ISMS基礎(chǔ)教育課件

ＩＳＭＳ

基礎(chǔ)教育CopyrightreservedbyRicohGroupISMSPromotionsecretariatISMS&Privacy品質(zhì)保證課信息安全管理系統(tǒng)（ISMS）

信息是支撐企業(yè)的基礎(chǔ)，同時(shí)也是具有財(cái)產(chǎn)價(jià)值的重要資產(chǎn)。

要維護(hù)信息安全，必須實(shí)施個(gè)人與環(huán)境這兩種措施。信息安全管理系統(tǒng)（ISMS即是InformationSecurityManagementSystem）是指情報(bào)安全的確立、導(dǎo)入、運(yùn)用、監(jiān)控、調(diào)整、維持、及改善的一系列活動(dòng).

有助于組織有效的保護(hù)情報(bào)安全的一套管理體系

信息安全管理體系標(biāo)準(zhǔn)發(fā)展

信息安全管理體系標(biāo)準(zhǔn)的出現(xiàn)最早可以追溯到1993年，受英國貿(mào)工部的委托，開始匯集各優(yōu)秀企業(yè)有關(guān)信息安全管理的最佳實(shí)踐，準(zhǔn)備推出信息安全管理的指南，該指南于1995年以BS7799-1的編號出版，雖然是英國標(biāo)準(zhǔn)，但出版后得到了各國的認(rèn)可，并得到了廣泛的應(yīng)用，這包括英國本土，也包括亞洲的國家和地區(qū)。1998年，在指南應(yīng)用了一段時(shí)間之后，BSI又適時(shí)發(fā)布了作為規(guī)范的BS7799-2，它作為一個(gè)可以認(rèn)證的標(biāo)準(zhǔn)，為實(shí)踐單位提供的綱領(lǐng)，從此BS7799成為一對標(biāo)準(zhǔn)。2000年，BS7799被提交ISO審議，擬升級為國際標(biāo)準(zhǔn)，由于種種因素，BS7799-1升級成為ISO17799：2000，而BS7799-2沒有升級成功，保留了原有的編號。從2000年到2005年的期間，信息安全管理體系標(biāo)準(zhǔn)已經(jīng)被全球認(rèn)可，全球?qū)⒔?000家組織獲得了BS7799-2的認(rèn)證，在中國有將近20家單位獲得了此認(rèn)證。2005年10月，BS7799-2成功升級為ISO27001標(biāo)準(zhǔn)，并且，以后信息安全管理體系標(biāo)準(zhǔn)，將要統(tǒng)一到ISO2700X系列上，除了現(xiàn)有的管理體系要求和管理指南之外，還將陸續(xù)出版其他指南，如下表所示：

ISO/IEC

Description27000Vocabularyanddefinitions術(shù)語和定義27001ISMSRequirement(BS7799-2)信息安全管理體系要求27002CodeofPracticeforISM(ISO17799:2005)信息安全管理指南27003ISMSImplementationGuidance信息安全管理體系實(shí)施指南27004ISMMetricsandMeasurement信息安全管理的測量27005RiskManagement(BS7799-3)風(fēng)險(xiǎn)管理事例說明上海理光生產(chǎn)集團(tuán)ISMS構(gòu)筑情況簡介20040506070809101112200501020304050607080910ISMS構(gòu)築スケジュール

000.経営者の理解001.プロジェクト計(jì)畫002.組織立ち上げ003.方針?目標(biāo)の策定004.情報(bào)資産の洗い出し005.リスク分析006.リスクアセスメント007.文書體系の整備010.コンプライアンス008.リスク対応計(jì)畫と事業(yè)継続計(jì)畫009.殘留リスクと適用宣言書推進(jìn)擔(dān)當(dāng)者教育011.內(nèi)部監(jiān)査員教育e-Learning011.部門獨(dú)自教育012.內(nèi)部監(jiān)査013.認(rèn)証審査通過事前準(zhǔn)備上海理光集團(tuán)情報(bào)安全基本方針

