陕西电信信息安全管理培训

陕西电信信息安全管理培训2019年9月17日信息安全管理体系介绍第一天什么是信息安全3防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。信息安全的关键在于信息本身，而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。信息安全的基本目标信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。什么是信息安全机密性可用性完整性4（1）可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。（2）完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。（3）保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。什么是信息安全5信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。什么是信息安全67信息安全管理概念管理体系的持续改进要求要求被满足管理职责分析改进产品实现资源管理输入输出信息安全管理体系ISO27001:2005简介ISO/IEC27001：2005与ISO/IEC27001：2013差异对比ISMS@组织用户的责任89历史BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英固工贸部、英固标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次信订之后出版BS7799-1：1999和BS7799-2：1999。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。2013年10月19日修订原版，正式使用ISO/IEC27001:2013版。2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年上半年正式更名为ISO27002:2007。2013年与ISO27001:2013版同步更新为ISO27002:2013.10现在与未来ISO27002:2007CodeofpracticeFromISO17799ISO27003ImplementationGuideISO27001November2005ISO27000November2005ISO27004MeasurementStandardISO27005RiskManagementStandardFromBS7799-IIIISO27006RequirementsforBodiesprovidingaudit&CertificationISO/IEC18004IncidentManagementStandardSS507BC/DRStandard(Singapore)ISO17799Jun2005守则审核标准BS7799–PartIIIGuidelinesforISRiskManagementDec2005ISO13335–ITsecuritymanagement11ISO27000标准族ISO27001:2005标准说明BS7799：分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明BS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005标准说明BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明关键的成功因素(Criticalsuccessfactors)经验显示，组织的信息安全能否成功实施，下列常为关键因素：能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评估以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。管理体系的4大要素组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训管理体系组织结构程序过程资源什么叫ISMS信息安全管理体系Information信息信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。InformationSecurity信息安全对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。InformationSecurityManagementSystem信息安全管理体系是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。step1如果什么是好的ISMSGoodInformationSecurityManagement系统的方法更好地了解业务方面降低安全漏洞和/或索赔降低负面宣传改进保险责任评级通过业务风险评估，确定关键资产为持续改进提供一个结构，内部和外部是一个信心的因素提高管理水平的知识和与安全相关的问题的重要性确保“知识资本”将被“存储”，并在业务管理系统管理实施ISMS的关键成功因素与组织文化一致的信息安全方法老板的支持对信息安全的要求、风险评估和风险管理有好的理解向所有员工和其他人分发信息安全指南有效的对员工和其他人推销信息安全（外部人员也被要求进行信息安全培训）足够的财务支持，以及满足要求的现有系统的能力和配置水平有效的信息安全事故管理过程重要提示ISMS（信息安全管理体系）和ITSM（信息技术服务管理）的整合需求越来越大：来自最高管理者的关注增强来自客户的推动、压力政府的推动并提供资金的支持，如“十百千”工程行业的普遍关注，如电信IDC，移动，电力系统，海关总署，国家质监总局目前，各大银行和电力企业正在实施ITIL，每年有VeryLarge的市场。半导体业对ISMS的要求非常严格，甚至高过金融业！重要提示历史教训：保安和清洁工是信息安全的重要威胁！（无意伤害对“阶层”感情的好恶）所有员工，包括所有外来人员，必须接受信息安全的培训小窍门：在门卫/传达室放一个《外来人员安全须知》，外来人员在阅读后要签字，这是对外来人员进行了信息安全培训的证据重要提示信息安全容易忽视的两个的地方Thumbdrive（U盘，尽量禁用！）Domaincontroller（域控制器，加强管理！）Goodpractices:人员发生变动的时候，一定要调整访问权限查看企业的财产保险合同审核完毕后一般都需要提高保险级别！影响公司层面业务持续性的因素供应链中断：重要原料、IT硬件高层的错误决策客户不满关键人员流失数据中心重大事故恐怖袭击、战争员工信心天灾人祸、火灾爆炸联动点法律法规公众反应BCM非常重要实施ITSM业务连续性管理的两条途径公司层面的BCM（适合于ITOutsourcing或BPO企业）信息安全层面的BCM，适合大型制造业及工艺流程复杂的企业BCM或BCP比“可用性管理”有更大的范围和规模！ISO27001:2005标准说明ISMS标准/指南ISO27001serial(2005~)20052000~2002Before2000信息安全管理系统要求ISO27001ISO27001:2005(BS7799-2:2005)BS7799-2:2002BS7799-2:1999信息安全管理作业要点ISO27002(afterApril2007)ISO17799:2005(BS7799-1:2005)ISO17799:2000BS7799-1:1999ISO27001:2005标准说明BS7799：分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明BS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005标准说明BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求，规定要实施之安全控制措施的要求。ISO27001:2005标准说明信息是一种资产，就像其它重要的企业资产依样，对组织具有价值，因此需要受到适当的保护。ISO27001:2005标准说明信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。ISO27001:2005标准说明信息安全保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。ISO27001:2005标准说明关键的成功因素(Criticalsuccessfactors)经验显示，组织的信息安全能