ISO27001信息安全管理体系培训基础知识.ppt

应用与业务管理 对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。 数据/文档/介质管理 采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的安全。 项目工程管理 保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。 运行维护管理 保护信息系统在运行期间的安全，并确保系统维护工作的安全。 业务连续性管理 通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。 合规性管理 确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定和标准得到了遵循。 信息安全管理体系构成--管理内容 ISMS实施控制重点--ISMS构成管理内容 第三十页，编辑于星期二：十三点 三十二分。 信息安全管理体系PDCA模型 采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS 第三十一页，编辑于星期二：十三点 三十二分。 信息安全管理体系PDCA模型 PDCA模式 步骤 方法 定义范围 根据组织业务特征、地理位置、资产、技术等确定 ISMS的范围。 定义方针 方针是信息安全活动的总方向和总原则，是建立目 标的框架，应考虑业务、合同安全义务和法律法规 要求。 确定风险评估的方法 识别适用的风险评估方法，确定风险接收准则，识 别可接受的等级。 策划 识别风险 识别ISMS范围内的资产、资产的威胁、脆弱点以 及机密性、完整性、可用性损失的影响。 评估风险 评估安全失效可能造成的影响，评估安全失效发生 的可能性，估计风险等级以及风险是否可接受。 识别并评估风险处理的措施 包括控制、规避、转嫁风险，接受残余风险。 信息安全管理体系PDCA模型—方法 第三十二页，编辑于星期二：十三点 三十二分。 信息安全管理体系（ISMS）基础知识培训 第一页，编辑于星期二：十三点 三十二分。 目录 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述 信息安全管理体系（ISMS）标准介绍 信息安全管理体系（ISMS）实施控制重点 目录 第二页，编辑于星期二：十三点 三十二分。 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述 信息安全管理体系（ISMS）标准介绍 信息安全管理体系（ISMS）实施控制重点 目录 第三页，编辑于星期二：十三点 三十二分。 什么是信息 信息通常指消息、情报、数据和知识等，在ISO/IEC27001标准中信息是指对组织具有重要价值，可以通过多媒体传递和存储的一种资产。 什么是信息 第四页，编辑于星期二：十三点 三十二分。 什么是信息 什么是信息安全 为什么实施信息安全管理 如何实施信息安全管理 信息安全管理体系（ISMS）概述 信息安全管理体系（ISMS）标准介绍 信息安全管理体系（ISMS）实施控制重点 第五页，编辑于星期二：十三点 三十二分。 什么是信息安全 信息安全的作用是保护信息业务涉及范围不受威胁所干扰，使组织业务畅顺，减少损失及增大投资回报和商机。在ISO/IEC27001标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。 什么是信息安全 第六页，编辑于星期二：十三点 三十二分。 什么是信息安全--信息的机密性 信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。 什么是信息安全—信息的机密性 第七页，编辑于星期二：十三点 三十二分。 什么是信息安全—信息的完整性 信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指信息处理方法的正确性，信息备份、系统恢复、销毁等处理不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。 什么是信息安全—信息的完整性 第八页，编辑于星期二：十三点 三十二分。 什么是信息安全—信息的可用性 信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影