ISO27001信息安全管理體系介紹課件_第1頁
ISO27001信息安全管理體系介紹課件_第2頁
ISO27001信息安全管理體系介紹課件_第3頁
ISO27001信息安全管理體系介紹課件_第4頁
ISO27001信息安全管理體系介紹課件_第5頁
已閱讀5頁,還剩99頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

ISO27001信息安全管理體系介紹

2009年3月招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

ISO27001信息安全管理體1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)?信息的泄漏是否會(huì)給企業(yè)帶來重大影響?信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響?信息的可用性對(duì)企業(yè)是否帶來重大影響?我們是否清楚知道什么信息對(duì)企業(yè)是重要的?信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)?我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式,是否收到足夠保護(hù)?信息安全事件給企業(yè)造成的最大/最壞影響?幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)?1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27信息資產(chǎn)信息:數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排(fallbackarrangement)、審核跟蹤記錄(audittrails)、歸檔信息;軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序;物理資產(chǎn):計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備;服務(wù):計(jì)算和通信服務(wù)(例如,網(wǎng)絡(luò)瀏覽、域名解析)、公用設(shè)施(例如,供暖,照明,能源,空調(diào));人員,他們的資格、技能和經(jīng)驗(yàn);無形資產(chǎn),如組織的聲譽(yù)和形象。信息資產(chǎn)類型:信息資產(chǎn)信息:數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式:信息資產(chǎn)電腦數(shù)據(jù)信息資產(chǎn)存在方式:信息資產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷毀/拋棄信息資產(chǎn)的生命周期:產(chǎn)生使用存貯傳輸銷毀/拋棄信息資產(chǎn)產(chǎn)生信息資產(chǎn)的生命周期:產(chǎn)生使用存貯傳輸銷毀/拋棄什么是信息安全?ISO27001將信息安全定義如下:保證信息的保密性,完整性,可用性;另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性保密性可用性保密性:信息不能被未授權(quán)的個(gè)人,實(shí)體或者過程利用或知悉的特性可用性:根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性完整性:保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性什么是信息安全?ISO27001將信息安全定義如下:保密1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27信息安全管理體系(ISMS)介紹InformationSecurityManagementSystem(ISMS)信息安全管理體系基于國際標(biāo)準(zhǔn)ISO/IEC27001:信息安全管理體系要求是綜合信息安全管理和技術(shù)手段,保障組織信息安全的一種方法ISMS是管理體系(MS)家族的一個(gè)成員ISO/IECJTC1/SC27/WG1(國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì)聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1),WG1做為ISMS標(biāo)準(zhǔn)的工作組,負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南信息安全管理體系(ISMS)介紹InformationSeISO27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC27000基礎(chǔ)與術(shù)語起草中,未發(fā)布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS實(shí)用規(guī)則2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS實(shí)施指南起草中,未發(fā)布ISO/IEC27004ISMSMetricsandMeasurementISMS的測(cè)量起草中,未發(fā)布ISO/IEC27005InformationSecurityRiskManagement信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC27006Certificationand

Registrationprocess審核認(rèn)證機(jī)構(gòu)要求2007年2月ISO27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IISO27001的歷史ISO27001的歷史等同的國家標(biāo)準(zhǔn)GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

我國已將ISO27001和ISO27002系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月,經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn),全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布兩個(gè)新的國家標(biāo)準(zhǔn),并于2008年11月1日起實(shí)施。等同的國家標(biāo)準(zhǔn)GB/T22080-2008信息技術(shù)安全提升競(jìng)爭(zhēng)力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率ISO27001提升競(jìng)爭(zhēng)力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立當(dāng)前獲得ISO27001證書的組織分布(2008年9月)

當(dāng)前獲得ISO27001證書的組織分布(2008年9月)1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27ISO27001信息安全管理體系要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全管理體系(InformationSecuritryManagementSystems)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果,表示成方針、原則、目標(biāo)、方法、過程、核查表(Checklists)等要素的集合。

