信息安全管理體系培訓基礎知識

1、信息安全管理體系（ISMS）基礎知識培訓信息安全管理體系培訓基礎知識第1頁目錄什么是信息什么是信息安全為何實施信息安全管理 怎樣實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點目錄信息安全管理體系培訓基礎知識第2頁什么是信息什么是信息安全為何實施信息安全管理 怎樣實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點目錄信息安全管理體系培訓基礎知識第3頁什么是信息 信息通常指消息、情報、數據和知識等，在ISO/IEC27001標準中信息是指對組織

2、含有主要價值，能夠經過多媒體傳遞和存放一個資產。什么是信息信息安全管理體系培訓基礎知識第4頁什么是信息什么是信息安全為何實施信息安全管理 怎樣實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點信息安全管理體系培訓基礎知識第5頁什么是信息安全 信息安全作用是保護信息業(yè)務包括范圍不受威脅所干擾，使組織業(yè)務暢順，降低損失及增大投資回報和商機。在ISO/IEC27001標準中信息安全主要指信息機密性、完整性和可用性保持。即指經過采取計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理辦法，來保護信息在其生命周期內產生、

3、傳輸、交換、處理和存放各個步驟中，信息機密性、完整性和可用性不被破壞。什么是信息安全信息安全管理體系培訓基礎知識第6頁什么是信息安全-信息機密性 信息機密性是指確保授予或特定權限人才能訪問到信息。信息機密性依據信息被允許訪問對象多少而不一樣，全部些人員都能夠訪問信息為公開信息，需要限制訪問信息為敏感信息或秘密信息，依據信息主要程度和保密要求將信息分為不一樣密級。普通分為秘密、機密和絕密三個等級，已授權用戶依據所授予操作權限能夠對保密信息進行操作。什么是信息安全信息機密性信息安全管理體系培訓基礎知識第7頁什么是信息安全信息完整性 信息完整性是指要保證信息使用和處理方法正確性和完整性。信息完整性一

4、方面是指在使用、傳輸、存儲、備份、交換信息過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現象；其次是指信息處理方法正確性，信息備份、系統(tǒng)恢復、銷毀等處理不正當操作，有可能造成重要文件丟失，甚至整個系統(tǒng)癱瘓。什么是信息安全信息完整性信息安全管理體系培訓基礎知識第8頁什么是信息安全信息可用性 信息可用性是指確保已被授權用戶訪問時得到所需要信息。即信息及相關信息資產在授權人需要時可馬上取得。比如，通信線路中止故障、網絡擁堵會造成信息在一段時間內不可用，影響正常業(yè)務運行，這是信息可用性破壞。提供信息系統(tǒng)必須能適當地承受攻擊并在失敗時及時恢復。 另外還要確保信息真實性和有效性,即組織之間或組織與合作搭檔間商

5、業(yè)交易和信息交換是可信賴。什么是信息安全信息可用性信息安全管理體系培訓基礎知識第9頁什么是信息什么是信息安全為何實施信息安全管理 怎樣實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點信息安全管理體系培訓基礎知識第10頁為何要實施信息安全管理 實施信息管理原因：自1987年以來，全世界已發(fā)覺超出50000種計算機病毒，暴發(fā)“愛蟲”病毒給全球用戶造成了100億美元損失；美國每年因信息與網絡安全問題所造成損失高達75億美元。即使是防范森嚴美國國防信息系統(tǒng)也受到25萬次黑客攻擊，且成功進入率高達63%。 然而，能對組織造成巨

6、大損失風險主要還是起源于組織內部，國外統(tǒng)計結果表明企業(yè)信息受到損失中，70%是因為內部員工疏忽或有意泄密造成。信息安全管理體系培訓基礎知識第11頁為何要實施信息安全管理 實施信息管理原因：多數計算機使用者極少接收嚴格信息安全意識培訓，天天都在以不安全方式處理企業(yè)大量主要信息，而且企業(yè)合作單位、咨詢機構等外部人員都以不一樣方式使用企業(yè)信息系統(tǒng)，對企業(yè)信息系統(tǒng)組成了潛在威脅。如員工為了方便記憶系統(tǒng)登錄口令而在顯著處粘一便條，就足以毀掉花費了大量成本建立信息系統(tǒng)。許多對企業(yè)心存不滿員工把“黑”掉企業(yè)網站，偷竊并散布客戶敏感信息，為競爭對手提供機密資料，甚至破壞關鍵信息系統(tǒng)作為報復企業(yè)，致使企業(yè)蒙受了

