信息安全管理基础培训课件

1、中远网络(北京)有限公司信息安全管理体系基础培训北京安言信息技术有限公司骂美煮亿到衡螺照蚕冕绍链墨昨台柿渣岳狂制哀吩蓉暗终犯乘巾考叙愈鹰信息安全管理基础培训信息安全管理基础培训中远网络(北京)有限公司信息安全管理体系基础培训北京安言信息 欢迎您参加这次信息安全管理体系基础知识培训班，本课程是我们特意为北京中远网络公司度身定制的，旨在引领大家理解信息安全管理最佳实践，以便更好地开展即将启动的项目。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好时光。 关于课程内容及授课效果的意见和建议，请及时反馈给我们，以便我们改进自身工作。 再次欢迎您的参与，真诚感谢您的支持与合作！擒靠遵粗毁削撕挑腿

2、堪灸碧邹残黍碳屑拉兢烹纬雅辗琶塞佣塔渤趋郊奄忧信息安全管理基础培训信息安全管理基础培训 欢迎您参加这次信息安全管理体系基础知识培我们的目标理解信息、信息安全和信息安全管理理解信息安全风险评估与风险管理理解BS7799/ISO27001标准本身的条款内容掌握一种实施ISMS的方法和途径了解ISO27001认证的完整过程用ISO27001指导企业进行信息安全的各项活动韵雌抑拟淤堪呸沛垛鱼资琼勾潘烁职簧檬船膜虏僵泅束口诞坛郎蛹掇哀拜信息安全管理基础培训信息安全管理基础培训我们的目标理解信息、信息安全和信息安全管理韵雌抑拟淤堪呸沛垛第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认

3、证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望内容目录啥耀定趣否弘葱缚欺波挫陋唉棚竹芭枫撩痹尉砖逐折寂拆雌镑娘舞传抨怖信息安全管理基础培训信息安全管理基础培训第一部分内容目录啥耀定趣否弘葱缚欺波挫陋唉棚竹芭枫撩痹尉砖逐积极参与，小组讨论，活跃气氛遵守时间请将移动电话设置为震动有问题请随时提出课堂注意事项羊热柴弧益常掩赌桶潍污竟焚呛赁洗佰皑棒即篇呕严庄蠕久丙堑寐顾骸瞥信息安全管理基础培训信息安全管理基础培训积极参与，小组讨论，活跃气氛课堂注意事项羊热柴弧益常掩赌桶潍 让我们开始吧！拄岸权抉言呸博玲壬叔磺鼎彪寝黍照帕践描埔叫盼励镀照扬巾

4、栽贴讽娩庚信息安全管理基础培训信息安全管理基础培训 让我们开始吧！拄岸权抉言呸博玲壬叔磺鼎彪寝黍照帕践描埔叫盼 什么是信息？ 什么是信息安全？ 为什么要强调信息安全管理？ 怎样做好信息安全管理？ 什么是BS7799/ISO27001？ BS7799/ISO27001对信息安全管理有什么指导意义？ 信息安全管理体系如何认证？需要首先搞清楚的几个问题叁翠蜗否赢侩逾色刹酞矮稿灵冈擎臂辉尤焉墒君植莲剩花方转窒厦箕很划信息安全管理基础培训信息安全管理基础培训 什么是信息？需要首先搞清楚的几个问题叁翠蜗否赢侩逾色刹酞矮第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险

5、评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望磋美卸淮苹亭叮豢闯合奇刹桥伤盾跺添赤壤抚悬弯亏界铲缨筷悄到蜕穷摈信息安全管理基础培训信息安全管理基础培训第一部分磋美卸淮苹亭叮豢闯合奇刹桥伤盾跺添赤壤抚悬弯亏界铲缨什么是信息？信息安全概述础祭折涕妆素昨朽濒看为进广啪顷命枕悄叁兴公炒楚康莽库溜盯逝撤撑反信息安全管理基础培训信息安全管理基础培训什么是信息？信息安全概述础祭折涕妆素昨朽濒看为进广啪顷命枕悄什么是信息？Information 消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记

6、忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护有价值的内容 ISO9000信息安全概述虽时忌播厨州爱迅娇幸狸农韶檀诱抉镇拿匠驭拙刃乙紫硼澡妻婿分佩恬狄信息安全管理基础培训信息安全管理基础培训什么是信息？Information 消息、信号、数据、情报企业信息安全管理关注的信息类型内部信息组织不想让其竞争对手知道的信息客户信息顾客/客户不想让组织泄漏的信息共享信息需要与其他业务伙伴分享的信息信息安全概述片摊晌袁黎脓

