【正文】 常由部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒有日常維護(hù) ? 這是一種以產(chǎn)品為核心的信息安全解決方案 ? 這種方法存在眾多不足： ? 難以確定真正的需求：保護(hù)什么？保護(hù)對象的邊界？保護(hù)到什么程度？ ? 管理和服務(wù)跟不上，對采購產(chǎn)品運(yùn)行的效率和效果缺乏評價 ? 通常用漏洞掃描代替風(fēng)險評估，對風(fēng)險的認(rèn)識很不全面 ? 這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全 ? 不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 信息安全概述 真正有效的方法 ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵 ? 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用 ? 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 ? 先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要 ? 建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會擁有持續(xù)安全 ? 根本上說，信息安全是個管理過程，而不是技術(shù)過程 信息安全概述 對信息安全的正確認(rèn)識 安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程 信息安全概述 基于風(fēng)險分析的安全管理方法 ? 信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。 ? 人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。 ? 可追溯性（） —— 確認(rèn)系統(tǒng)中個人行為和活動的能力。 三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是三元組： .和 . I A D isclosure A lteration D estruction 泄漏 破壞 篡改 信息安全概述 機(jī)密性 可用性 完整性 信息安全概述 其他概念和原則 ? 私密性（） —— 個人和組織控制私用信息采集、存儲和分發(fā)的權(quán)利。 再次歡迎您的參與，真誠感謝您的支持與合作！ 我們的目標(biāo) ? 理解信息、信息安全和信息安全管理 ? 理解信息安全風(fēng)險評估與風(fēng)險管理 ? 理解 779927001標(biāo)準(zhǔn)本身的條款內(nèi)容 ? 掌握一種實(shí)施的方法和途徑 ? 了解 27001認(rèn)證的完整過程 ? 用 27001指導(dǎo)企業(yè)進(jìn)行信息安全的各項(xiàng)活動 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 內(nèi)容目錄 ? 積極參與，小組討論，活躍氣氛 ? 遵守時間 ? 請將移動電話設(shè)置為震動 ? 有問題請隨時提出 課堂注意事項(xiàng) 讓我們開始吧！ ? 什么是信息？ ? 什么是信息安全？ ? 為什么要強(qiáng)調(diào)信息安全管理？ ? 怎樣做好信息安全管理？ ? 什么是 779927001？ ? 779927001對信息安全管理有什么指導(dǎo)意義？ ? 信息安全管理體系如何認(rèn)證？ 需要首先搞清楚的幾個問題 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 什么是信息？ 信息安全概述 什么是信息？ ? 消息、信號、數(shù)據(jù)、情報和知識 ? 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： ? 存儲在計算機(jī)、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 ? 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)： ? 計算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關(guān)鍵人員 ? 組織提供的服務(wù) ? 具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù) 有價值的內(nèi)容 —— 9000 信息安全概述 企業(yè)信息安全管理關(guān)注的信息類型 內(nèi)部信息 組織不想讓其競爭對手知道的信息 客戶信息 顧客 /客戶不想讓組織泄漏的信息 共享信息 需要與其他業(yè)務(wù)伙伴分享的信息 信息安全概述 信息的處理方式 創(chuàng)建 傳遞 銷毀 存 儲 使用 更改 信息安全概述 什么是信息安全？ 信息安全概述 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。中遠(yuǎn)網(wǎng)絡(luò) (北京 )有限公司信息安全管理體系基礎(chǔ)培訓(xùn) 北京安言信息技術(shù)有限公司 歡迎您參加這次《信息安全管理體系基礎(chǔ)知識》培訓(xùn)班，本課程是我們特意為北京中遠(yuǎn)網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實(shí)踐，以便更好地開展即將啟動的項(xiàng)目。 信息安全概述 信息安全的發(fā)展歷史 20世紀(jì) 60年代前 60年代到 80年代 20世紀(jì) 80年代末以后 ? 電話、電報、傳真 ? 強(qiáng)調(diào)的是信息的保密性 ? 對安全理論和技術(shù)的研究只側(cè)重于密碼學(xué) ? 通信安全，即 ? 計算機(jī)軟硬件極大發(fā)展 ? 關(guān)注保密性、完整性和可用性目標(biāo) ? 信息安全，即 ? 代表性成果是美國的和歐洲的測評標(biāo)準(zhǔn) ? 互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無論是對內(nèi)還是對外都得到極大開放 ? 信息安全從中又衍生出可控性、抗抵賴性、真實(shí)性等特性，并且從單一的被動防護(hù)向全面而動態(tài)的防護(hù)、檢測、響應(yīng)、恢復(fù)發(fā)展 ? 信息保障（ ），從整體角度考慮安全體系建設(shè) ? 美國的規(guī)范 信息安全概述 C I A onfidentiality ntegrity vailability 信息安全基本目標(biāo) 信息安全概述 企業(yè)重大泄密事件屢屢發(fā)生 信息安全概述 敏感信息遭受篡改也會導(dǎo)致惡劣后果 信息安全概述 破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴(yán)重 信息安全概述 C 保密性（） —— 確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。 ? 身份識別（） —— 用戶向系統(tǒng)聲稱其真實(shí)身份的方式。 ? 