信息安全管理培训课件.ppt

,信 息 安 全,培训对象：高级组长及以上,培训目标,1、认识到信息安全管理的重要性2、了解到信息安全的重点在于管理3、熟练信息安全管理的工作内容,信息安全,目录,一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目标五、实现信息安全的意义六、信息安全的需求来源七、如何做好信息安全整体规划八、如何实现信息安全,信息安全案例,共享打印机带来的问题,文件带来的问题,泄露给别人,打印机密文件,结果：损失200万,结果：损失1000万,提高安全意识，加强安全预防，注重安全管理,什么是信息,以下哪些属于信息?,数据,专利,计算机,文件,声音,纸张,什么是信息,定义：,是事物运动的状态与方式，是物质的一种属性。,文件,数据,图像,信息实例,特征： 依附载体；可传递；可共享；可存储；时效性,什么是信息安全,定义：,保护信息资产免遭恶意破坏，保证业务连续可靠运行。,硬件,软件,数据,信息资产,基本目标,保密性,完整性,可用性,不被篡改,不会泄漏,随时访问,实现信息安全的意义,能保证企业的业务活动稳定有效的运作提高客户满意度,业务运作,信息安全需求来源,法律规定、客户组织要求,法律及合约的要求：,组织的目标及规定：,企业为保证业务连续性而要求,风险评估的结果：,对存在的弱点，威胁的改进要求,如何做好信息安全整体规划,目标Objective：明确信息安全建设的核心目标。对象Object：明确保护对象（信息资产）：关键数据、应用系统、实物资产、设施和环境，以及人员。规范Document：制定可实施的一套方针、标准、指南、程序和规范要求文件，为所有信息安全活动提供指导，最终实现信息安全需求。,过程Process：P:信息安全先做规划，明确需求，制定应对方案；D:实施解决方案；C:通过检查，巩固成果，发现不足；A:采取后续措施，改进不足，推动信息安全持续进步。,如何做好信息安全整体规划,如何建设ISMS,ISMS定义：安全信息管理体系从建立、实施、监控、改进信息安全的系列管理活动,计划阶段（P）：,如何建设ISMS,实施阶段（D）：,如何建设ISMS,检查与改进阶段（C，A）：,如何建立ISMS文件体系,如何建立ISMS文件体系,如何实现信息安全,一、安全技术二、安全管理,三分靠技术，七分靠管理,如何实现信息安全,安全技术：,如何实现信息安全,安全管理：解决三大问题,组织,制度,人员,建设组织机构并明确责任,建立安全管理制度体系,加强人员的安全意识，并进行安全教育培训,信息安全管理内容,三分靠技术，七分靠管理,信息安全管理内容,安全策略,1、信息安全策略制定信息安全策略文件定期复查信息安全策略,企业级的安全方针部门级的安全策略个人级的安全策略,信息安全管理内容,组织信息安全,1、内部组织： 分派信息安全责任 制定保密协议；常对信息安全作评审2、外部组织：识别与外部伙伴的风险与客户交往时应注意安全第三方协议中注明安全,信息安全管理内容,资产管理,1、资产责任：资产清单资产属主对资产的可接受使用2、资产分类：确保信息资产得到适当级别的保护分类指南信息标注与处理,信息安全管理内容,人力资源安全,1、聘用前：定义雇员角色和责任筛选合适人员制定聘用条件条款2、聘用间：提供员工安全教育培训制定奖罚机制3、解聘后/职位变更：制定解聘责任要求员工返还资产去除员工访问权限重定义员工转岗时的角色责任及利用的资产,信息安全管理内容,物理与环境管理,1、安全区域：防止非授权的访问安全区边界物理安全边界控制物理入口（安装防盗门锁之类）制定场所、房间、设施保护规则在安全区域内工作2、设备安全：防止资产丢失、破坏 设备的安置与保护供电电缆安全设备维护设备报废的安全,信息安全管理内容,通信与操作管理,1、操作程序和责任：操作程序的文档化变更管理2、第三方服务交付管理：服务交付监督第三方服务第三方服务变更管理3、系统规划验收: 容量管理,对于共享文件应存放在公告目录中，发内部邮件时最好不加附件，而使用超链接导航到文件,信息安全管理内容,4、抵卸恶意代码：恶意代码控制5、备份:信息备份6、网络安全管理：网络管理控制网络服务安全控制7、介质处理：移动介质管理规定8、监视：发现非授权活动监视系统使用操作日志问题日志,信息安全管理内容,1、访问控制的业务需求：控制对信息的访问访问控制策略2、用户访问管理：授权用户对系统的访问用户注册权限管理口令管理3、用户责任：口令使用在操作无人值守的设备时要注意信息安全,访问控制,信息安全管理内容,4、网络访问控制：授权用户访问网络网络服务使用策略对连接用户进行身份确认端口保护及控制网络连接控制网络路由控制5、操作系统访问控制：安全的登录程序身份识别口令管理会话超时限制连接时间,信息安全管理内容,1、信息系统的安全需求：安全需求分析与规范2、应用程序中的正确处理：数据验证内部处理控制输出数据验证3、密码控制：密码控制使用策略4、程序文件的安全：控制运营系统上的软件保护系统测试数据对源代码的访问控制,系统开发与维护,5、开发与支持过程的安全： 变更控制程序 运营系统变更后应做评审 信息泄漏6、技术漏洞管理： 控制技术漏洞,信息安全管理内容,控制目标,1、报告安全事件与缺陷： 报告安全事件 报告安全缺陷2、管理安全事件与改进： 责任与程序 从事件中吸取教训,信息安全事件管理,要将安全事件及问题解决方案存档，作为组织过程资产.,信息安全管理内容,1、业务连续性管理的信息安全方面：业务过程中考虑信息安全风险评估,业务连续性管理,信息安全管理内容,1、符合法律要求：知识产权数据保护和个人信息隐私2、符合安全策略和标准：符合安全性策略技术符合性检查,符合性,Thank you,