信息安全管理培训

信息安全管理体系,安全防护技术体系分阶段发展规划,1、建章立制 以明确要求为重点，分系统落实，缺乏有效的检查手段。,2、有效执行 （1）通过集中化的安全防护手段，有效落实安全要求。 （2）形成专业的安全支撑维护队伍。,3、量化优化 量化掌握总体安全态势，有效地形成整体安全防护策略，量化评价安全要求的执行,安全管理发展阶段,1、分散防护 分系统部署防火墙、入侵检测、防病毒等基础防护手段。,3、集成防护 建设集成的安全运行管理平台，将各安全防护手段形成合力。实现精细化的风险管理、全网安全态势的量化分析及安全事件的实时监控，并借助EOMS等系统的配合形成快速、流程顺畅的反应机制。,2、集中防护 以安全域划分和边界整合为基础，综合部署各类基础安全技术防护手段。 建立集中的网络安全管控手段。,安全防护技术体系分阶段发展规划,支撑,信息安全的演化,反病毒 ,数据保密,被动的防范和控制 防火墙、IDS、安全应急服务 ,积极的主动防御、更关注“人”的要素，强调综合的安全保障体系，强调安全管理,目录,信息安全现状,信息安全管理体系标准介绍,信息安全管理体系的设计与实施,信息安全保障体系的构成和建设,案例分析,在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了. 事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品,案例分析,为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。 西藏入侵事件,案例分析,某公司技术部存在2个CTO，一个副CTO，一个主管 某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么 在对机房进入的日志检查过程中，发现没有对清洁工的记录,案例分析,“88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。 88888错误帐户没有销掉。 巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。 巴林银行的内部审计极其松散。,案例分析 3,邯郸农行案主犯写下12条金库管理建议 一、监控方面 1、应安排专人负责查看监控录像，并定期抽查以前的录像记录，查看是否有违规操作等情况； 2、每日必须检查监控设备的正常使用及备份情况，监控数据备份保存时间最少在3个月以上； 3、在非工作时间必须设防110联网报警系统，对非工作时间，进入设防范围或金库内的人员，要马上向领导汇报详细情况； 4、金库内必须安装监控设备。 二、严格执行规章制度,案例分析 3,邯郸农行案主犯写下12条金库管理建议 二、严格执行规章制度 1、应安排现金中心，主管或副主任每旬查一次金库，安排现金中心主任每月查一次金库； 2、在查库时，应先核对记帐情况是否属实，然后根据碰库清单，认真核对现金数额，对装好的整包现金，必须打开包进行核对； 3、各级领导在查库时，都不应该在固定时间和日期； 4、对重要岗位的人员(如记帐员、管库员)，应实行强制休假制度，在不事先通知情况下，由领导监督交接工作； 5、应对现金中心的每个岗位，都制定出各自的岗位职责和工作要求，对现金中心工作人员要定期进行思想教育学习。,案例分析 3,邯郸农行案主犯写下12条金库管理建议 三、现金中心岗位设置 1、应设立记帐员岗位，现金中心金库的往来帐目由管库员记帐，对现金中心所有往来帐目都应该由专人记帐，这样可以防止管库员在记帐方面做假帐，从金库挪用资金； 2、对银行内部资金调拨和安排到人民银行交取款的情况，应由专人负责。 四、农行的信用卡通过电话银行，往彩票中心转彩票款，应设置最高转款限额。,信息安全现状,重视技术，轻视管理 重视产品功能，轻视人为因素 重视对外安全，轻视内部安全 静态不变的观念 缺乏整体性信息安全体系的考虑,目录,信息安全现状,信息安全管理体系标准介绍,信息安全管理体系的设计与实施,信息安全保障体系的构成和建设,信息安全管理体系标准,ISO 27001:2005 信息安全管理体系规范 ISO 17799:2005 信息安全管理实践规则,标准发展的历史,1995,1998,率先由英国工业部进行专案,英国公布BS 7799 第一部分 (Part 1),瑞典成立LIS 专案,英国公布BS 7799 第二部分 (Part 2),瑞典标准 SS 62 77 99 Part 1 In addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved 信息安全保护信息保密性、完整性和可用性；另外，其他特性如真实性、可确认性、不可否认性和可靠性也可以包括在内,信息安全管理体系标准,什么是信息安全管理体系？ 信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即： 安全管理是信息安全的关键； 人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法； 技术是安全 运营支撑。,Information security management system信息安全管理体系,Information security management system: That part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security 信息安全管理体系：整个管理体系的一部分，基于业务风险的方法，建立、实施、运作、监控、评审、维护和改进信息安全。 Note: The management system includes organisational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources. 注：管理体系包括组织架构、方针（政策）、策划活动、职责、活动、程序、流程和资源,信息安全管理体系标准,企业为什么要实现信息安全？ 组织自身业务的需要 自身业务和利益的要求 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护 ,What does the Standard Offer? 标准提供什么,Experience feedback from thousands of users regarding information security management system成千上万的信息安全管理体系的使用者的经验反馈 A systematic approach to change and improvement (PDCA) 采用系统化的方法进行变革与改进（PDCA) Focus on information security requirments and specifications, processes, management, and people 关注信息安全要求和规范、过程、管理和人员 Advantage: Similar structure within the quality, enviromental and safety management standards 优势：与质量、环境和安全管理标准的类似结构,A process-based information security management system ISO 27001,利益相关方 Interested Parties,Information security requirements and expectations,Interested