【正文】 中遠(yuǎn)網(wǎng)絡(luò) (北京 )有限公司信息安全管理體系基礎(chǔ)培訓(xùn) 北京安言信息技術(shù)有限公司 歡迎您參加這次《信息安全管理體系基礎(chǔ)知識(shí)》培訓(xùn)班，本課程是我們特意為北京中遠(yuǎn)網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實(shí)踐，以便更好地開展即將啟動(dòng)的項(xiàng)目。衷心祝愿您在整個(gè)課程過程中與我們度過緊湊而富有成效的美好時(shí)光。 關(guān)于課程內(nèi)容及授課效果的意見和建議，請(qǐng)及時(shí)反饋給我們，以便我們改進(jìn)自身工作。 再次歡迎您的參與，真誠(chéng)感謝您的支持與合作！ 我們的目標(biāo) ? 理解信息、信息安全和信息安全管理 ? 理解信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理 ? 理解 779927001標(biāo)準(zhǔn)本身的條款內(nèi)容 ? 掌握一種實(shí)施的方法和途徑 ? 了解 27001認(rèn)證的完整過程 ? 用 27001指導(dǎo)企業(yè)進(jìn)行信息安全的各項(xiàng)活動(dòng) ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 內(nèi)容目錄 ? 積極參與，小組討論，活躍氣氛 ? 遵守時(shí)間 ? 請(qǐng)將移動(dòng)電話設(shè)置為震動(dòng) ? 有問題請(qǐng)隨時(shí)提出 課堂注意事項(xiàng) 讓我們開始吧！ ? 什么是信息？ ? 什么是信息安全？ ? 為什么要強(qiáng)調(diào)信息安全管理？ ? 怎樣做好信息安全管理？ ? 什么是 779927001？ ? 779927001對(duì)信息安全管理有什么指導(dǎo)意義？ ? 信息安全管理體系如何認(rèn)證？ 需要首先搞清楚的幾個(gè)問題 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 什么是信息？ 信息安全概述 什么是信息？ ? 消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) ? 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： ? 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 ? 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來說具有價(jià)值，就成為信息資產(chǎn)： ? 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關(guān)鍵人員 ? 組織提供的服務(wù) ? 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù) 有價(jià)值的內(nèi)容 —— 9000 信息安全概述 企業(yè)信息安全管理關(guān)注的信息類型 內(nèi)部信息 組織不想讓其競(jìng)爭(zhēng)對(duì)手知道的信息 客戶信息 顧客 /客戶不想讓組織泄漏的信息 共享信息 需要與其他業(yè)務(wù)伙伴分享的信息 信息安全概述 信息的處理方式 創(chuàng)建 傳遞 銷毀 存 儲(chǔ) 使用 更改 信息安全概述 什么是信息安全？ 信息安全概述 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。 信息安全概述 信息安全的發(fā)展歷史 20世紀(jì) 60年代前 60年代到 80年代 20世紀(jì) 80年代末以后 ? 電話、電報(bào)、傳真 ? 強(qiáng)調(diào)的是信息的保密性 ? 對(duì)安全理論和技術(shù)的研究只側(cè)重于密碼學(xué) ? 通信安全，即 ? 計(jì)算機(jī)軟硬件極大發(fā)展 ? 關(guān)注保密性、完整性和可用性目標(biāo) ? 信息安全，即 ? 代表性成果是美國(guó)的和歐洲的測(cè)評(píng)標(biāo)準(zhǔn) ? 互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無論是對(duì)內(nèi)還是對(duì)外都得到極大開放 ? 信息安全從中又衍生出可控性、抗抵賴性、真實(shí)性等特性，并且從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)發(fā)展 ? 信息保障（ ），從整體角度考慮安全體系建設(shè) ? 美國(guó)的規(guī)范 信息安全概述 C I A onfidentiality ntegrity vailability 信息安全基本目標(biāo) 信息安全概述 企業(yè)重大泄密事件屢屢發(fā)生 信息安全概述 敏感信息遭受篡改也會(huì)導(dǎo)致惡劣后果 信息安全概述 破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴(yán)重 信息安全概述 C 保密性（） —— 確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。 完整性（） —— 確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。 可用性（） —— 確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。 三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是三元組： .和 . I A D isclosure A lteration D estruction 泄漏 破壞 篡改 信息安全概述 機(jī)密性 可用性 完整性 信息安全概述 其他概念和原則 ? 私密性（） —— 個(gè)人和組織控制私用信息采集、存儲(chǔ)和分發(fā)的權(quán)利。 ? 身份識(shí)別（） —— 用戶向系統(tǒng)聲稱其真實(shí)身份的方式。 ? 身份認(rèn)證（） —— 測(cè)試并認(rèn)證用戶的身份。 ? 授權(quán)（） —— 為用戶分配并校驗(yàn)資源訪問權(quán)限的過程。 ? 可追溯性（） —— 確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力。 ? 抗抵賴性（） —— 確保信息創(chuàng)建者就是真正的發(fā)送者的能力。 ? 審計(jì)（） —— 對(duì)系統(tǒng)記錄和活動(dòng)進(jìn)行獨(dú)立復(fù)查和審核，確保遵守性 信息安全概述 信息安全的重要性 ? 信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價(jià)值，因而要妥善保護(hù) ? 信息安全是國(guó)家安全的需要 ? 信息安全是維持組織競(jìng)爭(zhēng)優(yōu)勢(shì)、贏利能力、守法性和企業(yè)形象的保障之一 ? 信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要 ? 許多組織都曾面臨過嚴(yán)重的威脅，包括基于計(jì)算機(jī)的欺詐和蓄意破壞 ? 現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計(jì)算機(jī)病毒、黑客和拒絕服務(wù)攻擊 ? 網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對(duì)計(jì)算機(jī)系統(tǒng)未授權(quán)訪問的機(jī)會(huì) ? 組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難 ? 許多信息系統(tǒng)的設(shè)計(jì)本身就不安全 ? 通過技術(shù)手段獲得的安全是有限的，還應(yīng)該通過恰當(dāng)?shù)墓芾砗统绦騺碇С? 信息安全概述 法律法規(guī)與 合同要求 組織原則目標(biāo)和業(yè)務(wù)需要 風(fēng)險(xiǎn)評(píng)估的結(jié)果 從什么方面考慮信息安全？ 信息安全概述 常規(guī)的技術(shù)措施 ? 