ISO27001信息安全管理体系培训基础知识.ppt

信息安全管理体系 ISMS 基础知识培训 目录 什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 目录 什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 目录 什么是信息 信息通常指消息 情报 数据和知识等 在ISO IEC27001标准中信息是指对组织具有重要价值 可以通过多媒体传递和存储的一种资产 什么是信息 什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 什么是信息安全 信息安全的作用是保护信息业务涉及范围不受威胁所干扰 使组织业务畅顺 减少损失及增大投资回报和商机 在ISO IEC27001标准中信息安全主要指信息的机密性 完整性和可用性的保持 即指通过采用计算机软硬件技术 网络技术 密钥技术等安全技术和各种组织管理措施 来保护信息在其生命周期内的产生 传输 交换 处理和存储的各个环节中 信息的机密性 完整性和可用性不被破坏 什么是信息安全 什么是信息安全 信息的机密性 信息的机密性是指确保授予或特定权限的人才能访问到信息 信息的机密性依据信息被允许访问对象的多少而不同 所有人员都可以访问的信息为公开信息 需要限制访问的信息为敏感信息或秘密信息 根据信息的重要程度和保密要求将信息分为不同密级 一般分为秘密 机密和绝密三个等级 已授权用户根据所授予的操作权限可以对保密信息进行操作 什么是信息安全 信息的机密性 什么是信息安全 信息的完整性 信息的完整性是指要保证信息使用和处理方法的正确性和完整性 信息完整性一方面是指在使用 传输 存储 备份 交换信息的过程中不发生篡改信息 丢失信息 错误信息等现象 另一方面是指信息处理方法的正确性 信息备份 系统恢复 销毁等处理不正当的操作 有可能造成重要文件的丢失 甚至整个系统的瘫痪 什么是信息安全 信息的完整性 什么是信息安全 信息的可用性 信息的可用性是指确保已被授权的用户访问时得到所需要信息 即信息及相关信息资产在授权人需要时可立即获得 例如 通信线路中断故障 网络的拥堵会造成信息在一段时间内不可用 影响正常的业务运营 这是信息可用性的破坏 提供信息的系统必须能适当地承受攻击并在失败时及时恢复 另外还要保证信息的真实性和有效性 即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的 什么是信息安全 信息的可用性 什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 为什么要实施信息安全管理 实施信息管理原因 自1987年以来 全世界已发现超过50000种计算机病毒 2000年爆发的 爱虫 病毒给全球用户造成了100亿美元的损失 美国每年因信息与网络安全问题所造成的损失高达75亿美元 即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击 且成功进入率高达63 然而 能对组织造成巨大损失的风险主要还是来源于组织内部 国外统计结果表明企业信息受到的损失中 70 是由于内部员工的疏忽或有意泄密造成 为什么要实施信息安全管理 实施信息管理原因 多数计算机使用者很少接受严格的信息安全意识培训 每天都在以不安全的方式处理企业的大量重要信息 而且企业的合作单位 咨询机构等外部人员都以不同的方式使用企业的信息系统 对企业的信息系统构成了潜在的威胁 如员工为了方便记忆系统登录口令而在明显处粘一便条 就足以毁掉花费了大量成本建立的信息系统 许多对企业心存不满的员工把 黑 掉企业网站 偷窃并散布客户敏感信息 为竞争对手提供机密资料 甚至破坏关键信息系统作为报复企业 致使企业蒙受了巨大的经济损失 为什么要实施信息安全管理 实施信息管理原因 目前单一的技术手段已难以解决企业信息安全问题 只有建立一套完善的信息安全管理流程并严格执行 才能有效降低信息安全风险 保障企业信息业务的连续性 实施信息管理必然性 实践证明信息安全是个复杂的系统问题 解决系统性安全问题 必须以系统的方法来解决 建立管理体系 明确方针和目标并实现这些目标的体系 是系统性解决复杂问题的有效方法 为了保证信息安全管理的有效性 充分性和适宜性组织需要建立信息安全管理体系 ISMS 信息安全管理体系通过固化信息安全管理范围 制定信息安全管理策略方针与与目标 明确信息安全管理职责 落实控制目标并选择控制措施进行管控 全面系统保障管理信息的安全 从系统论观点来看 一个体系 系统 必须具有自组织 自学习 自适应 自修复 自生长的能力和功能才可以保证其持续有效性 信息安全管理体系通过不断的识别组织和相关方的信息安全要求 不断的识别外界环境和组织自身的变化 不断的学习采用最新的管理理念和技术手段 不断的调整自己的目标 方针 程序和过程等 才可以实现持续的安全 本标准可以适合于不同性质 规模 结构和环境的各种组织 因为不拥有成熟的IT系统而担心不可能通过ISO IEC27001认证是不必要的 实施信息管理必然性 为什么要实施信息安全管理 如果因为预算困难或其他原因 不能一下子降低所有不可接受风险到可接受程度时 能否通过体系认证 也是很多人关心的问题 通常审核员关心的是组织建立的ISMS是否完整 是否运行正常 是否有重大的信息安全风险没有得到识别和评估 有小部分的风险暂时得不到有效处置是允许的 当然 暂时接受 的不可接受风险不可以包括违背法律法规的风险 实施信息管理必然性 为什么要实施信息安全管理 