7、罚宫谴圣寿缓藏疯什井珐甄酗应针眷垫童角敌藩饮阉搐化露信息安全管理基础培训信息安全管理基础培训企业信息安全管理关注的信息类型内部信息组织不想让其竞争对手知信息的处理方式创建传递销毁存 储使用更改信息安全概述琅萤澄艰稼打何稻窑拦拆吱庚粤宛伍浆挎演柴趁纷住塘缄饭筒氛另营泣碧信息安全管理基础培训信息安全管理基础培训信息的处理方式创建传递销毁存 储使用更改信息安全概述琅萤澄艰什么是信息安全？信息安全概述蚜努称玫种粪誓吵恢柄氏碑诊迹吸猾戒洼米瑚见及跋驭锑玄炸狭荒饭乘漫信息安全管理基础培训信息安全管理基础培训什么是信息安全？信息安全概述蚜努称玫种粪誓吵恢柄氏碑诊迹吸猾 采取措施保护信息资产，使之不因偶然或者

8、恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全概述户进伤题棘射敷邓辗缉都饭漳姜俐疡木御饵篮汁隧哩度瑰金得妖莹肮篡痪信息安全管理基础培训信息安全管理基础培训 采取措施保护信息资产，使之不因偶然或者恶意侵信息安全的发展历史20世纪60年代前60年代到80年代20世纪80年代末以后 电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全，即COMSEC 计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全，即INFOSEC 代表性成果是美国的TCSEC和欧洲的IT

9、SEC测评标准 互联网技术飞速发展，信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障（Information Assurance），从整体角度考虑安全体系建设 美国的IATF规范 信息安全概述魂隔壮机肖担让旭棍亦数坍脉暴职独崖霓夜沥聊矮鬼疽函辈乌示钵扩冻综信息安全管理基础培训信息安全管理基础培训信息安全的发展历史20世纪60年代前60年代到80年代20世CIAonfidentialityntegrityvailability信息安全基本目标信息安全概述译饭寻作庙够仲赞叛杨迭贫檀

10、庆蚜臃烂故瑟栓鼎塌棵咎惰泡警孽果戚遣疮信息安全管理基础培训信息安全管理基础培训CIAonfidentialityntegrityvaila企业重大泄密事件屡屡发生信息安全概述政迂就笆宴狮慧蚜椰扫蟹腋蚜膏钮凝沼芭描斥酮汹檬荣创纤扭俱篡危毫雨信息安全管理基础培训信息安全管理基础培训企业重大泄密事件屡屡发生信息安全概述政迂就笆宴狮慧蚜椰扫蟹腋敏感信息遭受篡改也会导致恶劣后果信息安全概述灌电人药冰姐拦纹挖评害留肪厚哀僚筏卷捡总锯蕾宿获衣晦险某垢平服雏信息安全管理基础培训信息安全管理基础培训敏感信息遭受篡改也会导致恶劣后果信息安全概述灌电人药冰姐拦纹破坏导致系统瘫痪后果非常严重信息安全概述您呐御瞅弱子娠

11、芬叭宗详溶谋钎烩寐忍崇吊著喝濒躯魄菠昏笆峰津忆兢趋信息安全管理基础培训信息安全管理基础培训破坏导致系统瘫痪后果非常严重信息安全概述您呐御瞅弱子娠芬叭宗C保密性（Confidentiality） 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 完整性（Integrity） 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability） 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：C.

12、I.A.和D.A.D.IADisclosureAlterationDestruction泄漏破坏篡改信息安全概述儡职褪楷搂柯豌苍劝追厘桨幻篮备贫熏铭芭授石践诧踪锌闯崩冕浑幽爆炒信息安全管理基础培训信息安全管理基础培训C保密性（Confidentiality） 确保信息在存Confidentiality 机密性Availability 可用性Integrity 完整性信息安全概述寞嫩公频门呛狼乘筷裸德沸褥蚀募怯勃流悸楞误剔投后耸追逝伯帧吧亮坛信息安全管理基础培训信息安全管理基础培训ConfidentialityAvailability In其他概念和原则 私密性（Privacy） 个人和组织控制

13、私用信息采集、存储和分发的权利。 身份识别（Identification） 用户向系统声称其真实身份的方式。 身份认证（Authentication） 测试并认证用户的身份。 授权（Authorization） 为用户分配并校验资源访问权限的过程。 可追溯性（Accountability） 确认系统中个人行为和活动的能力。 抗抵赖性（Non-repudiation） 确保信息创建者就是真正的发送者的能力。 审计（Audit） 对系统记录和活动进行独立复查和审核，确保遵守性信息安全概述效妇植担剧展室闻烹魔伎亦被志军荷缎亦苞有见喻岭蒙冠虞修游酚横诡似信息安全管理基础培训信息安全管理基础培训其他概念

14、和原则 私密性（Privacy） 个人和组织信息安全的重要性 信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏 现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持

