信息安全管理培训

信息安全管理体系安全防护技术体系分阶段发展规划1、建章立制以明确要求为重点，分系统落实，缺乏有效的检查手段。2、有效执行（1）通过集中化的安全防护手段，有效落实安全要求。（2）形成专业的安全支撑维护队伍。3、量化优化量化掌握总体安全态势，有效地形成整体安全防护策略，量化评价安全要求的执行安全管理发展阶段1、分散防护分系统部署防火墙、入侵检测、防病毒等基础防护手段。3、集成防护建设集成的安全运行管理平台，将各安全防护手段形成合力。实现精细化的风险管理、全网安全态势的量化分析及安全事件的实时监控，并借助EOMS等系统的配合形成快速、流程顺畅的反应机制。2、集中防护以安全域划分和边界整合为基础，综合部署各类基础安全技术防护手段。建立集中的网络安全管控手段。安全防护技术体系分阶段发展规划支撑信息安全的演化反病毒……数据保密信息安全信息保障信息安全保障被动的防范和控制防火墙、IDS、安全应急服务……积极的主动防御、更关注“人”的要素，强调综合的安全保障体系，强调安全管理人技术管理策略和流程安全意识和培训第三方管理。。。。。。信息保障体系结构框架系统风险评估安全产品采购。。。。。。安全法律、法规安全运作管理密码管理攻击检测和响应。。。。。。目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设案例分析在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了…..事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品案例分析为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。西藏入侵事件案例分析某公司技术部存在2个CTO，一个副CTO，一个主管……某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么……在对机房进入的日志检查过程中，发现没有对清洁工的记录案例分析“88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。–88888错误帐户没有销掉。–巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。–巴林银行的内部审计极其松散。案例分析3邯郸农行案主犯写下12条金库管理建议一、监控方面1、应安排专人负责查看监控录像，并定期抽查以前的录像记录，查看是否有违规操作等情况；2、每日必须检查监控设备的正常使用及备份情况，监控数据备份保存时间最少在3个月以上；3、在非工作时间必须设防110联网报警系统，对非工作时间，进入设防范围或金库内的人员，要马上向领导汇报详细情况；4、金库内必须安装监控设备。二、严格执行规章制度案例分析3邯郸农行案主犯写下12条金库管理建议二、严格执行规章制度1、应安排现金中心，主管或副主任每旬查一次金库，安排现金中心主任每月查一次金库；2、在查库时，应先核对记帐情况是否属实，然后根据碰库清单，认真核对现金数额，对装好的整包现金，必须打开包进行核对；3、各级领导在查库时，都不应该在固定时间和日期；4、对重要岗位的人员(如记帐员、管库员)，应实行强制休假制度，在不事先通知情况下，由领导监督交接工作；5、应对现金中心的每个岗位，都制定出各自的岗位职责和工作要求，对现金中心工作人员要定期进行思想教育学习。案例分析3邯郸农行案主犯写下12条金库管理建议三、现金中心岗位设置1、应设立记帐员岗位，现金中心金库的往来帐目由管库员记帐，对现金中心所有往来帐目都应该由专人记帐，这样可以防止管库员在记帐方面做假帐，从金库挪用资金；2、对银行内部资金调拨和安排到人民银行交取款的情况，应由专人负责。四、农行的信用卡通过电话银行，往彩票中心转彩票款，应设置最高转款限额。信息安全现状重视技术，轻视管理重视产品功能，轻视人为因素重视对外安全，轻视内部安全静态不变的观念缺乏整体性信息安全体系的考虑目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设信息安全管理体系标准ISO27001:2005信息安全管理体系规范ISO17799:2005信息安全管理实践规则标准发展的历史19951998率先由英国工业部进行专案英国公布BS7799第一部分(Part1)瑞典成立LIS专案英国公布BS7799第二部分(Part2)瑞典标准SS627799Part1&2发行1999新版英国标准BS7799Part1&2发行提交ISO组织讨论(ISODIS17799-1)2000挪威成立7799BD项目(2001年正式发行)1993红皮书：可信任的网络描述指南；橘皮书:可信任的设施管理指南1990世界经济发展组织(OECD)：信息系统安全指导原则(1992/11/26)12月正式出版ISO17799标准20029月BS7799-2:2002公开发行ISO17799:20052005ISO27001:2005Information信息Informationisanimportantasset,essentialtoanorganization’sbusinessneeds.Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorbyusingelectronicmeans,shownonfilms,orspokeninconversation.信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储，邮寄或使用电子手段传输，以影片播放或对话Theelementsofinformationsecurity信息安全的要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entities,orprocesses保密性－信息被获取或泄露给未经授权的个人、实体或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompletenessofassets完整性－保护资产准确和完整Availability–thepropertyofbeingaccessibleandusableupondemandbyanauthorisedentity可用性－资产仅对授权人员在需要的时候是可访问的或可用的Informationsecurity信息安全Informationsecurity–Preservationofconfidentiality,integrityandavailabilityofinformation;Inaddition,otherpropertiessuchasauthenticity,accountability,non-repudiationandreliabilitycanalsobeinvolved信息安全－保护信息保密性、完整性和可用性；另外，其他特性如真实性、可确认性、不可否认性和可靠性也可以包括在内信息安全管理体系标准什么是信息安全管理体系？–信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即：安全管理是信息安全的关键；人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法；技术是安全运营支撑。人员人员技术技术管理管理Informationsecuritymanagementsystem信息安全管理体系Informationsecuritymanagementsystem:Thatpartoftheoverallmanagementsystem,basedonabusinessriskapproach,toestablish,implement,operate,monitor,review,maintainandimproveinformationsecurity信息安全管理体系：整个管理体系的一部分，基于业务风险的方法，建立、实施、运作、监控、评审、维护和改进信息安全。Note:Themanagementsystemincludesorganisationalstructure,policies,planningactivities,responsibilities,practices,procedures,processesandresources.注：管理体系包括组织架构、方针（政策）、策划活动、职责、活动、程序、流程和资源信息安全管理体系标准企业为什么要实现信息安全？–组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……–法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护……WhatdoestheStandardOffer?标准提供什么Experiencefeedbackfromthousandsofusersregardinginformationsecuritymanagementsystem成千上万的信息安全管理体系的使用者的经验反馈Asystematicapproachtochangeandimprovement(PDCA)采用系统化的方法进行变革与改进（PDCA)Focusoninformationsecurityrequirmentsandspecifications,processes,management,andpeople关注信息安全要求和规范、过程、管理和人员Advantage:Similarstructurewithinthequality,enviromentalandsafetymanagementstandards优势：与质量、环境和安全管理标准的类似结构Aprocess-basedinformationsecuritymanagementsystemISO27001利益相关方InterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovementoftheinformationsecuritymanagementsystemEstablishISMS4.2.1MonitorandReviewtheISMS4.2.3ImplementandOperatetheISMS4.2.2MaintainandimprovetheISMS4.2.4InputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACInformationsecuritymanagementsystem信息安全管理体系4.1Generalrequirements一般要求4.2EstablishingandmanagingTheISMS建立和管理ISMS4.2.1EstablishtheISMS建立ISMS4.2.2ImplementandoperatetheISMS管理和运营ISMS4.2.3MonitorandreviewtheISMS监控和评审ISMS4.2.4MaintainandimprovetheISMS维护和改进ISMS4.3Documentationrequirements文件要求4.3.