CMB培训ISO27001

1、ISO27001信息安全管理体系介绍页数 1招商银行信息系统内部审计培训招商银行信息系统内部审计培训招商银行信息系统内部审计培训ISO27001ISO27001信息安全管理体系介绍信息安全管理体系介绍20092009年年3 3月月ISO27001信息安全管理体系介绍页数 2招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 3招

2、商银行信息系统内部审计培训几个问题几个问题信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？ISO27001信息安全管理体系介绍页数 4招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息

3、安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 5招商银行信息系统内部审计培训信息资产信息资产信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallback arrangement）、审核跟踪记录（audit trails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖

4、，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。信息资产类型:ISO27001信息安全管理体系介绍页数 6招商银行信息系统内部审计培训信息资产信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式：ISO27001信息安全管理体系介绍页数 7招商银行信息系统内部审计培训信息资产信息资产产生使用存储传输销毁/抛弃信息资产的生命周期：产生使用存贮传输销毁/抛弃ISO27001信息安全管理体系介绍页数 8招商银行信息系统内部审计培训什么是信息安全什么是信息安全? ? ISO27001 将信息安全定义如下:保证信息的保密性，完整性，

5、可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性保密性可用性保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性 完整性：保护资产的准确和完整的特性 ISO27001信息安全管理体系介绍页数 9招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 10招商银行信

6、息系统内部审计培训信息安全管理体系（信息安全管理体系（ISMSISMS）介绍）介绍Information Security Management System(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IEC JTC1/SC27/WG1（国际标准化组织/国际电工委员会 联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南ISO27001信息安全管理体系介绍页数 11招商银行信息系统内部审计培训IS

7、O 27000ISO 27000系列标准系列标准标准序号标准名称发布时间ISO/IEC 27000基础与术语基础与术语起草中，未发布起草中，未发布ISO/IEC 27001ISMS Requirement ISMS要求要求 2005年年10月月ISO/IEC 27002Code of Practice for ISMS实用规则实用规则2007年年4月月ISO/IEC 27003ISMS Implementation Guidance ISMS实施指南实施指南起草中，未发布起草中，未发布ISO/IEC 27004ISMS Metrics and Measurement ISMS的测量的测量起草中

8、，未发布起草中，未发布ISO/IEC 27005Information Security Risk Management 信息安全风险管理信息安全风险管理2008年年6月月ISO/IEC 27006Certification and Registration process审核认证机构要求审核认证机构要求2007年年2月月ISO27001信息安全管理体系介绍页数 12招商银行信息系统内部审计培训ISO 27001 ISO 27001 的历史的历史ISO27001信息安全管理体系介绍页数 13招商银行信息系统内部审计培训等同的国家标准等同的国家标准GB/T 22080-2008 信息技术 安全技

9、术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月，经国家标准化管理委员会批准，全国信息安全标准化技术委员会发布两个新的国家标准，并于2008年11月1日起实施。ISO27001信息安全管理体系介绍页数 14招商银行信息系统内部审计培训提升竞争力提高合规性满足利益相关方期望实施实施ISMSISMS的好处的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好

10、的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO 27001ISO27001信息安全管理体系介绍页数 15招商银行信息系统内部审计培训当前获得当前获得ISO27001ISO27001证书的组织分布证书的组织分布(2008(2008年年9 9月月) ) ISO27001信息安全管理体系介绍页数 16招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 I

11、SO27001信息安全管理体系介绍页数 17招商银行信息系统内部审计培训ISO27001ISO27001信息安全管理体系要求信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。 ISO27001

12、信息安全管理体系介绍页数 18招商银行信息系统内部审计培训定义范围和边界定义安全策略定义风险评估方法识别风险识别和评价风险识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准获得管理者对实施和运行ISMS的授权准备适用性声明（SoA）建立建立ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMSISO27001信息安全管理体系介绍页数 19招商银行信息系统内部审计培训实施和运行实施和运行ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行

13、ISMS制定风险处理计划实施风险处理计划 实施培训和意识教育计划管理ISMS的运行 管理ISMS的资源应急响应、事故管理ISO27001信息安全管理体系介绍页数 20招商银行信息系统内部审计培训监视和评审监视和评审ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS执行监视与评审程序和其它控制措施 ISMS有效性的定期评审 测量控制措施的有效性 定期实施ISMS内部审核 定期进行ISMS管理评审 ISO27001信息安全管理体系介绍页数 21招商银行信息系统内部审计培训保持和改进保持和改进ISMSISMS检查Check建立ISMS

14、保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施已识别的ISMS改进措施 采取合适的纠正和预防措施 从安全经验中吸取教训 向所有相关方沟通措施和改进情况 ISO27001信息安全管理体系介绍页数 22招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 23招商银行信息系统内部审计培训风险的概念风险的

