信息安全管理体系及重点制度介绍解析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9
实践案例汇编
– –
计划完善的制度
– – – –
目 录 1 2 3 4 5 6
信息安全管理体系介绍
基础电信企业信息安全责任管理办法 基础信息安全要求 客户信息保护管理规定
信息安全三同步管理办法 业务安全风险评估标准
10
基础电信企业信息安全责任管理办法
互联网新技术新业务的 广泛,信息安全事件时 有发生 普遍存在“重市场发展、 轻安全管理”的现象,甚 至还有“只顾赚钱,漠 视安全”的情况存在
ISMS 信息安全管理体系
- 管理体系 - 信息安全相关 - ISO 27001 的"3 术语和定义-3.7"
Requirements 要求
4
什么是管理体系?
Quality management system (ISO 9001)
建立方针和目标并实现这些目
标的相互关联或相互作用的一 组要素。
Human Food Safety management system (HACCP)
IT Service Management System (ISO 20000)
有雇员,均囊括在管理体系范 围内。
Information security management system (ISO 27001)
5
什么是信息安全?
保护信息的保密性、完整性和可用性(CIA);另 外也可包括诸如真实性,可核查性,不可否认 性和可靠性等特性 (ISO 27001"3 术语和定义3.4")
机密性(Confidentiality)
信息不能被未授权的个人,实体或者过程利用 或知悉的特性 (ISO 27001"3 术语和定义-3.3") Confidentiality Disclosure Alteration Integrity
基础电信企业信息安全责任管理 办法(工信部保[2009]713号)
总则 企业信息安全责任
保障条件
基础电信企业的信息 安全责任和要求不尽 明确。 企业对自身应承担的 信息安全责任重视不 够、投入不足。 行业监管机构对企业 信息安全责任和义务 缺乏有效监督和管理 的方式方法。
监督管理
11
基础电信企业信息安全责任管理办法--总则
完整性(Integrity)
保护资产的准确和完整的特性(ISO 27001"3 术 语和定义-3.8").确保信息在存储、使用、传输过 程中不会被非授权用户篡改,同时还要防止授 权用户对系统及信息进行不恰当的篡改,保持 信息内、外部表示的一致性。
Information
可用性(Availability) 根据授权实体的要求可访问和利用的特性(ISO 27001"3 术语和定义-3.2").确保授权用户或实 体对信息及资源的正常使用不会被异常拒绝, 允许其可靠而及时地访问信息及资源
信息安全管理体系及重点制度介绍
信息系统部
2011年5月4日
1
目 录 1 2 3 4 5 6
信息安全管理体系介绍
基础电信企业信息安全责任管理办法 基础信息安全要求 客户信息保护管理规定
信息安全三同步管理办法 业务安全风险评估标准
2
安全管理体系标准的发展历史
国际标准
ISO17799:2000
ISO17799:2005
管理体系包括组织结构,策略,
Environmental management system (ISO 14001)
Safety management system (OHSAS 18001)
规划,角色,职责,流程,程 序和资源等。(ISO 27001"3 术 语和定义-3.7")
管理的方方面面以及公司的所
