信息安全管理培训
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理体系
信息安全管理培训
安全防护技术体系分阶段发展规划
安全防护技术体系分阶段发展规划
安全管理发展阶段
1、分散防护 分系统部署防火墙、入侵检测、防病毒 等基础防护手段。
1、建章立制 以明确要求为重点,分系统落实,缺乏有 效的检查手段。
支撑
2、集中防护 以安全域划分和边界整合为基础,综合 部署各类基础安全技术防护手段。 建立集中的网络安全管控手段。
3、量化优化 量化掌握总体安全态势,有效地形成整体 安全防护策略,量化评价安全要求的执行
信息安全管理培训
信息安全的演化
数据保密
• 反病毒 • ……
信息安全
信息保障
信息安全保障
被动的防范和控制 防火墙、IDS、 安全应急服务
……
积极的主动防御、更关注“人”的要
素,强调综合的安全保障体系,强调 安全管理
提交ISO组织讨论(ISO DIS 17799-1) 挪威成立7799 BD 项目(2001年正式发行)
1999 1998
瑞典标准 SS 62 77 99 Part 1 & 2 发行 新版英国标准 BS 7799 Part 1 & 2发行 瑞典成立LIS 专案
1995
英国公布BS 7799 第二部分 (Part 2)
• 2、每日必须检查监控设备的正常使用及备份情况,监 控数据备份保存时间最少在3个月以上;
• 3、在非工作时间必须设防110联网报警系统,对非工 作时间,进入设防范围或金库内的人员,要马上向领导汇 报详细情况;
• 4、金库内必须安装监控设备。
•
二、严格执行规章制信息度安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
1993
英国公布BS 7799 第一部分 (Part 1)
1990
率先由英国工业部进行专案 世界经济发展组织(OECD):信息系统安全指导原则(1992/11/26)
红皮书:可信任的网络描述指南; 橘皮书: 可信任的设施管理指南
• 88888错误帐户没有销掉。 • 巴林银行没有将交易与清算业务分开,允许里森既作首席交易员,又负
责其交易的清算工作。 • 巴林银行wenku.baidu.com内部审计极其松散。
信息安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
• 一、监控方面
• 1、应安排专人负责查看监控录像,并定期抽查以前的 录像记录,查看是否有违规操作等情况;
2、有效执行 (1)通过集中化的安全防护手段,有效 落实安全要求。 (2)形成专业的安全支撑维护队伍。
3、集成防护 建设集成的安全运行管理平台,将各安全 防护手段形成合力。实现精细化的风险管 理、全网安全态势的量化分析及安全事件 的实时监控,并借助EOMS等系统的配合 形成快速、流程顺畅的反应机制。
口令问了曾管理过的几个管理人员,都不知道口令是什么…… • 在对机房进入的日志检查过程中,发现没有对清洁工的记录
信息安全管理培训
案例分析
• “88888帐户”毁了巴林银行,1995年2月26日,英国中央银行宣布 了一条震惊世界的消息:巴林银行不得从事交易活动并将申请资 产清理。10天后,这家拥有233年历史的银行以1英镑的象征性价 格被荷兰国际集团收购。
在不事先通知情况下,由领导监督交接工作;
•
5、应对现金中心的每个岗位,都制定出各自的岗位职责和工作要
求,对现金中心工作人员要定期进行思想教育学习。
•
信息安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
三、现金中心岗位设置 • 1、应设立记帐员岗位,现金中心金库的往来帐目由管
库员记帐,对现金中心所有往来帐目都应该由专人记帐, 这样可以防止管库员在记帐方面做假帐,从金库挪用资金; • 2、对银行内部资金调拨和安排到人民银行交取款的情 况,应由专人负责。 • 四、农行的信用卡通过电话银行,往彩票中心转彩票 款,应设置最高转款限额。
案例分析
• 为了加快项目的速度,花旗银行将他们呼叫中心的客户服务业务 外包给印度的一个本地化团队,但是这个团队中有人泄漏了花旗 银行在美国客户的密码和其他账户信息,从而导致了大量的欺骗 性采购,花旗银行为此损失了425,000美金。