7、巨大經濟損失。信息安全管理體系培訓基礎知識第12頁為何要實施信息安全管理 實施信息管理原因：當前單一技術伎倆已難以處理企業(yè)信息安全問題，只有建立一套完善信息安全管理流程并嚴格執(zhí)行，才能有效降低信息安全風險，保障企業(yè)信息業(yè)務連續(xù)性。 實施信息管理必定性：實踐證實信息安全是個復雜系統(tǒng)問題，處理系統(tǒng)性安全問題，必須以系統(tǒng)方法來處理，建立管理體系(明確方針和目標并實現這些目標體系，是系統(tǒng)性處理復雜問題有效方法。為了確保信息安全管理有效性、充分性和適宜性組織需要建立信息安全管理體系(ISMS)，信息安全管理體系經過固化信息安全管理范圍，制訂信息安全管理策略方針與與目標，明確信息安全管理職責、落實控制目標

8、并選擇控制辦法進行管控，全方面系統(tǒng)保障管理信息安全。 信息安全管理體系培訓基礎知識第13頁從系統(tǒng)論觀點來看, 一個體系(系統(tǒng))必須含有自組織、自學習、自適應、自修復、自生長能力和功效才能夠確保其連續(xù)有效性。信息安全管理體系經過不停識別組織和相關方信息安全要求，不停識別外界環(huán)境和組織本身改變，不停學習采取最新管理理念和技術伎倆，不停調整自己目標、方針、程序和過程等，才能夠實現連續(xù)安全。本標準能夠適合于不一樣性質、規(guī)模、結構和環(huán)境各種組織。因為不擁有成熟IT系統(tǒng)而擔心不可能經過ISO/IEC 27001認證是無須要。實施信息管理必定性：為何要實施信息安全管理信息安全管理體系培訓基礎知識第14頁假如

9、因為預算困難或其它原因，不能一下子降低全部不可接收風險到可接收程度時，能否經過體系認證，也是很多人關心問題。通常審核員關心是組織建立ISMS是否完整，是否運行正常，是否有重大信息安全風險沒有得到識別和評定。有小部分風險暫時得不到有效處置是允許，當然“暫時接收”不可接收風險不能夠包含違反法律法規(guī)風險。 實施信息管理必定性：為何要實施信息安全管理信息安全管理體系培訓基礎知識第15頁什么是信息什么是信息安全為何實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點信息安全管理體系培訓基礎知識第16頁ISMS概述本標準用于為建立、

10、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（Information Security Management System，簡稱ISMS）提供模型。采取ISMS應該是一個組織一項戰(zhàn)略性決議。一個組織ISMS設計和實施受業(yè)務需求和目標、安全需求、所采取過程以及組織規(guī)模和結構影響。上述原因及其支持過程會不停發(fā)生改變。期望信息安全管理體系能夠依據組織需求而測量，比如簡單情形可采取簡單ISMS處理方案。本標準可被相關內部方和外部方利用以評定一致性。ISMS概述信息安全管理體系培訓基礎知識第17頁什么是信息什么是信息安全為何實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISM

11、S）標準介紹信息安全管理體系（ISMS）實施控制重點信息安全管理體系培訓基礎知識第18頁ISMS標準體系ISO/IEC27000族介紹 27007信息安全管理體系 審核指南ISO/IEC27000族 27000 -信息安全管理體系 綜述與術語 27001-信息安全管理體系 要求 27002-信息安全管理體系 實踐規(guī)范 27003-信息安全管理體系 實施指南 27004- 信息安全管理體系 測量 27005-信息安全管理體系信息安全風險管理 27006-信息安全管理體系認證機構要求信息安全管理體系培訓基礎知識第19頁ISMS介紹- ISO/IEC27000族公布時間ISO/IEC 1779920

