ISMS內(nèi)審員培訓(xùn)教學(xué)課件(57p)

1、ISMS內(nèi)審員培訓(xùn)課程SGS-CSTCStandardsTechnicalServicesCo.,Ltd.第1頁(yè)，共58頁(yè)。第一部分 信息安全基礎(chǔ)知識(shí)及案例介紹第二部分 ISO27001標(biāo)準(zhǔn)正文部分詳解 ISO27001標(biāo)準(zhǔn)附錄A詳解第三部分 信息安全風(fēng)險(xiǎn)評(píng)估與管理第四部分 體系文件編寫第五部分 信息安全管理體系內(nèi)部審核課程內(nèi)容第2頁(yè)，共58頁(yè)。了解信息安全基礎(chǔ)知識(shí)熟悉ISO27001標(biāo)準(zhǔn)熟悉信息安全風(fēng)險(xiǎn)管理的基本方法熟悉和掌握信息安全管理體系內(nèi)審方法和技巧總體課程目標(biāo)第3頁(yè)，共58頁(yè)。歡迎參加ISMS內(nèi)審員課程培訓(xùn) SGS-CSTC介紹講師介紹第4頁(yè)，共58頁(yè)。第一部分 信息安全基礎(chǔ)知識(shí)第5

2、頁(yè)，共58頁(yè)。 了解信息安全基礎(chǔ)知識(shí) 認(rèn)識(shí)信息安全對(duì)組織的重要性了解基本的攻擊與防御技術(shù)知識(shí) 通過(guò)信息安全案例增強(qiáng)安全意識(shí) 初步接觸ISO/IEC 27001:2005教學(xué)目標(biāo)第6頁(yè)，共58頁(yè)。信息是經(jīng)過(guò)分析、共享和理解的數(shù)據(jù)。信息的基本概念第7頁(yè)，共58頁(yè)。信息的處理方式第8頁(yè)，共58頁(yè)。企業(yè)管理關(guān)注的信息類型第9頁(yè)，共58頁(yè)。雇員的大腦：42%；紙質(zhì)文件：26%；電子文檔：20%其他：12%；“不論信息采取何種方式或采取何種手段共享或存儲(chǔ)，它總應(yīng)得到妥善保護(hù)”組織的“信息”在哪里？第10頁(yè)，共58頁(yè)。第11頁(yè)，共58頁(yè)。信息安全定義（部分）國(guó)標(biāo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則定義：“計(jì)算

3、機(jī)信息人機(jī)系統(tǒng)安全的目標(biāo)是著力于實(shí)體安全、運(yùn)行安全、信息安全和人員安全維護(hù)。安全保護(hù)的直接對(duì)象是計(jì)算機(jī)信息系統(tǒng)，實(shí)現(xiàn)安全保護(hù)的關(guān)鍵因素是人。“部標(biāo)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則定義是：“本標(biāo)準(zhǔn)適用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品，涉及實(shí)體安全、運(yùn)行安全和信息安全三個(gè)方面。”ISO 27002 定義：“信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)的損失，最大限度地獲取投資和商務(wù)的回報(bào)，涉及的是機(jī)密性、完整性、可用性。”國(guó)際標(biāo)準(zhǔn)化委員會(huì)定義：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞（可用性）、更改（完整性

4、）、顯露（機(jī)密性）”第12頁(yè)，共58頁(yè)。信息安全定義百家爭(zhēng)鳴、無(wú)一定論所涉及安全屬性所涉及層面第13頁(yè)，共58頁(yè)。管理/人員安全數(shù)據(jù)/信息安全運(yùn)行安全實(shí)體/物理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)安全物理安全信息安全 數(shù)據(jù)安全信息安全分層第14頁(yè)，共58頁(yè)。機(jī)密性(Confidentiality)完整性 可用性（Integrity ） (Availability)機(jī)密性（Cf）真實(shí)性（Au）可控性（Ct）可用性（Av）國(guó)際國(guó)內(nèi)一些學(xué)者第15頁(yè)，共58頁(yè)。信息安全的定義ISO/IEC 27002：2005保持信息的保密性、完整性、可用性；另外，也包括其他屬性，如：真實(shí)性、可核查性、不可否認(rèn)性和可靠性。保密性

