ISO27001信息安全管理体系培训基础知识PPT参考课件

信息安全管理体系（ISMS）基础知识培训*目录什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）介绍信息安全管理体系（ISMS）实施控制重点目录*什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点目录*什么是信息信息通常指消息、情报、数据和知识等，在ISO/IEC27001标准中信息是指对组织具有重要价值，可以通过多媒体传递和存储的一种资产。什么是信息*什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点*什么是信息安全信息安全的作用是保护信息业务涉及范围不受威胁所干扰，使组织业务畅顺，减少损失及增大投资回报和商机。在ISO/IEC27001标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。什么是信息安全*什么是信息安全--信息的机密性信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。什么是信息安全—信息的机密性*什么是信息安全—信息的完整性信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指信息处理方法的正确性，信息备份、系统恢复、销毁等处理不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。什么是信息安全—信息的完整性*什么是信息安全—信息的可用性信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时及时恢复。另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。什么是信息安全—信息的可用性*什么是信息什么是信息安全为什么实施信息安全管理如何实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点*为什么要实施信息安全管理实施信息管理原因：自1987年以来，全世界已发现超过50000种计算机病毒，2000年爆发的“爱虫”病毒给全球用户造成了100亿美元的损失；美国每年因信息与网络安全问所造成的损失高达75亿美元。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击，且成功进入率高达63%。然而，能对组织造成巨大损失的风险主要还是来源于组织内部，国外统计结果表明企业信息受到的损失中，70%是由于内部员工的疏忽或有意泄密造成。*为什么要实施信息安全管理实施信息管理原因：多数计算机使用者很少接受严格的信息安全意识培训，每天都在以不安全的方式处理企业的大量重要信息，而且企业的合作单位、咨询机构等外部人员都以不同的方式使用企业的信息系统，对企业的信息系统构成了潜在的威胁。如员工为了方便记忆系统登录口令而在明显处粘一便条，就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密资料，甚至破坏关键信息系统作为报复企业，致使企业蒙受了巨大的经济损失。*为什么要实施信息安全管理实施信息管理原因：目前单一的技术手段已难以解决企业信息安全问题，只有建立一套完善的信息安全管理流程并严格执行，才能有效降低信息安全风险，保障企业信息业务的连续性。实施信息管理必然性：实践证明信息安全是个复杂的系统问题，解决系统性安全问题，必须以系统的方法来解决，建立管理体系(明确方针和目标并实现这些目标的体系，是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS)，信息安全管理体系通过固化信息安全管理范围，制定信息安全管理策略方针与与目标，明确信息安全管理职责、落实控制目标并选择控制措施进行管控，全面系统保障管理信息的安全。*从系统论观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。信息安全管理体系通过不断的识别组织和相关方的信息安全要求，不断的识别外界环境和组织自身的变化，不断的学习采用最新的管理理念和技术手段，不断的调整自己的目标、方针、程序和过程等，才可以实现持续的安全。本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC27001认证是不必要的。实施信息管理必然性：为什么要实施信息安全管理*如果因为预算困难或其他原因，不能一下子降低所有不可接受风险到可接受程度时，能否通过体系认证，也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整，是否运行正常，是否有重大的信息安全风险没有得到识别和评估。有小部分的风险暂时得不到有效处置是允许的，当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。实施信息管理必然性：为什么要实施信息安全管理*什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点*ISMS概述本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurityManagementSystem，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决。本标准可被相关的内部方和外部方运用以评估一致性。ISMS概述*什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点*ISMS标准体系－ISO/IEC27000族介绍27007信息安全管理体系审核指南ISO/IEC27000族27000--信息安全管理体系综述与术语27001-信息安全管理体系要求27002--信息安全管理体系实践规范27003--信息安全管理体系实施指南27004--信息安全管理体系测量27005--信息安全管理体系信息安全风险管理27006--信息安全管理体系认证机构要求*ISMS介绍--ISO/IEC27000族发布时间ISO/IEC17799∶2005信息安全管理实施细则,于2005年6月15日正式发布；ISO/IEC27001信息安全管理体系要求，于2005年10月15日正式发布；ISO/IEC27002信息安全管理体系最佳实践，于2007年4月正式发布；ISO/IEC27003信息安全管理体系实施指南，正在ISMS标准的工作组研究并征求意见阶段；ISO/IEC27004信息安全管理度量和改进，正在委员会草案阶段；ISO/IEC27005信息安全风险管理指南，以2005年底刚刚推出的BS7799-3为准。