ISO27001信息安全管理体系介绍(PPT 52张)
合集下载
ISO 27001体系认证简介课件~2020
6 6.实现风险管理
謝謝
2019
ISO27001信息安全體系認證簡介
XXX管理部
目录
CONTENTS
1
ISO27001簡介
2
什麼是信息安全
3
如何达成信息安全
4
如何建立管理体系
5
認證優勢
簡介
信息安全管理要求ISO/IEC27001的前身为英国的BS7799 标准,该标准由英国标准协会(BSI)于1995年2月提出, 并于1995年5月修订而成的。1999年BSI重新修改了该标 准。BS7799分为两个部分: BS7799-1,信息安全管理实 施规则 BS7799-2,信息安全管理体系规范。 第一部分对 信息安全管理给出建议,供负责在其组织启动、实施或维 护安全的人员使用;第二部分说明了建立、实施和文件化 信息安全管理体系(ISMS)的要求,规定了根据独立组 织的需要应实施安全控制的要求。
IOS27001體系认证優勢
1.符合法律法规要求
1
2.维护企业的声誉、 品牌和客户信任
2
3.履行信息安全管理责任
3
4
4.增强员工的意识、责任感 和相关技能
认证 優勢
7
7.减少损失,降低成本
5
5.保持业务持续发展和竞 争优势
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
ISO27001标准详解
实用精品课件PPT
7
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
实用精品课件PPT
8
ISMS的持续改进
PDCA方法 纠正和预防措施 内部审核 ISMS管理评审
实用精品课件PPT
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
实用精品课件PPT
3
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来 构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重 性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措 施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职 的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重 要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控 制的角度出发,保障组织的信息系统与业务之安全与正常运作。
信息安全管理体系培训课件ppt全文
配置安全控制措施
根据制度要求,配置相应的安全控制措施,如物 理安全、网络安全、数据加密等。
3
提供安全意识培训
提高员工的信息安全意识,使其了解并遵守组织 的信息安全政策和程序。
信息安全管理体系的监视与评审
பைடு நூலகம்
01
监视信息安全管理体系的运行情况
通过定期检查、审计等方式,确保体系运行正常,各项控制措施得到有
信息安全管理体系培训课 件ppt全文
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 信息安全管理体系概述 • 信息安全管理体系的构成要素 • 信息安全管理体系的实施与维护 • 信息安全管理体系的审核与认证 • 信息安全管理体系的应用与实践
01
CATALOGUE
信息安全管理体系概述
信息安全管理体系的定义
02
CATALOGUE
信息安全管理体系的构成要素
信息安全方针与策略
信息安全方针
明确信息安全管理体系的宗旨、 原则、承诺和安全策略,为组织 信息安全提供指导。
安全策略制定
根据组织业务需求和风险评估结 果,制定相应的信息安全策略, 包括物理安全、网络安全、数据 保护等方面的要求。
组织与人员安全
组织架构与职责
国际知名的认证机构如 ISO27001认证机构等。
信息安全管理体系的再认证
再认证目的
定期对组织的信息安全管理体系进行 重新评估,确保体系持续符合标准要 求,并不断提高体系的有效性和合规 性。
再认证流程
再认证周期
一般为3年或5年,根据组织实际情况 和标准要求确定。
提交再认证申请、资料审查、现场审 核、再认证决定、颁发再认证证书。
根据制度要求,配置相应的安全控制措施,如物 理安全、网络安全、数据加密等。
3
提供安全意识培训
提高员工的信息安全意识,使其了解并遵守组织 的信息安全政策和程序。
信息安全管理体系的监视与评审
பைடு நூலகம்
01
监视信息安全管理体系的运行情况
通过定期检查、审计等方式,确保体系运行正常,各项控制措施得到有
信息安全管理体系培训课 件ppt全文
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 信息安全管理体系概述 • 信息安全管理体系的构成要素 • 信息安全管理体系的实施与维护 • 信息安全管理体系的审核与认证 • 信息安全管理体系的应用与实践
01
CATALOGUE
信息安全管理体系概述
信息安全管理体系的定义
02
CATALOGUE
信息安全管理体系的构成要素
信息安全方针与策略
信息安全方针
明确信息安全管理体系的宗旨、 原则、承诺和安全策略,为组织 信息安全提供指导。
安全策略制定
根据组织业务需求和风险评估结 果,制定相应的信息安全策略, 包括物理安全、网络安全、数据 保护等方面的要求。
组织与人员安全
组织架构与职责
国际知名的认证机构如 ISO27001认证机构等。
信息安全管理体系的再认证
再认证目的
定期对组织的信息安全管理体系进行 重新评估,确保体系持续符合标准要 求,并不断提高体系的有效性和合规 性。
再认证流程
再认证周期
一般为3年或5年,根据组织实际情况 和标准要求确定。
提交再认证申请、资料审查、现场审 核、再认证决定、颁发再认证证书。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
ISO27001信息安全管理体系介绍(PPT52页).pptx
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
信息安全管理体系ISO27001介绍
• 2002修订,正式引入PDCA 过程模型,2004 年9 月5 日,BS7799-2:2002 正式发布。
• 2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推 出了ISO/IEC 27001:2005。
Page 5 安全 创新 专业 专注
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,
由各个相关部门自行维护。
安全 创新 专业 专注
附录二
ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项
控制措施列表
1) 安全方针
7) 访问控制
安全 创新 专业 专注
PDCA和ISMS的结合
Page 8 安全 创新 专业 专注
信息安全管理体系
总体要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保 持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