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 ? 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性 ? 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、入侵檢測(cè)、掃描評(píng)估 ? 應(yīng)用安全技術(shù)：安全、訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 ? 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的特性 ? 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、認(rèn)證（例如）、證書認(rèn)證等 ? 訪問控制技術(shù)：防火墻、訪問控制列表等 ? 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證 ? 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 ? 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份 信息安全概述 防火墻 網(wǎng)絡(luò)入侵檢測(cè) 病毒防護(hù) 主機(jī)入侵檢測(cè) 漏洞掃描評(píng)估 VPN通道 訪問控制 信息安全概述 有沒有更好的途徑？ 信息安全概述 信息安全管理 ? 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 ? 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 ? 人們常說，三分技術(shù)，七分管理，可見管理對(duì)信息安全的重要性。 ? 信息安全管理（ ）是組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。 ? 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。 ? 信息安全管理的核心就是風(fēng)險(xiǎn)管理。 信息安全概述 信息安全管理面臨的一些問題 ? 國(guó)家的信息安全法律法規(guī)體系建設(shè)還不是很完善 ? 組織缺乏信息安全意識(shí)和明確的信息安全策略 ? 對(duì)信息安全還持有傳統(tǒng)的認(rèn)識(shí)，即重技術(shù)，輕管理 ? 安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理 信息安全概述 調(diào)查顯示有 8成企業(yè)安全管理不理想 信息安全概述 各行業(yè)安全管理狀況都不容樂觀 信息安全概述 安全管理各方面能力都很低下 信息安全概述 信息安全管理應(yīng)該是體系化的 ? 信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子 ? 這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營(yíng)管理體系的一部分 務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作 信息安全概述 怎樣實(shí)現(xiàn)信息安全？ 信息安全概述 通常的信息安全建設(shè)方法 ? 采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案： ? 防病毒，防火墻，，等 ? 通常由部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒有日常維護(hù) ? 這是一種以產(chǎn)品為核心的信息安全解決方案 ? 這種方法存在眾多不足： ? 難以確定真正的需求：保護(hù)什么？保護(hù)對(duì)象的邊界？保護(hù)到什么程度？ ? 管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià) ? 通常用漏洞掃描代替風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)很不全面 ? 這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全 ? 不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 信息安全概述 真正有效的方法 ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵 ? 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用 ? 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 ? 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要 ? 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全 ? 根本上說，信息安全是個(gè)管理過程，而不是技術(shù)過程 信息安全概述 對(duì)信息安全的正確認(rèn)識(shí) 安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程 信息安全概述 基于風(fēng)險(xiǎn)分析的安全管理方法 ? 信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。 ? 制定信息安全策略方針 ? 風(fēng)險(xiǎn)評(píng)估和管理 ? 控制目標(biāo)和方式選擇 ? 風(fēng)險(xiǎn)控制 ? 安全保證 ? 信息安全策略方針為信息安全管理提供導(dǎo)向和支持。 ? 控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。 ? 考慮控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。 ? 對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理。 ? 需要全員參與。 ? 遵循管理的一般模式 ——模型。 信息安全概述 安全管理模型 —— 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。 實(shí)施所選的安全控制措施。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。 信息安全概述 7799定義的信息安全管理體系 建立一個(gè)信息安全管理框架 評(píng)估安全風(fēng)險(xiǎn) 選擇并實(shí)施控制 信息安全管理體系 ISMS 設(shè)定信息安全的方向和目標(biāo) ，定義管理層承諾的策略 確定安全需求 根據(jù)需求采取措施消減風(fēng)險(xiǎn) ， 以實(shí)現(xiàn)既定安全目標(biāo) 信息安全概述 必須明確的內(nèi)容 要保護(hù)的資產(chǎn) 控制目標(biāo)和控制措施 需要保證的程度 風(fēng)險(xiǎn)管理的途徑 信息安全概述 實(shí)施的過程 ? 定義的范圍 ? 定義策略 ? 定義一個(gè)系統(tǒng)化的風(fēng)險(xiǎn)管理途徑 ? 識(shí)別風(fēng)險(xiǎn) ? 評(píng)估風(fēng)險(xiǎn) ? 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的可選方案 ? 選擇控制目標(biāo)和控制措施，以便處理風(fēng)險(xiǎn) ? 準(zhǔn)備適用性聲明（） ? 獲得管理層批準(zhǔn) 信息安全概述 是一個(gè)文檔化的體系 ? 對(duì)管理框架的概括 ? 包括策略、控制目標(biāo)、已實(shí)施的控制措施、適用性聲明（） ? 各種程序文件 ? 實(shí)施控制措施并描述責(zé)任和活動(dòng)的程序文件 ? 覆蓋了管理和運(yùn)行的程序文件 ? 證據(jù) ? 能夠表明組織按照 7799要求采取相應(yīng)步驟而建立了管理框架 ? 各種：在操作過程當(dāng)中自然產(chǎn)生的證據(jù)，可識(shí)別過程并顯現(xiàn)符合性 信息安全概述