*ISMS介绍--ISO/IEC27001信息安全管理体系与其它体系兼容性ISO9001：2008质量管理体系ISO14001：2004环境管理体系ISO/TS16949：2009汽车行业质量管理体系TL9000：通信行业质量管理体系IECQC080000：2005有害物质过程管理体系ISOIEC20000：…………*什么是信息什么是信息安全为什么实施信息安全管理信息安全管理体系（ISMS）概述信息安全管理体系（ISMS）标准介绍信息安全管理体系（ISMS）实施控制重点*A.6信息安全组织A.8人力资源安全A.7资产管理A.12系统获取开发和维护A.9物理和环境安全A.5信息安全方针A.14业务持续性管理A.10通信和操作管理A.13信息安全事件管理A.11访问控制A.15符合性ISO/IEC27001控制大项A.16教育培训*ISMS控制大项说明安全方针：制定信息安全方针，为信息安全提供管理指导和支持，并定期评审；信息安全组织：建立信息安全基础设施，管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，确保信息的安全。资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。人力资源安全：确保所有员工、方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或误用设施的风险。ISO/IEC27001控制大项--管理内容*ISMS控制大项说明物理与环境安全：定义安全区域，防止对办公场所和信息的未授权访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或被盗，以及对业务活动的干扰；同时，还要做好一般控制，防止信息和信息处理设施的损坏或被盗。通讯和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险减到最低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。ISO/IEC27001控制大项--管理内容*ISMS控制大项说明访问控制：制定文件化的访问控制策略，避免信息系统的未授权访问，并让用户了解其职责和义务，包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用，定期检测未授权的活动；当使用移动办公和远程工作时，也要确保信息安全。信息系统的获取、开发和维护：标识系统的安全要求，确保安全成为信息系统的内置部分；控制应用系统的安全，防止应用系统中用户数据的丢失、被修改或误用；通过加密手段保护信息的保密性、真实性和完整性；控制对系统文件的访问，确保系统文档的安全；严格控制开发和支持过程，维护应用系统软件和信息的安全。ISO/IEC27001控制大项--管理内容*ISMS控制大项说明信息安全事故的管理：报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。业务连续性管理：目的是为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响，并确保他们的及时恢复。符合性：信息系统的设计、操作、使用和管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审核，使系统审核过程的效力最大化、干扰最小化。ISO/IEC27001控制大项--管理内容*ISO/IEC27001信息安全管理体系将信息安全管理的内容划分为11个控制域，39个信息安全管理的控制目标，133项安全控制措施，以下是12项管理大项关系图。ISMS实施控制重点--信息安全管理体系构成*方针与策略管理确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以实现对信息安全工作的支持和承诺，保证信息安全的资金投入。风险管理信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。人员与组织管理建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。环境与设备管理控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。网络与通信管理控制、保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网络和通信系统的问题对业务系统的损害。主机与系统管理控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。ISMS实施控制重点--ISMS构成管理内容信息安全管理体系构成--管理内容*应用与业务管理对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。数据/文档/介质管理采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的安全。项目工程管理保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。运行维护管理保护信息系统在运行期间的安全，并确保系统维护工作的安全。业务连续性管理通过设计和执行业务连续性，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。合规性管理确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定和标准得到了遵循。信息安全管理体系构成--管理内容ISMS实施控制重点--ISMS构成管理内容*信息安全管理体系PDCA模型采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS*信息安全管理体系PDCA模型PDCA模式步骤方法定义范围根据组织业务特征、地理位置、资产、技术等确定ISMS的范围。定义方针方针是信息安全活动的总方向和总原则，是建立目标的框架，应考虑业务、合同安全义务和法律法规要求。确定风险评估的方法识别适用的风险评估方法，确定风险接收准则，识别可接受的等级。策划识别风险识别ISMS范围内的资产、资产的威胁、脆弱点以及机密性、完整性、可用性损失的影响。评估风险评估安全失效可能造成的影响，评估安全失效发生的可能性，估计风险等级以及风险是否可接受。识别并评估风险处理的措施包括控制、规避、转嫁风险，接受残余风险。信息安全管理体系PDCA模型—方法*策划为处理风险选择控制目标和控制措施考虑接受风险的准则，选择控制目标和措施适用性声明声明应包括选择的控制目标和措施，选择的原因，删减的合理性实施和运行（DO）实施和运行ISMS提供资源，实施培训，提高意识，按策划的要求管理ISMS的运行检查（CHECK）监视和评审ISMS执行监视和评审程序，定期评审ISMS的有效性和测量控制措施的有效性，按计划实施内审和管理评审，识别改进的机会保持和改进(ACT)保持和改进ISMS实施改进措施，不断总结经验教训，确保改进活动达到预期目的信息安全管理体系PDCA模型—方法*ISMS与等级保护ISMS信息安全管理体系与等级保护对比体系目的控制项控制点ISO/IEC27001建立适合企业实际情况的信息安全管理体系11个39个控制项，133个控制点国家等级保护（2007版等级保护基本要求）保障国家、人民、社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点ISMS信息安全管理体系与等级保护对比**