5、完整性可用性第16頁(yè)，共58頁(yè)。信息安全的定義第17頁(yè)，共58頁(yè)。 Slide 18, rev 0ISO27002CMM/CMMISCAMPI (Standard CMMI Appraisal Method for Process Improvement)ITILISO12207ISO15504= SPICE（Software Process Improvement and Capability determination）ISO20000ISO27001ISO13335COBIT各種概念BCM/BS25999ISO15408/CCISO9001COSO第18頁(yè)，共58頁(yè)。Service mg

6、mt.AP. Dev. (SDLC)Project mgmt.IT SecurityIT PlanningQuality SystemIT OperationsEnter. mgmt.Risk mgmt.IT Gov.Quality Systems & Mgmt. FrameworksCOSO/BS31100/SOXISO38500/COBITISO20000/ITIL/CMMI-SVCCMMIISO12207ISO15504ISO2700X/ISO13335/SOXPCI/GLBA/HIPAA/BaseII.PMIIS StrategySIX SigmaISO900XBCMBS25999BS

7、25777第19頁(yè)，共58頁(yè)。Main regulations and standards:SOX: impact public companies and focus on financial informationGramm-Leach-Bliley: impact financial industry and focus on customer informationHIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders.PCI DSS:

8、 impact pay card industry and focus on information of cardholdersISO27001: General standardsISO20000: focus on IT services industryOthers: BaseII, SCANDA, CA1386, FISMA, NIST.第20頁(yè)，共58頁(yè)。信息具有重要的價(jià)值信息社會(huì)對(duì)信息的高度依賴信息的高附加值會(huì)引起盜竊、濫用等威脅信息及系統(tǒng)固有的脆弱性信息本身易傳播、易毀壞、易偽造信息平臺(tái)的脆弱性客觀存在：不可避免的因素（技術(shù)局限、人的能力局限）、沒(méi)有避免的因素（默認(rèn)配置）威脅客

9、觀存在惡意攻擊、企業(yè)間諜、內(nèi)部系統(tǒng)的誤用/濫用、敵對(duì)勢(shì)力等信息為什么會(huì)有安全問(wèn)題第21頁(yè)，共58頁(yè)。網(wǎng)絡(luò)為什么不安全因?yàn)槟氵B在網(wǎng)上網(wǎng)絡(luò)的美妙之處在于你和每個(gè)人都能互相連接網(wǎng)絡(luò)的可怕之處在于每個(gè)人都能和你互相連接第22頁(yè)，共58頁(yè)。信息資產(chǎn)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道信息安全面臨各種安全威脅第23頁(yè)，共58頁(yè)。TCP/IP的每個(gè)層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞電磁監(jiān)聽(tīng)第24頁(yè)，共58頁(yè)。常規(guī)的防護(hù)技術(shù)措施物理安全技術(shù)：環(huán)境

10、安全、設(shè)備安全、媒體安全；系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性；網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估；應(yīng)用安全技術(shù)：Email 安全、Web 訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全；數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA 特性；認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO 認(rèn)證（例如Kerberos）、證書(shū)認(rèn)證等；訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等；審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證；防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系；災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份。信息安全技術(shù)產(chǎn)品 = 防病毒軟件防火墻入侵檢測(cè)系統(tǒng).？第25

11、頁(yè)，共58頁(yè)。第26頁(yè)，共58頁(yè)。是不是把相關(guān)技術(shù)及產(chǎn)品都部署到位了，就安全了呢？到底如何做才能真正保障信息安全呢？下面我們先來(lái)看幾個(gè)案例第27頁(yè)，共58頁(yè)。北京市民搶購(gòu)熱情高 奧運(yùn)售票系統(tǒng)癱瘓2007年 10月 30日 星期二 14:51 路透北京10月30日電(記者Nick Mulvenney/劉蓁)-2008北京奧運(yùn)會(huì)門票銷售的第二階段周二早上開(kāi)始，由于購(gòu)票者甚多，訂票網(wǎng)站和電話線全部堵塞，購(gòu)票定點(diǎn)銀行的門前也排起了長(zhǎng)隊(duì)。奧組委宣布，在售票系統(tǒng)開(kāi)啟後的第一個(gè)小時(shí)，訂票網(wǎng)站的點(diǎn)擊量就達(dá)到了800萬(wàn)，組委會(huì)還接到了200萬(wàn)個(gè)訂票電話?！坝捎诋?dāng)前訪問(wèn)量過(guò)大，票務(wù)銷售系統(tǒng)數(shù)據(jù)處理能力相對(duì)有所不足

