信息安全基础知识-精品.pptVIP

ISMS内审员培训课程 课程内容 第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核 总体课程目标 了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧 欢迎参加ISMS内审员课程培训 SGS-CSTC介绍 讲师介绍 第一部分 信息安全基础知识 教学目标 了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005 信息的基本概念 信息是经过分析、共享和理解的数据。 信息的处理方式 企业管理关注的信息类型 组织的“信息”在哪里？ 雇员的大脑：42%； 纸质文件：26%； 电子文档：20% 其他：12%； 信息安全定义（部分） 国标《计算机信息系统安全保护等级划分准则》定义：“计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统，实现安全保护的关键因素是人。“ 部标《计算机信息系统安全专用产品分类原则》定义是：“本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。” ISO 27002 定义：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。” 国际标准化委员会定义：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏（可用性）、更改（完整性）、显露（机密性）” 信息安全定义 信息安全的定义 ISO/IEC 27002：2005 　　保持信息的保密性、完整性、可用性； 　　另外，也包括其他属性，如：真实性、可核查性、不可否认性和可靠性。 信息为什么会有安全问题 信息具有重要的价值 信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁 信息及系统固有的脆弱性 信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在：不可避免的因素（技术局限、人的能力局限）、没有避免的因素（默认配置） 威胁客观存在 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等 网络为什么不安全 因为你连在网上…… 信息安全面临各种安全威胁 TCP/IP的每个层次都存在攻击 常规的防护技术措施 是不是把相关技术及产品都部署到位了，就安全了呢？ 到底如何做才能真正保障信息安全呢？ 下面我们先来看几个案例 应急预案与BCM 9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。 据Gartner Group统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。 案例一剖析 程有特权帐户和密码 承包商未对系统特权帐户善后 客户系统管理员未审计日志 加密方法简单 案例二剖析 软件使用控制（软件白名单） 信息分类分级保护 信息安全意识 使用正版软件 如何使用开源和自由软件 企业使用破解、开源、自由软件的风险 信息安全事件的构成 信息安全事件的构成 如果发生信息安全问题 技术往往落后于风险的出现 在计算机病毒与病毒防治软件的对抗过程中，经常是在一种新的计算机病毒出现并已经造成大量损失后，才能开发出查杀该病毒的软件。 技术管理不当，带来新风险 即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。 例如，虽然在网络边界设置了防火墙，但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因，防火墙的配置出现严重漏洞，其安全功效将大打折扣。 再如，虽然引入了身份认证机制，但由于用户安全意识薄弱，再加上管理不严，使得口令设置或保存不当，造成口令泄漏，那么依靠口令检查的身份认证机制会完全失效。 信息安全不是单纯的技术问题 信息安全是组织的一个业务问题，需要管理的承诺和支持 信息安全技术并不能解决所有的安全问题 信息安全要从多方面进行管理: 人员 物理安全 网络安全 业务持续性 知识产权 …… 早期 重安全技术，忽略人和制度-信息安全产品越堆越高 头痛医头，脚痛医脚-不成体系 重外部安全，轻内部安全 Control from arrangement guard 控制 = 增加人员 信息安全保障的三