信息安全管理体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全; • 先进、易于理解、方便操作的安全策略对信息安全至关重要
,也证明了管理的重要; • 建立一个管理框架,让好的安全策略在这个框架内可重复实
施,并不断得到修正,就会持续安全。
2020/7/20
.
1.4 信息安全管理的实践经验
• 反映组织业务目标的安全方针、目标和活动; • 符合组织文化的安全实施方法; • 管理层明显的支持和承诺; • 安全需求、风险评估和风险管理的正确理解; • 有效地向所有管理人员和员工推行安全措施; • 向所有的员工和签约方提供本组织的信息安全方针
存在的问题
• 需求难以确定 ✓ 保护什么、保护对象的边界到哪里、应该保护到什么程度……
• 管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 • 通常用漏洞扫描(Scanner)来代替风险评估
✓ 有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的 态度……
• “头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的 协调也是难题
信息安全管理体系教程
课前介绍
课程目标 课程安排 课程内容 注意事项 学员介绍
2020/7/20
.
课程目标
掌握信息安全管理的一般知识 了解信息安全管理在信息系统安全保障 体系中的地位 认识和了解ISO17799 理解一个组织实施ISO17799的意义 初步掌握建立信息安全管理体系(ISMS )的方法和步骤
“Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
信息安全:
✓ 保护信息免受各方威胁 ✓ 确保组织业务连续性 ✓ 将信息不安全带来的损失降低到最小 ✓ 获得最大的投资回报和商业机会
2020/7/20
.
信息安全的特征(CIA)
ISO17799中的描述
Information security is characterized here as the preservation of:
什么是信息安全?
2020/7/20
.
什么是信息?
ISO17799中的描述
“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ”
✓ Confidentiality ✓ Integrity ✓ Availability
信息在安全方面三个特征:
✓ 机密性:确保只有被授权的人才可以访问信息; ✓ 完整性:确保信息和信息处理方法的准确性和完整性; ✓ 可用性:确保在需要时,被授权的用户可以访问信息和相
关的资产。
2020/7/20
.
总结
2020/7/20
.来自百度文库
课程安排
课时: 24H 课程方法:讲授、小组讨论、练习
2020/7/20
.
课程内容
1、信息安全基础知识 2、信息安全管理与信息系统安全保障 3、信息安全管理体系标准概述 4、信息安全管理体系方法 5、ISO17799中的控制目标和控制措施 6、ISMS建设、运行、审核与认证 7、信息系统安全保障管理要求
请思考:
目前,解决信息安全问题,通常的做法 是什么?
2020/7/20
.
“产品导向型”信息安全
初始阶段,解决信息安全问题,通常的方法:
• 采购各种安全产品,由产品厂商提供方案; ✓ Anti-Virus、Firewall、IDS & Scanner……
• 组织内部安排1-2人兼职负责日常维护,通常来自以技术为主的IT部门; • 更多的情况是几乎没有日常维护
2020/7/20
.
法律法规的要求
✓计算机信息系统安全保护条例 ✓知识产权保护 ✓互联网安全管理办法 ✓网站备案管理规定 ✓……
2020/7/20
.
信息系统使命的要求
✓ 信息系统本身具有特定的使命 ✓ 信息安全的目的就是使信息系统的使命得到保
障 ✓ 。。。。
2020/7/20
.
1.3 实践中的信息安全问题
完整
信息处理设施
2020/7/20
信息处理 过程
可用
信息处理者
信息本身
机密
.
1.2 为什么需要信息安全
请思考:
组织为什么要花钱实现信息安全?
2020/7/20
.
组织自身业务的需要
✓自身业务和利益的要求 ✓客户的要求 ✓合作伙伴的要求 ✓投标要求 ✓竞争优势,树立品牌 ✓加强内部管理的要求 ✓……
2020/7/20
.
注意事项
积极参与、活跃气氛 守时 保持安静 有问题可随时举手提问
2020/7/20
.
1. 信息安全基础知识
1.1 信息安全的基本概念 1.2 为什么需要信息安全 1.3 实践中的信息安全问题 1.4 信息安全管理的实践经验
2020/7/20
.
1.1 信息安全基本概念
请思考:
强调信息:
✓ 是一种资产 ✓ 同其它重要的商业资产一样 ✓ 对组织具有价值 ✓ 需要适当的保护 ✓ 以各种形式存在:纸、电子、影片、交谈等
2020/7/20
.
信息在哪里?
小问题:你们公司的Knowledge都在哪里?
2020/7/20
.
什么是信息安全?
ISO17799中的描述
“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”
2020/7/20
.
信息安全管理
ISO17799强调:
“Information security is a management process, not a technological process.”
