《ISMS基础教育》PPT课件

基础教育,品质保证课,信息安全管理系统（ISMS）,信息是支撑企业的基础，同时也是具有财产价值的重要资产。要维护信息安全，必须实施个人与环境这两种措施。信息安全管理系统（ISMS即是InformationSecurityManagementSystem）是指情报安全的确立、导入、运用、监控、调整、维持、及改善的一系列活动.,有助于组织有效的保护情报安全的一套管理体系,信息安全管理体系标准发展,信息安全管理体系标准的出现最早可以追溯到1993年，受英国贸工部的委托，开始汇集各优秀企业有关信息安全管理的最佳实践，准备推出信息安全管理的指南，该指南于1995年以BS7799-1的编号出版，虽然是英国标准，但出版后得到了各国的认可，并得到了广泛的应用，这包括英国本土，也包括亚洲的国家和地区。1998年，在指南应用了一段时间之后，BSI又适时发布了作为规范的BS7799-2，它作为一个可以认证的标准，为实践单位提供的纲领，从此BS7799成为一对标准。2000年，BS7799被提交ISO审议，拟升级为国际标准，由于种种因素，BS7799-1升级成为ISO17799：2000，而BS7799-2没有升级成功，保留了原有的编号。从2000年到2005年的期间，信息安全管理体系标准已经被全球认可，全球将近2000家组织获得了BS7799-2的认证，在中国有将近20家单位获得了此认证。2005年10月，BS7799-2成功升级为ISO27001标准，并且，以后信息安全管理体系标准，将要统一到ISO2700X系列上，除了现有的管理体系要求和管理指南之外，还将陆续出版其他指南，如下表所示：,为何要建立信息安全体系,随着信息化的深入，一个明显的特征就是业务非常倚重于信息和信息系统。今天，任谁都无法想象，如果银行的主机停工了，会是什么样状况。即便不是如银行这般大型的提供实时业务的单位，比方说一个电子工厂，如果某一天生管系统被病毒感染而宕机了，该工厂也将是一片的混乱，生产也许可以继续，但是几乎每个人都会茫然，他们不知道自己下一步该做什么，不知道这么做是不是正确。因此随着业务对信息和信息系统的倚重，信息和信息系统的安全，成了一个鲜明的问题，是任何组织都不可以绕过和忽略的。,事例说明,上海理光生产集团ISMS构筑情况简介,ISMS構築,000.経営者理解001.計画,002.組織立上003.方針目標策定,004.情報資産洗出005.分析006.,007.文書体系整備010.,008.対応計画事業継続計画009.残留適用宣言書,推進担当者教育,011.内部監査員教育,e-Learning,011.部門独自教育,012.内部監査,013.認証審査通过,事前準備,上海理光集团情报安全基本方针,上海理光生产集团作为理光集团在中国的先进生产企业，在对应与日俱增的情报安全要求方面，为了不辜负顾客对我们的高度信赖，每位员工都要参与到情报安全管理系统构筑中去，以此来确保情报的机密性、完全性和可用性。我们应在遵守中国的法律法规，率先履行中国企业一员应尽的义务，努力成为理光集团中的模范企业的同时，通过不断提高经营质量，来加强企业竞争力。1管理层应在情报安全活动中起到模范带头的作用，同时彻底实施对员工的情报安全教育。2每位员工须理解情报安全管理的目的，遵守公司内部的情报安全方面的要求事项。3定期召开情报安全委员会议，不断进行情报安全方面的改善。4切实落实法律法规的要求事项。,上海理光生产集团07年度情報安全目标,全员教育渗透度为100%各部门内审不符合项数（C欠点以上）小于等于2个/部/次因IT部系统故障导致业务发生中断时间：10小时以下/年情报安全事件/事故5件以下/年,上海理光07年度风险评估的受容限度额：50万,信息安全管理系统（ISMS）,ISMS的三要素：机密性（C）：确保只有得到许可的人员才能访问情报。完全性（I）：保证情报及其处理方法正确且完整。可用性（A）：得到许可的利用者在必要时可以访问情报及关联资产。,ISMS目的：企业的持续发展,情报安全管理系统（ISMS）,要执行有效的信息安全管理系统，必须执行以下事项：1）明确阐明现有的信息资产，并掌握其价值（计划Plan）2）分析需要保护的信息资产的威胁与漏洞（执行Do）3）选择并实施具体的措施（检查Check）4）根据环境的实际发展变化审议正在实施的措施（行动Act）,只有已经建立安全政策，并通过实施相关的定期安装、检查、运作、分析及审议，才能实现“信息安全管理系统”。,情报资产-1,在ISO17799：2000（国际标准）中规定：1、信息资产：数据库和数据文件、系统文档、用户手册、培训资料、操作或支持程序、持续性计划、撤退安排、归档信息；2、软件资产：应用软件、系统软件、开发工具和使用程序；3、实物资产：计算机设备、通信设备、磁性存储介质、其他技术设备、家具、食宿设备；4、服务：计算和通信服务、公共服务。,資産的分類,情报安全管理手册中定义：情报处理中收集、积累的情报或数据，头脑中的情报或数据，情报处理时必要的设备支援、情报通信网等的总称。,公司对情报资产的分类：1、物理资产：保管、运用、维护情报所必须的软件。软件运行、情报处理系统的硬件。路由器、复印机、传真机、PDA等广义的计算机。