Parties,Managed Information security,Continual improvementof the information security management system,Establish ISMS 4.2.1,Monitor and Review the ISMS 4.2.3,Implement and Operate the ISMS 4.2.2,Maintain and improve the ISMS 4.2.4,Input,Output,Information security management system,Information security management system 信息安全管理体系,4.1 General requirements 一般要求,4.2 Establishing and managing The ISMS 建立和管理ISMS,4.2.1 Establish the ISMS 建立ISMS 4.2.2 Implement and operate the ISMS 管理和运营ISMS 4.2.3 Monitor and review the ISMS 监控和评审ISMS 4.2.4 Maintain and improve the ISMS 维护和改进ISMS,4.3 Documentation requirements 文件要求,4.3.1 General 一般要求 4.3.2 Control of documents 文件控制 4.3.3 Control of records 记录控制,4.ISMS,Management responsibility 管理层责任 Internal ISMS audit 内部审核,5.1 Management commitment 管理层承诺,5.2 Resource management 资源管理,5.3 Training, awareness and competence 培训，意识和能力,5. Management responsibility 管理责任,6.Internal ISMS audit ISMS内审,7.1 General 一般要求,7.2 Review input 评审输入,7.2 Review output 评审输出,7.Management review of ISMS ISMS管理评审,Management review of ISMS,8.1 Continual improvement 持续改进,8.2 Corrective action 纠正措施,8.3 Preventive action 预防措施,8.ISMS improvement 持续改进,ISMS improvement,ISO/IEC 17799内容,39个控制目标 133个控制措施,Security policy and 安全方针Organisation of information security 信息安全组织,A.5 Security policy安全方针,A.5.1 Information security policy 信息安全方针,A.5.1.1 Information security policy document 信息安全方针文件,A.5.1.2 Review of Information security policy document 评审信息安全方针文件,A.6.1 To manage information security within the organization 在组织内部管理信息安全,A.6.1.1 Management commitment to Information security 信息安全管理委员会 A.6.1.2 Information security coordination 信息安全协作 A.6.1.3 Allocation of information security responsibilities 落实（分派）信息安全责任 A.6.1.4 Authorization process for information processing facilities 信息处理设施的授权过程 A.6.1.5 Confidentiality agreements 保密协议 A.6.1.6 Contact with authorities 与权力机构保持联系 A.6.1.7 Contact with special interest groups 与特殊利益团体保持联系 A.6.1.8 Independent review of information security 信息安全的独立评审,A.6.2 To maintain security of information assets/facilities from third parties 从第三方维护信资息产/设施的安全,A.6.2.1 Identification of risk related to external parties 识别与外部机构相关的风险 A.6.2.2 Addressing security when dealing with customers 与客户接触时强调安全 A.6.2.3 Addressing security in third party agreements 在第三方协议中强调安全,A.6 Organization of information security 信息安全组织,Asset management 资产管理,A.7 Asset management 资产管理,A.7.1 To achieve and maintain appropriate protection of Assets 对资产达成和维护适当的保护,A.7.2 To ensure that information receives appropriate protection level 确保信息受到适当程度的保护,A.7.1.1 Inventory of Assets 资产清点 A.7.1.2 Ownership of Assets 资产的责任关系 A.7.1.3 Acceptable use of assets 资产使用的可接受方法,A.7.2.1 Classification guidelines 分类指南 A.7.2.2 Information Labeling and handling 信息标示和处理,Human resource security 人力资源安全,A.8.2 To ensure awareness of threats and concerns, roles/responsibilities and to enable them to support organizations information security policy 确保知晓威胁 和需要关注点，角色/责任并他们能够支持 组织的信息安全政策,A.8.1To ensure that employees are aware of information security and their role to reduce security risk 确保员工知晓信息安全和他们在降低安全风险方面的角色,A.8.1.1 Roles and Responsibilities 角色和责任 A.8.1.2 Screening 筛审 A.8.1.3 Terms and conditions of employment 雇佣协议和条件,A.8.2.1 Management