中国移动信息安全管理体系说明(ppt 40页)
信息安全管理体系
ISO/IEC27001知识体系ISO/IEC27001知识体系 (1)1.ISMS概述231.1什么是ISMS23信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
(23)在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下: (23)ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
(23)这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
(23)ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
(23)单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS 管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
信息安全管理体系(ISMS)培训PPT
5
第一部分 ISMS体系概念综述
• 1.1 ISMS概念
• 1.2 ISMS定位 • 1.3 ISMS方法 • 1.4 ISMS过程 • 1.5 ISMS内容 • 1.6 ISMS关键 • 1.7 ISMS全貌
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
6
1
信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
(ICT)。
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
11
1.1 ISMS概念
• 信息(续)
– 信息系统(续)
• 计算机信息系统定义:“由计算机及其相关的和配套 的设备、设施(含网络)构成的,按照一定的应用 目标和规则对信息进行采集、加工、存储、传输、 检索等处理的人机系统。” (引自《中华人民共和国 计算机信息系统安全保护条例》[国务院令第147号 1994年2月18日]第二条)
16
1.1 ISMS概念
• 管理(续)
– 管理定义:通过规划、组织、领导、沟通和控 制等环节来协调人力、物力、财力等资源,以 期有效达成组织目标的过程。
– 管理特征:在群体活动中,在特定环境下,针 对给定对象,遵循确定原则,运用恰当方法, 按照规定程序,利用可用资源,进行一组活动 (包括规划、组织、指导、沟通和控制等), 完成各项任务,评价执行成效,实现既定目标。
14
1.1 ISMS概念
• 安全(Security/Safety)
– 任何有价值的事物(即资产)都存在安全问题。 – 两个近似的安全概念:“Security”和“Safety”。 – Security:事物保持不受损害的一种能力属性。 – Safety:事物处于不受损害的一种状态属性。
B-中国移动网络与信息安全体系培训教材
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
信息安全管理体系培训课件ppt全文精品模板分享(带动画)
金融机构信息安全管理体系建设案例分享
案例名称:某大型银行 背景介绍:该银行在信息安全管理体系建设方面面临的问题和挑战 解决方案:采用哪些技术和方法来解决这些问题 实践效果:通过实施这些解决方案,该银行取得了哪些成果和效益
其他行业信息安全管理体系建设案例分享
金融行业:信息安全管理体系建设是金融行业的重中之重,银行、证券、保险等机构需要严格遵守相关法规和标 准,确保客户信息和交易数据的安全。
培训内容:信息安全知识、 意识、技能
培训周期:每年至少一次
培训对象:全体员工
宣传推广方式:海报、宣传 册、内部网站等
信息安全管理体系与其他管理体系的融合与协同
信息安全管理体系与ISO27001的关系 信息安全管理体系与ISO9001的关系 信息安全管理体系与ISO14001的关系 信息安全管理体系与业务连续性管理的融合与协同
信息安全培训:提高员工的信息 安全意识和技能,防止信息泄露 和攻击。
添加标题
添加标题
添加标题
添加标题
信息安全组织:负责协调、管理、 监督信息安全工作的人员或部门, 确保信息安全的顺利实施。
物理安全:保护信息系统硬件和 设施,防止未经授权的访问和破 坏。
信息安全运行管理体系
定义:确保信息安全的全面、协 调、可持续的过程
制造业:制造业是国民经济的重要支柱产业,其信息安全管理体系建设对于保障企业核心技术和生产数 据的安全至关重要。制造业需要加强生产过程的信息安全管理,防范工业控制系统的攻击和破坏。
总结与展望
07
信息安全管理体系的发展趋势与展望
信息安全管理体系的未来发展趋势 信息安全管理体系的未来技术发展 信息安全管理体系的未来应用场景 信息安全管理体系的未来挑战与机遇
信息安全技术培训PPT课件( 46页)
网络安全损失日趋严重,影响程度将进一步加剧
2013年十大信息安全趋势预测
1国家级网络信息安全战略有望出台 2中国网络安全产业与国外差距缩小 3运营商安全防护走向集中化 4云计算安全防护方案逐步落地 5云安全SaaS市场将爆发式增长 6移动智能终端恶意程序逐渐增加 7企业级移动安全市场进入“井喷期” 8大数据与安全技术走向融合 9社会工程攻击威胁增多 10增值业务安全成新难点
对称密码技术具有加密速度快、运行时占用资源少等 特点。但需要在一个受限组内共享密钥并同时维护其 保密性
非对称密码技术加密速度慢、占用资源多。一般来说, 并不直接使用非对称加密算法加密明文,而仅用它保 护实际加密明文的对称密钥,即所谓的数字信封 (Digital Envelope)技术。
信息安全技术
信息安全就在我们身边! 信息安全需要我们每个人的参与!