12、，從而造成目前各售票渠道出現(xiàn)售票速度較慢、暫時(shí)不能登錄系統(tǒng)的情況?！北本W組委在奧運(yùn)會(huì)官方網(wǎng)站()上說(shuō)?！氨本W運(yùn)票務(wù)中心正在積極采取措施，增加系統(tǒng)處理能力，改善目前的運(yùn)行狀況。因此，通過(guò)中國(guó)銀行和呼叫中心購(gòu)票的公眾需晚些時(shí)候再嘗試申購(gòu)?！钡?8頁(yè)，共58頁(yè)。諾頓誤殺導(dǎo)致操作系統(tǒng)崩潰 數(shù)百萬(wàn)電腦面臨滅頂之災(zāi)諾頓誤殺導(dǎo)致操作系統(tǒng)崩潰 數(shù)百萬(wàn)電腦面臨滅頂之災(zāi) 2007年05月18日 17:12:00 來(lái)源：新華網(wǎng) 新華網(wǎng)北京月日專電（記者顧洪洪）諾頓誤殺導(dǎo)致操作系統(tǒng)崩潰，數(shù)以百萬(wàn)計(jì)的電腦面臨滅頂之災(zāi)。月日，瑞星發(fā)布紅色安全警報(bào)稱：賽門鐵克公司提供的諾頓殺毒軟件在升級(jí)病毒庫(kù)后，會(huì)把系統(tǒng)的關(guān)鍵系統(tǒng)文件

13、當(dāng)作病毒清除，重啟后系統(tǒng)將會(huì)癱瘓。瑞星公司表示，截至日中午點(diǎn)已有超過(guò)名個(gè)人用戶和近百家企業(yè)用戶向瑞星客戶服務(wù)中心求助，更多用戶由于系統(tǒng)繁忙無(wú)法打入電話。第29頁(yè)，共58頁(yè)。2001年9月11日，恐怖份子襲擊了紐約世界貿(mào)易中心，造成3棟塔樓倒塌，近3000人失蹤和死亡。Deutsche Bank 93年開(kāi)始風(fēng)險(xiǎn)分析，并建立了一整套完整的業(yè)務(wù)連續(xù)性計(jì)劃（BCP），以應(yīng)對(duì)突發(fā)事件或?yàn)?zāi)難。災(zāi)難發(fā)生后，德意志銀行調(diào)動(dòng)4000多名員工及全球分行的資源，短時(shí)間內(nèi)在距離紐約30公里的地方恢復(fù)了業(yè)務(wù)運(yùn)行。911后，員工和客戶對(duì)德意志銀行都更加有信心。 Bank of New York: 數(shù)據(jù)中心位于災(zāi)場(chǎng)附近，

14、通訊線路全部中斷，造成連鎖反應(yīng)。其第三季度的利潤(rùn)因此下降了33。 應(yīng)急預(yù)案與BCM第30頁(yè)，共58頁(yè)。9.11事件中，1200家企業(yè)受災(zāi)，400家企業(yè)啟動(dòng)了災(zāi)難恢復(fù)計(jì)劃，其中摩根士丹利公司幾天后在新澤西州恢復(fù)營(yíng)業(yè)，而無(wú)災(zāi)備能力的企業(yè)損失慘重。據(jù)Gartner Group統(tǒng)計(jì)，在經(jīng)歷大型災(zāi)難事件而導(dǎo)致系統(tǒng)停運(yùn)的公司中，有2/5左右再也沒(méi)有恢復(fù)運(yùn)營(yíng)，剩下的公司中也有接近1/3在兩年內(nèi)破產(chǎn)。應(yīng)急預(yù)案與BCM第31頁(yè)，共58頁(yè)。2006年2月27日,中央電視臺(tái)報(bào)道了全國(guó)最大的網(wǎng)上盜竊通訊資費(fèi)案：UT斯達(dá)康中國(guó)有限公司深圳分公司資深軟件研發(fā)工程師31歲的程姓工程師，在任華為工程師時(shí)負(fù)責(zé)西藏移動(dòng)等公司的設(shè)