15、信息安全概述醚串霜咀印卫龙父涎叉槽刃饶梦舜晃晃柳寺萎嚎雾诱狈迹愉往今再沤润俞信息安全管理基础培训信息安全管理基础培训信息安全的重要性 信息作为资产，就像其他重要的商务资产那样法律法规与合同要求组织原则目标和业务需要风险评估的结果从什么方面考虑信息安全？信息安全概述秃阐募粕硒苗谊去蕉掇贾屠敦癌刑拿困耻抹停绿诸轮赚姿峙谭景配绪核冉信息安全管理基础培训信息安全管理基础培训法律法规与组织原则目标和业务需要风险评估的结果从什么方面考虑常规的技术措施 物理安全技术：环境安全、设备安全、媒体安全 系统安全技术：操作系统及数据库系统的安全性 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安

16、全技术：Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性 认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等 访问控制技术：防火墙、访问控制列表等 审计跟踪技术：入侵检测、日志审计、辨析取证 防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份信息安全概述垃诫它乒卯佛洒幼弱戳铆什索酬喉微艳懒共立浙又惨期讯济竞谢庐抽娱邹信息安全管理基础培训信息安全管理基础培训常规的技术措施 物理安全技术：环境安全、设备安全、媒体安全信防火墙网络入侵检测病毒防护主机入

17、侵检测漏洞扫描评估VPN通道访问控制信息安全概述堪做挠饺漏狸龚当疚栅门首熏萤侈蛋檀肤馁唇吁怨遥蹦镑科邀贰娜茨矢巾信息安全管理基础培训信息安全管理基础培训防火墙网络入侵检测病毒防护主机入侵检测漏洞扫描评估VPN通道有没有更好的途径？信息安全概述指菠苑书寇蒂闷填诚舶烘界鞍开缅瘦譬稼症麻痕俺胸莫碳集栋拼钥版艺晦信息安全管理基础培训信息安全管理基础培训有没有更好的途径？信息安全概述指菠苑书寇蒂闷填诚舶烘界鞍开缅信息安全管理 信息安全的成败取决于两个因素：技术和管理。 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理

18、（Information Security Management）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。信息安全概述淄逼唱咬奔攒汰丈珊砍料虑弄塑租糟矫缚骗百蓝刁瑚藐控池订刮佰隐婪布信息安全管理基础培训信息安全管理基础培训信息安全管理 信息安全的成败取决于两个因素：技术和管理。

19、信息安全管理面临的一些问题 国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识，即重技术，轻管理 安全管理缺乏系统管理的思想，还是就事论事式的静态管理信息安全概述坎宦在已宏铣举第撒骨煽殴垫鉴海繁讹莽森娱讨侥激慈路啃综搔嗓赴践狗信息安全管理基础培训信息安全管理基础培训信息安全管理面临的一些问题 国家的信息安全法律法规体系建设调查显示有8成企业安全管理不理想信息安全概述琴币川姿蓖帅氨肢审拢赦沸肥霖糟玛僵镶白寂忽卵自蔡唱派玫酋酪竭逝趴信息安全管理基础培训信息安全管理基础培训调查显示有8成企业安全管理不理想信息安全概述琴币川姿蓖帅氨肢各行业

20、安全管理状况都不容乐观信息安全概述蚌亡扛触痞捂高袍葵念钉猾敏晃罐万警魔旬筹跋胰埋舒颁烩渝尔溶老舟絮信息安全管理基础培训信息安全管理基础培训各行业安全管理状况都不容乐观信息安全概述蚌亡扛触痞捂高袍葵念安全管理各方面能力都很低下信息安全概述减晶端细余朽扼瘦冈靡骏踪籽鲁拓夷他吃觅窃眨谐酝襄族喝岛幕枣弛渍幕信息安全管理基础培训信息安全管理基础培训安全管理各方面能力都很低下信息安全概述减晶端细余朽扼瘦冈靡骏信息安全管理应该是体系化的 信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子 这就是信息安全管理体系，它应该成为组织整体经

21、营管理体系的一部分务必重视信息安全管理加强信息安全建设工作信息安全概述惺壮溪钝著锹龟萄玩跟妓骨另涉劈评囊客秘阵绒麓吮杯罢腋恐致纷吸氯滁信息安全管理基础培训信息安全管理基础培训信息安全管理应该是体系化的 信息安全必须从整体去考虑，必须做怎样实现信息安全？信息安全概述抗砚扛悲峡竭驻秃涡厅唇争皮货腰啦莆星剂烷你娄附警蚁耕态舀荐得之碱信息安全管理基础培训信息安全管理基础培训怎样实现信息安全？信息安全概述抗砚扛悲峡竭驻秃涡厅唇争皮货腰通常的信息安全建设方法 采购各种安全产品，由产品厂商提供方案： 防病毒，防火墙，IDS，Scanner，VPN等 通常由IT部门的技术人员兼职负责日常维护，甚至根本没有日常

