信息安全管理體系培訓(xùn)課件new

信息安全管理體系培訓(xùn)課件new2022/10/17信息安全管理體系培訓(xùn)課件new信息安全管理體系培訓(xùn)課件new2022/10/15信息安全管目錄介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系內(nèi)容信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄介紹信息安全管理體系培訓(xùn)課件new通信公司員工泄漏內(nèi)部信息獲刑法制晚報：5家調(diào)查公司因非法經(jīng)營被查，由此牽出了移動、聯(lián)通的三名在職員工和兩名離職員工——他們與調(diào)查公司勾結(jié)，將通話記錄等信息透露給對方。吳曉晨利用擔(dān)任聯(lián)通公司北京市三區(qū)分公司廣安門外分局商務(wù)客戶代表的工作之便，獲取大量公民個人信息后非法出售給調(diào)查公司，從中獲利。案情供述： 聯(lián)通公司吳曉晨：他幫調(diào)查公司查座機電話號碼的安裝地址，調(diào)查公司每個月固定給2000元，后來又讓幫忙查電話清單。 2008年10月初，他索性自己成立了一個商務(wù)調(diào)查公司單干了。移動公司張寧：2008年原同事林濤找到他，讓他查機主信息，修改手機密碼。他一共幫查過50多個機主信息，修改過100多個手機客服密碼。 只要提供給他機主姓名和手機號碼，他就可以通過工作平臺，將該人的個人信息調(diào)取出來，查出身份證號、住址和聯(lián)系電話。 修改手機密碼也是通過平臺，只需要提供手機號碼就行。修改完密碼后，就可以通過自動語音系統(tǒng)調(diào)通話記錄了，通話記錄會傳真到查詢者的傳真電話上。這比一個個地查完通話記錄再給他們，更方便省事。其實這是通信公司的一個漏洞。朝陽法院以非法經(jīng)營罪判處5人有期徒刑2年6個月至有期徒刑2年2個月信息安全管理體系培訓(xùn)課件new通信公司員工泄漏內(nèi)部信息獲刑法制晚報：5家調(diào)查公司因非法經(jīng)營清明小長假一政府網(wǎng)被篡改成黃色網(wǎng)站4月6日上午，有網(wǎng)友登錄揚州市城鄉(xiāng)建設(shè)局官方網(wǎng)站時吃驚地發(fā)現(xiàn)，網(wǎng)頁竟然成了黃色網(wǎng)頁！頁面上充斥著衣著暴露的性感美女，搔首弄姿，十分不雅?！熬W(wǎng)站變成黃色網(wǎng)站的準(zhǔn)確時間是3日，也就是清明小長假的第一天，因為放假，我們并沒有發(fā)現(xiàn)。今天上午9點節(jié)后一上班，我們就發(fā)現(xiàn)了這個問題?！弊蛉?，揚州市城鄉(xiāng)建設(shè)局信息中心朱主任接受記者采訪時表示，他們的網(wǎng)站確實被黑客襲擊了，被掛上了木馬。這次已是今年第二次遭黑客攻擊，第一次是在今年1月下旬，情況跟這次類似。朱主任表示，他們一上班發(fā)現(xiàn)網(wǎng)站“被色情”后，一直忙著維護(hù)，到12點多鐘恢復(fù)了正常。朱主任同時表示，他們的網(wǎng)站創(chuàng)建已經(jīng)好幾年了，比較老了，由于現(xiàn)在仍然缺乏相關(guān)的網(wǎng)絡(luò)安全保護(hù)設(shè)備，所以網(wǎng)站兩次遭到攻擊。目前網(wǎng)站正在準(zhǔn)備升級，在軟件、硬件上都要投入，將網(wǎng)站代碼進(jìn)行升級，提高安全性。他還透露，今年內(nèi)揚州市政府可能對政府各部門網(wǎng)站進(jìn)行集中管理，進(jìn)一步保障安全性。信息安全管理體系培訓(xùn)課件new清明小長假一政府網(wǎng)被篡改成黃色網(wǎng)站4月6日上午，有網(wǎng)友登錄揚7天酒店數(shù)據(jù)庫被盜在騰訊微博上，一個名為“××刺客”的用戶發(fā)言稱，“出售7天假日所有聯(lián)網(wǎng)中心數(shù)據(jù)，附帶會員注冊個人信息，會員等級，開房信息，個人積分等全部數(shù)據(jù)?！蓖瑫r該用戶還留下了一個聯(lián)系郵箱。

記者通過網(wǎng)絡(luò)查詢后，得到了該用戶的QQ號，在4月初與這名黑客取得了聯(lián)系。記者假稱自己是旅游行業(yè)人員，想購買7天的會員數(shù)據(jù)庫。在交流中，該黑客明確告訴記者他手中確實有數(shù)據(jù)庫，會員總數(shù)在600萬左右。當(dāng)記者稱愿意出價1000元購買時，該黑客在等待了幾分鐘后，稱自己比較忙，不賣了。隨后連續(xù)幾天，該黑客的QQ頭像始終處于離線狀態(tài)，記者發(fā)出的10多條消息也無一回復(fù)。