15、備安裝工作。自2005年2月，從西藏移動(dòng)公司系統(tǒng)進(jìn)入北京移動(dòng)公司的充值中心數(shù)據(jù)庫(kù)，獲得最高系統(tǒng)權(quán)限，根據(jù)“已充值”的充值卡顯示的18位密碼破解出對(duì)應(yīng)的34位密鑰，然后把“已充值”狀態(tài)改為“未充值”，并修改其有效日期，激活了已經(jīng)使用過(guò)的充值卡。利用特權(quán)進(jìn)入充值數(shù)據(jù)庫(kù)案例一信息來(lái)源 網(wǎng)易/06/0224/18/2AODTE1V0011179K.html第32頁(yè)，共58頁(yè)。 在隨后4個(gè)多月中他在充值數(shù)據(jù)庫(kù)中如此操作，并復(fù)制出了14000個(gè)充值密碼。他把面值300元的充值密碼以281.5到285元面值不等價(jià)格在網(wǎng)上售出，獲利380萬(wàn)元。2005年7月，程稚瀚在竊取最后一批密碼時(shí)，忘記了修改有效日期，他

16、的這個(gè)“疏忽”讓買卡的客戶向北京移動(dòng)投訴。7月16日，北京移動(dòng)接到用戶投訴說(shuō)購(gòu)買的充值卡無(wú)法充值，這才發(fā)現(xiàn)密碼被人盜竊并報(bào)警。獲利380萬(wàn)元被判處有期徒刑12年,剝奪政治權(quán)利2年,罰款5萬(wàn)元。案例一第33頁(yè)，共58頁(yè)。案例一剖析 原因 措施加強(qiáng)對(duì)系統(tǒng)特權(quán)帳戶的管理口令強(qiáng)壯，定期更新加強(qiáng)系統(tǒng)審計(jì)加密符合國(guó)家標(biāo)準(zhǔn)程有特權(quán)帳戶和密碼承包商未對(duì)系統(tǒng)特權(quán)帳戶善后客戶系統(tǒng)管理員未審計(jì)日志加密方法簡(jiǎn)單第34頁(yè)，共58頁(yè)。軟件泄密打開(kāi)日本信息安全天窗案例二網(wǎng)易轉(zhuǎn)載新華網(wǎng) /06/0321/09/2CNRFCBL00091KUI.html第35頁(yè)，共58頁(yè)。2006年2月下旬，海上自衛(wèi)隊(duì)護(hù)衛(wèi)艦相關(guān)密碼信息流失到

17、國(guó)際互聯(lián)網(wǎng)上。3月份，陸上自衛(wèi)隊(duì)和航空自衛(wèi)隊(duì)的業(yè)務(wù)信息、岡山縣和愛(ài)媛縣警方的搜查信息泄露。其他的流失信息還包括醫(yī)院的患者個(gè)人信息、銀行的票據(jù)處理記錄、學(xué)校的學(xué)生成績(jī)表等。 日本首相小泉純一郎，指示官房長(zhǎng)官安倍晉三調(diào)查，人們發(fā)現(xiàn)一系列信息泄漏事件有一個(gè)共同點(diǎn)，那就是這些機(jī)構(gòu)內(nèi)部工作人員都曾經(jīng)用裝有winny軟件的私人電腦處理公務(wù)。 案例二第36頁(yè)，共58頁(yè)。winny是在日本廣受歡迎的一款網(wǎng)絡(luò)文件交換軟件，用戶可用它在網(wǎng)上檢索感興趣的電影、音樂(lè)和游戲等文件，如果在其他winny用戶電腦的共享文件夾中找到了需要的文件，就可以隨心所欲地下載。該軟件于2002年12月問(wèn)世，可以從網(wǎng)上免費(fèi)下載。使用以往

