江西电信信息安全管理培训ppt

江西电信安全管理培训2007年5月目的使学员了解安全管理的生命周期过程和安全体系的基本元Agenda一、信息安全现状二、信息安全管理体系标准介绍三、信息安全管理体系的设计与实施四、信息安全相关标准介绍

案例分析在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了…..事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品案例分析为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。西藏入侵事件案例分析某公司技术部存在2个CTO，一个副CTO，一个主管……某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么……在对机房进入的日志检查过程中，发现没有对清洁工的记录案例分析“88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。88888错误帐户没有销掉。巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。巴林银行的内部审计极其松散。信息安全现状重视技术，轻视管理重视产品功能，轻视人为因素重视对外安全，轻视内部安全静态不变的观念缺乏整体性信息安全体系的考虑Agenda一、信息安全现状二、信息安全管理体系标准介绍三、信息安全管理体系的设计与实施四、信息安全相关标准介绍

信息定义什么是信息？信息意味着什么?“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected”.信息是一种资产象其它重要的业务资产一样，对组织具有价值因此需要适当的保护来源：BS7799/ISO17799信息定义信息安全保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、防抵赖性。C.I.A信息安全特征信息安全具有以下特征：保密性：确保只有经过授权的人才能访问信息完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全的相对性安全没有100%

：完美的健康状态永远也不能达到；安全工作的目标：通过保护信息免受大量威胁从而确保业务持续、最小化商业损失、最大的投资回报和获取更多的商业机会安全应该与保护的事物的价值相称；安全需要权衡可用性与安全性易用性与安全性经济性与安全性信息安全管理体系标准什么是信息安全管理体系？信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即：安全管理是信息安全的关键；人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法；技术是安全运营支撑。安全策略是依据信息安全管理体系标准企业为什么要实现信息安全？组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护……信息安全管理体系标准信息安全管理的标准是什么？BS7799:事实上的信息安全管理标准.BS7799信息安全的英国国家标准，也是作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段；全面的信息安全控制，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架；信息安全管理方面唯一被认可的商业标准。BS7799发展过程英国出版BS7799-1:1995《信息安全管理实施细则》英国出版BS7799-2:1998《信息安全管理体系规范》BS7799-1:1999与BS7799-2:1999经过修订后重新发布BS7799-1:1999通过国际化标准组织ISO认可，12月正式成为国际标准ISO/IEC17799-1:2000《信息技术－信息学安全管理实施细则》BSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。9月BS7799-2:2002公布发行。2004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。率先由英国贸易工业部进行专案。2005年10月，ISO27001：2005正式发布BS7799发展过程ISO/IEC17799:2000BS7799-2:2002BS7799BS7799-1BS7799-2BS7799ISO/IEC17799:2005ISO/IEC27001:2005BS7799BS7799原则体现以下原则定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则全员参与原则动态管理原则遵循管理的一般循环模式—PDCA持续改进模式业务连续性原则BS7799-2（ISO27001）内容Chapter0:简介Chapter1:范围Chapter2:强制性应用标准Chapter3:术语和定义Chapter4:信息安全管理体系Chapter5:管理责任Chapter6:ISMS内部审核Chapter7:ISMS管理评审Chapter8:ISMS改善附件A（强制性）控制目标和控制措施附录B参考标准应用指南附录C参考BSENISO9001:2000ISO14001:1996和BS7799-2:2002章节间的对应关系附录D参考内部编号的改变BS7799-1（ISO/IEC17799）内容BS7799的一些问题10大类的结构性不够清晰一些风险控制点的归类不妥“加密”在开发与维护类中“事故报告”在人员安全类中操作与通信类中太杂乱一些风险控制点的阐述不够关于资产关于业务安全BS7799-1（ISO/IEC17799）内容信息安全方针为信息安全提供符合业务要求和相关法律法规的管理指导和支持信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通应按策划的时间间隔或当发生重大变化时，对信息，安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性信息安全组织使组织内部信息安全保证基础设施安全管理信息安全委员会信息安全协作落实信息安全责任控制第三方访问确认第三方访问风险第三方合同安全要求控制外包外包合同安全要求资产管理确保信息资产受到相应级别的保护资产是组织认为有价值的东西，例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务一个组织必须确定哪些资产在损失之后对于本组织的产品及服务产生物质上的影响人力资源安全目标：减少人为的错误，偷盗，欺骗或错误使用设施带来的风险就业申请审查将安全责任写入合同，并在雇用期间进行监督保密协议教育与培训---组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。还包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训熟悉安全事故处理流程物理与环境安全防止未经授权的访问，破坏和干扰办公场所和信息

