信息安全管理体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2021/3/8
精品课件
课程安排
课时: 24H 课程方法:讲授、小组讨论、练习
2021/3/8
精品课件
课程内容
1、信息安全基础知识 2、信息安全管理与信息系统安全保障 3、信息安全管理体系标准概述 4、信息安全管理体系方法 5、ISO17799中的控制目标和控制措施 6、ISMS建设、运行、审核与认证 7、信息系统安全保障管理要求
请思考:
目前,解决信息安全问题,通常的做法是 什么?
2021/3/8
精品课件
“产品导向型”信息安全
初始阶段,解决信息安全问题,通常的方法:
• 采购各种安全产品,由产品厂商提供方案; ✓ Anti-Virus、Firewall、IDS & Scanner……
• 组织内部安排1-2人兼职负责日常维护,通常来自以技术为主的IT部门; • 更多的情况是几乎没有日常维护
2021/3/8
精品课件
法律法规的要求
✓计算机信息系统安全保护条例 ✓知识产权保护 ✓互联网安全管理办法 ✓网站备案管理规定 ✓……
2021/3/8
精品课件
信息系统使命的要求
✓ 信息系统本身具有特定的使命 ✓ 信息安全的目的就是使信息系统的使命得到保
障 ✓ 。。。。
2021/3/8
精品课件
1.3 实践中的信息安全问题
强调信息:
✓ 是一种资产 ✓ 同其它重要的商业资产一样 ✓ 对组织具有价值 ✓ 需要适当的保护 ✓ 以各种形式存在:纸、电子、影片、交谈等
2021/3/8
精品课件
信息在哪里?
小问题:你们公司的Knowledge都在哪里?
2021/3/8
精品课件
什么是信息安全?
ISO17799中的描述
“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”
存在的问题
• 需求难以确定 ✓ 保护什么、保护对象的边界到哪里、应该保护到什么程度……
• 管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 • 通常用漏洞扫描(Scanner)来代替风险评估
✓ 有哪些不安全的因素(威胁、脆弱性)、信息不安全的影响、对风险的 态度……
• “头痛医头,脚痛医脚”,很难实现整体安全;不同厂商、不同产品之间的 协调也是难题
请思考:
什么是信息安全?
2021/3/8
精品课件
什么是信息?
ISO17799中的描述
“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
✓ Confidentiality ✓ Integrity ✓ Availability
信息在安全方面三个特征:
✓ 机密性:确保只有被授权的人才可以访问信息; ✓ 完整性:确保信息和信息处理方法的准确性和完整性; ✓ 可用性:确保在需要时,被授权的用户可以访问信息和相
关的资产。
2021/3/8
精品课件
源自文库 总结
2021/3/8
完整
信息处理设施
信息处理 过程
可用
信息处理者
信息本身
机密
精品课件
1.2 为什么需要信息安全
请思考:
组织为什么要花钱实现信息安全?
2021/3/8
精品课件
组织自身业务的需要
✓自身业务和利益的要求 ✓客户的要求 ✓合作伙伴的要求 ✓投标要求 ✓竞争优势,树立品牌 ✓加强内部管理的要求 ✓……
2021/3/8
精品课件
信息安全管理
ISO17799强调:
“Information security is a management process, not a technological process.”
• 技术和产品是基础,管理是关键; • 产品和技术,要通过管理的组织职能才能发挥最好的作用; • 技术不高但管理良好的系统远比技术高但管理混乱的系统安
信息安全:
✓ 保护信息免受各方威胁 ✓ 确保组织业务连续性 ✓ 将信息不安全带来的损失降低到最小 ✓ 获得最大的投资回报和商业机会
2021/3/8
精品课件
信息安全的特征(CIA)
ISO17799中的描述
Information security is characterized here as the preservation of:
2021/3/8
精品课件
注意事项
积极参与、活跃气氛 守时 保持安静 有问题可随时举手提问
2021/3/8
精品课件
1. 信息安全基础知识
1.1 信息安全的基本概念 1.2 为什么需要信息安全 1.3 实践中的信息安全问题 1.4 信息安全管理的实践经验
2021/3/8
精品课件
1.1 信息安全基本概念
信息安全管理体系教程
课前介绍
课程目标 课程安排 课程内容 注意事项 学员介绍
2021/3/8
精品课件
课程目标
掌握信息安全管理的一般知识 了解信息安全管理在信息系统安全保障 体系中的地位 认识和了解ISO17799 理解一个组织实施ISO17799的意义 初步掌握建立信息安全管理体系(ISMS )的方法和步骤
全; • 先进、易于理解、方便操作的安全策略对信息安全至关重要
,也证明了管理的重要; • 建立一个管理框架,让好的安全策略在这个框架内可重复实
施,并不断得到修正,就会持续安全。
2021/3/8
精品课件
1.4 信息安全管理的实践经验
• 反映组织业务目标的安全方针、目标和活动; • 符合组织文化的安全实施方法; • 管理层明显的支持和承诺; • 安全需求、风险评估和风险管理的正确理解; • 有效地向所有管理人员和员工推行安全措施; • 向所有的员工和签约方提供本组织的信息安全方针