信息安全管理体系（227页）.pptxVIP

信息安全管理体系

10-8月-24课前介绍课程目标课程安排课程内容注意事项学员介绍

10-8月-24课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤

10-8月-24课程安排课时:24H课程方法：讲授、小组讨论、练习

10-8月-24课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求

10-8月-24注意事项积极参与、活跃气氛守时保持安静有问题可随时举手提问

10-8月-241.信息安全基础知识1.1信息安全的基本概念1.2为什么需要信息安全1.3实践中的信息安全问题1.4信息安全管理的实践经验

10-8月-24请思考：什么是信息安全？1.1信息安全基本概念

10-8月-24什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等

10-8月-24小问题：你们公司的Knowledge都在哪里？信息在哪里？

10-8月-24什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会

10-8月-24信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。

10-8月-24信息本身信息处理设施信息处理者信息处理过程机密可用完整总结

10-8月-24请思考：组织为什么要花钱实现信息安全？1.2为什么需要信息安全

10-8月-24组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……

10-8月-24法律法规的要求计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定……

10-8月-24信息系统使命的要求信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。。。。

10-8月-24请思考：目前，解决信息安全问题，通常的做法是什么？1.3实践中的信息安全问题

10-8月-24“产品导向型”信息安全初始阶段，解决信息安全问题，通常的方法：采购各种安全产品，由产品厂商提供方案；Anti-Virus、Firewall、IDSScanner……组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门；更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……管理和服务跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描（Scanner）来代替风险评估有哪些不安全的因素（威胁、脆弱性）、信息不安