信息安全管理体系及重点制度介绍课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全管理体系及重点制度介绍课件.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 体系 重点 制度 介绍 课件
- 资源描述:
-
1、信息安全管理体系及重点制信息安全管理体系及重点制度介绍度介绍目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准62ISO17799:2000国际标准国际标准BS7799-1:1999BS7799-2:1999英国标准英国标准BS7799-2:2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:
2、20053pISO 27001的标准全称的标准全称 Information technology-Security techniques-Information security management systems-Requirements 信息技术信息技术-安全技术安全技术-信息安全管理体系信息安全管理体系-要求要求nISMS 信息安全管理体系信息安全管理体系 -管理体系管理体系 -信息安全相关信息安全相关 -ISO 27001 的的3 术语和定义术语和定义-3.7nRequirements 要求要求4p建立方针和目标并实现这些目建立方针和目标并实现这些目标的相互关联或相互作用的一标的相互
3、关联或相互作用的一组要素。组要素。p管理体系包括组织结构,策略,管理体系包括组织结构,策略,规划,角色,职责,流程,程规划,角色,职责,流程,程序和资源等。序和资源等。(ISO 270013 术术语和定义语和定义-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇员,均囊括在管理体系范有雇员,均囊括在管理体系范围内。围内。Quality management system(ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safet
4、y management system(HACCP)IT Service Management System(ISO 20000)Information security management system(ISO 27001)5AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保护信息的保密性、完整性和可用性保护信息的保密性、完整性和可用性(CIA);另另外也可包括诸如真实性,可核查性,不可否认外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性性和可靠性等
5、特性(ISO 270013 术语和定义术语和定义-3.4)p 机密性(机密性(Confidentiality)信息不能被未授权的个人,实体或者过程信息不能被未授权的个人,实体或者过程利用或知悉的特性利用或知悉的特性(ISO 270013 术语和定义术语和定义-3.3)p完整性(完整性(Integrity)保护资产的准确和完整的特性保护资产的准确和完整的特性(ISO 270013 术语和定义术语和定义-3.8).确保信息在存储、确保信息在存储、使用、传输过程中不会被非授权用户篡改,同使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当时还要防止授权用户对系统及信息进行
6、不恰当的篡改,保持信息内、外部表示的一致性。的篡改,保持信息内、外部表示的一致性。p可用性(可用性(Availability)根据授权实体的要求可访问和利用的特性根据授权实体的要求可访问和利用的特性(ISO 270013 术语和定义术语和定义-3.2).确保授权用户确保授权用户或实体对信息及资源的正常使用不会被异常拒或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源绝,允许其可靠而及时地访问信息及资源6安全策略安全策略合规性合规性信息安全组织信息安全组织资产管理资产管理信息系信息系统获取开统获取开发和维护发和维护人力资源安人力资源安全全物理和环境安物理和环境安全全通信
7、和操作管通信和操作管理理访问控制访问控制信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理78湖南移动信息安全管理制度湖南移动信息安全管理制度n已发布制度已发布制度湖南移动信息安全管理办法和责任矩阵湖南移动信息安全管理办法和责任矩阵湖南移动信息安全三同步管理办法湖南移动信息安全三同步管理办法中国移动客户信息安全保护管理规定(试行)和控制矩阵中国移动客户信息安全保护管理规定(试行)和控制矩阵中国移动业务信息安全评估标准(中国移动业务信息安全评估标准(2011)中国移动基础信息安全管理通用要求(试行)和检查矩阵中国移动基础信息安全管理通用要求(试行)和检查矩阵n实践案例汇编实践案例汇编“
8、客户信息安全保护解决方案汇编客户信息安全保护解决方案汇编”“基础信息安全案例汇编基础信息安全案例汇编”n计划完善的制度计划完善的制度安全应急处置安全应急处置责任追究责任追究安全检查管理办法安全检查管理办法9目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准610基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法n互联网新技术新业务的互联网新技术新业务的
9、广泛,信息安全事件时广泛,信息安全事件时有发生有发生n普遍存在普遍存在“重市场发展、重市场发展、轻安全管理轻安全管理”的现象的现象,甚甚至还有至还有“只顾赚钱,漠只顾赚钱,漠视安全视安全”的情况存在的情况存在n基础电信企业的信息安全责任和要求不尽明确。n企业对自身应承担的信息安全责任重视不够、投入不足。n行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。企业信息安全责任保障条件总则总则监督管理n基础电信企业信息安全责任管理基础电信企业信息安全责任管理办法(工信部保办法(工信部保2009713号)号)11基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法-总则总则n
