信息安全管理体系培训课件new.ppt

1、2022-10-27信息安全管理体系培训课件new信息安全管理体系培训信息安全管理体系培训课件课件new信息安全管理体系培训课件new目录o 介绍o ISO27001认证过程和要点介绍o 信息安全管理体系内容o 信息安全管理体系准备-风险评估o 信息安全管理体系设计o 信息安全管理体系实施o 信息安全管理体系监控o 信息安全管理体系改进信息安全管理体系培训课件new通信公司员工泄漏内部信息获刑法制晚报：5家调查公司因非法经营被查，由此牵出了移动、联通的三名在职员工和两名离职员工他们与调查公司勾结，将通话记录等信息透露给对方。吴晓晨利用担任联通公司北京市三区分公司广安门外分局商务客户代表的工作之

2、便，获取大量公民个人信息后非法出售给调查公司，从中获利。案情供述：联通公司吴晓晨：他帮调查公司查座机电话号码的安装地址，调查公司每个月固定给2000元，后来又让帮忙查电话清单。2008年10月初，他索性自己成立了一个商务调查公司单干了。移动公司张宁：2008年原同事林涛找到他，让他查机主信息，修改手机密码。他一共帮查过50多个机主信息，修改过100多个手机客服密码。只要提供给他机主姓名和手机号码，他就可以通过工作平台，将该人的个人信息调取出来，查出身份证号、住址和联系电话。修改手机密码也是通过平台，只需要提供手机号码就行。修改完密码后，就可以通过 自动语音系统调通话记录了，通话记录会传真到查询

3、者的传真电话上。这比一个个地查完通话记录再给他们，更方便省事。其实这是通信公司的一个漏洞。朝阳法院以非法经营罪判处5人有期徒刑2年6个月至有期徒刑2年2个月信息安全管理体系培训课件new清明小长假一政府网被篡改成黄色网站4月6日上午，有网友登录扬州市城乡建设局官方网站时吃惊地发现，网页竟然成了黄色网页！页面上充斥着衣着暴露的性感美女，搔首弄姿，十分不雅。“网站变成黄色网站的准确时间是3日，也就是清明小长假的第一天，因为放假，我们并没有发现。今天上午9点节后一上班，我们就发现了这个问题。”昨日，扬州市城乡建设局信息中心朱主任接受记者采访时表示，他们的网站确实被黑客袭击了，被挂上了木马。这次已是今

4、年第二次遭黑客攻击，第一次是在今年1月下旬，情况跟这次类似。朱主任表示，他们一上班发现网站“被色情”后，一直忙着维护，到12点多钟恢复了正常。朱主任同时表示，他们的网站创建已经好几年了，比较老了，由于现在仍然缺乏相关的网络安全保护设备，所以网站两次遭到攻击。目前网站正在准备升级，在软件、硬件上都要投入，将网站代码进行升级，提高安全性。他还透露，今年内扬州市政府可能对政府各部门网站进行集中管理，进一步保障安全性。信息安全管理体系培训课件new7天酒店数据库被盗 在腾讯微博上，一个名为“刺客”的用户发言称，“出售7天假日所有联网中心数据，附带会员注册个人信息，会员等级，开房信息，个人积分等全部数据

5、。”同时该用户还留下了一个联系邮箱。记者通过网络查询后，得到了该用户的QQ号，在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员，想购买7天的会员数据库。在交流中，该黑客明确告诉记者他手中确实有数据库，会员总数在600万左右。当记者称愿意出价1000元购买时，该黑客在等待了几分钟后，称自己比较忙，不卖了。随后连续几天，该黑客的QQ头像始终处于离线状态，记者发出的10多条消息也无一回复。黑客通过SQL注入漏洞，入侵了服务器，并窃取了数据库。信息安全管理体系培训课件newu 通常我们可以把信息理解为消息、信号、数据、情报和知识。u 信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在

6、计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播u 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据 硬件和软件 关键人员 组织提供的服务 各类文档u 具有价值的信息资产面临诸多威胁，需要妥善保护。信息安全管理体系培训课件new广义上讲领域 涉及到网络信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论本质上保护 网络系统的硬件，软件，数据防止 系统和数据遭受破坏，更改，泄露保证 系统连续可靠正常地运行，服务不中断两个层面技术层面 防止外部用户的非法入侵管理层面 内部员工的教育和管理信息安全管理体系培训课件new审计

