信息安全管理培訓(xùn)課件

信息安全培訓(xùn)對(duì)象：高級(jí)組長(zhǎng)及以上信息安全培訓(xùn)對(duì)象：高級(jí)組長(zhǎng)及以上培訓(xùn)目標(biāo)1、認(rèn)識(shí)到信息安全管理的重要性2、了解到信息安全的重點(diǎn)在于管理3、熟練信息安全管理的工作內(nèi)容培訓(xùn)目標(biāo)1、認(rèn)識(shí)到信息安全管理的重要性信息安全目錄一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目標(biāo)五、實(shí)現(xiàn)信息安全的意義六、信息安全的需求來(lái)源七、如何做好信息安全整體規(guī)劃八、如何實(shí)現(xiàn)信息安全信息安全目錄一、信息安全案例信息安全案例共享打印機(jī)帶來(lái)的問(wèn)題文件帶來(lái)的問(wèn)題泄露給別人打印機(jī)密文件看看他們的標(biāo)書他偷看我標(biāo)書，中標(biāo)了結(jié)果：損失200萬(wàn)結(jié)果：損失1000萬(wàn)提高安全意識(shí)，加強(qiáng)安全預(yù)防，注重安全管理信息安全案例共享打印機(jī)帶來(lái)的問(wèn)題文件帶來(lái)的問(wèn)題泄露給別人打印什么是信息以下哪些屬于信息?數(shù)據(jù)專利計(jì)算機(jī)文件聲音紙張什么是信息以下哪些屬于信息?數(shù)據(jù)專利計(jì)算機(jī)文件聲音紙張什么是信息定義：是事物運(yùn)動(dòng)的狀態(tài)與方式，是物質(zhì)的一種屬性。文件數(shù)據(jù)聲音圖像信息實(shí)例特征：依附載體；可傳遞；可共享；可存儲(chǔ)；時(shí)效性什么是信息定義：是事物運(yùn)動(dòng)的狀態(tài)與方式，是物質(zhì)的一種什么是信息安全定義：保護(hù)信息資產(chǎn)免遭惡意破壞，保證業(yè)務(wù)連續(xù)可靠運(yùn)行。硬件軟件數(shù)據(jù)信息資產(chǎn)什么是信息安全定義：保護(hù)信息資產(chǎn)免遭惡意破壞，保證業(yè)基本目標(biāo)保密性完整性可用性不被篡改不會(huì)泄漏隨時(shí)訪問(wèn)基本目標(biāo)保密性完整性可用性不被篡改不會(huì)泄漏隨時(shí)訪問(wèn)實(shí)現(xiàn)信息安全的意義◆能保證企業(yè)的業(yè)務(wù)活動(dòng)穩(wěn)定有效的運(yùn)作◆提高客戶滿意度滿意度業(yè)務(wù)運(yùn)作實(shí)現(xiàn)信息安全的意義◆能保證企業(yè)的業(yè)務(wù)活動(dòng)穩(wěn)定有效的運(yùn)作滿意度信息安全需求來(lái)源法律規(guī)定、客戶組織要求法律及合約的要求：組織的目標(biāo)及規(guī)定：企業(yè)為保證業(yè)務(wù)連續(xù)性而要求風(fēng)險(xiǎn)評(píng)估的結(jié)果：對(duì)存在的弱點(diǎn)，威脅的改進(jìn)要求信息安全需求來(lái)源法律規(guī)定、客戶組織要求法律及合約的要如何做好信息安全整體規(guī)劃目標(biāo)Objective：

明確信息安全建設(shè)的核心目標(biāo)。對(duì)象Object：

明確保護(hù)對(duì)象（信息資產(chǎn)）： 關(guān)鍵數(shù)據(jù)、應(yīng)用系統(tǒng)、實(shí)物資產(chǎn)、設(shè)施和環(huán)境，以及人員。規(guī)范Document：

制定可實(shí)施的一套方針、標(biāo)準(zhǔn)、指南、程序和規(guī)范要求文件，為所有信息安全活動(dòng)提供指導(dǎo)，最終實(shí)現(xiàn)信息安全需求。如何做好信息安全整體規(guī)劃目標(biāo)Objective：過(guò)程Process：