如何实现信息安全?
✓ 物理安全 ✓ 计算机使用的安全 ✓ 网络访问的安全 ✓ 社会工程学 ✓ 病毒和恶意代码 ✓ 账号安全 ✓ 电子邮件安全 ✓ 重要信息的保密 ✓ 应急响应
✓ 文件分类分级 ✓ 使用过的重要文件及时销毁,不要扔
在废纸篓里,也不要重复利用 ✓ 不在电话中说工作敏感信息,电话回
✓ 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备, 除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。
✓ 公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费 软件
✓ 不经批准,严禁在公司内部架设FTP,DHCP,DNS等服务器 ✓ 研发用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。 ✓ 《研发规定》 ✓ 任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。 ✓ 原则上不得使用网络共享,如因工作原因需要使用的,必须遵循最小化授权原则,删除给所
信息安全管理体系介绍PPT课件
系统资源
用户
非用户 级访问
外部资源
用户认
合法
证模块
用户
安 全 检 查 / 加 解 密
外部资源 访问控制
规则集
用户级服 务资源 内部 资源 访问 控制 非用户级 服务资源
系统资源 控制文件
用户资源 控制文件
信息安全技术
• 技术体系 – 信息安全防护 – 信息安全检测 – 信息安全响应 – 信息安全恢复 – 信息安全审计
应用层安全分析
• 网上浏览应用安全 • 电子邮件应用安全 • WWW应用的安全 • FTP应用的安全 • Telnet的安全性 • 网络管理协议(SNMP) • 应用层的身份识别
管理层安全分析
• 内部人员信息泄漏风险; • 机房没有任何限制,任何人都可以进出; • 内部工作人员因误操作而带来安全风险; • 内部员工在未经允许在内部网上做攻击测试; • 建立各种网络安全规范。
校园网服务器群
语音教室网段 教学网段5
数字图书馆网段
内部办公 网段1
内部办公N 财务网段
人事商务网段 多媒体教室网段 OA网段
领导网段
网管网段
教学网段4 教学网段3
教学网段2
采取的解决办法四
对于系统统一管理、信息分析、事件分析 响应
-----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
对于内部信息泄露、非法外联、内部攻击 类
-----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统
信息安全管理基础PPT课件
信息安全概述
信息安全管理面临的一些问题
国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理
25
信息安全概述
调查显示有8成企业安全管理不理想
26
信息安全概述
10
信息安全概述
信息安全的发展历史
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只侧重于 密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的TCSEC和欧 洲的ITSEC测评标准
38
ቤተ መጻሕፍቲ ባይዱ
信息安全概述
ISMS是一个文档化的体系
对管理框架的概括
• 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)
各种程序文件
• 实施控制措施并描述责任和活动的程序文件 • 覆盖了ISMS管理和运行的程序文件
证据
• 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 • 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
信息安全管理体系培训课件全文
03
信息安全管理体系建设 流程
策划与准备阶段
确定信息安全管理体系建 设的目的和需求分析
制定信息安全管理体系建 设的战略计划和实施方案
进行组织现状的评估和分 析
确定所需资源和预算安排
实施与运行阶段
建立信息安全管理体系的基 础设施和基本框架
确定信息安全管理的策略、 标准和流程
02
01
建立信息安全风险评估和管
05
信息安全事件应急响应 与处置
应急响应计划制定和实施要求说明
明确应急响应目标
制定应急响应计划时,应明确应 急响应的目标,包括恢复信息系 统正常运行、保护数据安全、防
止事件扩大等。
识别潜在风险
在制定应急响应计划之前,应识别 可能面临的信息安全风险,包括网 络攻击、数据泄露、病毒感染等。
制定应对措施
01
根据监督和检查结果, 对信息安全管理体系进 行改进和优化
02
定期进行信息安全管理 体系的评审和更新
03
制定信息安全管理体系 的持续改进计划,并落 实改进措施
04
对信息安全管理体系的 成果进行总结和评价, 并持续改进和完善
04
信息安全风险评估与控 制
风险评估方法与流程介绍
确定评估目标和范围
明确要评估的信息系统或项目,确定评估的目的和范围,为后续的评 估工作做好准备。
信息安全管理体系培训 课件全文
汇报人:可编辑 2023-12-22
