信息安全管理培训课件

Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 1Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 1信 息 安 全培训对象：高级组长及以上培训对象：高级组长及以上培训对象：高级组长及以上培训对象：高级组长及以上信 息 安 全培训对象：高级组长及以上Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 2Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 2培训目标1、认识到信息安全管理的重要性2、了解到信息安全的重点在于管理3、熟练信息安全管理的工作内容培训目标1、认识到信息安全管理的重要性Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 3Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 3信息安全目录一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目标五、实现信息安全的意义六、信息安全的需求来源七、如何做好信息安全整体规划八、如何实现信息安全信息安全目录一、信息安全案例Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 4Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 4信息安全案例共享打印机带来的问题文件带来的问题泄露给别人打印机密文件看看他们的标书他偷看我标书，中标了结果：损失200万结果：损失1000万提高提高提高提高安全意识，安全意识，安全意识，安全意识，加强加强加强加强安全预防，安全预防，安全预防，安全预防，注重注重注重注重安全管理安全管理安全管理安全管理信息安全案例共享打印机带来的问题文件带来的问题泄露给别人打印Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 5Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 5什么是信息以下哪些属于信息?数据专利计算机文件声音纸张什么是信息以下哪些属于信息?数据专利计算机文件声音纸张Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 6Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 6什么是信息定义：是事物运动的状态与方式，是物质的一种属性。文件数据声音图像信息实例特征：依附载体；可传递；可共享；可存储；时效性什么是信息定义：是事物运动的状态与方式，是物质的一种Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 7Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 7什么是信息安全定义：保护信息资产免遭恶意破坏，保证业务连续可靠运行。硬件软件数据信息资产什么是信息安全定义：保护信息资产免遭恶意破坏，保证业Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 8Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 8基本目标保密性完整性可用性不被篡改不会泄漏随时访问基本目标保密性完整性可用性不被篡改不会泄漏随时访问Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 9Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 9实现信息安全的意义能保证企业的业务活动稳定有效的运作提高客户满意度满意度业务运作实现信息安全的意义能保证企业的业务活动稳定有效的运作满意度Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 10Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 10信息安全需求来源 法律规定、客户组织要求法律及合约的要求：组织的目标及规定：企业为保证业务连续性而要求风险评估的结果：对存在的弱点，威胁的改进要求信息安全需求来源 法律规定、客户组织要求法律及合约的要Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 11Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 11如何做好信息安全整体规划目标Objective：明确信息安全建设的核心目标。对象Object：明确保护对象（信息资产）：关键数据、应用系统、实物资产、设施和环境，以及人员。规范Document：制定可实施的一套方针、标准、指南、程序和规范要求文件，为所有信息安全活动提供指导，最终实现信息安全需求。如何做好信息安全整体规划目标Objective：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 12Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 12过程Process：P:信息安全先做规划，明确需求，制定应对方案；D:实施解决方案；C:通过检查，巩固成果，发现不足；A:采取后续措施，改进不足，推动信息安全持续进步。如何做好信息安全整体规划如何做好信息安全整体规划Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 13Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 13如何建设ISMSISMS定义：安全信息管理体系从建立、实施、监控、改进信息安全的系列管理活动计划阶段（P）：如何建设ISMSISMS定义：安全信息管理体系计划阶段（P）Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 14Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 14如何建设ISMS实施阶段（D）：如何建设ISMS实施阶段（D）：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 15Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 15如何建设ISMS检查与改进阶段（C，A）：如何建设ISMS检查与改进阶段（C，A）：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 16Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 16如何建立ISMS文件体系如何建立ISMS文件体系Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 17Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 17如何建立ISMS文件体系如何建立ISMS文件体系Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 18Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 18如何实现信息安全一、安全技术二、安全管理三分靠技术技术技术技术，七分靠管理管理管理管理如何实现信息安全一、安全技术三分靠技术，七分靠管理Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 19Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 19如何实现信息安全安全技术：如何实现信息安全安全技术：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 20Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 20如何实现信息安全安全管理：解决三大问题组织制度人员建设组织机构并明确责任建立安全管理制度体系加强人员的安全意识，并进行安全教育培训如何实现信息安全安全管理：解决三大问题组织制度人员建设组织机Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 21Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 