信息安全管理體系培訓(xùn)課件new

信息安全管理體系培訓(xùn)課件new2022/10/17信息安全管理體系培訓(xùn)課件new信息安全管理體系培訓(xùn)課件new2022/10/15信息安全管目錄介紹ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹信息安全管理體系內(nèi)容信息安全管理體系準(zhǔn)備-風(fēng)險(xiǎn)評(píng)估信息安全管理體系設(shè)計(jì)信息安全管理體系實(shí)施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄介紹信息安全管理體系培訓(xùn)課件new通信公司員工泄漏內(nèi)部信息獲刑法制晚報(bào)：5家調(diào)查公司因非法經(jīng)營(yíng)被查，由此牽出了移動(dòng)、聯(lián)通的三名在職員工和兩名離職員工——他們與調(diào)查公司勾結(jié)，將通話記錄等信息透露給對(duì)方。吳曉晨利用擔(dān)任聯(lián)通公司北京市三區(qū)分公司廣安門外分局商務(wù)客戶代表的工作之便，獲取大量公民個(gè)人信息后非法出售給調(diào)查公司，從中獲利。案情供述： 聯(lián)通公司吳曉晨：他幫調(diào)查公司查座機(jī)電話號(hào)碼的安裝地址，調(diào)查公司每個(gè)月固定給2000元，后來(lái)又讓幫忙查電話清單。 2008年10月初，他索性自己成立了一個(gè)商務(wù)調(diào)查公司單干了。移動(dòng)公司張寧：2008年原同事林濤找到他，讓他查機(jī)主信息，修改手機(jī)密碼。他一共幫查過(guò)50多個(gè)機(jī)主信息，修改過(guò)100多個(gè)手機(jī)客服密碼。 只要提供給他機(jī)主姓名和手機(jī)號(hào)碼，他就可以通過(guò)工作平臺(tái)，將該人的個(gè)人信息調(diào)取出來(lái)，查出身份證號(hào)、住址和聯(lián)系電話。 修改手機(jī)密碼也是通過(guò)平臺(tái)，只需要提供手機(jī)號(hào)碼就行。修改完密碼后，就可以通過(guò)自動(dòng)語(yǔ)音系統(tǒng)調(diào)通話記錄了，通話記錄會(huì)傳真到查詢者的傳真電話上。這比一個(gè)個(gè)地查完通話記錄再給他們，更方便省事。其實(shí)這是通信公司的一個(gè)漏洞。朝陽(yáng)法院以非法經(jīng)營(yíng)罪判處5人有期徒刑2年6個(gè)月至有期徒刑2年2個(gè)月信息安全管理體系培訓(xùn)課件new通信公司員工泄漏內(nèi)部信息獲刑法制晚報(bào)：5家調(diào)查公司因非法經(jīng)營(yíng)清明小長(zhǎng)假一政府網(wǎng)被篡改成黃色網(wǎng)站4月6日上午，有網(wǎng)友登錄揚(yáng)州市城鄉(xiāng)建設(shè)局官方網(wǎng)站時(shí)吃驚地發(fā)現(xiàn)，網(wǎng)頁(yè)竟然成了黃色網(wǎng)頁(yè)！頁(yè)面上充斥著衣著暴露的性感美女，搔首弄姿，十分不雅。“網(wǎng)站變成黃色網(wǎng)站的準(zhǔn)確時(shí)間是3日，也就是清明小長(zhǎng)假的第一天，因?yàn)榉偶伲覀儾](méi)有發(fā)現(xiàn)。今天上午9點(diǎn)節(jié)后一上班，我們就發(fā)現(xiàn)了這個(gè)問(wèn)題?！弊蛉眨瑩P(yáng)州市城鄉(xiāng)建設(shè)局信息中心朱主任接受記者采訪時(shí)表示，他們的網(wǎng)站確實(shí)被黑客襲擊了，被掛上了木馬。這次已是今年第二次遭黑客攻擊，第一次是在今年1月下旬，情況跟這次類似。朱主任表示，他們一上班發(fā)現(xiàn)網(wǎng)站“被色情”后，一直忙著維護(hù)，到12點(diǎn)多鐘恢復(fù)了正常。朱主任同時(shí)表示，他們的網(wǎng)站創(chuàng)建已經(jīng)好幾年了，比較老了，由于現(xiàn)在仍然缺乏相關(guān)的網(wǎng)絡(luò)安全保護(hù)設(shè)備，所以網(wǎng)站兩次遭到攻擊。目前網(wǎng)站正在準(zhǔn)備升級(jí)，在軟件、硬件上都要投入，將網(wǎng)站代碼進(jìn)行升級(jí)，提高安全性。他還透露，今年內(nèi)揚(yáng)州市政府可能對(duì)政府各部門網(wǎng)站進(jìn)行集中管理，進(jìn)一步保障安全性。信息安全管理體系培訓(xùn)課件new清明小長(zhǎng)假一政府網(wǎng)被篡改成黃色網(wǎng)站4月6日上午，有網(wǎng)友登錄揚(yáng)7天酒店數(shù)據(jù)庫(kù)被盜在騰訊微博上，一個(gè)名為“××刺客”的用戶發(fā)言稱，“出售7天假日所有聯(lián)網(wǎng)中心數(shù)據(jù)，附帶會(huì)員注冊(cè)個(gè)人信息，會(huì)員等級(jí)，開(kāi)房信息，個(gè)人積分等全部數(shù)據(jù)?！蓖瑫r(shí)該用戶還留下了一個(gè)聯(lián)系郵箱。

