《某公司信息安全管理体系基础培训教材.ppt》由会员分享,可在线阅读,更多相关《某公司信息安全管理体系基础培训教材.ppt(178页珍藏版)》请在金锄头文库上搜索。
1、中远网络(北京)有限公司信息安全管理体系基础培训,北京安言信息技术有限公司,欢迎您参加这次信息安全管理体系基础知识培训班,本课程是我们特意为北京中远网络公司度身定制的,旨在引领大家理解信息安全管理最佳实践,以便更好地开展即将启动的项目。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好时光。 关于课程内容及授课效果的意见和建议,请及时反馈给我们,以便我们改进自身工作。 再次欢迎您的参与,真诚感谢您的支持与合作!,我们的目标,理解信息、信息安全和信息安全管理 理解信息安全风险评估与风险管理 理解BS7799/ISO27001标准本身的条款内容 掌握一种实施ISMS的方法和途径 了解ISO2
2、7001认证的完整过程 用ISO27001指导企业进行信息安全的各项活动,第一部分 信息安全概述 BS7799/ISO27001简介 信息安全管理与认证之道 第二部分 风险评估与管理过程及方法 Part1信息安全管理实施细则 Part2信息安全管理体系规范 总结和展望,内容目录,积极参与,小组讨论,活跃气氛 遵守时间 请将移动电话设置为震动 有问题请随时提出,课堂注意事项,让我们开始吧!,什么是信息? 什么是信息安全? 为什么要强调信息安全管理? 怎样做好信息安全管理? 什么是BS7799/ISO27001? BS7799/ISO27001对信息安全管理有什么指导意义? 信息安全管理体系如何认
3、证?,需要首先搞清楚的几个问题,第一部分 信息安全概述 BS7799/ISO27001简介 信息安全管理与认证之道 第二部分 风险评估与管理过程及方法 Part1信息安全管理实施细则 Part2信息安全管理体系规范 总结和展望,什么是信息?,信息安全概述,什么是信息?,Information,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服
4、务 具有价值的信息资产面临诸多威胁,需要妥善保护,有价值的内容 ISO9000,信息安全概述,企业信息安全管理关注的信息类型,内部信息,组织不想让其竞争对手知道的信息,客户信息,顾客/客户不想让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,信息安全概述,信息的处理方式,创建,传递,销毁,存 储,使用,更改,信息安全概述,什么是信息安全?,信息安全概述,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,信息安全概述,信息安全的发展历史,20世纪60年代前,60年代
5、到80年代,20世纪80年代末以后,电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全,即COMSEC,计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全,即INFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准,互联网技术飞速发展,信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性,并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障(Information Assurance),从整体角度考虑安全体系建设 美国的IATF规范,信息安全概述,信息安全基本目标,信息安全
6、概述,企业重大泄密事件屡屡发生,信息安全概述,敏感信息遭受篡改也会导致恶劣后果,信息安全概述,破坏导致系统瘫痪后果非常严重,信息安全概述,C,保密性(Confidentiality) 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性(Integrity) 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。,可用性(Availability) 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:,C.I.
7、A.和D.A.D.,I,A,信息安全概述,Confidentiality 机密性,Availability 可用性,Integrity 完整性,信息安全概述,其他概念和原则,私密性(Privacy) 个人和组织控制私用信息采集、存储和分发的权利。 身份识别(Identification) 用户向系统声称其真实身份的方式。 身份认证(Authentication) 测试并认证用户的身份。 授权(Authorization) 为用户分配并校验资源访问权限的过程。 可追溯性(Accountability) 确认系统中个人行为和活动的能力。 抗抵赖性(Non-repudiation) 确保信息创建者就
8、是真正的发送者的能力。 审计(Audit) 对系统记录和活动进行独立复查和审核,确保遵守性,信息安全概述,信息安全的重要性,信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通
9、过技术手段获得的安全是有限的,还应该通过恰当的管理和程序来支持,信息安全概述,法律法规与 合同要求,组织原则目标和业务需要,风险评估的结果,从什么方面考虑信息安全?,信息安全概述,常规的技术措施,物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪
10、技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份,信息安全概述,信息安全概述,有没有更好的途径?,信息安全概述,信息安全管理,信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。 信息安全管理(Information Security Management)是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对
11、象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。,信息安全概述,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理,信息安全概述,调查显示有8成企业安全管理不理想,信息安全概述,各行业安全管理状况都不容乐观,信息安全概述,安全管理各方面能力都很低下,信息安全
12、概述,信息安全管理应该是体系化的,信息安全必须从整体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子 这就是信息安全管理体系,它应该成为组织整体经营管理体系的一部分,务必重视信息安全管理 加强信息安全建设工作,信息安全概述,怎样实现信息安全?,信息安全概述,通常的信息安全建设方法,采购各种安全产品,由产品厂商提供方案: 防病毒,防火墙,IDS,Scanner,VPN等 通常由IT部门的技术人员兼职负责日常维护,甚至根本没有日常维护 这是一种以产品为核心的信息安全解决方案 这种方法存在众多不足: 难以确定真正的需求:保护什么?保护对象的
13、边界?保护到什么程度? 管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估,对风险的认识很不全面 这种方法是“头痛医头,脚痛医脚”,很难实现整体安全 不同厂商、不同产品之间的协调也是难题,信息安全概述,真正有效的方法,技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全 根本上说,信息安全是个管理过程,而不是技术过程,信息安全概述,对信息
14、安全的正确认识,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,信息安全概述,基于风险分析的安全管理方法,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证 信息安全策略方针为信息安全管理提供导向和支持。 控制目标与控制方式的选择应该建立在风险评估的基础上。 考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。 对风险实施动态管理。 需要全员参与。 遵循管理的一般模式PDCA模型。,信息安全概述,安全管理模型 PDCA,
15、根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施,改进安全状况。,依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,信息安全概述,BS 7799定义的信息安全管理体系,设定信息安全的方向和目标,定义管理层承诺的策略,确定安全需求,根据需求采取措施消减风险,以实现既定安全目标,信息安全概述,ISMS必须明确的内容,要保护的资产,控制目标和控制措施,需要保证的程度,风险管理的途径,信息安全概述,实施ISMS的过程,定义ISMS的范围 定义ISMS策略 定义一个系统化的风险管理途径 识别风险 评估风
16、险 识别并评价风险处理的可选方案 选择控制目标和控制措施,以便处理风险 准备适用性声明(SoA) 获得管理层批准,信息安全概述,ISMS是一个文档化的体系,对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明(SoA) 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件 证据 能够表明组织按照BS7799要求采取相应步骤而建立了管理框架 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性,信息安全概述,实施ISMS的关键成功因素(CSF),安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立衡量体系,用来评估信息安全管理
