2014年最新iso27001信息安全管理体系宣讲课件讲义
合集下载
ISO27001标准详解PPT课件
精选ppt课件2Байду номын сангаас21
Page 11
11
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
精选ppt课件2021
P
D
A
C
质量水平
螺旋上升的PDCA
Page 12
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来 构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重 性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措 施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职 的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重 要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控 制的角度出发,保障组织的信息系统与业务之安全与正常运作。
精选ppt课件2021
4
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选ppt课件2021
Page 10
10
PDCA特点
ISO27001信息安全防护管理体系培训方案基础知识.ppt
26
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
ISO27001详细介绍(PPT 43页)
这些控制措施适用于大多数组织和环境。
(引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” )
Page 11
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
Page 12
ISMS(信息安全管理系统)
与其他标准的兼容性(续)
Page 19
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
Page 20
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
与其他标准的兼容性
本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理 标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满 足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000(ISO 9001:2000)和GB/T 24001-1996(ISO14001:2004)的各条款之间的关系。
重点内容 重点章节 认证流程
17799&27001
Page 7
17799标准内容
ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施
1) 安全方针 2) 信息安全组织 3) 资产管理 4) 人力资源安全 5) 物理和环境安全 6) 通信和操作管理
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
(引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” )
Page 11
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
Page 12
ISMS(信息安全管理系统)
与其他标准的兼容性(续)
Page 19
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
Page 20
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
与其他标准的兼容性
本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理 标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满 足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000(ISO 9001:2000)和GB/T 24001-1996(ISO14001:2004)的各条款之间的关系。
重点内容 重点章节 认证流程
17799&27001
Page 7
17799标准内容
ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施
1) 安全方针 2) 信息安全组织 3) 资产管理 4) 人力资源安全 5) 物理和环境安全 6) 通信和操作管理
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO27001标准详解75543PPT课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
ISO27001标准详解(培训课件)
制定实施计划
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001信息安全管理体系介绍(PPT 52张)
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
信息安全管理体系培训课件ppt全文
配置安全控制措施
根据制度要求,配置相应的安全控制措施,如物 理安全、网络安全、数据加密等。
3
提供安全意识培训
提高员工的信息安全意识,使其了解并遵守组织 的信息安全政策和程序。
信息安全管理体系的监视与评审
பைடு நூலகம்
01
监视信息安全管理体系的运行情况
通过定期检查、审计等方式,确保体系运行正常,各项控制措施得到有
信息安全管理体系培训课 件ppt全文