黑客通過SQL注入漏洞，入侵了服務(wù)器，并竊取了數(shù)據(jù)庫。信息安全管理體系培訓(xùn)課件new7天酒店數(shù)據(jù)庫被盜在騰訊微博上，一個名為“××刺客”的用戶什么是信息？通常我們可以把信息理解為消息、信號、數(shù)據(jù)、情報和知識。信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過網(wǎng)絡(luò)、打印機、傳真機等方式進(jìn)行傳播信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)：計算機和網(wǎng)絡(luò)中的數(shù)據(jù)硬件和軟件關(guān)鍵人員組織提供的服務(wù)各類文檔具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)。Information信息安全管理體系培訓(xùn)課件new什么是信息？通常我們可以把信息理解為消息、信號、數(shù)據(jù)、情信息安全定義廣義上講領(lǐng)域——涉及到網(wǎng)絡(luò)信息的保密性，完整性，可用性，真實性，可控性的相關(guān)技術(shù)和理論本質(zhì)上保護(hù)——網(wǎng)絡(luò)系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運行，服務(wù)不中斷兩個層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理信息安全管理體系培訓(xùn)課件new信息安全定義廣義上講信息安全管理體系培訓(xùn)課件new信息安全金字塔審計管理加密訪問控制用戶驗證安全策略信息安全管理體系培訓(xùn)課件new信息安全金字塔審計管理加密訪問控制用戶驗證安全策略信息安全管信息安全的成敗取決于兩個因素：技術(shù)和管理。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全管理的核心就是風(fēng)險管理。信息安全管理信息安全管理體系培訓(xùn)課件new信息安全的成敗取決于兩個因素：技術(shù)和管理。信息安全管理安全管理觀點技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術(shù)過程信息安全管理體系培訓(xùn)課件new安全管理觀點技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵信息安全管理體基于風(fēng)險分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。制定信息安全策略方針風(fēng)險評估和管理控制目標(biāo)和方式選擇風(fēng)險控制和處理安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持。控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險評估的基礎(chǔ)上?？紤]控制成本與風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平。需要全員參與。遵循管理的一般模式——PDCA模型。信息安全管理體系培訓(xùn)課件new基于風(fēng)險分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的ISO27001發(fā)展歷程（由BS7799演變而來）信息安全管理體系培訓(xùn)課件newISO27001發(fā)展歷程（由BS7799演變而來）信息安全管評估標(biāo)準(zhǔn)的發(fā)展歷程信息安全管理體系培訓(xùn)課件new評估標(biāo)準(zhǔn)的發(fā)展歷程信息安全管理體系培訓(xùn)課件new信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性

——ISO17799ConfidentialityIntegrityAvailabilityInformation信息安全管理體系培訓(xùn)課件new信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性目錄1介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄1介紹信息安全管理體系培訓(xùn)課件newISO27001認(rèn)證過程-11個Domain16一、信息安全方針（SecurityPolicy)(1,2)

四、人員安全（HumanResourceSecurity)(3,9)五、物理及環(huán)境安全（PhysicalandEnvironmentalSecurity)(2,13)