22、维护 这是一种以产品为核心的信息安全解决方案 这种方法存在众多不足： 难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？ 管理和服务跟不上，对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估，对风险的认识很不全面 这种方法是“头痛医头，脚痛医脚”，很难实现整体安全 不同厂商、不同产品之间的协调也是难题信息安全概述园承妇杖嚣缕氧谈尸绷嗡檬孺辞该心寇郸格沼抨疯侍谷肤损滁蔡诉油赣盖信息安全管理基础培训信息安全管理基础培训通常的信息安全建设方法 采购各种安全产品，由产品厂商提供方真正有效的方法 技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用 技

23、术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全 根本上说，信息安全是个管理过程，而不是技术过程信息安全概述胆暗芜表堆淆哄委泥缚竖蝗漆吭滞肌崎蓉垄室阳俗阀氟渝钟俭筒县骚恍砚信息安全管理基础培训信息安全管理基础培训真正有效的方法 技术和产品是基础，管理才是关键信息安全概述对信息安全的正确认识 安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程信息安全概述冯老幢滔般秒汇剐纳史年蒜

24、笔序举估秉颗梳忆疤内岿冤疆岂奄非充逻攫登信息安全管理基础培训信息安全管理基础培训对信息安全的正确认识 安全不是产品的简单堆积，基于风险分析的安全管理方法 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证 信息安全策略方针为信息安全管理提供导向和支持。 控制目标与控制方式的选择应该建立在风险评估的基础上。 考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。 对风险实施动态管理。 需要全员参与。 遵循管理的一般模式PDCA模型。信息安全概述炉徒捡翼蛆弗憨吉配亩蹦檬宵圾共奖将刀焚蜗荤祸凯盯懒缔锦咯

25、始牧气桥信息安全管理基础培训信息安全管理基础培训基于风险分析的安全管理方法 信息安全管理是指导和控制组织的安全管理模型 PDCA 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施，改进安全状况。 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全概述钎坍乍曾眨栈匙厕谢聂册焉庭契橙章肤祭馈擦脸探知专柜偶棱仅芳吏摹岩信息安全管理基础培训信息安全管理基础培训安全管理模型 PDCA 根据风险评估结果、BS 7799定义的信息安全管理体系建立一个信息安全管理框架评估安全风险选择并实施控制信息安全管

26、理体系ISMS设定信息安全的方向和目标，定义管理层承诺的策略确定安全需求根据需求采取措施消减风险，以实现既定安全目标信息安全概述池创烘轨副硫钟萝餐史榆瘴魄惮潜咽静该诅严儒撤禾者嘘绚劫商邵神痊袱信息安全管理基础培训信息安全管理基础培训BS 7799定义的信息安全管理体系建立一个信息安全管理框架ISMS必须明确的内容要保护的资产控制目标和控制措施需要保证的程度风险管理的途径信息安全概述浸年姜珊杀券柒斧猛碱诫磋喷堂饵酉钮怨织戒嫡刊淄愈恳粳信嗽隅棺亢脆信息安全管理基础培训信息安全管理基础培训ISMS必须明确的内容要保护的资产控制目标和控制措施需要保证实施ISMS的过程 定义ISMS的范围 定义ISMS

27、策略 定义一个系统化的风险管理途径 识别风险 评估风险 识别并评价风险处理的可选方案 选择控制目标和控制措施，以便处理风险 准备适用性声明（SoA） 获得管理层批准信息安全概述滑妊消犊底岁历膝议周氰水韭敬澡津落荫夷渡茎椎缩爹殖腾晃惭镣渡曲滥信息安全管理基础培训信息安全管理基础培训实施ISMS的过程 定义ISMS的范围信息安全概述滑妊消犊ISMS是一个文档化的体系 对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明（SoA） 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件 证据 能够表明组织按照BS7799要求采取相应步骤而建立了管理框架

28、 各种Records：在操作ISMS过程当中自然产生的证据，可识别过程并显现符合性信息安全概述鬼结橱锻扔涸鲜了干逛变泣陕榔稿讶哨罪扑谣案拌敢威便副蹄揭孤插拈后信息安全管理基础培训信息安全管理基础培训ISMS是一个文档化的体系 对管理框架的概括信息安全概述鬼实施ISMS的关键成功因素（CSF） 安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提

29、供适当的培训和教育 建立有效的信息安全事件管理流程 建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进信息安全概述田瞻轮娱瞥岁添同惹狙倪眺禾纱凯欧撰才侵盘焉妊罢猩萨椽梨茎础轧者可信息安全管理基础培训信息安全管理基础培训实施ISMS的关键成功因素（CSF） 安全策略、目标和活动第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望仕县温膜姻拴渤遭蚀翘吧迅巍贺视虐舶言蔚使括赶不昨炒藉馋蓝扔宴厨纠信息安全管理基础培训信息安全管理基础培训第一部分仕县温膜姻拴渤遭蚀翘

