ISO27001信息资产识别和分类培训共25页PPT资料
合集下载
ISO27001-2013内审培训(2017最新培训课件)
Page 22
第九章 绩效评价
9.2 内部审核
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a) 符合 1) 组织自身信息安全管理体系的要求; 2) 本标准的要求; b) 得到有效的实施和保持。
组织应: c) 规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报 告。审核方案应考虑所关注过程的重要性以及以往审核的结果; d) 为每次审核定义审核准则和审核范围; e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性; f) 确保审核结果报告给相关的管理者; g) 保留文件记录信息作为审核方案和审核结果的证据。
引言
0.1 总则 0.2 与其他管理体系的兼容性
1 范围 2 规范性引用文件 3 术语和定义
Page 4
第四章 组织环境
4.1 理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部 问题。
4. 2 理解相关方的需求和期望
组织应确定
a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求
注:组织可按要求设计控制措施,或从其他来源识别控制措施。 c) 将 6.1.3 b)所确定的控制措施与附录 A 的控制措施进行比较,以核实没有遗 漏必要的控制措施;
注1:附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保 不会遗漏必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的 控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
说明:新版 4-7 是P,8是D,9是C,10是A
Page 7
第五章 领导
5.1 领导和承诺 高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承
第九章 绩效评价
9.2 内部审核
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a) 符合 1) 组织自身信息安全管理体系的要求; 2) 本标准的要求; b) 得到有效的实施和保持。
组织应: c) 规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报 告。审核方案应考虑所关注过程的重要性以及以往审核的结果; d) 为每次审核定义审核准则和审核范围; e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性; f) 确保审核结果报告给相关的管理者; g) 保留文件记录信息作为审核方案和审核结果的证据。
引言
0.1 总则 0.2 与其他管理体系的兼容性
1 范围 2 规范性引用文件 3 术语和定义
Page 4
第四章 组织环境
4.1 理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部 问题。
4. 2 理解相关方的需求和期望
组织应确定
a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求
注:组织可按要求设计控制措施,或从其他来源识别控制措施。 c) 将 6.1.3 b)所确定的控制措施与附录 A 的控制措施进行比较,以核实没有遗 漏必要的控制措施;
注1:附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保 不会遗漏必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的 控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
说明:新版 4-7 是P,8是D,9是C,10是A
Page 7
第五章 领导
5.1 领导和承诺 高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承
ISO27001文件-ISO27001信息安全管理体系标准培训
• 各类安全控制手段实施指南
• 包括管理制度要求 • 建立管理体系的参考 • 不用于认证
信息安全管理体系规范 ISO27001:2005
• 管理体系框架
• 明确控制要求(没有详细的指南) • 强制性要求 • 用于体系认证
V1.0
30
xxx
ISO27000系列标准介绍
ISO/IEC 27000 — 标准介绍及术语 ISO/IEC 27001 — 信息安全管理体系要求 ISO/IEC 27002 — 信息安全管理实施细则 ISO/IEC 27003 — 信息安全管理体系实施指南 ISO/IEC 27004 — 信息安全管理测量方法 ISO/IEC 27005 — 信息安全管理体系风险评估 ISO/IEC 27006 — 认证机构认可要求
V1.0
20
xxx
什么是信息安全?
对一个门户网站而言,其信息安全的核心是:
网站信息能够准确和及时发布 保证网站随时随地可访问 网站发布的所有新闻必须是合法的
V1.0
21
xxx
什么是信息安全?