記者通過(guò)網(wǎng)絡(luò)查詢后，得到了該用戶的QQ號(hào)，在4月初與這名黑客取得了聯(lián)系。記者假稱自己是旅游行業(yè)人員，想購(gòu)買7天的會(huì)員數(shù)據(jù)庫(kù)。在交流中，該黑客明確告訴記者他手中確實(shí)有數(shù)據(jù)庫(kù)，會(huì)員總數(shù)在600萬(wàn)左右。當(dāng)記者稱愿意出價(jià)1000元購(gòu)買時(shí)，該黑客在等待了幾分鐘后，稱自己比較忙，不賣了。隨后連續(xù)幾天，該黑客的QQ頭像始終處于離線狀態(tài)，記者發(fā)出的10多條消息也無(wú)一回復(fù)。

黑客通過(guò)SQL注入漏洞，入侵了服務(wù)器，并竊取了數(shù)據(jù)庫(kù)。信息安全管理體系培訓(xùn)課件new7天酒店數(shù)據(jù)庫(kù)被盜在騰訊微博上，一個(gè)名為“××刺客”的用戶什么是信息？通常我們可以把信息理解為消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)。信息本身是無(wú)形的，借助于信息媒體以多種形式存在或傳播：存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)具有價(jià)值，就成為信息資產(chǎn)：計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件和軟件關(guān)鍵人員組織提供的服務(wù)各類文檔具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)。Information信息安全管理體系培訓(xùn)課件new什么是信息？通常我們可以把信息理解為消息、信號(hào)、數(shù)據(jù)、情信息安全定義廣義上講領(lǐng)域——涉及到網(wǎng)絡(luò)信息的保密性，完整性，可用性，真實(shí)性，可控性的相關(guān)技術(shù)和理論本質(zhì)上保護(hù)——網(wǎng)絡(luò)系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷兩個(gè)層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理信息安全管理體系培訓(xùn)課件new信息安全定義廣義上講信息安全管理體系培訓(xùn)課件new信息安全金字塔審計(jì)管理加密訪問(wèn)控制用戶驗(yàn)證安全策略信息安全管理體系培訓(xùn)課件new信息安全金字塔審計(jì)管理加密訪問(wèn)控制用戶驗(yàn)證安全策略信息安全管信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)?，F(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)上的原因，不如說(shuō)是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來(lái)說(shuō)尤其重要。信息安全管理的核心就是風(fēng)險(xiǎn)管理。信息安全管理信息安全管理體系培訓(xùn)課件new信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。信息安全管理安全管理觀點(diǎn)技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全根本上說(shuō)，信息安全是個(gè)管理過(guò)程，而不是技術(shù)過(guò)程信息安全管理體系培訓(xùn)課件new安全管理觀點(diǎn)技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵信息安全管理體基于風(fēng)險(xiǎn)分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。制定信息安全策略方針風(fēng)險(xiǎn)評(píng)估和管理控制目標(biāo)和方式選擇風(fēng)險(xiǎn)控制和處理安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持?？刂颇繕?biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上?？紤]控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。需要全員參與。遵循管理的一般模式——PDCA模型。信息安全管理體系培訓(xùn)課件new基于風(fēng)險(xiǎn)分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的ISO27001發(fā)展歷程（由BS7799演變而來(lái)）信息安全管理體系培訓(xùn)課件newISO27001發(fā)展歷程（由BS7799演變而來(lái)）信息安全管評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程信息安全管理體系培訓(xùn)課件new評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程信息安全管理體系培訓(xùn)課件new信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性