上海理光生產(chǎn)集團(tuán)作為理光集團(tuán)在中國的先進(jìn)生產(chǎn)企業(yè)，在對應(yīng)與日俱增的情報(bào)安全要求方面，為了不辜負(fù)顧客對我們的高度信賴，每位員工都要參與到情報(bào)安全管理系統(tǒng)構(gòu)筑中去，以此來確保情報(bào)的機(jī)密性、完全性和可用性。我們應(yīng)在遵守中國的法律法規(guī)，率先履行中國企業(yè)一員應(yīng)盡的義務(wù)，努力成為理光集團(tuán)中的模范企業(yè)的同時(shí)，通過不斷提高經(jīng)營質(zhì)量，來加強(qiáng)企業(yè)競爭力。1管理層應(yīng)在情報(bào)安全活動(dòng)中起到模范帶頭的作用，同時(shí)徹底實(shí)施對員工的情報(bào)安全教育。2每位員工須理解情報(bào)安全管理的目的，遵守公司內(nèi)部的情報(bào)安全方面的要求事項(xiàng)。3定期召開情報(bào)安全委員會(huì)議，不斷進(jìn)行情報(bào)安全方面的改善。4切實(shí)落實(shí)法律法規(guī)的要求事項(xiàng)。信息安全管理系統(tǒng)（ISMS）ISMS的三要素：機(jī)密性（C）：確保只有得到許可的人員才能訪問情報(bào)。完全性（I）：保證情報(bào)及其處理方法正確且完整?？捎眯裕ˋ）：得到許可的利用者在必要時(shí)可以訪問情報(bào)及關(guān)聯(lián)資產(chǎn)。ISMS目的：企業(yè)的持續(xù)發(fā)展情報(bào)安全管理系統(tǒng)（ISMS）要執(zhí)行有效的信息安全管理系統(tǒng)，必須執(zhí)行以下事項(xiàng)：1）明確闡明現(xiàn)有的信息資產(chǎn)，并掌握其價(jià)值（計(jì)劃—Plan）2）分析需要保護(hù)的信息資產(chǎn)的威脅與漏洞（執(zhí)行—Do）3）選擇并實(shí)施具體的措施（檢查—Check）4）根據(jù)環(huán)境的實(shí)際發(fā)展變化審議正在實(shí)施的措施（行動(dòng)—Act）

只有已經(jīng)建立安全政策，并通過實(shí)施相關(guān)的定期安裝、檢查、運(yùn)作、分析及審議，才能實(shí)現(xiàn)“信息安全管理系統(tǒng)”。情報(bào)資產(chǎn)-1在ISO17799：2000（國際標(biāo)準(zhǔn)）中規(guī)定：1、信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)資料、操作或支持程序、持續(xù)性計(jì)劃、撤退安排、歸檔信息；2、軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和使用程序；3、實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、磁性存儲(chǔ)介質(zhì)、其他技術(shù)設(shè)備、家具、食宿設(shè)備；4、服務(wù)：計(jì)算和通信服務(wù)、公共服務(wù)。資産的分類《情報(bào)安全管理手冊》中定義：情報(bào)處理中收集、積累的情報(bào)或數(shù)據(jù)，頭腦中的情報(bào)或數(shù)據(jù)，情報(bào)處理時(shí)必要的設(shè)備支援、情報(bào)通信網(wǎng)等的總稱。情報(bào)資產(chǎn)的風(fēng)險(xiǎn)對個(gè)人及其他公司造成的損害對本公司形象的損害在正常任務(wù)之外導(dǎo)致額外任務(wù)的損害對企業(yè)發(fā)展的損壞對商業(yè)機(jī)會(huì)的損壞經(jīng)濟(jì)損壞缺乏安全性給企業(yè)帶來的損害：結(jié)果：會(huì)危及商業(yè)運(yùn)作持續(xù)進(jìn)行的損害或?qū)е挛覀兟曌u(yù)降低的損害。情報(bào)資產(chǎn)的風(fēng)險(xiǎn)實(shí)際威脅侵入破壞故障自然災(zāi)害……人為威脅社會(huì)工程盜竊因操作失誤導(dǎo)致的信息泄漏……技術(shù)威脅破解……防病毒軟件一、趨勢防毒軟件運(yùn)行圖標(biāo)所表示的相關(guān)信息：1.藍(lán)色圖標(biāo)，表示防毒軟件正常運(yùn)行。2.藍(lán)色圖標(biāo)中出現(xiàn)小紅點(diǎn)，說明服務(wù)端沒有更新病毒庫，在服務(wù)器完成更新病毒庫后的5分鐘內(nèi)，客戶端會(huì)自動(dòng)更新病毒庫，紅色小點(diǎn)隨之自動(dòng)消失;3.藍(lán)色圖標(biāo)中有兩根線，表示防病毒軟件已遭到損壞，可與IT聯(lián)系，進(jìn)行手動(dòng)修復(fù);4.圖標(biāo)全紅，可能是網(wǎng)絡(luò)斷開;可能是病毒庫沒有升級;也可能說明文件損壞，需要重新安裝;也有可能是操作面板管理工具中的“服務(wù)”未啟動(dòng)，調(diào)整到啟動(dòng)狀態(tài)后，圖標(biāo)將出現(xiàn);二、趨勢防毒軟件的安裝、修復(fù)與病毒庫升級：1.安裝：通過網(wǎng)頁進(jìn)行安裝，監(jiān)控文件的安裝目錄為：C:\ProgramFiles\TrendMicro\OfficescanClient\PccNtMon2.修復(fù)：可雙擊\\srf-domain\ofcscan目錄下的AUTOPCC文件進(jìn)行修復(fù);3.病毒庫升級：公司臺(tái)式PC上的防毒軟件為自動(dòng)升級;外出用筆記本電腦可通過互聯(lián)網(wǎng)更新病毒庫;三、病毒日志：1.服務(wù)端永久保存全公司的病毒日志;2.客戶端最多可保存最近15天內(nèi)的病毒日志;四、如果發(fā)現(xiàn)網(wǎng)絡(luò)速度很慢，但不是因?yàn)椴《救肭?，可通過網(wǎng)頁查看當(dāng)時(shí)的網(wǎng)絡(luò)流量。關(guān)于計(jì)算機(jī)用戶權(quán)限設(shè)置1.User權(quán)限不能安裝程序，也不能進(jìn)行系統(tǒng)設(shè)置;2.PowerUser權(quán)限不能安裝程序，但可以進(jìn)行系統(tǒng)設(shè)置;3.Administrator權(quán)限可在計(jì)算機(jī)上進(jìn)行一切操作;4.請大家對計(jì)算機(jī)上的用戶權(quán)限進(jìn)行整理，并把密碼設(shè)為6位以上、有數(shù)字和特殊符號的繁瑣密碼。情報(bào)資産脅威脅威と脆弱性風(fēng)險(xiǎn)対策（管理策）ISMS&PrivacyCopyrightreservedbyRicohGroupISMSPromotionsecretariat脆弱性（狼に弱い、足が遅い???）脆弱性脅威脅威と脆弱性糾正?予防策情報(bào)資産風(fēng)險(xiǎn)對策（管理策）ISMS&PrivacyCopyrightreservedbyRicohGroupISMSPromotionsecretariat脆弱性的糾正沒有対策保護(hù)情報(bào)資產(chǎn)情報(bào)的密級分類CopyrightreservedbyRicohGroupISMSPromotionsecretariatISMS&Privacy(1)絕密是指非最高責(zé)任者特別批準(zhǔn)的人員，不能對其公開的情報(bào)。(2)密是指不能向與業(yè)務(wù)上有關(guān)的部門人員以外公開的情報(bào)。(3)社外秘是指限于上海理光生產(chǎn)集團(tuán)各公司內(nèi)部共享的企業(yè)機(jī)密情報(bào)。(4)公開是指向公眾開放的消息事件/事故概念病毒感染因不正當(dāng)訪問（進(jìn)入）造成的受害。機(jī)器故障、網(wǎng)絡(luò)系統(tǒng)故障。系統(tǒng)、應(yīng)用服務(wù)器的誤操作（包含處理出錯(cuò)）。情報(bào)資產(chǎn)的被盜、丟失、情報(bào)泄露、未受許可的帶出公司。因不合適的會(huì)議地點(diǎn)、會(huì)議資料的分發(fā)等引起的事故。以上事例也包含發(fā)現(xiàn)征兆還未受害的事件/事故。理光員工的責(zé)任（1）禁止在公共場合洽談業(yè)務(wù)（2）進(jìn)入公司區(qū)域隨身佩戴胸卡或員工證（3）在辦公室有外來人員并且沒人陪同時(shí)，應(yīng)加以盤問（4）有外來人員進(jìn)入時(shí)，應(yīng)在洽談區(qū)域會(huì)見

