ISMS内审员培训课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部标《计算机信息系统安全专用产品分类原则》定义是:“本标准适用于保护计 算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。”
ISO 27002 定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最 大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、 完整性、可用性。”
AP. Dev. (SDLC)
Service mgm百度文库.
Enter. mgmt. Risk mgmt.
IT Gov.
COSO/BS31100 /SOX
ISO38500/COBIT
ISO900X
IT Operations
SIX Sigma
BS25999 BS25777
IS Strategy PMI
19
核查性、不可否认性和可靠性。
完整性 保密性
可用性
16
信息安全的定义
17
COSO ISO13335
各种概念
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
Slide 18, rev 108
Quality Systems & Mgmt. Frameworks
ISO20000/ITIL /CMMI-SVC
CMMI ISO12207 ISO15504
ISO2700X/ISO13335/SOX PCI/GLBA/HIPAA/BaseII...
Quality System IT Planning Project mgmt. BCM IT Security
Main regulations and standards: SOX: impact public companies and focus on financial information Gramm-Leach-Bliley: impact financial industry and focus on customer information HIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders. PCI DSS: impact pay card industry and focus on information of cardholders ISO27001: General standards ISO20000: focus on IT services industry Others: BaseII, SCANDA, CA1386, FISMA, NIST...
21
网络为什么不安全 因为你连在网上……
网络的美妙之处在于你和每个人都能互相连接 网络的可怕之处在于每个人都能和你互相连接
22
信息安全面临各种安全威胁
黑客攻击
后门、隐蔽通道
计算机病毒
信息丢失、篡 改、销毁
信息资产
拒绝服务攻击
逻辑炸弹
内部、外部泄密
23
TCP/IP的每个层次都存在攻击
Telnet
20
信息为什么会有安全问题
➢ 信息具有重要的价值
• 信息社会对信息的高度依赖 • 信息的高附加值会引起盗窃、滥用等威胁
➢ 信息及系统固有的脆弱性
• 信息本身易传播、易毁坏、易伪造 • 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局
限)、没有避免的因素(默认配置)
➢威胁客观存在
– 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等
FTP
TCP
DNS
SMTP
UDP
IP
ARPNET SATNET 无线网络 以太网
应用程序攻击 数据监听和窃取 拒绝服务攻击 硬件设备破坏 电磁监听
24
常规的防护技术措施
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性; 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
信息安全
数据安全 应用安全 系统安全 网络安全 物理安全
14
机密性 (Confidentiality)
机密性(Cf) 真实性(Au)
完整性
可用性
(Integrity ) (Availability) 可控性(Ct) 可用性(Av)
国际
国内一些学者
15
信息安全的定义
ISO/IEC 27002:2005 保持信息的保密性、完整性、可用性; 另外,也包括其他属性,如:真实性、可
3
欢迎参加ISMS内审员课程培训
SGS-CSTC介绍 讲师介绍
4
第一部分 信息安全基础知识
教学目标
了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005
6
信息的基本概念
信息是经过分析、共享和理解的数据。
ISMS内审员培训课程
课程内容
第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
总体课程目标
了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧
国际标准化委员会定义:“为数据处理系统而采取的技术的和管理的安全保护, 保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏(可用性)、 更改(完整性)、显露(机密性)”
12
信息安全定义
百家争鸣、无一定论
所涉及层 面
所涉及安 全属性
13
信息安全分层
管理/人员安全 数据/信息安全 运行安全 实体/物理安全
7
信息的处理方式
8
企业管理关注的信息类型
9
组织的“信息”在哪里?
➢ 雇员的大脑:42%; ➢ 纸质文件:26%; ➢ 电子文档:20% ➢ 其他:12%;
“不论信息采取何种方式或采取何种手段共享或 存储,它总应得到妥善保护”
10
11
信息安全定义(部分)
国标《计算机信息系统安全保护等级划分准则》定义:“计算机信息人机系统安 全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的 直接对象是计算机信息系统,实现安全保护的关键因素是人。“
ISO 27002 定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最 大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、 完整性、可用性。”
AP. Dev. (SDLC)
Service mgm百度文库.