——ISO17799ConfidentialityIntegrityAvailabilityInformation信息安全管理體系培訓(xùn)課件new信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性目錄1介紹ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹信息安全管理體系準(zhǔn)備-風(fēng)險(xiǎn)評(píng)估信息安全管理體系設(shè)計(jì)信息安全管理體系實(shí)施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄1介紹信息安全管理體系培訓(xùn)課件newISO27001認(rèn)證過(guò)程-11個(gè)Domain16一、信息安全方針（SecurityPolicy)(1,2)

四、人員安全（HumanResourceSecurity)(3,9)五、物理及環(huán)境安全（PhysicalandEnvironmentalSecurity)(2,13)

二、組織安全（OrganizingInformationsecurity)(2,11)三、資產(chǎn)分類與控制（AssetManagement)(2,5)六、通信與操作管理（CommunicationsandOperationsManagement)(10,33)八、系統(tǒng)開(kāi)發(fā)與維護(hù)（InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、訪問(wèn)控制（AccessControl)(7,25)十、業(yè)務(wù)持續(xù)性管理（BusinessContinuityManagement)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（InformationsecurityincidentManagement)(2,5)信息安全管理體系培訓(xùn)課件newISO27001認(rèn)證過(guò)程-11個(gè)Domain16一、信息安全目錄介紹ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹信息安全管理體系準(zhǔn)備-風(fēng)險(xiǎn)評(píng)估信息安全管理體系設(shè)計(jì)信息安全管理體系實(shí)施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄介紹信息安全管理體系培訓(xùn)課件newPlan階段定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面考慮）定義ISMS策略定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制準(zhǔn)備適用性聲明（SoA）取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)和實(shí)施并操作ISMS的授權(quán)信息安全管理體系培訓(xùn)課件newPlan階段定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資組織實(shí)現(xiàn)信息安全的必要的、重要的步驟了解組織的安全現(xiàn)狀分析組織的安全需求建立信息安全管理體系的要求制訂安全策略和實(shí)施安防措施的依據(jù)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理體系培訓(xùn)課件new組織實(shí)現(xiàn)信息安全的必要的、重要的步驟了解組織的安全現(xiàn)狀資產(chǎn)擁有者安全控制措施安全防護(hù)確信/信心安全風(fēng)險(xiǎn)評(píng)估生成/加強(qiáng)給出證據(jù)/發(fā)現(xiàn)問(wèn)題需要如不能確信，需要評(píng)估給出評(píng)估與安全防護(hù)的關(guān)系信息安全管理體系培訓(xùn)課件new資產(chǎn)擁有者安全控制措施安全防護(hù)確信/信心安全風(fēng)險(xiǎn)評(píng)估生成/加風(fēng)險(xiǎn)管理全過(guò)程原理21識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估威脅識(shí)別并評(píng)估弱點(diǎn)現(xiàn)有控制確認(rèn)風(fēng)險(xiǎn)評(píng)價(jià)接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式實(shí)施選定的控制YesNo確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn)定期評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)管理信息安全管理體系培訓(xùn)課件new風(fēng)險(xiǎn)管理全過(guò)程原理21識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估威脅識(shí)別并評(píng)估22對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險(xiǎn)管理的首要目標(biāo)。劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無(wú)形的。信息資產(chǎn)：數(shù)據(jù)庫(kù)數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作或支持步驟、連續(xù)性計(jì)劃、回退計(jì)劃、歸檔等信息；軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及實(shí)用程序；實(shí)體資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源、空調(diào)器）、機(jī)房；書面文件：包含系統(tǒng)文件、使用手冊(cè)、各種程序及指引辦法、合約書等。人員：承擔(dān)特定職能和責(zé)任的人員；服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS識(shí)別信息資產(chǎn)信息安全管理體系培訓(xùn)課件new22對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險(xiǎn)管理的首要目標(biāo)。識(shí)別信識(shí)別并評(píng)估弱點(diǎn)23針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到其現(xiàn)實(shí)存在的弱點(diǎn)，包括：

技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份中的漏洞。

管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。弱點(diǎn)的識(shí)別途徑：審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測(cè)試和評(píng)估報(bào)告專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息自動(dòng)化的漏洞掃描工具和滲透測(cè)試對(duì)弱點(diǎn)的評(píng)估需要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。如果資產(chǎn)沒(méi)有弱點(diǎn)或者弱點(diǎn)很輕微，就不存在風(fēng)險(xiǎn)問(wèn)題。信息安全管理體系培訓(xùn)課件new識(shí)別并評(píng)估弱點(diǎn)23針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到其現(xiàn)實(shí)存24識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對(duì)不同資產(chǎn)造成影響。識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來(lái)源）：

人員威脅：故意破壞和無(wú)意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等威脅對(duì)資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個(gè)方面的受損上。對(duì)威脅的評(píng)估，主要考慮其發(fā)生的可能性。評(píng)估威脅可能性時(shí)要考慮威脅源的動(dòng)機(jī)（Motivation）和能力（Capability）等因素。識(shí)別并評(píng)估威脅信息安全管理體系培訓(xùn)課件new24識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多25關(guān)于風(fēng)險(xiǎn)可接受水平安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平?jīng)Q策者應(yīng)該根據(jù)公司實(shí)際情況來(lái)確定風(fēng)險(xiǎn)可接受水平信息安全管理體系培訓(xùn)課件new25關(guān)于風(fēng)險(xiǎn)可接受水平安全控制的成本安全事件的損失最小化的總26降低風(fēng)險(xiǎn)（ReduceRisk）——實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來(lái)的影響，包括：減少威脅：例如，建立并實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會(huì)。減少弱點(diǎn)：例如，通過(guò)安全教育和意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力。