ISO27001信息安全管理體系要求相關(guān)方受控的信息安全相關(guān)定義范圍和邊界定義安全策略定義風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)準(zhǔn)備適用性聲明(SoA)建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS定義范圍和邊界建立ISMS檢查Check建立ISMS保持和監(jiān)實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃管理ISMS的運(yùn)行管理ISMS的資源應(yīng)急響應(yīng)、事故管理實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施ISMS有效性的定期評(píng)審測(cè)量控制措施的有效性定期實(shí)施ISMS內(nèi)部審核定期進(jìn)行ISMS管理評(píng)審監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃保持和改進(jìn)ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施已識(shí)別的ISMS改進(jìn)措施采取合適的糾正和預(yù)防措施從安全經(jīng)驗(yàn)中吸取教訓(xùn)向所有相關(guān)方溝通措施和改進(jìn)情況保持和改進(jìn)ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性,是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言:兩種因素造成對(duì)其使命的實(shí)際影響:一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IECGUIDE73將風(fēng)險(xiǎn)定義為:事件的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性,是實(shí)現(xiàn)一個(gè)事件的不風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。風(fēng)險(xiǎn)管理的目標(biāo):高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標(biāo)概率風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別威脅識(shí)別分析和評(píng)價(jià)風(fēng)險(xiǎn)

風(fēng)險(xiǎn)處理計(jì)劃識(shí)別脆弱性當(dāng)前控制措施分析風(fēng)險(xiǎn)監(jiān)控、檢查與溝通信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別威脅識(shí)別分析和評(píng)價(jià)識(shí)別威脅威脅威脅可多種屬性來刻畫:威脅的主體(威脅源)、能力、資源、動(dòng)機(jī)、途徑幾種常見威脅:自然災(zāi)害計(jì)算機(jī)犯罪員工操作失誤商業(yè)間諜黑客ISO27001將威脅定義如下:可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因識(shí)別威脅威脅威脅可多種屬性來刻畫:威脅的主體(威脅源)、能力識(shí)別脆弱性脆弱性常被成為漏洞幾種常見脆弱性:簡(jiǎn)單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗(yàn)表明:大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的,但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)脆弱性。ISO27001將脆弱性定義如下:可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn)識(shí)別脆弱性脆弱性常被成為漏洞ISO27001將脆弱性定義如分析當(dāng)前控制ISO27002將控制定義如下:管理風(fēng)險(xiǎn)的方法,包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的??刂拼胧┮灿糜诜雷o(hù)措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析——單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性(或概率)分析當(dāng)前控制ISO27002將控制定義如下:控制措施也用于風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析:系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)價(jià):將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程存在定性、定量?jī)煞N風(fēng)險(xiǎn)分析方法實(shí)例:風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析:系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn),接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃.可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合:采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce)風(fēng)險(xiǎn)。了解并客觀地接受(accept)風(fēng)險(xiǎn),倘若他們清除的符合公司策略并在可接受風(fēng)險(xiǎn)范圍之內(nèi),或者如果采取控制(control)措施的話,成本太高。通過放棄當(dāng)前的某些活動(dòng)來規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其它組織,例如保險(xiǎn)公司、供應(yīng)商等。風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn),接著便是制定其對(duì)應(yīng)定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi)初始風(fēng)險(xiǎn)水平(高)可接受的風(fēng)險(xiǎn)水平(Low)殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)級(jí)別高中低殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)控制措施選擇

從針對(duì)性和實(shí)施方式來看,控制措施分三類:管理(Administrative)性:安全策略,流程,組織與職責(zé)等操作(Operation)性:人員職責(zé),事故反應(yīng),意識(shí)培訓(xùn),系統(tǒng)開發(fā)等等技術(shù)(Technical)性:加密,訪問控制,審計(jì)等或者從功能上來分,控制措施類型包括:威懾性(Deterrent):告示、標(biāo)語預(yù)防性(Preventive):培訓(xùn),操作手冊(cè),加密,身份認(rèn)證檢測(cè)性(Detective):CCTV,保安,報(bào)警糾正性(Corrective):培訓(xùn),問責(zé),應(yīng)急響應(yīng),災(zāi)備控制措施選擇

