27001介绍 ISO27001信息安全管理体系准备-风险评估 ISO27001信息安全管理体系设计 ISO27001信息安全管理体系实施 ISO27001信息安全管理体系监控 ISO27001信息安全管理体系改进,DO阶