ISO27001信息安全培訓(xùn)基礎(chǔ)知識(shí)

信息平安管理體系〔ISMS〕根底知識(shí)培訓(xùn)目錄什么是信息什么是信息平安為什么實(shí)施信息平安管理如何實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)目錄什么是信息什么是信息平安為什么實(shí)施信息平安管理如何實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)目錄什么是信息

信息通常指消息、情報(bào)、數(shù)據(jù)和知識(shí)等，在ISO/IEC27001標(biāo)準(zhǔn)中信息是指對(duì)組織具有重要價(jià)值，可以通過(guò)多媒體傳遞和存儲(chǔ)的一種資產(chǎn)。什么是信息什么是信息什么是信息平安為什么實(shí)施信息平安管理如何實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)什么是信息平安信息平安的作用是保護(hù)信息業(yè)務(wù)涉及范圍不受威脅所干擾，使組織業(yè)務(wù)暢順，減少損失及增大投資回報(bào)和商機(jī)。在ISO/IEC27001標(biāo)準(zhǔn)中信息平安主要指信息的機(jī)密性、完整性和可用性的保持。即指通過(guò)采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等平安技術(shù)和各種組織管理措施，來(lái)保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的機(jī)密性、完整性和可用性不被破壞。什么是信息平安什么是信息平安--信息的機(jī)密性

信息的機(jī)密性是指確保授予或特定權(quán)限的人才能訪問(wèn)到信息。信息的機(jī)密性依據(jù)信息被允許訪問(wèn)對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開(kāi)信息，需要限制訪問(wèn)的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級(jí)。一般分為秘密、機(jī)密和絕密三個(gè)等級(jí)，已授權(quán)用戶(hù)根據(jù)所授予的操作權(quán)限可以對(duì)保密信息進(jìn)行操作。什么是信息平安—信息的機(jī)密性什么是信息平安—信息的完整性信息的完整性是指要保證信息使用和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、存儲(chǔ)、備份、交換信息的過(guò)程中不發(fā)生篡改信息、喪失信息、錯(cuò)誤信息等現(xiàn)象；另一方面是指信息處理方法的正確性，信息備份、系統(tǒng)恢復(fù)、銷(xiāo)毀等處理不正當(dāng)?shù)牟僮鳎锌赡茉斐芍匾募膯适?，甚至整個(gè)系統(tǒng)的癱瘓。什么是信息平安—信息的完整性什么是信息平安—信息的可用性

信息的可用性是指確保已被授權(quán)的用戶(hù)訪問(wèn)時(shí)得到所需要信息。即信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時(shí)可立即獲得。例如，通信線(xiàn)路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)及時(shí)恢復(fù)。

