信息安全管理基础培训ppt课件.ppt
《信息安全管理基础培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全管理基础培训ppt课件.ppt(178页珍藏版)》请在三一办公上搜索。
1、中远网络(北京)有限公司信息安全管理体系基础培训,北京安言信息技术有限公司,欢迎您参加这次信息安全管理体系基础知识培训班,本课程是我们特意为北京中远网络公司度身定制的,旨在引领大家理解信息安全管理最佳实践,以便更好地开展即将启动的项目。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好时光。 关于课程内容及授课效果的意见和建议,请及时反馈给我们,以便我们改进自身工作。 再次欢迎您的参与,真诚感谢您的支持与合作!,我们的目标,理解信息、信息安全和信息安全管理理解信息安全风险评估与风险管理理解BS7799/ISO27001标准本身的条款内容掌握一种实施ISMS的方法和途径了解ISO27001
2、认证的完整过程用ISO27001指导企业进行信息安全的各项活动,第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望,内容目录,积极参与,小组讨论,活跃气氛遵守时间请将移动电话设置为震动有问题请随时提出,课堂注意事项,让我们开始吧!,什么是信息? 什么是信息安全? 为什么要强调信息安全管理? 怎样做好信息安全管理? 什么是BS7799/ISO27001? BS7799/ISO27001对信息安全管理有什么指导意义? 信息安全管理体系如何认证?,需要首先搞清楚的几个问题,
3、第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望,什么是信息?,信息安全概述,什么是信息?,Information,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护
4、,有价值的内容 ISO9000,信息安全概述,企业信息安全管理关注的信息类型,内部信息,组织不想让其竞争对手知道的信息,客户信息,顾客/客户不想让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,信息安全概述,信息的处理方式,创建,传递,销毁,存 储,使用,更改,信息安全概述,什么是信息安全?,信息安全概述,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,信息安全概述,信息安全的发展历史,20世纪60年代前,60年代到80年代,20世纪80年代末以后,电话、电报、
5、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全,即COMSEC,计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全,即INFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准,互联网技术飞速发展,信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性,并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障(Information Assurance),从整体角度考虑安全体系建设 美国的IATF规范,信息安全概述,信息安全基本目标,信息安全概述,企业重大泄密事件屡屡发生,信息安全概述,敏
6、感信息遭受篡改也会导致恶劣后果,信息安全概述,破坏导致系统瘫痪后果非常严重,信息安全概述,C,保密性(Confidentiality) 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性(Integrity) 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。,可用性(Availability) 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:,C.I.A.和D.A.D.,I,A,信息安全概述,Con
7、fidentiality 机密性,Availability 可用性,Integrity 完整性,信息安全概述,其他概念和原则,私密性(Privacy) 个人和组织控制私用信息采集、存储和分发的权利。 身份识别(Identification) 用户向系统声称其真实身份的方式。 身份认证(Authentication) 测试并认证用户的身份。 授权(Authorization) 为用户分配并校验资源访问权限的过程。 可追溯性(Accountability) 确认系统中个人行为和活动的能力。 抗抵赖性(Non-repudiation) 确保信息创建者就是真正的发送者的能力。 审计(Audit) 对系
8、统记录和活动进行独立复查和审核,确保遵守性,信息安全概述,信息安全的重要性,信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的,还应该通过恰当的管
9、理和程序来支持,信息安全概述,法律法规与合同要求,组织原则目标和业务需要,风险评估的结果,从什么方面考虑信息安全?,信息安全概述,常规的技术措施,物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单
10、机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份,信息安全概述,信息安全概述,有没有更好的途径?,信息安全概述,信息安全管理,信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。 信息安全管理(Information Security Management)是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。 现实世界里大多数安全事件的
11、发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。,信息安全概述,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理,信息安全概述,调查显示有8成企业安全管理不理想,信息安全概述,各行业安全管理状况都不容乐观,信息安全概述,安全管理各方面能力都很低下,信息安全概述,信息安全管理应该是体系化的,信息安全必须从整
12、体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子 这就是信息安全管理体系,它应该成为组织整体经营管理体系的一部分,务必重视信息安全管理加强信息安全建设工作,信息安全概述,怎样实现信息安全?,信息安全概述,通常的信息安全建设方法,采购各种安全产品,由产品厂商提供方案: 防病毒,防火墙,IDS,Scanner,VPN等 通常由IT部门的技术人员兼职负责日常维护,甚至根本没有日常维护 这是一种以产品为核心的信息安全解决方案 这种方法存在众多不足: 难以确定真正的需求:保护什么?保护对象的边界?保护到什么程度? 管理和服务跟不上,对采购产品
13、运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估,对风险的认识很不全面 这种方法是“头痛医头,脚痛医脚”,很难实现整体安全 不同厂商、不同产品之间的协调也是难题,信息安全概述,真正有效的方法,技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全 根本上说,信息安全是个管理过程,而不是技术过程,信息安全概述,对信息安全的正确认识,安全不是产品的简单堆积,也不是一次性
14、的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,信息安全概述,基于风险分析的安全管理方法,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证 信息安全策略方针为信息安全管理提供导向和支持。 控制目标与控制方式的选择应该建立在风险评估的基础上。 考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。 对风险实施动态管理。 需要全员参与。 遵循管理的一般模式PDCA模型。,信息安全概述,安全管理模型 PDCA,根据风险评估结果、法律法规要求、组织业务运作自身需要