目录 CONTENT
• 信息安全管理体系概述 • 信息安全管理体系标准 • 信息安全管理体系建设流程 • 信息安全风险评估与控制 • 信息安全事件应急响应与处置 • 信息安全意识培养与行为规范引
导
01
中国移动信息安全管理体系说明
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
信息安全管理规范(移动)
1.0 目的为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。
2.0 适用范围本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。
3.0 信息安全组织机构及职责:根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。
3.1.1网络与信息安全工作管理组组长职责:负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。
3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。
3.1.3省网络部信息安全职能管理职责:省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。
3.1.4信息安全技术管理职责:各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。
信息安全管理体系培训课件全文
信息安全管理体系的新技术应用
未来,随着云计算、大数据、人工智能等新技术的广泛应用,信息安全管理体系将与这些新技术深度融合,提升信息安全的防护能力和效果。
信息安全管理体系的未来发展方向
未来,信息安全管理体系将更加注重安全风险的动态管理、安全文化的建设以及与业务发展的紧密结合,以实现组织整体的安全发展。
再认证目的
通常为3年或5年,根据组织的需求和标准要求而定。
再认证周期
再认证流程
信息安全管理体系的实际应用案例
案例名称
某大型互联网公司的信息安全管理体系建设
案例描述
该公司在信息安全管理体系建设过程中,结合自身业务特点和安全需求,制定了一系列安全策略、标准和流程,并进行了有效的实施和监控。
案例分析
该案例的成功之处在于将信息安全管理体系与公司战略目标相结合,实现了全员参与和持续改进。同时,该公司在应对各类安全事件时反应迅速,有效降低了安全风险。
符合法律法规和行业标准要求
一个健全的信息安全管理体系可以提升组织的形象和信誉,增强客户和合作伙伴的信任。
提高组织形象和信誉
信息安全风险是指潜在的安全威胁、漏洞或事件,可能导致组织的信息资产丢失、损坏或被不当使用。
信息安全风险管理包括风险评估、风险控制和风险监控三个主要步骤,以确保组织的信息安全。
信息安全管理体系培训课件
2023-12-25
Contents
目录
信息安全管理体系概述信息安全管理体系的核心理念信息安全管理体系的构建与实施信息安全管理体系的审核与认证信息安全管理体系的实际应用案例总结与展望
它通过建立、实施、维护和持续改进一系列安全政策和程序,确保组织的信息安全与合规性。
iso27001信息安全管理体系宣讲课件.ppt
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
信息安全管理培训 ppt课件
3
如何做好信息安全工作
26
PPT课件
技术手段
物理安全:环境安全、设备安全、媒体安全 系统安全:操作系统及数据库系统的安全性 网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特 性 认证授权:口令认证、SSO认证、证书认证等 访问控制:防火墙、访问控制列表等 审计跟踪:入侵检测、日志审计、辨析取证 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复:业务连续性,前提就是对数据的备份
信息安全管理培训
1
PPT课件
主要内容
1
信息安全管理介绍
2
信息系统等级保护工作
3
如何做好银行信息安全
2
PPT课件
威胁无处不在
黑客渗透 内部人员威胁
木马后门
病毒和蠕虫 流氓软件 拒绝服务
系统漏洞
信息资产
社会工程
硬件故障
网络通信故障
供电中断
失火
3
雷雨
地震
PPT课件
什么是信息安全
采取措施保护信息资产, 使之不因偶然或者恶意侵犯 而遭受破坏、更改及泄露, 保证信息系统能够连续、可 靠、正常地运行,使安全事 件对业务造成的影响减到最 小,确保组织业务运行的连 续性。
30
PPT课件
物理安全建议
❖所有入口和内部安全区都需部署有摄像头,大门及各楼层入 口都被实时监控
❖禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需 用碎纸机粉碎
❖应加强对办公环境的保密性管理,规范办公环境人员行为, 包括工作人员调离办公室应立即交 还该办公室钥匙、不在办公区接待来访人员、工作人员离开座 位应确保终端计算机退出登录状态和桌面上没有包含敏感信息 的纸档文件等; ❖应对机房和办公环境实行统一策略的安全管理,对出入人员 进行相应级别的授权,对进入重要安全区域的活动行为实时监 视和记录。
中国移动客户信息安全保护管理规定
