信息安全培训课件

信息安全管理体系培训课件信息安全人人有责信息安全人人有责信息安全管理体系培训课件目录体系介绍体系框架体系实施流程风险评估内部审核管理评审什么是信息安全管理体系？为什么要贯标信息安全管理体系？海内存知己，天涯若比邻如今时代，信息高速发展，世界变得越来越“小”信息安全管理体系培训课件体系介绍信息安全管理体系（ISMS）Informationsecuritymanagementsystem:基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分；信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。2008年6月，ISO/IEC27001等同转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。这体系谁想出来的？提出来有多久了？哪些企业适用呢？会不会是忽悠人的呢T1信息安全管理体系培训课件体系介绍信息安全管理体系（ISMS）---三要素保密性：确保只有经过授权的人才能存取信息。完整性：维护提供使用的信息为正确与完整的，未受破坏或篡改。可用性：确保经过授权的用户在需要时可以存取信息并使用相关信息。没有四要素吗？还包含合规性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。T1信息安全管理体系培训课件体系介绍信息安全管理体系（ISMS）---主要内容安全策略信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理访问控制系统采集、开发和维护信息安全事故管理业务连续性管理符合性信息安全管理体系包含了133个控制点，39个控制措施，11个控制域；这体系有些什么内容呢？信息安全管理体系培训课件体系框架体系介绍体系框架体系实施流程风险评估内部审核管理评审如何搭建（策划）信息安全管理体系？海内存知己，天涯若比邻信息安全管理体系培训课件体系框架信息安全管理体系培训课件体系框架-信息安全控制域在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段”信息安全管理体系培训课件体系框架在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段”与体系的PDCA过程有区别吗？如何体现体系改进了呢？信息安全管理体系培训课件目录体系介绍体系框架体系实施流程风险评估内部审核管理评审体系如何运作？海内存知己，天涯若比邻信息安全管理体系培训课件体系实施流程如何构架信息安全管理体系：•建立信息安全管理框架•具体实施构架的ISMS•建立相关文档•文档的严格管理•安全事件记录、回馈如何构架信息安全管理体系呢？信息安全管理体系培训课件目录体系介绍体系框架体系实施流程风险评估内部审核管理评审如何识别风险，如何管控风险？海内存知己，天涯若比邻信息安全管理体系培训课件风险评估-资产识别ISMS中“资产”指的是什么？与通常所说的公司资产有区别吗？资产：对组织有价值的任何东西资产：对组织有价值的任何东西信息安全管理体系培训课件风险评估-资产识别-信息资产信息资产：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持规程、业务连续性计划、基本维持运行的安排、审核踪迹、归档信息部门涉及了多少信息资产？部门哪些是关键信息资产呢？信息安全管理体系培训课件风险评估-资产识别-软件资产软件资产：应用软件、系统软件、开发工具和实用程序物理资产：计算机设备、通信设备、可移动介质和其他设备服务：计算和通信服务、公用设施，例如：供暖、照明、能源、空调；人员：岗位资格、技能和经验无形资产：声誉、形象和品牌部门涉及了哪些？信息安全管理体系培训课件风险评估-资产评价资产三项属性：保密性、完整性和可用性赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害；3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害；2低仅能在组织内或组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等；保密与工作效率如何取舍？信息安全管理体系培训课件风险评估-资产评价资产三项属性：保密性、完整性（保护资产的准确和完整的特性）和可用性赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性机制中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或迫害会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略完整性指的到底是什么呢？