15、来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施,改进安全状况。,依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,信息安全概述,BS 7799定义的信息安全管理体系,设定信息安全的方向和目标,定义管理层承诺的策略,确定安全需求,根据需求采取措施消减风险,以实现既定安全目标,信息安全概述,ISMS必须明确的内容,要保护的资产,控制目标和控制措施,需要保证的程度,风险管理的途径,信息安全概述,实施ISMS的过程,定义ISMS的范围 定义ISMS策略 定义一个系统化的风险管理途径 识别风险 评估风险 识别并评价风险处理的可选方案 选择控制目标和控制
16、措施,以便处理风险 准备适用性声明(SoA) 获得管理层批准,信息安全概述,ISMS是一个文档化的体系,对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明(SoA) 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件 证据 能够表明组织按照BS7799要求采取相应步骤而建立了管理框架 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性,信息安全概述,实施ISMS的关键成功因素(CSF),安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支
17、持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立衡量体系,用来评估信息安全管理体系的表现,提供反馈建议供改进,信息安全概述,第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望,英国标准协会(BSI),英国标准学会(British Standards Institution,BSI)
18、著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构英国标准学会(BSI)是世界上最早的全国性标准化机构,它受政府控制但得到了政府的大力支持。 BSI不断发展自己的工作队伍,完善自己的工作机构和体制, 把标准化和质量管理以及对外贸易紧密结合起来开展工作 BSI的宗旨: 1. 为增产节约努力协调生产者和用户之间的关系,促进生产, 达到标准化(包括简化)2. 制定和修订英国标准,并促进其贯彻执行3. 以学会名义,对各种标志进行登记,并颁发许可证4. 必要时采取各种行动,保护学会利益,BS 7799简介,国际标准化组织(ISO),国际标准化组织(Internatio
19、nal Organization for Standardization,ISO) 国际标准化组织是世界上最大的非政府性标准化专门机构, 它在国际标准化中占主导地位。 ISO的主要活动是制定国际标准,协调世界范围内的标准化工作,组织各成员国和技术委员会进行报交流,以及与其他国际性组织进行合作,共同研究有关标准问题。 随着国际贸易的发展,对国际标准的要求日益提高,ISO的作用也日趋扩大,世界上许多国家对ISO也越加重视。 ISO的目的和宗旨是:在世界范围内促进标准化工作的发展, 以利于国际物资交流和互助,并扩大在知识、科学、技术和经济 方面的合作。,BS 7799简介,什么是BS 7799?,英
20、国标准协会(British Standards Institute,BSI)制定的信息安全标准。 由信息安全方面的最佳惯例组成的一套全面的控制集。 信息安全管理方面最受推崇的国际标准。,BS 7799简介,BS 7799的目的,为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信。,BS 7799简介,BS 7799的历史沿革,1990年代初 英国贸工部(DTI)成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理
21、实施细则,形成BS 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实施细则。 1998年2月 英国公布BS 7799-2:信息安全管理体系规范。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799:2000信息技术信息安全管理实施细则。 2002年9月 BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-2:1999)使用。 2005年6月 ISO17799:2000改版,成为ISO177
22、99:2005。 2005年10月 ISO正式采用BS7799-2:2002,命名为ISO 27001:2005。,BS 7799简介,BS 7799的发展现状,BS 7799技术委员会是BSI-DISC Committee BDD/2,成员包括: 金融服务:英国保险协会,渣打会计协会,汇丰银行等 通信行业:大英电讯公司等 零售业:Marks and Spencer plc 国际组织:壳牌,联合利华,毕马威(KPMG)等 目前除英国之外,国际上已有荷兰(SPE20003)、丹麦和瑞典(SS627799)、挪威、芬兰、澳大利亚和新西兰(AS/NZS4444)、南非、巴西、日本(JIS X 508
23、0)等国采用BS 7799。 我国的台湾、香港地区也在推广该标准。 日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极。 全球目前有2000多家机构通过了BS 7799/ISO27001认证,涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。(可查询http:/ 目前大陆地区通过信息安全管理体系认证的有近30家。,BS 7799简介,截至2006年初,全球通过BS7799/ISO27001认证的有2000多家机构http:/,BS 7799简介,BS 7799认证的发展趋势图,此图摘自http:/www.gammassl.co.uk/,2003年2月前,到20
24、05年底,BS 7799简介,建立ISMS并通过认证的意义,可以强化员工的信息安全意识,规范组织信息安全行为。 对组织的关键信息资产进行全面系统的保护,维持竞争优势。 在信息系统受到侵害时,确保业务连续开展并将损失降到最低程度。 向贸易伙伴证明对信息安全的承诺,使贸易伙伴和客户对组织充满信心。 如果通过体系认证,表明组织的信息安全体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度。 促使管理层坚持贯彻信息安全保障体系。,BS 7799简介,ISO17799/ISO27001的内容框架,ISO17799:源自BS7799-1。工具包,体现了三分技术七分管理的思想 ISO27001
25、:源自BS7799-2。框架体系,是建立信息安全管理系统(ISMS)的一套规范,一个完整的解决方案,BS 7799简介,新版本的变化特点,ISO17799:2005 从10个域变到11个域,增加了“信息安全事件管理” 去掉了9项控制,增加了17项控制,一共有133项控制 加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求 BS7799-2:2002 ISO27001:2005(略做修改) 附录引向ISO17799:2005 原来的条款6(管理评审)分成现在的6(内审)、7(管理评审)两个部分 ISO17799:2000 GB/T 19716:2005,BS 7799简介,BS7799的输
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 基础 培训 ppt 课件
链接地址:https://www.31ppt.com/p-1679165.html