CISP0301信息安全管理体系-1.ppt

信息安全管理体系 培训机构名称 讲师名字 课程内容 2 知识域：信息安全管理基本概念 知识子域： 信息安全管理的作用 理解信息安全“技管并重”原则的意义 理解成功实施信息安全管理工作的关键因素 知识子域： 风险管理的概念和作用 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性 理解风险评估是信息安全管理工作的基础 理解风险处置是信息安全管理工作的核心 知识子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理风险的具体手段 了解11个基本安全管理控制措施的基本内容 3 信息安全管理 一、信息安全管理概述 二、信息安全管理体系 三、信息安全管理体系建立 四、信息安全管理控制规范 4 一、信息安全管理概述 （一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于风险的信息安全 （二）信息安全管理的状况 1、信息安全管理的作用 2、信息安全管理的发展 3、信息安全管理的标准 4、成功实施信息安全管理的关键 5 （一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于风险的信息安全 6 1、信息安全 7 信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。 信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。 1、信息安全 信息安全 保密性 可用性 完整性 8 1、信息安全-保密性 9 保密性 确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。 1、信息安全-完整性 10 完整性 保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。 1、信息安全-可用性 11 可用性 确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。 2、信息安全管理 统计结果表明，在所有信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。 信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。 12 2、信息安全管理 13 正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。 2、信息安全管理 14 组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动 信息安全管理工作的对象 2、信息安全管理 15 信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。 3、基于风险的信息安全 16 （1）安全风险的基本概念 （2）信息安全的风险模型 （2）基于风险的信息安全 （1）安全风险的基本概念 资产 资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值 资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 …… 17 （1）安全风险的基本概念 威胁 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件 威胁是利用脆弱性来造成后果 威胁举例 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 盗窃 网络监听 供电故障 后门 未授权访问…… 自然灾害如：地震、火灾 18 （1）安全风险的基本概念 脆弱性 是与信