12、05 信息安全管理實施細則,于6月15日正式公布；ISO/IEC 27001 信息安全管理體系要求，于10月15日正式公布；ISO/IEC 27002 信息安全管理體系最正確實踐，于年4月正式公布；ISO/IEC 27003 信息安全管理體系實施指南，正在ISMS標準工作組研究并征求意見階段； ISO/IEC 27004 信息安全管理度量和改進，正在委員會草案階段； ISO/IEC 27005 信息安全風險管理指南，以底剛才推出BS 7799-3為準。信息安全管理體系培訓基礎知識第20頁ISMS介紹- ISO/IEC27001信息安全管理體系與其它體系兼容性ISO9001： 質量管理體系ISO

13、14001： 環(huán)境管理體系ISO/TS16949： 汽車行業(yè)質量管理體系TL9000：通信行業(yè)質量管理體系IEC QC080000： 有害物質過程管理體系ISOIEC0：信息安全管理體系培訓基礎知識第21頁什么是信息什么是信息安全為何實施信息安全管理 信息安全管理體系（ISMS）概述信息安全管理體系（ISMS）標準介紹信息安全管理體系（ISMS）實施控制重點信息安全管理體系培訓基礎知識第22頁A.6信息安全組織A.8人力資源安全A.7資產管理A.12系統(tǒng)獲取開發(fā)和維護A.9物理和環(huán)境安全A.5信息安全方針A.14業(yè)務連續(xù)性管理A.10通信和操作管理A.13信息安全事件管理A.11訪問控制A.1

14、5符合性ISO/IEC27001控制大項A.16教育培訓信息安全管理體系培訓基礎知識第23頁ISMS控制大項說明安全方針：制訂信息安全方針，為信息安全提供管理指導和支持，并定時評審；信息安全組織：建立信息安全基礎設施，管理組織范圍內信息安全；維護被第三方所訪問組織信息處理設施和信息資產安全，以及當信息處理外包給其它組織時，確保信息安全。資產管理：核查全部信息資產，做好信息分類，確保信息資產受到適當程度保護。人力資源安全：確保全部員工、協(xié)議方和第三方了解信息安全威脅和相關事宜，他們責任、義務，以降低人為差錯、偷竊、欺詐或誤用設施風險。ISO/IEC27001控制大項-管理內容信息安全管理體系培訓

15、基礎知識第24頁ISMS控制大項說明物理與環(huán)境安全：定義安全區(qū)域，預防對辦公場所和信息未授權訪問、破壞和干擾；保護設備安全，預防信息資產丟失、損壞或被盜，以及對業(yè)務活動干擾；同時，還要做好普通控制，預防信息和信息處理設施損壞或被盜。通訊和操作管理：制訂操作規(guī)程和職責，確保信息處理設施正確和安全操作；建立系統(tǒng)規(guī)劃和驗收準則，將系統(tǒng)失效風險減到最低；防范惡意代碼和移動代碼，保護軟件和信息完整性；做好信息備份和網絡安全管理，確保信息在網絡中安全，確保其支持性基礎設施得到保護；建立媒體處置和安全規(guī)程，預防資產損壞和業(yè)務活動中止；預防信息和軟件在組織之間交換時丟失、修改或誤用。ISO/IEC27001控

16、制大項-管理內容信息安全管理體系培訓基礎知識第25頁ISMS控制大項說明訪問控制：制訂文件化訪問控制策略，防止信息系統(tǒng)未授權訪問，并讓用戶了解其職責和義務，包含網絡訪問控制、操作系統(tǒng)訪問控制、應用系統(tǒng)和信息訪問控制、監(jiān)視系統(tǒng)訪問和使用，定時檢測未授權活動；當使用移動辦公和遠程工作時，也要確保信息安全。信息系統(tǒng)獲取、開發(fā)和維護：標識系統(tǒng)安全要求，確保安全成為信息系統(tǒng)內置部分；控制應用系統(tǒng)安全，預防應用系統(tǒng)中用戶數據丟失、被修改或誤用；經過加密伎倆保護信息保密性、真實性和完整性；控制對系統(tǒng)文件訪問，確保系統(tǒng)文檔安全；嚴格控制開發(fā)和支持過程，維護應用系統(tǒng)軟件和信息安全。 ISO/IEC27001控制