• 技术和产品是基础,管理是关键; • 产品和技术,要通过管理的组织职能才能发挥最好的作用; • 技术不高但管理良好的系统远比技术高但管理混乱的系统安
,也证明了管理的重要; • 建立一个管理框架,让好的安全策略在这个框架内可重复实
施,并不断得到修正,就会持续安全。
2020/7/20
.
1.4 信息安全管理的实践经验
• 反映组织业务目标的安全方针、目标和活动; • 符合组织文化的安全实施方法; • 管理层明显的支持和承诺; • 安全需求、风险评估和风险管理的正确理解; • 有效地向所有管理人员和员工推行安全措施; • 向所有的员工和签约方提供本组织的信息安全方针
存在的问题
• 需求难以确定 ✓ 保护什么、保护对象的边界到哪里、应该保护到什么程度……
• 管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 • 通常用漏洞扫描(Scanner)来代替风险评估
✓ 有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的 态度……
• “头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的 协调也是难题
信息安全管理体系教程
课前介绍
课程目标 课程安排 课程内容 注意事项 学员介绍
2020/7/20
.
课程目标
掌握信息安全管理的一般知识 了解信息安全管理在信息系统安全保障 体系中的地位 认识和了解ISO17799 理解一个组织实施ISO17799的意义 初步掌握建立信息安全管理体系(ISMS )的方法和步骤
“Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
信息安全:
✓ 保护信息免受各方威胁 ✓ 确保组织业务连续性 ✓ 将信息不安全带来的损失降低到最小 ✓ 获得最大的投资回报和商业机会
2020/7/20
.
信息安全的特征(CIA)
ISO17799中的描述
Information security is characterized here as the preservation of:
什么是信息安全?
2020/7/20
.
什么是信息?
ISO17799中的描述
“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ”
✓ Confidentiality ✓ Integrity ✓ Availability
信息在安全方面三个特征:
✓ 机密性:确保只有被授权的人才可以访问信息; ✓ 完整性:确保信息和信息处理方法的准确性和完整性; ✓ 可用性:确保在需要时,被授权的用户可以访问信息和相
关的资产。
2020/7/20
.
总结
2020/7/20
.来自百度文库
课程安排
课时: 24H 课程方法:讲授、小组讨论、练习
2020/7/20
.
课程内容
1、信息安全基础知识 2、信息安全管理与信息系统安全保障 3、信息安全管理体系标准概述 4、信息安全管理体系方法 5、ISO17799中的控制目标和控制措施 6、ISMS建设、运行、审核与认证 7、信息系统安全保障管理要求
请思考:
目前,解决信息安全问题,通常的做法 是什么?
2020/7/20
.
“产品导向型”信息安全
初始阶段,解决信息安全问题,通常的方法:
• 采购各种安全产品,由产品厂商提供方案; ✓ Anti-Virus、Firewall、IDS & Scanner……
• 组织内部安排1-2人兼职负责日常维护,通常来自以技术为主的IT部门; • 更多的情况是几乎没有日常维护
2020/7/20
.
法律法规的要求
✓计算机信息系统安全保护条例 ✓知识产权保护 ✓互联网安全管理办法 ✓网站备案管理规定 ✓……
2020/7/20
.
信息系统使命的要求
✓ 信息系统本身具有特定的使命 ✓ 信息安全的目的就是使信息系统的使命得到保
障 ✓ 。。。。
2020/7/20
.
1.3 实践中的信息安全问题
完整
信息处理设施
2020/7/20
信息处理 过程
可用
信息处理者
信息本身
机密
.
1.2 为什么需要信息安全
请思考:
组织为什么要花钱实现信息安全?
2020/7/20
.
组织自身业务的需要
✓自身业务和利益的要求 ✓客户的要求 ✓合作伙伴的要求 ✓投标要求 ✓竞争优势,树立品牌 ✓加强内部管理的要求 ✓……
2020/7/20
.
注意事项
积极参与、活跃气氛 守时 保持安静 有问题可随时举手提问
2020/7/20
.
1. 信息安全基础知识
1.1 信息安全的基本概念 1.2 为什么需要信息安全 1.3 实践中的信息安全问题 1.4 信息安全管理的实践经验
2020/7/20
.
1.1 信息安全基本概念
请思考:
强调信息:
✓ 是一种资产 ✓ 同其它重要的商业资产一样 ✓ 对组织具有价值 ✓ 需要适当的保护 ✓ 以各种形式存在:纸、电子、影片、交谈等
2020/7/20
.
信息在哪里?
小问题:你们公司的Knowledge都在哪里?
2020/7/20
.
什么是信息安全?
ISO17799中的描述
“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”
2020/7/20
.
信息安全管理
ISO17799强调:
“Information security is a management process, not a technological process.”
• 技术和产品是基础,管理是关键; • 产品和技术,要通过管理的组织职能才能发挥最好的作用; • 技术不高但管理良好的系统远比技术高但管理混乱的系统安