ISO27001信息安全管理體系培訓(xùn)基礎(chǔ)知識.ppt

1、信息安全管理體系（ISMS）基礎(chǔ)知識培訓(xùn),目錄,什么是信息 什么是信息安全 為什么實施信息安全管理 如何實施信息安全管理 信息安全管理體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,目錄,什么是信息 什么是信息安全 為什么實施信息安全管理 如何實施信息安全管理 信息安全管理體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,目錄,什么是信息,信息通常指消息、情報、數(shù)據(jù)和知識等，在ISO/IEC27001標(biāo)準(zhǔn)中信息是指對組織具有重要價值，可以通過多媒體傳遞和存儲的一種資產(chǎn)。,什么是信息,什么是

2、信息 什么是信息安全 為什么實施信息安全管理 如何實施信息安全管理 信息安全管理體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,什么是信息安全,信息安全的作用是保護(hù)信息業(yè)務(wù)涉及范圍不受威脅所干擾，使組織業(yè)務(wù)暢順，減少損失及增大投資回報和商機(jī)。在ISO/IEC27001標(biāo)準(zhǔn)中信息安全主要指信息的機(jī)密性、完整性和可用性的保持。即指通過采用計算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機(jī)密性、完整性和可用性不被破壞。,什么是信息安全,什么是信息安全-信息

3、的機(jī)密性,信息的機(jī)密性是指確保授予或特定權(quán)限的人才能訪問到信息。信息的機(jī)密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。一般分為秘密、機(jī)密和絕密三個等級，已授權(quán)用戶根據(jù)所授予的操作權(quán)限可以對保密信息進(jìn)行操作。,什么是信息安全信息的機(jī)密性,什么是信息安全信息的完整性,信息的完整性是指要保證信息使用和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、存儲、備份、交換信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象；另一方面是指信息處理方法的正確性，信息備份、系統(tǒng)恢復(fù)、銷

4、毀等處理不正當(dāng)?shù)牟僮鳎锌赡茉斐芍匾募膩G失，甚至整個系統(tǒng)的癱瘓。,什么是信息安全信息的完整性,什么是信息安全信息的可用性,信息的可用性是指確保已被授權(quán)的用戶訪問時得到所需要信息。即信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時可立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r及時恢復(fù)。,另外還要保證信息的真實性和有效性,即組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。,什么是信息安全信息的可用性,什么是信息 什么是信息安全 為什么實施信息安全管理 如何實施信息安全管理 信息安全管理

5、體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,為什么要實施信息安全管理,實施信息管理原因：自1987年以來，全世界已發(fā)現(xiàn)超過50000種計算機(jī)病毒，2000年爆發(fā)的“愛蟲”病毒給全球用戶造成了100億美元的損失；美國每年因信息與網(wǎng)絡(luò)安全問題所造成的損失高達(dá)75億美元。即使是防備森嚴(yán)的美國國防信息系統(tǒng)2000年也受到25萬次黑客攻擊，且成功進(jìn)入率高達(dá)63%。 然而，能對組織造成巨大損失的風(fēng)險主要還是來源于組織內(nèi)部，國外統(tǒng)計結(jié)果表明企業(yè)信息受到的損失中，70%是由于內(nèi)部員工的疏忽或有意泄密造成。,為什么要實施信息安全管理,實施信息管理原因：多

6、數(shù)計算機(jī)使用者很少接受嚴(yán)格的信息安全意識培訓(xùn)，每天都在以不安全的方式處理企業(yè)的大量重要信息，而且企業(yè)的合作單位、咨詢機(jī)構(gòu)等外部人員都以不同的方式使用企業(yè)的信息系統(tǒng)，對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。如員工為了方便記憶系統(tǒng)登錄口令而在明顯處粘一便條，就足以毀掉花費(fèi)了大量成本建立的信息系統(tǒng)。許多對企業(yè)心存不滿的員工把“黑”掉企業(yè)網(wǎng)站，偷竊并散布客戶敏感信息，為競爭對手提供機(jī)密資料，甚至破壞關(guān)鍵信息系統(tǒng)作為報復(fù)企業(yè)，致使企業(yè)蒙受了巨大的經(jīng)濟(jì)損失。,為什么要實施信息安全管理,實施信息管理原因：目前單一的技術(shù)手段已難以解決企業(yè)信息安全問題，只有建立一套完善的信息安全管理流程并嚴(yán)格執(zhí)行，才能有效降低信息安