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 信息安全管理体系概述 • 信息安全管理体系的构成要素 • 信息安全管理体系的实施与维护 • 信息安全管理体系的审核与认证 • 信息安全管理体系的应用与实践
01
CATALOGUE
信息安全管理体系概述
信息安全管理体系的定义
02
CATALOGUE
信息安全管理体系的构成要素
信息安全方针与策略
信息安全方针
明确信息安全管理体系的宗旨、 原则、承诺和安全策略,为组织 信息安全提供指导。
安全策略制定
根据组织业务需求和风险评估结 果,制定相应的信息安全策略, 包括物理安全、网络安全、数据 保护等方面的要求。
组织与人员安全
组织架构与职责
国际知名的认证机构如 ISO27001认证机构等。
信息安全管理体系的再认证
再认证目的
定期对组织的信息安全管理体系进行 重新评估,确保体系持续符合标准要 求,并不断提高体系的有效性和合规 性。
再认证流程
再认证周期
一般为3年或5年,根据组织实际情况 和标准要求确定。
提交再认证申请、资料审查、现场审 核、再认证决定、颁发再认证证书。
根据制度要求,配置相应的安全控制措施,如物 理安全、网络安全、数据加密等。
3
提供安全意识培训
提高员工的信息安全意识,使其了解并遵守组织 的信息安全政策和程序。
信息安全管理体系的监视与评审
பைடு நூலகம்
01
监视信息安全管理体系的运行情况
通过定期检查、审计等方式,确保体系运行正常,各项控制措施得到有
信息安全管理体系培训课 件ppt全文
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 信息安全管理体系概述 • 信息安全管理体系的构成要素 • 信息安全管理体系的实施与维护 • 信息安全管理体系的审核与认证 • 信息安全管理体系的应用与实践
01
CATALOGUE
信息安全管理体系概述
信息安全管理体系的定义
02
CATALOGUE
信息安全管理体系的构成要素
信息安全方针与策略
信息安全方针
明确信息安全管理体系的宗旨、 原则、承诺和安全策略,为组织 信息安全提供指导。
安全策略制定
根据组织业务需求和风险评估结 果,制定相应的信息安全策略, 包括物理安全、网络安全、数据 保护等方面的要求。
组织与人员安全
组织架构与职责
国际知名的认证机构如 ISO27001认证机构等。
信息安全管理体系的再认证
再认证目的
定期对组织的信息安全管理体系进行 重新评估,确保体系持续符合标准要 求,并不断提高体系的有效性和合规 性。
再认证流程
再认证周期
一般为3年或5年,根据组织实际情况 和标准要求确定。
提交再认证申请、资料审查、现场审 核、再认证决定、颁发再认证证书。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
信息安全管理基础PPT课件
24
信息安全概述
信息安全管理面临的一些问题
国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理
25
信息安全概述
调查显示有8成企业安全管理不理想
26
信息安全概述
10
信息安全概述
信息安全的发展历史
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只侧重于 密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的TCSEC和欧 洲的ITSEC测评标准
38
ቤተ መጻሕፍቲ ባይዱ
信息安全概述
ISMS是一个文档化的体系
对管理框架的概括
• 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)
各种程序文件
• 实施控制措施并描述责任和活动的程序文件 • 覆盖了ISMS管理和运行的程序文件
证据
• 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 • 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
信息安全概述
信息安全管理面临的一些问题
国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理
25
信息安全概述
调查显示有8成企业安全管理不理想
26
信息安全概述
10
信息安全概述
信息安全的发展历史
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只侧重于 密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的TCSEC和欧 洲的ITSEC测评标准
38
ቤተ መጻሕፍቲ ባይዱ
信息安全概述
ISMS是一个文档化的体系
对管理框架的概括
• 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)
各种程序文件
• 实施控制措施并描述责任和活动的程序文件 • 覆盖了ISMS管理和运行的程序文件
证据
• 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 • 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
信息安全管理体系培训课件全文
03
信息安全管理体系建设 流程
策划与准备阶段
确定信息安全管理体系建 设的目的和需求分析
制定信息安全管理体系建 设的战略计划和实施方案
进行组织现状的评估和分 析
确定所需资源和预算安排
实施与运行阶段
建立信息安全管理体系的基 础设施和基本框架
确定信息安全管理的策略、 标准和流程
02
01
建立信息安全风险评估和管
05
信息安全事件应急响应 与处置
应急响应计划制定和实施要求说明
明确应急响应目标
制定应急响应计划时,应明确应 急响应的目标,包括恢复信息系 统正常运行、保护数据安全、防
止事件扩大等。
识别潜在风险
在制定应急响应计划之前,应识别 可能面临的信息安全风险,包括网 络攻击、数据泄露、病毒感染等。
制定应对措施
01
根据监督和检查结果, 对信息安全管理体系进 行改进和优化
02
定期进行信息安全管理 体系的评审和更新
03
制定信息安全管理体系 的持续改进计划,并落 实改进措施