#對已發(fā)生的事件/事故及發(fā)現(xiàn)征兆還未受害的事件/事故也應(yīng)按照相關(guān)流程進(jìn)行報(bào)告。

#配合isms改進(jìn)是每個(gè)員工的職責(zé)。日常信息安全措施（物理進(jìn)出）日常信息安全措施密碼控制1)使用別人無法猜測的密碼密碼設(shè)置要求：

~位數(shù)須達(dá)到8位或以上

~數(shù)字、大寫、小寫、特殊字符——4選3

~不能與前幾次設(shè)置的密碼有類似

~不能與本人姓名、工號有類似2）不要將密碼記到備忘錄并貼到個(gè)人計(jì)算機(jī)或是隨身筆記本上。3）請勿將密碼設(shè)置存儲(chǔ)到個(gè)人計(jì)算機(jī)日常信息安全措施銷毀信息規(guī)定1)銷毀紙面信息

公司已經(jīng)設(shè)置了專門的廢棄箱，廢棄紙面文件時(shí)，請按照密級分類丟棄。2）銷毀保密信息

密以上文件用粉碎機(jī)粉碎處理。3）社外密文檔廢棄到公司設(shè)置的[社外密文檔廢紙箱]內(nèi)4）重要數(shù)據(jù)放到數(shù)據(jù)庫后應(yīng)銷毀計(jì)算機(jī)本地上的數(shù)據(jù)5）移動(dòng)存儲(chǔ)設(shè)備使用完畢后應(yīng)刪除存儲(chǔ)的信息或物理銷毀移動(dòng)存儲(chǔ)設(shè)備日常信息安全措施電腦清理電腦中除IT預(yù)裝的軟件外，如需安裝其它軟件應(yīng)通過IT部門實(shí)施，不得擅自安裝；電腦中本地沒有重要類的數(shù)據(jù)資料；ISMS的義務(wù)和責(zé)任1）員工應(yīng)當(dāng)于轉(zhuǎn)崗時(shí)，或者于部門提出要求時(shí)，返還全部屬于本部門業(yè)務(wù)相關(guān)的財(cái)物，包括記載著公司資料信息的一切載體；并不得以任何形式進(jìn)行復(fù)制和記錄。2）員工應(yīng)當(dāng)于離職時(shí)，或者于公司提出要求時(shí)，返還全部屬于公司的財(cái)物，包括記載著公司資料信息的一切載體；并不得以任何形式進(jìn)行復(fù)制和記錄。