ISMS基础教育课件

ＩＳＭＳ

基础教育CopyrightreservedbyRicohGroupISMSPromotionsecretariatISMS&Privacy品质保证课信息安全管理系统（ISMS）

信息是支撑企业的基础，同时也是具有财产价值的重要资产。

要维护信息安全，必须实施个人与环境这两种措施。信息安全管理系统（ISMS即是InformationSecurityManagementSystem）是指情报安全的确立、导入、运用、监控、调整、维持、及改善的一系列活动.

有助于组织有效的保护情报安全的一套管理体系

信息安全管理体系标准发展

信息安全管理体系标准的出现最早可以追溯到1993年，受英国贸工部的委托，开始汇集各优秀企业有关信息安全管理的最佳实践，准备推出信息安全管理的指南，该指南于1995年以BS7799-1的编号出版，虽然是英国标准，但出版后得到了各国的认可，并得到了广泛的应用，这包括英国本土，也包括亚洲的国家和地区。1998年，在指南应用了一段时间之后，BSI又适时发布了作为规范的BS7799-2，它作为一个可以认证的标准，为实践单位提供的纲领，从此BS7799成为一对标准。2000年，BS7799被提交ISO审议，拟升级为国际标准，由于种种因素，BS7799-1升级成为ISO17799：2000，而BS7799-2没有升级成功，保留了原有的编号。从2000年到2005年的期间，信息安全管理体系标准已经被全球认可，全球将近2000家组织获得了BS7799-2的认证，在中国有将近20家单位获得了此认证。2005年10月，BS7799-2成功升级为ISO27001标准，并且，以后信息安全管理体系标准，将要统一到ISO2700X系列上，除了现有的管理体系要求和管理指南之外，还将陆续出版其他指南，如下表所示：

ISO/IEC

Description27000Vocabularyanddefinitions术语和定义27001ISMSRequirement(BS7799-2)信息安全管理体系要求27002CodeofPracticeforISM(ISO17799:2005)信息安全管理指南27003ISMSImplementationGuidance信息安全管理体系实施指南27004ISMMetricsandMeasurement信息安全管理的测量27005RiskManagement(BS7799-3)风险管理事例说明上海理光生产集团ISMS构筑情况简介20040506070809101112200501020304050607080910ISMS構築スケジュール

000.経営者の理解001.プロジェクト計画002.組織立ち上げ003.方針・目標の策定004.情報資産の洗い出し005.リスク分析006.リスクアセスメント007.文書体系の整備010.コンプライアンス008.リスク対応計画と事業継続計画009.残留リスクと適用宣言書推進担当者教育011.内部監査員教育e-Learning011.部門独自教育012.内部監査013.認証審査通过事前準備上海理光集团情报安全基本方针

上海理光生产集团作为理光集团在中国的先进生产企业，在对应与日俱增的情报安全要求方面，为了不辜负顾客对我们的高度信赖，每位员工都要参与到情报安全管理系统构筑中去，以此来确保情报的机密性、完全性和可用性。我们应在遵守中国的法律法规，率先履行中国企业一员应尽的义务，努力成为理光集团中的模范企业的同时，通过不断提高经营质量，来加强企业竞争力。1管理层应在情报安全活动中起到模范带头的作用，同时彻底实施对员工的情报安全教育。2每位员工须理解情报安全管理的目的，遵守公司内部的情报安全方面的要求事项。3定期召开情报安全委员会议，不断进行情报安全方面的改善。4切实落实法律法规的要求事项。信息安全管理系统（ISMS）ISMS的三要素：机密性（C）：确保只有得到许可的人员才能访问情报。完全性（I）：保证情报及其处理方法正确且完整。可用性（A）：得到许可的利用者在必要时可以访问情报及关联资产。ISMS目的：企业的持续发展情报安全管理系统（ISMS）要执行有效的信息安全管理系统，必须执行以下事项：1）明确阐明现有的信息资产，并掌握其价值（计划—Plan）2）分析需要保护的信息资产的威胁与漏洞（执行—Do）3）选择并实施具体的措施（检查—Check）4）根据环境的实际发展变化审议正在实施的措施（行动—Act）