04
对信息安全管理体系的 成果进行总结和评价, 并持续改进和完善
04
信息安全风险评估与控 制
风险评估方法与流程介绍
确定评估目标和范围
明确要评估的信息系统或项目,确定评估的目的和范围,为后续的评 估工作做好准备。
信息安全管理体系培训 课件全文
汇报人:可编辑 2023-12-22
目录 CONTENT
• 信息安全管理体系概述 • 信息安全管理体系标准 • 信息安全管理体系建设流程 • 信息安全风险评估与控制 • 信息安全事件应急响应与处置 • 信息安全意识培养与行为规范引
导
01
iso27001信息安全管理体系宣讲课件.ppt
信息安全的根本目标
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
ISO27001信息安全防护管理体系培训方案基础知识.ppt
7
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
ISO27001信息安全管理体系--咨询服务及认证实施 ppt课件
项目可能用到的工具
► 信息安全风险评估工具 ► 网络脆弱性评估 ► 服务器端口扫描
► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
标准名称
1
ISO 27001 :2005信息安全管理体系要求
3
ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估
4
烟草行业信息安全等级保护规范
► 确定风险容忍度和 风险偏好
► 确定风险处置措施 并实施整改计划
► 制度整合及信息安 全管理体系文档编 写
► 信息安全体系技术 控制及管理落地建 议
► 信息安全管理体系 发布及培训
► 阶段项目总结会议
► 制定信息安全管理 绩效监控流程
► 信息安全管理体系 试运行
► 体系运行监控 ► 业务连续性管理培
► 信息安全管理体系与国际 标准ISO27001对标
► 信息安全方针设计
ISO27001信息安全管理体系 咨询服务及认证实施
目录
一、ISO27001标准简介 二、ISO27001信息安全项目实施流程 三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构 认可要求
27000~27009:ISMS基本标准, 27010~27019:ISMS标准族的解释性指南与文档
访问控制
法律记录 通信安全
人力资源安全
物理环境 安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵 公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划 建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评 估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。
ISO27001标准详解 ppt课件
笨,没有学问无颜见爹娘 ……” • “太阳当空照,花儿对我笑,小鸟说早早早……”
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CIA介绍
当然,不同机构和组织,因为需求不同, 对CIA原则的侧重也会不同,如果组织最关 心的是对私秘信息的保护,就会特别强调 保密性原则,如果组织最关心的是随时随 地向客户提供正确的信息,那就会突出完 整性和可用性的要求。 除了CIA,信息安全还有一些其他原则,包 括可追溯性(Accountability)、抗抵赖 性(Non-repudiation)、真实性 (Authenticity)、可控性 (Controllable)等,这些都是对CIA原则 的细化、补充或加强。
信息安全技术
物理安全技术:环境安全、设备安全、媒体安全; ������ 系统安全技术:操作系统及数据库系统的安全性; ������ 网络安全技术:网络隔离、访问控制、VPN、入侵 检测、扫描评估; ������ 应用安全技术:Email安全、Web访问安全、内容 过滤、应用系统安全; ������ 数据加密技术:硬件和软件加密,实现身份认证和 数据信息的CIA特性; ������ 认证授权技术:口令认证、SSO认证(例如 Kerberos)、证书认证等; ������ 访问控制技术:防火墙、访问控制列表等; ������ 审计跟踪技术:入侵检测、日志审计、辨析取证; ������ 防病毒技术:单机防病毒技术逐渐发展成整体防病 毒体系; ������ 灾难恢复和备份技术:业务连续性技术,前提就是 对数据的备份。
信息安全并不是技术过程,而是管 理过程
解决信息及信息系统的安全问题不能只局 限于技术,更重要的还在于管理 安全管理牵涉到组织的信息评估、开发和 文档化,以及对实现保密性、完整性和可 用性目标的策略、标准、程序及指南的实 施。安全管理要求识别威胁、分类资产, 并依据脆弱性分级来有效实施安全控制。
做好信息安全整体规划
目标Objective:蓝图中首先明确的是信息安全建设的核心目标,即 实现信息安全的CIA并最终确保业务持续性,这是InfoSec所代表的 含义。 ������ 对象Object:信息安全必须有明确的保护对象,即信息资产, 包括各种关键数据、应用系统、实物资产、设施和环境,以及人员。 信息资产的明确界定,将使信息安全控制的实施有引而发。而对这些 资产的保护,将直接关系到业务持续性这一最终目标的实现与否。 ������ 规范Document:为了实现核心目标,我们还必须明确信息安 全方面的现实需求,并且用确定的、无矛盾的、可实施的一套方针、 标准、指南、程序和规范要求来体现,这些层次化的文件将为所有信 息安全活动提供指导,最终导入信息安全需求的实现。其实,信息安 全管理体系是一个文件化的体系,文件所约定的各项管理要求和操作 规范,能够体现信息安全目标实现的持久、统一和权威性,也是 ISMS的具体表现形式。 ������ 过程Process:为了对信息资产实施保护,我们必须采取一定措 施,经历一番努力和过程,最终才能实现既定目标。信息安全的建设 过程,表现为一系列流程的实现,最终体现出的是所谓PDCA的过程 模型:信息安全先做规划,明确需求,制定应对方案;实施解决方案; 通过检查,巩固成果,发现不足;采取后续措施,改进不足,推动信 息安全持续进步。