对网上银行而言,其信息安全的核心是:
客户信息资料的保密性得到充分保证 客户信息资料不出现任何错误 网上电子商务随时可获取
V1.0
26
xxx
与CIA相反的三元素(DAD)
泄漏(Disclosure) 篡改(Alteration) 破坏(Destruction)
信息安全面临的最普遍的风险
V1.0
27
xxx
第二部分 信息安全概念及背景
关于信息及信息资产 关于信息安全 关于信息安全管理标准的发展 关于其他相关标准及指南
确保经授权的人员在需要的 时候可以访问信息及相关资产
• 包括管理制度要求 • 建立管理体系的参考 • 不用于认证
信息安全管理体系规范 ISO27001:2005
• 管理体系框架
• 明确控制要求(没有详细的指南) • 强制性要求 • 用于体系认证
V1.0
30
xxx
ISO27000系列标准介绍
ISO/IEC 27000 — 标准介绍及术语 ISO/IEC 27001 — 信息安全管理体系要求 ISO/IEC 27002 — 信息安全管理实施细则 ISO/IEC 27003 — 信息安全管理体系实施指南 ISO/IEC 27004 — 信息安全管理测量方法 ISO/IEC 27005 — 信息安全管理体系风险评估 ISO/IEC 27006 — 认证机构认可要求
V1.0
20
xxx
什么是信息安全?
对一个门户网站而言,其信息安全的核心是:
网站信息能够准确和及时发布 保证网站随时随地可访问 网站发布的所有新闻必须是合法的
V1.0
21
xxx
什么是信息安全?
对网上银行而言,其信息安全的核心是:
客户信息资料的保密性得到充分保证 客户信息资料不出现任何错误 网上电子商务随时可获取
V1.0
26
xxx
与CIA相反的三元素(DAD)
泄漏(Disclosure) 篡改(Alteration) 破坏(Destruction)
信息安全面临的最普遍的风险
V1.0
27
xxx
第二部分 信息安全概念及背景
关于信息及信息资产 关于信息安全 关于信息安全管理标准的发展 关于其他相关标准及指南
确保经授权的人员在需要的 时候可以访问信息及相关资产
ISO27001标准详解(培训课件)
制定实施计划
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001信息安全管理体系介绍(PPT 52张)
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
信息安全管理标准(iso27001)资产分类方法
ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一,它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。
资产分类是ISO27001标准中一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类,以便更好地管理和保护这些资产。
在ISO27001标准中,对资产进行分类有助于组织确定其价值、优先级和安全要求,从而合理分配资源和采取措施来保护这些资产。
2. 资产分类的方法在ISO27001标准中,资产分类的方法通常包括以下几个步骤:- 需要识别和确定组织内的所有信息资产,包括数据、设备、软件等,无论其形式和存储方式。
- 根据信息资产的重要性、机密性、完整性和可用性等特征,对这些资产进行分类和分级。
通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类,也可以根据具体情况结合其他因素进行综合分类。
- 根据不同级别的信息资产,制定相应的安全措施和管理规定。
对于高级别的资产,可能需要采取更严格的加密、访问控制、备份等措施,而对于低级别的资产,则可以适当降低安全要求和成本。
- 需要建立完善的资产管理制度和流程,包括对资产进行标识、登记、审查和更新,以确保资产分类的持续有效和准确性。
3. 个人观点和理解从我个人的观点来看,资产分类对于信息安全管理至关重要。
通过对信息资产进行科学合理的分类,组织可以更好地了解其拥有的资源和风险,有针对性地制定和实施安全措施,提高信息资产的保护水平。
资产分类也有助于优化资源配置和管理成本,避免对所有资产一刀切的安全策略,提高安全管理的效率和灵活性。
总结回顾在ISO27001信息安全管理标准中,资产分类是一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
通过合理的资产分类方法,组织可以更好地了解自身的信息资产,有针对性地制定安全措施,并提高信息资产的保护水平。
27001培训
一级文件:全组织范围内的信息安全方针,以及下属各个 方面的策略方针等。一级文件至少包括(可能不限于此):
信息安全方针 风险评估报告 适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):
风险评估流程、风险管理流程、风险处理计划、管理评审程序 信息设备管理程序、信息安全组织建设规定、新设施管理程序、 内部审核程序 第三方和外包管理规定、信息资产管理规定、工作环境安全管理规定 介质处理与安全规定、 系统开发与维护程序、业务连续性管理程序、法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序、安全事件处理流程
+ 在程序规定了如何进行信息资产风险的评
价方法。 + 27001\B层\[ISMS-B-01]信息安全风险管理程 序.doc + 27001\D-62信息资产识别评价表0.xlsx + 27001\D-64信息资产风险识别评估表.xlsx
+ GB/T22080-2008共有8个章节,重点章节为4-8
二级文件:程序 属于技术 性与操作 性文件由 ISMS推动 小组另订 三级文件:规划、手册、操作说明、 计划、管理办法
四级文件:表单、报告、记录、合约
1. 2. 3.
