【正文】 全策略、原則、標(biāo)準(zhǔn)以及符合性需求的簡單說明； ? 信息安全管理責(zé)任，包括報告安全事件； ? 對策略支持文檔的引用參考； ? 由管理者批準(zhǔn)，正式發(fā)布，并得到全員貫徹。因此，還需要通過進一步的指導(dǎo)方針來補充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 弱點嚴(yán)重性評估標(biāo)準(zhǔn) 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風(fēng)險評估與管理 人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 風(fēng)險評估與管理 ? 風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。 定性風(fēng)險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或 高低程度定性分級。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 ? 威脅（） —— 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）。 風(fēng)險評估與管理 風(fēng)險 RISK RISK RISK 風(fēng)險 基本的風(fēng)險 采取措施后剩余的風(fēng)險 資產(chǎn) 威脅 漏洞 資產(chǎn) 威脅 漏洞 風(fēng)險管理目標(biāo)更形象的描述 風(fēng)險評估與管理 ? 絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的； ? 計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 預(yù)審（ Preassessment） 可選 信息安全管理體系認(rèn)證 文檔審核 ? 一般來說都是現(xiàn)場進行的 ? 審核框架，以考查其是否符合 27001的 48部分的要求 ? 查看策略、范圍、風(fēng)險評估、風(fēng)險管理、控制選擇和適用性聲明相關(guān)的文件 ? 審核員或許不會非常深入地查看特定程序文件的細(xì)節(jié)，但卻期望能直接在標(biāo)準(zhǔn)、程序和工作指導(dǎo)書上簽署意見 符合性審核 ? 對來自文檔審核階段的不符合項進行究根問底 ? 審核抽樣，以驗證底實施和操作 ? 審核小組組長會提交一個建議，但并不做最終認(rèn)證決策 ? 對于審核期間記錄在案的不符合項，組織必須在一個月之內(nèi)采取糾正性措施 信息安全管理體系認(rèn)證 信息安全管理體系認(rèn)證 實施 7799認(rèn)證項目的建議過程 項目啟動 預(yù)先審核 風(fēng)險評估 前期培訓(xùn) 風(fēng)險處理 文件編寫 中期培訓(xùn) 認(rèn)證申請 內(nèi)部審核 后期培訓(xùn) 認(rèn)證準(zhǔn)備 協(xié)助認(rèn)證 準(zhǔn)備階段 實現(xiàn)階段 運行階段 認(rèn)證階段 后續(xù)培訓(xùn) 業(yè)務(wù)分析 發(fā)布實施 管理評審 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素 ? 安全策略、目標(biāo)和活動應(yīng)該反映業(yè)務(wù)目標(biāo) ? 實施信息安全的方法應(yīng)該與組織的文化保持一致 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險評估和風(fēng)險管理 ? 向所有管理者和員工有效地推廣安全意識 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進 信息安全管理體系認(rèn)證 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 風(fēng)險 風(fēng)險管理（ ）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。 ? 定義認(rèn)證范圍時，組織應(yīng)該考慮： ? 文檔化的適用性聲明 ? 組織的相關(guān)活動 ? 要包括在內(nèi)的組織范圍 ? 地理位置 ? 信息系統(tǒng)邊界、平臺和應(yīng)用 ? 包括在內(nèi)的支持活動 ? 排除在外的因素 ? 認(rèn)證機構(gòu)在展開認(rèn)證過程之前將與組織在認(rèn)證范圍上達(dá)成一致意見?？蚣荏w系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維護 Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產(chǎn)管理 Asset management 訪問控制 Access control 信息安全事件管理 Information security incident management 業(yè)務(wù)連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡介 新版本的變化特點 ? 17799:2023 ? 從 10個域變到 11個域，增加了“信息安全事件管理” ? 去掉了 9項控制，增加了 17項控制，一共有 133項控制 ? 加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來的條款 6（管理評審）分成現(xiàn)在的 6（內(nèi)審）、 7（管理評審）兩個部分 ? 17799:2023 19716:2023 7799簡介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結(jié)果 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結(jié)構(gòu)》，該標(biāo)準(zhǔn)對安全服務(wù)及相關(guān)機制進行了一般描述 ? 15408（ 18336,2023，即標(biāo)準(zhǔn)） ? 