【正文】 全策略、原則、標準以及符合性需求的簡單說明； ? 信息安全管理責任，包括報告安全事件； ? 對策略支持文檔的引用參考； ? 由管理者批準，正式發(fā)布，并得到全員貫徹。因此，還需要通過進一步的指導方針來補充此文，組織可以將其作為基礎，繼而開發(fā)自己的策略或者公司間貿易協議。 弱點嚴重性評估標準 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風險評估與管理 人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務器上接，或者隨意將服務器連入網絡 事不關己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關注外來的威脅，忽視企業(yè)內部人員的問題 風險評估與管理 ? 風險場景：一個個人經濟上存在問題的公司職員（公司并不了解這一點）有權獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。 定性風險評估：憑借分析者的經驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或 高低程度定性分級。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 ? 威脅（） —— 可能對資產或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）。 風險評估與管理 風險 RISK RISK RISK 風險 基本的風險 采取措施后剩余的風險 資產 威脅 漏洞 資產 威脅 漏洞 風險管理目標更形象的描述 風險評估與管理 ? 絕對的零風險是不存在的，要想實現零風險，也是不現實的； ? 計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 預審（ Preassessment） 可選 信息安全管理體系認證 文檔審核 ? 一般來說都是現場進行的 ? 審核框架，以考查其是否符合 27001的 48部分的要求 ? 查看策略、范圍、風險評估、風險管理、控制選擇和適用性聲明相關的文件 ? 審核員或許不會非常深入地查看特定程序文件的細節(jié)，但卻期望能直接在標準、程序和工作指導書上簽署意見 符合性審核 ? 對來自文檔審核階段的不符合項進行究根問底 ? 審核抽樣，以驗證底實施和操作 ? 審核小組組長會提交一個建議，但并不做最終認證決策 ? 對于審核期間記錄在案的不符合項，組織必須在一個月之內采取糾正性措施 信息安全管理體系認證 信息安全管理體系認證 實施 7799認證項目的建議過程 項目啟動 預先審核 風險評估 前期培訓 風險處理 文件編寫 中期培訓 認證申請 內部審核 后期培訓 認證準備 協助認證 準備階段 實現階段 運行階段 認證階段 后續(xù)培訓 業(yè)務分析 發(fā)布實施 管理評審 信息安全管理體系認證 成功的關鍵因素 ? 安全策略、目標和活動應該反映業(yè)務目標 ? 實施信息安全的方法應該與組織的文化保持一致 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風險評估和風險管理 ? 向所有管理者和員工有效地推廣安全意識 信息安全管理體系認證 成功的關鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標準 ? 為信息安全管理活動提供資金支持 ? 提供適當的培訓和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現，提供反饋建議供改進 信息安全管理體系認證 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結和展望 風險 風險管理（ ）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。 ? 定義認證范圍時，組織應該考慮： ? 文檔化的適用性聲明 ? 組織的相關活動 ? 要包括在內的組織范圍 ? 地理位置 ? 信息系統(tǒng)邊界、平臺和應用 ? 包括在內的支持活動 ? 排除在外的因素 ? 認證機構在展開認證過程之前將與組織在認證范圍上達成一致意見。框架體系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維護 Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產管理 Asset management 訪問控制 Access control 信息安全事件管理 Information security incident management 業(yè)務連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡介 新版本的變化特點 ? 17799:2023 ? 從 10個域變到 11個域，增加了“信息安全事件管理” ? 去掉了 9項控制，增加了 17項控制，一共有 133項控制 ? 加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來的條款 6（管理評審）分成現在的 6（內審）、 7（管理評審）兩個部分 ? 