信息安全管理體系培訓(xùn)課件new

信息安全管理體系目錄介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系內(nèi)容信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)

通信公司員工泄漏內(nèi)部信息獲刑法制晚報：5家調(diào)查公司因非法經(jīng)營被查，由此牽出了移動、聯(lián)通的三名在職員工和兩名離職員工——他們與調(diào)查公司勾結(jié)，將通話記錄等信息透露給對方。吳曉晨利用擔(dān)任聯(lián)通公司北京市三區(qū)分公司廣安門外分局商務(wù)客戶代表的工作之便，獲取大量公民個人信息后非法出售給調(diào)查公司，從中獲利。案情供述：

聯(lián)通公司吳曉晨：他幫調(diào)查公司查座機(jī)電話號碼的安裝地址，調(diào)查公司每個月固定給2000元，后來又讓幫忙查電話清單。 2008年10月初，他索性自己成立了一個商務(wù)調(diào)查公司單干了。移動公司張寧：2008年原同事林濤找到他，讓他查機(jī)主信息，修改手機(jī)密碼。他一共幫查過50多個機(jī)主信息，修改過100多個手機(jī)客服密碼。

只要提供給他機(jī)主姓名和手機(jī)號碼，他就可以通過工作平臺，將該人的個人信息調(diào)取出來，查出身份證號、住址和聯(lián)系電話。

修改手機(jī)密碼也是通過平臺，只需要提供手機(jī)號碼就行。修改完密碼后，就可以通過自動語音系統(tǒng)調(diào)通話記錄了，通話記錄會傳真到查詢者的傳真電話上。這比一個個地查完通話記錄再給他們，更方便省事。其實這是通信公司的一個漏洞。朝陽法院以非法經(jīng)營罪判處5人有期徒刑2年6個月至有期徒刑2年2個月清明小長假一政府網(wǎng)被篡改成黃色網(wǎng)站4月6日上午，有網(wǎng)友登錄揚(yáng)州市城鄉(xiāng)建設(shè)局官方網(wǎng)站時吃驚地發(fā)現(xiàn)，網(wǎng)頁竟然成了黃色網(wǎng)頁！頁面上充斥著衣著暴露的性感美女，搔首弄姿，十分不雅?！熬W(wǎng)站變成黃色網(wǎng)站的準(zhǔn)確時間是3日，也就是清明小長假的第一天，因為放假，我們并沒有發(fā)現(xiàn)。今天上午9點節(jié)后一上班，我們就發(fā)現(xiàn)了這個問題?！弊蛉?，揚(yáng)州市城鄉(xiāng)建設(shè)局信息中心朱主任接受記者采訪時表示，他們的網(wǎng)站確實被黑客襲擊了，被掛上了木馬。這次已是今年第二次遭黑客攻擊，第一次是在今年1月下旬，情況跟這次類似。朱主任表示，他們一上班發(fā)現(xiàn)網(wǎng)站“被色情”后，一直忙著維護(hù)，到12點多鐘恢復(fù)了正常。朱主任同時表示，他們的網(wǎng)站創(chuàng)建已經(jīng)好幾年了，比較老了，由于現(xiàn)在仍然缺乏相關(guān)的網(wǎng)絡(luò)安全保護(hù)設(shè)備，所以網(wǎng)站兩次遭到攻擊。目前網(wǎng)站正在準(zhǔn)備升級，在軟件、硬件上都要投入，將網(wǎng)站代碼進(jìn)行升級，提高安全性。他還透露，今年內(nèi)揚(yáng)州市政府可能對政府各部門網(wǎng)站進(jìn)行集中管理，進(jìn)一步保障安全性。7天酒店數(shù)據(jù)庫被盜在騰訊微博上，一個名為“××刺客”的用戶發(fā)言稱，“出售7天假日所有聯(lián)網(wǎng)中心數(shù)據(jù)，附帶會員注冊個人信息，會員等級，開房信息，個人積分等全部數(shù)據(jù)。”同時該用戶還留下了一個聯(lián)系郵箱。

記者通過網(wǎng)絡(luò)查詢后，得到了該用戶的QQ號，在4月初與這名黑客取得了聯(lián)系。記者假稱自己是旅游行業(yè)人員，想購買7天的會員數(shù)據(jù)庫。在交流中，該黑客明確告訴記者他手中確實有數(shù)據(jù)庫，會員總數(shù)在600萬左右。當(dāng)記者稱愿意出價1000元購買時，該黑客在等待了幾分鐘后，稱自己比較忙，不賣了。隨后連續(xù)幾天，該黑客的QQ頭像始終處于離線狀態(tài)，記者發(fā)出的10多條消息也無一回復(fù)。