responsibilities 管理层责任 A.8.2.2 Information security awareness, education and training 信息安全意识、教育和培训 A.8.2.3 Disciplinary process 惩罚过程,A.8.3 To ensure exit of employees, contractors and third party users in an orderly manner 确保员工、合同商 和第三方有秩序地退出,A.8.3.1 Termination responsibilities 结束雇佣关系时的责任 A.8.3.2 Return of assets 退还资产 A.8.3.3 Removal of access rights 取消访问权限,A.8 Human resource security 人力资源安全,Physical and environmental security,A.9.1 To prevent unauthorized physical access damage and interference to premises and information. 防止未经 授权的物理资产损坏和对办公室及信息的干扰,A.9.2 To prevent loss, damage, theft or compromise of assets and to organizational activities.,A.9.1.1 Physical security perimeter 物理安全周界 A.9.1.2 Physical entry controls 物理进出控制 A.9.1.3 Securing offices, rooms and facilities 办公室、 房间和设施的安全 A.9.1.4 Protecting against external/environmental threats 防止外部/环境威胁 A.9.1.5 Working in secure areas 在安全区域内工作 A.9.1.6 Public access, delivery and loading areas 公共访问、运送和装卸区域,A.9.2.1 Equipment siting and protection 设备放置与保护 A.9.2.2 Supporting utilities 支持设施 A.9.2.3 Cabling security 电缆安全 A.9.2.4 Equipment maintenance 设备维护 A.9.2.5 Security of equipment off premises 办公区域外设备的安全 A.9.2.6 Secure disposal or re-use of equipment 处置和重新使用设备的安全 A.9.2.7 Removal of property 资产搬移,A.9 Physical and environmental security 物理和环境安全,Communications and operations management 通信和运营安全,A.10 Communications and operations management 通信和运营安全,A.10.1 To ensure correct and secure operations 确保正确与安全地运营,A.10.2 To implement and maintain appropriate level of inf. security in line with third party service delivery agreements 实施和维护适当程度的、与第三方服务 提供协议一致的信息安全,A.10.3 To minimize risk of system failures 最小化系统失效的风险,A.10.4 To protect integrity of software and information 保护信息和软件的完整性,A.10.2.1 Service delivery 服务提供 A.10.2.2 Monitoring, review of third party services 监控、评审第三方服务 A.10.2.3 Managing changes to third party services 管理对第三方服务的变更,A.10.3.1 Capacity management 容量管理 A.10.3.2 System acceptance 系统验受条件,A.10.4.1 Controls against malicious code 控制恶意代码 A.10.4.2 Controls against mobile code 控制移动代码,A.10.1.1 Documented operating procedures 文件化运营程序 A.10.1.2 Change management 变更管理 A.10.1.3 Segregation of duties 责任分离 A.10.1.4 separation of development, test and operational facilities 分离开发、测试和运营设施,Communications and operations management 通讯和运营管理,A.10.5 To maintain integrity and availability of information and information processing facilities. 维护信息和信息处理设施的完 整性、可用性,A.10.6 To protect information in networks and supporting infrastructure 保护在网络和支持架构中的信息,A.10.7 To prevent unauthorized disclosure, modification, removal or destruction of assets and interruptions to business activities. 防止未授权的披露、修改、移动 和毁坏资产以及对业务活动的干扰,A.10.5.1 Information backup信息备份,A.10.6.1 Network controls 网络控制 A.10.6.2 Security of network devices 网络服务中的安全,A.10.7.1 Management of removable media 管理可移动的介质 A.10.7.2 Disposal of media 介质处置 A.10.7.3 Information handling procedures 信息处理程序 A.10.7.4 Security of system documentation 保护系统文件安全,A.10 Communications and operations management 通信和运营管理,Communications and operations management 通信和运营管理,A.10.8 To maintain security of information and software exchanged within the orgn. and with any external entity 维护信息和软件 在组织内与组织外交换的安全,A.10.9 To ensure security of e-commerce and their secure use 确保电子商务的安全 以及他们的安全使用,A.10.10 To detect unauthorized information processing facilities. 