4.
5. 6.
7.
制定方针 确定边界 识别资产 风险评估 风险处臵 风险接受 动态的风险管理
制定方针 确定边界 识别资产 风险评估 风险处置 风险接受 动态的风险管理
8.2 纠正措施
组织应该采取措施,消除并实施和操作ISMS 相关的不一致因 素,避免其再次出现。
8.3 预防措施
为了防止将来出现不一致,应该确定防护措施。所采取的预防 措施应与潜在问题的影响相适宜。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
2024版iso27001信息安全管理体系认证培训课程
增强客户信任度及市场竞争力
展示企业信息安全能力
通过ISO27001认证,企业可以向客户 和合作伙伴展示其具备国际认可的信 息安全管理能力,从而赢得客户信任, 提高市场竞争力。
满足客户需求
越来越多的客户要求供应商具备 ISO27001认证,以确保其信息资产安 全。企业获得ISO27001认证后,可以 更好地满足客户需求,扩大市场份额。
受理申请
认证机构对组织提交的申请进行初步审查,确认申请材料的完整性 和准确性,决定是否受理申请。
签订合同
认证机构与组织签订认证合同,明确双方的权利和义务,包括认证范 围、审核时间、费用等。
审核准备与实施
审核计划
认证机构制定详细的审核计划,包括审核的目的、范围、时间、人员等,并提前通知组织。
文件审查
证书颁发
如果组织的信息安全管理体系符合ISO27001标准的要求,认证机构将向组织颁发 ISO27001信息安全管理体系认证证书。
不符合项处理
如果审核中发现不符合项,组织需要在规定时间内进行整改,并提交整改报告。认证机 构对整改情况进行验证后,决定是否颁发证书。
监督审核与复评
监督审核
在认证有效期内,认证机构定期对组织的信息安全 管理体系进行监督审核,确保其持续符合 ISO27001标准的要求。
差异点
ISO9001关注产品质量和顾客满意,而ISO27001关注信息安全风 险管理和保密性、完整性、可用性。
整合方式
组织可以将ISO9001和ISO27001结合实施,构建综合管理体系, 提高管理效率和效果。
与ISO20000信息技术服务管理体系关系
共同点
差异点
ISO20000侧重于信息技术服务的交付和支持过程, 而ISO27001关注信息安全风险管理和控制措施。
ISO27001信息安全管理体系介绍(PPT52页).pptx
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
iso27001信息安全管理体系宣讲课件.ppt
信息安全的根本目标
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
ISO27001标准详解 ppt课件
笨,没有学问无颜见爹娘 ……” • “太阳当空照,花儿对我笑,小鸟说早早早……”
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
信息安全启动PPT-ISO27001
管理者代表职责:
• 职责: 1、负责信息安全管理体系的建立、实施和保 持 2、负责定期向最高管理者汇报项目进展 3、负责信息安全体系策略、文件的审核 4、负责信息安全风险评估的实施及监督执行
组长/推行干事职责:
• 一般由项目领导部门的业务主管/骨干担当 • 职责: 1、主导信息安全管理体系的建立、实施和保持 2、负责与信息安全有关事宜的内外联络协调 3、负责组织信息安全体系策略、文件的编写及进 度跟踪 5、主导信息安全风险评估的实施及监督执行 6、负责信息安全事故事件的处理及BCP/BRP的 制定与实施 7、其他与信息安全有关的事宜
• •
华为任正飞:“信息安全是关系企业生死存亡的大事”
华为的信息安全: 1、所有人的电脑机箱均由定制加锁的金属箱保护,除了开关其他全部不能轻易拆卸,包括墙上的 网络、电话插线合均受保护,不可轻易拆卸 2、核心部门人员不可待任何磁盘或介质进出公司,保安有随时翻包搜身检查权利,严格程度超过 机场安检 3、所有外来人员只能在规定的区域进行工作,未经复杂的审批,决不可进入其他其区域… 4、核心关键人员绝不可在同一时间乘坐航班,包括不同的航班…
A.8.3 雇佣中止和变更:应归还资产并删除里面的机密信息和取消相应的访问权限
纳米技术泄密 企业损失千万