7、管理加密访问控制用户验证安全策略信息安全管理体系培训课件newu 信息安全的成败取决于两个因素：技术和管理。u 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。u 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。u 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。u 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的

8、关键作用，对于真正实现信息安全目标来说尤其重要。u 信息安全管理的核心就是风险管理。信息安全管理体系培训课件newu 技术和产品是基础，管理才是关键u 产品和技术，要通过管理的组织职能才能发挥最佳作用u 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全u 先进、易于理解、方便操作的安全策略对信息安全至关重要u 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全u 根本上说，信息安全是个管理过程，而不是技术过程信息安全管理体系培训课件newu 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针 风险评估和管理 控制目

9、标和方式选择 风险控制和处理 安全保证u 信息安全策略方针为信息安全管理提供导向和支持。u 控制目标与控制方式的选择应该建立在风险评估的基础上。u 考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。u 需要全员参与。u 遵循管理的一般模式PDCA模型。信息安全管理体系培训课件newISO27001发展历程（由BS7799演变而来）信息安全管理体系培训课件new评估标准的发展历程信息安全管理体系培训课件new信息安全的CIA目标 ISO17799信息安全管理体系培训课件new目录o 1介绍o ISO27001认证过程和要点介绍o 信息安全管理体系准备-风险评估o 信息安全管理体系设计o

10、 信息安全管理体系实施o 信息安全管理体系监控o 信息安全管理体系改进信息安全管理体系培训课件newISO27001认证过程-11个Domain16一、信息安全方针（Security Policy)(1,2)四、人员安全（Human Resource Security)(3,9)五、物理及环境安全（Physical and Environmental Security)(2,13)二、组织安全（Organizing Information security)(2,11)三、资产分类与控制（Asset Management)(2,5)六、通信与操作管理（Communications and Op

11、erations Management)(10,33)八、系统开发与维护（Information Systems Acquisition,Development and Maintenance)(5,15)七、访问控制（Access Control)(7,25)十、业务持续性管理（Business Continuity Management)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（Information security incident Management)(2,5)信息安全管理体系培训课件new目录o 介绍o ISO27001认证过程和要点介绍o

12、信息安全管理体系准备-风险评估o 信息安全管理体系设计o 信息安全管理体系实施o 信息安全管理体系监控o 信息安全管理体系改进信息安全管理体系培训课件newu 定义ISMS的范围（从业务、组织、位置、资产和技术等方面考虑）u 定义ISMS策略u 定义系统的风险评估途径u 识别风险u 评估风险u 识别并评价风险处理措施u 选择用于风险处理的控制目标和控制u 准备适用性声明（SoA）u 取得管理层对残留风险的承认和实施并操作ISMS的授权信息安全管理体系培训课件newl 组织实现信息安全的必要的、重要的步骤l 了解组织的安全现状l 分析组织的安全需求l 建立信息安全管理体系的要求l 制订安全策略和

13、实施安防措施的依据风险评估的目的信息安全管理体系培训课件new资产拥有者安全控制措施安全防护确信/信心安全风险评估生成/加强给出证据/发现问题需要如不能确信，需要评估给出评估与安全防护的关系信息安全管理体系培训课件new风险管理全过程原理21识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险评估风险消减风险消减风险接受风险接受风险管理风险管理信息安全管理体系培训课件new22l 对资产进行保护是信息安全和风险管理的首要目标。l 划入风险评估范围和边界的每项资产都应该被识别和评价。l

14、应该清楚识别每项资产的拥有者、保管者和使用者。l 信息资产的存在形式有多种，物理的、逻辑的、无形的。信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息；软件资产：应用程序软件、系统软件、开发工具以及实用程序；实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、机房；书面文件：包含系统文件、使用手册、各种程序及指引办法、合约书等。人员：承担特定职能和责任的人员；服务：计算和通信服务，其他技术性服务，例如供暖、照明、水电、UPS识别信息

