ISO27001信息安全培训基础知识课件.ppt

《ISO27001信息安全培训基础知识课件.ppt》由会员分享，可在线阅读，更多相关《ISO27001信息安全培训基础知识课件.ppt（35页珍藏版）》请在三一办公上搜索。

1、信息安全管理体系（ISMS）基础知识培训,目录,什么是信息什么是信息安全为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,目录,什么是信息什么是信息安全为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,目录,什么是信息,信息通常指消息、情报、数据和知识等，在ISO/IEC27001标准中信息是指对组织具有重要价值，可以通过多媒体传递和存储的一种资产。,什么是信息,什么是信息什么是信息安

2、全为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,什么是信息安全,信息安全的作用是保护信息业务涉及范围不受威胁所干扰，使组织业务畅顺，减少损失及增大投资回报和商机。在ISO/IEC27001标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。,什么是信息安全,什么是信息安全-信息的机密性,信息的机密性是

3、指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。,什么是信息安全信息的机密性,什么是信息安全信息的完整性,信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指信息处理方法的正确性，信息备份、系统恢复、销毁等处理不正当的操作，有

4、可能造成重要文件的丢失，甚至整个系统的瘫痪。,什么是信息安全信息的完整性,什么是信息安全信息的可用性,信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时及时恢复。,另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。,什么是信息安全信息的可用性,什么是信息什么是信息安全为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述信息安全

5、管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,为什么要实施信息安全管理,实施信息管理原因：自1987年以来，全世界已发现超过50000种计算机病毒，2000年爆发的“爱虫”病毒给全球用户造成了100亿美元的损失；美国每年因信息与网络安全问题所造成的损失高达75亿美元。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击，且成功进入率高达63%。然而，能对组织造成巨大损失的风险主要还是来源于组织内部，国外统计结果表明企业信息受到的损失中，70%是由于内部员工的疏忽或有意泄密造成。,为什么要实施信息安全管理,实施信息管理原因：多数计算机使用者很少接受严格的信息安

6、全意识培训，每天都在以不安全的方式处理企业的大量重要信息，而且企业的合作单位、咨询机构等外部人员都以不同的方式使用企业的信息系统，对企业的信息系统构成了潜在的威胁。如员工为了方便记忆系统登录口令而在明显处粘一便条，就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密资料，甚至破坏关键信息系统作为报复企业，致使企业蒙受了巨大的经济损失。,为什么要实施信息安全管理,实施信息管理原因：目前单一的技术手段已难以解决企业信息安全问题，只有建立一套完善的信息安全管理流程并严格执行，才能有效降低信息安全风险，保障企业信息业务的连续性。

7、,实施信息管理必然性：实践证明信息安全是个复杂的系统问题，解决系统性安全问题，必须以系统的方法来解决，建立管理体系(明确方针和目标并实现这些目标的体系，是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS)，信息安全管理体系通过固化信息安全管理范围，制定信息安全管理策略方针与与目标，明确信息安全管理职责、落实控制目标并选择控制措施进行管控，全面系统保障管理信息的安全。,从系统论观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。信息安全管理体系通过不断的识别组织和相关方的信息安

8、全要求，不断的识别外界环境和组织自身的变化，不断的学习采用最新的管理理念和技术手段，不断的调整自己的目标、方针、程序和过程等，才可以实现持续的安全。本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认证是不必要的。,实施信息管理必然性：,为什么要实施信息安全管理,如果因为预算困难或其他原因，不能一下子降低所有不可接受风险到可接受程度时，能否通过体系认证，也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整，是否运行正常，是否有重大的信息安全风险没有得到识别和评估。有小部分的风险暂时得不到有效处置是允许的，当然“

9、暂时接受”的不可接受风险不可以包括违背法律法规的风险。,实施信息管理必然性：,为什么要实施信息安全管理,什么是信息什么是信息安全为什么实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,ISMS概述,本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及