另外還要保證信息的真實(shí)性和有效性,即組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴(lài)的。什么是信息平安—信息的可用性什么是信息什么是信息平安為什么實(shí)施信息平安管理如何實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)為什么要實(shí)施信息平安管理實(shí)施信息管理原因：自1987年以來(lái)，全世界已發(fā)現(xiàn)超過(guò)50000種計(jì)算機(jī)病毒，2000年爆發(fā)的“愛(ài)蟲(chóng)”病毒給全球用戶(hù)造成了100億美元的損失；美國(guó)每年因信息與網(wǎng)絡(luò)平安問(wèn)題所造成的損失高達(dá)75億美元。即使是防范森嚴(yán)的美國(guó)國(guó)防信息系統(tǒng)2000年也受到25萬(wàn)次黑客攻擊，且成功進(jìn)入率高達(dá)63%。然而，能對(duì)組織造成巨大損失的風(fēng)險(xiǎn)主要還是來(lái)源于組織內(nèi)部，國(guó)外統(tǒng)計(jì)結(jié)果說(shuō)明企業(yè)信息受到的損失中，70%是由于內(nèi)部員工的疏忽或有意泄密造成。為什么要實(shí)施信息平安管理實(shí)施信息管理原因：多數(shù)計(jì)算機(jī)使用者很少接受?chē)?yán)格的信息平安意識(shí)培訓(xùn)，每天都在以不平安的方式處理企業(yè)的大量重要信息，而且企業(yè)的合作單位、咨詢(xún)機(jī)構(gòu)等外部人員都以不同的方式使用企業(yè)的信息系統(tǒng)，對(duì)企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。如員工為了方便記憶系統(tǒng)登錄口令而在明顯處粘一便條，就足以毀掉花費(fèi)了大量本錢(qián)建立的信息系統(tǒng)。許多對(duì)企業(yè)心存不滿(mǎn)的員工把“黑”掉企業(yè)網(wǎng)站，偷竊并散布客戶(hù)敏感信息，為競(jìng)爭(zhēng)對(duì)手提供機(jī)密資料，甚至破壞關(guān)鍵信息系統(tǒng)作為報(bào)復(fù)企業(yè)，致使企業(yè)蒙受了巨大的經(jīng)濟(jì)損失。為什么要實(shí)施信息平安管理實(shí)施信息管理原因：目前單一的技術(shù)手段已難以解決企業(yè)信息平安問(wèn)題，只有建立一套完善的信息平安管理流程并嚴(yán)格執(zhí)行，才能有效降低信息平安風(fēng)險(xiǎn)，保障企業(yè)信息業(yè)務(wù)的連續(xù)性。實(shí)施信息管理必然性：實(shí)踐證明信息平安是個(gè)復(fù)雜的系統(tǒng)問(wèn)題，解決系統(tǒng)性平安問(wèn)題，必須以系統(tǒng)的方法來(lái)解決，建立管理體系(明確方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系，是系統(tǒng)性解決復(fù)雜問(wèn)題的有效方法。為了保證信息平安管理的有效性、充分性和適宜性組織需要建立信息平安管理體系(ISMS)，信息平安管理體系通過(guò)固化信息平安管理范圍，制定信息平安管理策略方針與與目標(biāo)，明確信息平安管理職責(zé)、落實(shí)控制目標(biāo)并選擇控制措施進(jìn)行管控，全面系統(tǒng)保障管理信息的平安。從系統(tǒng)論觀點(diǎn)來(lái)看,一個(gè)體系(系統(tǒng))必須具有自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長(zhǎng)的能力和功能才可以保證其持續(xù)有效性。信息平安管理體系通過(guò)不斷的識(shí)別組織和相關(guān)方的信息平安要求，不斷的識(shí)別外界環(huán)境和組織自身的變化，不斷的學(xué)習(xí)采用最新的管理理念和技術(shù)手段，不斷的調(diào)整自己的目標(biāo)、方針、程序和過(guò)程等，才可以實(shí)現(xiàn)持續(xù)的平安。本標(biāo)準(zhǔn)可以適合于不同性質(zhì)、規(guī)模、結(jié)構(gòu)和環(huán)境的各種組織。因?yàn)椴粨碛谐墒斓腎T系統(tǒng)而擔(dān)憂(yōu)不可能通過(guò)ISO/IEC27001認(rèn)證是不必要的。實(shí)施信息管理必然性：為什么要實(shí)施信息平安管理如果因?yàn)轭A(yù)算困難或其他原因，不能一下子降低所有不可接受風(fēng)險(xiǎn)到可接受程度時(shí)，能否通過(guò)體系認(rèn)證，也是很多人關(guān)心的問(wèn)題。通常審核員關(guān)心的是組織建立的ISMS是否完整，是否運(yùn)行正常，是否有重大的信息平安風(fēng)險(xiǎn)沒(méi)有得到識(shí)別和評(píng)估。有小局部的風(fēng)險(xiǎn)暫時(shí)得不到有效處置是允許的，當(dāng)然“暫時(shí)接受”的不可接受風(fēng)險(xiǎn)不可以包括違背法律法規(guī)的風(fēng)險(xiǎn)。實(shí)施信息管理必然性：為什么要實(shí)施信息平安管理什么是信息什么是信息平安為什么實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)ISMS概述本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息平安管理體系〔InformationSecurityManagementSystem，簡(jiǎn)稱(chēng)ISMS〕提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、平安需求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響。上述因素及其支持過(guò)程會(huì)不斷發(fā)生變化。期望信息平安管理體系可以根據(jù)組織的需求而測(cè)量，例如簡(jiǎn)單的情形可采用簡(jiǎn)單的ISMS解決方案。本標(biāo)準(zhǔn)可被相關(guān)的內(nèi)部方和外部方運(yùn)用以評(píng)估一致性。ISMS概述什么是信息什么是信息平安為什么實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)ISMS標(biāo)準(zhǔn)體系－ISO/IEC27000族介紹