從針對(duì)性和實(shí)施方式來看,控制措施分三類:風(fēng)險(xiǎn)成本最佳投資點(diǎn)基本原則實(shí)施安全控制措施的代價(jià)不應(yīng)該大于要保護(hù)的資產(chǎn)的價(jià)值選擇控制措施時(shí)的成本效益分析風(fēng)險(xiǎn)成本最佳投資點(diǎn)基本原則選擇控制措施時(shí)的成本效益分析1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針(SecurityPolicy)二、組織信息安全(OrganizingInformationSecurity)三、資產(chǎn)管理(AssetManagement)四、人力資源安全(HumanResourceSecurity)五、物理及環(huán)境安全(PhysicalandEnvironmentalSecurity)六、通信與操作管理(CommunicationsandOperationsManagement)八、系統(tǒng)獲取、開發(fā)與維護(hù)(InformationSystemAcquisition,DevelopmentandMaintenance)七、訪問控制(AccessControl)九、信息安全事件管理(InformationSecurityIncidentManagement)十、業(yè)務(wù)持續(xù)性管理(BusinessContinuityManagement)十一、符合性(Compliance)11個(gè)安全域,39個(gè)控制目標(biāo),133個(gè)控制點(diǎn)ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針(Sec控制域1:安全方針信息安全方針文件信息安全方針文件的評(píng)審1.1信息安全方針

依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全

控制域1:安全方針信息安全方針文件依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)控制域2:組織信息安全信息安全的管理承諾信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議2.1內(nèi)部組織

