信息安全管理體系相關(guān)知識(shí)培訓(xùn)課件

1、信息安全管理體系信息安全管理體系相關(guān)知識(shí)培訓(xùn)相關(guān)知識(shí)培訓(xùn)技術(shù)質(zhì)量部技術(shù)質(zhì)量部信息安全管理標(biāo)準(zhǔn)介紹4 4 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 需要搞清楚的幾個(gè)問題需要搞清楚的幾個(gè)問題 信息安全體系概述iso/iec 27000:2014 信息安全相關(guān)的術(shù)語信息安全相關(guān)的術(shù)語 1、訪問控制、訪問控制確保對(duì)資產(chǎn)的訪問基于業(yè)務(wù)和安全要求予以授權(quán)和限制。2、攻擊、攻擊試圖破壞、曝露、更改、盜

2、竊資產(chǎn)，或使資產(chǎn)失去功能，或獲取資產(chǎn)的非授權(quán)訪問權(quán)，或非授權(quán)使用資產(chǎn)等。3、信息安全事態(tài)、信息安全事態(tài)系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的已識(shí)別的狀態(tài)的發(fā)生，該狀態(tài)表明一項(xiàng)可能的違反信息安全策略或控制措施失效，或一種先前未知的可能與安全相關(guān)的狀況。4、信息安全事件、信息安全事件單個(gè)或一系列不期望的或意外的信息安全事態(tài)，它們具有危害業(yè)務(wù)運(yùn)行和威脅信息安全的極大的可能性。iso/iec 27000:2014 信息安全相關(guān)的術(shù)語信息安全相關(guān)的術(shù)語 5、風(fēng)險(xiǎn)、風(fēng)險(xiǎn)不確定性對(duì)目標(biāo)的影響。6、威脅、威脅一個(gè)不期望事件的潛在原因，它可導(dǎo)致對(duì)系統(tǒng)或組織的危害。7、脆弱性、脆弱性一個(gè)資產(chǎn)或控制措施的弱點(diǎn)，可被一個(gè)或多個(gè)威脅利用。

3、8、可能性、可能性事情發(fā)生的機(jī)會(huì)。9、后果、后果影響目標(biāo)的事態(tài)的輸出。標(biāo)準(zhǔn)解讀標(biāo)準(zhǔn)解讀iso/iec iso/iec 27001:201327001:2013 信息安全管理體系要求信息安全管理體系要求發(fā)布日期：發(fā)布日期：20132013年年1010月月1 1日日實(shí)施日期：實(shí)施日期：20132013年年1010月月1 1日日iso/iec 27001:2013 信息安全管理體系要求信息安全管理體系要求 iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p a8人力資源安全人力資源安全p a9

4、物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管理信息安全事件管理p a14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性iso/iec 27002:2013新版本附錄新版本附錄a解析解析a13 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安全p a14信息系統(tǒng)的獲取、開發(fā)

5、和維護(hù)信息系統(tǒng)的獲取、開發(fā)和維護(hù)p a15供應(yīng)商關(guān)系供應(yīng)商關(guān)系p a16信息安全事件管理信息安全事件管理p a17信息安全方面的業(yè)務(wù)連續(xù)性管信息安全方面的業(yè)務(wù)連續(xù)性管理理p a18符合性符合性iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p a8人力資源安全人力資源安全p a9物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管理信息安全事件管理p a14業(yè)務(wù)連續(xù)性

6、管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安全p a14信息系統(tǒng)的獲取、開發(fā)和維護(hù)信息系統(tǒng)的獲取、開發(fā)和維護(hù)p a15供應(yīng)商關(guān)系供應(yīng)商關(guān)系p a16信息安全事件管理信息安全事件管理p a17信息安全方面的業(yè)務(wù)連續(xù)性管信息安全方面的業(yè)務(wù)連續(xù)性管理理p a18符合性符合性iso/iec 27002:2013新版本附錄新版本附錄a解析解析a14 iso/iec 27

7、002:2013新版本附錄新版本附錄a解析解析a15 iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p a8人力資源安全人力資源安全p a9物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管理信息安全事件管理p a14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資

8、產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安全p a14信息系統(tǒng)的獲取、開發(fā)和維護(hù)信息系統(tǒng)的獲取、開發(fā)和維護(hù)p a15供應(yīng)商關(guān)系供應(yīng)商關(guān)系p a16信息安全事件管理信息安全事件管理p a17信息安全方面的業(yè)務(wù)連續(xù)性管信息安全方面的業(yè)務(wù)連續(xù)性管理理p a18符合性符合性iso/iec 27002:2013新版本附錄新版本附錄a解析解析a16 iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p

9、 a8人力資源安全人力資源安全p a9物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管理信息安全事件管理p a14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安全p a14信息系統(tǒng)的獲取、開發(fā)和維護(hù)信息系統(tǒng)的獲取、開發(fā)和維護(hù)p

10、a15供應(yīng)商關(guān)系供應(yīng)商關(guān)系p a16信息安全事件管理信息安全事件管理p a17信息安全方面的業(yè)務(wù)連續(xù)性管信息安全方面的業(yè)務(wù)連續(xù)性管理理p a18符合性符合性iso/iec 27002:2013新版本附錄新版本附錄a解析解析a17 iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p a8人力資源安全人力資源安全p a9物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管

11、理信息安全事件管理p a14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安全p a14信息系統(tǒng)的獲取、開發(fā)和維護(hù)信息系統(tǒng)的獲取、開發(fā)和維護(hù)p a15供應(yīng)商關(guān)系供應(yīng)商關(guān)系p a16信息安全事件管理信息安全事件管理p a17信息安全方面的業(yè)務(wù)連續(xù)性管信息安全方面的業(yè)務(wù)連續(xù)性管理理p a18符合性符合性iso/iec 27002:2013新版本附錄新版本附錄

12、a解析解析a18 iso/iec 27002:2005 iso/iec 27002:2013 p a5安全方針安全方針p a6信息安全組織信息安全組織p a7資產(chǎn)管理資產(chǎn)管理p a8人力資源安全人力資源安全p a9物理和環(huán)境安全物理和環(huán)境安全p a10通信和運(yùn)行管理通信和運(yùn)行管理p a11訪問控制訪問控制p a12信息系統(tǒng)的獲取開發(fā)和維護(hù)信息系統(tǒng)的獲取開發(fā)和維護(hù)p a13信息安全事件管理信息安全事件管理p a14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理p a15符合性符合性p a5安全方針安全方針p a6信息安全組織信息安全組織p a7人力資源安全人力資源安全p a8資產(chǎn)管理資產(chǎn)管理p a9訪問控制訪問控制p a10密碼學(xué)密碼學(xué)p a11物理環(huán)境安全物理環(huán)境安全p a12操作安全操作安全p a13通信安全通信安