黑客通過SQL注入漏洞，入侵了服務(wù)器，并竊取了數(shù)據(jù)庫。什么是信息？

通常我們可以把信息理解為消息、信號、數(shù)據(jù)、情報和知識。信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機(jī)、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)：計算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件和軟件關(guān)鍵人員組織提供的服務(wù)各類文檔具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)。Information信息安全定義廣義上講領(lǐng)域——涉及到網(wǎng)絡(luò)信息的保密性，完整性，可用性，真實性，可控性的相關(guān)技術(shù)和理論本質(zhì)上保護(hù)——網(wǎng)絡(luò)系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷兩個層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理信息安全金字塔審計管理加密訪問控制用戶驗證安全策略

信息安全的成敗取決于兩個因素：技術(shù)和管理。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)?，F(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全管理的核心就是風(fēng)險管理。信息安全管理安全管理觀點

技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術(shù)過程基于風(fēng)險分析的安全管理方法

信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。制定信息安全策略方針風(fēng)險評估和管理控制目標(biāo)和方式選擇風(fēng)險控制和處理安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持?？刂颇繕?biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險評估的基礎(chǔ)上?？紤]控制成本與風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平。需要全員參與。遵循管理的一般模式——PDCA模型。ISO27001發(fā)展歷程（由BS7799演變而來）評估標(biāo)準(zhǔn)的發(fā)展歷程信息安全的CIA目標(biāo)

保護(hù)信息的保密性、完整性和可用性

——ISO17799ConfidentialityIntegrityAvailabilityInformation目錄1介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)

ISO27001認(rèn)證過程-11個Domain16一、信息安全方針（SecurityPolicy)(1,2)

四、人員安全（HumanResourceSecurity)(3,9)五、物理及環(huán)境安全（PhysicalandEnvironmentalSecurity)(2,13)

二、組織安全（OrganizingInformationsecurity)(2,11)三、資產(chǎn)分類與控制（AssetManagement)(2,5)六、通信與操作管理（CommunicationsandOperationsManagement)(10,33)八、系統(tǒng)開發(fā)與維護(hù)（InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、訪問控制（AccessControl)(7,25)十、業(yè)務(wù)持續(xù)性管理（BusinessContinuityManagement)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（InformationsecurityincidentManagement)(2,5)目錄介紹ISO27001認(rèn)證過程和要點介紹信息安全管理體系準(zhǔn)備-風(fēng)險評估信息安全管理體系設(shè)計信息安全管理體系實施信息安全管理體系監(jiān)控信息安全管理體系改進(jìn)

Plan階段

定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面考慮）定義ISMS策略定義系統(tǒng)的風(fēng)險評估途徑識別風(fēng)險評估風(fēng)險識別并評價風(fēng)險處理措施選擇用于風(fēng)險處理的控制目標(biāo)和控制準(zhǔn)備適用性聲明（SoA）取得管理層對殘留風(fēng)險的承認(rèn)和實施并操作ISMS的授權(quán)

組織實現(xiàn)信息安全的必要的、重要的步驟

了解組織的安全現(xiàn)狀

分析組織的安全需求

建立信息安全管理體系的要求

制訂安全策略和實施安防措施的依據(jù)風(fēng)險評估的目的資產(chǎn)擁有者安全控制措施安全防護(hù)確信/信心安全風(fēng)險評估生成/加強(qiáng)給出證據(jù)/發(fā)現(xiàn)問題需要如不能確信，需要評估給出評估與安全防護(hù)的關(guān)系風(fēng)險管理全過程原理21識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認(rèn)風(fēng)險評價接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式實施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受風(fēng)險管理22對資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險管理的首要目標(biāo)。劃入風(fēng)險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。信息資產(chǎn)：數(shù)據(jù)庫數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、回退計劃、歸檔等信息；軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；實體資產(chǎn)：計算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器）、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)）、磁介質(zhì)（磁帶和磁盤）、其它技術(shù)設(shè)備（電源、空調(diào)器）、機(jī)房；書面文件：包含系統(tǒng)文件、使用手冊、各種程序及指引辦法、合約書等。人員：承擔(dān)特定職能和責(zé)任的人員；服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS識別信息資產(chǎn)識別并評估弱點23針對每一項需要保護(hù)的資產(chǎn)，找到其現(xiàn)實存在的弱點，包括：

