ISMS信息安全管理培训课件.ppt

ISMS信息安全管理培训课件,2.ISO/IEC27001：2005标准内容3.ISMS信,ISO27001背景介绍,ISO27001背景介绍BS7799,ISO27001背景介绍,ISO27001背景介绍ISO/IEC 27002(1779,ISO27001背景介绍,ISO27001背景介绍ISO/IEC 27001:2005,ISO/IEC27001：2005标准内容,ISO/IEC27001：2005包括11个方面，39个控制目标，133个控制措施,ISO/IEC27001：2005标准内容ISO/IEC27,ISMS信息安全管理系统,ISMS信息安全管理系统重点内容,ISMS信息安全管理系统,ISMS信息安全管理系统PDCA,ISMS信息安全管理系统,ISMS信息安全管理系统PDCA与ISMS的结合,ISMS信息安全管理系统,重点章节ISMS信息安全管理系统,ISMS信息安全管理系统,ISMS信息安全管理系统信息安全管理体系,ISMS信息安全管理系统,ISMS信息安全管理系统信息安全管理体系,ISMS信息安全管理系统,ISMS信息安全管理系统信息安全管理体系,ISMS信息安全管理系统,ISMS信息安全管理系统信息安全管理体系,ISMS信息安全管理系统,ISMS信息安全管理系统信息安全管理体系,ISMS信息安全管理系统,管理职责ISMS信息安全管理系统,ISMS信息安全管理系统,ISMS内审ISMS信息安全管理系统ISMS管理评审,ISMS信息安全管理系统,持续改进ISMS信息安全管理系统,信息安全的实施,信息安全的实施资产的识别,信息安全的实施,信息安全的实施资产的分类,信息安全的实施,信息安全的实施资产的分类,信息安全的实施,信息安全的实施资产的分类,保密性Confidentiality： 信息不能被未授权的个人、实体或者过程利用或知悉的特性。完整性Integrity保护资产的准确和完整的特性。可用性Availability：根据授权实体的要求可访问和利用的特性,信息安全的实施,保密性Confidentiality：信息安全的实施信息安,信息资产根据其在保密性(C)、完整性(I)、可用性(A)三个属性所表现出的不同的重要程度，分为很低(赋值0)、低(赋值1) 、中(赋值2) 、高(赋值3) 、很高(赋值4)五级。资产评估的结果填写在资产识别与评估表中。信息资产的价值取其C、I、A三个特性中最高的一个，价值大于2的信息资产为重要信息资产，对所有的重要信息资产必须进行风险评估。,信息安全的实施,信息资产根据其在保密性(C)、完整性(I)、可用性(A)三个,各部门识别完资产后，参考风险评估与处理表中“弱点清单”，识别资产的弱点，并对弱点被利用的严重程度进行评价。弱点的严重性取值为低(1)、中(2)、高(3)、很高(4)。弱点被利用的严重性赋值结果记录在风险评估与处理表中。,信息安全的实施,弱点是资产本身存在的某种缺陷，一旦被外部威胁所利用，就可能使资产受到损害。,各部门识别完资产后，参考风险评估与处理表中“弱点清单”，,各部门识别完资产的弱点后，参考风险评估与处理表中“威胁清单”，识别资产的威胁，并对威胁发生的可能性进行评价。威胁发生的可能性取值为低(1)、中(2)、高(3)、很高(4)。在评估威胁发生的可能性时，应先识别现有的控制措施，结合现有的安全控制措施、威胁利用的资产自身的薄弱点来综合考虑，并将评价结果记录在风险评估与处理表中。,信息安全的实施,威胁是利用弱点而侵害资产的外在因素。威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类，每一类里面都会有许多威胁形式。,各部门识别完资产的弱点后，参考风险评估与处理表中“威胁清,风险值 = 信息资产价值 威胁可能性 弱点严重性其中：信息资产价值 = MAX( C, I, A)。根据计算得出的风险值划分风险等级标准为：对于4级和3级风险，须采取控制措施；对于2级风险，可选择性采取控制措施；对于1级风险，认为是可接受的风险，不作进一步处理。,信息安全的实施,风险值 = 信息资产价值 威胁可能性 弱点严重性信息安,对于需要采取措施来控制风险的，一般会有四种处理策略：(1)转移风险； (2)规避风险；(3)消减风险；(4)接受风险。