信息安全新版标准培训PPT课件.ppt

1、,信息安全新版标准培训,2015.5,目 录,信息安全重要性 信息安全管理体系标准 （ISO27001:2013） 信息安全管理体系内审及管理评审,信息技术的便利性与安全威胁,信息安全的概念,保密性 (Confidentiality) 信息不能被未授权的个人，实体或者过程利用或知悉的特性。 完整性(Integrity) 保护资产的准确和完整的特性。 可用性(Availability) 根据授权实体的要求可访问和利用的特性。,信息安全 CIA,信息安全的发展态势,信息技术的发展颠覆了传统的数据存储和处理方式 业务运营愈加依赖信息系统的安全稳定运行 信息系统存在着未知的安全漏洞，受到来自多方面的安

2、全威胁 信息安全有赖于安全技术和管理的结合,信息安全现状特征,网络风险成为主要的商业风险 事件和经济影响彪升 员工成为最引人注目的事件肇事者 事件增加，安全投入却减少 基础安全措施较少 采取安全举措取得的成绩 从安全管理到网络风险管理的升级,信息安全事件的影响,信息系统遭受破坏无法运行、业务中断 泄露机密信息而产生社会影响 经济或资金/资产损失 组织的信誉受损 丧失商业机会 降低业务伙伴对组织的信任度,保障信息安全的途径？,亡羊补牢? 还是打打补丁?,系统地全面整改?,10,信息安全管理体系（ISMS）,信息安全追求的目标 确保业务连续性 业务风险最小化 保护信息免受各种威胁的损害 投资回报和

3、商业机遇最大化,信息安全管理体系（ISMS）,国际标准化组织（ISO）于2013年10月1日发布了ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements ，该标准代替了ISO/IEC 27001:2005。 我国采用GB/T 22080-2008 信息技术 安全技术 信息安全 管理体系 要求（等同采用 ISO/IEC 27001:2005 ）,信息安全管理体系的架构,13,信息安全管理体系的特点,重点关注，全面

4、布防 基于对关键资产的风险评估，确定保护重点； 通过对114项控制的选择和落实，实现对信息安全的全面保障 通过PDCA的持续循环，确保管理体系适应内外环境的变化,规范性附录表A.1 控制目的和控制,A.5 信息安全策略,A.6 信息安全组织,A.7 人力资源安全,A.8 资产管理,A.9 访问控制,A.10 密码,A.11 物理和环境安全,A.12 运行安全,A.13 通信安全,A.14 系统获取、开发和维护,A.15 供应商关系,A.16 信息安全事件管理,A.17业务连续性管理的信息安全方面,A.18 符合性,高层管理者要做什么？,确保建立了信息安全策略和信息安全目的，并与组织战略方向一致

5、； 确保将信息安全管理体系要求整合到组织过程中； 确保信息安全管理体系所需资源可用； 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性； 确保信息安全管理体系达到预期结果； 指导并支持相关人员为信息安全管理体系的有效性做出贡献； 促进持续改进； 支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。（5.1 领导和承诺） 最高管理层应建立信息安全方针（5.2 方针） 最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。（5.3 组织的角色，责任和权限） 最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。（9.3管理评审） 获

6、得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。（6.1.3 信息安全风险处置）,高层管理者要做什么？,制定信息安全方针、目的，并批准发布； 批准信息安全管理体系文件； 明确信息安全管理体系组织构架及职责； 保障信息安全体系运行所需的人员、技术、资金等资源； 表达领导层对信息安全重要性的关注； 了解信息安全管理运行情况（日常检查结果和内外审结果）； 参与管理评审，提出信息安全改进的方向； 批准风险处置计划,中层管理者要做什么？,了解自己的信息安全管理职责； 编制自己职责内的信息安全管理体系文件； 按文件要求进行信息安全管理活动 （资产识别、风险评价、内审、管理评审、不符合

7、纠正等）； 检查安全措施的实施效果,员工要做什么？,应了解信息安全方针； 其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处； 不符合信息安全管理体系要求带来的影响。（7.3意识） 管理使用职责内的资产 执行安全措施要求,资产识别,主要资产： 业务过程和活动； 信息。 各种类型的支撑性资产（范围内的主要要素所依赖的）： 硬件； 软件； 网络； 人员； 场所； 组织结构。,资产清单,资产威胁,资产脆弱性,风险值计算,风险管理,风险管理,控制举例：A.18 符合性,A.18.1 符合法律和合同要求 目的： 避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。,起因：为