只有已经建立安全政策，并通过实施相关的定期安装、检查、运作、分析及审议，才能实现“信息安全管理系统”。情报资产-1在ISO17799：2000（国际标准）中规定：1、信息资产：数据库和数据文件、系统文档、用户手册、培训资料、操作或支持程序、持续性计划、撤退安排、归档信息；2、软件资产：应用软件、系统软件、开发工具和使用程序；3、实物资产：计算机设备、通信设备、磁性存储介质、其他技术设备、家具、食宿设备；4、服务：计算和通信服务、公共服务。資産的分類《情报安全管理手册》中定义：情报处理中收集、积累的情报或数据，头脑中的情报或数据，情报处理时必要的设备支援、情报通信网等的总称。情报资产的风险对个人及其他公司造成的损害对本公司形象的损害在正常任务之外导致额外任务的损害对企业发展的损坏对商业机会的损坏经济损坏缺乏安全性给企业带来的损害：结果：会危及商业运作持续进行的损害或导致我们声誉降低的损害。情报资产的风险实际威胁侵入破坏故障自然灾害……人为威胁社会工程盗窃因操作失误导致的信息泄漏……技术威胁破解……防病毒软件一、趋势防毒软件运行图标所表示的相关信息：1.蓝色图标，表示防毒软件正常运行。2.蓝色图标中出现小红点，说明服务端没有更新病毒库，在服务器完成更新病毒库后的5分钟内，客户端会自动更新病毒库，红色小点随之自动消失;3.蓝色图标中有两根线，表示防病毒软件已遭到损坏，可与IT联系，进行手动修复;4.图标全红，可能是网络断开;可能是病毒库没有升级;也可能说明文件损坏，需要重新安装;也有可能是操作面板管理工具中的“服务”未启动，调整到启动状态后，图标将出现;二、趋势防毒软件的安装、修复与病毒库升级：1.安装：通过网页进行安装，监控文件的安装目录为：C:\ProgramFiles\TrendMicro\OfficescanClient\PccNtMon2.修复：可双击\\srf-domain\ofcscan目录下的AUTOPCC文件进行修复;3.病毒库升级：公司台式PC上的防毒软件为自动升级;外出用笔记本电脑可通过互联网更新病毒库;三、病毒日志：1.服务端永久保存全公司的病毒日志;2.客户端最多可保存最近15天内的病毒日志;四、如果发现网络速度很慢，但不是因为病毒入侵，可通过网页查看当时的网络流量。关于计算机用户权限设置1.User权限不能安装程序，也不能进行系统设置;2.PowerUser权限不能安装程序，但可以进行系统设置;3.Administrator权限可在计算机上进行一切操作;4.请大家对计算机上的用户权限进行整理，并把密码设为6位以上、有数字和特殊符号的繁琐密码。情報資産脅威脅威と脆弱性风险対策（管理策）ISMS&PrivacyCopyrightreservedbyRicohGroupISMSPromotionsecretariat脆弱性（狼に弱い、足が遅い・・・）脆弱性脅威脅威と脆弱性纠正・予防策情報資産风险对策（管理策）ISMS&PrivacyCopyrightreservedbyRicohGroupISMSPromotionsecretariat脆弱性的纠正没有対策保护情报资产情報的密级分類CopyrightreservedbyRicohGroupISMSPromotionsecretariatISMS&Privacy(1)绝密是指非最高责任者特别批准的人员，不能对其公开的情报。(2)密是指不能向与业务上有关的部门人员以外公开的情报。(3)社外秘是指限于上海理光生产集团各公司内部共享的企业机密情报。(4)公开是指向公众开放的消息事件/事故概念病毒感染因不正当访问（进入）造成的受害。机器故障、网络系统故障。系统、应用服务器的误操作（包含处理出错）。情报资产的被盗、丢失、情报泄露、未受许可的带出公司。因不合适的会议地点、会议资料的分发等引起的事故。以上事例也包含发现征兆还未受害的事件/事故。理光员工的责任（1）禁止在公共场合洽谈业务（2）进入公司区域随身佩戴胸卡或员工证（3）在办公室有外来人员并且没人陪同时，应加以盘问（4）有外来人员进入时，应在洽谈区域会见

#对已发生的事件/事故及发现征兆还未受害的事件/事故也应按照相关流程进行报告。

#配合isms改进是每个员工的职责。日常信息安全措施（物理进出）日常信息安全措施密码控制1)使用别人无法猜测的密码密码设置要求：

~位数须达到8位或以上

~数字、大写、小写、特殊字符——4选3

~不能与前几次设置的密码有类似

~不能与本人姓名、工号有类似2）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。3）请勿将密码设置存储到个人计算机日常信息安全措施销毁信息规定1)销毁纸面信息

公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。2）销毁保密信息

密以上文件用粉碎机粉碎处理。3）社外密文档废弃到公司设置的[社外密文档废纸箱]内4）重要数据放到数据库后应销毁计算机本地上的数据5）移动存储设备使用完毕后应删除存储的信息或物理销毁移动存储设备日常信息安全措施电脑清理电脑中除IT预装的软件外，如需安装其它软件应通过IT部门实施，不得擅自安装；电脑中本地没有重要类的数据资料；ISMS的义务和责任1）员工应当于转岗时，或者于部门提出要求时，返还全部属于本部门业务相关的财物，包括记载着公司资料信息的一切载体；并不得以任何形式进行复制和记录。2）员工应当于离职时，或者于公司提出要求时，返还全部属于公司的财物，包括记载着公司资料信息的一切载体；并不得以任何形式进行复制和记录。