二、組織安全（OrganizingInformationsecurity)(2,11)三、資產(chǎn)分類與控制（AssetManagement)(2,5)六、通信與操作管理（CommunicationsandOperationsManagement)(10,33)八、系統(tǒng)開發(fā)與維護(hù)（InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、訪問控制（AccessControl)(7,25)十、業(yè)務(wù)持續(xù)性管理（BusinessContinuityManagement)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（InformationsecurityincidentManagement)(2,5)信息安全管理體系培訓(xùn)課件newISO27001認(rèn)證過程-11個Domain16一、信息安全目錄介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄介紹信息安全管理體系培訓(xùn)課件newPlan階段定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面考慮）定義ISMS策略定義系統(tǒng)的風(fēng)險評估途徑識別風(fēng)險評估風(fēng)險識別并評價風(fēng)險處理措施選擇用于風(fēng)險處理的控制目標(biāo)和控制準(zhǔn)備適用性聲明（SoA）取得管理層對殘留風(fēng)險的承認(rèn)和實施并操作ISMS的授權(quán)信息安全管理體系培訓(xùn)課件newPlan階段定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資組織實現(xiàn)信息安全的必要的、重要的步驟了解組織的安全現(xiàn)狀分析組織的安全需求建立信息安全管理體系的要求制訂安全策略和實施安防措施的依據(jù)風(fēng)險評估的目的信息安全管理體系培訓(xùn)課件new組織實現(xiàn)信息安全的必要的、重要的步驟了解組織的安全現(xiàn)狀資產(chǎn)擁有者安全控制措施安全防護(hù)確信/信心安全風(fēng)險評估生成/加強給出證據(jù)/發(fā)現(xiàn)問題需要如不能確信，需要評估給出評估與安全防護(hù)的關(guān)系信息安全管理體系培訓(xùn)課件new資產(chǎn)擁有者安全控制措施安全防護(hù)確信/信心安全風(fēng)險評估生成/加風(fēng)險管理全過程原理21識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認(rèn)風(fēng)險評價接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式實施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受風(fēng)險管理信息安全管理體系培訓(xùn)課件new風(fēng)險管理全過程原理21識別并評價資產(chǎn)識別并評估威脅識別并評估22對資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險管理的首要目標(biāo)。劃入風(fēng)險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。信息資產(chǎn)：數(shù)據(jù)庫數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、回退計劃、歸檔等信息；軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；實體資產(chǎn)：計算機設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、通訊設(shè)備（路由器、PABX、傳真機、應(yīng)答機）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源、空調(diào)器）、機房；書面文件：包含系統(tǒng)文件、使用手冊、各種程序及指引辦法、合約書等。人員：承擔(dān)特定職能和責(zé)任的人員；服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS識別信息資產(chǎn)信息安全管理體系培訓(xùn)課件new22對資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險管理的首要目標(biāo)。識別信識別并評估弱點23針對每一項需要保護(hù)的資產(chǎn)，找到其現(xiàn)實存在的弱點，包括：

技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試對弱點的評估需要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。如果資產(chǎn)沒有弱點或者弱點很輕微，就不存在風(fēng)險問題。信息安全管理體系培訓(xùn)課件new識別并評估弱點23針對每一項需要保護(hù)的資產(chǎn)，找到其現(xiàn)實存24識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來源）：

