江西电信信息安全管理培训..ppt

江西电信安全管理培训 2007年5月 目的 使学员了解安全管理的生命周期过程和安全体系的基本元 Agenda 一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍 案例分析 在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了….. 事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品 案例分析 为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。 西藏入侵事件 案例分析 某公司技术部存在2个CTO，一个副CTO，一个主管…… 某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么…… 在对机房进入的日志检查过程中，发现没有对清洁工的记录 案例分析 “88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。 88888错误帐户没有销掉。 巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。 巴林银行的内部审计极其松散。 信息安全现状 重视技术，轻视管理 重视产品功能，轻视人为因素 重视对外安全，轻视内部安全 静态不变的观念 缺乏整体性信息安全体系的考虑 Agenda 一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍 信息定义 什么是信息？ 信息意味着什么? 信息安全管理体系标准 什么是信息安全管理体系？ 信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即： 安全管理是信息安全的关键； 人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法； 技术是安全 运营支撑。 安全策略是依据 信息安全管理体系标准 企业为什么要实现信息安全？ 组织自身业务的需要 自身业务和利益的要求 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 …… 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护 …… 信息安全管理体系标准 信息安全管理的标准是什么？ BS7799:事实上的信息安全管理标准. BS7799 信息安全的英国国家标准，也是作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段； 全面的信息安全控制，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架； 信息安全管理方面唯一被认可的商业标准。 BS7799发展过程 BS7799发展过程 BS7799原则 体现以下原则 定信息安全方针为信息安全管理提供导向和支持 控制目标和控制方式的选择建立在风险评估基础之上 预防控制为主的思想原则 全员参与原则 动态管理原则 遵循管理的一般循环模式—PDCA持续改进模式 业务连续性原则 BS7799-2（ISO27001）内容 Chapter 0 : 简介 Chapter 1 : 范围 Chapter 2 : 强制性应用标准 Chapter 3 : 术语和定义 Chapter 4 : 信息安全管理体系 Chapter 5 : 管理责任 Chapter 6 : ISMS内部审核 Chapter 7 : ISMS管理评审 Chapter 8 : ISMS改善 附件A（强制性）控制目标和控制措施 附录B参考标准应用指南 附录C参考BS EN ISO 9001:2000ISO 14001:1996和 BS7799-2:2002章节间的对应关系 附录D参考内部编号的改变 BS7799-1 （ISO/IEC 17799）内容 BS7799的一些问题 10大类的结构性不够清晰 一些风险控制点的归类不妥 “加密”在开发与维护类中 “事故报告”在人员安全类中 操作与通信类中太杂乱 一些风险控制点的阐述不够 关于资产 关于业务安全 BS7799-1 （ISO/IEC 17799）内容 信息安全方针 为信息安全提供符合业务要求和相关法律法规的管理指导和支持 信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通 应按策划的时间间隔或当发生重大变化时，对信息，安全方针文档进行评审，以确保其持续的