第一部分：信息安全基础知识

ISMS内审员培训课程SGS-CSTC通标标准技术服务有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

第一部分信息安全基础知识及案例介绍第二部分ISO27001标准正文部分详解

ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分

信息安全管理体系内部审核课程内容了解信息安全基础知识熟悉ISO27001标准熟悉信息安全风险管理的基本方法熟悉和掌握信息安全管理体系内审方法和技巧总体课程目标欢迎参加ISMS内审员课程培训

SGS-CSTC介绍讲师介绍第一部分信息安全基础知识了解信息安全基础知识认识信息安全对组织的重要性了解基本的攻击与防御技术知识通过信息安全案例增强安全意识初步接触ISO/IEC27001:2005教学目标信息是经过分析、共享和理解的数据。信息的基本概念信息的处理方式企业管理关注的信息类型雇员的大脑：42%；纸质文件：26%；电子文档：20%其他：12%；“不论信息采取何种方式或采取何种手段共享或存储，它总应得到妥善保护”组织的“信息”在哪里？信息安全定义（部分）国标《计算机信息系统安全保护等级划分准则》定义：“计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统，实现安全保护的关键因素是人。“部标《计算机信息系统安全专用产品分类原则》定义是：“本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。”ISO27002定义：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”国际标准化委员会定义：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏（可用性）、更改（完整性）、显露（机密性）”信息安全定义百家争鸣、无一定论所涉及安全属性所涉及层面管理/人员安全数据/信息安全运行安全实体/物理安全应用安全系统安全网络安全物理安全信息安全

数据安全信息安全分层机密性(Confidentiality)完整性可用性（Integrity

）

(Availability)机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）国际国内一些学者信息安全的定义ISO/IEC27002：2005保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、不可否认性和可靠性。保密性完整性可用性信息安全的定义Slide18,rev0ISO27002CMM/CMMISCAMPI(StandardCMMIAppraisalMethodforProcessImprovement)ITILISO12207ISO15504=SPICE（SoftwareProcessImprovementandCapabilitydetermination）ISO20000ISO27001ISO13335COBIT各种概念BCM/BS25999ISO15408/CCISO9001COSOServicemgmt.AP.Dev.(SDLC)Projectmgmt.ITSecurityITPlanningQualitySystemITOperationsEnter.mgmt.Riskmgmt.ITGov.QualitySystems&Mgmt.FrameworksCOSO/BS31100/SOXISO38500/COBITISO20000/ITIL/CMMI-SVCCMMIISO12207ISO15504ISO2700X/ISO13335/SOXPCI/GLBA/HIPAA/BaseII...PMIISStrategySIXSigmaISO900XBCMBS25999BS25777Mainregulationsandstandards:SOX:impactpubliccompaniesandfocusonfinancialinformationGramm-Leach-Bliley:impactfinancialindustryandfocusoncustomerinformationHIPAA:impactmedicalindustryandfocusoninformationofpatients,employees,customers,shareholders.PCIDSS:impactpaycardindustryandfocusoninformationofcardholdersISO27001:GeneralstandardsISO20000:focusonITservicesindustryOthers:BaseII,SCANDA,CA1386,FISMA,NIST...信息具有重要的价值信息社会对信息的高度依赖信息的高附加值会引起盗窃、滥用等威胁信息及系统固有的脆弱性信息本身易传播、易毁坏、易伪造信息平台的脆弱性客观存在：不可避免的因素（技术局限、人的能力局限）、没有避免的因素（默认配置）威胁客观存在恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等信息为什么会有安全问题网络为什么不安全因为你连在网上……网络的美妙之处在于你和每个人都能互相连接网络的可怕之处在于每个人都能和你互相连接信息资产内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道信息安全面临各种安全威胁TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听常规的防护技术措施物理安全技术：环境安全、设备安全、媒体安全；系统安全技术：操作系统及数据库系统的安全性；网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全；数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性；认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等；访问控制技术：防火墙、访问控制列表等；审计跟踪技术：入侵检测、日志审计、辨析取证；防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。

信息安全＝技术＋产品=防病毒软件＋防火墙＋入侵检测系统＋...

？是不是把相关技术及产品都部署到位了，就安全了呢？到底如何做才能真正保障信息安全呢？

下面我们先来看几个案例北京市民抢购热情高奥运售票系统瘫痪2007年10月30日星期二14:51路透北京10月30日电(记者NickMulvenney/刘蓁)---2008北京奥运会门票销售的第二阶段周二早上开始，由于购票者甚多，订票网站和电话线全部堵塞，购票定点银行的门前也排起了长队。奥组委宣布，在售票系统开启後的第一个小时，订票网站的点击量就达到了800万，组委会还接到了200万个订票电话。“由于当前访问量过大，票务销售系统数据处理能力相对有所不足，从而造成目前各售票渠道出现售票速度较慢、暂时不能登录系统的情况。”北京奥组委在奥运会官方网站()上说。“北京奥运票务中心正在积极采取措施，增加系统处理能力，改善目前的运行状况。因此，通过中国银行和呼叫中心购票的公众需晚些时候再尝试申购。”诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾

2007年05月18日17:12:00来源：新华网

新华网北京５月１８日专电（记者顾洪洪）诺顿误杀导致操作系统崩溃，数以百万计的电脑面临灭顶之灾。５月１８日，瑞星发布红色安全警报称：赛门铁克公司提供的诺顿杀毒软件在升级病毒库后，会把ＷｉｎｄｏｗｓＸＰ系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。瑞星公司表示，截至１８日中午１２点已有超过７０００名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。2001年9月11日，恐怖份子袭击了纽约世界贸易中心，造成3栋塔楼倒塌，近3000人失踪和死亡。DeutscheBank

93年开始风险分析，并建立了一整套完整的业务连续性计划（BCP），以应对突发事件或灾难。灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行。

911后，员工和客户对德意志银行都更加有信心。

BankofNewYork:

数据中心位于灾场附近，通讯线路全部中断，造成连锁反应。其第三季度的利润因此下降了33％。应急预案与BCM9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。据GartnerGroup统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。应急预案与BCM2006年2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案：UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程姓工程师，在任华为工程师时负责西藏移动等公司的设备安装工作。自2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。利用特权进入充值数据库案例一信息来源网易/06/0224/18/2AODTE1V0011179K.html在随后4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。获利380万元被判处有期徒刑12年,剥夺政治权利2年,罚款5万元。案例一案例一剖析

原因

措施加强对系统特权帐户的管理口令强壮，定期更新加强系统审计加密符合国家标准程有特权帐户和密码承包商未对系统特权帐户善后客户系统管理员未审计日志加密方法简单软件泄密打开日本信息安全天窗案例二网易转载新华网/06/0321/09/2CNRFCBL00091KUI.html

2006年2月下旬，海上自卫队护卫舰相关密码信息流失到国际互联网上。3月份，陆上自卫队和航空自卫队的业务信息、冈山县和爱媛县警方的搜查信息泄露。其他的流失信息还包括医院的患者个人信息、银行的票据处理记录、学校的学生成绩表等。日本首相小泉纯一郎，指示官房长官安倍晋三调查，人们发现一系列信