27001信息安全管理体系简介-文档资料.pptVIP

什么是信息？; 信息的类型; 什么需要保护？;信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司;盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在2019年由电脑失窃而造成的损失超过460亿英镑。 INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。 电 脑 入 侵：电脑骇客入侵每年以45%的速率在增长。 电 子 邮 件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。 病 毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。 Source:Worldtalk Corporation E-mail surveillance programme. Computer weekly 2019/09/19 ;安全风险 法律和合约的需求 内部的原则，目标和需求 从收集控??方式与适当的需求等级开始！; ISMS发展历史; ISO17799/BS7799 Structure;Confidentiality 保密性 Integrity 完整性 Availability 可用性; ISO17799/BS7799 定义信息安全如下： 保密性：确保只有被授权的人员才能操作信息 完整性：确保信息的完整和正确 可用性：确保信息在需要时随时可以获得;管理者的承诺- 方针＆目标 组织，包含定义职责 系统结构 程序 文件管制;风险评估与适用性声明 选择适宜的控制 安全目标实现的验证 安全产品正确执行的验证 坚持程序作业的验证;风险评估 业务持续计划 两个阶段的认证;ISO17799/BS7799 Part 1- 信息安全管理实施规则 ISO17799/BS7799 Part 2- 信息安全管理体系规范 ;Chapter ⒈范围 Chapter ⒉术语和定义 Chapter ⒊安全方针 Chapter ⒋组织安全 Chapter ⒌资产分类和控制 Chapter ⒍人员安全 ; 信息安全管理体系需求： 10项控制细则 36个控制目标 127个控制方式 ; Chapter ⒈范围 Chapter ⒉术语和定义 Chapter ⒊信息安全管理体系要求 Chapter ⒋控制细则（与第一部份对应）;4． 1安全方针 4．2组织安全 4．3资产分类和控制 4．4人员安全 4．5实物和环境安全 ; 信息安全管理体系的实施; 风险评估和风险管理; 第一部份-章节; c:cure 标志; 认证流程