侦测未经授权的信息处理设施,A.10.8.1 Information exchange, policies, procedures 信息交换政策、程序 A.10.8.2 Exchange agreements 交换协议 A.10.8.3 Physical media in transit 物理介质在运输中的安全 A.10.8.4 Electronic messaging 电子消息 A.10.8.5 Business information systems 业务信息系统,A.10.10.1 Audit logging 审计日志 A.10.10.2 Monitoring system use 监控系统的使用 A.10.10.3 Protecting log information 保护日志信息 A.10.10.4 Admin and operator logs 管理和操作者记录 A.10.10.5 fault logging 错误日志 A.10.10.6 Clock synchronization 始终同步,A.10.9.1 Electronic Commerce 电子商务 A.10.9.2 Online transactions 在线交易 A.10.9.3 Publicly available information 可利用的公共信息,A.10 Communications and operations management 通信和运营管理,Access control访问控制,A.11.1 To control access to Information 控制对信息的访问,A.11.2 To ensure authorized user access and prevent unauthorized access to information systems 确保授权用户 的访问和防止未经授权的对信息系统的访问,A.11.3 To prevent unauthorized user Access and compromise/theft of information and information processing facilities 防止未经授权的用户访问 和危及/偷盗信息和信息处理设施,A.11.4 To prevent unauthorized access to networked Services 防止未经授权的网络服务访问,A.11.2.1 User Registration 用户注册 A.11.2.2 Privilege management 特权管理 A.11.2.3 User password management 用户口令字管理 A.11.2.4 Review of user access rights 评审用户访问权限,A.11.3.1 Password use 口令字使用 A.11.3.2 Unattended user equipment 无人看管的用户设备 A.11.3.3 Clear desk and clear screen policy 清楚桌面和屏幕政策,A.11.4.1 Policy on use of network services使用网络服务政策 A.11.4.2 User authentication for external connections 用户外部连接的授权 A.11.4.3 Equipment identification in networks 网络中设备的识别 A.11.4.4 Remote diagnostic and configuration port protection 保护远程诊断和配置端口 A.11.4.5 Segregation in networks 网络分离 A.11.4.6 Network connection control 网络连接控制 A.11.4.7 Network routing control 网络路由控制,A.11.1.1 Access Control Policy 访问控制方针,A.11 Access control 访问控制,Access control访问控制,A.11.5 To prevent unauthorized access to operating systems 防止未经授权的对操作系统的访问,A.11.5.1 Secure log-on procedures 安全注册程序 A.11.5.2 User identification and authentication 用户识别和验证 A.11.5.3 Password management system 口令管理系统 A.11.5.4 Use of system utilities 系统设施的使用 A.11.5.5 Session time-out 访问时间限制 A.11.5.6 Limitation of connection time 连接时间限制,A.11.6 To prevent unauthorized access to information held in application system 防止未经授权的 对应用系统中信息的访问,A.11.6.1 Information access restriction 信息访问限制 A.11.6.2 Sensitive system isolation 敏感系统隔离,A.11.7 To ensure information security when using mobile computing and teleworking facilities 在使用移动 计算和远程通信设施时确保信息安全,A.11.7.1 Mobile computing and communications 移动计算和通讯 A.11.7.2 Teleworking 远程工作,A.11 Access control 访问控制,Information systems, acquisition, development and maintenance 信息系统的获得、开发和维护,A.12.1 To ensure that security is an integral part of information Systems 确保安全是信息系统的一个重要部分,A.12.2 To prevent error, loss, unauthorized modification or misuse of information in Application 防止错误、丢失、未经授权 的修改或误用在应用系统中的信息,A.12.3 To protect confidentiality, authenticity or integrity of information by cryptographic Means 用加密手段保护信息的机密性、 真实性或完整性,A.12.2.1 Input data validation 输入数据验证 A.12.2.2 Control of internal processing 控制内部过程 A.12.2.3 Message integrity 消息完整性 A.12.2.4 Output data validation 输出数据的验证,A.12.3.1 Policy on the use of cryptographic controls 使用加密控制方针 A.12.3.2 Key management 密钥管理,A.12.1.1 