ISO27001信息安全管理体系培训材料基础知识.ppt课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《ISO27001信息安全管理体系培训材料基础知识.ppt课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 培训 材料 基础知识 ppt 课件
- 资源描述:
-
1、目录什么是信息什么是信息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 如何实施信息安全管理如何实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(ISMSISMS)标准介绍)标准介绍信息安全管理体系(信息安全管理体系(ISMSISMS)实施控制重点)实施控制重点目录目录什么是信息什么是信息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 如何实施信息安全管理如何实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(
2、ISMSISMS)标准介绍)标准介绍信息安全管理体系(信息安全管理体系(ISMSISMS)实施控制重点)实施控制重点目录目录什么是信息 信息通常指消息、情报、数据和知识等,在ISO/IEC27001标准中信息是指对组织具有重要价值,可以通过多媒体传递和存储的一种资产。什么是信息什么是信息什么是信息什么是信息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 如何实施信息安全管理如何实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(ISMSISMS)标准介绍)标准介绍信息安全管理体系(信息安全管理体系(IS
3、MSISMS)实施控制重点)实施控制重点什么是信息安全 信息安全的作用是保护信息业务涉及范围不受威胁所干扰,使组织业务畅顺,减少损失及增大投资回报和商机。在ISO/IEC27001标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。什么是信息安全什么是信息安全什么是信息安全-信息的机密性信息的机密性 信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员
4、都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。什么是信息安全什么是信息安全信息的机密性信息的机密性什么是信息安全信息的完整性信息的完整性 信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理方法的正确性,信息备份、系统恢复、销毁等处理不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。什么是信息安全什么
5、是信息安全信息的完整性信息的完整性什么是信息安全信息的可用性信息的可用性 信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时及时恢复。 另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。什么是信息安全什么是信息安全信息的可用性信息的可用性什么是信息什么是信息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 如何实施信息安全管理如
6、何实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(ISMSISMS)标准介绍)标准介绍信息安全管理体系(信息安全管理体系(ISMSISMS)实施控制重点)实施控制重点为什么要实施信息安全管理 实施信息管理原因:自1987年以来,全世界已发现超过50000种计算机病毒,2000年爆发的“爱虫”病毒给全球用户造成了100亿美元的损失;美国每年因信息与网络安全问题所造成的损失高达75亿美元。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击,且成功进入率高达63%。 然而,能对组织造成巨大损失的风险主要还是来源于组织
7、内部,国外统计结果表明企业信息受到的损失中,70%是由于内部员工的疏忽或有意泄密造成。为什么要实施信息安全管理 实施信息管理原因:实施信息管理原因:多数计算机使用者很少接受严格的信息安全意识培训,每天都在以不安全的方式处理企业的大量重要信息,而且企业的合作单位、咨询机构等外部人员都以不同的方式使用企业的信息系统,对企业的信息系统构成了潜在的威胁。如员工为了方便记忆系统登录口令而在明显处粘一便条,就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站,偷窃并散布客户敏感信息,为竞争对手提供机密资料,甚至破坏关键信息系统作为报复企业,致使企业蒙受了巨大的经济损失。为什么
8、要实施信息安全管理 实施信息管理原因:实施信息管理原因:目前单一的技术手段已难以解决企业信息安全问题,只有建立一套完善的信息安全管理流程并严格执行,才能有效降低信息安全风险,保障企业信息业务的连续性。 实施信息管理必然性:实施信息管理必然性:实践证明信息安全是个复杂的系统问题,解决系统性安全问题,必须以系统的方法来解决,建立管理体系(明确方针和目标并实现这些目标的体系,是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS),信息安全管理体系通过固化信息安全管理范围,制定信息安全管理策略方针与与目标,明确信息安全管理职责、落实控制目标
9、并选择控制措施进行管控,全面系统保障管理信息的安全。 从系统论观点来看, 一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。信息安全管理体系通过不断的识别组织和相关方的信息安全要求,不断的识别外界环境和组织自身的变化,不断的学习采用最新的管理理念和技术手段,不断的调整自己的目标、方针、程序和过程等,才可以实现持续的安全。本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认证是不必要的。实施信息管理必然性:实施信息管理必然性:为什么要实施信息安全管理如果因为预算困难或其他原因,不
10、能一下子降低所有不可接受风险到可接受程度时,能否通过体系认证,也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整,是否运行正常,是否有重大的信息安全风险没有得到识别和评估。有小部分的风险暂时得不到有效处置是允许的,当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。 实施信息管理必然性:实施信息管理必然性:为什么要实施信息安全管理什么是信息什么是信息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(ISMSISMS)标准介绍)标准介绍信息安全管理体
11、系(信息安全管理体系(ISMSISMS)实施控制重点)实施控制重点ISMS概述本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。本标准可被相关的内部方和外部方运用以评估一致性。ISMS概述概述什么是信息什么是信
12、息什么是信息安全什么是信息安全为什么实施信息安全管理为什么实施信息安全管理 信息安全管理体系(信息安全管理体系(ISMSISMS)概述)概述信息安全管理体系(信息安全管理体系(ISMSISMS)标准介绍)标准介绍信息安全管理体系(信息安全管理体系(ISMSISMS)实施控制重点)实施控制重点ISMS标准体系标准体系ISO/IEC27000族介绍族介绍 27007信息安全管理体系信息安全管理体系 审核指南审核指南ISO/IEC27000族 27000 -信息安全管理体系信息安全管理体系 综述与术语综述与术语 27001-信息安全管理体系信息安全管理体系 要求要求 27002-信息安全管理体系信息
展开阅读全文