信息安全管理培训

1、,信 息 安 全,培训对象：高级组长及以上,培训目标,1、认识到信息安全管理的重要性 2、了解到信息安全的重点在于管理 3、熟练信息安全管理的工作内容,信息安全,目录,一、信息安全案例 二、什么是信息 三、什么是信息安全 四、信息安全的目标 五、实现信息安全的意义 六、信息安全的需求来源 七、如何做好信息安全整体规划 八、如何实现信息安全,信息安全案例,共享打印机带来的问题,文件带来的问题,泄露给别人,打印机密文件,结果：损失200万,结果：损失1000万,提高安全意识，加强安全预防，注重安全管理,什么是信息,以下哪些属于信息?,数据,专利,计算机,文件,声音,纸张,什么是信息,定义：,是事物

2、运动的状态与方式，是物质的一种属性。,文件,数据,图像,信息实例,特征： 依附载体；可传递；可共享；可存储；时效性,什么是信息安全,定义：,保护信息资产免遭恶意破坏，保证业务连续可靠运行。,硬件,软件,数据,信息资产,基本目标,保密性,完整性,可用性,不被篡改,不会泄漏,随时访问,实现信息安全的意义,能保证企业的业务活动稳定有效的运作 提高客户满意度,业务运作,信息安全需求来源,法律规定、客户组织要求,法律及合约的要求：,组织的目标及规定：,企业为保证业务连续性而要求,风险评估的结果：,对存在的弱点，威胁的改进要求,如何做好信息安全整体规划,目标objective： 明确信息安全建设的核心目标

3、。 对象object： 明确保护对象（信息资产）： 关键数据、应用系统、实物资产、设施和环境，以及人员。 规范document： 制定可实施的一套方针、标准、指南、程序和规范要求文件，为所有信息安全活动提供指导，最终实现信息安全需求。,过程process： p:信息安全先做规划，明确需求，制定应对方案； d:实施解决方案； c:通过检查，巩固成果，发现不足； a:采取后续措施，改进不足，推动信息安全持续进步。,如何做好信息安全整体规划,如何建设isms,isms定义：安全信息管理体系 从建立、实施、监控、改进信息安全的系列管理活动,计划阶段（p）：,如何建设isms,实施阶段（d）：,如何建设

4、isms,检查与改进阶段（c，a）：,如何建立isms文件体系,如何建立isms文件体系,如何实现信息安全,一、安全技术 二、安全管理,三分靠技术，七分靠管理,如何实现信息安全,安全技术：,如何实现信息安全,安全管理：解决三大问题,组织,制度,人员,建设组织机构并明确责任,建立安全管理制度体系,加强人员的安全意识，并进行安全教育培训,信息安全管理内容,三分靠技术，七分靠管理,信息安全管理内容,安全策略,1、信息安全策略 制定信息安全策略文件 定期复查信息安全策略,企业级的安全方针 部门级的安全策略 个人级的安全策略,信息安全管理内容,组织信息安全,1、内部组织： 分派信息安全责任 制定保密协议

5、； 常对信息安全作评审 2、外部组织： 识别与外部伙伴的风险 与客户交往时应注意安全 第三方协议中注明安全,信息安全管理内容,资产管理,1、资产责任： 资产清单 资产属主 对资产的可接受使用 2、资产分类：确保信息资产得到适当级别的保护 分类指南 信息标注与处理,信息安全管理内容,人力资源安全,1、聘用前： 定义雇员角色和责任 筛选合适人员 制定聘用条件条款 2、聘用间： 提供员工安全教育培训 制定奖罚机制 3、解聘后/职位变更： 制定解聘责任 要求员工返还资产 去除员工访问权限 重定义员工转岗时的角色责任及利用的资产,信息安全管理内容,物理与环境管理,1、安全区域：防止非授权的访问安全区边界

6、 物理安全边界 控制物理入口（安装防盗门锁之类） 制定场所、房间、设施保护规则 在安全区域内工作 2、设备安全：防止资产丢失、破坏 设备的安置与保护 供电 电缆安全 设备维护 设备报废的安全,信息安全管理内容,通信与操作管理,1、操作程序和责任： 操作程序的文档化 变更管理 2、第三方服务交付管理： 服务交付 监督第三方服务 第三方服务变更管理 3、系统规划验收: 容量管理,对于共享文件应存放在公告目录中，发内部邮件时最好不 加附件，而使用超链接导航到文件,信息安全管理内容,4、抵卸恶意代码： 恶意代码控制 5、备份: 信息备份 6、网络安全管理： 网络管理控制 网络服务安全控制 7、介质处理

7、： 移动介质管理规定 8、监视：发现非授权活动 监视系统使用 操作日志 问题日志,信息安全管理内容,1、访问控制的业务需求：控制对信息的访问 访问控制策略 2、用户访问管理：授权用户对系统的访问 用户注册 权限管理 口令管理 3、用户责任： 口令使用 在操作无人值守的设备时要注意信息安全,访问控制,信息安全管理内容,4、网络访问控制：授权用户访问网络 网络服务使用策略 对连接用户进行身份确认 端口保护及控制 网络连接控制 网络路由控制 5、操作系统访问控制： 安全的登录程序 身份识别 口令管理 会话超时 限制连接时间,信息安全管理内容,1、信息系统的安全需求： 安全需求分析与规范 2、应用程序中的正确处理： 数据验证 内部处理控制 输出数据验证 3、密码控制： 密码控制使用策略 4、程序文件的安全： 控制运营系统上的软件 保护系统测试数据 对源代码的访问控制,系统开发与维护,5、开发与支持过程的安全： 变更控制程序 运营系统变更后应做评审 信息泄漏 6、技术漏洞管理： 控制技术漏洞,信息安全管理内容,控制目标,1、报告安全事件与缺陷： 报告安全事件 报告安全缺陷 2、管理安全事件与改进： 责任与程序 从事件中吸取教训,信息安全事件管理,要将安全事件及问题解决方案存档，作为组织过程资产.,信息安全管理内