ISMS意识培训与信息安全案例分析

1赛宝认证中心CEPREICertificationBody信息安全意识培训与案例分析赛宝认证中心CEPREICertificationBody‹信息安全基础知识‹信息安全案例分析‹ISO27001标准简介‹ISO27001实施流程内容介绍赛宝认证中心CEPREICertificationBody1、背景－信息时代‹我们已经身处信息时代‹信息时代的特征¾计算机和网络成为重要的生产工具¾计算机和网络在我们的生活中也起到了非常重要的作用¾传统的时间和空间观发生了巨大变化¾信息成为人类社会发展的重要资源¾信息爆炸¾安全的概念被不断扩展和延伸赛宝认证中心CEPREICertificationBody2、关键资产－信息‹什么是信息？信息是经过加工的数据或消息。信息是对决策者有价值的数据。赛宝认证中心CEPREICertificationBody2、关键资产－信息‹企业应保护什么信息？¾知识产权；¾技术秘密；¾重要的合同；¾客户资料；¾软件产品的源代码；¾财务数据；¾内部文件；¾…………赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息的生命周期：建立储存处理销毁传送丢失损毁使用？！！恶意或不当行为2赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息的存在形式¾打印或写在纸上；¾存在于计算机或网络中；¾以邮寄、电子邮件方式交换；¾言语交谈；¾传输的电波等等。赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息的存储介质¾纸、胶片；¾硬盘、U盘、光盘、磁带、磁光盘；¾计算机网络；¾员工大脑；赛宝认证中心CEPREICertificationBody2、关键资产－信息‹组织的“信息”在哪里？¾雇员的大脑：42%；¾纸质文件：26%；¾电子文档：20%¾其他：12%；“不论信息采取何种方式或采取何种手段共享或存储，它总应得到妥善保护”雇员的大脑纸质文件电子文档其他赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息为什么会有安全问题¾信息具有重要的价值z信息社会对信息的高度依赖z信息的高附加值会引起盗窃、滥用等威胁赛宝认证中心CEPREICertificationBody广州好又多商业机密泄漏，巨亏4200万元信息具有重要的价值赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息为什么会有安全问题¾信息系统固有的脆弱性z信息本身易传播、易毁坏、易伪造z信息平台的脆弱性3赛宝认证中心CEPREICertificationBody纽约股市闪电崩盘10分钟,华尔街蒸发万亿美元信息系统固有的脆弱性赛宝认证中心CEPREICertificationBody2、关键资产－信息‹信息为什么会有安全问题¾信息安全管理的不健全z未被采纳的策划案——放弃也是一种选择z公用设备——如U盘赛宝认证中心CEPREICertificationBody凯恩股份技术图纸和文件泄漏，1年之内损失2000万信息安全管理的不健全赛宝认证中心CEPREICertificationBody3、信息安全的定义‹ISO/IEC17799：2005保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、不可否认性和可靠性。保密性完整性可用性赛宝认证中心CEPREICertificationBody3、信息安全的定义‹保密性Confidentiality：信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。‹完整性Integrity：保护资产的准确和完整的特性。‹可用性Availability：需要时，授权实体可以访问和使用的特性。赛宝认证中心CEPREICertificationBody4、为什么需要信息安全‹国家安全的需要¾政治、军事、经济、教育对信息的依赖¾要符合法律、法规的要求‹组织持续发展的需要¾信息是组织的重要资产¾提高服务水平的重要措施¾保护核心资产、知识产权，获得竞争优势¾向贸易伙伴证明对信息安全的承诺¾内部管理的工具－－控制及信心‹保护个人隐私与财产的需要4赛宝认证中心CEPREICertificationBody4、为什么需要信息安全¾信息安全能帮助企业盈利吗•降低成本•a)良好的信息安全规划和风险评估会减少企业盲目的IT投资；•b)减少了因系统中断、服务中断而带来的客户不满意度以及相关的失效处理成本；赛宝认证中心CEPREICertificationBody4、为什么需要信息安全根据AlfredMarshall在PrinciplesofEconomics（经济学原理）中的论断：任何要素的过分使用都会引起报酬递减Yincome=f(ISinvestment)赛宝认证中心CEPREICertificationBody¾信息安全能帮助企业盈利吗•增加收入•a)保护核心信息资产、知识产权，获得竞争优势；•b)增强可用性，提高企业反应速度，获得更高客户满意度；4、为什么需要信息安全赛宝认证中心CEPREICertificationBody内容介绍‹信息安全基础知识‹信息安全案例分析‹ISO27001标准简介‹ISO27001实施流程赛宝认证中心CEPREICertificationBody原华为工程师网上盗卖充值卡案例一赛宝认证中心CEPREICertificationBody创维两工程师偷卖技术换股份案例二5赛宝认证中心CEPREICertificationBody广州好又多商业资讯被外泄案例三赛宝认证中心CEPREICertificationBody苏州医疗器械总厂技术专利被侵占案例四赛宝认证中心CEPREICertificationBody张氏铜锣技术秘密泄露案例五赛宝认证中心CEPREICertificationBody赛宝认证中心CEPREICertificationBody日常工作中常见的信息安全事件案例六赛宝认证中心CEPREICertificationBody1、打印机——打印件滞留带来信息漏洞2、打印纸背面——好习惯换取大损失3、电脑易手——新员工真正的入职导师4、共享文件——局域网中获得公司内部机密的通道。