陕西电信信息安全管理培训.pptx

陕西电信信息安全管理培训;信息安全管理体系介绍;什么是信息安全;信息安全的基本目标 信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。;（1）可用性（Availability）： 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 （2）完整性（Integrity）： 确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 （3）保密性（Confidentiality）： 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。;信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。;7;信息安全管理体系;9;10;11;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;管理体系的4大要素;什么叫ISMS信息安全管理体系;什么是好的ISMS;实施ISMS的关键成功因素;重要提示;重要提示;重要提示;影响公司层面业务持续性的因素;BCM非常重要;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;ISO27001:2005标准说明;4. Information security management system;4.Information security management system;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.2信息安全管理系统之建立及管理;4.3文件要求;4.3文件要求;4.3文件要求;4.3文件要求;4.3文件要求;4.3文件要求;4.3文件要求;5.管理阶层责任;5.2资源管理;6.内部ISMS审计;6.内部ISMS审计;7.ISMS之管理阶层审查;7.ISMS之管理阶???审查;7.ISMS之管理阶层审查;8.ISMS之改进;8.ISMS之改进;8.ISMS之改进;62;63;64;65;66;67;在组织层面 – 承诺 在法律层面 – 遵守 在操作层面 – 风险管理 在商业层面 – 信誉和信心 在财务层面 – 降低成本 在人力层面 – 提高员工意识;新标准正文部分架构变化 内容新调整 核心内容变化 附录A变化 控制项的增删与调整;70;71;72;73;控制项的增删与调整;75;76;77;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;控制（39个目标，133个控制措施）;风险管理基础与风险评估务实;风险Risk 一种可能性，威胁利用资产的脆弱性，并造成资产的损害或损失。 威胁Threat 可能导致不期望事件的潜在原因，该不期望事件可能导致系统或组织受损 脆弱点Vulnerability 一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。;91;威胁元素 代理：执行威胁的催化剂。 人力 设备 自然 动机：事物导致代理人采取行动。 偶然 故意 只有激励因素，既可以是偶然的和故意的是人 结果：所施加的威胁的结果。结果通常导致CIA的损失 机密性 完整性 可用性;员工 外部各方 安全问题认识不足 生长在网络和分布式计算 黑客工具和病毒的复杂性和效益的增长 自然灾害，例如。火灾，水灾，地震;94;95;96;风险与风险评估;风险各相关要素;风险评估;;相关术语;风险评估流程;G