27001_信息安全管理体系简介.pptVIP

ISO17799/BS7799 信息安全管理体系简介 什么是信息？ Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected. 信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。 ISO17799/BS7799 Part 1:1999 信息的类型 政府信息-国内重要的信息 内部信息-不希望竞争对手得到的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输（包括电子邮件） 以影视或胶片方式表现的 语言交谈 什么需要保护？ 保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁 安全脆弱 分瘠的安全技术 信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司 盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。 INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。 电 脑 入 侵：电脑骇客入侵每年以45%的速率在增长。 电 子 邮 件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。 病 毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。 Source:Worldtalk Corporation E-mail surveillance programme. Computer weekly 1999/09/19 安全风险 法律和合约的需求 内部的原则，目标和需求 从收集控制方式与适当的需求等级开始！ Confidentiality 保密性 Integrity 完整性 Availability 可用性 ISO17799/BS7799 定义信息安全如下： 保密性：确保只有被授权的人员才能操作信息 完整性：确保信息的完整和正确 可用性：确保信息在需要时随时可以获得 管理者的承诺- 方针＆目标 组织，包含定义职责 系统结构 程序 文件管制 风险评估与适用性声明 选择适宜的控制 安全目标实现的验证 安全产品正确执行的验证 坚持程序作业的验证 风险评估 业务持续计划 两个阶段的认证 ISO17799/BS7799 Part 1- 信息安全管理实施规则 ISO17799/BS7799 Part 2- 信息安全管理体系规范 Chapter ⒈范围 Chapter ⒉术语和定义 Chapter ⒊安全方针 Chapter ⒋组织安全 Chapter ⒌资产分类和控制 Chapter ⒍人员安全 * Hong Kong Modern Management Hong Kong Modern Management Centre Ltd Centre Ltd ISO9001:2000 ISO9001:2000 基础知识培训（ 基础知识培训（ 香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司 Hong Kong Modern Management Hong Kong Modern Management Centre Ltd Centre Ltd ISO9001:2000 ISO9001:2000 基础知识培训（ 基础知识培训（ 香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司 2 Hong Kong Modern Management Hong Kong Modern Management Centre Ltd Centre Ltd ISO9001:2000 ISO9001:2000 基础知识培训（ 基础知识培训（ 香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司 3 Hong Kong Modern Management Hong Kong Modern Management Centre Ltd Centre Ltd ISO9001:2000 ISO9001:2000 基础知识培训（ 基础知识培训（ 香港现代企业管理中心有限公司 现代信息咨询(深圳)有限公司 天津分公司 4 为何信息安全是如此重要？ H