信息安全管理体系.pdf

信息安全管理体系

课前介绍

课程目标

n掌握信息安全管理的一般知识

n了解信息安全管理在信息系统安全保障

体系中的地位

n认识和了解ISO17799

n理解一个组织实施ISO17799的意义

n初步掌握建立信息安全管理体系（ISMS

）的方法和步骤

课程安排

n课时:24H

n课程方法：讲授、小组讨论、练习

课程内容

1、信息安全基础知识

2、信息安全管理与信息系统安全保障

3、信息安全管理体系标准概述

4、信息安全管理体系方法

5、ISO17799中的控制目标和控制措施

6、ISMS建设、运行、审核与认证

7、信息系统安全保障管理要求

n积极参与、活跃气氛

n守时

n保持安静

n有问题可随时举手提问

1.信息安全基础知识

1.1信息安全的基本概念

1.2为什么需要信息安全

1.3实践中的信息安全问题

1.4信息安全管理的实践经验

1.1信息安全基本概念

nISO17799中的描述

“Informationisanassetwhich,likeotherimportantbusinessassets,

hasvaluetoanorganizationandconsequentlyneedstobesuitably

protected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwritten

onpaper,storedelectronically,transmittedbypostorusing

electronicmeans,shownonfilms,orspokeninconversation.

n强调信息：

ü是一种资产

ü同其它重要的商业资产一样

ü对组织具有价值

ü需要适当的保护

ü以各种形式存在：纸、电子、影片、交谈等

小问题：你们公司的Knowledge都在哪里？

nISO17799中的描述

“Informationsecurityprotectsinformationfromawide

rangeofthreatsinordertoensurebusinesscontinuity,

minimizebusinessdamageandmaximizereturnon

investmentsandbusinessopportunities.”

n信息安全：

ü保护信息免受各方威胁

ü确保组织业务连续性

ü将信息不安全带来的损失降低到最小

ü获得最大的投资回报和商业机会

nISO17799中的描述

Informationsecurityischaracterizedhereasthepreservation

of:

üConfidentiality

üIntegrity

üAvailability

n信息在安全方面三个特征：

ü机密性：确保只有被授权的人才可以访问信息；

ü完整性：确保信息和信息处理方法的准确性和完整性；

ü可用性：确保在需要时，被授权的用户可以访问信息和相

关的资产。

信息处理

过程

完整可用

信息处理设施