ISO27001-2013信息安全管理体系培训.ppt

Presentation Title * Presentation Title * Presentation Title * Presentation Title * [场景] 2004年春节后上班的第一天，某集团公司北京信息中心的网络管理员，打开了节日期间关闭的邮件服务器，刚上班的员工们都忙着下载和浏览积压的邮件，他们没有想到一场灾难正慢慢逼近，由于刚打开的邮件服务器的防病毒软件没有即时更新病毒库，邮件中夹带的病毒迅速泛滥，很快就使网络及服务器无法正常工作，信息中心主任带领手下5、6名管理员进行了为期一周的杀毒拉锯战，最终还是成为了病毒的手下败将，在没有办法的情况下，只好把所有的服务器格式化，重新安装服务器操作系统与应用软件。信息中心主任感慨地说“要是早制定了即时更新的防病毒策略，并严格遵守，就不会吃这么大的苦头了!...” Presentation Title * Presentation Title * Presentation Title * Presentation Title * Presentation Title * Presentation Title * [小故事] 一艘载着船员和士兵的寻宝船在大海中游弋，海面波涛汹涌，大雾弥漫，储存的食品和淡水已经不多了。船员和士兵对海船的航向产生了争执。士兵们认为海船应该赶紧向南靠岸，补充粮食与淡水，不要再往希望渺茫的东方前进了，弄不好宝藏没找到，反倒把大家的命都搭上。船员们认为眼看宝藏就在眼前，如果此时向南，就不可能到达东方宝岛，使得几年的辛苦前功尽弃。船员们相信，凭着他们丰富的航海经验，是可以渡过难关抵达目的地的。这时船员的头领(船长)和士兵头领(将军)为此剑拔弩张，将军认为他有佩剑，海船应该向佩剑指点的方向前进；船长认为在大海上，一切都应该听船长的而不是将军的。最后将军妥协了，同意海船继续向东航行。就在离宝岛不远的地方，双方又发生了争执：将军认为应该穿过海峡直抵宝岛，以节省时间，增加生存的希望。而船长这时认为海峡里风浪太大，应该绕行抵达。这次，将军不再听从船长，而是用佩剑胁迫船长向海峡挺进。结果，船行驶到海峡中央，被迎头的巨浪掀翻，船员在士兵都在风险中沉没了。 ? 从某种意义上说，企业就象是在大海里漂泊的海船，它必须随着环境的变化调整自己的航向。首先必须选择去往什么目标，是安全的海岸还是充满财富的宝岛？其次，它必须选择通向目标的路线、途径或者方式，是直接抵达还是绕行，是节省时间还是追求安全？最后，它必须选择实现目标与应用手段的决策机制：是船长说了算还是将军说了算？如果发生分歧，应该用什么方式解决？可惜的是，上面的这个小故事中，由于治理机制没有建立好，尽管海船的航行方向可能没有错，但还是在即将到达的时候翻船了。 这个小故事中的道理同样适用于组织中的信息安全管理，组织要达到对信息安全的有效保护，首先要确定安全方向，这是我们上一期中所谈论的ISO17799第一个管理控制领域是“信息安全政策”，信息安全政策所包含的方针与策略就是信息安全管理的目标与方向；ISO17799第二个管理控制领域是“信息安全组织”，主要讲信息安全需要一种什么的组织结构与功能才能协调、监控安全目标的实现；第三到第十一个管理控制领域描述如何实现信息安全管理的最佳实践。 Presentation Title * Presentation Title * Presentation Title * Presentation Title * 根据《光明日报》2004年2月9日的统计数字，国内2003年电子政务信息安全市场规模超过5亿元，金融信息化安全市场规模约有4.5亿元，电信行业信息安全市场规模不低于10亿元，石化、电力、交通运输、制造、教育、卫生等行业和个人市场的安全市场规模约有近10亿元。从2003年的总共将近30亿元市场情况看，防火墙、防病毒、入侵检测系统、虚拟专用网设备等占了整个安全产品市值的绝大部分，企业花费在信息安全管理、咨询、安全意识、培训、教育方面的费用微乎其微。 从统计数据我们可以分析出，目前在用户中普遍比较流行的信息资产保护观点是：通过部署防病毒软件、防火墙及入侵检测系统等边界保护与检测设备来保护储存在计算机中的数据资产免受非法入侵。　　 然而信息资产真的只是储存在计算机中的数据吗？ 英国泰晤士报曾对企业中知识的储存方式做了一个调查，结果发现在一个企业的知识结构中，26%的知识以纸质文件的形式储存，20%的知识以电子文件存储，42%的知识储存在员工的头脑中，12%以其他形式存在。 Ernst & Young在2002年经过调查发现：国家政府和军队信息受到的攻击70%来自外部，而银行和企业信息受到的攻击70%来自于内部。中国国家信息安全测评认证中心提供的调查结果也得出了相似的结论。 这