信息安全有哪些基本目标
信息安全通常强调所谓CIA三元组的目标, 即保密性、完整性和可用性(如图1所示)。 CIA概念的阐述源自信息技术安全评估标准 (InformationTechnology Security Evaluation Criteria,ITSEC),它也是 信息安全的基本要素和安全建设所应遵循 的基本原则。
• •
• • •
为什么要接受ISO27001认证
我们都知道,万事没有绝对,100%的安全 是不现实也不可行的,对组织来说,符合 ISO27001标准并且获得相应证书,其本 身并不能证明组织达到了100%的安全,除 非停止所有的组织活动。但不管怎么说, 作为一个全球公认的最权威的信息安全管 理标准,ISO27001能给组织带来的将是 由里到外全面的价值提升
ISO27001认证价值
针对性 获益点 简单说明 法律法规 遵守适用法律 证书的获得,可以向权威 机构表明,组织遵守了所有适用的法律法规。从一定角度 讲,ISO27001标准是对适用法律法规的补充和注解,因 为ISO27001标准本身的制订,是参照了业界最通行的实 践措施的,而这些实践措施,在很多国家相关的信息保护 法规中都有体现(例如美国的SOX法案、HIPAA、个人 隐私法、计算机安全法、GLBA、政府信息安全修正法案 等);另一方面,很多国家所推行的相关的行业指导性文 件及要求,又可能是参照ISO27001而拟定的。因此,通 过ISO27001认证,可以使组织更有效地履行国家法律和 行业规范的要求。 外部期望 提升信誉,增强信心 当合作伙伴、股东 和客户看到组织为保护信息而付出的努力时,其对组织的 信心将得到加强。同样的,证书的获得,有助于确定组织 在同行业内的竞争优势,提升其市场地位。事实上,现在 很多国际 性的投标项目已经开始要求ISO27001符合性
什么是信息安全
保护信息系统的硬件、软件及相关数据, 使之不因为偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连续、可 靠、正常地运行。在商业和经济领域,信 息安全主要强调的是消减并控制风险,保 持业务操作的连续性,并将风险造成的损 失和影响降低到最低程度。
信息安全的任务
就是要采取措施(技术手段及有效管理) 让这些信息资产免遭威胁,或者将威胁带 来的后果降到最低程度,以此维护组织的 正常运作。
信息安全管理体系宣讲
1
什么是信息
信息可以理解为消息、信号、数据、情报 和知识。信息本身是无形的,借助于信息 媒体以多种形式存在或传播,它可以存储 在计算机、磁带、纸张等介质中,也可以 记忆在人的大脑里,还可以通过网络、打 印机、传真机等方式进行传播。 对现代企业来说,信息是一种资产,包括 计算机和网络中的数据,还包括专利、标 准、商业机密、文件、图纸、管理规章、 关键人员等,就象其它重要的商业资产那 样,信息资产具有重要的价值,因而需要
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有 的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
信息安全主要内容
11个方面定义了39个目标133项控制措施,可供信息安 全管理体系实施者参考使用,这11个方面是:
• • • • • • ������ 安全策略(Security policy); ������ 组织信息安全(Organizing information security); ������ 资产管理(Asset management); ������ 人力资源安全 (Human resources security); ������ 物理和环境安全(Physical and environmental security); ������ 通信和操作管理(Communication and operation management); ������ 访问控制(Access control); ������ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance); ������ 信息安全事件管理(Information security incident management); ������ 业务连续性管理(Business continuity management); ������ 符合性(Compliance)。
ISO27001认证价值
Biblioteka 管理层 履行责任 证书的获得,本身就能证明组织 在各个层面的安全保护上都付出了卓有成效的努力,表明 管理层履行了相关责任。 员工 增强意识、责任感和相关技能 提升员工的 安全意识,增强其责任感,减少人为原因造成的不必要的 损失。 核心业务 保证持续运行 全面的信息安全管理体系 的建立,意味着组织核心业务所赖以持续的各项信息资产 得到了妥善保护,并且建立有效的业务持续性计划框架。 信息环境日常运作 实现风险管理 有助于更好 地了解信息系统,并找到存在的问题以及保护的办法,保 证组织自身的信息资产能够在一个合理而完整的框架下得 到妥善保护,确保信息环境有序而稳定地运作。 财务状况 减少损失,降低成本 ISMS的实施,本 身也能降低因为潜在安全事件发生而给组织带来的损失,
信息安全并不是技术过程,而是管 理过程
1 技术和产品达不到人们需要的水平 2 技术往往落后于风险的出现 熊猫烧香 木 马 蠕虫 3 技术管理不当 带来新风险
信息安全族标准
ISO/IEC 27000,基础和术语。 ������ ISO/IEC 27001,信息安全管理体 系要求,已于2005年10月15日正式发布 (ISO/IEC 27001:2005)。 ������ ISO/IEC 27002,信息安全管理体 系最佳实践,将会在2007年4月直接由 ISO/IEC 17799:2005(已于2005年6月 15日正式发布)转换而来。 ������ ISO/IEC 27003,ISMS实施指南, 正在开发。 ������ ISO/IEC 27004,信息安全管理度 量和改进,正在开发。 ������ ISO/IEC 27005,信息安全风险管