网络与信息安全基础培训.pptx
《网络与信息安全基础培训.pptx》由会员分享,可在线阅读,更多相关《网络与信息安全基础培训.pptx(76页珍藏版)》请在冰豆网上搜索。
公司公司徽标徽标信息安全管理框架InformationSecurityManagementFramework27十月2022大纲什么是信息安全?
什么是信息安全管理探讨信息安全管理的目的与意义信息安全与业务安全信息安全保障框架信息安全管理体系信息系统安全工程项目管理2什么是信息安全防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。
即确保信息的完整性、保密性,可用性和可控性。
避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
本质上是保护用户的利益和隐私。
信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访问控制,加密与鉴别七个方面。
信息安全的关键在于信息本身,而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。
3什么是信息安全信息安全的基本目标信息安全通常强调所谓AIC三元组的目标,即保密性、完整性和可用性。
AIC概念的阐述源自信息技术安全评估标准(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
4机密性可用性完整性什么是信息安全信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对AIC原则的细化、补充或加强。
5信息安全管理概念6管理体系的持管理体系的持续改改进要求要求要求被要求被满足足管理职责管理职责分析改进分析改进产品实现产品实现资源管理资源管理输入输入输出输出PDCA过程7需求方需求方信息安全信息安全需求与期望需求与期望PLAN建立建立ISMSCHECK监视和和评审ISMSACT保持和改保持和改进管理管理责任任ISMSISMS过过程程程程需求方需求方可管理状可管理状态下的下的信息安全信息安全DO实施和操作施和操作ISMS建立ISMS8范围范围&边界边界ISMS策略策略控制目标控制目标&控制手段控制手段风险评估途径风险评估途径威胁威胁&脆弱性脆弱性资产资产&所有者所有者风险处置选项风险处置选项风险评估风险评估影响影响适用性声明适用性声明1234569871011评审评审12实施和操作ISMS9风险处理风险处理计划计划和实施和实施实施控制实施控制有效性测量有效性测量操作管理操作管理培训培训&意识意识活动活动&事件管理事件管理资源管理资源管理1234567IS活动活动一个确定的发生可能违反信息安全保障政策一个确定的发生可能违反信息安全保障政策或失败或一种前所未知的情况,可能是与安或失败或一种前所未知的情况,可能是与安全相关的系统,服务或网络状态指示全相关的系统,服务或网络状态指示IS事件事件一个单一的或一系列不必要的或意外一个单一的或一系列不必要的或意外的信息安全事件,有一个显着的业务的信息安全事件,有一个显着的业务经营的影响和威胁信息安全的概率经营的影响和威胁信息安全的概率监视和评审ISMS10监视监视&审查程序审查程序评价有效性评价有效性测量控制的有效性测量控制的有效性内部内部ISMS审计审计风险评估审查风险评估审查安全计划评审安全计划评审管理评审管理评审1234567改进改进&事件对事件对ISMS的的性能性能/有效性有效性带来的影响带来的影响8维护和改进ISMS11实施改进实施改进采取采取CA-PA从教训中吸取经验从教训中吸取经验(他人(他人&自己)自己)确认改进确认改进沟通沟通行动行动&改进改进12345信息安全管理的目的和意义在在组织层面面承诺在法律在法律层面面遵守在操作在操作层面面风险管理在商在商业层面面信誉和信心在在财务层面面降低成本在人力在人力层面面提高员工意识12什么是风险风险Risk一种可能性,威胁利用资产的脆弱性,并造成资产的损害或损失。
威胁Threat可能导致不期望事件的潜在原因,该不期望事件可能导致系统或组织受损脆弱点Vulnerability一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。
13风险,威胁和脆弱性之间的关系14威威胁脆弱性脆弱性利用利用风险资产价价值保保护需求需求增加增加增加增加信息信息资产控制控制*暴露暴露防范防范减少减少具有具有增加增加说明明满足足控制:
降低控制:
降低风险的做法,程序或机制的做法,程序或机制威胁识别威胁元素代理:
执行威胁的催化剂。
人力设备自然动机:
事物导致代理人采取行动。
偶然故意只有激励因素,既可以是偶然的和故意的是人结果:
所施加的威胁的结果。
结果通常导致CIA的损失机密性完整性可用性15威胁员工外部各方安全问题认识不足生长在网络和分布式计算黑客工具和病毒的复杂性和效益的增长自然灾害,例如。
火灾,水灾,地震16威胁源17源源动机机威威胁外部黑客的攻击挑战自负博弈系统的黑客社会工程垃圾箱内部黑客期限财务问题失望后门舞弊欠佳的文档恐怖分子复仇政治系统攻击社会工程邮件炸弹病毒拒绝服务没有受过良好训练的员工意外错误编程错误数据录入错误数据损坏引入恶意代码系统错误未经授权的访问威胁类别18序号序号威威胁类别示例示例1人力资源的失误或失败事故,员工失误2知识产权丢失盗版,侵犯版权3故意或者间谍或侵占未经授权的访问和/或数据收集4信息勒索的故意行为勒索信息曝光/披露5故意破坏/认为破坏破坏系统/信息6故意盗窃非法没收设备或信息7故意软件攻击病毒,蠕虫,宏拒绝服务8从服务提供商的服务质量偏差电源和广域网问题9大自然的力量火灾,水灾,地震,雷击10技术硬件故障或错误设备故障/错误11技术软件失败或错误错误代码的问题,未知的漏洞12陈旧的技术陈旧或过时的技术风险和威胁19IT系系统高高级用用户的知的知识盗窃,破坏,盗窃,破坏,误用用恶意代意代码攻攻击系系统和网和网络故障故障缺乏文档缺乏文档失效的物理失效的物理安全安全自然灾害及火灾自然灾害及火灾理解风险20下雨下雨下雨下雨人人人人健康健康健康健康虚弱虚弱虚弱虚弱生病生病生病生病资产威威胁(来自自然(来自自然环境)境)脆弱性脆弱性接受接受接受接受风险风险降低降低降低降低风险风险规规避避避避风险风险转转嫁嫁嫁嫁风险风险风险处置策略置策略打打打打伞伞打打打打车车停止外出停止外出停止外出停止外出对对方来方来方来方来访访风险处置置残余残余风险效率效率成本成本可行性可行性业务与业务风险业务业务就是为了达成某种目的或者结果需要处理的事务.业务风险指在处理事务过程中所面临的影响业务正常运行中的威胁所带来的影响。
