信息安全知识竞赛培训 ISO课件.ppt

* * * * * * * 各组请确定自己的业务范围。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第二步 制订信息安全方针 包含建立目标框架和信息安全活动建立整体的方向和原则； 考虑业务及法律法规的要求，及合同的安全义务； 建立组织战略和风险管理，建立和维护信息安全管理体系； 建立风险评价的标准和风险评估定义的结构； 经管理层批准 文件化 建立ISMS框架 注意事项 简单明了 易于理解 可实施 避免太具体 第二步 制订信息安全方针 建立ISMS框架 第三步 风险评估 组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。 ISO27001[4.2.1]c、d、e对ISMS的要求： 建立ISMS框架 是否执行了正式的和文件化的风险评估？ 是否经过一定数量的员工验证其正确性？ 风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？ 风险评估是否定期和适时进行？ 第三步 风险评估 建立ISMS框架 第四步 风险管理 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。 ISO27001[4.2.1]f、g、h对ISMS的要求: 建立ISMS框架 根据风险评估的结果，选择风险处置的建议，和选择风险控制的方法，将组织面临的风险控制在可以接受的范围之内。 第四步 风险管理 建立ISMS框架 安全问题 安全需求 控制目标 控制措施 解决 指出 定义 被满足 第四步 风险管理 选择控制措施的示意图 建立ISMS框架 风险的处置是否恰当？ 控制目标和措施的选择是否能够满足风险评估的要求？ 选择的可接受风险是否符合法律、法规与合同的要求？ 第四步 风险管理 建立ISMS框架 选择的控制措施是否建立在风险评估的结果之上？ 是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？ 选择的控制措施是否反应了组织的风险管理战略？ 针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择 第四步 风险管理-选择控制目标和控制措施 建立ISMS框架 未选择某项控制措施的原因 风险原因- 没有识别出相关的风险 财务原因- 财务预算的限制 环境原因- 安全设备、气候、空间等 技术- 某些控制措施在技术上不可行 文化- 社会环境的限制 时间- 某些要求目前无法实施 其它- ？ 第四步 风险管理-选择控制目标和控制措施 建立ISMS框架 第五步 管理层的批示 管理层批准建议的残余风险 获得管理层授权实施和运行ISMS。 ISO27001对ISMS的要求： 建立ISMS框架 第六步 准备适用声明 适用性声明，提供了一份考虑风险处理结果的摘要，被排除的选项需反复确认以保证不会忽略任何控制。 ISO27001对ISMS的要求： 选择控制目标与控制措施以及被选择的原因 正在实施的控制目标和控制措施 被排除的控制目标和控制措施以及被排除的理由。 建立ISMS框架 在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。 未来实现公司ISMS 适用声明 第六步 准备适用声明 建立ISMS框架 适应性声明SOA SOA描述机构要实现的控制目标和控制措施。对应不选的控制要给予说明。 SOA是一个文档，描述机构是如何控制风险的。因此，SOA不必过于详细。 SOA是证书的附件。也可以作为单独的文档提供给需要的外部机构和伙伴。 实施和运作信息安全管理体系 识别合适的管理行动和确定管理信息安全风险的优先顺序 实施风险处理计划以达到识别的控制目标 实施控制目标和控制措施 培训和意识 管理运作过程 管理资源 实施程序和其他有能力随时探测和回应安全事故的控制措施 监控和评审信息安全管理体系 执行监控程序和其他控制措施 进行常规的信息安全管理体系有效性的评审 评审残余风险和可接受风险的水平，考虑以下方面的变化 在计划的时间段内实施内部信息安全管理体系审核 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件 维护和改进信息安全管理体系 实施已识别的对于信息安全管理体系的改进措施 采取合适的纠正和预防措施 沟通结果和行动并得到所有参与的相关方的同意。 确保改进行动达到了预期的目标 关键成功因素 安全方针、目标和活动反应组织业务目标 实施安全的方法与组织的文化相一致 管理层明显的支持和承诺 充分理解安全要求、风险评估及风险管理 …… 课程总结 什么是ISMS 为什么建ISMS ISMS的重要原则 ISMS的实现方法 问题