《信息安全技术+行业间和组织间通信的信息安全管理gbt+32920-2023》详细解读.pptx

《信息安全技术行业间和组织间通信的信息安全管理gb/t32920-2023》详细解读;;;;;;;;;;;涵盖的实体和活动;本标准适用于基于互联网及其他广域网、局域网技术的组织间和组织内部通信。;信息安全管理的目标和原则;;便于查找和参考;所引用的文件应具有权威性和公信力，能够为本标准提供可靠的支持和依据。;;;;信息安全管理体系（ISMS）;信息安全技术;定义;;信息安全是指保护信息和信息系统免受未经授权的访问、使用、泄露、破坏、修改或者销毁，以确保信息的保密性、完整性和可用性。;定义;定义;;;;;信息安全管理是业务发展的基础;;;建立过程;信息共享团体的作用与价值;;成员资格审核;设立明确的沟通渠道，保障团体成员间信息传递的及时性与准确性。;根据团体发展需求，定期组织相关技能培训与信息安全意识提升课程。;;信息安全支持机构是负责提供信息安全技术支持和服务的组织，其职责包括监测、预警、应急响应等。;信息安全支持机构的设置应遵循合规性、专业性、高效性等原则，确保机构能够充分发挥作用。;实时监测网络安全状况，及时发现潜在威胁，并提前进行预警，以便组织采取防范措施。;;;;行业间通信的安全技术;;;;评估准备;;符合性持续维护;;;;;;;;;策略实施与监督;;;;;;;;;;6.3制度建设;;;;;;;;安全培训与考核;;权限分配与监控;;7.2.1人员选拔与录用;培训体系;;;提前通知与协商;权限调整与监督;对于涉及组织核心机密或关键技术的员工，在任用终止或变更时，应签订保密协议和竞业限制条款，防止信息泄露和竞争损害。;;;对各类资产进行赋值;8.3资产安全保护;明确资产处置流程;;;;;定期开展资产审计;;;综合评估法;根据信息的级别，设置相应的访问权限，确保只有经过授权的人员才能访问敏感或重要信息。;分级标准不统一;;根据信息存储的需求，介质可分为磁盘、光盘、移动存储设备等。;介质的使用与存储;维修流程;定期对介质的使用、存储、维修等情况进行审计，确保各项规范得到有效执行。;;;;在信息交换系统中采用冗余设计，确保在部分组件故障时，系统仍能保持正常的信息交换功能。;;;基于角色和职责的访问控制;身份验证与授权;访问控制技术;;密码学定???与分类;;密码攻击与防范;;要求密码必须包含大写字母、小写字母、数字和特殊字符的组合，以提高密码的破解难度。;所有密码在数据库中应以加密形式存储，防止密码泄露。;在任何情况下，禁止以明文形式显示或存储密码。;;;;;;;运行安全概述;;;;;;;;定义;恶意软件的传播途径与感染方式;恶意软件的防范策略;发现与报告;;;完全备份;;;;;;;;;;;;软件使用权限与行为审计;;;;;制定应急响应预案;;通过审计，验证组织内部的信息安全策略、标准和流程是否得到有效执行。;;审计流程;;;通信安全技术措施;;;;;;;;强调对信息传输过程进行实时监控的重要性，并记录所有相关的操作日志，以便后续审计和追溯。;;传输效率与可靠性的平衡;;签订合同并明确安全责任;在系统开发前，应制定详细的安全计划，明确开发过程中的安全要求和控制措施。;;;;;;;保障业务连续性;;针对可能出现的供应商信息安全事件，制定完善的应急响应预案，确保在第一时间做出有效应对，减轻损失。;;;需求变更风险;;;;通过安全设备、日志分析等手段，实时监测和发现信息安全事件。;预防为主;挑战;;信息安全事件是指对组织的信息资产安全造成威胁或实际损害的安全事故。;监测与发现;通过完善安全策略、提高系统防护能力等措施，预防信息安全事件的发生。;;业务连续性管理的重要性;;;;信息安全连续性的定义;;实现信息安全连续性的关键措施;;定义;冗余的作用与意义;冗余的实现方法与技术;平衡冗余与成本;;定义与重要性;;符合性持续改进;;;;;明确组织及员工在信息安全方面的法律责任，提高全员的信息安全意识，避免因违法行为而承担法律后果。;;信息安全评审定义与目的;信息安全评审流程;;;;共享敏感信息的定义;;;泄露风险;;;;;;;信号灯状态;交通灯协议应用实例;;;组织信息共享团体的构建要素;;组织信息共享团体的意义与价值;;;THANKS