1993年 6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了標(biāo)準(zhǔn)，最終將其推進到國際標(biāo)準(zhǔn)。 ? 如果通過體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度。 7799簡介 截至 2023年初，全球通過779927001認(rèn)證的有 2023多家機構(gòu) 7799簡介 7799認(rèn)證的發(fā)展趨勢圖 此圖摘自 2023年 2月前 到 2023年底 7799簡介 建立并通過認(rèn)證的意義 ? 可以強化員工的信息安全意識，規(guī)范組織信息安全行為。 ? 我國的臺灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。 ? 2023年 9月 —— 對 77992進行了改版，用來替代原標(biāo)準(zhǔn)（ 77992:1999）使用。 ? 1995年 2月 —— 首次出版 77991:1995《信息安全管理實施細(xì)則》。 7799簡介 7799的目的 為信息安全管理提供建議，供那些在其機構(gòu)中負(fù)有安全責(zé)任的人使用。 ? 的目的和宗旨是：在世界范圍內(nèi)促進標(biāo)準(zhǔn)化工作的發(fā)展， 以利于國際物資交流和互助，并擴大在知識、科學(xué)、技術(shù)和經(jīng)濟 方面的合作。 信息安全概述 7799定義的信息安全管理體系 建立一個信息安全管理框架 評估安全風(fēng)險 選擇并實施控制 信息安全管理體系 ISMS 設(shè)定信息安全的方向和目標(biāo) ，定義管理層承諾的策略 確定安全需求 根據(jù)需求采取措施消減風(fēng)險 ， 以實現(xiàn)既定安全目標(biāo) 信息安全概述 必須明確的內(nèi)容 要保護的資產(chǎn) 控制目標(biāo)和控制措施 需要保證的程度 風(fēng)險管理的途徑 信息安全概述 實施的過程 ? 定義的范圍 ? 定義策略 ? 定義一個系統(tǒng)化的風(fēng)險管理途徑 ? 識別風(fēng)險 ? 評估風(fēng)險 ? 識別并評價風(fēng)險處理的可選方案 ? 選擇控制目標(biāo)和控制措施，以便處理風(fēng)險 ? 準(zhǔn)備適用性聲明（） ? 獲得管理層批準(zhǔn) 信息安全概述 是一個文檔化的體系 ? 對管理框架的概括 ? 包括策略、控制目標(biāo)、已實施的控制措施、適用性聲明（） ? 各種程序文件 ? 實施控制措施并描述責(zé)任和活動的程序文件 ? 覆蓋了管理和運行的程序文件 ? 證據(jù) ? 能夠表明組織按照 7799要求采取相應(yīng)步驟而建立了管理框架 ? 各種：在操作過程當(dāng)中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性 信息安全概述 實施的關(guān)鍵成功因素（） ? 安全策略、目標(biāo)和活動應(yīng)該反映業(yè)務(wù)目標(biāo) ? 有一種與組織文化保持一致的實施、維護、監(jiān)督和改進信息安全的途徑 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險評估和風(fēng)險管理 ? 向所有管理者和員工有效地推廣安全意識 ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 英國標(biāo)準(zhǔn)協(xié)會（） ? 英國標(biāo)準(zhǔn)學(xué)會（ ，） ? 著名的 9000、 14000、 177997799等標(biāo)準(zhǔn)的編寫機構(gòu) ? 英國標(biāo)準(zhǔn)學(xué)會（）是世界上最早的全國性標(biāo)準(zhǔn)化機構(gòu)，它受政府控制但得到了政府的大力支持。 信息安全概述 安全管理模型 —— 根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標(biāo)與控制措施。 ? 考慮控制成本與風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平。 ? 信息安全管理的核心就是風(fēng)險管理。 ? 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 ? 授權(quán)（） —— 為用戶分配并校驗資源訪問權(quán)限的過程。 可用性（） —— 確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。 關(guān)于課程內(nèi)容及授課效果的意見和建議，請及時反饋給我們，以便我們改進自身工作。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。 完整性（） —— 確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。 ? 身份認(rèn)證（） —— 測試并認(rèn)證用戶的身份。 ? 審計（） —— 對系統(tǒng)記錄和活動進行獨立復(fù)查和審核，確保遵守性 信息安全概述 信息安全的重要性 ? 信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價值，因而要妥善保護 ? 信息安全是國家安全的需要 ? 信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一 ? 信息安全是保護個人隱私與財產(chǎn)的需要 ? 許多組織都曾面臨過嚴(yán)重的威脅，包括基于計算機的欺詐和蓄意破壞 ? 現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計算機病毒、黑客和拒絕服務(wù)攻擊 ? 網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對計算機系統(tǒng)未授權(quán)訪問的機會 ? 組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難 ? 許多信息系統(tǒng)的設(shè)計本身就不安