第三条(信息安全)本办法所称信息安全指电信网络 (包括固定网、移动网和互联网)上的公共信息内容安 全。 第四条(企业信息安全责任)企业有义务维护国家安全、 社会稳定和用户合法权益;应在网络建设、业务提供、 应急处置、信息报备、人员培训等方面建立健全企业信 息安全责任制度,同步建设与企业网络、业务和用户发 展相适应的信息安全保障体系和技术保障手段;保障必 要的人员和资金投入。
14
企业信息安全责任-- (开办业务)
企业应履行信息安全承诺,按照电信业务经营许可的信 息安全要求开展和经营相关电信业务。 企业要在新产品立项、产品开发和业务上线(包括合作 开办)的各环节: – 建立实施信息安全评估制度, – 同步配套与业务特点和用户规模相适应的信息安全保 障措施, – 明确业务的信息安全负责人, – 建立相应的管理制度和应急处置流程, – 按规定向电信监管机构进行业务信息报备。
Availability Destruction
6
信息安全管理体系所涵盖的领域
安全策略 信息安全组织 资产管理 人力资源安全 物理和环境安全 访问控制 信息安全事件管理 业务连续性管理 合规性
7
通信和操作管理
信息系统 获取开发 和维护
湖南移动信息安全管理体系
8
湖南移动信息安全管理制度
已发布制度
总 则
12Biblioteka Baidu
基础电信企业信息安全责任管理办法—企业信息安全责任
网络建设
规范合作经营 技术保障措施 企业信息 安全责任 配合监管 信息报备
开办业务 日常监测
用户信息保护 接入责任
13
企业信息安全责任--(网络建设)
企业在电信网络的设计、建设和运行过程中,应 做到与国家信息安全的需求同步规划,同步建设, 同步运行。 企业在系统规划、建设、升级、改造等环节应认 真落实国家信息安全要求,同步配套相关信息安 全设备和设施。 企业在网络设备选型、采购和使用时,应遵守电 信设备进网要求,满足信息安全管理需要。
ISO27001:2005
英国标准 BS7799:1996 BS7799-1:1999 BS7799-2:1999 BS7799-1:2000 BS7799-2: 2002 BS7799-3:2005
3
ISO/IEC 27001介绍
ISO 27001的标准全称
Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求
– – – – – 《湖南移动信息安全管理办法》和责任矩阵 《湖南移动信息安全三同步管理办法》 《中国移动客户信息安全保护管理规定(试行)》和控制矩阵 《中国移动业务信息安全评估标准》(2011) 《中国移动基础信息安全管理通用要求(试行)》和检查矩阵 “客户信息安全保护解决方案汇编” “基础信息安全案例汇编” 安全应急处置 责任追究 安全检查管理办法 ……
实践案例汇编
– –
计划完善的制度
– – – –
目 录 1 2 3 4 5 6
信息安全管理体系介绍
基础电信企业信息安全责任管理办法 基础信息安全要求 客户信息保护管理规定
信息安全三同步管理办法 业务安全风险评估标准
10
基础电信企业信息安全责任管理办法
互联网新技术新业务的 广泛,信息安全事件时 有发生 普遍存在“重市场发展、 轻安全管理”的现象,甚 至还有“只顾赚钱,漠 视安全”的情况存在
ISMS 信息安全管理体系
- 管理体系 - 信息安全相关 - ISO 27001 的"3 术语和定义-3.7"
Requirements 要求
4
什么是管理体系?
Quality management system (ISO 9001)
建立方针和目标并实现这些目
标的相互关联或相互作用的一 组要素。
Human Food Safety management system (HACCP)
IT Service Management System (ISO 20000)
有雇员,均囊括在管理体系范 围内。
Information security management system (ISO 27001)
5
什么是信息安全?
