员工信息安全培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS)
公司依据信息安全管理标准建立的在信息安全方面指挥和控 制的管理系统,目标是实现公司信息安全目标。
信息安全目标应是可度量的
要素包括
信息安全方针、策略
信息安全组织结构Βιβλιοθήκη Baidu
各种活动、过程 信息安全控制措施 人力、物力等资源 ………
2014-6-20
4
1.1 信息
什么是信息?
在信息研究领域中对其没有确切的定义,但概括出来信息有两 个性质:
一、和公司其它资源一样,是维持公司持续运作和管理的必要 资产,例如政策方针、市场报告、科研数据、计划方案、 竞争情报等等,这些信息可能从多个方面对公司运营产生 影响。 二、可以是无形的,可借助于媒体以多种形式存在或传播;信 息可以存储在计算机、磁带、纸张等介质中;信息可以记 忆在人的大脑里;信息可以通过网络、打印机、传真机等 方式进行传播������
6
1. 信息安全
1.1 信息 1.2 信息安全
2014-6-20
7
1.2 信息安全
信息安全定义
文件信息安全
保 密 性 、 完 整 性 、 可 用 性
保 持 和 维 护 信 息 的
2014-6-20
8
1.2 信息安全
信息安全目的
1.公司持续发展的需要: 任何公司正常运作离不开信息资源支持,这包括公司的知识 产权、各种重要数据、信息处理设施、关键人员等,公司的 商业机密泄露会丧失竞争优势,失去市场,公司要持续发展, 信息安全是基本保障之一; 2.客户的需要: 我们在给客户提供服务的同时,也必将接触到客户的一些机 密信息,例如:客户的技术数据、客户信息、内部运营信息等, 而这些信息客户是不想人外人知晓的,保守客户的信息安全 是客户的正常需要; 3.其它方面的需要:个人信息保密、国家信息安全等等
:
国际化标准组织(ISO)参考西方各国管理标准特别是国际知名 公司管理流程制定管理规范
目前流行的管理体系标准 质量管理体系 QMS
环境管理体系 EMS
ISO/IEC14000
职业安全卫生管理体系
OHSAS18000
ISO/IEC 9001:2000等
信息安全管理体系 ISMS ISO/IEC 27001:2005
2014-6-20
14
2 信息安全管理与信息安全管理体系
2.1 信息安全管理 2.2 信息安全管理体系
2014-6-20
15
2.2 信息安全管理体系
2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证
2014-6-20
16
2.2.1 什么是管理体系
管理体系标准
2014-6-20
9
1.2 信息安全
信息安全关注的信息类型
企业信息安全关注的信息类型
内部信息 客户信息 共享信息
组织不想让其竞争对手知道的信息 顾客/客户不想让组织泄漏的信息 需要与其他业务伙伴分享的信息
2014-6-20
10
主要内容
1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作
大规模病毒爆发每年不超过4次
重要信息设备丢失每年不超过1起 机密和绝密信息泄漏事件每年不超过2次 客户针对信息安全事件的投诉每年不超过2次 全员参与信息安全意识活动的比例每年不低于80%
2014-6-20
11
2 信息安全管理与信息安全管理体系
2.1 信息安全管理 2.2 信息安全管理体系
2014-6-20
12
2.1 信息安全管理
什么信息安全管理?
通过计划、组织、领导、控制等环节来协调人
力、物力、财力等资源,以期有效达到组织信息安
全目标的活动。
2014-6-20
13
2.1 信息安全管理
2014-6-20
5
1.1 信息
信息资产
对现代企业来说,具有价值的信息就是信息资产。 一般主要有: 实物资产(电脑、打印机等硬件) 软件资产(操作系统、应用软件等) 数据资产(文件、凭据、源代码等) 人员资产(各级各类管理人员和技术人员) 服务资产(第三方提供的支持性服务)
������
2014-6-20
员工信息安全第一课
培训目的
1. 建立对信息安全的正确认识 2. 了解工作中面临的信息安全威胁和 风险 3. 培养信息安全意识和良好的习惯
2014-6-20
2
主要内容
1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作
2014-6-20
3
1. 信息安全
1.1 信息 1.2 信息安全
2014-6-20 19
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS) 安全管理模型——PDCA
2014-6-20
20
2.2 信息安全管理体系
2.2.1 什么是管理体系 2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2014-6-20
21
2.2.3 信息安全管理体系认证
我们接触到的信息安全管理的主要活动
1. 制定信息安全相关的管理制度 2. 信息安全的相关的培训 3. 信息安全日常的监督检查 4. 信息安全事件的处理 5. 信息安全管理体系的内部审核
公司都有信息安全管理,那么怎么样才能很规范,很有效的进行信息安 全管理呢 ?公司引入了信息安全管理体系( ISO 27001:2005)
“优质、高效、安全、规范”
优质:为客户提供高品质的产品和服务; 高效:以最高效率服务客户和发展企业; 安全:保障企业和客户的各项资产安全; 规范:建立规范的管理体系并严格执行。
2014-6-20
23
2.2.3 信息安全管理体系认证
公司信息安全管理体系目标 大面积内网中断时间每年累计不超过100分钟
公司信息安全管理体系认证情况
2007年9月公司启动信息安全管理体系认证项 目 信息安全认证范围:BPO业务、软件开发 认证机构:BSI,英标管理体系认证(北京) 有限公司 首次通过认证的时间:2008年1月2日 证书有效期:三年
2014-6-20
22
2.2.3 信息安全管理体系认证
公司信息安全管理体系方针
IT服务管理体系 ITMS ISO/IEC 20000-1:2005
管理体系
:
公司依据国际化标准组织(ISO)制定管理标准,建立的以实现 某种目标的管理系统。
2014-6-20
17
2.2 信息安全管理体系
2.2.1 什么是管理体系 2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2014-6-20