17799:2023 19716:2023 7799簡介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結果 7799簡介 其他類似或相關的標準規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結構》，該標準對安全服務及相關機制進行了一般描述 ? 15408（ 18336,2023，即標準） ? 1993年 6月，美國、加拿大及歐洲四國共同協商并起草通過了標準，最終將其推進到國際標準。 ? 如果通過體系認證，表明組織的信息安全體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度。 7799簡介 截至 2023年初，全球通過779927001認證的有 2023多家機構 7799簡介 7799認證的發(fā)展趨勢圖 此圖摘自 2023年 2月前 到 2023年底 7799簡介 建立并通過認證的意義 ? 可以強化員工的信息安全意識，規(guī)范組織信息安全行為。 ? 我國的臺灣、香港地區(qū)也在推廣該標準。 ? 2023年 9月 —— 對 77992進行了改版，用來替代原標準（ 77992:1999）使用。 ? 1995年 2月 —— 首次出版 77991:1995《信息安全管理實施細則》。 7799簡介 7799的目的 為信息安全管理提供建議，供那些在其機構中負有安全責任的人使用。 ? 的目的和宗旨是：在世界范圍內促進標準化工作的發(fā)展， 以利于國際物資交流和互助，并擴大在知識、科學、技術和經濟 方面的合作。 信息安全概述 7799定義的信息安全管理體系 建立一個信息安全管理框架 評估安全風險 選擇并實施控制 信息安全管理體系 ISMS 設定信息安全的方向和目標 ，定義管理層承諾的策略 確定安全需求 根據需求采取措施消減風險 ， 以實現既定安全目標 信息安全概述 必須明確的內容 要保護的資產 控制目標和控制措施 需要保證的程度 風險管理的途徑 信息安全概述 實施的過程 ? 定義的范圍 ? 定義策略 ? 定義一個系統(tǒng)化的風險管理途徑 ? 識別風險 ? 評估風險 ? 識別并評價風險處理的可選方案 ? 選擇控制目標和控制措施，以便處理風險 ? 準備適用性聲明（） ? 獲得管理層批準 信息安全概述 是一個文檔化的體系 ? 對管理框架的概括 ? 包括策略、控制目標、已實施的控制措施、適用性聲明（） ? 各種程序文件 ? 實施控制措施并描述責任和活動的程序文件 ? 覆蓋了管理和運行的程序文件 ? 證據 ? 能夠表明組織按照 7799要求采取相應步驟而建立了管理框架 ? 各種：在操作過程當中自然產生的證據，可識別過程并顯現符合性 信息安全概述 實施的關鍵成功因素（） ? 安全策略、目標和活動應該反映業(yè)務目標 ? 有一種與組織文化保持一致的實施、維護、監(jiān)督和改進信息安全的途徑 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風險評估和風險管理 ? 向所有管理者和員工有效地推廣安全意識 ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標準 ? 為信息安全管理活動提供資金支持 ? 提供適當的培訓和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現，提供反饋建議供改進 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結和展望 英國標準協會（） ? 英國標準學會（ ，） ? 著名的 9000、 14000、 177997799等標準的編寫機構 ? 英國標準學會（）是世界上最早的全國性標準化機構，它受政府控制但得到了政府的大力支持。 信息安全概述 安全管理模型 —— 根據風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。 ? 考慮控制成本與風險平衡的原則，將風險降低到組織可接受的水平。 ? 信息安全管理的核心就是風險管理。 ? 安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑。 ? 授權（） —— 為用戶分配并校驗資源訪問權限的過程。 可用性（） —— 確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。 關于課程內容及授課效果的意見和建議，請及時反饋給我們，以便我們改進自身工作。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。 完整性（） —— 確保信息在存儲、使用、傳輸過程中不會被非授權篡改，防止授權用戶或實體不恰當地修改信息，保持信息內部和外部的一致性。 ? 身份認證（） —— 測試并認證用戶的身份。 ? 審計（） —— 對系統(tǒng)記錄和活動進行獨立復查和審核，確保遵守性 信息安全概述 信息安全的重要性 ? 信息作為資產，就像其他重要的商務資產那樣，有價值，因而要妥善保護 ? 信息安全是國家安全的需要 ? 信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一 ? 信息安全是保護個人隱私與財產的需要 ? 許多組織都曾面臨過嚴重的威脅，包括基于計算機的欺詐和蓄意破壞 ? 現在，組織又面臨更復雜的威脅，例如計算機病毒、黑客和拒絕服務攻擊 ? 網絡技術的高速發(fā)展增加了對計算機系統(tǒng)未授權訪問的機會 ? 組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難 ? 許多信息系統(tǒng)的設計本身就不安