27007信息平安管理體系審核指南ISO/IEC27000族27000--信息平安管理體系綜述與術(shù)語(yǔ)27001-信息平安管理體系要求27002--信息平安管理體系實(shí)踐標(biāo)準(zhǔn)27003--信息平安管理體系實(shí)施指南27004--信息平安管理體系測(cè)量27005--信息平安管理體系信息平安風(fēng)險(xiǎn)管理27006--信息平安管理體系認(rèn)證機(jī)構(gòu)要求ISMS介紹--ISO/IEC27000族發(fā)布時(shí)間ISO/IEC17799∶2005信息平安管理實(shí)施細(xì)那么,于2005年6月15日正式發(fā)布；ISO/IEC27001信息平安管理體系要求，于2005年10月15日正式發(fā)布；ISO/IEC27002信息平安管理體系最正確實(shí)踐，于2007年4月正式發(fā)布；ISO/IEC27003信息平安管理體系實(shí)施指南，正在ISMS標(biāo)準(zhǔn)的工作組研究并征求意見(jiàn)階段；ISO/IEC27004信息平安管理度量和改進(jìn)，正在委員會(huì)草案階段；ISO/IEC27005信息平安風(fēng)險(xiǎn)管理指南，以2005年底剛剛推出的BS7799-3為準(zhǔn)。ISMS介紹--ISO/IEC27001信息