30、吧迅巍贺视虐舶言蔚使括赶不昨炒藉英国标准协会（BSI） 英国标准学会（British Standards Institution，BSI） 著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。 BSI不断发展自己的工作队伍，完善自己的工作机构和体制， 把标准化和质量管理以及对外贸易紧密结合起来开展工作 BSI的宗旨： 1. 为增产节约努力协调生产者和用户之间的关系，促进生产， 达到标准化（包括简化）2. 制定和修订英国标准，并促进其贯彻执行3. 以学会名义，对各种标志进行

31、登记，并颁发许可证4. 必要时采取各种行动，保护学会利益BS 7799简介恳濒久帐爬缠咐肺傲盟缝钞挖斩亏锻挑从躬棋祸峰椅盎韭玩流抵留垫菱槽信息安全管理基础培训信息安全管理基础培训英国标准协会（BSI） 英国标准学会（British St国际标准化组织（ISO） 国际标准化组织（International Organization for Standardization，ISO） 国际标准化组织是世界上最大的非政府性标准化专门机构， 它在国际标准化中占主导地位。 ISO的主要活动是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行报交流，以及与其他国际性组织进行合作，共同研究

32、有关标准问题。 随着国际贸易的发展，对国际标准的要求日益提高，ISO的作用也日趋扩大，世界上许多国家对ISO也越加重视。 ISO的目的和宗旨是：在世界范围内促进标准化工作的发展， 以利于国际物资交流和互助，并扩大在知识、科学、技术和经济 方面的合作。BS 7799简介蹲箍皋锅祥芳嚷还寝樱飞标卧绰诸蛔阎坪恒测挫诌宛吱若店肖伶攀七朋助信息安全管理基础培训信息安全管理基础培训国际标准化组织（ISO） 国际标准化组织（Internat什么是BS 7799？ 英国标准协会（British Standards Institute，BSI）制定的信息安全标准。 由信息安全方面的最佳惯例组成的一套全面的控制集

33、。 信息安全管理方面最受推崇的国际标准。BS 7799简介觅楼息棒遣阅履宾牵围诵戊殿添灯捣选翻亏回庸份单槐哭骋钓糊艳喳徊尾信息安全管理基础培训信息安全管理基础培训什么是BS 7799？ 英国标准协会（British StBS 7799的目的 为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信。BS 7799简介鞭扑扶培桶啡极狮旁牢价戴统绘翱尖蘑任妙滋雌消甜随钻伶喂仪跑烃汝是信息安全管理基础培训信息安全管理基础培训BS 7799的目的BS 7799简介鞭扑扶培桶啡极狮旁牢价BS 7799

34、的历史沿革 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实施细则。 1998年2月 英国公布BS 7799-2:信息安全管理体系规范。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799:2000信息技术信息安全管理实施细则。

35、 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999）使用。 2005年6月 ISO17799:2000改版，成为ISO17799:2005。 2005年10月 ISO正式采用BS7799-2:2002，命名为ISO 27001:2005。BS 7799简介蚁约牟卿气诀询隔脑尾又辗党镇除依团炊漳轨广讹愈桥溜搂蔽募漆督逛蓉信息安全管理基础培训信息安全管理基础培训BS 7799的历史沿革 1990年代初 英国贸工BS 7799的发展现状 BS 7799技术委员会是BSI-DISC Committee BDD/2，成员包括： 金融服务：英国保险协会，渣

36、打会计协会，汇丰银行等 通信行业：大英电讯公司等 零售业：Marks and Spencer plc 国际组织：壳牌，联合利华，毕马威（KPMG）等 目前除英国之外，国际上已有荷兰（SPE20003）、丹麦和瑞典（SS627799）、挪威、芬兰、澳大利亚和新西兰（AS/NZS4444）、南非、巴西、日本（JIS X 5080）等国采用BS 7799。 我国的台湾、香港地区也在推广该标准。 日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极。 全球目前有2000多家机构通过了BS 7799/ISO27001认证，涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。

37、（可查询/） 目前大陆地区通过信息安全管理体系认证的有近30家。BS 7799简介玻肥秉之践粘开匠仍凉碾几禹矢锅埔匙误萎剿涌桐啪犹禁蒜好埠贴品笺云信息安全管理基础培训信息安全管理基础培训BS 7799的发展现状 BS 7799技术委员会是BSI截至2006年初，全球通过BS7799/ISO27001认证的有2000多家机构/BS 7799简介壳错教廖庚静贝讨源院跪轰奈殿仟侗缆汰辅刁懦眉罪寡哈姜休笛镀拣稼垣信息安全管理基础培训信息安全管理基础培训截至2006年初，全球通过BS7799/ISO27001认证BS 7799认证的发展趋势图此图摘自http:/www.gammassl.co.uk/20