人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風(fēng)、雷電等威脅對資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個方面的受損上。對威脅的評估，主要考慮其發(fā)生的可能性。評估威脅可能性時要考慮威脅源的動機（Motivation）和能力（Capability）等因素。識別并評估威脅信息安全管理體系培訓(xùn)課件new24識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多25關(guān)于風(fēng)險可接受水平安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平?jīng)Q策者應(yīng)該根據(jù)公司實際情況來確定風(fēng)險可接受水平信息安全管理體系培訓(xùn)課件new25關(guān)于風(fēng)險可接受水平安全控制的成本安全事件的損失最小化的總26降低風(fēng)險（ReduceRisk）——實施有效控制，將風(fēng)險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機會。減少弱點：例如，通過安全教育和意識培訓(xùn)，強化職員的安全意識與安全操作能力。降低影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份。規(guī)避風(fēng)險（AvoidRisk）——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風(fēng)險的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)移風(fēng)險（TransferRisk）——也稱作RiskAssignment。將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。接受風(fēng)險（AcceptRisk）——在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以選擇接受，即所謂的無作為。確定風(fēng)險處理策略信息安全管理體系培訓(xùn)課件new26降低風(fēng)險（ReduceRisk）——實施有效控制27依據(jù)風(fēng)險評估的結(jié)果來選擇安全控制措施。選擇安全措施（對策）時需要進(jìn)行成本效益分析（cost/benefitanalysis）：基本原則：實施安全措施的代價不應(yīng)該大于所要保護(hù)資產(chǎn)的價值控制成本：購買費用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費用，維護(hù)費用等控制價值＝?jīng)]有實施控制前的損失－控制的成本－實施安全控制之后的損失除了成本效益，還應(yīng)該考慮：控制的易用性對用戶的透明度控制自身的強度控制的功能類型（預(yù)防、威懾、檢測、糾正）確定所選安全措施的效力，就是看實施新措施之后還有什么殘留風(fēng)險。選擇控制措施信息安全管理體系培訓(xùn)課件new27依據(jù)風(fēng)險評估的結(jié)果來選擇安全控制措施。選擇控制措施信28資產(chǎn)評估識別信息資產(chǎn)評價信息資產(chǎn)識別并評估弱點安全漏洞工具掃描人工評估識別并評估威脅網(wǎng)絡(luò)架構(gòu)分析滲透測試風(fēng)險評估階段流程風(fēng)險評價降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險控制措施風(fēng)險處置威脅弱點威脅事件防止威懾性控制影響利用引發(fā)造成保護(hù)發(fā)現(xiàn)減小預(yù)防性控制檢測性控制糾正性控制評價殘留風(fēng)險信息安全管理體系培訓(xùn)課件new28資產(chǎn)評估風(fēng)險評估階段流程風(fēng)險評價降低風(fēng)目錄ISO27001認(rèn)證過程和要點介紹ISO27001介紹ISO27001信息安全管理體系準(zhǔn)備-風(fēng)險評估ISO27001信息安全管理體系設(shè)計ISO27001信息安全管理體系實施ISO27001信息安全管理體系監(jiān)控ISO27001信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過程和要點介紹信息安全管理體系培訓(xùn)DO階段制定風(fēng)險處理計劃（RiskTreatmentPlan）實施風(fēng)險處理計劃實施所選的控制措施以滿足控制目標(biāo)實施培訓(xùn)和意識程序管理操作管理資源實施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制信息安全管理體系培訓(xùn)課件newDO階段制定風(fēng)險處理計劃（RiskTreatment31絕對安全（即零風(fēng)險）是不可能的。