【正文】 報(bào)，布告欄， ? 獎(jiǎng)金和贊譽(yù)等激勵(lì)機(jī)制 ? 提醒物，比如登錄，筆、便簽、鼠標(biāo)墊等隨身物品 ? 安全意識(shí)材料應(yīng)該直接、簡(jiǎn)單和清楚，易于理解，要有創(chuàng)新和變化 17799:2023 信息安全管理實(shí)施細(xì)則 安全培訓(xùn)和教育 ? 培訓(xùn)（）不同于意識(shí)，其目的是傳授安全相關(guān)的工作技能，主要對(duì)象為信息系統(tǒng)管理和維護(hù)人員，通常利用一對(duì)一的課堂形式，包括： ? 為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn) ? 為與敏感安全位置相關(guān)的具體的部門或人員提供的技能培訓(xùn) ? 為支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn) ? 為安全實(shí)踐者和信息系統(tǒng)審計(jì)師提供的高級(jí)信息安全培訓(xùn) ? 為高級(jí)管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn) ? 教育（）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過(guò)外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分 ? 具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要 17799:2023 信息安全管理實(shí)施細(xì)則 加強(qiáng)人員離職控制 ? 人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí) ? 解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前 ? 使用標(biāo)準(zhǔn)的檢查列表（）來(lái)實(shí)施離職訪談 ? 離職者需在陪同下清理個(gè)人物品 ? 確保離職者返還所有的公司證章、鑰匙等物品 ? 與此同時(shí)，立即消除離職者的訪問(wèn)權(quán)限，包括： ? 解除對(duì)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問(wèn)權(quán) ? 解除電話，注銷電子郵箱，鎖定賬號(hào) ? 通知公司其他人員、外部伙伴或客戶，聲明此人已離職 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項(xiàng)活動(dòng)被打斷。 信息的交換 信息交換策略和程序 交換協(xié)議 傳輸中的物理介質(zhì) 電子信息交換 業(yè)務(wù)信息系統(tǒng) 目標(biāo)： 保持組織內(nèi)部和與外部實(shí)體間進(jìn)行信息交換的安全性。 用戶責(zé)任 口令使用 無(wú)人值守的用戶設(shè)備 桌面清理和清屏策略 目標(biāo)： 防止非授權(quán)用戶訪問(wèn)、破壞、竊取信息及信息處理設(shè)施。底層系統(tǒng)和網(wǎng)絡(luò)更是無(wú)能為力 ? 關(guān)于系統(tǒng)監(jiān)控： ? 日志、入侵監(jiān)測(cè)系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒(méi)有有效的審計(jì)措施的話，都無(wú)法發(fā)揮大作用 ? 關(guān)于移動(dòng)計(jì)算的訪問(wèn)控制： ? 可變性太大 ? 有時(shí)會(huì)涉及 ―人格 ‖問(wèn)題、 ―工作熱情 ‖問(wèn)題 ? 執(zhí)行控制需要堅(jiān)決的政策和有力的執(zhí)行 ? 要關(guān)注新技術(shù)的沖擊 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中。 13 信息安全事件管理 報(bào)告信息安全事件和缺陷 報(bào)告信息安全事件 報(bào)告安全缺陷 管理信息安全事件和改進(jìn) 責(zé)任和程序 從信息安全事件中吸取教訓(xùn) 證據(jù)搜集 目標(biāo)： 確保采取一致和有效的方法來(lái)管理信息安全事件。 ? 明確業(yè)務(wù)連續(xù)性管理的責(zé)任。 ? 考慮購(gòu)買合適的保險(xiǎn)。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。 移動(dòng)計(jì)算和通訊 移動(dòng)計(jì)算和通信 遠(yuǎn)程工作（ Teleworking） 目標(biāo)：確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全。 17799:2023 信息安全管理實(shí)施細(xì)則 通信和操作管理提示 ? 明確操作管理理程序和責(zé)任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復(fù)、日志審計(jì)等事務(wù) ? 定義變更管理責(zé)任和流程，做好信息處理設(shè)施的變更控制 ? 對(duì)第三方服務(wù)實(shí)施有效監(jiān)督，確保其符合既定協(xié)議的要求。 抵御惡意和移動(dòng)代碼 惡意代碼控制 移動(dòng)代碼控制 目標(biāo)： 保護(hù)軟件和信息的完整性。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。還應(yīng)考慮需要訪問(wèn)哪些設(shè)施和信息？信息的價(jià)值，必要的控制，授權(quán)以及監(jiān)督方式，出錯(cuò)可能造成的影響，對(duì)安全事件的響應(yīng)，法律法規(guī)等。 安全策略的復(fù)查 ? 