ISMS信息安全系列培训基本概念.pptx
《ISMS信息安全系列培训基本概念.pptx》由会员分享,可在线阅读,更多相关《ISMS信息安全系列培训基本概念.pptx(43页珍藏版)》请在冰豆网上搜索。
信息安全系列培训-基本概念,课程纪律,以手机静默为荣,以铃声乱响为耻以无烟建议为荣,以吞云吐雾为耻以遵守时间为荣,以迟到早退为耻以服从纪律为荣,以目无章法为耻以积极参与为荣,以消极观望为耻以团队作战为荣,以各自为政为耻以笃学山问为荣,以不懂装懂为耻以学以致用为荣,以脱离实践为耻,主题,基本概念什么是信息安全信息安全的管理范畴信息安全管理的发展信息安全管理体系的概要,什么是信息安全?
热身小故事,一农户在杀鸡前的晚上喂鸡,不经意地说:
快吃吧,这是你最后一顿!
第二日,见鸡已躺倒,并留遗书:
爷已吃老鼠药,你们别想吃爷了,爷特么也不是好惹的。
热身小故事,什么是信息?
象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。
在业务环境互连日益增加的情况下这一点显得尤为重要。
这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。
信息可以以多种形式存在。
它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。
无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。
信息是对事物的存在方式、运动状态以及事物间相互联系特性的表述,什么是安全?
安全就是没有危险;不受威胁;不出事故。
-现代汉语小词典商务印书馆安全是在人类生产过程中,将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。
-百度百科,安全就是没有危险;不受威胁;不出事故,什么是信息安全?
保证信息的保密性(Confidentiality),完整性(Integrity),可用性(Availability);另外也可包括诸如:
真实性(authenticity),可核查性(accountability),不可否认性(non-repudiation)和可靠性(reliability)等特性。
-ISO/IEC27002:
2005,信息安全(CIA),什么是信息安全?
保密性,保密性(Confidentiality)信息不能被未授权的个人,实体或者过程利用或知悉的特性。
信息安全:
保密性,什么是信息安全?
完整性,完整性(Integrity):
保护资产的准确和完整的特性。
信息安全:
完整性,什么是信息安全?
可用性,可用性(availability):
根据授权实体的要求可访问和利用的特性,信息安全:
可用性,什么是信息安全?
真实性,真实性(authenticity):
确保主体或资源的身份是所声称的身份特性。
信息安全:
真实性,什么是信息安全?
可核查性,可核查性(accountability):
确保可将一个实体的行动唯一的追踪到此时体的特性。
信息安全:
可核查性,什么是信息安全?
不可否认性,不可否认性(non-repudiation):
证实某个活动或事件已经发生,使得事后无法否认的特性。
信息安全:
不可否认性,什么是信息安全?
可靠性,可靠性(reliability):
与预期行为和结果相一致的特性。
信息安全:
可靠性,什么是信息安全管理体系?
ISO/IEC27001的核心,本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
ISO/IEC27001的三大构成要素持续改进的框架-戴明循环/过程方法风险管理的理念来自行业的最佳实践,ISO/IEC27001的核心,ISO/IEC27001构成要素
(一):
持续改进的框架-PDCA,ISO/IEC27001构成要素
(二):
风险管理的理念,风险事态的概率及其结果的组合ISOGuide73:
2002风险管理指导和控制一个组织相关风险的协调活动注:
风险管理一般包括风险评估、风险处置、风险接受和风险沟通ISOGuide73:
2002,ISO/IEC27001的核心,ISO/IEC27001构成要素(三):
行业惯例133个控制措施,为什么要实施信息安全管理体系?
1.为什么需要信息安全?
监管要求的需要业务支撑的需要企业内控管理的需要客户资料管理的需要商业秘密管理的需要,为什么要实施信息安全管理,2.基于ISO/IEC27001的安全管理的收益,传统的管理思路反应式点状方案临时性方案离散的技术层面大量重复的工作从规划入手的所带来的收益整体式的全面规划融合行业最佳实践以及监管组织的要求完善的持续改进框架清晰的演进路线主动式的分析在整体框架的基础上,突出重点专题夯实基础、解决突出问题,基于ISO/IEC27001的安全管理的收益,3.建立ISMS获得的价值,利用标准架构,获得最佳的信息安全运行方式;识别风险,保证业务安全;制定策略降低风险、避免损失;控制核心信息安全,保持核心竞争优势;获得认证,提高业务活动中的信誉;保护客户数据信息,满足客户的要求;系统识别法律法规要求,避免法律风险制定BCP/DRP,保证可持续发展,建立ISMS的价值,怎样实施信息安全管理体系?
数据会不会出问题?
会不会泄密或被人窃取?
会不会被人纂改?
会不会有无法恢复的损失和丢失?
系统会不会出问题?
系统会不会停机?
系统会不会受到攻击?
系统内的业务交易是不是值得信赖?
信息安全应该包括哪些内容?
物理安全?
逻辑安全?
网络安全?
系统安全?
人员安全?
实施信息安全需要关注哪些要素?