信息安全管理体系培训课件风险评估-资产评价资产三项属性：保密性、完整性和可用性（根据授权实体的要求可访问和利用的特性）赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用率达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min；3中等可用性价值中等，合法使用者对信息及信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于35%可用性指的到底是什么呢？信息安全管理体系培训课件风险评估-资产识别-资产安全信息安全(informationsecurity)保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查性、不可否认性和可靠性等信息安全CIA保密性(Confidentiality)信息不能被未授权的个人，实体或者过程利用或知悉的特性。完整性(Integrity)保护资产的准确和完整的特性。可用性(Availability)根据授权实体的要求可访问和利用的特性。何为信息安全？要关注哪些方面？信息安全的方针、目标如何制定？要关注哪些要素？信息安全管理体系培训课件风险评估-资产面临的威胁和脆弱性的识别威胁：可能导致对系统或组织的损害的不期望事件发生的潜在原因；脆弱性：可能会被一个或多个威胁所利用的资产或一组资产的弱点来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障；人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏，采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任性，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏，内部人员由于缺乏培训、专业技能不足，不具备岗位技能要求而导致信息系统故障或被攻击威胁和脆弱性有什么关系？信息安全管理体系培训课件风险评估-资产面临的威胁和脆弱性的识别威胁：可能导致对系统或组织的损害的不期望事件发生的潜在原因；脆弱性：可能会被一个或多个威胁所利用的资产或一组资产的弱点威胁和脆弱性有什么关系？信息安全管理体系培训课件风险评估-风险评估流程风险评估流程图确定ISMS范围信息资产识别/评价是否重要信息资产威胁性识别脆弱性识别已具备的控制措施对信息资产威胁发生的可能性、威胁发生的影响得出现有的信息资产面临的风险等级事件发生的可能性事件发生的影响确定风险等级是否接受保持现有控制措施选择控制目标和措施是否实施残余风险评估残余风险确认产生风险评估报告产生残余风险报告，并报最高管理者批准制定风险处置计划信息安全管理体系培训课件风险评估-风险评估流程信息资产识别重要程度赋值风险评估风险评估报告不可接受风险制定风险处置计划不可接受风险评估残余风险评估报告选择控制目标和控制措施选择控制目标和控制措施信息安全管理体系培训课件风险评估-风险决策流程信息安全管理体系培训课件目录体系介绍体系框架体系实施流程风险评估内部审核管理评审内审员需要掌握哪些技能？如何开展内部审核？海内存知己，天涯若比邻信息安全管理体系培训课件目录体系介绍体系框架体系实施流程风险评估内部审核管理评审管理评审包含了哪些内容，平时的总结算管理评审吗？如何有效实施评价呢？海内存知己，天涯若比邻信息安全管理体系培训课件管理评审管理评审包含了哪些内容，平时的总结算管理评审吗？如何有效实施评价呢？COOCEO||或管理评审通知管理层管理评审计划各部门评审输入管理评审报告管理层实施改进COOCEO||或管理层管理层信息安全管理体系培训课件管理评审管理评审包含了哪些内容，平时的总结算管理评审吗？如何有效实施评价呢？管理评审材料管理评审通知管理评审计划管理评审汇报材料最高管理者管理者最高管理者（总助）会议决议管理评审报告改进实施计划达成决议发布管理评审报告会议签到表实施改进计划信息安全管理体系培训课件ISO体系ISO能告诉我怎么做吗？A能（）B不能（）ISO标准能告诉您，要做什么，而不能告诉您，该怎么？信息安全管理体系培训课件建立ISMS步骤建立ISMS步骤信息安全管理体系培训课件建立ISMS步骤创建ISMS架构-----制度体系方针管理手册适用性声明（SOA）管理规定、办法管理规范、实施细则、指南记录、模板第一级目标是什么信息安全方针/管理手册，是信息安全管理工作的纲领性文件。第二级做什么事情？管理规定、办法文件用来规定所要求的管理制度或技术控制措施。第三级怎么去做管理流程和实施细则解释特殊工作和活动的细节。第四级做了没有？做的怎么样？记录活动实行以符合1,2,和3级的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据信息安全管理体系培训课件体系建设里程碑信息安全风险评估1•各部门资产收集•信息收集重要程度赋值•信息资产风险评估信息安全风险评估2•风险处置计划•残余风险评估•信息安全适用性声明信息安全管理体系发布•程序文件制定•规范作业文件制定•运行记录制定监视和测量•内部审核•管理评审•体系运行报告信息安全管理体系培训课件建立ISMS步骤谢谢！