15、概念风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率上述事件发生之后所带来的影响在ISO/IEC GUIDE73将风险定义为：事件的概率及其结果的组合。ISO27001信息安全管理体系介绍页数 24招商银行信息系统内部审计培训风险管理的目标风险管理的目标风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。 风险管理被认为是良好管理的一个组成部分。 风险管理的目标：高影响低概率高影响高影响高概率高概率低影响低影响低概率低概率

16、底影响底影响低概率低概率影响概率控制目标控制目标概率ISO27001信息安全管理体系介绍页数 25招商银行信息系统内部审计培训信息安全风险管理一般方法信息安全风险管理一般方法资产识别 威胁识别 分析和评价风险 风险处理计划识别脆弱性当前控制措施分析风险监控、检查与沟通风险监控、检查与沟通ISO27001信息安全管理体系介绍页数 26招商银行信息系统内部审计培训识别威胁识别威胁威胁威胁可多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径几种常见威胁：自然灾害计算机犯罪员工操作失误商业间谍黑客ISO 27001将威胁定义如下：可能导致对系统或组织的损害的不期望事件发生的潜在原因 ISO2

17、7001信息安全管理体系介绍页数 27招商银行信息系统内部审计培训识别脆弱性识别脆弱性脆弱性常被成为漏洞几种常见脆弱性：简单口令员工安全意思淡薄第三方缺乏保密协议变更管理薄弱明文传输信息经验表明：大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术脆弱性。ISO 27001将脆弱性定义如下：可能会被一个或多个威胁所利用的资产或一组资产的弱点 ISO27001信息安全管理体系介绍页数 28招商银行信息系统内部审计培训分析当前控制分析当前控制ISO 27002将控制定义如下：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以

18、是行政、技术、管理、法律等方面的。控制措施也用于防护措施或对策的同义词。本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）ISO27001信息安全管理体系介绍页数 29招商银行信息系统内部审计培训风险的分析与评价风险的分析与评价风险分析：系统地使用信息来识别风险来源和估计风险 风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程存在定性、定量两种风险分析方法实例：ISO27001信息安全管理体系介绍页数 30招商银行信息系统内部审计培训风险处理策略风险处理策略经过风险评估后识别出来的风险，接着便是制定其对应

19、的风险处理计划. 可能的风险处理计划包括以下四种之一或四种的组合:采取适当的控制措施来降低(reduce) 风险。了解并客观地接受( accept) 风险, 倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。通过放弃当前的某些活动来规避(avoid)风险发生。转嫁(transfer)风险至其它组织， 例如保险公司、供应商等。ISO27001信息安全管理体系介绍页数 31招商银行信息系统内部审计培训定义风险接收水平定义风险接收水平风险处理计划完成后的残余风险水平应在可接受风险水平之内初始风险水平（高）可接受的风险水平（Low）残余风险风险级别

20、高中低残余风险风险控制措施风险控制措施ISO27001信息安全管理体系介绍页数 32招商银行信息系统内部审计培训控制措施选择控制措施选择从针对性和实施方式来看，控制措施分三类：管理(Administrative)性: 安全策略,流程, 组织与职责等操作(Operation)性:人员职责, 事故反应, 意识培训,系统开发等等技术(Technical)性: 加密,访问控制,审计等或者从功能上来分,控制措施类型包括：威慑性(Deterrent): 告示、标语预防性(Preventive): 培训，操作手册，加密，身份认证检测性(Detective): CCTV,保安，报警纠正性(Corrective

21、):培训，问责，应急响应，灾备ISO27001信息安全管理体系介绍页数 33招商银行信息系统内部审计培训风险风险成本成本最佳投资点最佳投资点基本原则实施安全控制措施的代价不应该大于要保护的资产的价值选择控制措施时的成本效益分析选择控制措施时的成本效益分析ISO27001信息安全管理体系介绍页数 34招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息

22、安全管理体系介绍页数 35招商银行信息系统内部审计培训ISO27002ISO27002信息安全管理体系实用规则信息安全管理体系实用规则一、安全方针（Security Policy）二、组织信息安全（Organizing Information Security）三、资产管理（Asset Management）四、人力资源安全（Human Resource Security）五、物理及环境安全(Physical and Environmental Security) 六、通信与操作管理（Communications and Operations Management）八、系统获取、开发与维护(I

23、nformation System Acquisition, Development and Maintenance)七、访问控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、业务持续性管理（Business Continuity Management）十一、符合性（Compliance）11个安全域，39个控制目标，133个控制点ISO27001信息安全管理体系介绍页数 36招商银行信息系统内部审计培训控制域控制域1 1：安全方针：安全方针信息安全方针文件信息安全方针文件的评审1.1信息安全方针信息

