银行信息系统内部审计培训课件

招商银行信息系统内部审计培训ISO27001信息安全管理体系介绍,1,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,2,PPT学习交流,几个问题,信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？,3,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,4,PPT学习交流,信息资产,信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallbackarrangement）、审核跟踪记录（audittrails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。,信息资产类型:,5,PPT学习交流,信息资产,电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等,信息资产存在方式：,6,PPT学习交流,信息资产,产生使用存储传输销毁/抛弃,信息资产的生命周期：,7,PPT学习交流,什么是信息安全?,ISO27001将信息安全定义如下:保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性,保密性,可用性,保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性完整性：保护资产的准确和完整的特性,8,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,9,PPT学习交流,信息安全管理体系（ISMS）介绍,InformationSecurityManagementSystem(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IECJTC1/SC27/WG1（国际标准化组织/国际电工委员会联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南,10,PPT学习交流,ISO27000系列标准,11,PPT学习交流,ISO27001的历史,12,PPT学习交流,等同的国家标准,GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则,我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月，经国家标准化管理委员会批准，全国信息安全标准化技术委员会发布两个新的国家标准，并于2008年11月1日起实施。,13,PPT学习交流,提升竞争力,提高合规性,满足利益相关方期望,实施ISMS的好处,ISO27001,14,PPT学习交流,当前获得ISO27001证书的组织分布(2008年9月),15,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,16,PPT学习交流,ISO27001信息安全管理体系要求,相关方,受控的信息安全,信息安全要求和期望,相关方,检查Check,建立ISMS,实施和运行ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,处置Act,信息安全管理体系（InformationSecuritryManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。,17,PPT学习交流,定义范围和边界定义安全策略定义风险评估方法识别风险识别和评价风险识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准获得管理者对实施和运行ISMS的授权准备适用性声明（SoA）,建立ISMS,检查Check,建立ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,实施和运行ISMS,18,PPT学习交流,实施和运行ISMS,检查Check,建立ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,实施和运行ISMS,制定风险处理计划实施风险处理计划实施培训和意识教育计划管理ISMS的运行管理ISMS的资源应急响应、事故管理,19,PPT学习交流,监视和评审ISMS,检查Check,建立ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,实施和运行ISMS,执行监视与评审程序和其它控制措施ISMS有效性的定期评审测量控制措施的有效性定期实施ISMS内部审核定期进行ISMS管理评审,20,PPT学习交流,保持和改进ISMS,检查Check,建立ISMS,保持和改进ISMS,监视和评审ISMS,规划Plan,实施Do,实施和运行ISMS,实施已识别的ISMS改进措施采取合适的纠正和预防措施从安全经验中吸取教训向所有相关方沟通措施和改进情况,21,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,22,PPT学习交流,风险的概念,风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率上述事件发生之后所带来的影响在ISO/IECGUIDE73将风险定义为：事件的概率及其结果的组合。,23,PPT学习交流,风险管理的目标,风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。风险管理的目标：,高影响低概率,高影响高概率,低影响低概率,底影响低概率,影响,概率,控制目标,概率,24,PPT学习交流,信息安全风险管理一般方法,资产识别,威胁识别,分析和评价风险,风险处理计划,识别脆弱性,当前控制措施分析,风险监控、检查与沟通,25,PPT学习交流,识别威胁,威胁威胁可多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径几种常见威胁：自然灾害计算机犯罪员工操作失误商业间谍黑客,ISO27001将威胁定义如下：可能导致对系统或组织的损害的不期望事件发生的潜在原因,26,PPT学习交流,识别脆弱性,脆弱性常被成为漏洞几种常见脆弱性：简单口令员工安全意思淡薄第三方缺乏保密协议变更管理薄弱明文传输信息经验表明：大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术脆弱性。,ISO27001将脆弱性定义如下：可能会被一个或多个威胁所利用的资产或一组资产的弱点,27,PPT学习交流,分析当前控制,ISO27002将控制定义如下：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。,控制措施也用于防护措施或对策的同义词。