信息安全新版标准培训PPT推荐.ppt
《信息安全新版标准培训PPT推荐.ppt》由会员分享,可在线阅读,更多相关《信息安全新版标准培训PPT推荐.ppt(87页珍藏版)》请在冰豆网上搜索。
,系统地全面整改?
10,信息安全管理体系(ISMS),信息安全追求的目标确保业务连续性业务风险最小化保护信息免受各种威胁的损害投资回报和商业机遇最大化,信息安全管理体系(ISMS),国际标准化组织(ISO)于2013年10月1日发布了ISO/IEC27001:
2013Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements,该标准代替了ISO/IEC27001:
2005。
我国采用GB/T22080-2008信息技术安全技术信息安全管理体系要求(等同采用ISO/IEC27001:
2005),信息安全管理体系的架构,13,信息安全管理体系的特点,重点关注,全面布防基于对关键资产的风险评估,确定保护重点;
通过对114项控制的选择和落实,实现对信息安全的全面保障通过PDCA的持续循环,确保管理体系适应内外环境的变化,规范性附录表A.1控制目的和控制,A.5信息安全策略,A.6信息安全组织,A.7人力资源安全,A.8资产管理,A.9访问控制,A.10密码,A.11物理和环境安全,A.12运行安全,A.13通信安全,A.14系统获取、开发和维护,A.15供应商关系,A.16信息安全事件管理,A.17业务连续性管理的信息安全方面,A.18符合性,高层管理者要做什么?
确保建立了信息安全策略和信息安全目的,并与组织战略方向一致;
确保将信息安全管理体系要求整合到组织过程中;
确保信息安全管理体系所需资源可用;
沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
确保信息安全管理体系达到预期结果;
指导并支持相关人员为信息安全管理体系的有效性做出贡献;
促进持续改进;
支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。
(5.1领导和承诺)最高管理层应建立信息安全方针(5.2方针)最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
(5.3组织的角色,责任和权限)最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
(9.3管理评审)获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。
(6.1.3信息安全风险处置),高层管理者要做什么?
制定信息安全方针、目的,并批准发布;
批准信息安全管理体系文件;
明确信息安全管理体系组织构架及职责;
保障信息安全体系运行所需的人员、技术、资金等资源;
表达领导层对信息安全重要性的关注;
了解信息安全管理运行情况(日常检查结果和内外审结果);
参与管理评审,提出信息安全改进的方向;
批准风险处置计划,中层管理者要做什么?
了解自己的信息安全管理职责;
编制自己职责内的信息安全管理体系文件;
按文件要求进行信息安全管理活动(资产识别、风险评价、内审、管理评审、不符合纠正等);
检查安全措施的实施效果,员工要做什么?
应了解信息安全方针;
其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
不符合信息安全管理体系要求带来的影响。
(7.3意识)管理使用职责内的资产执行安全措施要求,资产识别,主要资产:
业务过程和活动;
信息。
各种类型的支撑性资产(范围内的主要要素所依赖的):
硬件;
软件;
网络;
人员;
场所;
组织结构。
资产清单,资产威胁,资产脆弱性,风险值计算,风险管理,风险管理,控制举例:
A.18符合性,A.18.1符合法律和合同要求目的:
避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。
起因:
为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题,导致2000万条入住酒店的客户信息泄露。
结果:
2014年某先生由于开房信息泄露,到当地法院起诉了汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络公司,索赔20万元。
点评:
本案中,浙江慧达驿站公司为酒店提供技术系统服务,因此该公司对消费者信息有安全保障义务,如泄露也要承担侵权责任。
控制举例:
A.18符合性,控制举例:
A.7人力资源安全,人力资源安全领域强调如何降低人员交互作用对组织造成的内在风险,包括任用前的考察,任用中的管理和培训以及任用终止或变化的处置。
根据公安部统计70的泄密犯罪来自于内部;
计算机应用单位80未设立相应的安全管理体系;
58无严格的管理制度。
如果相关技术人员违规操作(如管理员泄露密码),即便组织有最好的安全技术的支持,也保证不了信息安全。
A.7人力资源安全,控制举例:
A.7人力资源安全,标准正文,1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导力6.策划7.支持8.运行9.绩效评价10.改进,PLANDOCHECKACT,4.组织环境,5.领导,6.规划,6.1应对风险和机会的措施,7支持,8.运行,9.绩效评价,10.改进,安全控制,A.5安全方针A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码学(新增)A.11物理与环境安全A.12操作安全(由旧版A.10独立出来)A.13通信安全(由旧版A.10独立出来)A.14信息系统获取、开发和维护A.15供应关系(新增)A.16信息安全事件管理A.17信息安全方面的业务连续性管理A.18符合性,A.5信息安全策略,A.6信息安全组织,A.6信息安全组织,A.7人力资源安全,A.7人力资源安全,A.7人力资源安全,A.8资产管理,A.8资产管理,A.8资产管理,A.9访问控制,A.9访问控制,A.9访问控制,A.9访问控制,A.10密码,A.11物理和环境安全,A.11物理和环境安全,A.12运行安全,A.12运行安全,A.12运行安全,A.12运行安全,A.12运行安全,A.12运行安全,A.12运行安全,A.13通信安全,A.13通信安全,A.14系统获取、开发和维护,A.14系统获取、开发和维护,A.14系统获取、开发和维护,A.15供应商关系,A.15供应商关系,A.16信息安全事件管理,A.17业务连续性管理的信息安全方面,A.17业务连续性管理的信息安全方面,A.18符合性,A.18符合性,信息安全管理体系内审,组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系:
是否符合组织自身对信息安全管理体系的要求;
本标准的要求。
是否得到有效实现和维护。
组织应:
规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告。
审核方案应考虑相关过程的重要性和以往审核的结果;
定义每次审核的审核准则和范围;
选择审核员并实施审核,确保审核过程的客观性和公正性;
确保将审核结果报告至相关管理层;
保留文件化信息作为审核方案和审核结果的证据。
信息安全管理体系内审,需要的记录:
内审计划内审记录(首末次会议签到表,检查清单)不符合及纠正措施实施、验证记录内审报告,信息安全管理体系内审,内审计划包括:
内审目的:
例如:
评价体系是否满足审核准则要求内审依据:
标准、公司文件内审范围:
档案软件开发的信息安全相关活动内审时间及成员:
信息安全管理体系内审,信息安全管理体系内审,信息安全管理体系管理评审,9.3管理评审最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应考虑:
以往管理评审提出的措施的状态;
与信息安全管理体系相关的外部和内部事项的变化;
有关信息安全绩效的反馈,包括以下方面的趋势:
不符合和纠正措施;
监视和测量结果;
审核结果;
信息安全目的完成情况;
相关方反馈;
风险评估结果及风险处置计划的状态;
持续改进的机会。
管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
组织应保留文件化信息作为管理评审结果的证据。
信息安全管理体系管理评审,需要的记录:
管理评审通知管理评审会议记录(签到表)管理评审输入(方针目标的实现情况、风险评价结果、风险处置计划、安全措施实施情况、)管理评审输出(管理评审报告),信息安全管理体系管理评审,管理评审报告内容:
信息安全方针、目的的分析信息安全管理体系的适宜性、有效性和充分性风险评价活动的有效性上次管理评审决议的落实情况改进要求,THANKS,