信息安全管理标准及规范-宋建华3.pptx

信息安全管理标准及规范;提 纲;一、信息安全管理体系;信息面临安全威胁;信息安全;保障信息安全的三大支柱;2017/6/21 Wednesday;信息安全法律法规;信息安全标准;信息安全管理;安全是个过程;安全层次体系结构;安全产品类型;信息安全管理体系ISMS;信息安全管理体系模型; 信息安全风险评估;2017/6/21 Wednesday;2017/6/21 Wednesday;资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。 ;2017/6/21 Wednesday;;威胁识别与评估 ;2017/6/21 Wednesday;脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。 ;脆弱性识别与评估 脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。 脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。 ;脆弱性识别与评估;脆弱性识别与评估 评估脆弱性需要考虑的因素 脆弱性的严重程度（Severity）； 脆弱性的暴露程度（Exposure），即被威胁利用的可能性P， 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为： 非常可能= 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。 ;2017/6/21 Wednesday; 信息安全风险识别与评估（四）;确认现有安全控制;2017/6/21 Wednesday; 信息安全风险识别与评估（五）;风险评价——风险度量常用方法 预定义价值矩阵法;2017/6/21 Wednesday; 信息安全风险识别与评估（六）;二、信息安全标准化分类及体系;标准分类;标准的三要素（对象、内容??级别）;我国标准工作归口单位;信息安全标委会工作组设置 ;2017/6/21 Wednesday;信息安全标准体系;三、ISO 27001国际标准及国标GB/T 22080-2016;国内标准; BS7799《信息安全管理标准》;ISO/IEC 27001;ISMS(信息安全管理系统)建设;ISO27001:2005标准内容;ISO 27001:2013标准的结构变化;ISO 27001:2013控制域的变化;实施ISO 27001信息安全管理体系的方法——PDCA模型;PDCA特点;PDCA特点(续);PDCA和ISMS的结合;ISO27001：2013标准正文内容简介;ISO27001 信息安全管理体系建设内容;ISO27001 信息安全管理体系建设(续);ISO27001 信息安全管理体系建设(续);ISO27001 信息安全管理体系建设(续);ISO27001 信息安全管理体系建设(续);ISO27001 信息安全管理体系建设(续);四、信息安全管理案例分析;武汉某银行信息安全管理体系;信息安全管理层次模型;信息安全管理职责划分;应急管理体系建设;信息安全管理规章制度建设;谢谢大家！