• 西藏入侵事件
信息安全管理培训
案例分析
• 某公司技术部存在2个CTO,一个副CTO,一个主管…… • 某公司员工离职,迟迟未收到人力行政部的通知,并且有设备的
信息安全管理培训
案例分析
• 在实施过程中,有个部门采购了一台设备准备用来安装某一软 件,由于机房搬迁等各方面原因,造成实施延误。一切妥当后 已经过去了大半年,但再来找这台设备的时候,却怎么也找不 着了….. 事后的结果是这台设备可能发给地市去用了。最后是 临时再找一台设备来安装产品
信息安全管理培训
信息安全管理培训
信息安全现状
• 重视技术,轻视管理 • 重视产品功能,轻视人为因素 • 重视对外安全,轻视内部安全 • 静态不变的观念 • 缺乏整体性信息安全体系的考虑
信息安全管理培训
目录
信息安全现状 信息安全管理体系标准介绍 信息安全管理体系的设计与实施 信息安全保障体系的构成和建设
信息安全管理培训
人
技术
➢策略和流程
➢安全意识和 培训
➢信息保障体系 结构框架
➢系统风险评估
➢第三方管理 ➢安全产品采购
➢。。。。。。 ➢。。。。。。
管理
➢安全法律、法规 ➢安全运作管理 ➢密码管理 ➢攻击检测和响应 ➢。。。。。。
信息安全管理培训
目录
信息安全现状 信息安全管理体系标准介绍 信息安全管理体系的设计与实施 信息安全保障体系的构成和建设
•
二、严格执行规章制度
•
1、应安排现金中心,主管或副主任每旬查一次金库,安排现金中
心主任每月查一次金库;
• 2、在查库时,应先核对记帐情况是否属实,然后根据碰库清单, 认真核对现金数额,对装好的整包现金,必须打开包进行核对;
•
3、各级领导在查库时,都不应该在固定时间和日期;
•
4、对重要岗位的人员(如记帐员、管库员),应实行强制休假制度,
信息安全管理体系标准
• ISO 27001:2005 信息安全管理体系规范 • ISO 17799:2005 信息安全管理实践规则
信息安全管理培训
标准发展的历史
2005
ISO 27001:2005
2002 2000
ISO 17799:2005 9月BS 7799-2:2002公开发行 12月正式出版ISO 17799标准
信息安全管理培训
安全防护技术体系分阶段发展规划
安全防护技术体系分阶段发展规划
安全管理发展阶段
1、分散防护 分系统部署防火墙、入侵检测、防病毒 等基础防护手段。
1、建章立制 以明确要求为重点,分系统落实,缺乏有 效的检查手段。
支撑
2、集中防护 以安全域划分和边界整合为基础,综合 部署各类基础安全技术防护手段。 建立集中的网络安全管控手段。
3、量化优化 量化掌握总体安全态势,有效地形成整体 安全防护策略,量化评价安全要求的执行
信息安全管理培训
信息安全的演化
数据保密
• 反病毒 • ……
信息安全
信息保障
信息安全保障
被动的防范和控制 防火墙、IDS、 安全应急服务
……
积极的主动防御、更关注“人”的要
素,强调综合的安全保障体系,强调 安全管理
提交ISO组织讨论(ISO DIS 17799-1) 挪威成立7799 BD 项目(2001年正式发行)
1999 1998
瑞典标准 SS 62 77 99 Part 1 & 2 发行 新版英国标准 BS 7799 Part 1 & 2发行 瑞典成立LIS 专案
1995
英国公布BS 7799 第二部分 (Part 2)
• 2、每日必须检查监控设备的正常使用及备份情况,监 控数据备份保存时间最少在3个月以上;
• 3、在非工作时间必须设防110联网报警系统,对非工 作时间,进入设防范围或金库内的人员,要马上向领导汇 报详细情况;
• 4、金库内必须安装监控设备。
•
二、严格执行规章制信息度安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
1993
英国公布BS 7799 第一部分 (Part 1)
1990
率先由英国工业部进行专案 世界经济发展组织(OECD):信息系统安全指导原则(1992/11/26)
红皮书:可信任的网络描述指南; 橘皮书: 可信任的设施管理指南
• 88888错误帐户没有销掉。 • 巴林银行没有将交易与清算业务分开,允许里森既作首席交易员,又负