基于ISO/IEC27001的安全管理的收益,?
数据会不会出问题?
会不会泄密或被人窃取?
会不会被人纂改?
会不会有无法恢复的损失和丢失?
系统会不会出问题?
系统会不会停机?
系统会不会受到攻击?
系统内的业务交易是不是值得信赖?
信息安全应该包括哪些内容?
物理安全?
逻辑安全?
网络安全?
系统安全?
人员安全?
从管理对象定义信息安全的管理范围,从管理对象定义信息安全的管理范围,信息(内容)安全,载体安全,业务(信息化)安全,载体安全,信息安全目标模型(CST),信息安全(广义),内容安全工作中的数据、文档是安全的,业务可信在信息系统上所进行的业务操作是可以信赖的,系统稳定支撑业务的信息系统是稳定的,实施信息安全管理体系需要进行哪些层面的工作?
通过实施一系列的控制措施来达到安全的效果,包括:
-摘自ISO/IEC27002:
2005方针策略过程和程序组织结构软件和硬件功能,管理,技术,信息安全管理的管理范围说明,实施信息安全管理体系的实施范围一般应包括:
数据/内容安全应用/软件安全主机/系统安全网络/通讯安全物理/环境安全,实施信息安全管理体系的实施内容一般应包括:
技术要素:
是指相关设施、设备配备是否充分、运行状态是否完好,以满足安全要求。
如摄像头是否覆盖主要区域及所有出入口、消防设施是否完好系统等。
管理要素:
是指与安全管理相关的规章制度和流程规范。
如人员进出的管理制度、系统维护规范等。
数据/内容安全的管理范围:
包括存在在计算机或系统内的电子数据,也包括纸质或其他形态的文档,如打印出来的合同等。
特别说明:
数据安全不仅包括企业自身的的数据管理。
也包括对具有保管子夜的客户资源和数据的管理。
应用/软件安全的管理:
主要是指企业组织自身的应用和软件。
主要内容涉及应用/软件的设计、开发、部署和维护等整个软件管理的生命周期。
主机/系统安全的管理:
对于自身的主机/系统的安全管理应涉及日常监视、系统备份、账号管理、日志分析、病毒防范、故障处理等。
网络/通讯安全:
包括网络的拓扑架构的规划设计、日常的运行监视、故障处理、攻击防范的防范、网络可靠性的管理等相关内容。
实施信息安全管理体系需要进行的工作,信息安全管理体系的发展,通信保密阶段(CoMSEC),通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的保密系统的信息理论,该理论首次将密码学的研究纳入了科学的轨道。
计算机安全阶段(CoMPUSEC),进入到20世纪70年代,通信保密阶段转变到计算机安全阶段。
这一时代的标志1985年美国国防部公布的可信计算机系统评估准则(TCSEC)。
信息安全阶段(INFOSEC),20世纪90年代以来,由于网络的发展,特别是电子商务的发展,使不被非法访问或者更改,确保对合法用户的服务并限制非授权用户的服务外,还包括必要的检测、记录和抵御攻击的措施。
于是除了信息的机密性、完整性和可用性之外,人们对信息的安全性有了新的要求:
可靠性,不可否认性以及可核查性。
信息保障阶段(IA),1995年,美国国防部提出了信息保障的概念:
“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可鉴别性和不可否认等特性。
这些特性包括在信息系统的保护、检测、反应功能中,并提供信息系统的恢复功能”,信息安全管理体系的发展,1993年,BS7799由英国贸易工业部立项1995年,出版BS7799-1:
1995(信息安全管理实用规则)1998年,出版BS7799-2:
1998(信息安全管理体系要求)1999年,出版BS7799-1:
1999和BS7799-2:
199912000年12月,BS7799-1:
1999通过ISO认可,成为国际标准,标准号为ISO/IEC17799:
20002002年,出版BS7799-2:
20022005年6月,ISO/IEC17799:
2000改版为ISO17799:
2005,2008年标准号改为ISO/IEC27002:
20052005年10月BS7799-2:
2002通过ISO认可,成为国际标准,标准号为ISO/IEC27001:
2005.,信息安全管理体系的系列标准(已发布),ISO/IEC27000:
2012Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-OverviewandvocabularyISO/IEC27001:
2005Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-RequirementsISO/IEC27002:
2005Informationtechnology-Securitytechniques-CodeofpracticeforinformationsecuritymanagementISO/IEC27003:
2010Informationtechnology-Securitytechniques-InformationsecuritymanagementsystemimplementationguidanceISO/IEC27004:
2009Informationtechnology-Securitytechniques-Informationsecuritymanagement-MeasurementISO/IEC27005:
2011Informationtechnology-Securitytechniques-InformationsecurityriskmanagementISO/IEC27006:
2011Informationtechnology-Securitytechniques-RequirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystemsISO/IEC27007:
2011Informationtechnology-Securitytechniques-GuidelinesforinformationsecuritymanagementsystemsauditingISO/IECTR27008:
2011Informationtechnology-Securitytechniques-Guidelinesforaudit
升级会员 