10、 第三条(信息安全)本办法所称信息安全指电信网络本办法所称信息安全指电信网络(包括固定网、移动网和互联网)上的公共信息内容安(包括固定网、移动网和互联网)上的公共信息内容安全。全。n 第四条(企业信息安全责任)企业有义务维护国家安全、企业有义务维护国家安全、社会稳定和用户合法权益;应在网络建设、业务提供、社会稳定和用户合法权益;应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度,同步建设与企业网络、业务和用户发息安全责任制度,同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段;保障必展相适
11、应的信息安全保障体系和技术保障手段;保障必要的人员和资金投入。要的人员和资金投入。总总 则则12基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法企业信息安全责任企业信息安全责任企业信息企业信息安全责任安全责任规范合作经营规范合作经营技术保障措施技术保障措施配合监管配合监管信息报备信息报备网络建设网络建设开办业务开办业务日常监测日常监测用户信息保护用户信息保护接入责任接入责任13企业信息安全责任-(网络建设)n 企业在电信网络的设计、建设和运行过程中,应企业在电信网络的设计、建设和运行过程中,应做到与国家信息安全的需求同步规划,同步建设,做到与国家信息安全的需求同步规划,同步建设
12、,同步运行。同步运行。n 企业在系统规划、建设、升级、改造等环节应认企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求,同步配套相关信息安真落实国家信息安全要求,同步配套相关信息安全设备和设施。全设备和设施。n 企业在网络设备选型、采购和使用时,应遵守电企业在网络设备选型、采购和使用时,应遵守电信设备进网要求,满足信息安全管理需要。信设备进网要求,满足信息安全管理需要。14企业信息安全责任-(开办业务)n 企业应履行信息安全承诺,按照电信业务经营许可的信企业应履行信息安全承诺,按照电信业务经营许可的信息安全要求开展和经营相关电信业务。息安全要求开展和经营相关电信业务。n 企业要在
13、新产品立项、产品开发和业务上线(包括合作企业要在新产品立项、产品开发和业务上线(包括合作开办)的各环节:开办)的各环节:建立实施信息安全评估制度,建立实施信息安全评估制度,同步配套与业务特点和用户规模相适应的信息安全保同步配套与业务特点和用户规模相适应的信息安全保障措施,障措施,明确业务的信息安全负责人,明确业务的信息安全负责人,建立相应的管理制度和应急处置流程,建立相应的管理制度和应急处置流程,按规定向电信监管机构进行业务信息报备。按规定向电信监管机构进行业务信息报备。15企业信息安全责任-(日常监测)n 对本企业通信网络中发现的违法信息,企业应立对本企业通信网络中发现的违法信息,企业应立即
14、停止传输,保存相关记录,并向国家有关机关即停止传输,保存相关记录,并向国家有关机关报告。报告。n 对有关部门依法通知停止传输的违法信息,企业对有关部门依法通知停止传输的违法信息,企业应配合执行。应配合执行。16企业信息安全责任-(用户信息保护)n 电信用户依法使用电信的自由和通信秘密受法律电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得擅自向他人提供电保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容(法律另信用户使用电信网络所传输信息的内容(法律另有规定的除外)。有规定的除外)。n 对于本企业业务网络对于本企业业务网络/系统中保存的有关用户资系统
15、中保存的有关用户资料和信息,企业应依法予以保护,不得非法出售料和信息,企业应依法予以保护,不得非法出售或者提供给其他组织和个人、不得用于与企业业或者提供给其他组织和个人、不得用于与企业业务无关的用途。务无关的用途。17企业信息安全责任-(接入责任)n 企业不得向未取得电信业务经营许可证的单位或企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络个人提供用于经营性电信业务的电信资源、网络接入和业务接入;不得向未备案非经营性互联网接入和业务接入;不得向未备案非经营性互联网站提供网络接入。站提供网络接入。n 企业应监督接入用户按照约定的用途使用电信资企业应监督接入用户
16、按照约定的用途使用电信资源或开展业务。发现擅自改变使用用途的,及时源或开展业务。发现擅自改变使用用途的,及时通知整改,涉及违法犯罪的,及时向有关部门报通知整改,涉及违法犯罪的,及时向有关部门报告。告。n 企业应定期检查接入内容。发现信息安全问题和企业应定期检查接入内容。发现信息安全问题和隐患及时做出相应处理。隐患及时做出相应处理。18企业信息安全责任-(规范合作经营)n 企业在开展业务合作前,要对合作方的经营资质、企业在开展业务合作前,要对合作方的经营资质、业务许可等信息进行审核,并在合同中明确各方业务许可等信息进行审核,并在合同中明确各方的信息安全责任。的信息安全责任。n 企业应当对合作提供
17、的各类业务进行规范和监督,企业应当对合作提供的各类业务进行规范和监督,建立违法信息发现、监测和处置制度。对合作中建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患,企业应督促合作单出现的信息安全问题和隐患,企业应督促合作单位及时整改,或者按照合同约定进行处理,对违位及时整改,或者按照合同约定进行处理,对违反法律的,报送相关部门查处。反法律的,报送相关部门查处。19企业信息安全责任-(技术保障措施)n 企业应当建立并完善事前防范、事中阻断、事后企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。追溯的信息安全技术保障体系。n 企业应当建立必要的技术手段,加强对重