中国移动客户信息安全保护管理规定目录中国移动客户信息安全保护管理规定 (1)第一章总则 (4)第二章客户信息保护原则 (4)第三章组织与职责 (6)第四章客户信息的内容及等级划分 (8)第一节客户信息的内容 (8)第二节客户信息等级划分 (9)第三节存储及处理客户信息的系统 (9)第五章岗位角色与权限 (10)第一节业务部门岗位角色与权限 (10)第二节运维支撑部门岗位角色与权限 (14)第六章帐号与授权管理 (16)第七章客户信息全生命周期管理 (17)第一节客户信息的收集 (17)第二节客户信息的传输 (18)第三节客户信息的存储 (19)第四节客户信息的使用 (20)第五节客户信息的共享 (25)第六节客户信息的销毁 (25)第八章金库模式管控 (26)第一节管控系统范围 (27)第二节场景管理 (27)第三节实现方式 (28)第四节策略管理 (29)第九章第三方管理 (29)第十章客户信息系统的技术管控 (32)第一节系统安全防护 (32)第二节集中4A管控要求 (33)第三节远程接入管控 (34)第四节客户信息泄密防护 (35)第五节系统间接口管理 (36)第六节数据脱敏 (37)第十一章敏感操作日志管理 (37)第一节操作日志记录 (38)第二节操作日志集中化 (38)第三节操作日志审核 (39)第十二章客户信息安全审核 (40)第一节合规性审核 (40)第二节日常例行安全审核与风险评估 (41)第十三章安全事件应急响应 (41)第十四章事后问责 (42)第十五章附则 (43)附录1 (44)客户信息分类表 (44)附录2 (46)客户信息分级及管控原则 (46)附录3 (47)业务部门和支撑部门岗位角色 (47)附录4 (49)客户信息模糊化参考规则 (49)附录5 (52)客户信息开放规则 (52)第一章总则第一条为加强中国移动客户信息安全管理,规范客户信息访问流程、用户访问权限以及承载客户信息的环境,防范客户信息被违法使用和传播的风险,根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求,特制定本规定。
信息安全管理体系教材(PPT 63页)
通过“现状调查”获得对组织信息安全现状和控制措施的基本了解;通 过“基线风险评估”了解组织与具体的信息安全标准的差距,得到粗粒 度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风 险评估,根据三方面的评估得到最终的风险评估报告。
现状调查
基线风险评估
资产风险评估
详细风险评估
流程风险评估
信息安全管理体系
火龙果 整理
培训大纲
一、信息安全面临的风险 二、保护信息安全的方法 三、 完善信息安全治理结构 四、审视业务进行风险评估 五、进行信息安全控制规划 六、建立信息安全管理体系 七、建立完备的“技术防火墙” 八、建立有效的“人力防火墙” 九、对信息安全的检查与审计
IT原则示例
信息安全方针示例
五、 进行风险评估
风险评估的常用方法
目前国内ISMS风险评估的方法主 要参照ISO13335的有关定义及国 信办9号文件《信息安全风险评估 指南》,这些标准把重点放在信 息资产上 。
缺点:风险评估人员一般最容易 找到的资产无非就是硬件类、软 件类的资产,而对安全来说至关 重要的IT治理、组织政策、人员 管理、职责分配、业务流程、教 育培训等问题,由于不能方便地 定义为信息资产,而往往被视而 不见。
火龙果 整理
火龙果 整理
层出不穷网络安全事件
全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25% 被攻破;窃取商业信息的事件每月260%的速度增加。
公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显 示,54%的被调查单位发生过信息网络安全事件,比去年上升5%,其 中发生过3次以上的占22%,比去年上升7%。73%的安全事件是由于 未修补或防范软件漏洞所导致。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
兼容; ▪ 组织,政策、支援。
NISS的执行
▪ 基于中移动网络与信息安全体系总纲,将形成 一系列二层的信息安全管理规定。
– 帐号口令安全管理办法 – 终端安全管理办法 – 病毒防制相关规定 – 信息安全保密相关规定 – ……
管理者的责任
▪ 责任清晰
– 各级部门的一把手是本部门信息安全的第一责任人 – 负责信息安全管理规定在本部门的推行和落实 – 对本部门人员的违规事件承担领导责任和连带处罚
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
网络与信息安全体系总纲
技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
管理规范
帐号口令安全管理办 法、终端安全管理办 法……
操作手册
和具体系统相结合
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
流程、细则
和具体系统相结合
第一层 第二层 第三层
信息安全管理组织体系模型
信息安全决策层 决策、规划、保证机制
信息安全管理层 安全管理、工程、保证管理
信息安全操作层 运行、实施、保证
•建立垂直组织 •明确岗位职责 •贯彻分权制衡原则 •提高任职资格 •建立关键岗位人员选拔制度 •加强安全绩效考核