降低影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份。規(guī)避風(fēng)險(xiǎn)（AvoidRisk）——或者RejectingRisk。有時(shí)候，組織可以選擇放棄某些可能引來(lái)風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來(lái)自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)移風(fēng)險(xiǎn)（TransferRisk）——也稱作RiskAssignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇接受，即所謂的無(wú)作為。確定風(fēng)險(xiǎn)處理策略信息安全管理體系培訓(xùn)課件new26降低風(fēng)險(xiǎn)（ReduceRisk）——實(shí)施有效控制27依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)選擇安全控制措施。選擇安全措施（對(duì)策）時(shí)需要進(jìn)行成本效益分析（cost/benefitanalysis）：基本原則：實(shí)施安全措施的代價(jià)不應(yīng)該大于所要保護(hù)資產(chǎn)的價(jià)值控制成本：購(gòu)買費(fèi)用，對(duì)業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價(jià)值＝?jīng)]有實(shí)施控制前的損失－控制的成本－實(shí)施安全控制之后的損失除了成本效益，還應(yīng)該考慮：控制的易用性對(duì)用戶的透明度控制自身的強(qiáng)度控制的功能類型（預(yù)防、威懾、檢測(cè)、糾正）確定所選安全措施的效力，就是看實(shí)施新措施之后還有什么殘留風(fēng)險(xiǎn)。選擇控制措施信息安全管理體系培訓(xùn)課件new27依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)選擇安全控制措施。選擇控制措施信28資產(chǎn)評(píng)估識(shí)別信息資產(chǎn)評(píng)價(jià)信息資產(chǎn)識(shí)別并評(píng)估弱點(diǎn)安全漏洞工具掃描人工評(píng)估識(shí)別并評(píng)估威脅網(wǎng)絡(luò)架構(gòu)分析滲透測(cè)試風(fēng)險(xiǎn)評(píng)估階段流程風(fēng)險(xiǎn)評(píng)價(jià)降低風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)處置威脅弱點(diǎn)威脅事件防止威懾性控制影響利用引發(fā)造成保護(hù)發(fā)現(xiàn)減小預(yù)防性控制檢測(cè)性控制糾正性控制評(píng)價(jià)殘留風(fēng)險(xiǎn)信息安全管理體系培訓(xùn)課件new28資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估階段流程風(fēng)險(xiǎn)評(píng)價(jià)降低風(fēng)目錄ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹ISO27001介紹ISO27001信息安全管理體系準(zhǔn)備-風(fēng)險(xiǎn)評(píng)估ISO27001信息安全管理體系設(shè)計(jì)ISO27001信息安全管理體系實(shí)施ISO27001信息安全管理體系監(jiān)控ISO27001信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹信息安全管理體系培訓(xùn)DO階段制定風(fēng)險(xiǎn)處理計(jì)劃（RiskTreatmentPlan）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施所選的控制措施以滿足控制目標(biāo)實(shí)施培訓(xùn)和意識(shí)程序管理操作管理資源實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制信息安全管理體系培訓(xùn)課件newDO階段制定風(fēng)險(xiǎn)處理計(jì)劃（RiskTreatment31絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr＝原有的風(fēng)險(xiǎn)R0－控制ΔR殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程其實(shí)就是風(fēng)險(xiǎn)接受的過(guò)程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。評(píng)價(jià)殘留風(fēng)險(xiǎn)信息安全管理體系培訓(xùn)課件new31絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。