[信息与通信]03信息安全知识竞赛培训_ISO27001.ppt

BS7799的历史及发展 ISO17799/ISO27001 课程内容 什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法 什么是ISMS ISMS： Information Security Management System 信息安全管理体系 ISO9000-2000 术语和定义 组织 organization 职责、权限和相互关系得到安排的一组人员及设施, 如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。 管理 management 指挥和控制组织的协调的活动 体系 system 相互关联和相互作用的一组要素 管理体系 management system 建立方针和目标并实现这些目标的体系 管理学中的定义 管理 是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程。 ISMS定义 ISMS是： 在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。 信息安全目标应是可测量的 要素可能包括 信息安全方针、策略 信息安全组织结构 各种活动、过程 信息安全控制措施 人力、物力等资源 ……… 课程内容 安全管理背景 安然（ENRON），全球第一大能源交易商，2001年11月承认多年来非法虚报利润、隐藏债务和损失。2001年12月，申请破产。?? 世界通信公司（WORLDCOM），美国第二大长途电话和互联网数据传输公司，2002年6月承认多年来非法虚报虚增利润，同年7月，申请破产保护。?? 安达信（ANDERSEN），曾是全球收入总额最高且最有影响的会计师事务所和财务咨询公司。因为涉嫌造假的安然公司及世通公司提供财务保教审计，2002年6月，被裁定触犯妨碍司法罪。2002年8月底，安达信宣布停运。 工程师入侵北京移动充值中心 窃取密码获利370万 新的法规与规定 SOX对不同部门的影响程度 信息安全管理体系方法 ISMS的重要原则 PDCA循环（续） 又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序: P：计划，方针和目标的确定以及活动计划的制定； D：执行，具体运作，实现计划中的内容； C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题； A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。 过程方法定义 ISO9000-2000术语和定义 过程： 一组将输入转化为输出的相互关联或相互作用的活动。 过程方法 系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为“过程方法” 。 信息安全管理体系方法 ISMS的实现方法 建立ISMS框架 实施与运作ISMS 监控和评审ISMS 维护和改进ISMS 适应性声明SOA SOA描述机构要实现的控制目标和控制措施。对应不选的控制要给予说明。 SOA是一个文档，描述机构是如何控制风险的。因此，SOA不必过于详细。 SOA是证书的附件。也可以作为单独的文档提供给需要的外部机构和伙伴。 实施和运作信息安全管理体系 识别合适的管理行动和确定管理信息安全风险的优先顺序 实施风险处理计划以达到识别的控制目标 实施控制目标和控制措施 培训和意识 管理运作过程 管理资源 实施程序和其他有能力随时探测和回应安全事故的控制措施 监控和评审信息安全管理体系 执行监控程序和其他控制措施 进行常规的信息安全管理体系有效性的评审 评审残余风险和可接受风险的水平，考虑以下方面的变化 在计划的时间段内实施内部信息安全管理体系审核 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件 维护和改进信息安全管理体系 实施已识别的对于信息安全管理体系的改进措施 采取合适的纠正和预防措施 沟通结果和行动并得到所有参与的相关方的同意。 确保改进行动达到了预期的目标 关键成功因素 安全方针、目标和活动反应组织业务目标 实施安全的方法与组织的文化相一致 管理层明显的支持和承诺 充分理解安全要求、风险评估及风险管理 …… 课程总结 什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法 各组请确定自己的业务范围。 第二步 制订信息安全方针 包含建立目标框架和信息安全活动建立整体的方向和原则； 考虑业务及法律法规的要求，及合同的安全义务； 建立组织战略和风险管理，建立和维护信息安全管理体系； 建立风险评价的标准和风险评估定义的结构； 经管理层批准 文件化 建立ISMS框架 注意事项 简单明了 易于理解 可