15、资产信息安全管理体系培训课件new识别并评估弱点23l 针对每一项需要保护的资产，找到其现实存在的弱点，包括：技术性弱点技术性弱点：系统、程序、设备中存在的漏洞或缺陷。操作性弱点操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。管理性弱点管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。l 弱点的识别途径：审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试l 对弱点的评估需要考虑其严重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。l 如果资产没有弱点或者弱点很轻微，

16、就不存在风险问题。信息安全管理体系培训课件new24l 识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。l 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。l 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）：人员威胁人员威胁：故意破坏和无意失误 系统威胁系统威胁：系统、网络或服务出现的故障 环境威胁环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁自然威胁：洪水、地震、台风、雷电等l 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。l 对威胁的评估，主要考虑其发生的可能性。评估威

17、胁可能性时要考虑威胁源的动机（Motivation）和能力（Capability）等因素。识别并评估威胁信息安全管理体系培训课件new25关于风险可接受水平低低高高高高安全成本安全成本/损失损失所提供的安全水平所提供的安全水平l 决策者应该根据公司实际情况来确定风险可接受水平信息安全管理体系培训课件new26l 降低风险（降低风险（Reduce Risk）实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。减少弱点：减少弱点：例如，通过安全教育和意识培训，强化职员的

18、安全意识与安全操作能力。降低影响：降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。l 规避风险（规避风险（Avoid Risk）或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。l 转移风险（转移风险（Transfer Risk）也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。l 接受风险（接受风险（Accept Risk）在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。确定风险处理策略信

19、息安全管理体系培训课件new27l 依据风险评估的结果来选择安全控制措施。l 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）：基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 l 除了成本效益，还应该考虑：控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正）l确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。信息安全管理体系培训课件new28 资产评估资产评估

20、l识别信息资产识别信息资产l评价信息资产评价信息资产l识别并评估弱点识别并评估弱点l安全漏洞工具扫描安全漏洞工具扫描l人工评估人工评估l识别并评估威胁识别并评估威胁l网络架构分析网络架构分析l渗透测试渗透测试风险评估阶段流程风险评价风险评价降低风险降低风险规避风险规避风险转移风险转移风险接受风险接受风险控制措施控制措施风险处置风险处置威胁威胁弱点弱点威胁事威胁事件件防止威慑性控制威慑性控制影响影响利用引发造成保护发现减小预防性控制预防性控制检测性控制检测性控制纠正性控制纠正性控制评价残留风险评价残留风险信息安全管理体系培训课件new目录o ISO27001认证过程和要点介绍o ISO27001

21、介绍o ISO27001信息安全管理体系准备-风险评估o ISO27001信息安全管理体系设计o ISO27001信息安全管理体系实施o ISO27001信息安全管理体系监控o ISO27001信息安全管理体系改进信息安全管理体系培训课件newu 制定风险处理计划（Risk Treatment Plan）u 实施风险处理计划u 实施所选的控制措施以满足控制目标u 实施培训和意识程序u 管理操作u 管理资源u 实施能够激发安全事件检测和响应的程序和控制信息安全管理体系培训课件new31l 绝对安全（即零风险）是不可能的。l 实施安全控制后会有残留风险或残存风险（Residual Risk）。l

22、为了确保信息安全，应该确保残留风险在可接受的范围内：残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtl 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。信息安全管理体系培训课件new信息安全管理体系蓝图(示例)32信息安全管理体系培训课件new威胁、弱点、影响组织风险管理的途径要求达到的保障程度ISO17799第三段列出的控制目标和控制不在ISO27001范围内的其他安全控制策略文档ISMS的范围风险评估适用性声明信息资产结果和结论选定的控制选项选择的控制目标和控制信息安全管理体系培训课件

23、newProcedures程序 Work Instructions,checklists,forms,etc.工作指导书,检查清单,表格等Records纪录Security Manual安全手册Policy,scoperisk assessment,statement of applicabilityDescribes processes who,what,when,where.Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS require

24、ments第一级关于ISO27001的管理框架的方针策略第二级第三级第四级信息安全管理体系培训课件newu 目标：To provide management direction and support for information security.信息安全策略为信息安全提供管理方向和支持u 安全策略应该做到：对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程信息安全管理体系培训课件newu 目标：To manage information security within

