信息安全管理基础.pptxVIP

第1页/共213页信息安全管理基础第2页/共213页内容目录信息安全概述风险评估与管理ISO27001简介信息安全管理实施细则信息安全管理体系规范信息安全管理体系认证总结和展望第3页/共213页我们的目标理解信息、信息安全和信息安全管理理解信息安全风险评估与风险管理理解ISO27001标准本身的条款内容掌握一种实施ISMS的方法和途径了解ISO27001认证的完整过程用ISO27001指导企业进行信息安全的各项活动第4页/共213页信息安全概述风险评估与风险管理ISO27001简介信息安全管理实施细则信息安全管理体系规范信息安全管理体系认证总结和展望第5页/共213页信息安全概述什么是信息？第6页/共213页信息安全概述什么是信息？有价值的内容 —— ISO9000 消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护Information第7页/共213页信息安全概述企业信息安全管理关注的信息类型内部信息客户信息共享信息组织不想让其竞争对手知道的信息顾客/客户不想让组织泄漏的信息需要与其他业务伙伴分享的信息第8页/共213页创建使用存 储传递更改销毁信息安全概述信息的处理方式第9页/共213页信息安全概述什么是信息安全？第10页/共213页信息安全概述什么是信息安全？ 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。第11页/共213页信息安全概述信息安全的发展历史20世纪80年代末以后 互联网技术飞速发展，信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障（Information Assurance），从整体角度考虑安全体系建设 美国的IATF规范 60年代到80年代 计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全，即INFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准20世纪60年代前 电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全，即COMSEC 第12页/共213页ConfidentialityIntegrityAvailability信息安全概述信息安全基本目标第13页/共213页信息安全概述企业重大泄密事件屡屡发生第14页/共213页信息安全概述敏感信息遭受篡改也会导致恶劣后果第15页/共213页信息安全概述破坏导致系统瘫痪后果非常严重第16页/共213页泄漏D篡改A破坏Disclosurelterationestruction信息安全概述C.I.A.和D.A.D.保密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 C完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。IA可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：第17页/共213页信息安全概述Integrity 完整性Confidentiality 机密性Availability 可用性第18页/共213页信息安全概述其他概念和原则 私密性（Privacy）—— 个人和组织控制私用信息采集、存储和分发的权利。 身份识别（Identification）—— 用户向系统声称其真实身份的方式。 身份认证（Authentication）—— 测试并认证用户的身份。 授权（Authorization）—— 为用户分配并校验资源访问权限的过程。 可追溯性（Accountability）—— 确认系统中个人行为和活动的能力。 抗抵赖性（Non-repudiation）—— 确保信息创建者就是真正的发送者的能力。 审计（Audit）—— 对系统记录和活动进行独立复查和审核，确保遵守性第19页/共213页信息安全概述信息安全的重要性 信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、