周边安全

进入控制

工作区安全

电力供应

设备整理通讯与运作管理保证信息处理设施的安全和正确运营运营程序和责任系统计划和接收预防恶意软件网络管理媒介管理和安全信息和软件交换的安全访问控制控制对信息的访问业务要求对访问进行控制用户访问管理用户职责网络访问控制操作系统访问控制应用访问控制系统访问和使用监控移动计算设备和通信信息系统的获取、开发与维护防止应用系统信息的错误、丢失、未授权的修改或误用通过加密手段来保护细腻的保密性、真实性或完整性确保系统文档的安全开发和支持过程的安全，保持应用系统软件和信息的安全减少由利用公开的技术漏洞带来的风险信息系统的获取、开发与维护需求阶段系统开发和交付系统部署实施系统运行维护系统废弃系统敏感度评估确定安全需求将安全需求加入到系统设计中获得系统（开发或购买）及安全功能安装并使安全控制有效安全测试鉴定合格安全操作和管理运作保证（监控和审计）变更管理系统废弃审核定期评估信息安全事件管理报告信息安全事件和弱点，确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施信息安全事故的管理和改进，确保使用持续有效的方法管理信息安全事故业务连续性管理防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复连续性计划业务连续性计划的框架业务连续性计划的测试、维护和再评估符合性避免违反法律、法规、规章、合同要求和其他的安全要求确认适用的法律知识产权保护组织的记录数据保护和个人隐私信息防止错误使用信息处理设施加密控制规定证据搜集Agenda一、信息安全现状二、信息安全管理体系标准介绍三、信息安全管理体系的设计与实施四、信息安全相关标准介绍

风险概述风险的定义风险要素及要素之间的关系资产、威胁和脆弱性对应关系风险的定义普通字典的解释风险：遭受损害或损失的可能性AS/NZS4360：澳大利亚/新西兰国家标准风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。ISO/IECTR13335-1:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全领域信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。风险的要素资产及其价值威胁脆弱性现有的和计划的控制措施(对策)风险的要素－资产资产是任何对组织有价值的东西资产的分类软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系风险的要素－威胁威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果威胁举例自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问）环境威胁：长时间电力故障、污染、化学、液体泄漏等。风险的要素－脆弱性与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞配置不当程序Bug专业人员缺乏不良习惯弱口令缺乏安全意识后门……风险要素之间的关系安全措施抗击业务脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变未被满足未控制可能诱发残留成本或CIA资产资产价值资产、威胁和脆弱性对应关系资产威胁A威胁B来源A1来源A2来源B1来源B2脆弱点A1脆弱点A2。。。。。。。。。。。。。。。。。。脆弱点B1脆弱点B2。。。。。。每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点PDCA模型阶段一建立和管理ISMS阶段二实施和运作ISMS阶段三监督和检查ISMS阶段四维护和改进ISMSPlanDoCheck设计与实施Step1:定义范围、安全方针和文件化Step2:管理层承诺Step3:风险评估Step4:风险处置Step5:实施和运作ISMSStep6:监督、审查Step7:改进ISMSStep8:完善ISMS文件体系阶段一建立和管理ISMS阶段二实施和运作ISMS阶段三监督和检查ISMS阶段四维护和改进ISMS实施内容文件化按文件体系生命周期编写文件需求分析制定发布推行审核修订废除文档体系结构记录程序文件主策略作业文件作业指导书风险评估概述风险评估定义对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来确定信息系统的安全风险。风险评估原则不管使用哪一种风险评估的方法或工具，其内容都应包括风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施风险评估常用术语风险一个规定威胁将利用一个或一组系统资源的弱点导致其损失或破坏的可能性风险管理以可接受的成本认证、控制、消灭或最小化不确定因素对系统资源的影响的过程风险赋值对照给定的风险准则和正在估计的风险，以确定风险严重程度的过程风险评估对信息和信息处理设施的危害、影响和弱点及三者发生的可能性的评估剩余风险风险处理后残留的风险风险接受接受一个风险的决定风险处置选择安全措施，转移、降低或消除风险的过程风险降低采取措施降低风险发生的可能性以及与风险相关的负面影响风险转移与另一方共同承担风险，从而减轻利益或财产损失的负担定量的风险评估当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级定性的风险评估从风险发生可能性及造成的后果来考虑风险的等级对于后果和可能性采用定性度量并在最后阶段归纳出不同等级风险的方法基于要素的风险评估风险的函数表达：

