ISMS信息安全管理培訓(xùn)_第1頁
ISMS信息安全管理培訓(xùn)_第2頁
ISMS信息安全管理培訓(xùn)_第3頁
ISMS信息安全管理培訓(xùn)_第4頁
ISMS信息安全管理培訓(xùn)_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、2.ISO/IEC27001:2005標(biāo)準(zhǔn)內(nèi)標(biāo)準(zhǔn)內(nèi)容容3.ISMS信息安全管理系統(tǒng)信息安全管理系統(tǒng)4.信息安全的實施信息安全的實施1.ISMS的背景介紹的背景介紹5.資產(chǎn)安全管理資產(chǎn)安全管理6.機房管理機房管理7.法律合規(guī)性管理法律合規(guī)性管理8.信息安全管理事件信息安全管理事件9.應(yīng)急管理應(yīng)急管理10.運行檢查運行檢查11.有效性測量有效性測量ISO27001背景介紹BS7799ISO27001背景介紹ISO/IEC 27002(17799)ISO27001背景介紹ISO/IEC 27001:2005ISO/IEC27001:2005標(biāo)準(zhǔn)內(nèi)容nISO/IEC27001:2005包括11個方面,

2、39個控制目標(biāo),133個控制措施ISMS信息安全管理系統(tǒng)重點內(nèi)容重點內(nèi)容ISMS信息安全管理系統(tǒng)PDCAISMS信息安全管理系統(tǒng)PDCA與與ISMS的結(jié)合的結(jié)合重點章節(jié)重點章節(jié)ISMS信息安全管理系統(tǒng)ISMS信息安全管理系統(tǒng)信息安全管理體系信息安全管理體系ISMS信息安全管理系統(tǒng)信息安全管理體系信息安全管理體系ISMS信息安全管理系統(tǒng)信息安全管理體系信息安全管理體系ISMS信息安全管理系統(tǒng)信息安全管理體系信息安全管理體系ISMS信息安全管理系統(tǒng)信息安全管理體系信息安全管理體系管理職責(zé)管理職責(zé)ISMS信息安全管理系統(tǒng)ISMS內(nèi)審內(nèi)審ISMS信息安全管理系統(tǒng)ISMS管理評審管理評審持續(xù)改進持續(xù)改進

3、ISMS信息安全管理系統(tǒng)信息安全的實施資產(chǎn)的識別資產(chǎn)的識別信息安全的實施資產(chǎn)的分類資產(chǎn)的分類信息安全的實施資產(chǎn)的分類資產(chǎn)的分類信息安全的實施資產(chǎn)的分類資產(chǎn)的分類u保密性保密性ConfidentialityConfidentiality: 信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。u完整性完整性IntegrityIntegrity保護資產(chǎn)的準(zhǔn)確和完整的特性。u可用性可用性AvailabilityAvailability:根據(jù)授權(quán)實體的要求可訪問和利用的特性信息安全的實施信息安全三元組信息安全三元組 CIAu信息資產(chǎn)根據(jù)其在保密性(C)、完整性(I)、可用性(A)三個屬性所表現(xiàn)出的不同

4、的重要程度,分為很低(賦值0)、低(賦值1) 、中(賦值2) 、高(賦值3) 、很高(賦值4)五級。u資產(chǎn)評估的結(jié)果填寫在資產(chǎn)識別與評估表中。u信息資產(chǎn)的價值取其C、I、A三個特性中最高的一個,價值大于2的信息資產(chǎn)為重要信息資產(chǎn),對所有的重要信息資產(chǎn)必須進行風(fēng)險評估。信息安全的實施資產(chǎn)評估資產(chǎn)評估各部門識別完資產(chǎn)后,參考風(fēng)險評估與處理表中“弱點清單”,識別資產(chǎn)的弱點,并對弱點被利用的嚴(yán)重程度進行評價。弱點的嚴(yán)重性取值為低(1)、中(2)、高(3)、很高(4)。弱點被利用的嚴(yán)重性賦值結(jié)果記錄在風(fēng)險評估與處理表中。信息安全的實施評估弱點評估弱點弱點弱點是資產(chǎn)本身存在的某種缺陷,一旦被外部威脅所利用

