信息安全新版标准培训0810资料.ppt

;目 录;信息技术的便利性与安全威胁;信息技术的便利性与安全威胁;信息安全的概念 ;2015年《全球信息安全现状调研报告》 2014年被侦测到的安全事件数量高达4280万件，比2013年增长48%。 安全事件给企业带来的财务损失也急速飙升，2014年比2013年增长34%。? 报告中指出，今天的企业面临持续增长的安全威胁，企业需要考虑通过基于风险评估的方式提升安全防卫水平，对最重要的资产进行优先级排序，并主动应对最直接的安全威胁。;信息安全现状特征;信息安全事件的影响;2015年度信息安全事件;2015年度信息安全事件;二十五条 国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。;“十二五”期间;第十三章 全面提高信息化水平 第三节 加强网络与信息安全保障 健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广，加强信息网络监测、管控能力建设，确保基础信息网络和重点信息系统安全。推进信息安全保密基础设施建设，构建信息安全保密防护体系。加强互联网管理，确保国家网络与信息安全。;中华人民共和国网络安全法（草案） 目　　录 　　 　　第一章　总　　则 　　第二章　网络安全战略、规划与促进 　　第三章　网络运行安全 　　　　第一节　一般规定 　　　　第二节　关键信息基础设施的运行安全 　　第四章　网络信息安全 　　第五章　监测预警与应急处置 　　第六章　法律责任 ??? 第七章　附　　则 ;保障信息安全的途径？;信息安全管理体系（ISMS）;信息安全管理体系（ISMS）;信息安全管理体系的架构;信息安全管理体系的特点;正文 规范性附录A;标准正文部分构成;规范性附录表A.1 控制目的和控制;高层管理者要做什么？;高层管理者要做什么？;高层管理者要做什么？;中层管理者要做什么？;员工要做什么？;信息安全管理体系相关知识;信息安全管理体系活动;信息安全管理体系活动;信息安全管理体系活动;信息安全管理体系活动;风险管理;资产识别;资产清单;资产脆弱性;资产威胁;风险值计算示例;风险处置;控制举例：A.18 符合性;;起因：为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司，由于安全漏洞问题，导致2000万条入住酒店的客户信息泄露。 结果：2014年某先生由于开房信息泄露，到当地法院起诉了汉庭星空（上海）酒店管理有限公司和浙江慧达驿站网络公司，索赔20万元。 点评：本案中，浙江慧达驿站公司为酒店提供技术系统服务，因此该公司对消费者信息有安全保障义务，如泄露也要承担侵权责任。 ;控制举例： A . 7人力资源安全;根据公安部统计 70％的泄密犯罪来自于内部； 计算机应用单位80％未设立相应的安全管理体系； 58％无严格的管理制度。 如果相关技术人员违规操作（如管理员泄露密码），即便组织有最好的安全技术的支持，也保证不了信息安全。 ;;;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;4.组织环境;5. 领导;5. 领导;5. 领导;5. 领导;5. 领导;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;6. 规划;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;7 支持;8.运行;8.运行;8.运行;8.运行;9.绩效评价;9.绩效评价;9.绩效评价;9.绩效评价;10.改进;10.改进;10.改进;安全控制;A.5 信息安全策略;A.6 信息安全组织;A.6 信息安全组织;A.7人力资源安全;A.7人力资源安全;A.7人力资源安全;A.8 资产管理;A.8 资产管理;A.8 资产管理;A.9 访问控制;A.9 访问控制;A.9 访问控制;A.9 访问