7、全風(fēng)險，保障企業(yè)信息業(yè)務(wù)的連續(xù)性。,實施信息管理必然性：實踐證明信息安全是個復(fù)雜的系統(tǒng)問題，解決系統(tǒng)性安全問題，必須以系統(tǒng)的方法來解決，建立管理體系(明確方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系，是系統(tǒng)性解決復(fù)雜問題的有效方法。為了保證信息安全管理的有效性、充分性和適宜性組織需要建立信息安全管理體系(ISMS)，信息安全管理體系通過固化信息安全管理范圍，制定信息安全管理策略方針與與目標(biāo)，明確信息安全管理職責(zé)、落實控制目標(biāo)并選擇控制措施進(jìn)行管控，全面系統(tǒng)保障管理信息的安全。,從系統(tǒng)論觀點來看, 一個體系(系統(tǒng))必須具有自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長的能力和功能才可以保證其持續(xù)有效性。 信息安全管理

8、體系通過不斷的識別組織和相關(guān)方的信息安全要求，不斷的識別外界環(huán)境和組織自身的變化，不斷的學(xué)習(xí)采用最新的管理理念和技術(shù)手段，不斷的調(diào)整自己的目標(biāo)、方針、程序和過程等，才可以實現(xiàn)持續(xù)的安全。 本標(biāo)準(zhǔn)可以適合于不同性質(zhì)、規(guī)模、結(jié)構(gòu)和環(huán)境的各種組織。因為不擁有成熟的IT系統(tǒng)而擔(dān)心不可能通過ISO/IEC 27001認(rèn)證是不必要的。,實施信息管理必然性：,為什么要實施信息安全管理,如果因為預(yù)算困難或其他原因，不能一下子降低所有不可接受風(fēng)險到可接受程度時，能否通過體系認(rèn)證，也是很多人關(guān)心的問題。通常審核員關(guān)心的是組織建立的ISMS是否完整，是否運(yùn)行正常，是否有重大的信息安全風(fēng)險沒有得到識別和評估。有小部分

9、的風(fēng)險暫時得不到有效處置是允許的，當(dāng)然“暫時接受”的不可接受風(fēng)險不可以包括違背法律法規(guī)的風(fēng)險。,實施信息管理必然性：,為什么要實施信息安全管理,什么是信息 什么是信息安全 為什么實施信息安全管理 信息安全管理體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,ISMS概述,本標(biāo)準(zhǔn)用于為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Information Security Management System，簡稱ISMS）提供模型。 采用ISMS應(yīng)當(dāng)是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設(shè)計和實施受業(yè)務(wù)需求和目標(biāo)、安全需求、

10、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。上述因素及其支持過程會不斷發(fā)生變化。期望信息安全管理體系可以根據(jù)組織的需求而測量，例如簡單的情形可采用簡單的ISMS解決方案。 本標(biāo)準(zhǔn)可被相關(guān)的內(nèi)部方和外部方運(yùn)用以評估一致性。,ISMS概述,什么是信息 什么是信息安全 為什么實施信息安全管理 信息安全管理體系（ISMS）概述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,ISMS標(biāo)準(zhǔn)體系ISO/IEC27000族介紹,27007信息安全管理體系 審核指南,ISO/IEC27000族,27000 -信息安全管理體系 綜述與術(shù)語,27001-信息安全管理體系 要求,2700

11、2-信息安全管理體系 實踐規(guī)范,27003-信息安全管理體系 實施指南,27004- 信息安全管理體系 測量,27005-信息安全管理體系信息安全風(fēng)險管理,27006-信息安全管理體系認(rèn)證機(jī)構(gòu)要求,ISMS介紹- ISO/IEC27000族發(fā)布時間,ISO/IEC 177992005 信息安全管理實施細(xì)則,于2005年6月15日正式發(fā)布； ISO/IEC 27001 信息安全管理體系要求，于2005年10月15日正式發(fā)布； ISO/IEC 27002 信息安全管理體系最佳實踐，于2007年4月正式發(fā)布； ISO/IEC 27003 信息安全管理體系實施指南，正在ISMS標(biāo)準(zhǔn)的工作組研究并征求意