辉煌的历史: 广东省恩平市嘉维化工实业有限公司成立于1999年,是恩平市的龙头企业,专门从事 超细微粒碳酸钙的生产和销售。 高昂的研发投入: 1999年至2002年间,该公司为将原生产普通碳酸钙的生产线改造为生产超细活性碳酸钙 生产线,先后投入研发改造经费600多万元,自行设计、制图、制模铸造、加工安装设备, 先后研发、改造了烘干箱、破碎机、造粒机、风选机等相关设备和生产工艺流程,从而达 到低耗、低成本、高产、高质量的效果。 技术制胜: 该公司按自有的研发技术先后安装了4条生产线,年产“白樱华”牌超细活性碳酸钙9 万吨,占全国产销量的60%,居国内同行第一。 核心技术泄密: 胡某1999年12月1日,被任命为设备厂厂长,参与公司的技术研发和改造,掌握了全部 设备技术、生产流程技术和负责保管部分技术资料。 2002年6月,胡某应广西某公司的要求,帮助其建造了一条生产超细活性碳酸钙的生产线,先 后收取对方人民币142万元。其间,胡私下向自己公司内主要技术人员询问并了解有关产品 的核心技术,“策反”公司的核心技术人员,并组织掌握相关技术秘密的10多名技术人员 到广西那家公司进行生产线的建造和安装。 损失千万、追悔莫及: 此后,二者形成竞争关系,因为后者研发成本及费用远低于前者,利用成本优势迅速抢占市场, 使嘉维化工当年直接损失3500万,并使企业陷入发展困境…
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国内标准 信息安全风险评估指南
风险管理各要素之间的关系
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
安全需求
导出
被满足
残留
演变
事件
可能诱发
残余风险
未控制
安全措施
风险评估的相关术语
资产(Asset)任何对组织有价值的东西,是一 个完整信息系统的组成部分,是风险评估的对象。
威胁(Threat) 可能导致对系统或组织的损害的 不期望事件发生的潜在原因
信息资产 ISO27001 识别与分类
myulo:企业管理实战专家
信息安全事件损失估算
直接损失:(水上面的部分) 损失了数据 间接损失(5~30倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损
信息安全评估标准
国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799
随身携带 XXX 是;办公用
随身携带
办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室
XXX
XXX XXX XXX XXX XXX XXX XXX XXX XXX
是;有用来联系业务,顾 问讲课录音用 是;存放客户资料与公司 资料
是;与客户互发传真
是;与客户联系用 是;打印扫描公司重要资 料 是;装订重要文件
资产编号
服务器
资产
电话系统(交换总机)
服务器UPS
资产例子——服务
所有者/位置
资产编他资产例子1
序号 资产类别 资产名称 硬件 笔记本电脑
硬件 手机
硬件 U盘
硬件 硬件 硬件 硬件 硬件 硬件
传真机
电话 扫描打印一 体机 热熔机
路由器
上网猫
硬件 投影仪
硬件 照相机
资产编号 所在位置 责任人 是否重要信息资产及理由 备注
是;公司电脑共享上网
是;公司上网用 是;公司例会,顾问去客 户那里讲课用 是;客户启动大会拍照用
其他资产例子2
资产编码
资产名称
类别
位置
用途 应用情况
EB-DOC-010 OA源代码
数据 192.168.0.5
所有者/位置 财务 物流 市场&销售 财务 财务 财务 区域经理 物流 市场&销售 财务 财务 财务 市场&销售
资产编号
退税 信件 信件 公司介绍 外包服务合同 快信投寄单 供应商清单 客户信息 个人文件
资产
资产例子——纸质文件
所有者/位置 财务 财务 市场&销售 财务 物流 物流 物流 市场&销售 市场&销售
资产例子——信息资产
所有者/位置 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 市场&销售 服务器 市场&销售
资产编号
资产 供应商合同 供应商合同 供应商合同 财务合同 预算 销售合同(信用卡) 销售合同(信用卡) 销售合同 销售合同 银行声明 账单 合同发票 客户信息
资产例子——纸质文件