策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略。 ? 確定風(fēng)險(xiǎn)因子：后果為 2，弱點(diǎn)值為 3，威脅值為 3 ? 評(píng)估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為高風(fēng)險(xiǎn)（ 18） ? 應(yīng)對(duì)風(fēng)險(xiǎn)：根據(jù)公司風(fēng)險(xiǎn)評(píng)估計(jì)劃中確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取措施予以消減。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ?，即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 絕對(duì)的安全是不存在的！ 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。 信息安全管理體系認(rèn)證 認(rèn)證之前做好準(zhǔn)備 進(jìn)行 27001認(rèn)證之前，組織可以參照以下檢查列表來(lái)做準(zhǔn)備： 董事會(huì)和管理層的簽署承諾 已簽署并發(fā)布的安全策略文檔 已識(shí)別的資產(chǎn) 風(fēng)險(xiǎn)評(píng)估的結(jié)果文檔 已作出的風(fēng)險(xiǎn)管理決策 已識(shí)別的可用控制 文檔化的適用性聲明 文檔化的業(yè)務(wù)連續(xù)性計(jì)劃，并得到了實(shí)施和測(cè)試 文檔化的程序，并且發(fā)布和實(shí)施 確定有效性的內(nèi)部復(fù)審 信息安全管理體系認(rèn)證 認(rèn)證過(guò)程 選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) Phase1：文檔審核 Phase2：現(xiàn)場(chǎng)審查 維持認(rèn)證 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 ? 復(fù)審風(fēng)險(xiǎn)評(píng)估文檔、安全策略和適用性聲明 ? 復(fù)審 ISMS的其他文檔 ? ISMS的實(shí)施情況，符合性審查 ? 風(fēng)險(xiǎn)管理決策的基礎(chǔ) 組織被授予證書(shū)后，審核組每年都會(huì)對(duì)其 ISMS符合性進(jìn)行檢查。 ? 促使管理層堅(jiān)持貫徹信息安全保障體系。 ? 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在 7799認(rèn)證方面表現(xiàn)積極。 ? 1998年 2月 —— 英國(guó)公布 77992:《信息安全管理體系規(guī)范》。 7799簡(jiǎn)介 什么是 7799？ ? 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ ，）制定的信息安全標(biāo)準(zhǔn)。 實(shí)施所選的安全控制措施。 信息安全概述 信息安全管理面臨的一些問(wèn)題 ? 國(guó)家的信息安全法律法規(guī)體系建設(shè)還不是很完善 ? 組織缺乏信息安全意識(shí)和明確的信息安全策略 ? 對(duì)信息安全還持有傳統(tǒng)的認(rèn)識(shí)，即重技術(shù)，輕管理 ? 安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理 信息安全概述 調(diào)查顯示有 8成企業(yè)安全管理不理想 信息安全概述 各行業(yè)安全管理狀況都不容樂(lè)觀 信息安全概述 安全管理各方面能力都很低下 信息安全概述 信息安全管理應(yīng)該是體系化的 ? 信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、采取措施解決問(wèn)題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子 ? 這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營(yíng)管理體系的一部分 務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作 信息安全概述 怎樣實(shí)現(xiàn)信息安全？ 信息安全概述 通常的信息安全建設(shè)方法 ? 采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案： ? 防病毒，防火墻，等 ? 通常由部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒(méi)有日常維護(hù) ? 這是一種以產(chǎn)品為核心的信息安全解決方案 ? 這種方法存在眾多不足： ? 難以確定真正的需求：保護(hù)什么？保護(hù)對(duì)象的邊界？保護(hù)到什么程度？ ? 管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià) ? 通常用漏洞掃描代替風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)很不全面 ? 這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全 ? 不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 信息安全概述 真正有效的方法 ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵 ? 產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最佳作用 ? 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 ? 