建立和管理ISMS
建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明(SoA) 取得管理层对残留风险的承认,并授权实施和操作ISMS
安全 创新 专业 专注
信息安全管理体系(续)
实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源 实施能够激发安全事件检测和响应的程序和控制
Page 10安全 创新 专业 专注
信息安全管理体系(续)
• 2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推 出了ISO/IEC 27001:2005。
Page 5 安全 创新 专业 专注
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,
由各个相关部门自行维护。
安全 创新 专业 专注
附录二
ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项
控制措施列表
1) 安全方针
7) 访问控制
安全 创新 专业 专注
PDCA和ISMS的结合
Page 8 安全 创新 专业 专注
信息安全管理体系
总体要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保 持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
建立和管理ISMS
建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明(SoA) 取得管理层对残留风险的承认,并授权实施和操作ISMS
安全 创新 专业 专注
信息安全管理体系(续)
实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源 实施能够激发安全事件检测和响应的程序和控制
Page 10安全 创新 专业 专注
信息安全管理体系(续)
iso27001信息安全管理体系宣讲课件.ppt
信息安全的根本目标
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
ISO27001信息安全管理体系--咨询服务及认证实施 ppt课件
项目可能用到的工具
► 信息安全风险评估工具 ► 网络脆弱性评估 ► 服务器端口扫描
► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
标准名称
1
ISO 27001 :2005信息安全管理体系要求
3
ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估
4
烟草行业信息安全等级保护规范
► 确定风险容忍度和 风险偏好
► 确定风险处置措施 并实施整改计划
► 制度整合及信息安 全管理体系文档编 写
► 信息安全体系技术 控制及管理落地建 议
► 信息安全管理体系 发布及培训
► 阶段项目总结会议
► 制定信息安全管理 绩效监控流程
► 信息安全管理体系 试运行
► 体系运行监控 ► 业务连续性管理培
► 信息安全管理体系与国际 标准ISO27001对标
► 信息安全方针设计
ISO27001信息安全管理体系 咨询服务及认证实施
目录
一、ISO27001标准简介 二、ISO27001信息安全项目实施流程 三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构 认可要求
27000~27009:ISMS基本标准, 27010~27019:ISMS标准族的解释性指南与文档
访问控制
法律记录 通信安全
人力资源安全
物理环境 安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵 公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划 建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评 估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。
ISO27001标准详解 ppt课件
笨,没有学问无颜见爹娘 ……” • “太阳当空照,花儿对我笑,小鸟说早早早……”
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
信息安全启动PPT-ISO27001
管理者代表职责:
• 职责: 1、负责信息安全管理体系的建立、实施和保 持 2、负责定期向最高管理者汇报项目进展 3、负责信息安全体系策略、文件的审核 4、负责信息安全风险评估的实施及监督执行
组长/推行干事职责:
• 一般由项目领导部门的业务主管/骨干担当 • 职责: 1、主导信息安全管理体系的建立、实施和保持 2、负责与信息安全有关事宜的内外联络协调 3、负责组织信息安全体系策略、文件的编写及进 度跟踪 5、主导信息安全风险评估的实施及监督执行 6、负责信息安全事故事件的处理及BCP/BRP的 制定与实施 7、其他与信息安全有关的事宜
• •
华为任正飞:“信息安全是关系企业生死存亡的大事”
华为的信息安全: 1、所有人的电脑机箱均由定制加锁的金属箱保护,除了开关其他全部不能轻易拆卸,包括墙上的 网络、电话插线合均受保护,不可轻易拆卸 2、核心部门人员不可待任何磁盘或介质进出公司,保安有随时翻包搜身检查权利,严格程度超过 机场安检 3、所有外来人员只能在规定的区域进行工作,未经复杂的审批,决不可进入其他其区域… 4、核心关键人员绝不可在同一时间乘坐航班,包括不同的航班…
A.8.3 雇佣中止和变更:应归还资产并删除里面的机密信息和取消相应的访问权限
纳米技术泄密 企业损失千万
辉煌的历史: 广东省恩平市嘉维化工实业有限公司成立于1999年,是恩平市的龙头企业,专门从事 超细微粒碳酸钙的生产和销售。 高昂的研发投入: 1999年至2002年间,该公司为将原生产普通碳酸钙的生产线改造为生产超细活性碳酸钙 生产线,先后投入研发改造经费600多万元,自行设计、制图、制模铸造、加工安装设备, 先后研发、改造了烘干箱、破碎机、造粒机、风选机等相关设备和生产工艺流程,从而达 到低耗、低成本、高产、高质量的效果。 技术制胜: 该公司按自有的研发技术先后安装了4条生产线,年产“白樱华”牌超细活性碳酸钙9 万吨,占全国产销量的60%,居国内同行第一。 核心技术泄密: 胡某1999年12月1日,被任命为设备厂厂长,参与公司的技术研发和改造,掌握了全部 设备技术、生产流程技术和负责保管部分技术资料。 2002年6月,胡某应广西某公司的要求,帮助其建造了一条生产超细活性碳酸钙的生产线,先 后收取对方人民币142万元。其间,胡私下向自己公司内主要技术人员询问并了解有关产品 的核心技术,“策反”公司的核心技术人员,并组织掌握相关技术秘密的10多名技术人员 到广西那家公司进行生产线的建造和安装。 损失千万、追悔莫及: 此后,二者形成竞争关系,因为后者研发成本及费用远低于前者,利用成本优势迅速抢占市场, 使嘉维化工当年直接损失3500万,并使企业陷入发展困境…
ISO27001 信息安全管理体系
ISO17799/BS7799 信息安全管理体系简介
什么是信息?
• Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.
• 信息是一种资产,就如同其他的商业资产一样, 对一个组织而言是具有价值的,因而需要妥善 保护。 • ISO17799/BS7799 Part 1:1999
2
信息的类型
• • • • • • • • • • 政府信息-国内重要的信息 内部信息-不希望竞争对手得到的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输(包括电子邮件) 以影视或胶片方式表现的 语言交谈
20
信息安全管理体系的实施
安全方针
管理评审
评估
能法律法规的符合性 安全方针符合性 安全技术的符合性
计划
持续改善 检查
确定范围 风险分析 控制目标与控制方式 适用性声明 业务持续计划
组织安全 资产分类与控制 执行 人员安全 实物与环境安全 重要作业的保护包含保护的资料
21
风险评估和风险管理
重要度
移动
3
什么需要保护?
• • • • • • • 保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁 安全脆弱 分瘠的安全技术
4
为何信息安全是如此重要?
• • • • • • 信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司
什么是信息?
• Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.
• 信息是一种资产,就如同其他的商业资产一样, 对一个组织而言是具有价值的,因而需要妥善 保护。 • ISO17799/BS7799 Part 1:1999
2
信息的类型
• • • • • • • • • • 政府信息-国内重要的信息 内部信息-不希望竞争对手得到的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输(包括电子邮件) 以影视或胶片方式表现的 语言交谈
20
信息安全管理体系的实施
安全方针
管理评审
评估
能法律法规的符合性 安全方针符合性 安全技术的符合性
计划
持续改善 检查
确定范围 风险分析 控制目标与控制方式 适用性声明 业务持续计划
组织安全 资产分类与控制 执行 人员安全 实物与环境安全 重要作业的保护包含保护的资料
21
风险评估和风险管理
重要度
移动
3
什么需要保护?
• • • • • • • 保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁 安全脆弱 分瘠的安全技术
4
为何信息安全是如此重要?
• • • • • • 信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 5
信息资产
信息资产存在方式:
► ► ► ► ►
►
► ► ►
电脑数据 网络传输 传真 纸上记录 图片 数码照片 光盘磁带 电话交谈 人的大脑等
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍 2009年3月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 1
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技 术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
Байду номын сангаас
ISO 27000系列标准
标准序号
ISO/IEC 27000 基础与术语
► ► ► ► ►
产生 使用 存储 传输 销毁/抛弃
产生 使用 销毁/ 抛弃 存贮 传输
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1 1998年 发布BS 7799 Part 2
1999年
发布新版 BS 7799 Part 1 & 2
2000年 2002年
发布ISO 17799:2000
► ► ►
保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 可用性:根据授权实体的要求可访问和利用的特性 完整性:保护资产的准确和完整的特性
可用性 保密性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 8
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
标准名称
发布时间
起草中,未发布
ISO/IEC 27001
ISMS Requirement ISMS要求 Code of Practice for ISMS实用规则
ISMS Implementation Guidance ISMS实施指南 ISMS Metrics and Measurement ISMS的测量 Information Security Risk Management 信息安全风险管理
发布新版BS 7799-2 2005年 发布ISO 17799:2005 发布ISO 27001:2005 ISO 27002:2005替代ISO 17799:2005
2007年
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 12
等同的国家标准
我国已将ISO27001 和 ISO27002系列标准等同转化为国家标准。2008 年 9 月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
►
► ► ► ► ►
信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息; 软件资产:应用软件、系统软件、开发工具和实用程序; 物理资产:计算机设备、通信设备、可移动介质和其他设备; 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施 (例如,供暖,照明,能源,空调); 人员,他们的资格、技能和经验; 无形资产,如组织的声誉和形象。
► ►
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