P:信息安全先做規(guī)劃，明確需求，制定應(yīng)對(duì)方案；

D:實(shí)施解決方案；

C:通過(guò)檢查，鞏固成果，發(fā)現(xiàn)不足；

A:采取后續(xù)措施，改進(jìn)不足，推動(dòng)信息安全持續(xù)進(jìn)步。

如何做好信息安全整體規(guī)劃如何做好信息安全整體規(guī)劃如何建設(shè)ISMSISMS定義：安全信息管理體系從建立、實(shí)施、監(jiān)控、改進(jìn)信息安全的系列管理活動(dòng)計(jì)劃階段（P）：如何建設(shè)ISMSISMS定義：安全信息管理體系計(jì)劃階段（P）如何建設(shè)ISMS實(shí)施階段（D）：如何建設(shè)ISMS實(shí)施階段（D）：如何建設(shè)ISMS檢查與改進(jìn)階段（C，A）：如何建設(shè)ISMS檢查與改進(jìn)階段（C，A）：如何建立ISMS文件體系如何建立ISMS文件體系如何建立ISMS文件體系如何建立ISMS文件體系如何實(shí)現(xiàn)信息安全一、安全技術(shù)二、安全管理三分靠技術(shù)，七分靠管理如何實(shí)現(xiàn)信息安全一、安全技術(shù)三分靠技術(shù)，七分靠管理如何實(shí)現(xiàn)信息安全安全技術(shù)：如何實(shí)現(xiàn)信息安全安全技術(shù)：如何實(shí)現(xiàn)信息安全安全管理：解決三大問(wèn)題組織制度人員建設(shè)組織機(jī)構(gòu)并明確責(zé)任建立安全管理制度體系加強(qiáng)人員的安全意識(shí)，并進(jìn)行安全教育培訓(xùn)如何實(shí)現(xiàn)信息安全安全管理：解決三大問(wèn)題組織制度人員建設(shè)組織機(jī)信息安全管理內(nèi)容符合性業(yè)務(wù)連續(xù)性管理安全事件管理系統(tǒng)開發(fā)維護(hù)訪問(wèn)控制通信與操作管理物理安全人力資源安全資產(chǎn)管理組織信息安全安全策略領(lǐng)域三分靠技術(shù)，七分靠管理信息安全管理內(nèi)容符合性業(yè)務(wù)連續(xù)安全事件系統(tǒng)開發(fā)訪問(wèn)控制通信與信息安全管理內(nèi)容安全策略1、信息安全策略 制定信息安全策略文件 定期復(fù)查信息安全策略企業(yè)級(jí)的安全方針部門級(jí)的安全策略個(gè)人級(jí)的安全策略信息安全管理內(nèi)容安全策略1、信息安全策略企業(yè)級(jí)的安全方針信息安全管理內(nèi)容組織信息安全1、內(nèi)部組織： 分派信息安全責(zé)任 制定保密協(xié)議； 常對(duì)信息安全作評(píng)審2、外部組織：

識(shí)別與外部伙伴的風(fēng)險(xiǎn) 與客戶交往時(shí)應(yīng)注意安全

第三方協(xié)議中注明安全信息安全管理內(nèi)容組織信息安全1、內(nèi)部組織：信息安全管理內(nèi)容資產(chǎn)管理1、資產(chǎn)責(zé)任：

資產(chǎn)清單

資產(chǎn)屬主 對(duì)資產(chǎn)的可接受使用2、資產(chǎn)分類：確保信息資產(chǎn)得到適當(dāng)級(jí)別的保護(hù) 分類指南 信息標(biāo)注與處理信息安全管理內(nèi)容資產(chǎn)管理1、資產(chǎn)責(zé)任：信息安全管理內(nèi)容人力資源安全1、聘用前： 定義雇員角色和責(zé)任 篩選合適人員 制定聘用條件條款2、聘用間： 提供員工安全教育培訓(xùn) 制定獎(jiǎng)罰機(jī)制3、解聘后/職位變更： 制定解聘責(zé)任 要求員工返還資產(chǎn) 去除員工訪問(wèn)權(quán)限 重定義員工轉(zhuǎn)崗時(shí)的角色責(zé)任及利用的資產(chǎn)信息安全管理內(nèi)容人力資源安全1、聘用前：信息安全管理內(nèi)容物理與環(huán)境管理1、安全區(qū)域：防止非授權(quán)的訪問(wèn)安全區(qū)邊界 物理安全邊界 控制物理入口（安裝防盜門鎖之類） 制定場(chǎng)所、房間、設(shè)施保護(hù)規(guī)則 在安全區(qū)域內(nèi)工作2、設(shè)備安全：防止資產(chǎn)丟失、破壞 設(shè)備的安置與保護(hù) 供電 電纜安全 設(shè)備維護(hù) 設(shè)備報(bào)廢的安全信息安全管理內(nèi)容物理與環(huán)境管理1、安全區(qū)域：防止非授權(quán)的訪問(wèn)信息安全管理內(nèi)容通信與操作管理1、操作程序和責(zé)任：