18、要电信企业应当建立必要的技术手段,加强对重要电信资源(如电信码号、网络带宽、资源(如电信码号、网络带宽、IP地址、域名等)地址、域名等)的管理。的管理。n 企业应当认真落实接入责任,建全信息安全管理企业应当认真落实接入责任,建全信息安全管理和公共信息服务内容日常核查手段。和公共信息服务内容日常核查手段。20企业信息安全责任-(配合监管)n 企业应当认真配合电信监管机构开展信息安全监企业应当认真配合电信监管机构开展信息安全监督管理工作,保证相关工作顺利实施。督管理工作,保证相关工作顺利实施。企业应当依法记录并妥善保存用户使用电信企业应当依法记录并妥善保存用户使用电信网络的有关信息,相关信息应当至
19、少保存网络的有关信息,相关信息应当至少保存60日。日。对存在的信息安全问题和隐患,企业应当严对存在的信息安全问题和隐患,企业应当严格按照电信监管机构的处理意见进行整改。格按照电信监管机构的处理意见进行整改。因涉及国家安全或处置紧急事件的需要,电因涉及国家安全或处置紧急事件的需要,电信监管机构根据国家的有关规定和要求组织信监管机构根据国家的有关规定和要求组织实施通信管制,企业应当配合执行。实施通信管制,企业应当配合执行。21企业信息安全责任-(信息报备)n 企业应当遵照有关信息安全要求和规定,执行信息安全企业应当遵照有关信息安全要求和规定,执行信息安全信息上报、备案制度,接受并配合电信监管机构的
20、监督信息上报、备案制度,接受并配合电信监管机构的监督检查。检查。可能引发信息安全隐患的网络调整、扩容、电信基础可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等;资源使用变更等;可能引发信息安全隐患的新开展业务;可能引发信息安全隐患的新开展业务;企业信息安全责任人或联系人信息变更;企业信息安全责任人或联系人信息变更;企业业务网络企业业务网络/系统内发生的各类信息安全事件。系统内发生的各类信息安全事件。n 企业应保证相关报备信息的及时、准确、完整。企业应保证相关报备信息的及时、准确、完整。22基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n电信
21、监管机构对企业落实信息安全责任情况建立日常监测机制,实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业,电信监管机构向企业提出书面整改意见,责成企业限期整改,并视情况在一定范围内予以通报。n电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。n对在新产品立项、产品开发和业务上线(包括合作开办)各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备,而造成特(重)大信息安全事件(或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严
22、重信息安全隐患)的,由电信监管机由电信监管机构责令相关企业限期整改,未经整改合格的,不得开展该业务。构责令相关企业限期整改,未经整改合格的,不得开展该业务。监督管理监督管理23基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n对因自身管理原因造成信息安全事件,由电信监管机构追究相关企业责任。对因自身管理原因造成信息安全事件,由电信监管机构追究相关企业责任。(一)企业在一年内,发生(一)企业在一年内,发生1次特大信息安全事件次特大信息安全事件的,或累计发生的,或累计发生3次次(及(及3次以上)重大信息安全事件的,由电信监管机构予以次以上)重大信息安全事件的
23、,由电信监管机构予以通报批评,对通报批评,对相关责任人提出处理意见或建议相关责任人提出处理意见或建议,通报相关管理部门,并视情况向社会通报相关管理部门,并视情况向社会通告通告。(二)企业在一年内,发生(二)企业在一年内,发生1次重大信息安全事件的次重大信息安全事件的,或累计发生,或累计发生5次次(及(及5次以上)一般信息安全事件的,由电信监管机构予以次以上)一般信息安全事件的,由电信监管机构予以通报批评,对通报批评,对相关责任人提出处理意见或建议,并通报相关管理部门相关责任人提出处理意见或建议,并通报相关管理部门。(三)企业在一年内,发生(三)企业在一年内,发生5次以下一般信息安全事件次以下一
24、般信息安全事件的,由电信监管机的,由电信监管机构在电信构在电信行业内进行通报行业内进行通报。(四)企业存在信息安全问题或隐患,(四)企业存在信息安全问题或隐患,未按要求在规定期限内进行相应未按要求在规定期限内进行相应整改的整改的,由电信监管机构予以,由电信监管机构予以通报批评,对相关责任人提出处理意见或通报批评,对相关责任人提出处理意见或建议,并视情况通报相关管理部门。构成犯罪的,移送司法机关依法追建议,并视情况通报相关管理部门。构成犯罪的,移送司法机关依法追究刑事责任。究刑事责任。监督管理监督管理24基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法 重点(一)重点(一)n 落
25、实基础企业领导人问责制落实基础企业领导人问责制 明确和落实企业领导责任。明确和落实企业领导责任。对工作不落实、措施不到位、被电信主管部对工作不落实、措施不到位、被电信主管部门通报批评的,追究企业信息安全责任人的门通报批评的,追究企业信息安全责任人的领导责任。领导责任。对整改不力、屡改屡犯、故意违规的,通报对整改不力、屡改屡犯、故意违规的,通报批评相应企业信息安全责任人,并函告其上批评相应企业信息安全责任人,并函告其上级主管部门追究企业信息安全责任人的领导级主管部门追究企业信息安全责任人的领导责任。责任。25基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法(二)(二)n 加强业务
展开阅读全文