在組織內(nèi)管理信息安全與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全控制域2:組織信息安全信息安全的管理承諾2.1內(nèi)部組織在組控制域3:資產(chǎn)管理資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的合格使用3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)分類指南信息的標(biāo)記和處理3.2資產(chǎn)分類確保信息受到適當(dāng)級(jí)別的保護(hù)控制域3:資產(chǎn)管理資產(chǎn)清單3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)控制域4:人力資源安全角色和職責(zé)背景審查任用條款和條件4.1任用之前確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的,以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)管理職責(zé)信息安全意識(shí)、教育和培訓(xùn)紀(jì)律處理過程4.2任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風(fēng)險(xiǎn)終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)4.3任用的終止或變化確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系控制域4:人力資源安全角色和職責(zé)4.1任用之前確保雇員、承包控制域5:物理和環(huán)境安全物理安全邊界物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)組織場(chǎng)所外的設(shè)備安全設(shè)備的安全處置和再利用資產(chǎn)的移動(dòng)5.2設(shè)備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制域5:物理和環(huán)境安全物理安全邊界5.1安全區(qū)域防止對(duì)組控制域6:通信和操作管理文件化的操作程序變更管理責(zé)任分割開發(fā)、測(cè)試和運(yùn)行設(shè)施分離6.1操作程序和職責(zé)確保正確、安全的操作信息處理設(shè)施服務(wù)交付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理6.2第三方服務(wù)交付管理實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)容量管理系統(tǒng)驗(yàn)收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小控制域6:通信和操作管理文件化的操作程序6.1操作程序和職責(zé)控制域6:通信和操作管理(續(xù))控制惡意代碼控制移動(dòng)代碼6.4防范惡意和移動(dòng)代碼保護(hù)軟件和信息的完整性信息備份6.5備份保持信息和信息處理設(shè)施的完整性及可用性網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施控制域6:通信和操作管理(續(xù))控制惡意代碼6.4防范惡意和移控制域6:通信和操作管理(續(xù))可移動(dòng)介質(zhì)的管理介質(zhì)的處置信息處理程序系統(tǒng)文件安全6.7介質(zhì)處置防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷信息交換策略和程序交換協(xié)議運(yùn)輸中的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)6.8信息的交換保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全電子商務(wù)在線交易公共可用信息6.9電子商務(wù)服務(wù)確保電子商務(wù)服務(wù)的安全及其安全使用控制域6:通信和操作管理(續(xù))可移動(dòng)介質(zhì)的管理6.7介質(zhì)處置控制域6:通信和操作管理(續(xù))審計(jì)日志監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步6.10監(jiān)視檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)控制域6:通信和操作管理(續(xù))審計(jì)日志6.10監(jiān)視檢測(cè)未經(jīng)授控制域7:訪問控制訪問控制策略7.1訪問控制的業(yè)務(wù)要求控制對(duì)信息的訪問用戶注冊(cè)特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復(fù)查7.2用戶訪問管理確保授權(quán)用戶訪問信息系統(tǒng),并防止未授權(quán)的訪問口令使用無人值守的用戶設(shè)備清空桌面和屏幕策略7.3用戶職責(zé)防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取控制域7:訪問控制訪問控制策略7.1訪問控制的業(yè)務(wù)要求控制對(duì)控制域7:訪問控制(續(xù))使用網(wǎng)絡(luò)服務(wù)的策略外部連接的用戶鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)遠(yuǎn)程診斷和配置端口的保護(hù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制7.4網(wǎng)絡(luò)訪問控制防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問安全登錄程序用戶標(biāo)識(shí)和鑒別口令管理系統(tǒng)系統(tǒng)實(shí)用工具的使用會(huì)話超時(shí)聯(lián)機(jī)時(shí)間的限定7.5操作系統(tǒng)訪問控制防止對(duì)操作系統(tǒng)的未授權(quán)訪問信息訪問限制敏感系統(tǒng)隔離7.6應(yīng)用和信息訪問控制防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問控制域7:訪問控制(續(xù))使用網(wǎng)絡(luò)服務(wù)的策略7.4網(wǎng)絡(luò)訪問控制控制域7:訪問控制(續(xù))移動(dòng)計(jì)算和通訊遠(yuǎn)程工作7.7移動(dòng)計(jì)算和遠(yuǎn)程工作確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全控制域7:訪問控制(續(xù))移動(dòng)計(jì)算和通訊7.7移動(dòng)計(jì)算和遠(yuǎn)程工控制域8:信息系統(tǒng)獲取、開發(fā)和維護(hù)安全要求分析和說明8.1信息系統(tǒng)的安全要求確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分輸入數(shù)據(jù)驗(yàn)證內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗(yàn)證8.2應(yīng)用中的正確處理防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改及誤用使用密碼控制的策略密鑰管理8.3密碼控制通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性控制域8:信息系統(tǒng)獲取、開發(fā)和維護(hù)安全要求分析和說明8.1信控制域8:信息系統(tǒng)獲取、開發(fā)和維護(hù)(續(xù))運(yùn)行軟件的控制系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)對(duì)程序源代碼的訪問控制8.4系統(tǒng)文件的安全確保系統(tǒng)文件的安全變更控制程序操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審軟件包變更的限制信息泄露外包軟件開發(fā)8.5開發(fā)和支持過程中的安全維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全技術(shù)脆弱性的控制8.6技術(shù)脆弱性管理降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)控制域8:信息系統(tǒng)獲取、開發(fā)和維護(hù)(續(xù))運(yùn)行軟件的控制8.4控制域9:信息安全事件管理報(bào)告信息安全事態(tài)報(bào)告安全弱點(diǎn)9.1報(bào)告信息安全事態(tài)和弱點(diǎn)確保與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá),以便及時(shí)采取糾正措施職責(zé)和程序?qū)π畔踩录目偨Y(jié)證據(jù)的收集9.2信息安全事件和改進(jìn)的管理確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理控制域9:信息安全事件管理報(bào)告信息安全事態(tài)9.1報(bào)告信息安全控制域10:業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理過程中包含的信息安全業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃框架測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃10.1業(yè)務(wù)連續(xù)性管理的信息安全方面防止業(yè)務(wù)活動(dòng)中斷,保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響,并確保它們的及時(shí)恢復(fù)控制域10:業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理過程中包含的信息安控制域11:符合性可用法律的識(shí)別知識(shí)產(chǎn)權(quán)(IPR)保護(hù)組織的記錄數(shù)據(jù)保護(hù)和個(gè)人信息的隱私防止濫用信息處理設(shè)施密碼控制措施的規(guī)則11.1符合法律要求避免違反任何法律、法令、法規(guī)或合同義務(wù),以及任何安全要求符合安全策略和標(biāo)準(zhǔn)技術(shù)符合性檢查11.2符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性確保系統(tǒng)符合組織的安全策略及標(biāo)準(zhǔn)信息系統(tǒng)審核控制措施信息系統(tǒng)審核工具的保護(hù)11.3信息系統(tǒng)審核考慮將信息系統(tǒng)審核過程的有效性最大化,干擾最小化控制域11:符合性可用法律的識(shí)別11.1符合法律要求避免違招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