25、the organisation To maintain the security of organisational information processing facilities and information assets accessed by third parties To maintain the security of information when the responsibility for information processing has been outsourced to another organisation.信息安全基础设施在组织内部管理信息安全 第三

26、方访问的安全维护组织信息处理设施和被第三方访问的信息资产的安全性 外包控制如果信息处理责任外包给其他组织，维护信息的安全性u 包含的内容：建立管理委员会，定义安全管理的角色和责任 对软硬件的采购建立授权过程 第三方访问的安全考虑 外包合同中的安全需求信息安全管理体系培训课件newu 目标：To maintain appropriate protection of corporate assets and to ensure that information assets receive an appropriate level of protection.资产责任对组织资产进行恰当的保护 信息

27、分类确保对信息资产的保护达到恰当的水平u 包含的内容：建立对硬件、软件和信息的资产登记表 对分类和标注资产进行建议Top SecretSecretConfidentialRestricted信息安全管理体系培训课件newu 目标：To reduce risks of human error,theft,fraud or misuse of facilities To ensure that users are aware of information security threats and concerns and are equipped to support the corporate

28、security policy in the course of their normal work To minimise the damage from security incidents and malfunctions and learn from such incidents.岗位安全责任与人员录用的安全减少人为错误、偷窃、欺诈或误用设施带来的风险。用户培训确保用户意识到信息安全威胁及利害关系，并在正常工作中支持组织的安全策略。安全事件响应减少来自安全事件和故障的损失，监视并从事件中吸取教训。u 包含的内容：故意或者无意的人为活动可能给数据和系统造成风险 在正式的工作描述中建立安全

29、责任，员工入职审查 基本安全意识的培训 建立安全事件处理框架信息安全管理体系培训课件newu 目标：To prevent unauthorised access,damage and interference to business premises and information To prevent loss,damage or compromise of assets and interruption to business activities To prevent compromise or theft of information and information processin

30、g facilities 安全区域防止非授权访问、破坏和干扰业务运行的前提条件及信息。设备安全防止资产的丢失、损害和破坏，防止业务活动被中断。常规控制措施防止危害或窃取信息及信息处理设施。u 包含的内容：应该建立带有物理入口控制的安全区域 应该配备物理保护的硬件设备 应该防止网络电缆被塔线窃听 将设备搬离场所，或者准备报废时，应考虑其安全信息安全管理体系培训课件newu 目标：操作程序和责任确保正确并安全地操作信息处理设施。系统规划与验收减少系统失效带来的风险。抵御恶意软件保护软件和信息的完整性。内务管理维护信息处理和通信服务的完整性和可用性。网络管理确保对网络中信息和支持性基础设施的安全保护

31、。介质处理和安全防止损害资产和中断业务活动。信息和软件的交换防止机构间交换的信息丢失、遭受篡改和误用。u 包含的内容：防病毒，防恶意软件 进行变更控制 做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性 电子邮件安全性 保护传输中的数据信息安全管理体系培训课件newu 目标：访问控制的业务需求控制对信息的访问。用户访问管理防止非授权访问信息系统。用户责任防止非授权的用户访问。网络访问控制保护网络服务。操作系统访问控制防止非授权的计算机访问。应用访问控制防止非授权访问信息系统中的信息。监视系统访问与使用检测非授权的活动。移动计算和通讯确保使用移动计算和通讯设施时的信息安全。u 包

32、含的内容：口令的正确使用 对终端的物理访问 自动终止时间 软件监视等信息安全管理体系培训课件newu 目标：系统的安全需求确保安全内建于信息系统中。应用系统的安全防止丢失、篡改和误用信息系统中的用户数据。密码控制保护信息的保密性、真实性或完整性。系统文件的安全确保IT项目和支持活动得以安全地进行。开发和支持过程的安全维护应用系统软件和信息的安全。u 包含的内容：在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护 软件开发和维护中应该建立配置管理、变更控制等机制信息安全管理体系培训课件newu 目标：确保与信息系统相关的信息安全事件和缺陷能够及时发现，以便采取纠正措施。

