年iso信息安全管理体系宣讲要点.ppt

ISO27001体系实施 完整的风险评估活动 前期沟通：前期调研，了解需求，启动风险评估项目； ?? 项目计划：明确目标和范围，对系统环境进行描述，确定各项评估指标，建立评估小组并明确责任，进行必要的培训，提供必须的资源，准备适用的表格、问卷等材料，制定项目计划； ?? 资产评估：识别并评估关键的信息资产； ?? 威胁评估：识别威胁，衡量威胁的可能性； ?? 弱点评估：识别各类弱点（包括现有控制的不足），衡量弱点的严重度； ?? 风险评估：进行风险场景描述，评价风险，划分风险等级，编写风险评估报告； ?? 风险处理：推荐、评估并确定控制目标和控制，编制风险处理计划。 谢谢大家 信息安全管理体系宣讲 * 什么是信息 信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。 对现代企业来说，信息是一种资产，包括计算机和网络中的数据，还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息资产具有重要的价值，因而需要进行妥善保护。 什么是信息安全 保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。 信息安全的任务 就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。 信息安全有哪些基本目标 信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性（如图1所示）。CIA概念的阐述源自信息技术安全评估标准（InformationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。 CIA介绍 保密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 ?? 完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 ?? 可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 CIA介绍 当然，不同机构和组织，因为需求不同，对CIA原则的侧重也会不同，如果组织最关心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，那就会突出完整性和可用性的要求。 除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA原则的细化、补充或加强。 DAD 三元组 与CIA三元组相反的有一个DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration）和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。 什么是信息安全的根本目标 对现代企业来说，对CIA的追求只是一种简单抽象的理解，是信息安全的直接目标，其实企业最关心的，是其关键业务活动的持续性和有效性，这是企业命脉所在，就信息安全来说，是其根本目标。当然，要让依赖于信息环境的业务活动能够持续，就必然要保证信息环境的安全，业务持续性对信息环境提出了CIA的要求，而信息环境CIA的实现支持着业务持续性目标的实现。 企业从自身利益出发，把着眼点归结到业务活动的切实需求上，信息安全才能做到真正的有始而发和有的放矢。 信息安全需求来自哪里 （1） 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求，组织应该对现有的法律法规加以识别，将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次，即国家法律、行政法规和各部委和地方的规章及规范性文件。此外，组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求，包括合同约定、招标条件和承诺等。例如，合同中可能会明确要求组织的信息安全管理体系遵循BS7799标准。 （2） 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些方针、目标、原则和要求，据此明确自己的信息安全要求，确保支持业务运作的信息处理活动的安全性。