信息安全管理框架v10.pptx

信息安全管理框架Information Security Management Framework;信息安全发展趋势及整体分析（一）;信息安全发展趋势及整体分析（二）;信息安全发展趋势及整体分析（三）;信息安全发展趋势及整体分析（四） ;信息安全发展趋势及整体分析（五） ;轨道交通信息安全事件分析与探讨;7.23动车追尾事件;7.23动车追尾事件;XX市公交卡破解事件;北京地铁“王鹏你妹”;北京地铁“王鹏你妹”;信息安全治理框架;什么是信息安全;信息安全的基本目标 信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。;（1）可用性（Availability）： 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 （2）完整性（Integrity）： 确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 （3）保密性（Confidentiality）： 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。;信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。;18;19;20;21;22;23;在组织层面 – 承诺 在法律层面 – 遵守 在操作层面 – 风险管理 在商业层面 – 信誉和信心 在财务层面 – 降低成本 在人力层面 – 提高员工意识;风险Risk 一种可能性，威胁利用资产的脆弱性，并造成资产的损害或损失。 威胁Threat 可能导致不期望事件的潜在原因，该不期望事件可能导致系统或组织受损 脆弱点Vulnerability 一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。;26;威胁元素 代理：执行威胁的催化剂。 人力 设备 自然 动机：事物导致代理人采取行动。 偶然 故意 只有激励因素，既可以是偶然的和故意的是人 结果：所施加的威胁的结果。结果通常导致CIA的损失 机密性 完整性 可用性;员工 外部各方 安全问题认识不足 生长在网络和分布式计算 黑客工具和病毒的复杂性和效益的增长 自然灾害，例如。火灾，水灾，地震;29;30;31;32;业务 业务就是为了达成某种目的或者结果需要处理的事务. 业务风险 指在处理事务过程中所面临的影响业务正常运行中的威胁所带来的影响。业务的风险来源于业务的每个环节中的入口和出口，包括业务流程、业务逻辑关系以及业务过程的成熟度。 业务是一个组织的灵魂，没有业务对于组织而言也就失去了生命，业务流程如同一个人的大动脉，承载着全身的血液的输送，没有流程的业务如同一条没有水的河流。分析业务流程实际上是整个业务评估的关键。;业务构成要素;业务评估是以业务为主线,涉及业务流程、组织架构、业务IT、用户、第三方支撑等5大元素。;36;信息安全保障框架;信息系统生命周期安全管理策略;信息系统生命周期安全管理策略;信息系统生命周期安全管理策略;信息系统生命周期安全管理策略;信息系统生命周期安全管理策略;信息系统生命周期安全管理策略;信息安全工程项目管理;交流与讨论Exchange and Discussion;信息安全管理体系;47;48;49;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;54;55;56;57;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;新标准正文部分架构变化 内容新调整 核心内容变化 附录A变化 控制项的增删与调整;70;71;72;73;控制项的增删与调整;管理策略;组织与人员;组织与人员;组织与人员;资产分类;信息分级管理;信息标识管理示例;配置与运行;网络信息安全域与通信安全;异常事件与审计;物理与环境;物理与环境;物理与环境;开发与维护;业务连续性保障;业务连续性保障;业务