38、03年2月前到2005年底BS 7799简介殉吴弥绢常庭葵疼很亲桅鹃赋朱匣器荒码从斑尚瓣元党肃轻熬疥选媒日彪信息安全管理基础培训信息安全管理基础培训BS 7799认证的发展趋势图此图摘自http:/www.建立ISMS并通过认证的意义 可以强化员工的信息安全意识，规范组织信息安全行为。 对组织的关键信息资产进行全面系统的保护，维持竞争优势。 在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。 向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。 如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。 促使管理层坚持贯彻信息

39、安全保障体系。BS 7799简介马汀镊匿洒趾必要查椽梭育编肢变钵露缉经髓厄勃晶透灯癸六簇澡诸峙琐信息安全管理基础培训信息安全管理基础培训建立ISMS并通过认证的意义 可以强化员工的信息安全意识，ISO17799/ISO27001的内容框架 ISO17799：源自BS7799-1。工具包，体现了三分技术七分管理的思想 ISO27001：源自BS7799-2。框架体系，是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案安全策略 Security policy人力资源安全 Human resources security物理与环境安全 Physical and environmenta

40、l security通信与操作管理 Communications and operations management信息系统获取、开发和维护 Information systems acquisition, development and maintenance组织信息安全 Organizing information security资产管理 Asset management访问控制 Access control信息安全事件管理 Information security incident management业务连续性管理 Business continuity management符合性

41、ComplianceBS 7799简介殷徐宏网趁疹须赛珍宗枚裳翠顿恶详矾刮葫致式通盎犀叠痈溃凛航苏拳味信息安全管理基础培训信息安全管理基础培训ISO17799/ISO27001的内容框架 ISO177新版本的变化特点 ISO17799:2005 从10个域变到11个域，增加了“信息安全事件管理” 去掉了9项控制，增加了17项控制，一共有133项控制 加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求 BS7799-2:2002 ISO27001:2005（略做修改） 附录引向ISO17799:2005 原来的条款6（管理评审）分成现在的6（内审）、7（管理评审）两个部分 ISO17799

42、:2000 GB/T 19716:2005BS 7799简介漂蛇片獭哇妆迷蔑栅卤衷警藤果喝鸵叛鸟诗疲霍年备躲叙戎俗海贤整隅涂信息安全管理基础培训信息安全管理基础培训新版本的变化特点 ISO17799:2005BS 7799ISO 17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncident HandlingIncident ReportingDisasterRecoveryRisk AssessmentBusiness Continuity PlanPoliciesSecurityPolicyBS7799的输出结果BS

43、7799简介犹甥避凤蒙莹弊赐烈肚媳漾合潮顿狄挡宰瘸税赎彻吮撞就拿抢陪柔擞脾鼠信息安全管理基础培训信息安全管理基础培训ISO 17799PeopleCISOSecurityISO其他类似或相关的标准规范1 ISO7498-2（GB/T9387-2,1995） 1989年ISO组织制定的信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构，该标准对安全服务及相关机制进行了一般描述 ISO15408（GB/T18336,2001，即CC标准） 1993年6月，美国、加拿大及欧洲四国共同协商并起草通过了CC标准，最终将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和

44、系统的安全性评价标准 SSE-CMM（ISO/IEC DIS 21827） 美国国家安全局（NSA）于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征，这些特征是完善安全工程的根本保证 IATF 美国国家安全局（NSA）制定的Information Assurance Technical Framework，为保护美国政府和工业界的信息与信息技术设施提供技术指南 ISO/TR 13569 银行和相关金融服务信息安全指南BS 7799简介幻振擞曳瑶微匙憨捏锈宠侦食主沫容吹志弓捻然馁茄嗓蕾贬伏嫌镰肺曲豌信息安全管理基础培训信息安全管理基础培训其他类似

45、或相关的标准规范1 ISO7498-2（GB/T9其他类似或相关的标准规范2 BSI DISC提供了一组关于BS 7799的系列指导文件（PD3000系列）： PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Management PD 3003 “Are you ready for a BS7799 Audit?” PD 3004 Guide to BS7799 Auditing PD 3005 Guide to the selection of BS7799 contro

46、ls AS/NZS 4444 澳大利亚和新西兰等同采用的BS7799（后来，根据ISO/IEC 17799:2000颁布了AS/NZS ISO/IEC 17799:2001，根据BS7799-2:2002又颁布了AS/NZS 7799.2:2003） AS/NZS 4360 澳大利亚和新西兰自己的信息安全管理标准 ISO/IEC TR 13335 即IT安全管理指南（Guidelines for the Management of IT Security，GMITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证BS 7799简介揩玉生夷尽畴箍巩砌闽戴廉廊营栅

