ISO27001信息安全、誠信廉潔管理培訓

部門：設備部日期：2018-7-20ISO27001信息安全、誠信廉潔管理培訓.主講：梁靜目錄序號內(nèi)容1什么是信息安全2為什么實施信息安全管理3信息安全管理體系（ISMS）概述及標準4信息安全管理體系（ISMS）實施控制重點5誠信做人、廉潔做事什么是信息？信息通常指消息、情報、數(shù)據(jù)和知識等，在ISO/IEC27001標準中信息是指對組織具有重要價值，可以通過多媒體傳遞和存儲的一種資產(chǎn)。第一章4信息安全的作用是保護信息業(yè)務涉及范圍不受威脅所干擾，使組織業(yè)務暢順，減少損失及增大投資回報和商機。在ISO/IEC27001標準中信息安全主要指信息的機密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術、網(wǎng)絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性和可用性不被破壞。什么是信息安全？第一章5什么是信息安全——機密性

信息的機密性是指確保授予或特定權(quán)限的人才能訪問到的信息。信息的機密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。一般分為秘密、機密和絕密三個等級，已授權(quán)用戶根據(jù)所授予的操作權(quán)限可以對保密信息進行操作。第一章第一章什么是信息安全——完整性

信息的完整性是指要保證信息使用和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、存儲、備份、交換信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象；另一方面是指信息處理方法的正確性，信息備份、系統(tǒng)恢復、銷毀等處理下正當?shù)牟僮?，有可能造成重要文件丟失，甚至整個系統(tǒng)的癱瘓。第一章什么是信息安全——可用性

信息的可用性是指確保已被授權(quán)的用戶訪問時得到所需要的信息。即信息及相關信息資產(chǎn)在授權(quán)人需要時可立即獲得。例如，通信線路中斷故障、網(wǎng)絡的擁堵會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當?shù)爻惺芄舨⒃谑r及時恢復。另外還要保證信息的真實性和有效性，即組織之間或組織與合作伙伴間的交易和信息交換是可信賴的。8為什么要實施信息安全管理實施信息管理原因：自1987年以來，全世界已發(fā)現(xiàn)超過5萬種計算機病毒，2000年爆發(fā)的“愛蟲”病毒給全球用戶造成了100億美元損失；美國每年因信息與網(wǎng)絡安全問題所造成的損失高達75億美元。即使是防備森嚴的美國國防信息系統(tǒng)2000年也受到25萬次黑客攻擊，且成功進入率高達63%。然而，能對組織造成巨大損失的風險主要還是來源于組織內(nèi)部，國外統(tǒng)計結(jié)果表明企業(yè)信息受到的損失中，70%是由于內(nèi)部員工的疏忽或有意泄密造成。第二章9實施信息管理原因：多數(shù)計算機使用者很少接受嚴格的信息安全意識培訓，每天都以不安全的方式處理企業(yè)的大量重要信息，而且企業(yè)的合作單位、咨詢機構(gòu)等外部人員都以不同的方式使用企業(yè)的信息系統(tǒng)，對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。

