《CISM培训课件》信息安全管理基础.pptx

信息安全管理基础;课程内容;知识体：信息安全管理基础和方法;信息安全管理相关概念;信息与信息安全;哪些信息需要“安全”;信息、信息安全;管理、信息安全管理;管理与信息安全管理;信息安全管理;信息安全管理;知识体：信息安全管理基础和方法;如何理解信息安全管理侧重点;信息安全管理;信息安全管理;知识体：信息安全管理基础和方法;信息安全管理的需求;18;19;信息安全管理的2/8原则;21;信息安全“技管并重”的原则;知识体：信息安全管理基础和方法; 技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全 根本上说，信息安全是个管理过程，而不是技术过程; 信息安全事件不断增加 病毒、木马事件 挂马网站、钓鱼网站 拒绝服务攻击等 系统漏洞呈快速增长趋势 操作系统漏洞 应用软件漏洞;电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化的后腿。这是发展的需要，是大势所趋。;实施信息安全管理的关键成功因素;实施信息安全管理的关键成功因素(CSF);知识体：信息安全管理基础和方法;安全风险要素;安全风险的基本概念;安全风险的基本概念;安全风险的基本概念;安全风险的基本概念;控制措施分类;安全风险要素之间的相互关系;知识体：信息安全管理基础和方法;什么是风险管理;通用风险管理定义;为什么要做风险管理;风险评估是信息安全管理的基础;风险处置是信息安全管理的核心;风险管理是信息安全管理的根本方法;知识体：信息安全管理基础和方法;管理体系相关概念;管理体系;管理体系;信息安全管理体系;信息安全管理体系;信息安全管理体系;BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革;;53;54;55;56;57;58;（ISMS）家族（27000系列）;信息安全管理体系的特点;过程方法示意图;;;PDCA循环;65; PDCA循环，能够提供一种优秀的过程方法，以实现持续改进。 遵循PDCA循环，能使任何一项活动都有效地进行。;信息安全管理体系持续改进的PDCA循环过程;ISMS的核心内容可以概括为4句话 规定你应该做什么并形成文件 ：P 做文件已规定的事情 ：D 评审你所做的事情的符合性 ：C 采取纠正和预防措施，持续改进 ：A ;信息安全管理过程方法的作用;信息安全管理过程方法的结构;信息安全管理体系建立;P1-定义ISMS范围;ISMS范围;P2-定义ISMS方针;P7-为处理风险选择控制目标和控制措施;风险处置示例表;P8-获得管理者对建议的残余风险的批准;P10-准备适用性声明（SoA）;适用性声明（SoA）示例;ISMS建立阶段成果;81;ISMS建立阶段成果示例;ISMS建立阶段成果示例;信息安全管理体系实施和运行;风险处置计划示例;信息安全管理体系试运行;信息安全管理体系监视和评审;常用的检查措施－１：;常用的检查措施－２：;内部审核 -审核计划示例;内部审核 -审核计划示例;内部审核 -检查表示例;管理评审 -管理评审计划示例;管理评审 -管理评审计划示例;信息安全管理体系保持和改进;A1-实施已识别的ISMS改进措施;不符合项示例;A2-执行纠正和预防措施;纠正和预防措施示例;A3-从安全经验和教训中学???;A4-与相关方沟通ISMS的措施和改进情况;知识体：信息安全管理基础和方法;信息安全等级保护;等级保护标准族的五级划分;信息安全等级保护法规政策体系;信息安全等级保护标准;等级保护标准;信息安全等级保护;信息安全等级保护政策-定级 备案;信息安全等级保护政策-安全建设整改;信息安全等级保护政策-等级测评;信息安全等级保护政策–检查;信息安全等级保护测评检查周期;114;安全保护能力;等级保护基本要求;安全要求类;等级保护技术要求;等级保护技术要求—物理安全;等级保护技术要求-网络安全;等级保护技术要求-主机安全;等级保护技术要求-应用安全;等级保护技术要求-数据安全;等级保护管理要求;等级保护管理要求-安全管理机构;等级保护管理要求-安全管理制度;等级保护管理要求-人员安全管理;等级保护管理要求-系统建设管理;等级保护管理要求-系统运维管理;谢谢，请提问题！