ISO27001信息安全管理体系培训基础知识ppt课件

1、。信息安全管理系统(ISMS)基础知识培训，内容，什么是信息，什么是信息安全，为什么实施信息安全管理，如何实施信息安全管理信息安全管理系统(ISMS)概述信息安全管理系统(ISMS)标准介绍信息安全管理系统(ISMS)实施控制要点，内容，什么是信息，什么是信息安全？为什么要实施信息安全管理？如何实施信息安全管理信息安全管理系统(ISMS)概述了ISMS标准。介绍了ISMS实施控制的要点和内容。什么是信息？信息通常指新闻、情报、数据和知识。在国际标准化组织/国际电工委员会27001标准中，信息是指对组织有重大价值并能通过多媒体传输和存储的信息。什么是信息？什么是信息安全？为什么要实施信息安全管理

2、？如何实施信息安全管理？信息安全管理系统(ISMS)概述了ISMS标准，并介绍了ISMS实施控制的要点。在国际标准化组织/国际电工委员会27001标准中，信息安全主要指信息的保密性、完整性和可用性。也就是说，通过采用计算机软硬件技术、网络技术、关键技术和各种组织管理措施等安全技术，保护信息在其生命周期的信息生成、传输、交换、处理和存储的每一个环节中的保密性、完整性和可用性不受破坏。什么是信息安全？什么是信息安全？-信息的保密性。信息保密是指确保只有那些被授予或拥有特定权利的人才能访问信息。信息的保密性根据允许信息访问的对象数量而有所不同。所有人员都可以访问的信息是公共信息，需要限制的信息是敏感

3、或机密信息。信息根据其重要性和保密要求被分为不同的保密级别。一般分为三个级别：秘密、机密和绝密。授权用户可以根据授予的操作权限操作机密信息。什么是信息安全信息的保密性？什么是信息安全信息的完整性？信息完整性意味着确保信息使用和处理方法的正确性和完整性。一方面，信息完整性是指在使用、传输、存储、备份和交换信息的过程中不存在信息篡改、丢失、错误等现象；另一方面，它是指信息处理方法的正确性，信息备份、系统恢复和销毁等操作不当，可能导致重要文件的丢失，甚至整个系统瘫痪。什么是信息安全信息的完整性，什么是信息安全信息的可用性，信息的可用性是指确保授权用户在访问时获得所需的信息。也就是说，当许可方需要时，

4、可以立即获得信息和相关的信息资产。例如，通信线路中断和网络拥塞会使信息在一段时间内不可用，影响正常的业务运营，这就是信息可用性的破坏。提供信息的系统必须能够正确承受攻击，并在失败时及时恢复。除了确保信息的真实性和有效性，也就是说，组织之间或组织与合作伙伴之间的业务交易和信息交换是可靠的。什么是信息安全信息的可用性？什么是信息？为什么要实施信息安全管理？如何实施信息安全管理？信息安全管理系统(ISMS)概述了ISMS标准，并介绍了ISMS实施控制的要点。为什么要实施信息安全管理？原因：自1987年以来，全世界已发现5万多种计算机病毒，2000年美国每年因信息和网络安全造成的损失高达75亿美元。即

5、使是戒备森严的美国国防信息系统在2000年也遭到了25万黑客的攻击，成功进入率高达63%。然而，可能给组织造成巨大损失的风险主要来自组织内部。国外统计结果显示，企业遭受的信息损失有70%是由内部员工的疏忽或故意披露造成的。我们为什么要实施信息安全管理？原因：大多数计算机用户很少接受严格的信息安全意识培训，每天都以不安全的方式处理大量的企业重要信息。此外，企业的合作单位和咨询机构等外部人员以不同的方式使用企业的信息系统，这对企业的信息系统构成了潜在的威胁。如果一个员工为了方便记忆系统的登录密码而在显眼的地方贴了一张纸条，那就足以摧毁这个耗资巨大的信息系统。许多对企业不满的员工“黑进”企业网站，窃

6、取和传播客户的敏感信息，为竞争对手提供机密信息，甚至破坏关键信息系统作为对企业的报复，给企业造成了巨大的经济损失。我们为什么要实施信息安全管理？为什么：目前，仅靠单一的技术手段很难解决企业信息安全问题。只有建立完整的信息安全管理流程并严格实施，才能有效降低信息安全风险，确保企业信息业务的连续性。实施信息管理的必然性：实践证明，信息安全是一个复杂的系统问题。要解决系统安全问题，必须以系统的方式来解决。建立管理体系(阐明政策和目标并实现这些目标的体系)是系统解决复杂问题的有效方法。为了确保信息安全管理的有效性、充分性和适宜性，组织需要建立一个信息安全管理系统(ISMS)。ISMS通过巩固信息安全管

7、理范围，制定信息安全管理政策和目标，明确信息安全管理职责，落实控制目标，选择管控措施，全面系统保障管理信息安全。从系统论的角度来看，一个系统必须具备自组织、自学习、自适应、自修复和自成长的能力和功能，才能保证其持续有效性。信息安全管理系统通过不断识别组织和相关方的信息安全需求，不断识别外部环境和组织自身的变化，不断学习采用最新的管理理念和技术手段，不断调整自身的目标、政策、程序和流程，可以实现持续的安全。本标准可适用于不同性质、规模、结构和环境的各种组织。不必担心不可能通过国际标准化组织/国际电工委员会27001认证，因为它没有一个成熟的信息技术系统。实施信息管理的必然性：为什么要实施信息安全