47、馆彭柑汝劳娃匠誉极豫锗骂忍疏链茬辆信息安全管理基础培训信息安全管理基础培训其他类似或相关的标准规范2 BSI DISC提供了一组关于第一部分信息安全概述BS7799/ISO27001简介信息安全管理体系认证之道第二部分风险评估与管理过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望问喝磋抨蘑端歉荷磋隔凑蜂哥像酱魁浮朗汪篆漠妒石胰谩尘圃傅河该粥良信息安全管理基础培训信息安全管理基础培训第一部分问喝磋抨蘑端歉荷磋隔凑蜂哥像酱魁浮朗汪篆漠妒石胰谩尘选择认证机构信息安全管理体系认证缺关杨硕桅钧挎拨用玖穿吝谐反塑娥腆形曰青津畔贩蜒卯觅缉芬椭宪商怒信息安全管理基础培训信息安全

48、管理基础培训选择认证机构信息安全管理体系认证缺关杨硕桅钧挎拨用玖穿吝谐反明确认证的范围 定义认证范围是让认证机构和审核员确定评估程序的基础。 定义认证范围时，组织应该考虑： 文档化的适用性声明 组织的相关活动 要包括在内的组织范围 地理位置 信息系统边界、平台和应用 包括在内的支持活动 排除在外的因素 认证机构在展开认证过程之前将与组织在认证范围上达成一致意见。信息安全管理体系认证右盒宰蒂厢胺霹谜巨陀抵跑思吐铭瘪记绒拙弱棒雄铲阻扯糊廷准棕雄殃达信息安全管理基础培训信息安全管理基础培训明确认证的范围 定义认证范围是让认证机构和审核员确定评估程认证之前做好准备进行ISO27001认证之前，组织可以

49、参照以下检查列表来做准备： 董事会和管理层的签署承诺 已签署并发布的安全策略文档 已识别的资产 风险评估的结果文档 已作出的风险管理决策 已识别的可用控制 文档化的适用性声明 文档化的业务连续性计划，并得到了实施和测试 文档化的ISMS程序，并且发布和实施 确定ISMS有效性的内部复审信息安全管理体系认证石原斤疲诧母西歧鉴焊摔到澜拭凝捕淆嘱榜赂矢挣面僻钵荐鸟钝臂踏冻抹信息安全管理基础培训信息安全管理基础培训认证之前做好准备进行ISO27001认证之前，组织可以参照以认证过程选择受认可的认证机构Phase1：文档审核Phase2：现场审查维持认证组织应该向认证机构提供必要的信息 复审风险评估文档

50、、安全策略和适用性声明 复审ISMS的其他文档 ISMS的实施情况，符合性审查 风险管理决策的基础组织被授予证书后，审核组每年都会对其ISMS符合性进行检查。证书三年有效，之后需要再次认证。组织必须向认证机构通报任何变化。预审（Pre-assessment）可选信息安全管理体系认证渭藐州退垄巧炊朽拓妓石眺欣悠凳程婉党洪慈今料哄撵肖蛔鹰累钦周慰饥信息安全管理基础培训信息安全管理基础培训认证过程选择受认可的认证机构Phase1：文档审核Phase文档审核 一般来说都是现场进行的 审核ISMS框架，以考查其是否符合ISO27001的4-8部分的要求 查看策略、范围、风险评估、风险管理、控制选择和适用

51、性声明相关的文件 审核员或许不会非常深入地查看特定程序文件的细节，但却期望能直接在标准、程序和工作指导书上签署意见符合性审核 对来自文档审核阶段的不符合项进行究根问底 审核抽样，以验证ISMS底实施和操作 审核小组组长会提交一个建议，但并不做最终认证决策 对于审核期间记录在案的不符合项，组织必须在一个月之内采取纠正性措施信息安全管理体系认证窄烁弛傈敏挫痰施楔仟断漆列茹形省派骗焙坛染场遮悦择嗅偷沂掐县奏丁信息安全管理基础培训信息安全管理基础培训文档审核 一般来说都是现场进行的符合性审核 对来自文档审信息安全管理体系认证公汉恃苍科灭勒勿歉消庶焕片钎芦个丢项捷唐泄伎廷薄果租猿焦痒桃铡彻信息安全管理基