操作程序的文檔化 變更管理2、第三方服務(wù)交付管理：

服務(wù)交付 監(jiān)督第三方服務(wù) 第三方服務(wù)變更管理3、系統(tǒng)規(guī)劃驗(yàn)收: 容量管理對(duì)于共享文件應(yīng)存放在公告目錄中，發(fā)內(nèi)部郵件時(shí)最好不加附件，而使用超鏈接導(dǎo)航到文件信息安全管理內(nèi)容通信與操作管理1、操作程序和責(zé)任：對(duì)于共享文信息安全管理內(nèi)容4、抵卸惡意代碼：

惡意代碼控制5、備份: 信息備份6、網(wǎng)絡(luò)安全管理： 網(wǎng)絡(luò)管理控制 網(wǎng)絡(luò)服務(wù)安全控制7、介質(zhì)處理： 移動(dòng)介質(zhì)管理規(guī)定8、監(jiān)視：發(fā)現(xiàn)非授權(quán)活動(dòng) 監(jiān)視系統(tǒng)使用 操作日志 問(wèn)題日志信息安全管理內(nèi)容4、抵卸惡意代碼：信息安全管理內(nèi)容1、訪問(wèn)控制的業(yè)務(wù)需求：控制對(duì)信息的訪問(wèn) 訪問(wèn)控制策略2、用戶訪問(wèn)管理：授權(quán)用戶對(duì)系統(tǒng)的訪問(wèn) 用戶注冊(cè) 權(quán)限管理 口令管理3、用戶責(zé)任： 口令使用 在操作無(wú)人值守的設(shè)備時(shí)要注意信息安全訪問(wèn)控制信息安全管理內(nèi)容1、訪問(wèn)控制的業(yè)務(wù)需求：控制對(duì)信息的訪問(wèn)訪問(wèn)信息安全管理內(nèi)容4、網(wǎng)絡(luò)訪問(wèn)控制：授權(quán)用戶訪問(wèn)網(wǎng)絡(luò) 網(wǎng)絡(luò)服務(wù)使用策略 對(duì)連接用戶進(jìn)行身份確認(rèn) 端口保護(hù)及控制 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制5、操作系統(tǒng)訪問(wèn)控制： 安全的登錄程序 身份識(shí)別 口令管理 會(huì)話超時(shí) 限制連接時(shí)間信息安全管理內(nèi)容4、網(wǎng)絡(luò)訪問(wèn)控制：授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)信息安全管理內(nèi)容1、信息系統(tǒng)的安全需求： 安全需求分析與規(guī)范2、應(yīng)用程序中的正確處理： 數(shù)據(jù)驗(yàn)證 內(nèi)部處理控制 輸出數(shù)據(jù)驗(yàn)證3、密碼控制：

密碼控制使用策略4、程序文件的安全：

控制運(yùn)營(yíng)系統(tǒng)上的軟件 保護(hù)系統(tǒng)測(cè)試數(shù)據(jù) 對(duì)源代碼的訪問(wèn)控制系統(tǒng)開發(fā)與維護(hù)5、開發(fā)與支持過(guò)程的安全：變更控制程序運(yùn)營(yíng)系統(tǒng)變更后應(yīng)做評(píng)審信息泄漏6、技術(shù)漏洞管理：控制技術(shù)漏洞信息安全管理內(nèi)容1、信息系統(tǒng)的安全需求：系統(tǒng)開發(fā)與維護(hù)5、開信息安全管理內(nèi)容控制目標(biāo)1、報(bào)告安全事件與缺陷：報(bào)告安全事件報(bào)告安全缺陷2、管理安全事件與改進(jìn)：責(zé)任與程序從事件中吸取教訓(xùn)信息安全事件管理要將安全事件及問(wèn)題解決方案存檔，作為組織過(guò)程資產(chǎn).信息安全管理內(nèi)容控制目標(biāo)1、報(bào)告安全事件與缺陷：信息安全事件信息安全管理內(nèi)容1、業(yè)務(wù)連續(xù)