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售 财务×3 物流×5 市场&销售×2 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 市场&销售×2
资产编号
资产 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 金碟财务软件 PC Anywhere远程监控 PC Anywhere远程监控 PC Anywhere远程监控 金碟K3仓储软件 Pretty Good Privacy
资产编号
调制解调器 调制解调器 激光打印机 激光打印机 复印机 笔记本电脑 网络集中器 以太网卡 以太网卡 以太网卡 磁带驱动器 备份磁带 DVD刻录机 存档CD/DVD
资产
资产例子——实体资产
所有者/位置 货仓 服务器 物流 货仓 物流 总经理 网络×2 市场&销售×2 物流×5 财务×3 服务器 服务器×3 服务器 服务器
脆弱性(Vulnerability)可能会被一个或多个威 胁所利用的资产或一组资产的弱点
风险分析原理
资产识别 脆弱性识别
威胁识别
价值 严重程度 出现的频率
损失 可能性
风险值
资产识别与分类
数据
存在信息媒介上的各种数据资料,包括源代码、数据 库数据、系统文档、运行管理规程、计划、报告、用 户手册等
资产编号
资产 Windows98 operating system Windows98 operating system Windows98 operating system Windows98 operating system Microsoft Word 2000 Microsoft Word 2000 Microsoft Word 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 货仓 服务器 市场&销售 货仓 服务器
资产编号
桌上个人电脑 桌上个人电脑 桌上个人电脑 桌上个人电脑 电话 电话 电话 电话 传真机 保险箱 储藏柜 储藏柜 储藏柜 计算器
资产
资产例子——实体资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 货仓 市场&销售×3 物流 财务 财务×2 物流×3 市场&销售×3 财务×3
软件 系统软件、应用软件、源程序、数据库等
硬件 文档 人员
网络设备、计算机设备、存储设备、移动存储设备、 传输线路、保障设备、安全保障设备、其他电子设备 等
纸质的各种文件、传真、电报、财务报告、发展计划 等
各级人员
服务 办公服务、网络服务、信息服务等
资产 薪资方案表 采购合同表-供应商 采购合同表-订约人 区域销售合同 股票控制记录 销售合同-Access数据库 供应商清单-Access数据库 金碟财务记录 销售代理清单 邮件 培训资料
风险管理各要素之间的关系
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
安全需求
导出
被满足
残留
演变
事件
可能诱发
残余风险
未控制
安全措施
风险评估的相关术语
资产(Asset)任何对组织有价值的东西,是一 个完整信息系统的组成部分,是风险评估的对象。
威胁(Threat) 可能导致对系统或组织的损害的 不期望事件发生的潜在原因
信息资产 ISO27001 识别与分类
myulo:企业管理实战专家
信息安全事件损失估算
直接损失:(水上面的部分) 损失了数据 间接损失(5~30倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损
信息安全评估标准
国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799
随身携带 XXX 是;办公用
随身携带
办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室
XXX
XXX XXX XXX XXX XXX XXX XXX XXX XXX
是;有用来联系业务,顾 问讲课录音用 是;存放客户资料与公司 资料
是;与客户互发传真
是;与客户联系用 是;打印扫描公司重要资 料 是;装订重要文件
资产编号
服务器
资产
电话系统(交换总机)