Enter. mgmt. Risk mgmt.
IT Gov.
COSO/BS31100 /SOX
ISO38500/COBIT
ISO900X
IT Operations
SIX Sigma
BS25999 BS25777
IS Strategy PMI
19
核查性、不可否认性和可靠性。
完整性 保密性
可用性
16
信息安全的定义
17
COSO ISO13335
各种概念
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
Slide 18, rev 108
Quality Systems & Mgmt. Frameworks
ISO20000/ITIL /CMMI-SVC
CMMI ISO12207 ISO15504
ISO2700X/ISO13335/SOX PCI/GLBA/HIPAA/BaseII...
Quality System IT Planning Project mgmt. BCM IT Security
Main regulations and standards: SOX: impact public companies and focus on financial information Gramm-Leach-Bliley: impact financial industry and focus on customer information HIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders. PCI DSS: impact pay card industry and focus on information of cardholders ISO27001: General standards ISO20000: focus on IT services industry Others: BaseII, SCANDA, CA1386, FISMA, NIST...
21
网络为什么不安全 因为你连在网上……
网络的美妙之处在于你和每个人都能互相连接 网络的可怕之处在于每个人都能和你互相连接
22
信息安全面临各种安全威胁
黑客攻击
后门、隐蔽通道
计算机病毒
信息丢失、篡 改、销毁
信息资产
拒绝服务攻击
逻辑炸弹
内部、外部泄密
23
TCP/IP的每个层次都存在攻击
Telnet
20
信息为什么会有安全问题
➢ 信息具有重要的价值
• 信息社会对信息的高度依赖 • 信息的高附加值会引起盗窃、滥用等威胁
➢ 信息及系统固有的脆弱性
• 信息本身易传播、易毁坏、易伪造 • 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局
限)、没有避免的因素(默认配置)
➢威胁客观存在
– 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等
FTP
TCP
DNS
SMTP
UDP
IP
ARPNET SATNET 无线网络 以太网
应用程序攻击 数据监听和窃取 拒绝服务攻击 硬件设备破坏 电磁监听
24
常规的防护技术措施
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性; 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
信息安全
数据安全 应用安全 系统安全 网络安全 物理安全
14
机密性 (Confidentiality)
机密性(Cf) 真实性(Au)
完整性
可用性
(Integrity ) (Availability) 可控性(Ct) 可用性(Av)
国际
国内一些学者
15
信息安全的定义
ISO/IEC 27002:2005 保持信息的保密性、完整性、可用性; 另外,也包括其他属性,如:真实性、可
3
欢迎参加ISMS内审员课程培训
SGS-CSTC介绍 讲师介绍
4
第一部分 信息安全基础知识
教学目标
了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005
6
信息的基本概念
信息是经过分析、共享和理解的数据。
ISMS内审员培训课程
课程内容
第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
总体课程目标
了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧
国际标准化委员会定义:“为数据处理系统而采取的技术的和管理的安全保护, 保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏(可用性)、 更改(完整性)、显露(机密性)”
12
信息安全定义
百家争鸣、无一定论
所涉及层 面
所涉及安 全属性
13
信息安全分层
管理/人员安全 数据/信息安全 运行安全 实体/物理安全
7
信息的处理方式
8
企业管理关注的信息类型
9
组织的“信息”在哪里?
➢ 雇员的大脑:42%; ➢ 纸质文件:26%; ➢ 电子文档:20% ➢ 其他:12%;
“不论信息采取何种方式或采取何种手段共享或 存储,它总应得到妥善保护”
10
11
信息安全定义(部分)
国标《计算机信息系统安全保护等级划分准则》定义:“计算机信息人机系统安 全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的 直接对象是计算机信息系统,实现安全保护的关键因素是人。“