【正文】 報，布告欄， ? 獎金和贊譽等激勵機制 ? 提醒物，比如登錄，筆、便簽、鼠標墊等隨身物品 ? 安全意識材料應該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化 17799:2023 信息安全管理實施細則 安全培訓和教育 ? 培訓（）不同于意識，其目的是傳授安全相關的工作技能，主要對象為信息系統(tǒng)管理和維護人員，通常利用一對一的課堂形式，包括： ? 為操作者和具體用戶提供的安全相關的職務培訓 ? 為與敏感安全位置相關的具體的部門或人員提供的技能培訓 ? 為支持人員和系統(tǒng)管理員提供的技術性安全培訓 ? 為安全實踐者和信息系統(tǒng)審計師提供的高級信息安全培訓 ? 為高級管理者、職能經(jīng)理和業(yè)務單位經(jīng)理提供的安全培訓 ? 教育（）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術，一般通過外部程序?qū)崿F(xiàn)，并且應該成為職業(yè)規(guī)劃的一部分 ? 具體的安全軟件和硬件的產(chǎn)品培訓也很重要 17799:2023 信息安全管理實施細則 加強人員離職控制 ? 人員離職往往存在安全風險，特別是雇員主動辭職時 ? 解雇通知應選擇恰當?shù)臅r機，例如重要項目結(jié)束，或新項目啟動前 ? 使用標準的檢查列表（）來實施離職訪談 ? 離職者需在陪同下清理個人物品 ? 確保離職者返還所有的公司證章、鑰匙等物品 ? 與此同時，立即消除離職者的訪問權限，包括： ? 解除對系統(tǒng)、網(wǎng)絡和物理設施的訪問權 ? 解除電話，注銷電子郵箱，鎖定賬號 ? 通知公司其他人員、外部伙伴或客戶，聲明此人已離職 17799:2023 信息安全管理實施細則 目標：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項活動被打斷。 信息的交換 信息交換策略和程序 交換協(xié)議 傳輸中的物理介質(zhì) 電子信息交換 業(yè)務信息系統(tǒng) 目標： 保持組織內(nèi)部和與外部實體間進行信息交換的安全性。 用戶責任 口令使用 無人值守的用戶設備 桌面清理和清屏策略 目標： 防止非授權用戶訪問、破壞、竊取信息及信息處理設施。底層系統(tǒng)和網(wǎng)絡更是無能為力 ? 關于系統(tǒng)監(jiān)控： ? 日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計措施的話，都無法發(fā)揮大作用 ? 關于移動計算的訪問控制： ? 可變性太大 ? 有時會涉及 ―人格 ‖問題、 ―工作熱情 ‖問題 ? 執(zhí)行控制需要堅決的政策和有力的執(zhí)行 ? 要關注新技術的沖擊 17799:2023 信息安全管理實施細則 目標：確保安全內(nèi)建于信息系統(tǒng)中。 13 信息安全事件管理 報告信息安全事件和缺陷 報告信息安全事件 報告安全缺陷 管理信息安全事件和改進 責任和程序 從信息安全事件中吸取教訓 證據(jù)搜集 目標： 確保采取一致和有效的方法來管理信息安全事件。 ? 明確業(yè)務連續(xù)性管理的責任。 ? 考慮購買合適的保險。 17799:2023 信息安全管理實施細則 目標：維護應用系統(tǒng)軟件和信息的安全。 移動計算和通訊 移動計算和通信 遠程工作（ Teleworking） 目標：確保使用移動計算和通訊設施時的信息安全。 17799:2023 信息安全管理實施細則 通信和操作管理提示 ? 明確操作管理理程序和責任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復、日志審計等事務 ? 定義變更管理責任和流程，做好信息處理設施的變更控制 ? 對第三方服務實施有效監(jiān)督，確保其符合既定協(xié)議的要求。 抵御惡意和移動代碼 惡意代碼控制 移動代碼控制 目標： 保護軟件和信息的完整性。對于敏感職位，可能還會考慮進一步的調(diào)查。 ? 所有的信息資產(chǎn)都應該具有指定的屬主并且可以被追溯責任。還應考慮需要訪問哪些設施和信息？信息的價值，必要的控制，授權以及監(jiān)督方式，出錯可能造成的影響，對安全事件的響應，法律法規(guī)等。 安全策略的復查 ? 策略應有一個屬主，負責按復查程序維護和復查該策略。 ? 確定風險因子：后果為 2，弱點值為 3，威脅值為 3 ? 