ISMS信息安全管理与控制培训.ppt

;;ISO27001背景介绍;ISO27001背景介绍;ISO27001背景介绍;ISO/IEC27001：2005标准内容;ISMS信息安全管理系统;;ISMS信息安全管理系统;ISMS信息安全管理系统;ISMS信息安全管理系统;ISMS信息安全管理系统;ISMS信息安全管理系统;;;;;;;;保密性Confidentiality：　 信息不能被未授权的个人、实体或者过程利用或知悉的特性。 完整性Integrity 　　保护资产的准确和完整的特性。 可用性Availability： 　　根据授权实体的要求可访问和利用的特性;信息资产根据其在保密性(C)、完整性(I)、可用性(A)三个属性所表现出的不同的重要程度，分为很低(赋值0)、低(赋值1) 、中(赋值2) 、高(赋值3) 、很高(赋值4)五级。 资产评估的结果填写在《资产识别与评估表》中。 信息资产的价值取其C、I、A三个特性中最高的一个，价值大于2的信息资产为重要信息资产，对所有的重要信息资产必须进行风险评估。;各部门识别完资产后，参考《风险评估与处理表》中“弱点清单”，识别资产的弱点，并对弱点被利用的严重程度进行评价。 弱点的严重性取值为低(1)、中(2)、高(3)、很高(4)。 弱点被利用的严重性赋值结果记录在《风险评估与处理表》中。;各部门识别完资产的弱点后，参考《风险评估与处理表》中“威胁清单”，识别资产的威胁，并对威胁发生的可能性进行评价。 威胁发生的可能性取值为低(1)、中(2)、高(3)、很高(4)。 在评估威胁发生的可能性时，应先识别现有的控制措施，结合现有的安全控制措施、威胁利用的资产自身的薄弱点来综合考虑，并将评价结果记录在《风险评估与处理表》中。;风险值 = 信息资产价值× 威胁可能性 × 弱点严重性 其中：信息资产价值 = MAX( C, I, A)。 根据计算得出的风险值划分风险等级标准为： 对于4级和3级风险，须采取控制措施； 对于2级风险，可选择性采取控制措施； 对于1级风险，认为是可接受的风险，不作进一步处理。 ;对于需要采取措施来控制风险的，一般会有四种处理策略：(1)转移风险； (2)规避风险；(3)消减风险；(4)接受风险。结合信息安全管理体系标准的133个控制要素选择对应的控制项，将结果记录在《风险评估与处理表》中。; 各部门根据风险处理策略，制定风险处理措施，记录在《风险处理计划》中。;各部门应再次评价风险处理措施实施之后的风险，看风险值是否在可接受水平之下。对于不在可接受水平以内（风险值大于9）的风险，应填写《残余风险审批申请表》，及时汇报给管理层并经管理层确认。;各部门信息安全员汇总本部门整个风险识别及处理结果，提交到体系推行及审核组，由体系推行及审核组编写《风险评估报告》，详细汇报资产调查情况、识别的弱点、面临的威胁以及准备采取的一些风险控制措施及残余风险处理情况，并将《风险处理计划》作为此报告的附件一并上报管理者代表。;;公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财务信息等，确保重要资产不被泄露，各部门须根据重要资产分类制定相应的管理规定。;;;网络管理员负责制定网络安全规范和网络访问策略，并管理网络设备。 根据风险评估结果，网络管理员制定网络建设和维护方案。;;;;;;;;;系统的容量、变更、发布、配置管理由系统管理员负责，具体流程参考《内部IT系统运维规范》。 ;机房的安全管理从机房的日常环境监控、机房布线、异常事件处理、秩序管理及消防安全方面进行规定，由网络管理员全面负责，具体要求参考《机房管理制度》，全体员工须遵守制度中的要求。;;所有员工均有义务及时上报信息安全事件至事件响应小组，事件处理人填写《信息安全事件报告处理单》。报告机制按照公司《应急事件处理流程》规定执行。 ;信息安全的应急管理每年3月份由体系推行及审核组负责组织实施。 ;应急管理;运行检查;有效性测量;有效性测量;有效性测量;谢 谢！