8、全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司，由于安全漏洞问题，导致2000万条入住酒店的客户信息泄露。 结果：2014年某先生由于开房信息泄露，到当地法院起诉了汉庭星空（上海）酒店管理有限公司和浙江慧达驿站网络公司，索赔20万元。 点评：本案中，浙江慧达驿站公司为酒店提供技术系统服务，因此该公司对消费者信息有安全保障义务，如泄露也要承担侵权责任。,控制举例：A.18 符合性,控制举例： A . 7人力资源安全,人力资源安全领域强调如何降低人员交互作用对组织造成的内在风险，包括任用前的考察，任用中的管理和培训以及任用终止或变化的处置。,根据公安部统计 70的泄密犯罪来自于内部；

9、计算机应用单位80未设立相应的安全管理体系； 58无严格的管理制度。 如果相关技术人员违规操作（如管理员泄露密码），即便组织有最好的安全技术的支持，也保证不了信息安全。,控制举例： A . 7人力资源安全,控制举例： A . 7人力资源安全,标准正文,1.范围 2.规范性引用文件 3.术语和定义 4.组织环境 5.领导力 6.策划 7.支持 8.运行 9.绩效评价 10.改进,PLAN DO CHECK ACT,4.组织环境,5. 领导,6. 规划,6.1应对风险和机会的措施,7 支持,8.运行,9.绩效评价,10.改进,安全控制,A.5 安全方针 A.6 信息安全组织 A.7 人力资源安全

10、A.8 资产管理 A.9 访问控制 A.10 密码学(新增) A.11 物理与环境安全 A.12 操作安全(由旧版A.10 独立出来) A.13 通信安全(由旧版A.10 独立出来) A.14 信息系统获取、开发和维护 A.15 供应关系(新增) A.16 信息安全事件管理 A.17 信息安全方面的业务连续性管理 A.18 符合性,A.5 信息安全策略,A.6 信息安全组织,A.6 信息安全组织,A.7人力资源安全,A.7人力资源安全,A.7人力资源安全,A.8 资产管理,A.8 资产管理,A.8 资产管理,A.9 访问控制,A.9 访问控制,A.9 访问控制,A.9 访问控制,A.10 密码

11、,A.11 物理和环境安全,A.11 物理和环境安全,A.12 运行安全,A.12 运行安全,A.12 运行安全,A.12 运行安全,A.12 运行安全,A.12 运行安全,A.12 运行安全,A.13 通信安全,A.13 通信安全,A.14 系统获取、开发和维护,A.14 系统获取、开发和维护,A.14 系统获取、开发和维护,A.15 供应商关系,A.15 供应商关系,A.16 信息安全事件管理,A.17业务连续性管理的信息安全方面,A.17业务连续性管理的信息安全方面,A.18 符合性,A.18 符合性,信息安全管理体系内审,组织应按计划的时间间隔进行内部审核，以提供信息，确定信息安全管理

12、体系： 是否符合 组织自身对信息安全管理体系的要求； 本标准的要求。 是否得到有效实现和维护。 组织应： 规划、建立、实现和维护审核方案（一个或多个），包括审核频次、方法、责任、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果； 定义每次审核的审核准则和范围； 选择审核员并实施审核，确保审核过程的客观性和公正性； 确保将审核结果报告至相关管理层； 保留文件化信息作为审核方案和审核结果的证据。,信息安全管理体系内审,需要的记录： 内审计划 内审记录（首末次会议签到表，检查清单） 不符合及纠正措施实施、验证记录 内审报告,信息安全管理体系内审,内审计划包括： 内审目的：例如：评价体系

13、是否满足审核准则要求 内审依据：标准、公司文件 内审范围：档案软件开发的信息安全相关活动 内审时间及成员：,信息安全管理体系内审,信息安全管理体系内审,信息安全管理体系管理评审,9.3管理评审 最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。 管理评审应考虑： 以往管理评审提出的措施的状态； 与信息安全管理体系相关的外部和内部事项的变化； 有关信息安全绩效的反馈，包括以下方面的趋势： 不符合和纠正措施； 监视和测量结果； 审核结果； 信息安全目的完成情况； 相关方反馈； 风险评估结果及风险处置计划的状态； 持续改进的机会。 管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。 组织应保留文件化