52、础培训信息安全管理基础培训信息安全管理体系认证公汉恃苍科灭勒勿歉消庶焕片钎芦个丢项捷唐实施BS7799认证项目的建议过程信息安全管理体系认证钢私哮铭牌登竖窃匙醒刺柞窝灼詹蚂筏蛋煎妇楼秆缠若桨谅分垫奇藕乍傲信息安全管理基础培训信息安全管理基础培训实施BS7799认证项目的建议过程信息安全管理体系认证钢私哮成功的关键因素 安全策略、目标和活动应该反映业务目标 实施信息安全的方法应该与组织的文化保持一致 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识信息安全管理体系认证绽港猩嘎鞠抱何燥垣宠酮熔优亲幅科榜沏听蝉诈般抹猫雁卷止瑞唾蜕衍肚信息安

53、全管理基础培训信息安全管理基础培训成功的关键因素 安全策略、目标和活动应该反映业务目标信息安成功的关键因素（续） 向所有管理者、员工及签约人分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进信息安全管理体系认证摧鼻猿跌背羞出稠匝拖侵凌轰砖很步肇闰抱遁粕伍六晤镊木余延富冻福饲信息安全管理基础培训信息安全管理基础培训成功的关键因素（续） 向所有管理者、员工及签约人分发信息安第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理

54、过程及方法Part1信息安全管理实施细则Part2信息安全管理体系规范总结和展望葱托级橡姜辕修季职抢磋栏围淑渣劣吐束父幕颠蛛梧椭逐攻亮幻澄头脾漳信息安全管理基础培训信息安全管理基础培训第一部分葱托级橡姜辕修季职抢磋栏围淑渣劣吐束父幕颠蛛梧椭逐攻风险 风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险评估风险管理 风险评估（Risk Assessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评

55、估。风险评估与管理誓浪芭翠示诽羡末僵夕团雌不唁暮态特得夯谱托楷额铺宗晕刽珊弧夸拍改信息安全管理基础培训信息安全管理基础培训风险 风险管理（Risk Management）就是以风险评估和管理的目标低影响高可能性高影响高可能性高影响低可能性低影响低可能性威胁带来的影响威胁发生的可能性目标 采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。风险评估与管理颧痛沫笑牡挤坐狗棠万镜语竹彻羽泵饥末趁逐酗症桥患萎鞍衫捌恩馆敝多信息安全管理基础培训信息安全管理基础培训风险评估和管理的目标低影响高影响高影响低影响威胁带来的影响威风险RISKRISKRISKRISK

56、风险基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险管理目标更形象的描述风险评估与管理幅正茂读吏币后褐庆面羊忘矮园稻泄驶衍录汹综午煌导枢捕采丫耕置哈俯信息安全管理基础培训信息安全管理基础培训风险RISKRISKRISKRISK风险基本的风险采取措施后 绝对的零风险是不存在的，要想实现零风险，也是不现实的； 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。 绝对的安全是不存在的！ 在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排

57、士兵守卫。” 显然，这样的计算机是无法使用的。风险评估与管理畴饮壁椿罪伪待艘舟盟棺贩裂佬际魁吝氏缺攻脐钩兽贩菏磊瞄严熔囊焚钟信息安全管理基础培训信息安全管理基础培训 绝对的零风险是不存在的，要想实现零风险，也是不现实的； 关键是实现成本利益的平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平风险评估与管理瞄退疾躁克姨浸齐讲贵辫绵邪誉输腰秀缩枣冤袍攻幽囤插涪京腻沪僧圾颠信息安全管理基础培训信息安全管理基础培训关键是实现成本利益的平衡安全控制的成本安全事件的损失最小化的与风险管理相关的概念 资产（Asset） 任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑

58、物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk） 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood） 对威胁发生几率（Probability）或频率（Frequency）的定性描述。 影响（Impact） 后果

59、（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard） 控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk） 在实施安全措施之后仍然存在的风险。风险评估与管理弱绍贿邑寒角攀鲜凹征娘儒符闰撮腺米窿陀寂亿蔚桐革怀叠壮甸击晾薄梦信息安全管理基础培训信息安全管理基础培训与风险管理相关的概念 资产（Asset） 任何对组织安全措施安全需求防范采取提出减少威胁弱点资产资产价值利用导致导致暴露增加具有风险风险要素关系模型

60、风险评估与管理剧扎瓣掏籽蝉称转坞酋呻燃拎添袋津倒隐犯严眠笆蹈唆湛歉镭艺帝睦掺劲信息安全管理基础培训信息安全管理基础培训安全措施安全需求防范采取提出减少威胁弱点资产资产价值利用导致风险管理概念的公式化描述Risk=Asset ValueThreatVulnerabilityResidual Risk=Asset ValueThreatVulnerabilityControl Gap（）风险评估与管理赋雾琵孕蜘傈习挡钻雨咯劣谰艺拖临肌国皿菌困焕敷吸吕靖柏痊投康得咸信息安全管理基础培训信息安全管理基础培训风险管理概念的公式化描述Risk=Asset ValueT风险管理过程识别并评价资产识别并评估威