評(píng)價(jià)殘留風(fēng)險(xiǎn)信息安全信息安全管理體系藍(lán)圖(示例)32信息安全管理體系培訓(xùn)課件new信息安全管理體系藍(lán)圖(示例)32信息安全管理體系培訓(xùn)課件ne建立ISMS管理框架的過(guò)程定義安全策略威脅、弱點(diǎn)、影響組織風(fēng)險(xiǎn)管理的途徑要求達(dá)到的保障程度ISO17799第三段列出的控制目標(biāo)和控制不在ISO27001范圍內(nèi)的其他安全控制Step1Step2Step3Step4Step5Step6策略文檔ISMS的范圍風(fēng)險(xiǎn)評(píng)估適用性聲明信息資產(chǎn)結(jié)果和結(jié)論選定的控制選項(xiàng)選擇的控制目標(biāo)和控制定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估管理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制并加以實(shí)施準(zhǔn)備適用性聲明信息安全管理體系培訓(xùn)課件new建立ISMS管理框架的過(guò)程定義安全策略威脅、弱點(diǎn)、影響組織風(fēng)ISMS的文檔體系Procedures程序WorkInstructions,checklists,forms,etc.工作指導(dǎo)書,檢查清單,表格等Records

紀(jì)錄SecurityManual

安全手冊(cè)Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一級(jí)關(guān)于ISO27001的管理框架的方針策略第二級(jí)第三級(jí)第四級(jí)信息安全管理體系培訓(xùn)課件newISMS的文檔體系Procedures程序Work1.信息安全策略目標(biāo)：Toprovidemanagementdirectionandsupportforinformationsecurity.信息安全策略——為信息安全提供管理方向和支持安全策略應(yīng)該做到：對(duì)信息安全加以定義陳述管理層的意圖分派責(zé)任約定信息安全管理的范圍對(duì)特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說(shuō)明對(duì)報(bào)告可疑安全事件的過(guò)程進(jìn)行說(shuō)明定義用以維護(hù)策略的復(fù)查過(guò)程信息安全管理體系培訓(xùn)課件new1.信息安全策略目標(biāo)：信息安全管理體系培訓(xùn)課件new2.信息安全組織目標(biāo)：TomanageinformationsecuritywithintheorganisationTomaintainthesecurityoforganisationalinformationprocessingfacilitiesandinformationassetsaccessedbythirdpartiesTomaintainthesecurityofinformationwhentheresponsibilityforinformationprocessinghasbeenoutsourcedtoanotherorganisation.信息安全基礎(chǔ)設(shè)施——在組織內(nèi)部管理信息安全第三方訪問(wèn)的安全——維護(hù)組織信息處理設(shè)施和被第三方訪問(wèn)的信息資產(chǎn)的安全性外包控制——如果信息處理責(zé)任外包給其他組織，維護(hù)信息的安全性包含的內(nèi)容：建立管理委員會(huì)，定義安全管理的角色和責(zé)任對(duì)軟硬件的采購(gòu)建立授權(quán)過(guò)程第三方訪問(wèn)的安全考慮外包合同中的安全需求信息安全管理體系培訓(xùn)課件new2.信息安全組織目標(biāo)：信息安全管理體系培訓(xùn)課件new3.資產(chǎn)分類和控制目標(biāo)：Tomaintainappropriateprotectionofcorporateassetsandtoensurethatinformationassetsreceiveanappropriatelevelofprotection.資產(chǎn)責(zé)任——對(duì)組織資產(chǎn)進(jìn)行恰當(dāng)?shù)谋Ｗo(hù)信息分類——確保對(duì)信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃桨膬?nèi)容：建立對(duì)硬件、軟件和信息的資產(chǎn)登記表對(duì)分類和標(biāo)注資產(chǎn)進(jìn)行建議TopSecretSecretConfidentialRestricted信息安全管理體系培訓(xùn)課件new3.資產(chǎn)分類和控制目標(biāo)：TopSecretSecre4.