【精编】电信信息安全管理培训.ppt

陕西电信信息安全管理培训 2019年5月4日 信息安全管理体系介绍 第一天 什么是信息安全 3 防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。 信息安全的关键在于信息本身，而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。 信息安全的基本目标 信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。 什么是信息安全 机密性 可用性 完整性 4 （1）可用性（Availability）： 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 （2）完整性（Integrity）： 确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 （3）保密性（Confidentiality）： 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 什么是信息安全 5 信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。 什么是信息安全 6 7 信息安全管理概念 管理体系的持续改进 要求 要求被满足 管理职责 分析改进 产品实现 资源管理 输入 输出 信息安全管理体系 ISO 27001:2005简介 ISO/IEC 27001：2005与ISO/IEC 27001：2013差异对比 ISMS @ 组织 用户的责任 8 9 历史 BS 7799 BS 7799-1 BS 7799-2 ISO 27001 ISO 27002 1992年在英固首次作为行业标准发布，为信息安全管理提供了一个依据。 BS7799标准最早是由英固工贸部、英固标准化协会（BSI）组织的相关专家共同开发制定的 在1998年、1999年经过两次信订之后出版BS7799-1：1999和BS7799-2：1999。 2001年修订BS7799-2：1999，同年BS7799-2：2000发布。 2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。 ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。 2013年10月19日修订原版，正式使用ISO/IEC27001:2013版。 2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。 2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。 2007年上半年正式更名为ISO27002:2007。 2013年与ISO27001:2013版同步更新为ISO27002:2013. 10 现在与未来 ISO 27002:2007 Code of practice From ISO 17799 ISO 27003 Implementation Guide ISO 27001 November 2005 ISO 27000 November 2005 ISO 27004 Measurement Standard ISO 27005 Risk Management Standard From BS 7799-III ISO 27006 Requirements for Bodies providing audit Certification ISO/IEC 18004 Incident Management Standard SS 507 BC/ DR Standard (Singapore) ISO 17799 Jun 2005 守则 审核标准 BS 7799 – Part III Guidelines for IS Risk Management Dec 2005 ISO 13335 – IT security management 11 ISO 27000标准族 ISO27001:2005标准说明 BS7799：分