保护信息的保密性、完整性和可用性(CIA);另 外也可包括诸如真实性,可核查性,不可否认 性和可靠性等特性 (ISO 27001"3 术语和定义3.4")
机密性(Confidentiality)
信息不能被未授权的个人,实体或者过程利用 或知悉的特性 (ISO 27001"3 术语和定义-3.3") Confidentiality Disclosure Alteration Integrity
基础电信企业信息安全责任管理 办法(工信部保[2009]713号)
总则 企业信息安全责任
保障条件
基础电信企业的信息 安全责任和要求不尽 明确。 企业对自身应承担的 信息安全责任重视不 够、投入不足。 行业监管机构对企业 信息安全责任和义务 缺乏有效监督和管理 的方式方法。
监督管理
11
基础电信企业信息安全责任管理办法--总则
完整性(Integrity)
保护资产的准确和完整的特性(ISO 27001"3 术 语和定义-3.8").确保信息在存储、使用、传输过 程中不会被非授权用户篡改,同时还要防止授 权用户对系统及信息进行不恰当的篡改,保持 信息内、外部表示的一致性。
Information
可用性(Availability) 根据授权实体的要求可访问和利用的特性(ISO 27001"3 术语和定义-3.2").确保授权用户或实 体对信息及资源的正常使用不会被异常拒绝, 允许其可靠而及时地访问信息及资源
信息安全管理体系及重点制度介绍
信息系统部
2011年5月4日
1
目 录 1 2 3 4 5 6
信息安全管理体系介绍
基础电信企业信息安全责任管理办法 基础信息安全要求 客户信息保护管理规定
信息安全三同步管理办法 业务安全风险评估标准
2
安全管理体系标准的发展历史
国际标准
ISO17799:2000
ISO17799:2005
管理体系包括组织结构,策略,
Environmental management system (ISO 14001)
Safety management system (OHSAS 18001)
规划,角色,职责,流程,程 序和资源等。(ISO 27001"3 术 语和定义-3.7")
管理的方方面面以及公司的所
第三条(信息安全)本办法所称信息安全指电信网络 (包括固定网、移动网和互联网)上的公共信息内容安 全。 第四条(企业信息安全责任)企业有义务维护国家安全、 社会稳定和用户合法权益;应在网络建设、业务提供、 应急处置、信息报备、人员培训等方面建立健全企业信 息安全责任制度,同步建设与企业网络、业务和用户发 展相适应的信息安全保障体系和技术保障手段;保障必 要的人员和资金投入。
14
企业信息安全责任-- (开办业务)
企业应履行信息安全承诺,按照电信业务经营许可的信 息安全要求开展和经营相关电信业务。 企业要在新产品立项、产品开发和业务上线(包括合作 开办)的各环节: – 建立实施信息安全评估制度, – 同步配套与业务特点和用户规模相适应的信息安全保 障措施, – 明确业务的信息安全负责人, – 建立相应的管理制度和应急处置流程, – 按规定向电信监管机构进行业务信息报备。
Availability Destruction
6
信息安全管理体系所涵盖的领域
安全策略 信息安全组织 资产管理 人力资源安全 物理和环境安全 访问控制 信息安全事件管理 业务连续性管理 合规性
7
通信和操作管理
信息系统 获取开发 和维护
湖南移动信息安全管理体系
8
湖南移动信息安全管理制度
已发布制度
总 则
12Biblioteka Baidu
基础电信企业信息安全责任管理办法—企业信息安全责任
网络建设
规范合作经营 技术保障措施 企业信息 安全责任 配合监管 信息报备
开办业务 日常监测
用户信息保护 接入责任
13
企业信息安全责任--(网络建设)
企业在电信网络的设计、建设和运行过程中,应 做到与国家信息安全的需求同步规划,同步建设, 同步运行。 企业在系统规划、建设、升级、改造等环节应认 真落实国家信息安全要求,同步配套相关信息安 全设备和设施。 企业在网络设备选型、采购和使用时,应遵守电 信设备进网要求,满足信息安全管理需要。
ISO27001:2005
英国标准 BS7799:1996 BS7799-1:1999 BS7799-2:1999 BS7799-1:2000 BS7799-2: 2002 BS7799-3:2005
3
ISO/IEC 27001介绍
ISO 27001的标准全称
Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求
– – – – – 《湖南移动信息安全管理办法》和责任矩阵 《湖南移动信息安全三同步管理办法》 《中国移动客户信息安全保护管理规定(试行)》和控制矩阵 《中国移动业务信息安全评估标准》(2011) 《中国移动基础信息安全管理通用要求(试行)》和检查矩阵 “客户信息安全保护解决方案汇编” “基础信息安全案例汇编” 安全应急处置 责任追究 安全检查管理办法 ……