Security requirement, analysis and specification 安全需求、分析和详细说明,A.12 Information systems acquisition, development and maintenance 信息系统的获得，开发和维护,Information systems acquisition, development and maintenance 信息系统的获得、开发和维护,A.12.4 To ensure security of system files 确保系统 文档的安全,A.12.4.1 Control of operational software 控制运营软件 A.12.4.2 Protection of system test data 保护系统测试数据 A.12.4.3 Access control to program source code 程序员代码的访问控制,A.12.5 To maintain security of application system software and information 维护应用系统 软件和信息的安全,A.12.5.1 Change control procedures 变更控制程序 A.12.5.2 Technical review of applications after operating system changes. 在操作系统变更后 的应用系统技术评审 A.12.5.3 Restriction on changes to software packages 软件包变更的限制 A.12.5.4 Information leakage 信息泄露 A.12.5.5 Outsourced software development 外包的软件开发,A.12.6 To reduce risks resulting from exploitation of published technical vulnerabilities 通过利用已公开 的技术弱点降低风险,A.12.6.1 Control of technical vulnerabilities 技术弱点的控制,A.12 Information systems acquisition, development and maintenance 信息系统的获得，开发和维护,Information security incident management 信息安全事故管理,A.13.1 To ensure information security events and weaknesses associated with the information systems are communicated in a manner allowing timely corrective action to be taken 确保与信息系统 有关的事件和弱点及时沟通以确保及时采取纠正措施,A.13.1.1 Reporting information security events 报告信息安全事件 A.13.1.2 Reporting security weaknesses报告安全弱点,A.13.2 To ensure consistent and effective approach is applied to the management of information security incidents 确保管理信息安全事故的一致的和有效的方法,A.13.2.1 Responsibilities and procedures 责任和程序 A.13.2.2 Learning from information security incidents 从信息安全事故中学习 A.13.2.3 Collection of evidence 收集证据,A.13 Information security incident management 信息安全事故管理,Business continuity management 业务连续性,A.14.1 To counter interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters to ensure their timely resumption 应对业务活动的中断及 保护关键业务流程不受重大信息系统失效 或灾难的影响并及时恢复,A.14.1.1 Including information security in business continuity management process 在业务连续性管理过程中包括信息安全 A.14.1.2 Business continuity and risk assessment 业务连续性和风险评估 A.14.1.3 Developing and implementing continuity plans Including information security 开发和实施包括信息安全连续性计划 A.14.1.4 Business continuity planning framework 业务连续性计划框架 A.14.1.5 Testing, maintaining and reassessing business continuity plans. 测试、维护和重新评估业务连续性计划,A.14 Business continuity management 业务连续性管理,Compliance 符合,A.15.1 To avoid breaches of any law, statutory regulatory or contractual obligations and of any security Requirements 避免违背任何的法律、 法令、法规或合同义务和任何安全要求,A.15.1.1 Identification of applicable legislation 识别适用的法律 A.15.1.2 Intellectual property rights (IPR) 知识产权 A.15.1.3 Protection of organizational records 保护组织记录 A.15.1.4 Data protection and privacy of personal information. 数据保护和个人信息保密 A.15.1.5 Prevention of misuse of information processing facilities 防止信息处理设施误用 A.15.1.6 Regulation of cryptographic controls 密码控制法规,A.15.2 To ensure compliance of systems with organizational security policies and standards确保系统符合组织的安全 政策和标准,A.15.2.1 Compliance with security standards 符合安全标准 A.15.2.2 Technical compliance checking 技术符合性检查,A.15.3 To maximize effectiveness of and to minimize interference to/from the information systems audit Process 最大化信息系统审计的有效性和 最小化业务干扰,A.15.3.1 