中移动网络与信息安全组织体系
▪ 安全事件响应:建立安全事件报告流程,制定安全预警信息的 授权审批发布流程。确保及时、准确地报告安全事件。
▪ 业务连续性管理 制定并实施业务连续性管理体系,将风险降至可以接受的水平。 根据业务影响分析和风险评估的结果,制定业务连续性计划与 策略。 根据业务连续性计划与策略,制定相应业务连续性方案及框架。 应定期测试、评审和更新业务连续性方案,保障方案的时效性。 定期进行紧急事件响应演练。
安全审计
▪ 从管理和技术两个方面定期检查安全策略、控 制措施的执行情况,发现安全隐患。
▪ 网络与信息系统的设计、操作、使用和管理不 仅要遵从公司本身的安全方针,而且要符合国 家法律法规、管理条例及合同的要求,以及符 合美国萨班斯法案的要求。
▪ 安全审计管理:独立审计、最大程度降低对正 常运营的影响、审计记录完好保存。
人员都应当签署保密协议。 ▪ 所有员工都应当接受网络与信息安全培训。 ▪ 对第三方访问需求应严格审核,进行风险分析,并采
取相应控制措施。 ▪ 应与客户签署相关协议,明确双方在网络与信息安全
方面的权利、义务及违约责任,保障客户与公司双方 的利益。
网络与信息资产管理
▪ 网络和信息资产包括实物资产、信息资产和软件资 产。
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
– 实物资产:计算机设备、数据网络通信设备(路由器、交换 机等);磁性媒介(磁带和磁盘等)、其他技术设备(电源 以及空调装置等)等;
– 信息资产:技术文档、配置数据、拓扑图等; – 软件资产:应用软件、系统软件以及开发工具等;
要求:
对所有网络与信息资产进行登记,形成资产清单。 明确责任人及安全保护级别,建立严格资产责任制度。 “谁主管,谁负责”。
支撑
和技术指南 制定
基于
构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越战略的实施。
技术及防
安全
护支撑手段
运行
运用
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
总体策略
信息资产分类与控制
职员的安全管理
组
物理环境的安全
织
业务连续性管理
通信和操作 访问控制 系统开发与
安全
维护
信息安全目标
中移动网络与信息安全体系总纲
国家政策要求
企业发展战略
国内外标准
安全评估结果
从
宏
观 方
网络与信息安全体系总纲
针
到
微
观
技术规范
管理规范
操
作,
建
立
安全域划分技术规范、
帐号口令安全管理办
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安
物理及其环境安全体系架构
物理及环境安全
场 地 安 全
设
介
备
质
安
安
全
全
工 区 出 障场
作
域
入
地
区 办
划 分
控 制
安
公
全
保
设 电 线 设 介使 存 销
备 源 缆 备 质用 放 毁
选
维申
址
护请
物人 流流
系统运作管理体系架构
权限管理
问题管理
系统
人员
转产安全管理 设备
变更管理
系统维护管理
监控
系统开发
安全事件响应及业务连续性管理
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲 ▪ 角色责任与执行
关键成功因素
▪ 网络与信息安全工作必须是高层牵头,领导负 责,全员参与,专人管理;
▪ 必须全员参与。 ▪ 建立全面、均衡、可行的评估、考核体系,以
衡量网络与信息安全管理工作的水平; ▪ 安全工作的具体实施必须同公司的企业文化相
全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在
的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制
环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
安全审计
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
组织与人员
▪ 集团公司和各省公司应建立公司级别的网络与信息安 全常设领导机构。
▪ 设立专职安全队伍,建立安全事件响应流程。 ▪ 所有岗位职责中必须包含安全内容,并实现职责分隔。 ▪ 所有员工及使用中国移动网络与信息资产的其他组织
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
▪ 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
广西公司组织架构
公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。
网络与信息安 全领导小组
网络安全办 公室
网络部
….
信息系统部
….
网络运营中 …. 心
运营支撑中 心
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面 的各项网络安全政策,牵头部门为网络部。
信息安全管理框架
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
可审查性 任何对公司业务运作的威胁和破坏行为都得到记录,并