實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)：殘留風(fēng)險Rr＝原有的風(fēng)險R0－控制ΔR殘留風(fēng)險Rr≤可接受的風(fēng)險Rt對殘留風(fēng)險進(jìn)行確認(rèn)和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。評價殘留風(fēng)險信息安全管理體系培訓(xùn)課件new31絕對安全（即零風(fēng)險）是不可能的。評價殘留風(fēng)險信息安全信息安全管理體系藍(lán)圖(示例)32信息安全管理體系培訓(xùn)課件new信息安全管理體系藍(lán)圖(示例)32信息安全管理體系培訓(xùn)課件ne建立ISMS管理框架的過程定義安全策略威脅、弱點、影響組織風(fēng)險管理的途徑要求達(dá)到的保障程度ISO17799第三段列出的控制目標(biāo)和控制不在ISO27001范圍內(nèi)的其他安全控制Step1Step2Step3Step4Step5Step6策略文檔ISMS的范圍風(fēng)險評估適用性聲明信息資產(chǎn)結(jié)果和結(jié)論選定的控制選項選擇的控制目標(biāo)和控制定義ISMS范圍進(jìn)行風(fēng)險評估管理風(fēng)險選擇控制目標(biāo)和控制并加以實施準(zhǔn)備適用性聲明信息安全管理體系培訓(xùn)課件new建立ISMS管理框架的過程定義安全策略威脅、弱點、影響組織風(fēng)ISMS的文檔體系Procedures程序WorkInstructions,checklists,forms,etc.工作指導(dǎo)書,檢查清單,表格等Records

紀(jì)錄SecurityManual

安全手冊Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一級關(guān)于ISO27001的管理框架的方針策略第二級第三級第四級信息安全管理體系培訓(xùn)課件newISMS的文檔體系Procedures程序Work1.信息安全策略目標(biāo)：Toprovidemanagementdirectionandsupportforinformationsecurity.信息安全策略——為信息安全提供管理方向和支持安全策略應(yīng)該做到：對信息安全加以定義陳述管理層的意圖分派責(zé)任約定信息安全管理的范圍對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明對報告可疑安全事件的過程進(jìn)行說明定義用以維護(hù)策略的復(fù)查過程信息安全管理體系培訓(xùn)課件new1.信息安全策略目標(biāo)：信息安全管理體系培訓(xùn)課件new2.信息安全組織目標(biāo)：TomanageinformationsecuritywithintheorganisationTomaintainthesecurityoforganisationalinformationprocessingfacilitiesandinformationassetsaccessedbythirdpartiesTomaintainthesecurityofinformationwhentheresponsibilityforinformationprocessinghasbeenoutsourcedtoanotherorganisation.信息安全基礎(chǔ)設(shè)施——在組織內(nèi)部管理信息安全第三方訪問的安全——維護(hù)組織信息處理設(shè)施和被第三方訪問的信息資產(chǎn)的安全性外包控制——如果信息處理責(zé)任外包給其他組織，維護(hù)信息的安全性包含的內(nèi)容：建立管理委員會，定義安全管理的角色和責(zé)任對軟硬件的采購建立授權(quán)過程第三方訪問的安全考慮外包合同中的安全需求信息安全管理體系培訓(xùn)課件new2.信息安全組織目標(biāo)：信息安全管理體系培訓(xùn)課件new3.資產(chǎn)分類和控制目標(biāo)：Tomaintainappropriateprotectionofcorporateassetsandtoensurethatinformationassetsreceiveanappropriatelevelofprotection.資產(chǎn)責(zé)任——對組織資產(chǎn)進(jìn)行恰當(dāng)?shù)谋Ｗo(hù)信息分類——確保對信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃桨膬?nèi)容：建立對硬件、軟件和信息的資產(chǎn)登記表對分類和標(biāo)注資產(chǎn)進(jìn)行建議TopSecretSecretConfidentialRestricted信息安全管理體系培訓(xùn)課件new3.