Information system audit controls 信息系统审计控制 A.15.3.2 Protection of information system audit tools 保护信息系统审计工具,A.15 Compliance 符合,信息安全方针,为信息安全提供符合业务要求和相关法律法规的管理指导和支持 信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通 应按策划的时间间隔或当发生重大变化时，对信息，安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性,信息安全组织,使组织内部信息安全 保证基础设施安全 管理信息安全委员会 信息安全协作 落实信息安全责任 控制第三方访问 确认第三方访问风险 第三方合同安全要求 控制外包 外包合同安全要求,资产管理,确保信息资产受到相应级别的保护 资产是组织认为有价值的东西，例如: 信息资产 纸上的文件 软件资产 物理资产 人 公司的形象和名誉 服务 一个组织必须确定哪些资产在损失之后对于本组织的产品及服务产生物质上的影响,人力资源安全,目标：减少人为的错误，偷盗，欺骗或错误使用设施带来的风险 就业申请审查 将安全责任写入合同，并在雇用期间进行监督 保密协议 教育与培训 -组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。还包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训 熟悉安全事故处理流程,物理与环境安全,防止未经授权的访问，破坏和干扰办公场所和信息 周边安全 进入控制 工作区安全 电力供应 设备整理,通讯与运作管理,保证信息处理设施的安全和正确运营 运营程序和责任 系统计划和接收 预防恶意软件 网络管理 媒介管理和安全 信息和软件交换的安全,访问控制,控制对信息的访问 业务要求对访问进行控制 用户访问管理 用户职责 网络访问控制 操作系统访问控制 应用访问控制 系统访问和使用监控 移动计算设备和通信,信息系统的获取、开发与维护,防止应用系统信息的错误、丢失、未授权的修改或误用 通过加密手段来保护细腻的保密性、真实性或完整性 确保系统文档的安全 开发和支持过程的安全，保持应用系统软件和信息的安全 减少由利用公开的技术漏洞带来的风险,信息系统的获取、开发与维护,需求阶段,系统开发和交付,系统部署实施,系统运行维护,系统废弃,系统敏感度评估,确定安全需求,将安全需求加入 到系统设计中,获得系统（开发 或购买）及安全功能,安装并使安全 控制有效,安全测试,鉴定合格,安全操作和管理,运作保证 （监控和审计）,变更管理,系统废弃审核,定期评估,信息安全事件管理,报告信息安全事件和弱点，确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 信息安全事故的管理和改进，确保使用持续有效的方法管理信息安全事故,业务连续性管理,防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复 连续性计划 业务连续性计划的框架 业务连续性计划的测试、维护和再评估,符合性,避免违反法律、法规、规章、合同要求和其他的安全要求 确认适用的法律 知识产权 保护组织的记录 数据保护和个人隐私信息 防止错误使用信息处理设施 加密控制规定 证据搜集,Certification Process,关键成功因素,Information security policy, objectives, and activities that reflect business objectives 信息安全方针、目标和活动反映业务目标,关键成功因素,Approach to information security consistent with the organizational culture 与组织文化一致的信息安全方法,关键成功因素,Visible support and commitment from all levels of managment 所有管理层可见的支持和承诺,关键成功因素,A good understanding of the information security requirments, risk assessment and risk management 对信息安全要求、风险评估和风险管理有好的理解,关键成功因素,Distribution of guidance on information security to all the staff and others 向所有员工和其他人分发信息安全指南,关键成功因素,Effective marketing of information security to all the staff and others 有效地对员工和其他人推销信息安全,Effective marketing of information security to all the staff and others 有效地对员工和其他人推销信息安全,关键成功因素,Adequate financial support足够的财务支持,关键成功因素,Appropriate awareness, training and education 适当的意识、培训和教育,关键的成功因素,Effective information security incident managment process 有效的信息安全事故管理过程,关键的成功因素,Implementation of a measurement system that is used to evaluate performance in information security management and feedback suggestions for improvement 实施能够评价信息安全管理绩效并反馈改进意见的测量体系,ISO27001的一些问题,11大类的结构性不够清晰 一些风险控制点的归类不妥 “加密”在开发与维护类中 “事故报告”在人员安全类中 操作与通信类中太杂乱 一些风险控制点的阐述不够 关于资产 关于业务安全,目录,信息安全现状,信息安全管理体系标准介绍,信息安全管理体系的设计与实施,信息安全保障体系的构成和建设,风险概述,风险的定义 风险要素及要素之间的关系 资产、威胁和脆弱性对应关系,风险的定义,普通字典的解释 风险：遭受损害或损失的可能性 AS/NZS 4360：澳大利亚/新西兰国家标准 风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。 ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。 信息安全领域 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。,风险的要素,资产及其价值 威胁 脆弱性 现有的和计划的控制措施(对策),风险的要素资产,资产是任何对组织有价值的东西 资产的分类 软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等 其他：公司形象、公司信誉和客户关系,风险的要素威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果 威胁举例 自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类