平安管理體系與其它體系兼容性ISO9001：2008質(zhì)量管理體系ISO14001：2004環(huán)境管理體系ISO/TS16949：2009汽車(chē)行業(yè)質(zhì)量管理體系TL9000：通信行業(yè)質(zhì)量管理體系IECQC080000：2005有害物質(zhì)過(guò)程管理體系ISOIEC20000：…………什么是信息什么是信息平安為什么實(shí)施信息平安管理信息平安管理體系〔ISMS〕概述信息平安管理體系〔ISMS〕標(biāo)準(zhǔn)介紹信息平安管理體系〔ISMS〕實(shí)施控制重點(diǎn)A.6信息平安組織A.8人力資源平安A.7資產(chǎn)管理A.12系統(tǒng)獲取開(kāi)發(fā)和維護(hù)A.9物理和環(huán)境平安A.5信息平安方針A.14業(yè)務(wù)持續(xù)性管理A.10通信和操作管理A.13信息平安事件管理A.11訪問(wèn)控制A.15符合性ISO/IEC27001控制大項(xiàng)A.16教育培訓(xùn)ISMS控制大項(xiàng)說(shuō)明平安方針：制定信息平安方針，為信息平安提供管理指導(dǎo)和支持，并定期評(píng)審；信息平安組織：建立信息平安根底設(shè)施，管理組織范圍內(nèi)的信息平安；維護(hù)被第三方所訪問(wèn)的組織的信息處理設(shè)施和信息資產(chǎn)的平安，以及當(dāng)信息處理外包給其他組織時(shí)，確保信息的平安。資產(chǎn)管理：核查所有信息資產(chǎn)，做好信息分類(lèi)，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。人力資源平安：確保所有員工、合同方和第三方了解信息平安威脅和相關(guān)事宜，他們的責(zé)任、義務(wù)，以減少人為過(guò)失、盜竊、欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。ISO/IEC27001控制大項(xiàng)--管理內(nèi)容ISMS控制大項(xiàng)說(shuō)明物理與環(huán)境平安：定義平安區(qū)域，防止對(duì)辦公場(chǎng)所和信息的未授權(quán)訪問(wèn)、破壞和干擾；保護(hù)設(shè)備的平安，防止信息資產(chǎn)的喪失、損壞或被盜，以及對(duì)業(yè)務(wù)活動(dòng)的干擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞或被盜。通訊和操作管理：制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和平安操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)那么，將系統(tǒng)失效的風(fēng)險(xiǎn)減到最低；防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)平安管理，確保信息在網(wǎng)絡(luò)中的平安，確保其支持性根底設(shè)施得到保護(hù)；建立媒體處置和平安的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)喪失、修改或誤用。ISO/IEC27001控制大項(xiàng)--管理內(nèi)容ISMS控制大項(xiàng)說(shuō)明訪問(wèn)控制：制定文件化的訪問(wèn)控制策略，防止信息系統(tǒng)的未授權(quán)訪問(wèn)，并讓用戶(hù)了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用系統(tǒng)和信息訪問(wèn)控制、監(jiān)視系統(tǒng)訪問(wèn)和使用，定期檢測(cè)未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)辦公和遠(yuǎn)程工作時(shí)，也要確保信息平安。信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)：標(biāo)識(shí)系統(tǒng)的平安要求，確保平安成為信息系統(tǒng)的內(nèi)置局部；控制應(yīng)用系統(tǒng)的平安，防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的喪失、被修改或誤用；通過(guò)加密手段保護(hù)信息的保密性、真實(shí)性和完整性；控制對(duì)系統(tǒng)文件的訪問(wèn)，確保系統(tǒng)文檔的平安；嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程，維護(hù)應(yīng)用系統(tǒng)軟件和信息的平安。ISO/IEC27001控制大項(xiàng)--管理內(nèi)容ISMS控制大項(xiàng)說(shuō)明信息平安事故的管理：報(bào)告信息平安事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息平安事故。業(yè)務(wù)連續(xù)性管理：目的是為了減少業(yè)務(wù)活動(dòng)的中斷，使關(guān)鍵業(yè)務(wù)過(guò)程免受主要故障或天災(zāi)的影響，并確保他們的及時(shí)恢復(fù)。符合性：信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理要符合法律法規(guī)的要求，符合組織平安方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審核，使系統(tǒng)審核過(guò)程的效力最大化、干擾最小化。ISO/IEC27001控制大項(xiàng)--管理內(nèi)容ISO/IEC27001信息平安管理體系將信息平安管理的內(nèi)容劃分為11個(gè)控制域，39個(gè)信息平安管理的控制目標(biāo)，133項(xiàng)平安控制措施，以下是12項(xiàng)管理大項(xiàng)關(guān)系圖。ISMS實(shí)施控制重點(diǎn)--信息平安管理體系構(gòu)成方針與策略管理確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。風(fēng)險(xiǎn)管理信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過(guò)程，而是管理風(fēng)險(xiǎn)的過(guò)程。沒(méi)有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程。人員與組織管理建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門(mén)與行內(nèi)其他部門(mén)之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。環(huán)境與設(shè)備管理控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。網(wǎng)絡(luò)與通信管理控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問(wèn)題對(duì)業(yè)務(wù)系統(tǒng)的損害。主機(jī)與系統(tǒng)管理控制和保護(hù)計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。ISMS實(shí)施控制重點(diǎn)--ISMS構(gòu)成管理內(nèi)容信息平安管理體系構(gòu)成--管理內(nèi)容應(yīng)用與業(yè)務(wù)管理對(duì)各類(lèi)應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其受到破壞和濫用。數(shù)據(jù)/文檔/介質(zhì)管理采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。項(xiàng)目工程管理保護(hù)信息系統(tǒng)項(xiàng)目工程過(guò)程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。運(yùn)行維護(hù)管理保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。業(yè)務(wù)連續(xù)性管理通過(guò)設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。合規(guī)性管理確保信息安全保障工作符合國(guó)家法律、法規(guī)的要求；且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。信息平安管理體系構(gòu)成--管理內(nèi)容ISMS實(shí)施控制重點(diǎn)--ISMS構(gòu)成管理內(nèi)容信息平安管理體系PDCA模型采用一種過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)一個(gè)組織的ISMS信息平安管理體系PDCA模型PDCA模式步驟方法定義范圍根據(jù)組織業(yè)務(wù)特征、地理位置、資產(chǎn)、技術(shù)等確定ISMS的范圍。定義方針?lè)结樖切畔踩顒?dòng)的總方向和總原則，是建立目標(biāo)的框架，應(yīng)考慮業(yè)務(wù)、合同安全義務(wù)和法律法規(guī)要求。確定風(fēng)