结合信息安全管理体系标准的133个控制要素选择对应的控制项，将结果记录在风险评估与处理表中。,信息安全的实施,对于需要采取措施来控制风险的，一般会有四种处理策略：(1)转,各部门根据风险处理策略，制定风险处理措施，记录在风险处理计划中。,信息安全的实施,信息安全的实施风险处理计划,各部门应再次评价风险处理措施实施之后的风险，看风险值是否在可接受水平之下。对于不在可接受水平以内（风险值大于9）的风险，应填写残余风险审批申请表，及时汇报给管理层并经管理层确认。,信息安全的实施,各部门应再次评价风险处理措施实施之后的风险，看风险值是否在可,各部门信息安全员汇总本部门整个风险识别及处理结果，提交到体系推行及审核组，由体系推行及审核组编写风险评估报告，详细汇报资产调查情况、识别的弱点、面临的威胁以及准备采取的一些风险控制措施及残余风险处理情况，并将风险处理计划作为此报告的附件一并上报管理者代表。,信息安全的实施,各部门信息安全员汇总本部门整个风险识别及处理结果，提交到体系,固定资产的安全管理包括采购、入库、领用、出库、调拨、盘点、维修等。具体参考固定资产管理制度。,信息安全的实施,固定资产的安全管理包括采购、入库、领用、出库、调拨、盘点、维,公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财务信息等，确保重要资产不被泄露，各部门须根据重要资产分类制定相应的管理规定。,资产安全管理,公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财,资产安全管理,重要数据资产安全资产安全管理,资产安全管理,人员安全资产安全管理,网络管理员负责制定网络安全规范和网络访问策略，并管理网络设备。根据风险评估结果，网络管理员制定网络建设和维护方案。,资产安全管理,36,网络管理员负责制定网络安全规范和网络访问策略，并管理网络设备,资产安全管理,网络安全资产安全管理,资产安全管理,38,网络安全资产安全管理38,资产安全管理,信息系统安全资产安全管理,资产安全管理,信息系统安全资产安全管理,资产安全管理,信息系统安全资产安全管理,资产安全管理,信息系统安全资产安全管理,资产安全管理,信息系统安全资产安全管理,资产安全管理,信息系统安全资产安全管理,系统的容量、变更、发布、配置管理由系统管理员负责，具体流程参考内部IT系统运维规范。,资产安全管理,系统的容量、变更、发布、配置管理由系统管理员负责，具体流程参,机房的安全管理从机房的日常环境监控、机房布线、异常事件处理、秩序管理及消防安全方面进行规定，由网络管理员全面负责，具体要求参考机房管理制度，全体员工须遵守制度中的要求。,机房管理,机房的安全管理从机房的日常环境监控、机房布线、异常事件处理、,法律合规性管理,法律合规性管理,所有员工均有义务及时上报信息安全事件至事件响应小组，事件处理人填写信息安全事件报告处理单。报告机制按照公司应急事件处理流程规定执行。,信息安全事件管理,所有员工均有义务及时上报信息安全事件至事件响应小组，事件处理,信息安全的应急管理每年3月份由体系推行及审核组负责组织实施。,应急管理,信息安全的应急管理每年3月份由体系推行及审核组负责组织实施。,应急管理,应急管理,运行检查,运行检查,有效性测量,运营管理部负责有效性测量的组织和策划，负责分析测量结果，编制并提交测量报告。,有效性测量运营管理部负责有效性测量的组织和策划，负责分析测量,有效性测量,有效性测量,有效性测量,运营管理部对收集到的各种测量结果与信息安全管理体系的管控目标进行对比，以此衡量体系的有效性。对管理目标的达成情况，运营管理部负责每季度进行测量，对于分析结果提出改进建议，将具体情况记录在信息安全管理体系季度工作报告中。必要时根据统计分析数据实施对信息安全风险再评估，并制定相应的风险处理措施,以防止相同事件的再发生或降低发生的可能性。季度的测量报告作为管理评审的重要输入文件，从整体上评估体系运行的效果，为管理决策层提供量化的数据。同时考虑业务的变化与拓展等因素，结合SoA，及时修订相应的控制措施、目标、策略等相关规定。,有效性测量运营管理部对收集到的各种测量结果与信息安全管理体系,谢 谢！,谢 谢！,