您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 咨询培训 > 信息安全管理体系培训课件new
信息安全管理体系2目录介绍ISO27001认证过程和要点介绍信息安全管理体系内容信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进3通信公司员工泄漏内部信息获刑法制晚报:5家调查公司因非法经营被查,由此牵出了移动、联通的三名在职员工和两名离职员工——他们与调查公司勾结,将通话记录等信息透露给对方。吴晓晨利用担任联通公司北京市三区分公司广安门外分局商务客户代表的工作之便,获取大量公民个人信息后非法出售给调查公司,从中获利。案情供述:联通公司吴晓晨:他帮调查公司查座机电话号码的安装地址,调查公司每个月固定给2000元,后来又让帮忙查电话清单。2008年10月初,他索性自己成立了一个商务调查公司单干了。移动公司张宁:2008年原同事林涛找到他,让他查机主信息,修改手机密码。他一共帮查过50多个机主信息,修改过100多个手机客服密码。只要提供给他机主姓名和手机号码,他就可以通过工作平台,将该人的个人信息调取出来,查出身份证号、住址和联系电话。修改手机密码也是通过平台,只需要提供手机号码就行。修改完密码后,就可以通过自动语音系统调通话记录了,通话记录会传真到查询者的传真电话上。这比一个个地查完通话记录再给他们,更方便省事。其实这是通信公司的一个漏洞。朝阳法院以非法经营罪判处5人有期徒刑2年6个月至有期徒刑2年2个月4清明小长假一政府网被篡改成黄色网站4月6日上午,有网友登录扬州市城乡建设局官方网站时吃惊地发现,网页竟然成了黄色网页!页面上充斥着衣着暴露的性感美女,搔首弄姿,十分不雅。“网站变成黄色网站的准确时间是3日,也就是清明小长假的第一天,因为放假,我们并没有发现。今天上午9点节后一上班,我们就发现了这个问题。”昨日,扬州市城乡建设局信息中心朱主任接受记者采访时表示,他们的网站确实被黑客袭击了,被挂上了木马。这次已是今年第二次遭黑客攻击,第一次是在今年1月下旬,情况跟这次类似。朱主任表示,他们一上班发现网站“被色情”后,一直忙着维护,到12点多钟恢复了正常。朱主任同时表示,他们的网站创建已经好几年了,比较老了,由于现在仍然缺乏相关的网络安全保护设备,所以网站两次遭到攻击。目前网站正在准备升级,在软件、硬件上都要投入,将网站代码进行升级,提高安全性。他还透露,今年内扬州市政府可能对政府各部门网站进行集中管理,进一步保障安全性。57天酒店数据库被盗在腾讯微博上,一个名为“××刺客”的用户发言称,“出售7天假日所有联网中心数据,附带会员注册个人信息,会员等级,开房信息,个人积分等全部数据。”同时该用户还留下了一个联系邮箱。记者通过网络查询后,得到了该用户的QQ号,在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员,想购买7天的会员数据库。在交流中,该黑客明确告诉记者他手中确实有数据库,会员总数在600万左右。当记者称愿意出价1000元购买时,该黑客在等待了几分钟后,称自己比较忙,不卖了。随后连续几天,该黑客的QQ头像始终处于离线状态,记者发出的10多条消息也无一回复。黑客通过SQL注入漏洞,入侵了服务器,并窃取了数据库。6什么是信息?通常我们可以把信息理解为消息、信号、数据、情报和知识。信息本身是无形的,借助于信息媒体以多种形式存在或传播:•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:•计算机和网络中的数据•硬件和软件•关键人员•组织提供的服务•各类文档具有价值的信息资产面临诸多威胁,需要妥善保护。7信息安全定义广义上讲领域——涉及到网络信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论本质上保护——网络系统的硬件,软件,数据防止——系统和数据遭受破坏,更改,泄露保证——系统连续可靠正常地运行,服务不中断两个层面技术层面——防止外部用户的非法入侵管理层面——内部员工的教育和管理8信息安全金字塔审计管理加密访问控制用户验证安全策略9信息安全的成败取决于两个因素:技术和管理。安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。人们常说,三分技术,七分管理,可见管理对信息安全的重要性。信息安全管理(InformationSecurityManagement)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全管理10安全管理观点技术和产品是基础,管理才是关键产品和技术,要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全根本上说,信息安全是个管理过程,而不是技术过程11基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。•制定信息安全策略方针•风险评估和管理•控制目标和方式选择•风险控制和处理•安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。