什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 ISMS概述 本标准用于为建立 实施 运行 监视 评审 保持和改进信息安全管理体系 InformationSecurityManagementSystem 简称ISMS 提供模型 采用ISMS应当是一个组织的一项战略性决策 一个组织的ISMS的设计和实施受业务需求和目标 安全需求 所采用的过程以及组织的规模和结构的影响 上述因素及其支持过程会不断发生变化 期望信息安全管理体系可以根据组织的需求而测量 例如简单的情形可采用简单的ISMS解决方案 本标准可被相关的内部方和外部方运用以评估一致性 ISMS概述 什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 ISMS标准体系 ISO IEC27000族介绍 27007信息安全管理体系审核指南 ISO IEC27000族 27000 信息安全管理体系综述与术语 27001 信息安全管理体系要求 27002 信息安全管理体系实践规范 27003 信息安全管理体系实施指南 27004 信息安全管理体系测量 27005 信息安全管理体系信息安全风险管理 27006 信息安全管理体系认证机构要求 ISMS介绍 ISO IEC27000族发布时间 ISO IEC17799 2005信息安全管理实施细则 于2005年6月15日正式发布 ISO IEC27001信息安全管理体系要求 于2005年10月15日正式发布 ISO IEC27002信息安全管理体系最佳实践 于2007年4月正式发布 ISO IEC27003信息安全管理体系实施指南 正在ISMS标准的工作组研究并征求意见阶段 ISO IEC27004信息安全管理度量和改进 正在委员会草案阶段 ISO IEC27005信息安全风险管理指南 以2005年底刚刚推出的BS7799 3为准 ISMS介绍 ISO IEC27001信息安全管理体系与其它体系兼容性 ISO9001 2008质量管理体系ISO14001 2004环境管理体系ISO TS16949 2009汽车行业质量管理体系TL9000 通信行业质量管理体系IECQC080000 2005有害物质过程管理体系ISOIEC20000 什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系 ISMS 概述信息安全管理体系 ISMS 标准介绍信息安全管理体系 ISMS 实施控制重点 A 6信息安全组织 A 8人力资源安全 A 7资产管理 A 12系统获取开发和维护 A 9物理和环境安全 A 5信息安全方针 A 14业务持续性管理 A 10通信和操作管理 A 13信息安全事件管理 A 11访问控制 A 15符合性 ISO IEC27001控制大项 A 16教育培训 ISMS控制大项说明 安全方针 制定信息安全方针 为信息安全提供管理指导和支持 并定期评审 信息安全组织 建立信息安全基础设施 管理组织范围内的信息安全 维护被第三方所访问的组织的信息处理设施和信息资产的安全 以及当信息处理外包给其他组织时 确保信息的安全 资产管理 核查所有信息资产 做好信息分类 确保信息资产受到适当程度的保护 人力资源安全 确保所有员工 合同方和第三方了解信息安全威胁和相关事宜 他们的责任 义务 以减少人为差错 盗窃 欺诈或误用设施的风险 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 物理与环境安全 定义安全区域 防止对办公场所和信息的未授权访问 破坏和干扰 保护设备的安全 防止信息资产的丢失 损坏或被盗 以及对业务活动的干扰 同时 还要做好一般控制 防止信息和信息处理设施的损坏或被盗 通讯和操作管理 制定操作规程和职责 确保信息处理设施的正确和安全操作 建立系统规划和验收准则 将系统失效的风险减到最低 防范恶意代码和移动代码 保护软件和信息的完整性 做好信息备份和网络安全管理 确保信息在网络中的安全 确保其支持性基础设施得到保护 建立媒体处置和安全的规程 防止资产损坏和业务活动的中断 防止信息和软件在组织之间交换时丢失 修改或误用 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 访问控制 制定文件化的访问控制策略 避免信息系统的未授权访问 并让用户了解其职责和义务 包括网络访问控制 操作系统访问控制 应用系统和信息访问控制 监视系统访问和使用 定期检测未授权的活动 当使用移动办公和远程工作时 也要确保信息安全 信息系统的获取 开发和维护 标识系统的安全要求 确保安全成为信息系统的内置部分 控制应用系统的安全 防止应用系统中用户数据的丢失 被修改或误用 通过加密手段保护信息的保密性 真实性和完整性 控制对系统文件的访问 确保系统文档的安全 严格控制开发和支持过程 维护应用系统软件和信息的安全 ISO IEC27001控制大项 管理内容 ISMS控制大项说明 信息安全事故的管理 报告信息安全事件和弱点 及时采取纠正措施 确保使用持续有效的方法管理信息安全事故 业务连续性管理 目的是为了减少业务活动的中断 使关键业务过程免受主要故障或天灾的影响 并确保他们的及时恢复 符合性 信息系统的设计 操作 使用和管理要符合法律法规的要求 符合组织安全方针和标准 还要控制系统审核 使系统审核过程的效力最大化 干扰最小化 ISO IEC27001控制大项 管理内容 ISO IEC27001信息安全管理体系将信息安全管理的内容划分为11个控制域 39个信息安全管理的控制目标 133项安全控制措施 以下是12项管理大项关系