本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）,28,PPT学习交流,风险的分析与评价,风险分析：系统地使用信息来识别风险来源和估计风险风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程存在定性、定量两种风险分析方法实例：,29,PPT学习交流,风险处理策略,经过风险评估后识别出来的风险，接着便是制定其对应的风险处理计划.可能的风险处理计划包括以下四种之一或四种的组合:,采取适当的控制措施来降低(reduce)风险。了解并客观地接受(accept)风险,倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。通过放弃当前的某些活动来规避(avoid)风险发生。转嫁(transfer)风险至其它组织，例如保险公司、供应商等。,30,PPT学习交流,定义风险接收水平,风险处理计划完成后的残余风险水平应在可接受风险水平之内,初始风险水平（高）,可接受的风险水平（Low）,残余风险,风险级别,高,中,低,残余风险,风险控制措施,风险控制措施,31,PPT学习交流,控制措施选择,从针对性和实施方式来看，控制措施分三类：管理(Administrative)性:安全策略,流程,组织与职责等操作(Operation)性:人员职责,事故反应,意识培训,系统开发等等技术(Technical)性:加密,访问控制,审计等或者从功能上来分,控制措施类型包括：威慑性(Deterrent):告示、标语预防性(Preventive):培训，操作手册，加密，身份认证检测性(Detective):CCTV,保安，报警纠正性(Corrective):培训，问责，应急响应，灾备,32,PPT学习交流,风险,成本,最佳投资点,基本原则实施安全控制措施的代价不应该大于要保护的资产的价值,选择控制措施时的成本效益分析,33,PPT学习交流,1,2,3,4,信息安全概述,信息安全风险评估,ISMS介绍,ISO27001信息安全管理体系要求,目录,5,ISO27002信息安全管理实用规则,34,PPT学习交流,ISO27002信息安全管理体系实用规则,11个安全域，39个控制目标，133个控制点,35,PPT学习交流,控制域1：安全方针,信息安全方针文件信息安全方针文件的评审,1.1信息安全方针,依据业务要求和相关法律法规提供管理指导并支持信息安全,36,PPT学习交流,控制域2：组织信息安全,信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议,2.1内部组织,在组织内管理信息安全,与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题,2.2组织外部各方,保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全,37,PPT学习交流,控制域3：资产管理,资产清单资产责任人资产的合格使用,3.1资产责任,实现和保持对组织资产的适当保护,分类指南信息的标记和处理,确保信息受到适当级别的保护,38,PPT学习交流,控制域4：人力资源安全,角色和职责背景审查任用条款和条件,4.1任用之前,确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险,管理职责信息安全意识、教育和培训纪律处理过程,确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险,终止职责资产的归还撤销访问权,确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系,39,PPT学习交流,控制域5：物理和环境安全,物理安全边界物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全,5.1安全区域,防止对组织场所和信息的未授权物理访问、损坏和干扰,设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处置和再利用资产的移动,防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断,40,PPT学习交流,控制域6：通信和操作管理,文件化的操作程序变更管理责任分割开发、测试和运行设施分离,6.1操作程序和职责,确保正确、安全的操作信息处理设施,服务交付第三方服务的监视和评审第三方服务的变更管理,实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准,容量管理系统验收,将系统失效的风险降至最小,41,PPT学习交流,控制域6：通信和操作管理（续）,控制恶意代码控制移动代码,6.4防范恶意和移动代码,保护软件和信息的完整性,信息备份,保持信息和信息处理设施的完整性及可用性,网络控制网络服务安全,6.6网络安全管理,确保网络中信息的安全性并保护支持性的基础设施,42,PPT学习交流,控制域6：通信和操作管理（续）,可移动介质的管理介质的处置信息处理程序系统文件安全,6.7介质处置,防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断,信息交换策略和程序交换协议运输中的物理介质电子消息发送业务信息系统,保持组织内信息和软件交换及与外部组织信息和软件交换的安全,电子商务在线交易公共可用信息,6.9电子商务服务,确保电子商务服务的安全及其安全使用,43,PPT学习交流,控制域6：通信和操作管理（续）,审计日志监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步,6.10监视,检测未经授权的信息处理活动,44,PPT学习交流,控制域7：访问控制,访问控制策略,7.1访问控制的业务要求,控制对信息的访问,用户注册特殊权限管理用户口令管理用户访问权的复查,7.2用户访问管理,确保授权用户访问信息系统，并防止未授权的访问,口令使用无人值守的用户设备清空桌面和屏幕策略,防止未授权用户对信息和信息处理设施的访问、危害或窃取,45,PPT学习交流,控制域7：访问控制（续）,使用网络服务的策略外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路由控制,7.4网络访问控制,防止对网络服务的未授权访问,安全登录程序用户标识和鉴别口令管理系统系统实用工具的使用会话超时联机时间的限定,防止对操作系统的未授权访问,信息访问限制敏感系统隔离,防止对应用系统中信息的未授权访问,46,PPT学习交流,控制域7：访问控制（续）,移动计算和通讯远程工作,7.7移动计算和远程工作,确保使用移动计算和远程工作设施时的信息安全,47,PPT学习交流,控制域8：信息系统获取、开发和维护,安全要求分析和说明,8.1信息系统的安全要求,确保安全是信息系统的一个有机组成部分,输入数据验证内部处理的控制消息完整性输出数据验证,防止应用系统中的信息的错误、遗失、未授权的修改及误用,使用密码控制的策略密钥管理,通过密码方法保护信