21信息安全管理内容符合性符合性业务连续业务连续性管理性管理安全事件安全事件管理管理系统开发系统开发维护维护访问控制访问控制通信与操通信与操作管理作管理物理安全物理安全人力资源人力资源安全安全资产管理资产管理组织信组织信息安全息安全安全策略安全策略领域领域三分靠技术技术技术技术，七分靠管理管理管理管理信息安全管理内容符合性业务连续安全事件系统开发访问控制通信与Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 22Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 22信息安全管理内容安全策略1 1、信息安全策略、信息安全策略制定信息安全策略文件定期复查信息安全策略企业级的安全方针部门级的安全策略个人级的安全策略信息安全管理内容安全策略1、信息安全策略企业级的安全方针Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 23Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 23信息安全管理内容组织信息安全1 1、内部组织：、内部组织：分派信息安全责任 制定保密协议；常对信息安全作评审2 2、外部组织：、外部组织：识别与外部伙伴的风险与客户交往时应注意安全第三方协议中注明安全信息安全管理内容组织信息安全1、内部组织：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 24Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 24信息安全管理内容资产管理1 1、资产责任：、资产责任：资产清单资产属主对资产的可接受使用2 2、资产分类：、资产分类：确保信息资产得到适当级别的保护分类指南信息标注与处理信息安全管理内容资产管理1、资产责任：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 25Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 25信息安全管理内容人力资源安全1 1、聘用前：、聘用前：定义雇员角色和责任筛选合适人员制定聘用条件条款2 2、聘用间：、聘用间：提供员工安全教育培训制定奖罚机制3 3、解聘后、解聘后/职位变更：职位变更：制定解聘责任要求员工返还资产去除员工访问权限重定义员工转岗时的角色责任及利用的资产信息安全管理内容人力资源安全1、聘用前：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 26Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 26信息安全管理内容物理与环境管理1 1、安全区域：、安全区域：防止非授权的访问安全区边界物理安全边界控制物理入口（安装防盗门锁之类）制定场所、房间、设施保护规则在安全区域内工作2 2、设备安全：、设备安全：防止资产丢失、破坏 设备的安置与保护供电电缆安全设备维护设备报废的安全信息安全管理内容物理与环境管理1、安全区域：防止非授权的访问Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 27Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 27信息安全管理内容通信与操作管理1 1、操作程序和责任：、操作程序和责任：操作程序的文档化变更管理2 2、第三方服务交付管理：、第三方服务交付管理：服务交付监督第三方服务第三方服务变更管理3 3、系统规划验收、系统规划验收:容量管理对于共享文件应存放在公告目录中，发内部邮件时最好不对于共享文件应存放在公告目录中，发内部邮件时最好不对于共享文件应存放在公告目录中，发内部邮件时最好不对于共享文件应存放在公告目录中，发内部邮件时最好不加附件，而使用超链接导航到文件加附件，而使用超链接导航到文件加附件，而使用超链接导航到文件加附件，而使用超链接导航到文件信息安全管理内容通信与操作管理1、操作程序和责任：对于共享文Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 28Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 28信息安全管理内容4 4、抵卸恶意代码：、抵卸恶意代码：恶意代码控制5 5、备份、备份:信息备份6 6、网络安全管理：、网络安全管理：网络管理控制网络服务安全控制7 7、介质处理：、介质处理：移动介质管理规定8 8、监视：、监视：发现非授权活动监视系统使用操作日志问题日志信息安全管理内容4、抵卸恶意代码：Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 29Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 29信息安全管理内容1 1、访问控制的业务需求：、访问控制的业务需求：控制对信息的访问访问控制策略2 2、用户访问管理：、用户访问管理：授权用户对系统的访问用户注册权限管理口令管理3 3、用户责任：、用户责任：口令使用在操作无人值守的设备时要注意信息安全访问控制信息安全管理内容1、访问控制的业务需求：控制对信息的访问访问Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 30Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 30信息安全管理内容4 4、网络访问控制：、网络访问控制：授权用户访问网络网络服务使用策略对连接用户进行身份确认端口保护及控制网络连接控制网络路由控制5 5、操作系统访问控制：、操作系统访问控制：安全的登录程序身份识别口令管理会话超时限制连接时间信息安全管理内容4、网络访问控制：授权用户访问网络Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 31Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 31信息安全管理内容1 1、信息系统的安全需求：、信息系统的安全需求：安全需求分析与规范2 2、应用程序中的正确处理：、应用程序中的正确处理：数据验证内部处理控制输出数据验证3 3、密码控制：、密码控制：密码控制使用策略4 4、程序文件的安全：、程序文件的安全：控制运营系统上的软件保护系统测试数据对源代码的访问控制系统开发与维护5 5、开发与支持过程的安全：、开发与支持过程的安全：变更控制程序 运营系统变更后应做评审 信息泄漏6 6、技术漏洞管理：、技术漏洞管理：控制技术漏洞信息安全管理内容1、信息系统的安全需求：系统开发与维护5、开Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 32Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 32信息安全管理内容控制目标1 1、报告安全事件与缺陷：、报告安全事件与缺陷：报告安全事件 报告安全缺陷2 2、管理安全事件与改进：、管理安全事件与改进：责任与程序 从事件中吸取教训信息安全事件管理要将安全事件及问题解决方案存档，作为组织过程资产要将安全事件及问题解决方案存档，作为组织过程资产要将安全事件及问题解决方案存档，作为组织过程资产要将安全事件及问题解决方案存档，作为组织过程资产.信息安全管理内容控制目标1、报告安全事件与缺陷：信息安全事件Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 33Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 33信息安全管理内容1 1、业务连续性管理的信息安全方面：、业务连续性管理的信息安全方面：业务过程中考虑信息安全风险评估业务连续性管理信息安全管理内容1、业务连续性管理的信息安全方面：业务连续性Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 34Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 34信息安全管理内容1 1、符合法律要求：、符合法律要求：知识产权数据保护和个人信息隐私2 2、符合安全策略和标准：、符合安全策略和标准：符合安全性策略技术符合性检查符合性信息安全管理内容1、符合法律要求：符合性Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 35Committed Talents to Knowledge Caring WorldCopyright2010Lifewood 35ThankyouThank you