ISO27001信息安全管理體系介紹

2009年3月招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

ISO27001信息安全管理體1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)?信息的泄漏是否會(huì)給企業(yè)帶來重大影響?信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響?信息的可用性對(duì)企業(yè)是否帶來重大影響?我們是否清楚知道什么信息對(duì)企業(yè)是重要的?信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)?我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式,是否收到足夠保護(hù)?信息安全事件給企業(yè)造成的最大/最壞影響?幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)?1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27信息資產(chǎn)信息:數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排(fallbackarrangement)、審核跟蹤記錄(audittrails)、歸檔信息;軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序;物理資產(chǎn):計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備;服務(wù):計(jì)算和通信服務(wù)(例如,網(wǎng)絡(luò)瀏覽、域名解析)、公用設(shè)施(例如,供暖,照明,能源,空調(diào));人員,他們的資格、技能和經(jīng)驗(yàn);無形資產(chǎn),如組織的聲譽(yù)和形象。信息資產(chǎn)類型:信息資產(chǎn)信息:數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式:信息資產(chǎn)電腦數(shù)據(jù)信息資產(chǎn)存在方式:信息資產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷毀/拋棄信息資產(chǎn)的生命周期:產(chǎn)生使用存貯傳輸銷毀/拋棄信息資產(chǎn)產(chǎn)生信息資產(chǎn)的生命周期:產(chǎn)生使用存貯傳輸銷毀/拋棄什么是信息安全?ISO27001將信息安全定義如下:保證信息的保密性,完整性,可用性;另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性保密性可用性保密性:信息不能被未授權(quán)的個(gè)人,實(shí)體或者過程利用或知悉的特性可用性:根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性完整性:保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性什么是信息安全?ISO27001將信息安全定義如下:保密1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27信息安全管理體系(ISMS)介紹InformationSecurityManagementSystem(ISMS)信息安全管理體系基于國際標(biāo)準(zhǔn)ISO/IEC27001:信息安全管理體系要求是綜合信息安全管理和技術(shù)手段,保障組織信息安全的一種方法ISMS是管理體系(MS)家族的一個(gè)成員ISO/IECJTC1/SC27/WG1(國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì)聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1),WG1做為ISMS標(biāo)準(zhǔn)的工作組,負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南信息安全管理體系(ISMS)介紹InformationSeISO27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC27000基礎(chǔ)與術(shù)語起草中,未發(fā)布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS實(shí)用規(guī)則2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS實(shí)施指南起草中,未發(fā)布ISO/IEC27004ISMSMetricsandMeasurementISMS的測(cè)量起草中,未發(fā)布ISO/IEC27005InformationSecurityRiskManagement信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC27006Certificationand

Registrationprocess審核認(rèn)證機(jī)構(gòu)要求2007年2月ISO27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IISO27001的歷史ISO27001的歷史等同的國家標(biāo)準(zhǔn)GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

我國已將ISO27001和ISO27002系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月,經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn),全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布兩個(gè)新的國家標(biāo)準(zhǔn),并于2008年11月1日起實(shí)施。等同的國家標(biāo)準(zhǔn)GB/T22080-2008信息技術(shù)安全提升競(jìng)爭(zhēng)力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率ISO27001提升競(jìng)爭(zhēng)力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立當(dāng)前獲得ISO27001證書的組織分布(2008年9月)