24、安全方针 依据业务要求和相关法律法规提供管理指导并支持信息安全 ISO27001信息安全管理体系介绍页数 37招商银行信息系统内部审计培训控制域控制域2 2：组织信息安全：组织信息安全信息安全的管理承诺信息安全协调 信息安全职责的分配信息处理设施的授权过程保密性协议2.12.1内部组织内部组织 在组织内管理信息安全 与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题2.2组织外部各方组织外部各方保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 ISO27001信息安全管理体系介绍页数 38招商银行信息系统内部审计培训控制域控制域3 3：资产

25、管理：资产管理资产清单资产责任人资产的合格使用3.13.1资产责任资产责任实现和保持对组织资产的适当保护 分类指南信息的标记和处理3.2资产分类资产分类确保信息受到适当级别的保护 ISO27001信息安全管理体系介绍页数 39招商银行信息系统内部审计培训控制域控制域4 4：人力资源安全：人力资源安全角色和职责背景审查任用条款和条件4.1任用之前任用之前确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险 管理职责信息安全意识、教育和培训 纪律处理过程4.2任用中任用中确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责

26、和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险终止职责资产的归还撤销访问权4.3任用的终止任用的终止或变化或变化确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系 ISO27001信息安全管理体系介绍页数 40招商银行信息系统内部审计培训控制域控制域5 5：物理和环境安全：物理和环境安全物理安全边界 物理入口控制 办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全5.1安全区域安全区域防止对组织场所和信息的未授权物理访问、损坏和干扰 设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处

27、置和再利用资产的移动5.2设备安全设备安全防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 ISO27001信息安全管理体系介绍页数 41招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理：通信和操作管理文件化的操作程序变更管理责任分割开发、测试和运行设施分离6.16.1操作程序和操作程序和职责职责确保正确、安全的操作信息处理设施 服务交付第三方服务的监视和评审第三方服务的变更管理6.26.2第三方服务第三方服务交付管理交付管理实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准 容量管理系统验收6.36.3系统规划和系统规划和验收验收将系统失效的风险降至最小

28、ISO27001信息安全管理体系介绍页数 42招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）控制恶意代码控制移动代码6.4防范恶意和防范恶意和移动代码移动代码保护软件和信息的完整性 信息备份6.5备份备份保持信息和信息处理设施的完整性及可用性 网络控制网络服务安全6.6网络安全管理网络安全管理确保网络中信息的安全性并保护支持性的基础设施 ISO27001信息安全管理体系介绍页数 43招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）可移动介质的管理介质的处置信息处理程序系统文件安全6.7介质处置介质处置防止资产

29、遭受未授权泄露、修改、移动或销毁以及业务活动的中断 信息交换策略和程序交换协议运输中的物理介质电子消息发送业务信息系统6.8信息的交换信息的交换保持组织内信息和软件交换及与外部组织信息和软件交换的安全 电子商务在线交易公共可用信息6.9电子商务服务电子商务服务确保电子商务服务的安全及其安全使用 ISO27001信息安全管理体系介绍页数 44招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）审计日志监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步6.10监视监视检测未经授权的信息处理活动 ISO27001信息安全管理体系介绍页数 45招商银行

30、信息系统内部审计培训控制域控制域7 7：访问控制：访问控制访问控制策略7.1访问控制的访问控制的业务要求业务要求控制对信息的访问 用户注册特殊权限管理用户口令管理用户访问权的复查7.2用户访问管理用户访问管理确保授权用户访问信息系统，并防止未授权的访问 口令使用无人值守的用户设备清空桌面和屏幕策略7.3用户职责用户职责防止未授权用户对信息和信息处理设施的访问、危害或窃取 ISO27001信息安全管理体系介绍页数 46招商银行信息系统内部审计培训控制域控制域7 7：访问控制（续）：访问控制（续）使用网络服务的策略外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路

31、由控制7.4网络访问控制网络访问控制防止对网络服务的未授权访问 安全登录程序用户标识和鉴别口令管理系统系统实用工具的使用会话超时联机时间的限定7.5操作系统访操作系统访问控制问控制防止对操作系统的未授权访问 信息访问限制敏感系统隔离7.6应用和信息应用和信息访问控制访问控制防止对应用系统中信息的未授权访问 ISO27001信息安全管理体系介绍页数 47招商银行信息系统内部审计培训控制域控制域7 7：访问控制（续）：访问控制（续）移动计算和通讯远程工作7.7移动计算和移动计算和远程工作远程工作确保使用移动计算和远程工作设施时的信息安全 ISO27001信息安全管理体系介绍页数 48招商银行信息系统内部审计培训控制域控制域8 8：信息系统获取、开发和维护：信息系统获取、开发和维护安全要求分析和说明8.1信息系统的信息系统的安全要求安全要求确保安全是信息系统的一个有机组成部分 输入数据验证内部处理的控制消息完整性输出数据验证8.2应用中的正应用中的正确处理确处理防止应用系统中的信息的错误、遗失、未授权的修改及误用 使用密码