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要 ? 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全 ? 根本上說(shuō)，信息安全是個(gè)管理過(guò)程，而不是技術(shù)過(guò)程 信息安全概述 對(duì)信息安全的正確認(rèn)識(shí) 安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過(guò)程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程 信息安全概述 基于風(fēng)險(xiǎn)分析的安全管理方法 ? 信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。 ? 可追溯性（） —— 確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力。 再次歡迎您的參與，真誠(chéng)感謝您的支持與合作！ 我們的目標(biāo) ? 理解信息、信息安全和信息安全管理 ? 理解信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理 ? 理解 779927001標(biāo)準(zhǔn)本身的條款內(nèi)容 ? 掌握一種實(shí)施的方法和途徑 ? 了解 27001認(rèn)證的完整過(guò)程 ? 用 27001指導(dǎo)企業(yè)進(jìn)行信息安全的各項(xiàng)活動(dòng) ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 內(nèi)容目錄 ? 積極參與，小組討論，活躍氣氛 ? 遵守時(shí)間 ? 請(qǐng)將移動(dòng)電話設(shè)置為震動(dòng) ? 有問(wèn)題請(qǐng)隨時(shí)提出 課堂注意事項(xiàng) 讓我們開(kāi)始吧！ ? 什么是信息？ ? 什么是信息安全？ ? 為什么要強(qiáng)調(diào)信息安全管理？ ? 怎樣做好信息安全管理？ ? 什么是 779927001？ ? 779927001對(duì)信息安全管理有什么指導(dǎo)意義？ ? 信息安全管理體系如何認(rèn)證？ 需要首先搞清楚的幾個(gè)問(wèn)題 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 什么是信息？ 信息安全概述 什么是信息？ ? 消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) ? 信息本身是無(wú)形的，借助于信息媒體以多種形式存在或傳播： ? 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 ? 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)具有價(jià)值，就成為信息資產(chǎn)： ? 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關(guān)鍵人員 ? 組織提供的服務(wù) ? 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù) 有價(jià)值的內(nèi)容 —— 9000 信息安全概述 企業(yè)信息安全管理關(guān)注的信息類型 內(nèi)部信息 組織不想讓其競(jìng)爭(zhēng)對(duì)手知道的信息 客戶信息 顧客 /客戶不想讓組織泄漏的信息 共享信息 需要與其他業(yè)務(wù)伙伴分享的信息 信息安全概述 信息的處理方式 創(chuàng)建 傳遞 銷毀 存 儲(chǔ) 使用 更改 信息安全概述 什么是信息安全？ 信息安全概述 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。 信息安全概述 信息安全的發(fā)展歷史 20世紀(jì) 60年代前 60年代到 80年代 20世紀(jì) 80年代末以后 ? 電話、電報(bào)、傳真 ? 強(qiáng)調(diào)的是信息的保密性 ? 對(duì)安全理論和技術(shù)的研究只側(cè)重于密碼學(xué) ? 通信安全，即 ? 計(jì)算機(jī)軟硬件極大發(fā)展 ? 關(guān)注保密性、完整性和可用性目標(biāo) ? 信息安全，即 ? 代表性成果是美國(guó)的和歐洲的測(cè)評(píng)標(biāo)準(zhǔn) ? 互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無(wú)論是對(duì)內(nèi)還是對(duì)外都得到極大開(kāi)放 ? 信息安全從中又衍生出可控性、抗抵賴性、真實(shí)性等特性，并且從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)發(fā)展 ? 信息保障（ ），從整體角度考慮安全體系建設(shè) ? 美國(guó)的規(guī)范 信息安全概述 C I A onfidentiality ntegrity vailability 信息安全基本目標(biāo) 信息安全概述 企業(yè)重大泄密事件屢屢發(fā)生 信息安全概述 敏感信息遭受篡改也會(huì)導(dǎo)致惡劣后果 信息安全概述 破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴(yán)重 信息安全概述 C 保密性（） —— 確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。 ? 抗抵賴性（） —— 確保信息創(chuàng)建者就是真正的發(fā)送者的能力。 ? 制定信息安全策略方針 ? 風(fēng)險(xiǎn)評(píng)估和管理 ? 控制目標(biāo)和方式選擇 ? 風(fēng)險(xiǎn)控制