R=f（a,v,t）

R：风险

a：资产的价值（资产价值用于反映某个资产 作为一个整体的价值，综合了机密性、完整性和可 用性三个属性）

v：资产本身的脆弱性

t：资产所面临的威胁为何需要风险评估网络面临的最大威胁是什么？有那些安全问题？什么是最关键的信息资产？网络设备是否安全？操作系统、数据库系统是否安全？在系统中采用了哪些安全措施？是否有效？您需要什么风险控制手段？您需要什么安全技术保障？对于安全事故，是否具备应急响应与恢复能力？……

面对这些问题，我们会自然地想到：对组织的信息系统，我们应该保护什么？应该如何保护？……这些问题有的看似简单，但如果要准确回答这些问题---信息安全风险评估。风险评估流程否否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择控制措施并评估残余风险实施风险管理是脆弱性识别威胁识别资产识别是否接受残余风险

风险识别与评价风险评估记录风险评估报告风险评估结果记录风险处置报告…..资产清单风险处置措施风险矩阵表项

目威胁等级低(0)中(1)高(2)脆弱性等级低0中1高2低0中1高2低0中1高2资产价值11232343452234345456334545656744565676785567678789风险管理风险评估－举例吃鱼的时候，鱼刺可能刺伤喉咙。 资产＝ 弱点＝ 威胁＝

威胁发生的可能性＝ 威胁的影响＝风险＝风险处置举例吃鱼的时候，鱼刺可能刺伤喉咙：拒绝风险：不吃鱼。风险转移：医疗保险。减少风险：（减少威胁）可以将鱼刺剔除，买鱼刺比较少的鱼，（减少脆弱性）吃的时候要小心，（检测意外事件）准备醋、馒头、大米饭|及时上医院救治。接受风险：照常吃鱼（不能因为有鱼刺，一辈子不吃鱼吧），接受残余风险。

监督、审查管理评审高层参与，内部审核，外部审核等作为输入一般以会议的方式进行内部审核依据BS7799-2:2002标准制订的信息安全管理体系文件有关法律法规相关方的要求（包括客户、消费者、政府信息安全主管机构、供应商等）公司的信息安全管理承诺内审方法询问法抽样法查看文件在实际审核中，一般是以上方法结合使用改进、完善纠正采取措施，以消除与ISMS的实施、运作相关的不合格的原因，防止再次发生。预防确定措施，以消除潜在不合格的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。认证认证机构认证机构认证机构权威部门认证机构产品、过程、服务等认证机构……UKAS认证公司BSI/DNV公司或企业咨询公司Agenda一、信息安全现状二、信息安全管理体系标准介绍三、信息安全管理体系的设计与实施四、信息安全相关标准介绍

信息安全相关COSOCOBITISO20000ISO27001国家标准_《信息安全风险评估指南》信息系统安全保障等级评估准则GB17859SOXISO/IEC15408（CC）信息技术安全技术信息技术安全性评估准则GB18336信息安全事件分类分级指南COSO标准名称内部控制-整体框架标准组织发起组织委员会COSO隶属机构美国国会的反对虚假财务报告委员会标准作用研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议。形成时间形成于1985年，1992年发布报告COSO组织一个通过商业道德、有效的内部控制和公司治理结合以致力于改善财务报告的美国民间组织。研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC（美国证券交易委员会）和其他监管机构以及教育机构提供建议。该委员会由美国五个主要财务职业协会共同主办：AAA(美国会计学会)、AICPA(美国注册会计师协会)、FEI(财务经理协会)、IIA(内部审计师协会)和naa(全国会计师协会，现为IMA、管理会计师协会)。COSO完全独立于各主办组织。COSO报告1992年COSO委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制－整体框架》（InternalControl－IntegratedFramework）报告，即通称的COSO报告。COSO报告提出内部控制由五部分组成：控制环境：它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。风险评估：是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。控制活动：是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。信息和交流：信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的尾部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通监控：监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量，不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。COBIT标准名称信息及相关技术的控制目标隶属机构美国IT治理研究院标准作用信息、IT以及相关风险控制方面的国际公认标准。最新版本CoBiT4.0,CoBiT第一版于1994年推出ISO2000（ITIL）标准名称IT基础机构库隶属机构英国商务部OGC(OfficeofGovernmentCommerce)标准作用实现“以流程为中心、以客户需求为导向”的IT服务管理形成时间80年底末版本2001年英国标