信息安全管理体系教材.pptx

信息安全管理体系;培训大纲;信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台（如硬件、网络、系统）的复杂性与脆弱性 行动的远程化使安全管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁 ;层出不穷网络安全事件 全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。 公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于未修补或防范软件漏洞所导致。 据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。 据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。;商业间谍无孔不入 在走向现代市场经济的过程中，由于利益多元化格局的形成和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速增加。 根据美国对本国1500家公司的调查，有1300家公司承认，它们对国外的竞争对手进行了间谍活动。据估计，美国企业每年投资在经济、科技情报方面的费用高达300亿美元。 许多大公司设立专门的竞争情报部门，建立企业竞争情报系统，进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化，而且具有对环境的“早期预警”功能。;商业机密泄露使企业遭受损失 2004年的一项调查显示，名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元，平均 每家公司每年发生2.45次泄密事件，损失超过50万美元。 景泰蓝、宣纸、青蒿素 、维生??C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失，造成了无可挽回的影响。 思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。;信息安全损失的“冰山”理论 信息安全直接损失只是冰由之一角， 　　间接损失是直接损失是6－53倍 间接损失包括： 时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏 ;我国当前信息安全普遍存在的问题 忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立； 厂商主导的技术型解决方案为主，用户跟着厂商的步子走； 安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题； 重视安全技术，轻视安全管理，信息安全可靠性没有保证； 信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”； 信息安全人员变成“救火队员” … ;如何实现信息安全？ 信息安全＝反病毒软件＋防火墙＋入侵检测系统？ 管理制度？人的因素？环境因素？ Ernst Young及国内安全机构的分析： 国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一 ,只有35%的组织有持续的安全意识教育与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。;信息安全体系模型的演变 ISO 7498-2(GB/T 9387.2－1995) PDR 模型 PDRR 安全模型(P2DR2) IATF信息保障技术框架 信息安全管理体系ISMS;建立信息安全管理体系 对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效 信息安全遵循木桶原理 对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。;;BHTP模型的关键要素 业务与策略 根据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。 “保护业务，为业务创造价值”应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。 人员与管理 人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面