12、見階段； ISO/IEC 27004 信息安全管理度量和改進(jìn)，正在委員會草案階段； ISO/IEC 27005 信息安全風(fēng)險管理指南，以2005年底剛剛推出的BS 7799-3為準(zhǔn)。,ISMS介紹- ISO/IEC27001信息安全管理體系與其它體系兼容性,ISO9001：2008 質(zhì)量管理體系 ISO14001：2004 環(huán)境管理體系 ISO/TS16949：2009 汽車行業(yè)質(zhì)量管理體系 TL9000：通信行業(yè)質(zhì)量管理體系 IEC QC080000：2005 有害物質(zhì)過程管理體系 ISOIEC20000： ,什么是信息 什么是信息安全 為什么實施信息安全管理 信息安全管理體系（ISMS）概

13、述 信息安全管理體系（ISMS）標(biāo)準(zhǔn)介紹 信息安全管理體系（ISMS）實施控制重點,A.6 信息安全組織,A.8 人力資源安全,A.7 資產(chǎn)管理,A.12 系統(tǒng)獲取開發(fā)和維護(hù),A.9 物理和環(huán)境安全,A.5 信息安全方針,A.14 業(yè)務(wù)持續(xù)性管理,A.10 通信和操作管理,A.13 信息安全事件管理,A.11 訪問控制,A.15 符合性,ISO/IEC27001控制大項,A.16 教育培訓(xùn),ISMS控制大項說明,安全方針：制定信息安全方針，為信息安全提供管理指導(dǎo)和支持，并定期評審； 信息安全組織：建立信息安全基礎(chǔ)設(shè)施，管理組織范圍內(nèi)的信息安全；維護(hù)被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的

14、安全，以及當(dāng)信息處理外包給其他組織時，確保信息的安全。 資產(chǎn)管理：核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。 人力資源安全：確保所有員工、合同方和第三方了解信息安全威脅和相關(guān)事宜，他們的責(zé)任、義務(wù)，以減少人為差錯、盜竊、欺詐或誤用設(shè)施的風(fēng)險。,ISO/IEC27001控制大項-管理內(nèi)容,ISMS控制大項說明,物理與環(huán)境安全：定義安全區(qū)域，防止對辦公場所和信息的未授權(quán)訪問、破壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失、損壞或被盜，以及對業(yè)務(wù)活動的干擾；同時，還要做好一般控制，防止信息和信息處理設(shè)施的損壞或被盜。 通訊和操作管理：制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和

15、安全操作；建立系統(tǒng)規(guī)劃和驗收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險減到最低；防范惡意代碼和移動代碼，保護(hù)軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性基礎(chǔ)設(shè)施得到保護(hù)；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動的中斷；防止信息和軟件在組織之間交換時丟失、修改或誤用。,ISO/IEC27001控制大項-管理內(nèi)容,ISMS控制大項說明,訪問控制：制定文件化的訪問控制策略，避免信息系統(tǒng)的未授權(quán)訪問，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用系統(tǒng)和信息訪問控制、監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權(quán)的活動；當(dāng)使用移動辦公和遠(yuǎn)程工作時，也要確保信息安全。

16、信息系統(tǒng)的獲取、開發(fā)和維護(hù)：標(biāo)識系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分；控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失、被修改或誤用；通過加密手段保護(hù)信息的保密性、真實性和完整性；控制對系統(tǒng)文件的訪問，確保系統(tǒng)文檔的安全；嚴(yán)格控制開發(fā)和支持過程，維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。,ISO/IEC27001控制大項-管理內(nèi)容,ISMS控制大項說明,信息安全事故的管理：報告信息安全事件和弱點，及時采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故。 業(yè)務(wù)連續(xù)性管理：目的是為了減少業(yè)務(wù)活動的中斷，使關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響，并確保他們的及時恢復(fù)。 符合性：信息系統(tǒng)的設(shè)計、操作、使用和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審核，使系統(tǒng)審核過程的效力最大化、干擾最小化。,ISO/IEC27001控制大項-管理內(nèi)容,ISO/IEC27001信息安全管理體系將信息安全管理的內(nèi)容劃分為11個控制域，39個信息安全管理的控制目標(biāo)，133項安全控制措施，以下是12項