技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試對弱點的評估需要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。如果資產(chǎn)沒有弱點或者弱點很輕微，就不存在風(fēng)險問題。24識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來源）：

人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風(fēng)、雷電等威脅對資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個方面的受損上。對威脅的評估，主要考慮其發(fā)生的可能性。評估威脅可能性時要考慮威脅源的動機(jī)（Motivation）和能力（Capability）等因素。識別并評估威脅25關(guān)于風(fēng)險可接受水平安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平?jīng)Q策者應(yīng)該根據(jù)公司實際情況來確定風(fēng)險可接受水平26降低風(fēng)險（ReduceRisk）——實施有效控制，將風(fēng)險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會。減少弱點：例如，通過安全教育和意識培訓(xùn)，強(qiáng)化職員的安全意識與安全操作能力。降低影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份。規(guī)避風(fēng)險（AvoidRisk）——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風(fēng)險的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險。例如，將重要的計算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)移風(fēng)險（TransferRisk）——也稱作RiskAssignment。將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。接受風(fēng)險（AcceptRisk）——在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以選擇接受，即所謂的無作為。確定風(fēng)險處理策略27

依據(jù)風(fēng)險評估的結(jié)果來選擇安全控制措施。選擇安全措施（對策）時需要進(jìn)行成本效益分析（cost/benefitanalysis）：基本原則：實施安全措施的代價不應(yīng)該大于所要保護(hù)資產(chǎn)的價值控制成本：購買費(fèi)用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價值＝?jīng)]有實施控制前的損失－控制的成本－實施安全控制之后的損失除了成本效益，還應(yīng)該考慮：控制的易用性對用戶的透明度控制自身的強(qiáng)度控制的功能類型（預(yù)防、威懾、檢測、糾正）確定所選安全措施的效力，就是看實施新措施之后還有什么殘留風(fēng)險。選擇控制措施28資產(chǎn)評估識別信息資產(chǎn)評價信息資產(chǎn)識別并評估弱點安全漏洞工具掃描人工評估識別并評估威脅網(wǎng)絡(luò)架構(gòu)分析滲透測試風(fēng)險評估階段流程風(fēng)險評價降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險控制措施風(fēng)險處置威脅弱點威脅事件防止威懾性控制影響利用引發(fā)造成保護(hù)發(fā)現(xiàn)減小預(yù)防性控制檢測性控制糾正性控制評價殘留風(fēng)險目錄ISO27001認(rèn)證過程和要點介紹ISO27001介紹ISO27001信息安全管理體系準(zhǔn)備-風(fēng)險評估ISO27001信息安全管理體系設(shè)計ISO27001信息安全管理體系實施ISO27001信息安全管理體系監(jiān)控ISO27001信息安全管理體系改進(jìn)

DO階段

制定風(fēng)險處理計劃（RiskTreatmentPlan）實施風(fēng)險處理計劃實施所選的控制措施以滿足控制目標(biāo)實施培訓(xùn)和意識程序管理操作管理資源實施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制31

絕對安全（即零風(fēng)險）是不可能的。實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)：殘留風(fēng)險Rr＝原有的風(fēng)險R0－控制ΔR

殘留風(fēng)險Rr≤可接受的風(fēng)險Rt

對殘留風(fēng)險進(jìn)行確認(rèn)和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。評價殘留風(fēng)險信息安全管理體系藍(lán)圖(示例)32建立ISMS管理框架的過程定義安全策略威脅、弱點、影響組織風(fēng)險管理的途徑要求達(dá)到的保障程度ISO17799第三段列出的控制目標(biāo)和控制不在ISO27001范圍內(nèi)的其他安全控制Step1Step2Step3Step4Step5Step6策略文檔ISMS的范圍風(fēng)險評估適用性聲明信息資產(chǎn)結(jié)果和結(jié)論選定的控制選項選擇的控制目標(biāo)和控制定義ISMS范圍進(jìn)行風(fēng)險評估管理風(fēng)險選擇控制目標(biāo)和控制并加以實施準(zhǔn)備適用性聲明ISMS的文檔體系Procedures程序WorkInstructions,checklists,forms,etc.工作指導(dǎo)書,檢查清單,表格等Records

紀(jì)錄SecurityManual

安全手冊Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一級