12ISO27001发展历程(由BS7799演变而来)13评估标准的发展历程14信息安全的CIA目标保护信息的保密性、完整性和可用性——ISO17799ConfidentialityIntegrityAvailabilityInformation15目录1介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进16ISO27001认证过程-11个Domain16一、信息安全方针(SecurityPolicy)(1,2)四、人员安全(HumanResourceSecurity)(3,9)五、物理及环境安全(PhysicalandEnvironmentalSecurity)(2,13)二、组织安全(OrganizingInformationsecurity)(2,11)三、资产分类与控制(AssetManagement)(2,5)六、通信与操作管理(CommunicationsandOperationsManagement)(10,33)八、系统开发与维护(InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、访问控制(AccessControl)(7,25)十、业务持续性管理(BusinessContinuityManagement)(1,5)十一、符合性(Compliance)(3,10)九、信息安全事件管理(InformationsecurityincidentManagement)(2,5)17目录介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进18Plan阶段定义ISMS的范围(从业务、组织、位置、资产和技术等方面考虑)定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明(SoA)取得管理层对残留风险的承认和实施并操作ISMS的授权19组织实现信息安全的必要的、重要的步骤了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据风险评估的目的20资产拥有者安全控制措施安全防护确信/信心安全风险评估生成/加强给出证据/发现问题需要如不能确信,需要评估给出评估与安全防护的关系21风险管理全过程原理21识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受风险管理2222对资产进行保护是信息安全和风险管理的首要目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。信息资产的存在形式有多种,物理的、逻辑的、无形的。信息资产:数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息;软件资产:应用程序软件、系统软件、开发工具以及实用程序;实体资产:计算机设备(处理器、监视器、膝上型电脑、调制解调器)、通讯设备(路由器、PABX、传真机、应答机)、磁介质(磁带和磁盘)、其它技术设备(电源、空调器)、机房;书面文件:包含系统文件、使用手册、各种程序及指引办法、合约书等。人员:承担特定职能和责任的人员;服务:计算和通信服务,其他技术性服务,例如供暖、照明、水电、UPS识别信息资产23识别并评估弱点23针对每一项需要保护的资产,找到其现实存在的弱点,包括:技术性弱点:系统、程序、设备中存在的漏洞或缺陷。操作性弱点:配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份中的漏洞。管理性弱点:策略、程序、规章制度、人员意识、组织结构等方面的不足。弱点的识别途径:审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试对弱点的评估需要考虑其严重程度(Severity)或暴露程度(Exposure,即被利用的容易度)。如果资产没有弱点或者弱点很轻微,就不存在风险问题。2424识别每项(类)资产可能面临的威胁。一项资产可能面临多个威胁,一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物,即威胁源(威胁代理,ThreatAgent)。威胁可能是蓄意也可能是偶然的因素(不同的性质),通常包括(来源):人员威胁:故意破坏和无意失误系统威胁:系统、网络或服务出现的故障环境威胁:电源故障、污染、液体泄漏、火灾等自然威胁:洪水、地震、台风、雷电等威胁对资产的侵害,表现在CIA某方面或者多个方面的受损上。对威胁的评估,主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机(Motivation)和能力(Capability)等因素。识别并评估威胁2525关于风险可接受水平安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平决策者应该根据公司实际情况来确定风险可接受水平2626降低风险(ReduceRisk)——实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响,包括:减少威胁:例如,建立并实施恶意软件控制程序,减少信息系统受恶意软件攻击的机会。减少弱点:例如,通过安全教育和意识培训,强化职员的安全意识与安全操作能力。降低影响:例如,制定灾难恢复计划和业务连续性计划,做好备份。规避风险(AvoidRisk)——或者RejectingRisk。有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。例如,将重要的计算机系统与互联网隔离,使其免遭来自外部网络的攻击。转移风险(TransferRisk)——也称作RiskAssignment。将风险全部或者部分地转移到其他责任方,例如购买商业保险。接受风险(AcceptRisk)——在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受,即所谓的无作为。确定风险处理策略2727依据风险评估的
本文标题:信息安全管理体系培训课件new
链接地址:https://www.777doc.com/doc-966473 .html