信息安全管理体系培训课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通信公司员工泄漏内部信息获刑
• 法制晚报:5家调查公司因非法经营被查,由此牵出了移动、联通的三名在职员工和两 名离职员工——他们与调查公司勾结,将通话记录等信息透露给对方。
• 吴晓晨利用担任联通公司北京市三区分公司广安门外分局商务客户代表的工作之便, 获取大量公民个人信息后非法出售给调查公司,从中获利。
路漫漫其修远兮, 吾将上下而求索
•基于风险分析的安全管理方法
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。
• 朝阳法院以非法经营罪判处5人有期徒刑2年6个月至有期徒刑2年2个月
路漫漫其修远兮, 吾将上下而求索
清明小长假一政府网被篡改成黄色网站
• 4月6日上午,有网友登录扬州市城乡建设局官方网站时吃惊地发现, 网页竟然成了黄色网页!页面上充斥着衣着暴露的性感美女,搔首弄 姿,十分不雅。
• “网站变成黄色网站的准确时间是3日,也就是清明小长假的第一天 ,因为放假,我们并没有发现。今天上午9点节后一上班,我们就发 现了这个问题。”昨日,扬州市城乡建设局信息中心朱主任接受记者 采访时表示,他们的网站确实被黑客袭击了,被挂上了木马。这次已 是今年第二次遭黑客攻击,第一次是在今年1月下旬,情况跟这次类 似。朱主任表示,他们一上班发现网站“被色情”后,一直忙着维护 ,到12点多钟恢复了正常。朱主任同时表示,他们的网站创建已经好 几年了,比较老了,由于现在仍然缺乏相关的网络安全保护设备,所 以网站两次遭到攻击。目前网站正在准备升级,在软件、硬件上都要 投入,将网站代码进行升级,提高安全性。他还透露,今年内扬州市 政府可能对政府各部门网站进行集中管理,进一步保障安全性。
路漫漫其修远兮பைடு நூலகம் 吾将上下而求索
•安全管理观点
技术和产品是基础,管理才是关键 产品和技术,要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修 正,就会拥有持续安全 根本上说,信息安全是个管理过程,而不是技术过程
只要提供给他机主姓名和手机号码,他就可以通过工作平台,将该人的个人信息 调取出来,查出身份证号、住址和联系电话。
修改手机密码也是通过平台,只需要提供手机号码就行。修改完密码后,就可以通 过 自动语音系统调通话记录了,通话记录会传真到查询者的传真电话上。这比一个个 地查完通话记录再给他们,更方便省事。其实这是通信公司的一个漏洞。
信息安全管理体系培训 课件
路漫漫其修远兮, 吾将上下而求索
2020年4月4日星期六
目录
•介绍
ISO27001认证过程和要点介绍 信息安全管理体系内容 信息安全管理体系准备-风险评估 信息安全管理体系设计 信息安全管理体系实施 信息安全管理体系监控 信息安全管理体系改进
路漫漫其修远兮, 吾将上下而求索
本质上 保护—— 网络系统的硬件,软件,数据 防止—— 系统和数据遭受破坏,更改,泄露 保证—— 系统连续可靠正常地运行,服务不中断
两个层面 技术层面—— 防止外部用户的非法入侵 管理层面—— 内部员工的教育和管理
路漫漫其修远兮, 吾将上下而求索
信息安全金字塔
路漫漫其修远兮, 吾将上下而求索
•审计 •管理 •加密 •访问控制
路漫漫其修远兮, 吾将上下而求索
7天酒店数据库被盗
• 在腾讯微博上,一个名为“××刺客”的用户发言称,“出售7天假 日所有联网中心数据,附带会员注册个人信息,会员等级,开房信息 ,个人积分等全部数据。”同时该用户还留下了一个联系邮箱。 记者通过网络查询后,得到了该用户的QQ号,在4月初与这名黑客取 得了联系。记者假称自己是旅游行业人员,想购买7天的会员数据库 。在交流中,该黑客明确告诉记者他手中确实有数据库,会员总数在 600万左右。当记者称愿意出价1000元购买时,该黑客在等待了几分 钟后,称自己比较忙,不卖了。随后连续几天,该黑客的QQ头像始 终处于离线状态,记者发出的10多条消息也无一回复。
信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:
• 计算机和网络中的数据 • 硬件和软件 • 关键人员 • 组织提供的服务 • 各类文档
具有价值的信息资产面临诸多威胁,需要妥善保护。
路漫漫其修远兮, 吾将上下而求索
信息安全定义
广义上讲 领域—— 涉及到网络信息的保密性,完整性,可用性,真实性,可控性的 相关技术和理论
案情供述:
联通公司吴晓晨:他帮调查公司查座机电话号码的安装地址,调查公司每个月固定给
2000元,后来又让帮忙查电话清单。
2008年10月初,他索性自己成立了一
个商务调查公司单干了。
• 移动公司张宁:2008年原同事林涛找到他,让他查机主信息,修改手机密码。他一共 帮查过50多个机主信息,修改过100多个手机客服密码。
• 黑客通过SQL注入漏洞,入侵了服务器,并窃取了数据库。
路漫漫其修远兮, 吾将上下而求索
•什么是信息?
通常我们可以把信息理解为消息、信号、数据、情报和知识。 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
•用户验证 •安全策略
•信息安全管理
信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。 信息安全管理(Information Security Management)作为组织完整的管理体系 中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的 关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因 ,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真 正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。