18、的軟件交換文件需要通過(guò)服務(wù)器，而winny支持電腦間不經(jīng)由服務(wù)器直接交換數(shù)據(jù)。winny基于自由網(wǎng)模式，用戶的IP地址是保密的，同時(shí)它能有效突破防火墻。案例二第37頁(yè)，共58頁(yè)。如果使用winny下載的文件中隱藏著“Antinny”等病毒，用戶只要雙擊下載的文件圖標(biāo)，就會(huì)導(dǎo)致電腦感染病毒。病毒在電腦中任意將個(gè)人文件壓縮后放置到共享文件夾中，導(dǎo)致信息泄漏。由于電腦本身不會(huì)出現(xiàn)異常，用戶往往直到被別人告知自己的個(gè)人信息泄漏了，才意識(shí)到電腦感染了病毒。更為糟糕的是，流失的文件會(huì)被記錄到許多電腦中，幾乎不可能回收。案例二第38頁(yè)，共58頁(yè)。今年幾起事件涉及國(guó)家機(jī)密才在日本上下引起軒然大波。 為盡快堵上

19、信息安全領(lǐng)域的這扇“天窗”，安倍晉三在3月9日召開(kāi)的事務(wù)次官會(huì)議上要求貫徹信息管理措施。接到指示的各省廳都開(kāi)始強(qiáng)化電腦管理制度，規(guī)定不能在政府機(jī)關(guān)內(nèi)使用私人電腦，若需將個(gè)人信息或行政文件帶出機(jī)關(guān)，必須獲得上司的許可等?？紤]到信息泄漏事件已擴(kuò)散到民間企業(yè)，日本政府15日要求金融、航空等和國(guó)民生活及社會(huì)經(jīng)濟(jì)活動(dòng)密切相關(guān)的基礎(chǔ)行業(yè)徹底采取防止泄密的措施。 案例二第39頁(yè)，共58頁(yè)。案例二剖析軟件使用控制（軟件白名單）信息分類分級(jí)保護(hù)信息安全意識(shí)使用正版軟件如何使用開(kāi)源和自由軟件企業(yè)使用破解、開(kāi)源、自由軟件的風(fēng)險(xiǎn)第40頁(yè)，共58頁(yè)。信息安全事件的構(gòu)成國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)中心2008年發(fā)布的數(shù)據(jù) 第41頁(yè)

20、，共58頁(yè)。信息安全事件的構(gòu)成數(shù)據(jù)來(lái)源：中國(guó)人民銀行（20002006，國(guó)內(nèi)銀行業(yè)信息系統(tǒng)災(zāi)難情況統(tǒng)計(jì)數(shù)據(jù)） 第42頁(yè)，共58頁(yè)。如果發(fā)生信息安全問(wèn)題第43頁(yè)，共58頁(yè)。技術(shù)往往落后于風(fēng)險(xiǎn)的出現(xiàn)在計(jì)算機(jī)病毒與病毒防治軟件的對(duì)抗過(guò)程中，經(jīng)常是在一種新的計(jì)算機(jī)病毒出現(xiàn)并已經(jīng)造成大量損失后，才能開(kāi)發(fā)出查殺該病毒的軟件。第44頁(yè)，共58頁(yè)。技術(shù)管理不當(dāng)，帶來(lái)新風(fēng)險(xiǎn)即使某些安全技術(shù)和產(chǎn)品在指標(biāo)上達(dá)到了實(shí)際應(yīng)用的某些安全需求，如果配置和管理不當(dāng)，還是不能真正地實(shí)現(xiàn)這些安全需求。例如，雖然在網(wǎng)絡(luò)邊界設(shè)置了防火墻，但出于風(fēng)險(xiǎn)分析欠缺、安全策略不明或是系統(tǒng)管理人員培訓(xùn)不足等原因，防火墻的配置出現(xiàn)嚴(yán)重漏洞，其安全

21、功效將大打折扣。再如，雖然引入了身份認(rèn)證機(jī)制，但由于用戶安全意識(shí)薄弱，再加上管理不嚴(yán)，使得口令設(shè)置或保存不當(dāng)，造成口令泄漏，那么依靠口令檢查的身份認(rèn)證機(jī)制會(huì)完全失效。第45頁(yè)，共58頁(yè)。信息安全不是單純的技術(shù)問(wèn)題信息安全是組織的一個(gè)業(yè)務(wù)問(wèn)題，需要管理的承諾和支持信息安全技術(shù)并不能解決所有的安全問(wèn)題信息安全要從多方面進(jìn)行管理:人員物理安全網(wǎng)絡(luò)安全業(yè)務(wù)持續(xù)性知識(shí)產(chǎn)權(quán)第46頁(yè)，共58頁(yè)。第47頁(yè)，共58頁(yè)。早期重安全技術(shù)，忽略人和制度-信息安全產(chǎn)品越堆越高頭痛醫(yī)頭，腳痛醫(yī)腳-不成體系重外部安全，輕內(nèi)部安全第48頁(yè)，共58頁(yè)。Control from arrangement guard 控制 = 增加