當(dāng)前獲得ISO27001證書的組織分布(2008年9月)1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27ISO27001信息安全管理體系要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全管理體系(InformationSecuritryManagementSystems)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果,表示成方針、原則、目標(biāo)、方法、過程、核查表(Checklists)等要素的集合。

ISO27001信息安全管理體系要求相關(guān)方受控的信息安全相關(guān)定義范圍和邊界定義安全策略定義風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)準(zhǔn)備適用性聲明(SoA)建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS定義范圍和邊界建立ISMS檢查Check建立ISMS保持和監(jiān)實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃管理ISMS的運(yùn)行管理ISMS的資源應(yīng)急響應(yīng)、事故管理實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施ISMS有效性的定期評(píng)審測(cè)量控制措施的有效性定期實(shí)施ISMS內(nèi)部審核定期進(jìn)行ISMS管理評(píng)審監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃保持和改進(jìn)ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施已識(shí)別的ISMS改進(jìn)措施采取合適的糾正和預(yù)防措施從安全經(jīng)驗(yàn)中吸取教訓(xùn)向所有相關(guān)方溝通措施和改進(jìn)情況保持和改進(jìn)ISMS檢查Check建立ISMS保持和監(jiān)視和規(guī)劃1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性,是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言:兩種因素造成對(duì)其使命的實(shí)際影響:一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IECGUIDE73將風(fēng)險(xiǎn)定義為:事件的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性,是實(shí)現(xiàn)一個(gè)事件的不風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。風(fēng)險(xiǎn)管理的目標(biāo):高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標(biāo)概率風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別威脅識(shí)別分析和評(píng)價(jià)風(fēng)險(xiǎn)

風(fēng)險(xiǎn)處理計(jì)劃識(shí)別脆弱性當(dāng)前控制措施分析風(fēng)險(xiǎn)監(jiān)控、檢查與溝通信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別威脅識(shí)別分析和評(píng)價(jià)識(shí)別威脅威脅威脅可多種屬性來刻畫:威脅的主體(威脅源)、能力、資源、動(dòng)機(jī)、途徑幾種常見威脅:自然災(zāi)害計(jì)算機(jī)犯罪員工操作失誤商業(yè)間諜黑客ISO27001將威脅定義如下:可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因識(shí)別威脅威脅威脅可多種屬性來刻畫:威脅的主體(威脅源)、能力識(shí)別脆弱性脆弱性常被成為漏洞幾種常見脆弱性:簡(jiǎn)單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗(yàn)表明:大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的,但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)脆弱性。ISO27001將脆弱性定義如下:可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn)識(shí)別脆弱性脆弱性常被成為漏洞ISO27001將脆弱性定義如分析當(dāng)前控制ISO27002將控制定義如下:管理風(fēng)險(xiǎn)的方法,包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的??刂拼胧┮灿糜诜雷o(hù)措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析——單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性(或概率)分析當(dāng)前控制ISO27002將控制定義如下:控制措施也用于風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析:系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)價(jià):將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程存在定性、定量?jī)煞N風(fēng)險(xiǎn)分析方法實(shí)例:風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析:系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn),接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃.可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合:采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce)風(fēng)險(xiǎn)。了解并客觀地接受(accept)風(fēng)險(xiǎn),倘若他們清除的符合公司策略并在可接受風(fēng)險(xiǎn)范圍之內(nèi),或者如果采取控制(control)措施的話,成本太高。通過放棄當(dāng)前的某些活動(dòng)來規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其它組織,例如保險(xiǎn)公司、供應(yīng)商等。風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn),接著便是制定其對(duì)應(yīng)定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi)初始風(fēng)險(xiǎn)水平(高)可接受的風(fēng)險(xiǎn)水平(Low)殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)級(jí)別高中低殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)控制措施選擇

