信息安全管理体系简介.ppt

1、,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,ISO17799/BS7799 信息安全管理体系简介,什么是信息？,Information is an asset which,like other important business assets,has value to an organization and consequen

2、tly needs to be suitably protected. 信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。 ISO17799/BS7799 Part 1:1999,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,2,信息的类型,政府信息-国内重要的信息 内部信息-不希望竞争对手得到

3、的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输（包括电子邮件） 以影视或胶片方式表现的 语言交谈,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,3,什么需要保护？,保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁

4、安全脆弱 分瘠的安全技术,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,4,信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司,为何信息安全是如此重要？,Hong Kong Mo

5、dern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,5,盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。 INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。 电 脑 入 侵：电脑骇客入侵每年以45%的速率在增长。 电 子 邮 件：10%信息无意义，9%包含机密信息，2%

6、笑话及2%带病毒。 病 毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。 Source:Worldtalk Corporation E-mail surveillance programme.& Computer weekly 1999/09/19,为何信息安全是如此重要？（续）,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深

7、圳)有限公司 天津分公司,6,安全风险 法律和合约的需求 内部的原则，目标和需求 从收集控制方式与适当的需求等级开始！,安全需求,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,7,ISMS发展历史,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,C

8、entre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,8,2000,1993,1995,1998,1999,ISO17799/BS7799发布,瑞典开始试点认证 瑞典标准SS 62 77 99 Part 12发布 新版英国标准BS 7799 Part 12发布,英国开始试点认证,英国公布BS 7799第二部份（Part2）,英国公布BS 7799第一部份（Part2）,率先由英国贸工部倡导,ISO17799/BS7799 Structure,Hong Kong Modern

9、 Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,Management overview,ISO17799/BS7799,Part1-Guidelines,Index to underlying level(s),Web With links,Standards for“Best practise”,Specifications for Certification,I

10、SO17799/BS7799,Part2 Requirements standard,Guidelines for Certification,10,Confidentiality 保密性 Integrity 完整性 Availability 可用性,信息安全,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,11,ISO17799/B

11、S7799 定义信息安全如下： 保密性：确保只有被授权的人员才能操作信息 完整性：确保信息的完整和正确 可用性：确保信息在需要时随时可以获得,信息安全,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,12,管理者的承诺- 方针目标 组织，包含定义职责 系统结构 程序 文件管制,与ISO9000 相同之处,Hong Kong Moder

12、n Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,记录管理 培训 管理评核 纠正与预防措施,13,风险评估与适用性声明 选择适宜的控制 安全目标实现的验证 安全产品正确执行的验证 坚持程序作业的验证,与ISO9000 不同之处,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Cen

13、tre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,14,风险评估 业务持续计划 两个阶段的认证,与ISO14000及OHSAS1800 相同之处,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,15,ISO1779

14、9/BS7799 Part 1- 信息安全管理实施规则 ISO17799/BS7799 Part 2- 信息安全管理体系规范,ISO17799/BS7799 标准,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,16,Chapter 范围 Chapter 术语和定义 Chapter 安全方针 Chapter 组织安全 Chapter

15、资产分类和控制 Chapter 人员安全,第一部份-章节,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,Chapter 实物和环境安全 Chapter 通信和操作管理 Chapter 访问控制 Chapter 系统开发和维护 Chapter 商务连续性管理 Chapter 符合性,17,信息安全管理体系需求： 10项控制细则 36个

16、控制目标 127个控制方式,第二部分的内容,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,18,Chapter 范围 Chapter 术语和定义 Chapter 信息安全管理体系要求 Chapter 控制细则（与第一部份对应）,第二部份-章节,Hong Kong Modern Management,Hong Kong Modern

17、Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,19,4 1安全方针 42组织安全 43资产分类和控制 44人员安全 45实物和环境安全,第二部份-章节,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现

18、代信息咨询(深圳)有限公司 天津分公司,46通信和操作管理 47访问控制 48系统开发和维护 49商务连续性管理 410符合性,20,信息安全管理体系的实施,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000,ISO9001:2000,基础知识培训（,基础知识培训（,香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司,21,持续改善,安全方针,评估,检查,执行,计划,管理评审,确定范围 风险分析 控制目标与控制方式 适用性声明 业务持续计划,组织安全 资产分类与控制 人员安全 实物与环境安全 重要作业的保护包含保护的资料,能法律法规的符合性 安全方针符合性 安全技术的符合性,风险评估和风险管理,Hong Kong Modern Management,Hong Kong Modern Management,Centre Ltd,Centre Ltd,ISO9001:2000