22、人員增加人員:每個(gè)機(jī)器旁都設(shè)立一名職業(yè)保安Control from management guideline控制 = 管理方法改進(jìn)管理方法:每次下班都將主機(jī)搬入倉(cāng)庫(kù)，將筆記本帶在身邊。進(jìn)行技術(shù)改造:主機(jī)機(jī)箱加鎖，USB拷貝軟件控制。Control from upgrading infrastructure 控制=技術(shù)改造第49頁(yè)，共58頁(yè)。探索怎樣才算安全了？-很遺憾：沒(méi)有100%的安全。安全是動(dòng)態(tài)的-PDCA循環(huán)是否有統(tǒng)一的基準(zhǔn)？-同樣遺憾：不同的組織要求的安全程度、資金投入等有很大差別。三者平衡-安全、易用性、價(jià)格第50頁(yè)，共58頁(yè)。統(tǒng)計(jì)數(shù)據(jù)表明，在所有的計(jì)算機(jī)安全事件中，人為因素占52%

23、，自然災(zāi)害占 25% ，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達(dá)70%以上, 而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理來(lái)避免。我們觀點(diǎn): 三分技術(shù)，七分管理第51頁(yè)，共58頁(yè)。信息安全保障的三大要素信息安全防患意識(shí)管理流程嚴(yán)格的制度法律保障優(yōu)秀的執(zhí)行團(tuán)隊(duì)先進(jìn)技術(shù)第52頁(yè)，共58頁(yè)。信息安全管理應(yīng)該是體系化的第53頁(yè)，共58頁(yè)。真正有效的方法目前認(rèn)識(shí)比較統(tǒng)一：根據(jù)每個(gè)組織的實(shí)際情況建設(shè)以風(fēng)險(xiǎn)管理為核心的信息安全管理體系(ISMS)第54頁(yè)，共58頁(yè)。切實(shí)提高組織信息安全管理水平，保護(hù)組織資產(chǎn)和聲譽(yù)保障能力的證明（如

24、獲取ISO27001證書(shū)等）滿足客戶合約要求合規(guī)性要求（法律法規(guī)政策要求）-等級(jí)保護(hù)/保密/SOX/ PCI/HIPAA/BaseII/GLBA/實(shí)施信息安全管理的四個(gè)驅(qū)動(dòng)力第55頁(yè)，共58頁(yè)。What does the standard offer? ISO27001標(biāo)準(zhǔn)提供什么為組織關(guān)鍵信息資產(chǎn)進(jìn)行全面、系統(tǒng)、適當(dāng)?shù)谋Ｗo(hù)。關(guān)注信息安全要求和規(guī)范、過(guò)程、管理和人。在信息系統(tǒng)受到侵害時(shí)，確保公司業(yè)務(wù)能夠持續(xù)開(kāi)展并將損失降到最低程度。流程化方法，提供一個(gè)風(fēng)險(xiǎn)管理方法和持續(xù)改進(jìn)的框架。強(qiáng)化員工的信息安全意識(shí)，逐漸形成史和企業(yè)的信息安全文化。第56頁(yè)，共58頁(yè)。下面進(jìn)入ISO27001標(biāo)準(zhǔn)部分第57頁(yè)，共58頁(yè)。1、聰明的人有長(zhǎng)的耳朵和短的舌頭。 弗萊格 2、重復(fù)是學(xué)習(xí)之母。 狄慈根 3、當(dāng)你還不能對(duì)自己說(shuō)今天學(xué)到了什么東西時(shí)，你就不要去睡覺(jué)。 利希頓堡 4、人天天都學(xué)到一點(diǎn)東西，而往往所學(xué)到的是發(fā)現(xiàn)昨日學(xué)到的是錯(cuò)的。 B.