业务的风险来源于业务的每个环节中的入口和出口,包括业务流程、业务逻辑关系以及业务过程的成熟度。
业务是一个组织的灵魂,没有业务对于组织而言也就失去了生命,业务流程如同一个人的大动脉,承载着全身的血液的输送,没有流程的业务如同一条没有水的河流。
分析业务流程实际上是整个业务评估的关键。
21业务构成要素业务识别业务流程流程分析分析关关键业务目目标目目标实现技技术识别管理管理识别流程合理性流程合理性审计手段手段技技术保障保障管理保障管理保障技技术策略策略管理策略管理策略22业务评估业务评估是以业务为主线,涉及业务流程、组织架构、业务IT、用户、第三方支撑等5大元素。
23信息安全管理体系ISO27001:
2005简介ISO/IEC27001:
2005与ISO/IEC27001:
2013差异对比ISMS组织用户的责任24历史25BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作为行业标准发布,为信息安全管理提供了一个依据。
BS7799标准最早是由英固工贸部、英固标准化协会(BSI)组织的相关专家共同开发制定的在1998年、1999年经过两次信订之后出版BS7799-1:
1999和BS7799-2:
1999。
2001年修订BS7799-2:
1999,同年BS7799-2:
2000发布。
2002年对BS7799-2:
2000进行了修订发布了BS7799-2:
2002版。
ISO于2005年10月15采用BS7799-2:
2002版本成为国际标准-ISO/IEC27001:
2005版。
2013年年10月月19日修日修订原版,正式原版,正式使用使用ISO/IEC27001:
2013版。
版。
2000年4月,将BS7799-1:
1999提交ISO,同年10月获得通过成为ISO/IEC17799:
2000版。
2005年对ISO/IEC17799:
2000版进行了修订,于6月15日发布了ISO/IEC17799:
2005版。
2007年上半年正式更名为ISO27002:
2007。
2013年与年与ISO27001:
2013版同步版同步更新更新为ISO27002:
2013.现在与未来26ISO27002:
2007CodeofpracticeFromISO17799ISO27003ImplementationGuideISO27001November2005ISO27000November2005ISO27004MeasurementStandardISO27005RiskManagementStandardFromBS7799-IIIISO27006RequirementsforBodiesprovidingaudit&CertificationISO/IEC18004IncidentManagementStandardSS507BC/DRStandard(Singapore)ISO17799Jun2005守则守则审核标准审核标准BS7799PartIIIGuidelinesforISRiskManagementDec2005ISO13335ITsecuritymanagementISO27000标准族27ISO27001:
2005标准说明BS7799:
分为BS7799-1和BS7799-2两部份BS7799-1:
2005/ISO17799:
2005主要是做为参考文件,提供广泛性的安全控制措施,作为现行信息安全之最佳作业方法,其中包含11个控制措施章节,但不作为评鉴与验证标准。
BS7799-2:
2005/ISO27001:
2005系根据BS7799-1,提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求,依据个别组织的需求,规定要实施之安全控制措施的要求。
28ISO27001:
2005标准说明BS7799-1:
2005/ISO17799:
2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证29ISO27001:
2005标准说明BS7799-2:
2005/ISO27001:
2005信息安全管理系统要求根据BS7799-1:
2005ISMS之建立实施与文件化之具体要求依据个别组织的需求,规定要实施之安全控制措施的要求。
30ISO27001:
2005标准说明关键的成功因素(Criticalsuccessfactors)经验显示,组织的信息安全能否成功实施,下列常为关键因素:
能反映营运目标的信息安全政策、目标及活动。
与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。
来自所有管理阶层的实际支持和承诺。
对信息安全要求、风险评估以及风险管理的深入了解。
向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。
资助信息安全管理活动。
提供适切的认知、训练及教育。
制定有效的信息安全事故管理过程。
实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。
31ISO/IEC27001:
2005核心32建立建立ISMS实施和运作实施和运作ISMS维护和改进维护和改进ISMS计划计划PLAN实施实施DO改造改造ACTION监控和评审监控和评审ISMS检查检查CHECK开开发、维护和改和改进循坏循坏相关单位相关单位管理状态管理状态下的信息下
升级会员 