其次还包括UPS等为使计算机正常运作的外围机器、设备设施等；2、软件资产：为生成、运作、监控、维护情报所必需的软件。如操作系统、中间软件、常用软件、自行开发软件；3、定型业务资产：指业务过程中在应用软件中定性生成的重要情报。通常指从主干系统中生成的用于销售、服务、设计等方面的情报；4、非定型业务资产：部分活用定性业务情报资产，应组织的业务推进、情报共享而生成的情报。从业人员因业务独自生成的与事业相关情报。从业人员因业务需要从其他组织获得的信息并用于业务的情报。组织因业务需要所保存得来自客户的情报及其相关的资产。,情报资产-2,情报资产的风险,对个人及其他公司造成的损害对本公司形象的损害在正常任务之外导致额外任务的损害对企业发展的损坏对商业机会的损坏经济损坏,缺乏安全性给企业带来的损害：,结果：会危及商业运作持续进行的损害或导致我们声誉降低的损害。,情报资产的风险,实际威胁侵入破坏故障自然灾害,人为威胁社会工程盗窃因操作失误导致的信息泄漏,技术威胁破解,防病毒软件,风险管理体系,风险对应计划,实施风险对应,日常维护,再次评估,风险评估,风险管理体系,半年一次,半年一次,管理评审（一年一次）,内部审查,PDCA循环,情報資産,脅威,脅威脆弱性,风险対策（管理策）,ISMS&Privacy,CopyrightreservedbyRicohGroupISMSPromotionsecretariat,脆弱性（狼弱、足遅）,脆弱性,脅威,脅威脆弱性纠正予防策,情報資産,风险对策（管理策）,ISMS&Privacy,CopyrightreservedbyRicohGroupISMSPromotionsecretariat,脆弱性的纠正,没有対策,保护情报资产,情報的密级分類,(1)绝密是指非最高责任者特别批准的人员，不能对其公开的情报。(2)密是指不能向与业务上有关的部门人员以外公开的情报。(3)社外秘是指限于上海理光生产集团各公司内部共享的企业机密情报。(4)公开是指向公众开放的消息,信息安全事故报告,调查发现：所有的非法、犯罪或失误事件中的70%是内部人员造成的。,只要我们每个人都维持高度的信息安全意识，大多数的损害都是可以避免的。,不管多么努力防止外部攻击，信息安全还是有一个弱点，这就是组织内部人员带来的。,事件/事故概念,病毒感染因不正当访问（进入）造成的受害。机器故障、网络系统故障。系统、应用服务器的误操作（包含处理出错）。,情报资产的被盗、丢失、情报泄露、未受许可的带出公司。因不合适的会议地点、会议资料的分发等引起的事故。以上事例也包含发现征兆还未受害的事件/事故。,理光员工的责任,（1）禁止在公共场合洽谈业务（2）进入公司区域随身佩戴胸卡或员工证（3）在办公室有外来人员并且没人陪同时，应加以盘问（4）有外来人员进入时，应在洽谈区域会见,#对已发生的事件/事故及发现征兆还未受害的事件/事故也应按照相关流程进行报告。#配合isms改进是每个员工的职责。,日常信息安全措施（物理进出）,日常信息安全措施,使用电子邮件须知,1）回复或发送电子邮件时确认收件人的地址2）确认电子邮件附件的内容3）请勿在公司内使用外部电子邮件系统4）重要情报资产不用电子邮件发送,日常信息安全措施,密码控制,1)使用别人无法猜测的密码密码设置要求：位数须达到8位或以上数字、大写、小写、特殊字符4选3不能与前几次设置的密码有类似不能与本人姓名、工号有类似2）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。3）请勿将密码设置存储到个人计算机,日常信息安全措施,销毁信息规定,1)销毁纸面信息公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。2）销毁保密信息密以上文件用粉碎机粉碎处理。3）社外密文档废弃到公司设置的社外密文档废纸箱内4）重要数据放到数据库后应销毁计算机本地上的数据5）移动存储设备使用完毕后应删除存储的信息或物理销毁移动存储设备,日常信息安全措施,办公桌整理,离开办公桌时应对电脑进行锁屏，进行密码保护，密码实行一年一次变更。重要文件或移动媒体应放入带锁的柜子，不得随意放置在办公桌面上对重要程度高的文件或移动媒体实施上锁管理，特别必要的场合下，还要保管在耐火、耐热保险库中。,日常信息安全措施,办公机器的利用,1）使用完电子白板后，必须把会议内容都清除掉。2）复印机、传真机、打印机等的输入输出文件应及时取回。3）笔记本电脑使用必须事先申请登记，在得到管理者许可后，方可在指定的时间和区域内使用；使用完毕后需清除添加的内容。4）没有得到相应许可，不得把装置、软件、情报带出公司。5）公司内不得使用个人记忆设备（U盘、数码相机、笔记本电脑等）；如业务需要使用，应得到部门长许可，并留下相关记录。,日常信息安全措施,电脑清理,电脑中除IT预装的软件外，如需安装其它软件应通过IT部门实施，不得擅自安装；电脑中本地没有重要类的数据资料；,ISMS的义务和责任,1）员工应当于转岗时，或者于部门提出要求时，返还全部属于本部门业务相关的财物，包括记载着公司资料信息的一切载体；并不得以任何形式进行复制和记录。2）员工应当于离职时，或者