抗抵賴性（） —— 確保信息創(chuàng)建者就是真正的發(fā)送者的能力。 ? 信息安全管理（ ）是組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。 ? 制定信息安全策略方針 ? 風(fēng)險評估和管理 ? 控制目標(biāo)和方式選擇 ? 風(fēng)險控制 ? 安全保證 ? 信息安全策略方針為信息安全管理提供導(dǎo)向和支持。 ? 需要全員參與。 針對檢查結(jié)果采取應(yīng)對措施，改進(jìn)安全狀況。 ? 的主要活動是制定國際標(biāo)準(zhǔn)，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)化工作，組織各成員國和技術(shù)委員會進(jìn)行報交流，以及與其他國際性組織進(jìn)行合作，共同研究有關(guān)標(biāo)準(zhǔn)問題。 ? 由信息安全方面的最佳慣例組成的一套全面的控制集。 7799簡介 7799的歷史沿革 ? 1990年代初 —— 英國貿(mào)工部（）成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 ? 1999年 4月 —— 77991與 77992修訂后重新發(fā)布。 ? 2023年 10月 —— 正式采用 77992:2023，命名為 27001:2023。 ? 全球目前有 2023多家機(jī)構(gòu)通過了 779927001認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國公司。 ? 在信息系統(tǒng)受到侵害時，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。 7799簡介 1779927001的內(nèi)容框架 ? 17799：源自 77991。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善安全工程的根本保證 ? ? 美國國家安全局（）制定的 ，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南 ? 13569 ? 銀行和相關(guān)金融服務(wù)信息安全指南 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 2 ? 提供了一組關(guān)于 7799的系列指導(dǎo)文件（ 3000系列）： ? 3001 – 7799 ? 3002 – ? 3003 – “ a 7799 ?” ? 3004 – 7799 ? 3005 – 7799 ? 4444 ? 澳大利亞和新西蘭等同采用的 7799（后來，根據(jù) 17799:2023頒布了 17799:2023，根據(jù) 77992:2023又頒布了 :2023） ? 4360 ? 澳大利亞和新西蘭自己的信息安全管理標(biāo)準(zhǔn) ? 13335 ? 即安全管理指南（ ，），分 5個部分。證書三年有效，之后需要再次認(rèn)證。 風(fēng)險評估 風(fēng)險管理 風(fēng)險評估（ ）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估?！? 顯然，這樣的計算機(jī)是無法使用的。 ? 風(fēng)險（） —— 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 ? 殘留風(fēng)險（ ） —— 在實(shí)施安全措施之后仍然存在的風(fēng)險。 ? 操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。 風(fēng)險評價示例 風(fēng)險可能性 威脅值 1 2 3 弱點(diǎn)值 1 2 3 1 2 3 1 2 3 風(fēng)險影響 /資產(chǎn)價值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 風(fēng)險評估與管理 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及 11個方面，包括 39個控制目標(biāo)和 133項(xiàng)控制措施 ,可作為參考文件使用，但并不是認(rèn)證評審的依據(jù)。 17799:2023 信息安全管理實(shí)施細(xì)則 5 安全策略 信息安全策略 信息安全策略文件 信息安全策略復(fù)查 目標(biāo)：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。 ? 如果發(fā)生任何影響最初風(fēng)險評估基礎(chǔ)的變化，都應(yīng)復(fù)查策略。 17799:2023 信息安全管理實(shí)施細(xì)則 組織應(yīng)該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內(nèi)部信息安全的實(shí)施。 ? 在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。 信息分類 分類指南 信息標(biāo)注及處理 目標(biāo)：確保信息資產(chǎn)得到適當(dāng)級別的保護(hù)。 ? 信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級和保護(hù)程度。 8 人力資源安全 聘用前的控制 角色和責(zé)任 人員篩選（ Screening） 聘用條件和條款 聘用期間 管理層職責(zé) 信息安全意識、教育和培訓(xùn) 懲罰機(jī)制 目標(biāo)： 確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關(guān)系、責(zé)任和義務(wù)，并在其正常工作當(dāng)中支持組織的安全策略，減少人為錯誤導(dǎo)致的風(fēng)險。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。 9 物理和環(huán)境安全 安全區(qū)域 物理安全邊界 物理入口控制 保護(hù)辦公場所、房間和設(shè)施 防止外部和環(huán)境威脅 在安全區(qū)內(nèi)工作 公共訪問和交接區(qū)域 目標(biāo)： 防止非授權(quán)物理訪問、破壞和干擾組織的安全區(qū)邊界。 第三方服務(wù)交付管理 服務(wù)交付 監(jiān)督和復(fù)查第三方服務(wù) 第三方服務(wù)變更管理 目標(biāo)： 根據(jù)第三方服務(wù)交付協(xié)議，實(shí)施并保持恰當(dāng)?shù)男畔踩头?wù)交付水平。 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全 目標(biāo)： 確保網(wǎng)絡(luò)中的信息以及支持技術(shù)設(shè)施得到保護(hù)。應(yīng)該定期檢查服務(wù)報告，分析安全事件相關(guān)信息，復(fù)查第三方審計記錄 ? 制定專門的策略，禁止使用非授權(quán)軟件，防止惡意代碼 ? 做好系統(tǒng)的備份容災(zāi)規(guī)劃 ? 移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏 17799:2023 信息安全管理實(shí)施細(xì)則 變更管理一般流程