目前單一的技術手段已難以解決企業(yè)信息安全問題，只有建立一套完善的信息安全管理流程并嚴格執(zhí)行，才能有效降低信息安全風險，保障企業(yè)信息業(yè)務的連續(xù)性。第二章10實施信息管理必然性實踐證明信息安全是個復雜的系統(tǒng)問題，解決系統(tǒng)性安全問題，必須以系統(tǒng)的方法來解決，建立管理體系（明確方針和目標并實現(xiàn)這些目標的體系，是系統(tǒng)性解決復雜問題的有效方法。為了保證信息安全管理的有效性，充分性和適宜性組織需要建立信息安全管理體系ISMS），信息安全管理體系通過固化信息安全管理范圍，制定信息安全管理策略方針與目標，明確信息安全管理職責、落實控制目標并選擇控制措施進行管控，全面系統(tǒng)保障管理信息的安全。第二章11從系統(tǒng)論觀點來看，一個體系必須具有自組織、自學習、自適應、自修復、自生長的能力和功能才可以保證其持續(xù)有效性。信息安全管理體系通過不斷的識別組織和相關的信息安全要求，不斷的識別外界環(huán)境和組織自身的變化，不斷的調(diào)整自已的目標、方針、程序和過程等，才可以實現(xiàn)持續(xù)的安全。本標準可以適合于不同的性質(zhì)、規(guī)模、結(jié)構(gòu)和環(huán)境的各種組織。因為不擁有成熟的IT系統(tǒng)而擔心不可能通過ISO/IEC27001認證是不必要的。第二章實施信息管理必然性12信息安全管理體系（ISMS）概述及標準ISMS概述：本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策，一個組織的ISMS的設計和實施受業(yè)務需求和目標、安全需求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。上述因素及其支持過程會不斷發(fā)生變化。期望信息安全管理體系可以根據(jù)組織的需求而測量，例如簡單的情形可采用簡單的ISMS解決方案。本標準可被相關的內(nèi)部方和外部方運用以評估一致性。第三章ISMS標準體系—ISO/IEC27000族介紹第三章ISO/IEC27000族27000-信息安全管理體系綜述與術語27007-信息安全管理體系審核指南27001-信息安全管理體系要求27002-信息安全管理體系實踐與規(guī)范27003-信息安全管理體系實踐與指南27004-信息安全管理體系測量27005-信息安全管理體系信息安全風險管理27006-信息安全管理體系認證機構(gòu)要求ISO/IEC17799：2005信息安全管理實施細則，于2005年6月15日正式發(fā)布；ISO/IEC27001信息安全管理體系要求，于2005年10月15日正式發(fā)布；ISO/IEC27002信息安全管理體系最佳實踐，于2007年4月正式發(fā)布；ISO/IEC27003信息安全管理體系實施指南，正在ISMS標準的工作組研究并征求意見階段；ISO/IEC27004信息安全管理度量和改進，正在委員會草案階段；ISO/IEC27005信息安全風險管理指南，以2005年底剛剛推出的BS7799-3為準；

