【正文】 圖 此圖摘自 2023年 2月前 到 2023年底 7799簡(jiǎn)介 建立并通過(guò)認(rèn)證的意義 ? 可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為。 ? 全球目前有 2023多家機(jī)構(gòu)通過(guò)了 779927001認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國(guó)公司。 ? 我國(guó)的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。 ? 2023年 10月 —— 正式采用 77992:2023，命名為 27001:2023。 ? 2023年 9月 —— 對(duì) 77992進(jìn)行了改版，用來(lái)替代原標(biāo)準(zhǔn)（ 77992:1999）使用。 ? 1999年 4月 —— 77991與 77992修訂后重新發(fā)布。 ? 1995年 2月 —— 首次出版 77991:1995《信息安全管理實(shí)施細(xì)則》。 7799簡(jiǎn)介 7799的歷史沿革 ? 1990年代初 —— 英國(guó)貿(mào)工部（）成立工作組，立項(xiàng)開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 7799簡(jiǎn)介 7799的目的 為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。 ? 由信息安全方面的最佳慣例組成的一套全面的控制集。 ? 的目的和宗旨是：在世界范圍內(nèi)促進(jìn)標(biāo)準(zhǔn)化工作的發(fā)展， 以利于國(guó)際物資交流和互助，并擴(kuò)大在知識(shí)、科學(xué)、技術(shù)和經(jīng)濟(jì) 方面的合作。 ? 的主要活動(dòng)是制定國(guó)際標(biāo)準(zhǔn)，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)化工作，組織各成員國(guó)和技術(shù)委員會(huì)進(jìn)行報(bào)交流，以及與其他國(guó)際性組織進(jìn)行合作，共同研究有關(guān)標(biāo)準(zhǔn)問(wèn)題。 信息安全概述 7799定義的信息安全管理體系 建立一個(gè)信息安全管理框架 評(píng)估安全風(fēng)險(xiǎn) 選擇并實(shí)施控制 信息安全管理體系 ISMS 設(shè)定信息安全的方向和目標(biāo) ，定義管理層承諾的策略 確定安全需求 根據(jù)需求采取措施消減風(fēng)險(xiǎn) ， 以實(shí)現(xiàn)既定安全目標(biāo) 信息安全概述 必須明確的內(nèi)容 要保護(hù)的資產(chǎn) 控制目標(biāo)和控制措施 需要保證的程度 風(fēng)險(xiǎn)管理的途徑 信息安全概述 實(shí)施的過(guò)程 ? 定義的范圍 ? 定義策略 ? 定義一個(gè)系統(tǒng)化的風(fēng)險(xiǎn)管理途徑 ? 識(shí)別風(fēng)險(xiǎn) ? 評(píng)估風(fēng)險(xiǎn) ? 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的可選方案 ? 選擇控制目標(biāo)和控制措施，以便處理風(fēng)險(xiǎn) ? 準(zhǔn)備適用性聲明（） ? 獲得管理層批準(zhǔn) 信息安全概述 是一個(gè)文檔化的體系 ? 對(duì)管理框架的概括 ? 包括策略、控制目標(biāo)、已實(shí)施的控制措施、適用性聲明（） ? 各種程序文件 ? 實(shí)施控制措施并描述責(zé)任和活動(dòng)的程序文件 ? 覆蓋了管理和運(yùn)行的程序文件 ? 證據(jù) ? 能夠表明組織按照 7799要求采取相應(yīng)步驟而建立了管理框架 ? 各種：在操作過(guò)程當(dāng)中自然產(chǎn)生的證據(jù)，可識(shí)別過(guò)程并顯現(xiàn)符合性 信息安全概述 實(shí)施的關(guān)鍵成功因素（） ? 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo) ? 有一種與組織文化保持一致的實(shí)施、維護(hù)、監(jiān)督和改進(jìn)信息安全的途徑 ? 來(lái)自高級(jí)管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 ? 向所有管理者和員工有效地推廣安全意識(shí) ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動(dòng)提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來(lái)評(píng)估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（） ? 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（ ，） ? 著名的 9000、 14000、 177997799等標(biāo)準(zhǔn)的編寫(xiě)機(jī)構(gòu) ? 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（）是世界上最早的全國(guó)性標(biāo)準(zhǔn)化機(jī)構(gòu)，它受政府控制但得到了政府的大力支持。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 信息安全概述 安全管理模型 —— 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施。 ? 需要全員參與。 ? 考慮控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。 ? 制定信息安全策略方針 ? 風(fēng)險(xiǎn)評(píng)估和管理 ? 控制目標(biāo)和方式選擇 ? 風(fēng)險(xiǎn)控制 ? 安全保證 ? 信息安全策略方針為信息安全管理提供導(dǎo)向和支持。 ? 信息安全管理的核心就是風(fēng)險(xiǎn)管理。 ? 信息安全管理（ ）是組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。 ? 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 ? 抗抵賴性（） —— 確保信息創(chuàng)建者就是真正的發(fā)送者的能力。 ? 授權(quán)（） —— 為用戶分配并校驗(yàn)資源訪問(wèn)權(quán)限的過(guò)程。 ? 身份識(shí)別（） —— 用戶向系統(tǒng)聲稱其真實(shí)身份的方式。 可用性（） —— 確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源。 信息安全概述 信息安全的發(fā)展歷史 20世紀(jì) 60年代前 60年代到 80年代 20世紀(jì) 80年代末以后 ? 電話、電報(bào)、傳真 ? 強(qiáng)調(diào)的是信息的保密性 ? 對(duì)安全理論和技術(shù)的研究只側(cè)重于密碼學(xué) ? 通信安全，即 ? 計(jì)算機(jī)軟硬件極大發(fā)展 ? 關(guān)注保密性、完整性和可用性目標(biāo) ? 信息安全，即 ? 代表性成果是美國(guó)的和歐洲的測(cè)評(píng)標(biāo)準(zhǔn) ? 互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無(wú)論是對(duì)內(nèi)還是對(duì)外都得到極大開(kāi)放 ? 信息安全從中又衍生出可控性、抗抵賴性、真實(shí)性等特性，并且從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)發(fā)展 ? 信息保障（ ），從整體角度考慮安全體系建設(shè) ? 美國(guó)的規(guī)范 信息安全概述 C I A onfidentiality ntegrity vailability 信息安全基本目標(biāo) 信息安全概述 企業(yè)重大泄密事件屢屢發(fā)生 信息安全概述 敏感信息遭受篡改也會(huì)導(dǎo)致惡劣后果 信息安全概述 破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴(yán)重 信息安全概述 C 保密性（） —— 確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。 關(guān)于課程內(nèi)容及授課效果的意見(jiàn)和建議，請(qǐng)及時(shí)反饋給我們，以便我們改進(jìn)自身工作。中遠(yuǎn)網(wǎng)絡(luò) (北京 )有限公司信息安全管理體系基礎(chǔ)培訓(xùn) 北京安言信息技術(shù)有限公司 歡迎您參加這次《信息安全管理體系基礎(chǔ)知識(shí)》培訓(xùn)班，本課程是我們特意為北京中遠(yuǎn)網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實(shí)踐，以便更好地開(kāi)展即將啟動(dòng)的項(xiàng)目。衷心祝愿您在整個(gè)課程過(guò)程中與我們度過(guò)緊湊而富有成效的美好時(shí)光。 再次歡迎您的參與，真誠(chéng)感謝您的支持與合作！ 我們的目標(biāo) ? 理解信息、信息安全和信息安全管理 ? 理解信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理 ? 理解 779927001標(biāo)準(zhǔn)本身的條款內(nèi)容 ? 掌握一種實(shí)施的方法和途徑 ? 了解 27001認(rèn)證的完整過(guò)程 ? 用 27001指導(dǎo)企業(yè)進(jìn)行信息安全的各項(xiàng)活動(dòng) ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 內(nèi)容目錄 ? 積極參與，小組討論，活躍氣氛 ? 遵守時(shí)間 ? 請(qǐng)將移動(dòng)電話設(shè)置為震動(dòng) ? 有問(wèn)題請(qǐng)隨時(shí)提出 課堂注意事項(xiàng) 讓我們開(kāi)始吧！ ? 什么是信息？ ? 什么是信息安全？ ? 為什么要強(qiáng)調(diào)信息安全管理？ ? 怎樣做好信息安全管理？ ? 什么是 779927001？ ? 779927001對(duì)信息安全管理有什么指導(dǎo)意義？ ? 信息安全管理體系如何認(rèn)證？ 需要首先搞清楚的幾個(gè)問(wèn)題 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 什么是信息？ 信息安全概述 什么是信息？ ? 消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) ? 信息本身是無(wú)形的，借助于信息媒體以多種形式存在或傳播： ? 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 ? 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)具有價(jià)值，就成為信息資產(chǎn)： ? 