8、管理？如果由于预算困难或其他原因，所有不可接受的风险不能立即降低到可接受的水平，那么许多人也担心他们能否通过系统认证。通常，审计人员关心的是组织建立的ISMS是否完整和运行正常，是否存在尚未识别和评估的重大信息安全风险。允许一小部分风险暂时无法有效处置。当然，“暂时接受”的不可接受风险不能包括违反法律法规的风险。实施信息管理的必然性：为什么要实施信息安全管理？什么是信息，什么是信息安全？信息安全管理系统(ISMS)概述信息安全管理系统(ISMS)标准介绍信息安全管理系统(ISMS)实施控制要点，ISMS概述，本标准用于提供建立、实施、运行、监控、审查、维护和改进信息安全管理系统(ISMS)的模

9、型。采用ISMS应该是一个组织的战略决策。组织的ISMS的设计和实现受业务需求和目标、安全需求，ISMS概览，什么是信息，什么是信息安全？为什么要实施信息安全管理信息安全管理系统(ISMS)、信息安全管理系统概述(ISMS)、信息安全管理系统标准介绍(ISMS)、实施控制的要点等。介绍ISMS标准体系ISO/IEC27000系列，27007信息安全管理系统审计指南，ISO/IEC27000系列，27000-信息安全管理系统概述和术语，27001-信息安全管理系统要求，27002-信息安全管理系统实践规范，27003-信息安全管理系统实施指南，27004-信息安全管理系统测量，27005-信息安

10、全管理系统的信息安全风险管理，27006-要求.ISMS简介国际标准化组织/国际电工委员会27000系列发布时间，国际标准化组织/国际电工委员会177992005信息安全管理实施细则，2005年6月15日正式发布；国际标准化组织/国际电工委员会27001信息安全管理体系要求，2005年10月15日正式发布；国际标准化组织/国际电工委员会27002信息安全管理系统最佳实践，2007年4月正式发布；国际标准化组织/国际电工委员会27003信息安全管理系统实施指南，ISMS标准工作组正在研究和参考该指南；委员会正在起草国际标准化组织/国际电工委员会27004信息安全管理的衡量和改进。国际标准化组织/

11、国际电工委员会27005信息安全风险管理指南，基于2005年底刚刚发布的英国标准7799-3。ISMS简介-Iso/iec 27001信息安全管理系统与其他系统的兼容性，Iso 9001: 2008质量管理体系ISO14001:2004环境管理体系iso/ts 16949: 2009汽车工业质量管理体系TL9000:通信工业质量管理体系iec c080000:2005有害物质过程管理体系Iso 20000:什么是信息，什么是信息安全？为什么要实施信息安全管理？信息安全管理系统(ISMS)总结ISMS标准，介绍ISMS实施控制要点。a6信息安全组织、A8人力资源安全、a7资产管理、a12系统获取

12、、开发和维护、a9物理和环境安全。信息安全政策、业务连续性管理、通信和运营管理、信息安全事件管理、访问控制、合规性、教育和培训、ISMS控制项目、安全政策：制定信息安全政策信息安全组织：建立信息安全基础设施，管理组织内的信息安全；维护第三方访问的组织的信息处理设施和信息资产的安全，并确保信息处理外包给其他组织时的信息安全。资产管理：检查所有信息资产，对信息进行良好的分类，并确保信息资产得到适当的保护。人力资源安全：确保所有员工、承包商和第三方了解信息安全威胁和相关事项及其责任和义务，以减少人为错误、盗窃、欺诈或滥用设施的风险。国际标准化组织/国际电工委员会27001控制项目-管理内容，ISMS

13、控制项目的描述，物理和环境安全：定义安全区域，以防止未经授权的访问，破坏和干扰办公空间和信息；保护设备安全，防止信息资产的丢失、损坏或被盗，并干扰业务活动；同时，应进行全面控制，以防止信息和信息处理设施被损坏或被盗。沟通和运行管理：制定运行程序和职责，确保信息处理设施的正确和安全运行；建立系统规划和验收标准，将系统故障的风险降至最低；防止恶意代码和移动代码，保护软件和信息的完整性；做好信息备份和网络安全管理，确保网络信息安全及其支撑基础设施的保护；建立媒体处置和安全程序，以防止资产损坏和业务活动中断；防止信息和软件在组织间交换时丢失、修改或滥用。，国际标准化组织/国际电工委员会27001控制项

14、目-管理内容，ISMS控制项目描述，访问控制：制定文件化的访问控制政策，以避免未经授权访问信息系统，并让用户知道他们的责任和义务，包括网络访问控制，操作系统访问控制，应用系统和信息访问控制，监控系统访问和使用，并定期检测未经授权的活动；在使用移动办公和远程工作时，我们还应该确保信息安全。信息系统的获取、开发和维护：确定系统的安全要求，确保安全成为信息系统的内在组成部分；控制应用系统的安全性，防止应用系统中用户数据的丢失、修改或误用；通过加密保护信息的机密性、真实性和完整性；控制对系统文件的访问，确保系统文件的安全性；严格控制开发和支持过程，维护应用系统软件和信息的安全。国际标准化组织/国际电工委员会27001控制项目-管理内容，ISMS控制项目的描述，信息安全事件的管理：报告信息安全事件和弱点，及时采取纠正措施，确保信息安全事件的持续有效管理。业务连续性管理：目的是减少业务活动的中断，保护关键业务流程免受重大故障或自然灾害的影响，并确保其及时恢复。合规性：信息系统的设计、运行、使用和管理应符合法律法规、组织安全政策和标准以及控制系统审计的要求，以最大限度地提高系统审计过程的有效性和减少对系统审计过程的干扰。信息安全管理体系将信息安全管理的内容分为11个控制域、39个信息安全管理控制目标和133个安全控制措施。以下是12个管理项目