iso27001主任审核员培训.

ISO27001LeadAuditorTrainingCourseNeilYuShanghaiFeb.18-22,2008Version1.6UpdatedonJune19,2008ISO27001LATrainingCourseDay1ShanghaiFeb.18,2008典型的信息安全事件HW事件HW到中东某国投标，５、６人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘……LM事件LM一直与中国军方关系密切，承接过国家级信息安全项目骨干中一人离职出国，带出很多涉密文件，结果LM被封杀艳照门很傻很天真什么叫管理体系System–Setofinterrelatedorinteractingelements体系–一系列相关关联相互作用的元素Worksystematically–Tobeeffective,thingshavetobeorganizedinasuitable/practicalwayandshouldbedoneinacertainsequence系统地工作–为保证工作效率，事情必须按合适的/可行的方法进行组织，并以一定的顺序完成ManagementSystem–Systemtoestablishpolicyandobjectivesandtoachievethoseobjectives管理体系–建立方针和目标，并实现目标的体系管理体系的4大要素组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训资源过程程序组织结构管理体系常见的管理体系质量管理：ISO9001环境管理：ISO14001职业安全：OHSAS18001社会责任：SA8000信息安全：ISO27001什么是质量质量3要素QCT符合客户的要求（Q）不能导致成本上升（C）时间（T）以上三个方面的平衡的结果就是质量QualityCostTime质量管理体系一览国际标准ISO9001汽车行业（比ISO9001多了项目管理方面的要求）TS16949（汽车行业的质量管理体系）QS9000（美国的汽车行业标准）VDA6.1（德国大众的质量管理体系）其他行业ISO22000（食品行业）TL9000（通讯业）ISO20000（可称为IT业的服务质量标准）CMMI（适合软件研发和新技术开发）信息安全的3要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entitiesorprocesses保密性–信息被获取或泄漏给未经授权的个人、实体或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompleteness完整性–保护资产准确和完整Availability–thepropertyofbeingaccessibleanduseableupondemandbyanauthorizedentity可用性–资产仅对授权人员在需要的时候是可访问的或可用的什么叫ISMS信息安全管理体系Information信息信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。InformationSecurity信息安全对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。InformationSecurityManagementSystem信息安全管理体系是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。step1如果ISMS和其他体系的联系和区别联系所有管理体系的共性（需要分析的5大要素）：人、机、料、法、环区别ISMS：%5的人：做95%的工作%95的人：执行（需要接受培训）本页及下页图片来源于BSI中国网站ISMS适用的行业以信息为生命线的行业：金融行业：银行、保险、证券、基金、期货等通信行业：电信、网通、移动、联通等皮包公司：外贸、进出口、HR、猎头、会计师事务所等对信息技术依赖度高的行业：钢铁、半导体、物流电力、能源外包（ITO或BPO）：IT、软件、电信IDC、CallCenter等工艺技术要求高、竞争对手渴望得到的：医药、精细化工研究机构ISO27001,20000&CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20000ISO27001ISO27001如何成为LA主任审核员？要成为LA，必须经过：2MDobserver-JuniorAuditor20MDjuniorauditor-Auditor15MDauditor-LeadAuditor注意：后两项经验需分别从3个新的、不同的客户中获取上述每一段经验，均需在2年内获得DNV可以帮助进行IRCA注册什么是好的ISMSGoodInformationSecurityManagementSystematicapproachImprovedunderstandingofbusinessaspectsReductioninsecuritybreachesand/orclaimsReductioninadversepublicityImprovedinsuranceliabilityratingIdentifycriticalassetsviathebusinessriskassessmentProvideastructureforcontinuousimprovementBeaconfidencefactorinternallyaswellasexternallyEnhancetheknowledgeandimportanceofsecurity-relatedissuesatthemanagementlevelEnsurethat“knowledgecapital”willbe“stored”andmanagedinabusinessmanagementsystem实施ISMS的关键成功因素与组织文化一致的信息安全方法老板的支持对信息安全的要求、风险评估和风险管理有好的理解向所有员工和其他人分发信息安全指南有效的对员工和其他人推销信息安全（外部人员也被要求进行信息安全培训）足够的财务支持，以及满足要求的现有系统的能力和配置水平有效的信息安全事故管理过程Tips1重要提示ISMS（信息安全管理体系）和ITSM（信息技术服务管理）的整合需求越来越大：来自最高管理者的关注增强来自客户的推动、压力政府的推动并提供资金的支持，如“十百千”工程行业的普遍关注，如电信IDC，移动，电力系统，海关总署，国家质监总局目前，各大银行和电力企业正在实施ITIL，每年有VeryLarge的市场。半导体业对ISMS的要求非常严格，甚至高过金融业！Tips2历史教训：保安和清洁工是信息安全的重要威胁！（无意伤害对“阶层”感情的好恶）所有员工，包括所有外来人员，必须接受信息安全的培训小窍门：在门卫/传达室放一个《外来人员安全须知》，外来人员在阅读后要签字，这是对外来人员进行了信息安全培训的证据Tips3信息安全容易忽视的两个的地方Thumbdrive（U盘，尽量禁用！）Domaincontroller（域控制器，加强管理！）Goodpractices:人员发生变动的时候，一定要调整访问权限查看企业的财产保险合同审核完毕后一般都需要提高保险级别！很NB的缩写BlackBelt：黑带#%！%！·#￥··#……ERM：企业风险管理（目前最高级别的认证）BCM：业务持续性管理CSR：企业可持续发展报告（验证各项指标）RPN：风险优先指数BCM/BCP：业务持续战略ContinualImprovement：持续改进RA：风险分析ITDRMCABIARTO：recoverytimeobjectiveRPO：recoverypointobjectiveLBCBCP与灾难恢复等概念的比较影响公司层面业务持续性的因素供应链中断：重要原料、IT硬件高层的错误决策客户不满关键人员流失数据中心重大事故恐怖袭击、战争员工信心天灾人祸、火灾爆炸联动点法律法规公众反应BCM非常重要实施ITSM业务连续性管理的两条途径公司层面的BCM（适合于ITOutsourcing或BPO企业）信息安全层面的BCM，适合大型制造业及工艺流程复杂的企业BCM或BCP比“可用性管理”有更大的范围和规模！BCM:一个好的平台QualitymanagementPublicrelationshipInvestmentdirectionSecuritymanagementDisasterrecoverySafetymanagementFacilitiesmanagementIT/OtherdisasterrecoverySupplychainmanagementRiskmanagementBCM的步骤1.理解你的业务BIA(BusinessImpactAssessment)2.业务持续性计划BCP(BusinessContinuityPlanning)3.研究并实施BCM行动4.建立并深入公司BCM文件5.演练/维护及审核BCMISO27001LATrainingCourseDay2ShanghaiFeb.19,2008建立ISMS的步骤1.制定方针2.确定边界3.识别资产4.风险评估5.风险处置6.风险接受7.动态的风险管理制定方针确定边界识别资产风险评估风险处置风险接受动态的风险管理风险、威胁和脆弱性的概念风险Risk：特定的威胁利用资产漏洞的潜在可能，并可导致对组织的危害。它根据事件的可能性及后果进行测量。风险分析：评估风险数量的系统化流程风险评估：包括风险定义，风险分析和风险评估的流程。威胁Threat：引起事故的潜在因素，可能对组织或系统产生损害脆弱性Vulnerability：资产的弱点，可能被一个或多个威胁利用影响Impact：信息安全事故的结果风险产生的原因5大因素：自然环境社会经济环境政治及法制因素营运环境意识及沟通因素或者：人机：软硬件，需要维护料：输入，包括客户需求法：程序、方法，是否清楚、适当环：大环境资产类型通常：网络机房PC台式机笔记本普通营销部/中层干部高层管理人员人员文档电子书面客户要求整体实体（物理）安全分类：信息资产：数据文件、数据库软件资产：系统软件、应用软件物理资产：计算机、通讯设备服务资产：电力、消防、打印机、复印机人力资产：员工、工人纸面资产：协议、合同无形资产：公司形象、名誉、品牌注意：IT部门可能拥有上述所有资产，其他部门可能只拥有其中1至2项编制资产识别表资产？对组织有价值的任何事物编制资产识别表的要点找对owner合并同类项，特性和风险相同的资产可以合并为一项小窍门：先按部门分别进行对资产项合并同类项后，可跨部门再进行一次合并同类项风险的计算第一种方法：风险=严重性*可能性影响程度的严重性（权重较大）威胁发生的可能性：按历史发生情况！第二种方法：严重性*可能性*脆弱性脆弱性