【正文】 ? 風(fēng)險(xiǎn)管理的目標(biāo)： 高影響 低概率 高影響 高概率 低影響 低概率 底影響 低概率 影響 概率 概率 ISO27001信息安全管理體系介紹 頁數(shù) 25 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 信息安全風(fēng)險(xiǎn)管理一般方法 資產(chǎn)識別 威脅識別 分析和評價 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理 計(jì)劃 識別脆弱性 當(dāng)前控制 措施分析 風(fēng)險(xiǎn)監(jiān)控、檢查與溝通 ISO27001信息安全管理體系介紹 頁數(shù) 26 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 識別威脅 ? 威脅威脅可多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機(jī)、途徑 ? 幾種常見威脅： ? 自然災(zāi)害 ? 計(jì)算機(jī)犯罪 ? 員工操作失誤 ? 商業(yè)間諜 ? 黑客 ISO 27001將威脅定義如下： 可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 ISO27001信息安全管理體系介紹 頁數(shù) 27 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 識別脆弱性 ? 脆弱性常被成為漏洞 ? 幾種常見脆弱性： ? 簡單口令 ? 員工安全意思淡薄 ? 第三方缺乏保密協(xié)議 ? 變更管理薄弱 ? 明文傳輸信息 ? 經(jīng)驗(yàn)表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評估時往往過分注重技術(shù)脆弱性。 ? 對信息系統(tǒng)而言：兩種因素造成對其使命的實(shí)際影響： ? 一個特定的威脅源利用或偶然觸發(fā)一個特定的信息系統(tǒng)脆弱性的概率 ? 上述事件發(fā)生之后所帶來的影響 ? 在 ISO/IEC GUIDE73將風(fēng)險(xiǎn)定義為：事件的概率及其結(jié)果的組合。 ? 控制措施也用于防護(hù)措施或?qū)Σ叩耐x詞。 ISO27001信息安全管理體系介紹 頁數(shù) 14 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 提升競爭力 提高合規(guī)性 滿足利益相關(guān)方期望 實(shí)施 ISMS的好處 ? 建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理 ? 有效保護(hù)組織的知識產(chǎn)權(quán) ? 有效保護(hù)客戶信息 ? 提升組織形象 ? 提升內(nèi)部控制 ? 符合國家信息安全管理標(biāo)準(zhǔn)要求 ? 保護(hù)商業(yè)機(jī)密 ? 遵從法律法規(guī)要求 ? 更好的 IT服務(wù)質(zhì)量 ? 保證業(yè)務(wù)連續(xù)性 ? 增強(qiáng)自信與客戶信任度 ? 提升投資回報(bào)率 ISO 27001 ISO27001信息安全管理體系介紹 頁數(shù) 15 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 當(dāng)前獲得 ISO27001證書的組織分布 (2023年 9月 ) ISO27001信息安全管理體系介紹 頁數(shù) 16 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 1 2 3 4 信息安全概述 信息安全風(fēng)險(xiǎn)評估 ISMS介紹 ISO27001 信息安全管理體系要求 目錄 5 ISO27002 信息安全管理實(shí)用規(guī)則 ISO27001信息安全管理體系介紹 頁數(shù) 17 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) ISO27001信息安全管理體系要求 相關(guān)方 受控的 信息安全 信息安全 要求和期望 相關(guān)方 檢查 Check 建立 ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評審 ISMS 規(guī)劃 Plan 實(shí)施 Do 處置 Act 信息安全管理體系（ Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。 ? 通過放棄當(dāng)前的某些活動來規(guī)避 (avoid)風(fēng)險(xiǎn)發(fā)生。ISO27001信息安全管理體系介紹 頁數(shù) 1 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) ISO27001信息安全管理體系介紹 2023年 3月 ISO27001信息安全管理體系介紹 頁數(shù) 2 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 1 2 3 4 信息安全概述 信息安全風(fēng)險(xiǎn)評估 ISMS介紹 ISO27001 信息安全管理體系要求 目錄 5 ISO27002 信息安全管理實(shí)用規(guī)則 ISO27001信息安全管理體系介紹 頁數(shù) 3 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 幾個問題 ? 信息是否是企業(yè)的重要資產(chǎn)？ ? 信息的泄漏是否會給企業(yè)帶來重大影響？ ? 信息的真實(shí)性對企業(yè)是否帶來重大影響？ ? 信息的可用性對企業(yè)是否帶來重大影響？ ? 我們是否清楚知道什么信息對企業(yè)是重要的？ ? 信息的價值是否在企業(yè)內(nèi)部有一個統(tǒng)一的標(biāo)準(zhǔn)？ ? 我們是否知道企業(yè)關(guān)系信息的所有人 ? 我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲方式，是否收到足夠保護(hù)？ ? 信息安全事件給企業(yè)造成的最大 /最壞影響？ ISO27001信息安全管理體系介紹 頁數(shù) 4 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 1 2 3 4 信息安全概述 信息安全風(fēng)險(xiǎn)評估 ISMS介紹 ISO27001 信息安全管理體系要求 目錄 5 ISO27002 信息安全管理實(shí)用規(guī)則 ISO27001信息安全管理體系介紹 頁數(shù) 5 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 信息資產(chǎn) ? 信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排（ fallback arrangement）、審核跟蹤記錄（ audit trails）、歸檔信息； ? 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序； ? 物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動介質(zhì)和其他設(shè)備； ? 服務(wù)：計(jì)算和通信服務(wù)（例如，網(wǎng)絡(luò)瀏覽、域名