人力資源安全目標(biāo)：Toreducerisksofhumanerror,theft,fraudormisuseoffacilitiesToensurethatusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportthecorporatesecuritypolicyinthecourseoftheirnormalworkTominimisethedamagefromsecurityincidentsandmalfunctionsandlearnfromsuchincidents.崗位安全責(zé)任與人員錄用的安全——減少人為錯(cuò)誤、偷竊、欺詐或誤用設(shè)施帶來(lái)的風(fēng)險(xiǎn)。用戶培訓(xùn)——確保用戶意識(shí)到信息安全威脅及利害關(guān)系，并在正常工作中支持組織的安全策略。安全事件響應(yīng)——減少來(lái)自安全事件和故障的損失，監(jiān)視并從事件中吸取教訓(xùn)。包含的內(nèi)容：故意或者無(wú)意的人為活動(dòng)可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險(xiǎn)在正式的工作描述中建立安全責(zé)任，員工入職審查基本安全意識(shí)的培訓(xùn)建立安全事件處理框架信息安全管理體系培訓(xùn)課件new4.人力資源安全目標(biāo)：信息安全管理體系培訓(xùn)課件new5.物理和環(huán)境安全目標(biāo)：Topreventunauthorisedaccess,damageandinterferencetobusinesspremisesandinformationTopreventloss,damageorcompromiseofassetsandinterruptiontobusinessactivitiesTopreventcompromiseortheftofinformationandinformationprocessingfacilities安全區(qū)域——防止非授權(quán)訪問(wèn)、破壞和干擾業(yè)務(wù)運(yùn)行的前提條件及信息。設(shè)備安全——防止資產(chǎn)的丟失、損害和破壞，防止業(yè)務(wù)活動(dòng)被中斷。常規(guī)控制措施——防止危害或竊取信息及信息處理設(shè)施。包含的內(nèi)容：應(yīng)該建立帶有物理入口控制的安全區(qū)域應(yīng)該配備物理保護(hù)的硬件設(shè)備應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽(tīng)將設(shè)備搬離場(chǎng)所，或者準(zhǔn)備報(bào)廢時(shí)，應(yīng)考慮其安全信息安全管理體系培訓(xùn)課件new5.物理和環(huán)境安全目標(biāo)：信息安全管理體系培訓(xùn)課件new6.通信和操作管理目標(biāo)：操作程序和責(zé)任——確保正確并安全地操作信息處理設(shè)施。系統(tǒng)規(guī)劃與驗(yàn)收——減少系統(tǒng)失效帶來(lái)的風(fēng)險(xiǎn)。抵御惡意軟件——保護(hù)軟件和信息的完整性。內(nèi)務(wù)管理——維護(hù)信息處理和通信服務(wù)的完整性和可用性。網(wǎng)絡(luò)管理——確保對(duì)網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)。介質(zhì)處理和安全——防止損害資產(chǎn)和中斷業(yè)務(wù)活動(dòng)。信息和軟件的交換——防止機(jī)構(gòu)間交換的信息丟失、遭受篡改和誤用。包含的內(nèi)容：防病毒，防惡意軟件進(jìn)行變更控制做好備份，存儲(chǔ)介質(zhì)的安全處理，保存正確的訪問(wèn)日志，系統(tǒng)文件的安全性電子郵件安全性保護(hù)傳輸中的數(shù)據(jù)信息安全管理體系培訓(xùn)課件new6.通信和操作管理目標(biāo)：信息安全管理體系培訓(xùn)課件new7.訪問(wèn)控制目標(biāo)：訪問(wèn)控制的業(yè)務(wù)需求——控制對(duì)信息的訪問(wèn)。用戶訪問(wèn)管理——防止非授權(quán)訪問(wèn)信息系統(tǒng)。用戶責(zé)任——防止非授權(quán)的用戶訪問(wèn)。網(wǎng)絡(luò)訪問(wèn)控制——保護(hù)網(wǎng)絡(luò)服務(wù)。操作系統(tǒng)訪問(wèn)控制——防止非授權(quán)的計(jì)算機(jī)訪問(wèn)。應(yīng)用訪問(wèn)控制——防止非授權(quán)訪問(wèn)信息系統(tǒng)中的信息。監(jiān)視系統(tǒng)訪問(wèn)與使用——檢測(cè)非授權(quán)的活動(dòng)。移動(dòng)計(jì)算和通訊——確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全。包含的內(nèi)容：口令的正確使用對(duì)終端的物理訪問(wèn)自動(dòng)終止時(shí)間軟件監(jiān)視等信息安全管理體系培訓(xùn)課件new7.訪問(wèn)控制目標(biāo)：信息安全管理體系培訓(xùn)課件new8.系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)目標(biāo)：系統(tǒng)的安全需求——確保安全內(nèi)建于信息系統(tǒng)中。