10、其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。本标准可被相关的内部方和外部方运用以评估一致性。,ISMS概述,什么是信息什么是信息安全为什么实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,ISMS标准体系ISO/IEC27000族介绍,27007信息安全管理体系 审核指南,ISO/IEC27000族,27000-信息安全管理体系 综述与术语,27001-信息安全管理体系 要求,27002-信息安全管理体系 实践规范,27003-信息安全管理体系

11、实施指南,27004-信息安全管理体系 测量,27005-信息安全管理体系信息安全风险管理,27006-信息安全管理体系认证机构要求,ISMS介绍-ISO/IEC27000族发布时间,ISO/IEC 177992005 信息安全管理实施细则,于2005年6月15日正式发布；ISO/IEC 27001 信息安全管理体系要求，于2005年10月15日正式发布；ISO/IEC 27002 信息安全管理体系最佳实践，于2007年4月正式发布；ISO/IEC 27003 信息安全管理体系实施指南，正在ISMS标准的工作组研究并征求意见阶段；ISO/IEC 27004 信息安全管理度量和改进，正在委员会草

12、案阶段；ISO/IEC 27005 信息安全风险管理指南，以2005年底刚刚推出的BS 7799-3为准。,ISMS介绍-ISO/IEC27001信息安全管理体系与其它体系兼容性,ISO9001：2008 质量管理体系ISO14001：2004 环境管理体系ISO/TS16949：2009 汽车行业质量管理体系TL9000：通信行业质量管理体系IEC QC080000：2005 有害物质过程管理体系ISOIEC20000：,什么是信息什么是信息安全为什么实施信息安全管理 信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点,A.6信息安全

13、组织,A.8人力资源安全,A.7资产管理,A.12系统获取开发和维护,A.9物理和环境安全,A.5信息安全方针,A.14业务持续性管理,A.10通信和操作管理,A.13信息安全事件管理,A.11访问控制,A.15符合性,ISO/IEC27001控制大项,A.16教育培训,ISMS控制大项说明,安全方针：制定信息安全方针，为信息安全提供管理指导和支持，并定期评审；信息安全组织：建立信息安全基础设施，管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，确保信息的安全。资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保

14、护。人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或误用设施的风险。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,物理与环境安全：定义安全区域，防止对办公场所和信息的未授权访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或被盗，以及对业务活动的干扰；同时，还要做好一般控制，防止信息和信息处理设施的损坏或被盗。通讯和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险减到最低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信息备份和网络安全

15、管理，确保信息在网络中的安全，确保其支持性基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,访问控制：制定文件化的访问控制策略，避免信息系统的未授权访问，并让用户了解其职责和义务，包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用，定期检测未授权的活动；当使用移动办公和远程工作时，也要确保信息安全。信息系统的获取、开发和维护：标识系统的安全要求，确保安全成为信息系统的内置部分；控制应用系统的安全，防止应用系统中用户数据的丢失、被

16、修改或误用；通过加密手段保护信息的保密性、真实性和完整性；控制对系统文件的访问，确保系统文档的安全；严格控制开发和支持过程，维护应用系统软件和信息的安全。,ISO/IEC27001控制大项-管理内容,ISMS控制大项说明,信息安全事故的管理：报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。业务连续性管理：目的是为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响，并确保他们的及时恢复。符合性：信息系统的设计、操作、使用和管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审核，使系统审核过程的效力最大化、干扰最小化。,ISO/IEC2700

17、1控制大项-管理内容,ISO/IEC27001信息安全管理体系将信息安全管理的内容划分为11个控制域，39个信息安全管理的控制目标，133项安全控制措施，以下是12项管理大项关系图。,ISMS实施控制重点-信息安全管理体系构成,ISMS实施控制重点-ISMS构成管理内容,信息安全管理体系构成-管理内容,信息安全管理体系构成-管理内容,ISMS实施控制重点-ISMS构成管理内容,信息安全管理体系PDCA模型,采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS,信息安全管理体系PDCA模型,信息安全管理体系PDCA模型方法,信息安全管理体系PDCA模型方法,ISMS与等级保护,ISMS信息安全管理体系与等级保护对比,ISMS信息安全管理体系与等级保护对比,