33、确保采取一致和有效的方法来管理信息安全事件。u 包含的内容：报告信息安全事件报告安全缺陷管理信息安全事件和改进责任和程序从信息安全事件中吸取教训证据搜集信息安全管理体系培训课件newu 目标：To counteract interruptions to business activities and to critical business processes from the effects of major failures or disasters.减少业务活动的中断，保护关键业务过程不受重大事故或灾害的影响。u 包含的内容：全面理解业务连续性计划（BCP）理解组织面临的风险，识别关键业

34、务活动和优先次序。确认可能对业务造成影响的中断。应该设计、实施、测试和维护BCP信息安全管理体系培训课件newu 目标：To avoid breaches of any criminal or civil law,statutory,regulatory or contractual obligations and of any security requirements To ensure compliance of systems with organisational security policies and standards To maximise the effectivenes

35、s of and to minimise interference to/from the system audit process.符合法律要求避免违反任何刑法、民法、法规或者合同义务，以及任何安全要求。对安全策略和技术符合性的评审确保系统遵循了组织的安全策略和标准。系统审计的考虑发挥系统审计过程的最大效用，并把干扰降到最低。u 包含的内容：组织应该确保遵守相关的法律法规和合同义务 软件版权，知识产权等信息安全管理体系培训课件new目录o ISO27001认证过程和要点介绍o ISO27001介绍o ISO27001信息安全管理体系内容o ISO27001信息安全管理体系准备-风险评估o I

36、SO27001信息安全管理体系设计o ISO27001信息安全管理体系实施o ISO27001信息安全管理体系监控o ISO27001信息安全管理体系改进信息安全管理体系培训课件new编写信息安全管理方针、制度、标准、流程等47信息安全方针示例信息安全方针示例安全补丁更新流程示例安全补丁更新流程示例P.S.请直接点击上面文件进入查看详细内容请直接点击上面文件进入查看详细内容网络连续性应急预案示例网络连续性应急预案示例信息安全管理体系培训课件new目录o ISO27001认证过程和要点介绍o ISO27001介绍o ISO27001信息安全管理体系内容o ISO27001信息安全管理体系准备-风

37、险评估o ISO27001信息安全管理体系设计o ISO27001信息安全管理体系实施o ISO27001信息安全管理体系监控o ISO27001信息安全管理体系改进信息安全管理体系培训课件newu 执行监视程序和控制u 对ISMS的效力进行定期复审（看其是否满足安全策略和目标，安全控制是否有效）u 复审残留风险和可接受风险的水平，考虑到各种变化情况u 按照预定计划进行内部ISMS审计u 定期对ISMS进行管理复审u 记录活动和事件可能对ISMS的效力或执行力度造成影响信息安全管理体系培训课件new 密码是否牢靠?网络是否有访问控制清单?访问日志是否记录了访问数据的人员?个人电脑是否经常扫描广

38、告软件和恶意软件?谁有权访问组织中的备份存储媒介?信息安全管理体系培训课件new安全审计范围 Gartner估计80%的风险集中于如下四个方面：网络访问控制(NAC)。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些情况下，NAC还会根据已知的风险或用户矫正或是应对风险。入侵防御：入侵防御涵盖的范围远广于传统的入侵检测。实际上，这与NAC有些类似，都是防范已知的风险。入侵防御会加强政策的执行从而将风险范围缩小到最小范围。身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明，越

39、来越多的政策管理的存储也是很关键的因素。漏洞管理。漏洞管理根据根原因分析处置风险，采取有效的措施应对特定的风险。信息安全管理体系培训课件new目录o ISO27001认证过程和要点介绍o ISO27001介绍o ISO27001信息安全管理体系内容o ISO27001信息安全管理体系准备-风险评估o ISO27001信息安全管理体系设计o ISO27001信息安全管理体系实施o ISO27001信息安全管理体系监控o ISO27001信息安全管理体系改进信息安全管理体系培训课件newu 对ISMS实施可识别的改进u 采取恰当的纠正和预防措施u 与所有利益伙伴沟通u 确保改进成果满足其预期目标信息安全管理体系培训课件newPage 54信息安全管理体系培训课件newPage 552022-10-27信息安全管理体系培训课件new