應(yīng)用系統(tǒng)的安全——防止丟失、篡改和誤用信息系統(tǒng)中的用戶數(shù)據(jù)。密碼控制——保護(hù)信息的保密性、真實(shí)性或完整性。系統(tǒng)文件的安全——確保IT項(xiàng)目和支持活動(dòng)得以安全地進(jìn)行。開(kāi)發(fā)和支持過(guò)程的安全——維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。包含的內(nèi)容：在系統(tǒng)設(shè)計(jì)時(shí)應(yīng)該考慮輸入數(shù)據(jù)校驗(yàn)、數(shù)據(jù)加密、數(shù)據(jù)文件的安全性、測(cè)試數(shù)據(jù)的保護(hù)軟件開(kāi)發(fā)和維護(hù)中應(yīng)該建立配置管理、變更控制等機(jī)制信息安全管理體系培訓(xùn)課件new8.系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)目標(biāo)：信息安全管理體系培目標(biāo)：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時(shí)發(fā)現(xiàn)，以便采取糾正措施。確保采取一致和有效的方法來(lái)管理信息安全事件。包含的內(nèi)容：報(bào)告信息安全事件報(bào)告安全缺陷管理信息安全事件和改進(jìn)責(zé)任和程序從信息安全事件中吸取教訓(xùn)證據(jù)搜集9.安全事件管理信息安全管理體系培訓(xùn)課件new目標(biāo)：9.安全事件管理信息安全管理體系培訓(xùn)課件new10.業(yè)務(wù)連續(xù)性管理目標(biāo)：Tocounteractinterruptionstobusinessactivitiesandtocriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters.減少業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)害的影響。包含的內(nèi)容：全面理解業(yè)務(wù)連續(xù)性計(jì)劃（BCP）理解組織面臨的風(fēng)險(xiǎn)，識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)和優(yōu)先次序。確認(rèn)可能對(duì)業(yè)務(wù)造成影響的中斷。應(yīng)該設(shè)計(jì)、實(shí)施、測(cè)試和維護(hù)BCP信息安全管理體系培訓(xùn)課件new10.業(yè)務(wù)連續(xù)性管理目標(biāo)：信息安全管理體系培訓(xùn)課件ne11.符合性目標(biāo)：Toavoidbreachesofanycriminalorcivillaw,statutory,regulatoryorcontractualobligationsandofanysecurityrequirementsToensurecomplianceofsystemswithorganisationalsecuritypoliciesandstandardsTomaximisetheeffectivenessofandtominimiseinterferenceto/fromthesystemauditprocess.符合法律要求——避免違反任何刑法、民法、法規(guī)或者合同義務(wù)，以及任何安全要求。對(duì)安全策略和技術(shù)符合性的評(píng)審——確保系統(tǒng)遵循了組織的安全策略和標(biāo)準(zhǔn)。系統(tǒng)審計(jì)的考慮——發(fā)揮系統(tǒng)審計(jì)過(guò)程的最大效用，并把干擾降到最低。包含的內(nèi)容：組織應(yīng)該確保遵守相關(guān)的法律法規(guī)和合同義務(wù)軟件版權(quán)，知識(shí)產(chǎn)權(quán)等信息安全管理體系培訓(xùn)課件new11.符合性目標(biāo)：信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹ISO27001介紹ISO27001信息安全管理體系內(nèi)容ISO27001信息安全管理體系準(zhǔn)備-風(fēng)險(xiǎn)評(píng)估ISO27001信息安全管理體系設(shè)計(jì)ISO27001信息安全管理體系實(shí)施ISO27001信息安全管理體系監(jiān)控ISO27001信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過(guò)程和要點(diǎn)介紹信息安全管理體系培訓(xùn)編寫信息安全管理方針、制度、標(biāo)準(zhǔn)、流程等47信息安全方針示例安全補(bǔ)丁更新流程示例P.S.請(qǐng)直接點(diǎn)擊上面文件進(jìn)入查看詳細(xì)內(nèi)容網(wǎng)絡(luò)連續(xù)性應(yīng)急預(yù)案示例信息安全管理體系培訓(xùn)課件new編寫信息安全管理方針、制度、標(biāo)準(zhǔn)、流程等47信息安全