服务器UPS
资产例子——服务
所有者/位置
资产编他资产例子1
序号 资产类别 资产名称 硬件 笔记本电脑
硬件 手机
硬件 U盘
硬件 硬件 硬件 硬件 硬件 硬件
传真机
电话 扫描打印一 体机 热熔机
路由器
上网猫
硬件 投影仪
硬件 照相机
资产编号 所在位置 责任人 是否重要信息资产及理由 备注
是;公司电脑共享上网
是;公司上网用 是;公司例会,顾问去客 户那里讲课用 是;客户启动大会拍照用
其他资产例子2
资产编码
资产名称
类别
位置
用途 应用情况
EB-DOC-010 OA源代码
数据 192.168.0.5
所有者/位置 财务 物流 市场&销售 财务 财务 财务 区域经理 物流 市场&销售 财务 财务 财务 市场&销售
资产编号
退税 信件 信件 公司介绍 外包服务合同 快信投寄单 供应商清单 客户信息 个人文件
资产
资产例子——纸质文件
所有者/位置 财务 财务 市场&销售 财务 物流 物流 物流 市场&销售 市场&销售
资产例子——信息资产
所有者/位置 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 市场&销售 服务器 市场&销售
资产编号
资产 供应商合同 供应商合同 供应商合同 财务合同 预算 销售合同(信用卡) 销售合同(信用卡) 销售合同 销售合同 银行声明 账单 合同发票 客户信息
资产例子——纸质文件
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售 财务×3 物流×5 市场&销售×2 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 市场&销售×2
资产编号
资产 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 金碟财务软件 PC Anywhere远程监控 PC Anywhere远程监控 PC Anywhere远程监控 金碟K3仓储软件 Pretty Good Privacy
资产编号
调制解调器 调制解调器 激光打印机 激光打印机 复印机 笔记本电脑 网络集中器 以太网卡 以太网卡 以太网卡 磁带驱动器 备份磁带 DVD刻录机 存档CD/DVD
资产
资产例子——实体资产
所有者/位置 货仓 服务器 物流 货仓 物流 总经理 网络×2 市场&销售×2 物流×5 财务×3 服务器 服务器×3 服务器 服务器
脆弱性(Vulnerability)可能会被一个或多个威 胁所利用的资产或一组资产的弱点
风险分析原理
资产识别 脆弱性识别
威胁识别
价值 严重程度 出现的频率
损失 可能性
风险值
资产识别与分类
数据
存在信息媒介上的各种数据资料,包括源代码、数据 库数据、系统文档、运行管理规程、计划、报告、用 户手册等
资产编号
资产 Windows98 operating system Windows98 operating system Windows98 operating system Windows98 operating system Microsoft Word 2000 Microsoft Word 2000 Microsoft Word 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 货仓 服务器 市场&销售 货仓 服务器
资产编号
桌上个人电脑 桌上个人电脑 桌上个人电脑 桌上个人电脑 电话 电话 电话 电话 传真机 保险箱 储藏柜 储藏柜 储藏柜 计算器
资产
资产例子——实体资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 货仓 市场&销售×3 物流 财务 财务×2 物流×3 市场&销售×3 财务×3
软件 系统软件、应用软件、源程序、数据库等
硬件 文档 人员
网络设备、计算机设备、存储设备、移动存储设备、 传输线路、保障设备、安全保障设备、其他电子设备 等
纸质的各种文件、传真、电报、财务报告、发展计划 等
各级人员
服务 办公服务、网络服务、信息服务等
资产 薪资方案表 采购合同表-供应商 采购合同表-订约人 区域销售合同 股票控制记录 销售合同-Access数据库 供应商清单-Access数据库 金碟财务记录 销售代理清单 邮件 培训资料