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關(guān)鍵人員 ? 組織提供的服務(wù) ? 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù) 有價(jià)值的內(nèi)容 —— 9000 信息安全概述 企業(yè)信息安全管理關(guān)注的信息類型 內(nèi)部信息 組織不想讓其競(jìng)爭(zhēng)對(duì)手知道的信息 客戶信息 顧客 /客戶不想讓組織泄漏的信息 共享信息 需要與其他業(yè)務(wù)伙伴分享的信息 信息安全概述 信息的處理方式 創(chuàng)建 傳遞 銷毀 存 儲(chǔ) 使用 更改 信息安全概述 什么是信息安全？ 信息安全概述 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。 完整性（） —— 確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。 三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是三元組： .和 . I A D isclosure A lteration D estruction 泄漏 破壞 篡改 信息安全概述 機(jī)密性 可用性 完整性 信息安全概述 其他概念和原則 ? 私密性（） —— 個(gè)人和組織控制私用信息采集、存儲(chǔ)和分發(fā)的權(quán)利。 ? 身份認(rèn)證（） —— 測(cè)試并認(rèn)證用戶的身份。 ? 可追溯性（） —— 確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力。 ? 審計(jì)（） —— 對(duì)系統(tǒng)記錄和活動(dòng)進(jìn)行獨(dú)立復(fù)查和審核，確保遵守性 信息安全概述 信息安全的重要性 ? 信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價(jià)值，因而要妥善保護(hù) ? 信息安全是國(guó)家安全的需要 ? 信息安全是維持組織競(jìng)爭(zhēng)優(yōu)勢(shì)、贏利能力、守法性和企業(yè)形象的保障之一 ? 信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要 ? 許多組織都曾面臨過(guò)嚴(yán)重的威脅，包括基于計(jì)算機(jī)的欺詐和蓄意破壞 ? 現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計(jì)算機(jī)病毒、黑客和拒絕服務(wù)攻擊 ? 網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對(duì)計(jì)算機(jī)系統(tǒng)未授權(quán)訪問(wèn)的機(jī)會(huì) ? 組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難 ? 許多信息系統(tǒng)的設(shè)計(jì)本身就不安全 ? 通過(guò)技術(shù)手段獲得的安全是有限的，還應(yīng)該通過(guò)恰當(dāng)?shù)墓芾砗统绦騺?lái)支持 信息安全概述 法律法規(guī)與 合同要求 組織原則目標(biāo)和業(yè)務(wù)需要 風(fēng)險(xiǎn)評(píng)估的結(jié)果 從什么方面考慮信息安全？ 信息安全概述 常規(guī)的技術(shù)措施 ? 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 ? 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性 ? 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、入侵檢測(cè)、掃描評(píng)估 ? 應(yīng)用安全技術(shù)：安全、訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全 ? 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的特性 ? 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、認(rèn)證（例如）、證書(shū)認(rèn)證等 ? 訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等 ? 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證 ? 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 ? 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份 信息安全概述 防火墻 網(wǎng)絡(luò)入侵檢測(cè) 病毒防護(hù) 主機(jī)入侵檢測(cè) 漏洞掃描評(píng)估 VPN通道 訪問(wèn)控制 信息安全概述 有沒(méi)有更好的途徑？ 信息安全概述 信息安全管理 ? 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 ? 人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性。 ? 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)上的原因，不如說(shuō)是管理不善造成