责其交易的清算工作。 • 巴林银行wenku.baidu.com内部审计极其松散。
信息安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
• 一、监控方面
• 1、应安排专人负责查看监控录像,并定期抽查以前的 录像记录,查看是否有违规操作等情况;
2、有效执行 (1)通过集中化的安全防护手段,有效 落实安全要求。 (2)形成专业的安全支撑维护队伍。
3、集成防护 建设集成的安全运行管理平台,将各安全 防护手段形成合力。实现精细化的风险管 理、全网安全态势的量化分析及安全事件 的实时监控,并借助EOMS等系统的配合 形成快速、流程顺畅的反应机制。
口令问了曾管理过的几个管理人员,都不知道口令是什么…… • 在对机房进入的日志检查过程中,发现没有对清洁工的记录
信息安全管理培训
案例分析
• “88888帐户”毁了巴林银行,1995年2月26日,英国中央银行宣布 了一条震惊世界的消息:巴林银行不得从事交易活动并将申请资 产清理。10天后,这家拥有233年历史的银行以1英镑的象征性价 格被荷兰国际集团收购。
在不事先通知情况下,由领导监督交接工作;
•
5、应对现金中心的每个岗位,都制定出各自的岗位职责和工作要
求,对现金中心工作人员要定期进行思想教育学习。
•
信息安全管理培训
案例分析 3
邯郸农行案主犯写下12条金库管理建议
三、现金中心岗位设置 • 1、应设立记帐员岗位,现金中心金库的往来帐目由管
库员记帐,对现金中心所有往来帐目都应该由专人记帐, 这样可以防止管库员在记帐方面做假帐,从金库挪用资金; • 2、对银行内部资金调拨和安排到人民银行交取款的情 况,应由专人负责。 • 四、农行的信用卡通过电话银行,往彩票中心转彩票 款,应设置最高转款限额。
案例分析
• 为了加快项目的速度,花旗银行将他们呼叫中心的客户服务业务 外包给印度的一个本地化团队,但是这个团队中有人泄漏了花旗 银行在美国客户的密码和其他账户信息,从而导致了大量的欺骗 性采购,花旗银行为此损失了425,000美金。
• 西藏入侵事件
信息安全管理培训
案例分析
• 某公司技术部存在2个CTO,一个副CTO,一个主管…… • 某公司员工离职,迟迟未收到人力行政部的通知,并且有设备的
信息安全管理培训
案例分析
• 在实施过程中,有个部门采购了一台设备准备用来安装某一软 件,由于机房搬迁等各方面原因,造成实施延误。一切妥当后 已经过去了大半年,但再来找这台设备的时候,却怎么也找不 着了….. 事后的结果是这台设备可能发给地市去用了。最后是 临时再找一台设备来安装产品
信息安全管理培训
信息安全管理培训
信息安全现状
• 重视技术,轻视管理 • 重视产品功能,轻视人为因素 • 重视对外安全,轻视内部安全 • 静态不变的观念 • 缺乏整体性信息安全体系的考虑
信息安全管理培训
目录
信息安全现状 信息安全管理体系标准介绍 信息安全管理体系的设计与实施 信息安全保障体系的构成和建设
信息安全管理培训
人
技术
➢策略和流程
➢安全意识和 培训
➢信息保障体系 结构框架
➢系统风险评估
➢第三方管理 ➢安全产品采购
➢。。。。。。 ➢。。。。。。
管理
➢安全法律、法规 ➢安全运作管理 ➢密码管理 ➢攻击检测和响应 ➢。。。。。。
信息安全管理培训
目录
信息安全现状 信息安全管理体系标准介绍 信息安全管理体系的设计与实施 信息安全保障体系的构成和建设
•
二、严格执行规章制度
•
1、应安排现金中心,主管或副主任每旬查一次金库,安排现金中
心主任每月查一次金库;
• 2、在查库时,应先核对记帐情况是否属实,然后根据碰库清单, 认真核对现金数额,对装好的整包现金,必须打开包进行核对;
•
3、各级领导在查库时,都不应该在固定时间和日期;
•
4、对重要岗位的人员(如记帐员、管库员),应实行强制休假制度,
信息安全管理体系标准
• ISO 27001:2005 信息安全管理体系规范 • ISO 17799:2005 信息安全管理实践规则
信息安全管理培训
标准发展的历史
2005
ISO 27001:2005
2002 2000
ISO 17799:2005 9月BS 7799-2:2002公开发行 12月正式出版ISO 17799标准