評估風險：套用風險分析矩陣，該風險被定為高風險（ 18） ? 應對風險：根據(jù)公司風險評估計劃中確定的風險接受水平，應該對該風險采取措施予以消減。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ?，即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。 絕對的安全是不存在的！ 在計算機安全領域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。 信息安全管理體系認證 認證之前做好準備 進行 27001認證之前，組織可以參照以下檢查列表來做準備： 董事會和管理層的簽署承諾 已簽署并發(fā)布的安全策略文檔 已識別的資產(chǎn) 風險評估的結(jié)果文檔 已作出的風險管理決策 已識別的可用控制 文檔化的適用性聲明 文檔化的業(yè)務連續(xù)性計劃，并得到了實施和測試 文檔化的程序，并且發(fā)布和實施 確定有效性的內(nèi)部復審 信息安全管理體系認證 認證過程 選擇受認可的認證機構(gòu) Phase1：文檔審核 Phase2：現(xiàn)場審查 維持認證 組織應該向認證機構(gòu)提供必要的信息 ? 復審風險評估文檔、安全策略和適用性聲明 ? 復審 ISMS的其他文檔 ? ISMS的實施情況，符合性審查 ? 風險管理決策的基礎 組織被授予證書后，審核組每年都會對其 ISMS符合性進行檢查。 ? 促使管理層堅持貫徹信息安全保障體系。 ? 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在 7799認證方面表現(xiàn)積極。 ? 1998年 2月 —— 英國公布 77992:《信息安全管理體系規(guī)范》。 7799簡介 什么是 7799？ ? 英國標準協(xié)會（ ，）制定的信息安全標準。 實施所選的安全控制措施。 信息安全概述 信息安全管理面臨的一些問題 ? 國家的信息安全法律法規(guī)體系建設還不是很完善 ? 組織缺乏信息安全意識和明確的信息安全策略 ? 對信息安全還持有傳統(tǒng)的認識，即重技術，輕管理 ? 安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理 信息安全概述 調(diào)查顯示有 8成企業(yè)安全管理不理想 信息安全概述 各行業(yè)安全管理狀況都不容樂觀 信息安全概述 安全管理各方面能力都很低下 信息安全概述 信息安全管理應該是體系化的 ? 信息安全必須從整體去考慮，必須做到“有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子 ? 這就是信息安全管理體系，它應該成為組織整體經(jīng)營管理體系的一部分 務必重視信息安全管理 加強信息安全建設工作 信息安全概述 怎樣實現(xiàn)信息安全？ 信息安全概述 通常的信息安全建設方法 ? 采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案： ? 防病毒，防火墻，等 ? 通常由部門的技術人員兼職負責日常維護，甚至根本沒有日常維護 ? 這是一種以產(chǎn)品為核心的信息安全解決方案 ? 這種方法存在眾多不足： ? 難以確定真正的需求：保護什么？保護對象的邊界？保護到什么程度？ ? 管理和服務跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價 ? 通常用漏洞掃描代替風險評估，對風險的認識很不全面 ? 這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全 ? 不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 信息安全概述 真正有效的方法 ? 技術和產(chǎn)品是基礎，管理才是關鍵 ? 產(chǎn)品和技術，要通過管理的組織職能才能發(fā)揮最佳作用 ? 技術不高但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全 ? 先進、易于理解、方便操作的安全策略對信息安全至關重要 ? 建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復實施，并不斷得到修正，就會擁有持續(xù)安全 ? 