從針對(duì)性和實(shí)施方式來看,控制措施分三類:管理(Administrative)性:安全策略,流程,組織與職責(zé)等操作(Operation)性:人員職責(zé),事故反應(yīng),意識(shí)培訓(xùn),系統(tǒng)開發(fā)等等技術(shù)(Technical)性:加密,訪問控制,審計(jì)等或者從功能上來分,控制措施類型包括:威懾性(Deterrent):告示、標(biāo)語預(yù)防性(Preventive):培訓(xùn),操作手冊(cè),加密,身份認(rèn)證檢測(cè)性(Detective):CCTV,保安,報(bào)警糾正性(Corrective):培訓(xùn),問責(zé),應(yīng)急響應(yīng),災(zāi)備控制措施選擇

從針對(duì)性和實(shí)施方式來看,控制措施分三類:風(fēng)險(xiǎn)成本最佳投資點(diǎn)基本原則實(shí)施安全控制措施的代價(jià)不應(yīng)該大于要保護(hù)的資產(chǎn)的價(jià)值選擇控制措施時(shí)的成本效益分析風(fēng)險(xiǎn)成本最佳投資點(diǎn)基本原則選擇控制措施時(shí)的成本效益分析1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針(SecurityPolicy)二、組織信息安全(OrganizingInformationSecurity)三、資產(chǎn)管理(AssetManagement)四、人力資源安全(HumanResourceSecurity)五、物理及環(huán)境安全(PhysicalandEnvironmentalSecurity)六、通信與操作管理(CommunicationsandOperationsManagement)八、系統(tǒng)獲取、開發(fā)與維護(hù)(InformationSystemAcquisition,DevelopmentandMaintenance)七、訪問控制(AccessControl)九、信息安全事件管理(InformationSecurityIncidentManagement)十、業(yè)務(wù)持續(xù)性管理(BusinessContinuityManagement)十一、符合性(Compliance)11個(gè)安全域,39個(gè)控制目標(biāo),133個(gè)控制點(diǎn)ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針(Sec控制域1:安全方針信息安全方針文件信息安全方針文件的評(píng)審1.1信息安全方針

依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全

控制域1:安全方針信息安全方針文件依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)控制域2:組織信息安全信息安全的管理承諾信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議2.1內(nèi)部組織

在組織內(nèi)管理信息安全與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全控制域2:組織信息安全信息安全的管理承諾2.1內(nèi)部組織在組控制域3:資產(chǎn)管理資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的合格使用3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)分類指南信息的標(biāo)記和處理3.2資產(chǎn)分類確保信息受到適當(dāng)級(jí)別的保護(hù)控制域3:資產(chǎn)管理資產(chǎn)清單3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)控制域4:人力資源安全角色和職責(zé)背景審查任用條款和條件4.1任用之前確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的,以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)管理職責(zé)信息安全意識(shí)、教育和培訓(xùn)紀(jì)律處理過程4.2任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風(fēng)險(xiǎn)終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)4.3任用的終止或變化確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系控制域4:人力資源安全角色和職責(zé)4.1任用之前確保雇員、承包控制域5:物理和環(huán)境安全物理安全邊界物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)組織場(chǎng)所外的設(shè)備安全設(shè)備的安全處置和再利用資產(chǎn)的移動(dòng)5.2設(shè)備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制域5:物理和環(huán)境安全物理安全邊界5.1安全區(qū)域防止對(duì)組控制域6:通信和操作管理文件化的操作程序變更管理責(zé)任分割開發(fā)、測(cè)試和運(yùn)行設(shè)施分離6.1操作程序和職責(zé)確保正確、安全的操作信息處理設(shè)施服務(wù)交付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理6.2第三方服務(wù)交付管理實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn)容量管理系統(tǒng)驗(yàn)收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小控制域6:通信和操作管理文件化的操作程序6.1操作程序和職責(zé)控制域6:通信和操作管理(續(xù))控制惡意代碼控制移動(dòng)代碼6.4防范惡意和移動(dòng)代碼保護(hù)軟件和信息的完整性信息備份6.5備份保持信息和信息處理設(shè)施的完整性及可用性網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施控制域6:通信和操作管理(續(xù))控制惡意代碼6.4防范惡意和移控制域6:通信和操作管理(續(xù))可

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論