信息安全管理培训教材.ppt

恶意代码防范策略 1. 所有计算机必须部署指定的防病毒软件 2、防病毒软件必须持续更新 3、感染病毒的计算机必须从网络中隔离直至清除病毒 4、任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 5、发生任何病毒传播事件，相关人员应及时向IT管理部门汇报 …… 信息安全管理的几个关注点 物理安全 第三方安全 内部人员安全 重要信息的保密 介质安全 口令安全 信息交换及备份 漏洞管理与恶意代码 应急与业务连续性 法律和政策 安全事件管理要点 1.事先制定可行的安全事件响应计划 2.建立事件响应小组，以管理不同风险级别的安全事件 3.员工有责任向其上级报告任何已知或可疑的安全问题或违规行 为，必要时，管理层可决定引入法律程序 4.做好证据采集和保留工作 5.应提交安全事件和相关问题的定期管理报告，以备管理层检查 6.应该定期检查应急计划的有效性 业务连续性管理基本原则 业务连续性的基本原则是： (一)切实履行社会责任，保护客户合法权益、维护金融秩序；? ? (二)坚持预防为主，建立预防、预警机制，将日常管理与应急处臵有效结合；? ?? (三)坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；? ?? (四)坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。 信息安全管理的几个关注点 物理安全 第三方安全 内部人员安全 重要信息的保密 介质安全 口令安全 信息交换及备份 漏洞管理与恶意代码 应急与业务连续性 法律和政策 银行业相关法规要求 主要依据： – 《商业银行信息科技风险管理指引》 – 《电子银行业务管理办法》 – 《电子银行安全评估指引》 – 主管部门各类通知、文件 ? 参考依据： – 《商业银行风险监管核心指标（试行）》 – 《商业银行内部控制指引》 – 《商业银行操作风险管理指引》 – 《中国银行业实施新资本协议指导意见》 ? 补充： – 《网上银行系统信息安全保障评估准则》 – ISO27000系列 直接相关 间接相关 通用标准/规范 要点总结 加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用Internet、EMAIL、QQ 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告 知识回顾Knowledge Review 等保5级划分 第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 等保5级划分 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害 ,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级 信息系统受到破坏后,会对国家安全造成特别严重损害；信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。 等保测评过程中突出的问题 问题1 个别网络逻辑区域划分不合理，生产网和办公网混在一起 问题2 使用Telnet方式远程管理网络设备和安全设备，登录设备的用户名、口令在网络中明文传输。 问题3 数据库\操作系统密码策略不符合要求，如弱口令，并且没有设置登录失败的处理措施。 问题4 部分应用系统业务用户口令的长度、复杂度、更换周期、管理账户登录失败次数等限制功能较弱，无法对身份鉴别策略进行配置。 等保测评过程中突出的问题 问题5 机房内没有部署防盗报警装置。 问题7 没有对关键岗位的人员进行全面、严格的安全审查和技能考核或考核结果没有归档保存。 问题8 重要员工之间没有形成相互制约关系。 问题6 视频监控记录保存时间较短。 主要内容 信息安全管理介绍 1 信息系统等级保护工作 2 如何做好信息安全工作 3 技术手段 物理安全：环境安全、设备安全、媒体安全 系统安全：操作系统及数据库系统的安全性 网络安全：网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全：Email安全、Web