資產(chǎn)分類和控制目標(biāo)：TopSecretSecre4.人力資源安全目標(biāo)：Toreducerisksofhumanerror,theft,fraudormisuseoffacilitiesToensurethatusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportthecorporatesecuritypolicyinthecourseoftheirnormalworkTominimisethedamagefromsecurityincidentsandmalfunctionsandlearnfromsuchincidents.崗位安全責(zé)任與人員錄用的安全——減少人為錯誤、偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險。用戶培訓(xùn)——確保用戶意識到信息安全威脅及利害關(guān)系，并在正常工作中支持組織的安全策略。安全事件響應(yīng)——減少來自安全事件和故障的損失，監(jiān)視并從事件中吸取教訓(xùn)。包含的內(nèi)容：故意或者無意的人為活動可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險在正式的工作描述中建立安全責(zé)任，員工入職審查基本安全意識的培訓(xùn)建立安全事件處理框架信息安全管理體系培訓(xùn)課件new4.人力資源安全目標(biāo)：信息安全管理體系培訓(xùn)課件new5.物理和環(huán)境安全目標(biāo)：Topreventunauthorisedaccess,damageandinterferencetobusinesspremisesandinformationTopreventloss,damageorcompromiseofassetsandinterruptiontobusinessactivitiesTopreventcompromiseortheftofinformationandinformationprocessingfacilities安全區(qū)域——防止非授權(quán)訪問、破壞和干擾業(yè)務(wù)運行的前提條件及信息。設(shè)備安全——防止資產(chǎn)的丟失、損害和破壞，防止業(yè)務(wù)活動被中斷。常規(guī)控制措施——防止危害或竊取信息及信息處理設(shè)施。包含的內(nèi)容：應(yīng)該建立帶有物理入口控制的安全區(qū)域應(yīng)該配備物理保護(hù)的硬件設(shè)備應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽將設(shè)備搬離場所，或者準(zhǔn)備報廢時，應(yīng)考慮其安全信息安全管理體系培訓(xùn)課件new5.物理和環(huán)境安全目標(biāo)：信息安全管理體系培訓(xùn)課件new6.通信和操作管理目標(biāo)：操作程序和責(zé)任——確保正確并安全地操作信息處理設(shè)施。系統(tǒng)規(guī)劃與驗收——減少系統(tǒng)失效帶來的風(fēng)險。抵御惡意軟件——保護(hù)軟件和信息的完整性。內(nèi)務(wù)管理——維護(hù)信息處理和通信服務(wù)的完整性和可用性。網(wǎng)絡(luò)管理——確保對網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)。介質(zhì)處理和安全——防止損害資產(chǎn)和中斷業(yè)務(wù)活動。信息和軟件的交換——防止機構(gòu)間交換的信息丟失、遭受篡改和誤用。包含的內(nèi)容：防病毒，防惡意軟件進(jìn)行變更控制做好備份，存儲介質(zhì)的安全處理，保存正確的訪問日志，系統(tǒng)文件的安全性電子郵件安全性保護(hù)傳輸中的數(shù)據(jù)信息安全管理體系培訓(xùn)課件new6.通信和操作管理目標(biāo)：信息安全管理體系培訓(xùn)課件new7.訪問控制目標(biāo)：訪問控制的業(yè)務(wù)需求——控制對信息的訪問。用戶訪問管理——防止非授權(quán)訪問信息系統(tǒng)。用戶責(zé)任——防止非授權(quán)的用戶訪問。網(wǎng)絡(luò)訪問控制——保護(hù)網(wǎng)絡(luò)服務(wù)。操作系統(tǒng)訪問控制——防止非授權(quán)的計算機訪問。應(yīng)用訪問控制——防止非授權(quán)訪問信息系統(tǒng)中的信息。監(jiān)視系統(tǒng)訪問與使用——檢測非授權(quán)的活動。移動計算和通訊——確保使用移動計算和通訊設(shè)施時的信息安全。包含的內(nèi)容：口令的正確使用對終端的物理訪問自動終止時間軟件監(jiān)視等信息安全管理體系培訓(xùn)課件new7.