第三章ISMS介紹—ISO/IEC27000族發(fā)布時間ISO/IEC27001控制大項—管理內(nèi)容安全方針：制定信息安全方針，為信息安全提供管理指導和支持，并定期評審；信息安全組織：建立信息安全基礎設施，管理組織范圍內(nèi)的信息安全；維護被第三方所訪問的組織的信息處理設施和信息資產(chǎn)的安全，以及當信息處理外包給其它組織時，確保信息的安全；資產(chǎn)管理：核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當程度的保護；人力資源安全：確保所有員工、合同方和第三方了解信息安全威脅和相關事宜，他們的責任、義務、以減少人為差錯、盜竊、欺詐或誤用設施的風險；物理與環(huán)境安全：定義安全區(qū)域，防止對辦公場所和信息的未授權(quán)訪問、破壞和干擾；保護設備的安全，防止信息資產(chǎn)的丟失、損壞或被盜，以及對業(yè)務活動的干擾；同時，還要做好一般控制，防止信息和信息處理設施的損壞或被盜；第四章第四章ISO/IEC27001控制大項—管理內(nèi)容通訊和操作管理：制定操作規(guī)程和職責，確保信息處理設施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗收準則，將系統(tǒng)失效的風險減到最低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信息備份和網(wǎng)絡安全管理，確保信息在網(wǎng)絡中的安全，確保其支持性基礎設施得到保護；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務活動的中斷；防止信息和軟件在組織之間交換時丟失、修改或誤用；訪問控制：制定文件的訪問控制策略，避免信息系統(tǒng)的未授權(quán)訪問，并讓用戶了解其職責和義務，包括網(wǎng)絡訪問控制、操作系統(tǒng)訪問控制、應用系統(tǒng)和信息訪問控制、監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權(quán)的活動；當使用移動辦公和遠程工作時，也要確保信息安全；信息安全事故的管理：報告信息安全事件和弱點，及時采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故；第四章ISO/IEC27001控制大項—管理內(nèi)容信息系統(tǒng)的獲取、開發(fā)和維護：標識系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分；控制應用系統(tǒng)的安全，防止應用系統(tǒng)中用戶數(shù)據(jù)的丟失、被修改或誤用；通過加密手段保護信息的保密性、真實性和完整性；控制對系統(tǒng)文件的訪問，確保系統(tǒng)文檔的安全；嚴格控制開發(fā)和支持過程，維護應用系統(tǒng)軟件和信息的安全；業(yè)務連續(xù)性管理：目的是為了減少業(yè)務活動的中斷，使關鍵業(yè)務過程免受主要故障或天災的影響，并確保他們的及時恢復；符合性：信息系統(tǒng)的設計、操作、使用和管理要符合法律法規(guī)的要求，符合組織安全方針和標準，還要控制系統(tǒng)審核，使系統(tǒng)審核過程的效力最大化、干擾最小化。方針與策略管理合規(guī)性管理風險管理第四章ISMS實施控制重點—信息安全管理體系構(gòu)成ISO/IEC27001信息安全管理體系關系圖項目工程管理運行維護管理數(shù)據(jù)/文檔/介質(zhì)管理應用與業(yè)務管理主機與系統(tǒng)管理網(wǎng)絡與通信管理環(huán)境與設備管理業(yè)務連續(xù)性管理人員與組織管理第四章ISMS實施控制重點—ISMS構(gòu)成管理內(nèi)容信息安全管理體系構(gòu)成—管理內(nèi)容方針與策略管理確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。風險管理信息安全建設不是避免風險的過程，而是管理風險的過程，沒有絕對的安全，風險總是存在的，信息安全體系建設的目標就是要把風險控制在可以接受的范圍之內(nèi)。風險管理同時也是一個動態(tài)持續(xù)的過程。人員與組織管理建立組織機構(gòu)，明確人員崗位職責，提供安全教育和培訓，對第三方人員進行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風險。環(huán)境與設備管理控制由于物理環(huán)境和硬件設施的不當所產(chǎn)生的風險，管理內(nèi)容包括物理環(huán)境安全、設備安全、介質(zhì)安全等。網(wǎng)絡與設備管理控制、保護網(wǎng)絡和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡和通信系統(tǒng)的問題對業(yè)務系統(tǒng)的損害。主機與系統(tǒng)管理控制和保護計算機主機及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務系統(tǒng)的損害。第四章信息安全管理體系構(gòu)成—管理內(nèi)容應用與業(yè)務管理對各類應用和業(yè)務系統(tǒng)進行安全管理，防止其受到破壞和濫用。數(shù)據(jù)/文檔/介質(zhì)管理采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護業(yè)務數(shù)據(jù)的安全。項目工程管理保護信息系統(tǒng)項目工程的安全，確保項目的成果是可靠的安全系統(tǒng)。運行維護管理保護信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護工作的安全。業(yè)務連續(xù)性管理通過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保信息系統(tǒng)在任何災難和攻擊下，都能夠保證業(yè)務的連續(xù)性。合規(guī)性管理確保信息安全保障工作符合國家法律、法規(guī)的要求，且信息安全方針、規(guī)定和標準得到了遵循。第四章保持和改進ISMS實施和運行ISMS監(jiān)視和評審ISMS建立ISMS計劃實施檢查改進信息安全管理體系PDCA模型相關方信息安全要求和期望相關方被管理的信息安全采用一種過程方法來建立、實施、運行、監(jiān)視、評審保持和改進一個組織的ISMS信息安全管理體系PDCA模型—方法第四章PDCA模式步驟方法策劃定義范圍根據(jù)組織業(yè)務特征，地理位置、資產(chǎn)、技術等確定ISMS的范圍。定義方針方針是信息安全活動的總方向和總原則，是建立目標的框架，應考慮業(yè)務、合同安全義務和法律法規(guī)要求。確定風險評估的方法識別適用的風險評估方法，確定風險接收準則，識別可接受的等級。識別風險識別ISMS范圍內(nèi)的資產(chǎn)、資產(chǎn)的威脅、脆弱點以及機密性、完整性、可用性損失的影響。評估風險評估安全失效可能的影響，評估安全失效發(fā)生的可能性，估計風險等級以及風險是否可接受。識別并評估風險處理的措施包括控制、規(guī)避、轉(zhuǎn)嫁風險，接受殘余風險。為處理風險選擇控制目標和控制措施考慮接受風險的準則，選擇控制目標和措施。適用性聲明聲明應包括選擇的控制目標和措施，選擇的原因，刪減的合理性。實施和運行（DO）實施和運行ISMS提供資源，實施培訓，提高意識，按策劃的要求管理ISMS的運行。檢查（CHECK）監(jiān)視和評審ISMS執(zhí)行監(jiān)視和評審程序，定期評審ISMS的有效性和測量控制措施的有效性，按計劃實施內(nèi)審和管理評審，識別改進的機會。保持和改進（ACT）保持和改進ISMS實施改進措施，不斷總結(jié)經(jīng)驗教訓，確保改進活動達到預期目的。第四章ISMS信息安全管理體系與等級保護的對比體系目的控制項控制點ISO/IE