根本上說，信息安全是個管理過程，而不是技術過程 信息安全概述 對信息安全的正確認識 安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程 信息安全概述 基于風險分析的安全管理方法 ? 信息安全管理是指導和控制組織的關于信息安全風險的相互協(xié)調(diào)的活動。 ? 可追溯性（） —— 確認系統(tǒng)中個人行為和活動的能力。 再次歡迎您的參與，真誠感謝您的支持與合作！ 我們的目標 ? 理解信息、信息安全和信息安全管理 ? 理解信息安全風險評估與風險管理 ? 理解 779927001標準本身的條款內(nèi)容 ? 掌握一種實施的方法和途徑 ? 了解 27001認證的完整過程 ? 用 27001指導企業(yè)進行信息安全的各項活動 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 內(nèi)容目錄 ? 積極參與，小組討論，活躍氣氛 ? 遵守時間 ? 請將移動電話設置為震動 ? 有問題請隨時提出 課堂注意事項 讓我們開始吧！ ? 什么是信息？ ? 什么是信息安全？ ? 為什么要強調(diào)信息安全管理？ ? 怎樣做好信息安全管理？ ? 什么是 779927001？ ? 779927001對信息安全管理有什么指導意義？ ? 信息安全管理體系如何認證？ 需要首先搞清楚的幾個問題 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 什么是信息？ 信息安全概述 什么是信息？ ? 消息、信號、數(shù)據(jù)、情報和知識 ? 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： ? 存儲在計算機、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過網(wǎng)絡、打印機、傳真機等方式進行傳播 ? 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)： ? 計算機和網(wǎng)絡中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關鍵人員 ? 組織提供的服務 ? 具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護 有價值的內(nèi)容 —— 9000 信息安全概述 企業(yè)信息安全管理關注的信息類型 內(nèi)部信息 組織不想讓其競爭對手知道的信息 客戶信息 顧客 /客戶不想讓組織泄漏的信息 共享信息 需要與其他業(yè)務伙伴分享的信息 信息安全概述 信息的處理方式 創(chuàng)建 傳遞 銷毀 存 儲 使用 更改 信息安全概述 什么是信息安全？ 信息安全概述 采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性。 信息安全概述 信息安全的發(fā)展歷史 20世紀 60年代前 60年代到 80年代 20世紀 80年代末以后 ? 電話、電報、傳真 ? 強調(diào)的是信息的保密性 ? 對安全理論和技術的研究只側(cè)重于密碼學 ? 通信安全，即 ? 計算機軟硬件極大發(fā)展 ? 關注保密性、完整性和可用性目標 ? 信息安全，即 ? 代表性成果是美國的和歐洲的測評標準 ? 互聯(lián)網(wǎng)技術飛速發(fā)展，信息無論是對內(nèi)還是對外都得到極大開放 ? 信息安全從中又衍生出可控性、抗抵賴性、真實性等特性，并且從單一的被動防護向全面而動態(tài)的防護、檢測、響應、恢復發(fā)展 ? 信息保障（ ），從整體角度考慮安全體系建設 ? 美國的規(guī)范 信息安全概述 C I A onfidentiality ntegrity vailability 信息安全基本目標 信息安全概述 企業(yè)重大泄密事件屢屢發(fā)生 信息安全概述 敏感信息遭受篡改也會導致惡劣后果 信息安全概述 破壞導致系統(tǒng)癱瘓后果非常嚴重 信息安全概述 C 保密性（） —— 確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或?qū)嶓w。 ? 抗抵賴性（） —— 確保信息創(chuàng)建者就是真正的發(fā)送者的能力。 ? 制定信息安全策略方針 ? 風險評估和管理 ? 控制目標和方式選擇 ? 風險控制