17、大項-管理內容信息安全管理體系培訓基礎知識第26頁ISMS控制大項說明信息安全事故管理：匯報信息安全事件和弱點，及時采取糾正辦法，確保使用連續(xù)有效方法管理信息安全事故。業(yè)務連續(xù)性管理：目標是為了降低業(yè)務活動中止，使關鍵業(yè)務過程免受主要故障或天災影響，并確保他們及時恢復。符合性：信息系統(tǒng)設計、操作、使用和管理要符正當律法規(guī)要求，符合組織安全方針和標準，還要控制系統(tǒng)審核，使系統(tǒng)審核過程效力最大化、干擾最小化。ISO/IEC27001控制大項-管理內容信息安全管理體系培訓基礎知識第27頁 ISO/IEC27001信息安全管理體系將信息安全管理內容劃分為11個控制域，39個信息安全管理控制目標，133

18、項安全控制辦法，以下是12項管理大項關系圖。ISMS實施控制重點-信息安全管理體系組成信息安全管理體系培訓基礎知識第28頁方針與策略管理確保企業(yè)、組織擁有明確信息安全方針以及配套策略和制度，以實現對信息安全工作支持和承諾，確保信息安全資金投入。風險管理信息安全建設不是防止風險過程，而是管理風險過程。沒有絕正確安全，風險總是存在。信息安全體系建設目標就是要把風險控制在能夠接收范圍之內。風險管理同時也是一個動態(tài)連續(xù)過程。人員與組織管理建立組織機構，明確人員崗位職責，提供安全教育和培訓，對第三方人員進行管理，協(xié)調信息安全監(jiān)管部門與行內其它部門之間關系，確保信息安全工作人力資源要求，防止因為人員和組織

19、上錯誤產生信息安全風險。 環(huán)境與設備管理控制因為物理環(huán)境和硬件設施不妥所產生風險。管理內容包含物理環(huán)境安全、設備安全、介質安全等。網絡與通信管理控制、保護網絡和通信系統(tǒng)，預防其受到破壞和濫用，防止和降低因為網絡和通信系統(tǒng)問題對業(yè)務系統(tǒng)損害。 主機與系統(tǒng)管理控制和保護計算機主機及其系統(tǒng)，預防其受到破壞和濫用，防止和降低由此對業(yè)務系統(tǒng)損害。 ISMS實施控制重點-ISMS組成管理內容信息安全管理體系組成-管理內容信息安全管理體系培訓基礎知識第29頁應用與業(yè)務管理對各類應用和業(yè)務系統(tǒng)進行安全管理，預防其受到破壞和濫用。 數據/文檔/介質管理采取數據加密和完整性保護機制，預防數據被竊取和篡改，保護業(yè)務

20、數據安全。 項目工程管理保護信息系統(tǒng)項目工程過程安全，確保項目標結果是可靠安全系統(tǒng)。 運行維護管理保護信息系統(tǒng)在運行期間安全，并確保系統(tǒng)維護工作安全。 業(yè)務連續(xù)性管理經過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保信息系統(tǒng)在任何災難和攻擊下，都能夠確保業(yè)務連續(xù)性。合規(guī)性管理確保信息安全保障工作符合國家法律、法規(guī)要求；且信息安全方針、要求和標準得到了遵照。信息安全管理體系組成-管理內容ISMS實施控制重點-ISMS組成管理內容信息安全管理體系培訓基礎知識第30頁信息安全管理體系PDCA模型采取一個過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進一個組織ISMS信息安全管理體系培訓基礎知識第31頁信息安全管理體系PDCA模型PDCA模式步驟方法定義范圍依據組織業(yè)務特征、地理位置、資產、技術等確定ISMS范圍。定義方針方針是信息安全活動總方向和總標準，是建立目標框架，應考