【正文】 O27001信息安全管理體系介紹 頁(yè)數(shù) 20 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 監(jiān)視和評(píng)審 ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS 1. 執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施 2. ISMS有效性的定期評(píng)審 3. 測(cè)量控制措施的有效性 4. 定期實(shí)施 ISMS內(nèi)部審核 5. 定期進(jìn)行 ISMS管理評(píng)審 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 21 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 保持和改進(jìn) ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS 1. 實(shí)施已識(shí)別的 ISMS改進(jìn)措施 2. 采取合適的糾正和預(yù)防措施 3. 從安全經(jīng)驗(yàn)中吸取教訓(xùn) 4. 向所有相關(guān)方溝通措施和改進(jìn)情況 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 22 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 1 2 3 4 信息安全概述 信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹 ISO27001 信息安全管理體系要求 目錄 5 ISO27002 信息安全管理實(shí)用規(guī)則 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 23 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)的概念 ? 風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。 ? 風(fēng)險(xiǎn)管理的目標(biāo)： 高影響 低概率 高影響 高概率 低影響 低概率 底影響 低概率 影響 概率 概率 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 25 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 信息安全風(fēng)險(xiǎn)管理一般方法 資產(chǎn)識(shí)別 威脅識(shí)別 分析和評(píng)價(jià) 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理 計(jì)劃 識(shí)別脆弱性 當(dāng)前控制 措施分析 風(fēng)險(xiǎn)監(jiān)控、檢查與溝通 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 26 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 識(shí)別威脅 ? 威脅威脅可多種屬性來(lái)刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑 ? 幾種常見威脅： ? 自然災(zāi)害 ? 計(jì)算機(jī)犯罪 ? 員工操作失誤 ? 商業(yè)間諜 ? 黑客 ISO 27001將威脅定義如下： 可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 27 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 識(shí)別脆弱性 ? 脆弱性常被成為漏洞 ? 幾種常見脆弱性： ? 簡(jiǎn)單口令 ? 員工安全意思淡薄 ? 第三方缺乏保密協(xié)議 ? 變更管理薄弱 ? 明文傳輸信息 ? 經(jīng)驗(yàn)表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過(guò)分注重技術(shù)脆弱性。 ? 本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析 —— 單位通過(guò)這些措施來(lái)減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率） ISO27001信息安全管理體系介紹 頁(yè)數(shù) 29 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)的分析與評(píng)價(jià) ? 風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)評(píng)價(jià) :將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程 ? 存在定性、定量?jī)煞N風(fēng)險(xiǎn)分析方法 ? 實(shí)例： M H HM M H4 M M M M M HM M M3 M M M M M MM M M2 M M M M M ML M M1 L L M L M MM HA s s e t V a l u e0 L L L L L MM e d i u m H i g hL e v e l o f V u l n e r a b i l i t yL M H L M H LL e v e l o f T h r e a t LowISO27001信息安全管理體系介紹 頁(yè)數(shù) 30 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)處理策略 經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后識(shí)別出來(lái)的風(fēng)險(xiǎn)，接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃 . 可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合 : ? 采取適當(dāng)?shù)目刂拼胧﹣?lái)降低 (reduce) 風(fēng)險(xiǎn)。 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 31 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 定義風(fēng)險(xiǎn)接收水平 風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi) 初始 風(fēng)險(xiǎn)水平 （高） 可接受的風(fēng)險(xiǎn)水平（ Low） 殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)級(jí)別 高 中 低 殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)控制措施 風(fēng)險(xiǎn)控制措施 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 32 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 控制措施選擇 ? 從針對(duì)性和實(shí)施方式來(lái)看，控制措施分三類： ? 管理 (Administrative)性 : 安全策略 ,流程 , 組織與職責(zé)等 ? 操作 (Operation)性 :人員職責(zé) , 事故反應(yīng) , 意識(shí)培訓(xùn) ,系統(tǒng)開發(fā)等等 ? 技術(shù) (Technical)性 : 加密 ,訪問(wèn)控制 ,審計(jì)等 ? 或者從功能上來(lái)分 ,控制措施類型包括： ? 威懾性 (Deterrent): 告示、標(biāo)語(yǔ) ? 預(yù)防性 (Preventive): 培訓(xùn)，操作手冊(cè)，加密，身份認(rèn)證 ? 檢測(cè)性 (Detective): CCTV,保安，報(bào)警 ? 糾正性 (Corrective):培訓(xùn)，問(wèn)責(zé)，應(yīng)急響應(yīng)，災(zāi)備 ISO27001信息安全管