5、经营数据统计对比——聪明反被聪明误6、入职培训——信息保卫战从此被动7、传真机——你总是在半小时后才拿到发给你的传真8、公用设备——等于公用信息9、产品痕迹——靠“痕迹”了解你的未来6赛宝认证中心CEPREICertificationBody10、光盘刻录——资料在备份过程中流失11、邮箱——信息窃取的中转站12、隐藏分区——长期窃取公司资料必备手法13、私人电脑——大量窃取资料常用手段14、会议记录——被忽视的公司机密15、未被采纳的策划案——放弃也是一种选择16、客户——你的机密只是盟友的谈资17、解聘后半小时——不要给他最后的机会。18、入职后一星期——新人在第一个星期里收集的资料是平时的5倍。赛宝认证中心CEPREICertificationBody1、项目成果、技术秘密外泄2、关键技术人员跳槽3、标底信息提前透露4、客户资料泄密5、信息系统瘫痪6、财务数据失控7、专利被侵权…………企业面临的信息安全问题赛宝认证中心CEPREICertificationBody我们面临着众多的信息安全问题木马病毒拒绝服务攻击已知蠕虫攻击商业间谍Cookie欺骗攻击信用卡大盗钓鱼攻击零日蠕虫攻击金融数据泄漏命令注入攻击非法修改参数数据库特权混用恶意移动代码专利数据泄漏缓冲区溢出暴力破解攻击目录遍历攻击会话劫持攻击跨站脚本攻击数据破坏攻击非法修改表单数据小偷……赛宝认证中心CEPREICertificationBody怎么办？赛宝认证中心CEPREICertificationBody通常想法：技术路线‹物理安全技术：环境安全、设备安全、媒体安全；‹系统安全技术：操作系统及数据库系统的安全性；‹网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；‹应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全；‹数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性；‹认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等；‹访问控制技术：防火墙、访问控制列表等；‹审计跟踪技术：入侵检测、日志审计、辨析取证；‹防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；‹灾备技术：业务连续性技术，前提就是对数据的备份。信息安全＝技术＋产品=防病毒软件＋防火墙＋入侵检测系统＋...？赛宝认证中心CEPREICertificationBody但技术和产品达不到人们需要的水准‹例如:微软的WindowsNT、IBM的AIX等常见的企业级操作系统，大部分只达到了美国国防部TCSECC2级安全认证，而且核心技术和知识产权都是国外的，不能满足国家涉密信息系统或商业敏感信息系统的需求。7赛宝认证中心CEPREICertificationBody技术往往落后于风险的出现‹在计算机病毒与病毒防治软件的对抗过程中，经常是在一种新的计算机病毒出现并已经造成大量损失后，才能开发出查杀该病毒的软件，赛宝认证中心CEPREICertificationBody技术管理不当，带来新风险‹即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。¾例如，虽然在网络边界设置了防火墙，但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因，防火墙的配置出现严重漏洞，其安全功效将大打折扣。¾再如，虽然引入了身份认证机制，但由于用户安全意识薄弱，再加上管理不严，使得口令设置或保存不当，造成口令泄漏，那么依靠口令检查的身份认证机制会完全失效。赛宝认证中心CEPREICertificationBody我们观点：信息安全不是单纯的技术问题‹信息安全是组织的一个业务问题，需要管理的承诺和支持‹信息安全技术并不能解决所有的安全问题‹信息安全要从多方面进行管理:¾人员¾物理安全¾网络安全¾业务持续性¾知识产权¾……赛宝认证中心CEPREICertificationBody统计数据表明，在所有的计算机安全事件中，人为因素占52%，自然灾害占25%，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。三分技术，七分管理赛宝认证中心CEPREICertificationBody‹组织的“信息”在哪里？¾雇员的大脑：42%；¾纸质文件：26%；¾电子文档：20%¾其他：12%；雇员的大脑纸质文件电子文档其他三分技术，七分管理赛宝认证中心CEPREICertificationBody信息安全保障的三大要素信息安全＝防患意识＋管理流程＋严格的制度＋法律保障＋优秀的执行团队＋先进技术＋……8赛宝认证中心CEPREICertificationBody在组织内建立和实施基于最新国际标准ISO/IEC27001:2005（由BS7799发展而来）的信息安全管理体系（ISMS）。它是目前国际上最先进的信息安全整体解决方案它以组织风险评估为基石，运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。信息安全整体解决方案赛宝认证中心CEPREICertificationBody基于风险的信息安全管理体系赛宝认证中心CEPREICertificationBody‹信息安全基础知识‹信息安全案例分析‹ISO27001标准简介‹ISO27001实施流程内容介绍赛宝认证中心CEPREICertificationBody信息安全管理体系‹ISMS定义‹ISMS标准产生发展的动力‹ISMS标准的构成‹ISMS标准的发展历史‹ISO27000标准族介绍赛宝认证中心CEPREICertificationBodyISMS定义信息安全管理体系（InformationSecurityManagementSystem，