訪問控制目標(biāo)：信息安全管理體系培訓(xùn)課件new8.系統(tǒng)獲取、開發(fā)與維護(hù)目標(biāo)：系統(tǒng)的安全需求——確保安全內(nèi)建于信息系統(tǒng)中。應(yīng)用系統(tǒng)的安全——防止丟失、篡改和誤用信息系統(tǒng)中的用戶數(shù)據(jù)。密碼控制——保護(hù)信息的保密性、真實性或完整性。系統(tǒng)文件的安全——確保IT項目和支持活動得以安全地進(jìn)行。開發(fā)和支持過程的安全——維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。包含的內(nèi)容：在系統(tǒng)設(shè)計時應(yīng)該考慮輸入數(shù)據(jù)校驗、數(shù)據(jù)加密、數(shù)據(jù)文件的安全性、測試數(shù)據(jù)的保護(hù)軟件開發(fā)和維護(hù)中應(yīng)該建立配置管理、變更控制等機制信息安全管理體系培訓(xùn)課件new8.系統(tǒng)獲取、開發(fā)與維護(hù)目標(biāo)：信息安全管理體系培目標(biāo)：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時發(fā)現(xiàn)，以便采取糾正措施。確保采取一致和有效的方法來管理信息安全事件。包含的內(nèi)容：報告信息安全事件報告安全缺陷管理信息安全事件和改進(jìn)責(zé)任和程序從信息安全事件中吸取教訓(xùn)證據(jù)搜集9.安全事件管理信息安全管理體系培訓(xùn)課件new目標(biāo)：9.安全事件管理信息安全管理體系培訓(xùn)課件new10.業(yè)務(wù)連續(xù)性管理目標(biāo)：Tocounteractinterruptionstobusinessactivitiesandtocriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters.減少業(yè)務(wù)活動的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)害的影響。包含的內(nèi)容：全面理解業(yè)務(wù)連續(xù)性計劃（BCP）理解組織面臨的風(fēng)險，識別關(guān)鍵業(yè)務(wù)活動和優(yōu)先次序。確認(rèn)可能對業(yè)務(wù)造成影響的中斷。應(yīng)該設(shè)計、實施、測試和維護(hù)BCP信息安全管理體系培訓(xùn)課件new10.業(yè)務(wù)連續(xù)性管理目標(biāo)：信息安全管理體系培訓(xùn)課件ne11.符合性目標(biāo)：Toavoidbreachesofanycriminalorcivillaw,statutory,regulatoryorcontractualobligationsandofanysecurityrequirementsToensurecomplianceofsystemswithorganisationalsecuritypoliciesandstandardsTomaximisetheeffectivenessofandtominimiseinterferenceto/fromthesystemauditprocess.符合法律要求——避免違反任何刑法、民法、法規(guī)或者合同義務(wù)，以及任何安全要求。對安全策略和技術(shù)符合性的評審——確保系統(tǒng)遵循了組織的安全策略和標(biāo)準(zhǔn)。系統(tǒng)審計的考慮——發(fā)揮系統(tǒng)審計過程的最大效用，并把干擾降到最低。包含的內(nèi)容：組織應(yīng)該確保遵守相關(guān)的法律法規(guī)和合同義務(wù)軟件版權(quán)，知識產(chǎn)權(quán)等信息安全管理體系培訓(xùn)課件new11.符合性目標(biāo)：信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過程和要點介紹ISO27001介紹ISO27001信息安全管理體系內(nèi)容ISO27001信息安全管理體系準(zhǔn)備-風(fēng)險評估ISO27001信息安全管理體系設(shè)計ISO27001信息安全管理體系實施ISO27001信息安全管理體系監(jiān)控ISO27001信息安全管理體系改進(jìn)信息安全管理體系培訓(xùn)課件new目錄ISO27001認(rèn)證過程和要點介紹信息安全管理體系培訓(xùn)編寫信息安全管理方針、制度、標(biāo)準(zhǔn)、流程等47信息安全方針示例安全補丁更新流程示例P.S.請直接點擊上面文件進(jìn)入查看詳細(xì)內(nèi)容網(wǎng)絡(luò)連續(xù)性應(yīng)急預(yù)案示例信息安全管理體系培訓(xùn)課件new編寫信息安全管理方針、制度、標(biāo)準(zhǔn)、流程等47信息安全