ISMS内审员培训课件.pptx

ISMS内审员培训课程;第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核;了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧;欢迎参加ISMS内审员课程培训 ;第一部分 信息安全基础知识; 了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005;信息是经过分析、共享和理解的数据。;信息的处理方式;企业管理关注的信息类型;雇员的大脑：42%； 纸质文件：26%； 电子文档：20% 其他：12%；;信息安全定义（部分）;信息安全定义;; 机密性 (Confidentiality) 完整性 可用性 （Integrity ） (Availability);信息安全的定义;信息安全的定义; Slide 18, rev 0;;Main regulations and standards: SOX: impact public companies and focus on financial information Gramm-Leach-Bliley: impact financial industry and focus on customer information HIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders. PCI DSS: impact pay card industry and focus on information of cardholders ISO27001: General standards ISO20000: focus on IT services industry Others: BaseII, SCANDA, CA1386, FISMA, NIST...; 信息具有重要的价值 信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁 信息及系统固有的脆弱性 信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在：不可避免的因素（技术局限、人的能力局限）、没有避免的因素（默认配置） 威胁客观存在 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等 ;网络为什么不安全; ;TCP/IP的每个层次都存在攻击;常规的防护技术措施;;北京市民抢购热情高 奥运售票系统瘫痪;诺顿误杀导致操作系统崩溃 数百万电脑面临灭顶之灾;2001年9月11日，恐怖份子袭击了纽约世界贸易中心，造成3栋塔楼倒塌，近3000人失踪和死亡。 Deutsche Bank 93年开始风险分析，并建立了一整套完整的业务连续性计???（BCP），以应对突发事件或灾难。 灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行。911后，员工和客户对德意志银行都更加有信心。 Bank of New York: 数据中心位于灾场附近， 通讯线路全部中断，造成连锁反应。 其第三季度的利润因此下降了33％。 ;9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。 据Gartner Group统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。;　　2006年2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案：UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程姓工程师，在任华为工程师时负责西藏移动等公司的设备安装工作。自2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。; 在随后4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。 　　2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的