信息安全管理体系培训课件new.pptVIP

安全管理观点技术和产品是基础,管理才是关键产品和技术,要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全根本上说,信息安全是个管理过程,而不是技术过程基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制和处理安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。ISO27001发展历程（由BS7799演变而来）评估标准的发展历程信息安全的CIA目标保护信息的保密性、完整性和可用性——ISO17799ConfidentialityIntegrityAvailabilityInformation目录1介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进?ISO27001认证过程-11个Domain*一、信息安全方针（SecurityPolicy)(1,2)四、人员安全（HumanResourceSecurity)(3,9)五、物理及环境安全（PhysicalandEnvironmentalSecurity)(2,13)二、组织安全（OrganizingInformationsecurity)(2,11)三、资产分类与控制（AssetManagement)(2,5)六、通信与操作管理（CommunicationsandOperationsManagement)(10,33)八、系统开发与维护（InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、访问控制（AccessControl)(7,25)十、业务持续性管理（BusinessContinuityManagement)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（InformationsecurityincidentManagement)(2,5)目录介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进?Plan阶段定义ISMS的范围（从业务、组织、位置、资产和技术等方面考虑）定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明（SoA）取得管理层对残留风险的承认和实施并操作ISMS的授权组织实现信息安全的必要的、重要的步骤了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据风险评估的目的资产拥有者安全控制措施安全防护确信/信心安全风险评估生成/加强给出证据/发现问题需要如不能确信，需要评估给出评估与安全防护的关系风险管理全过程原理*识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受风险管理*对资产进行保护是信息安全和风险管理的首要目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。信息资产的存在形式有多种，物理的、逻辑的、无形的。信息资产:数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息；软件资产:应用程序软件、系统软件、开发工具以及实用程序；实体资产:计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、机房；书面文件:包含系统文件、使用