5、,就可能使資產(chǎn)受到損害。各部門識別完資產(chǎn)的弱點后,參考風(fēng)險評估與處理表中“威脅清單”,識別資產(chǎn)的威脅,并對威脅發(fā)生的可能性進行評價。威脅發(fā)生的可能性取值為低(1)、中(2)、高(3)、很高(4)。在評估威脅發(fā)生的可能性時,應(yīng)先識別現(xiàn)有的控制措施,結(jié)合現(xiàn)有的安全控制措施、威脅利用的資產(chǎn)自身的薄弱點來綜合考慮,并將評價結(jié)果記錄在風(fēng)險評估與處理表中。信息安全的實施評估威脅評估威脅威脅威脅是利用弱點而侵害資產(chǎn)的外在因素。威脅大致是利用弱點而侵害資產(chǎn)的外在因素。威脅大致可分為人員威脅、系統(tǒng)威脅、環(huán)境威脅和自人員威脅、系統(tǒng)威脅、環(huán)境威脅和自然威脅然威脅等幾類,每一類里面都會有許多威脅形式。等幾類,每一類里

6、面都會有許多威脅形式。風(fēng)險值 = 信息資產(chǎn)價值 威脅可能性 弱點嚴(yán)重性其中:信息資產(chǎn)價值 = MAX( C, I, A)。根據(jù)計算得出的風(fēng)險值劃分風(fēng)險等級標(biāo)準(zhǔn)為:n對于4級和3級風(fēng)險,須采取控制措施;n對于2級風(fēng)險,可選擇性采取控制措施;n對于1級風(fēng)險,認為是可接受的風(fēng)險,不作進一步處理。信息安全的實施計算風(fēng)險值計算風(fēng)險值對于需要采取措施來控制風(fēng)險的,一般會有四種處理策略:(1)轉(zhuǎn)移風(fēng)險; (2)規(guī)避風(fēng)險;(3)消減風(fēng)險;(4)接受風(fēng)險。結(jié)合信息安全管理體系標(biāo)準(zhǔn)的133個控制要素選擇對應(yīng)的控制項,將結(jié)果記錄在風(fēng)險評估與處理表中。信息安全的實施采取措施采取措施各部門根據(jù)風(fēng)險處理策略,制定風(fēng)險處理

7、措施,記錄在風(fēng)險處理計劃中。信息安全的實施風(fēng)險處理計劃風(fēng)險處理計劃各部門應(yīng)再次評價風(fēng)險處理措施實施之后的風(fēng)險,看風(fēng)險值是否在可接受水平之下。對于不在可接受水平以內(nèi)(風(fēng)險值大于9)的風(fēng)險,應(yīng)填寫殘余風(fēng)險審批申請表,及時匯報給管理層并經(jīng)管理層確認。信息安全的實施評價殘余風(fēng)險評價殘余風(fēng)險各部門信息安全員匯總本部門整個風(fēng)險識別及處理結(jié)果,提交到體系推行及審核組,由體系推行及審核組編寫風(fēng)險評估報告,詳細匯報資產(chǎn)調(diào)查情況、識別的弱點、面臨的威脅以及準(zhǔn)備采取的一些風(fēng)險控制措施及殘余風(fēng)險處理情況,并將風(fēng)險處理計劃作為此報告的附件一并上報管理者代表。信息安全的實施匯報結(jié)果匯報結(jié)果固定資產(chǎn)的安全管理包括采購、入庫

8、、領(lǐng)用、出庫、調(diào)撥、盤點、維修等。具體參考固定資產(chǎn)管理制度。信息安全的實施資產(chǎn)管理資產(chǎn)管理公司的重要數(shù)據(jù)資產(chǎn)包括合同、標(biāo)書、客戶資料、公司業(yè)績數(shù)據(jù)、財務(wù)信息等,確保重要資產(chǎn)不被泄露,各部門須根據(jù)重要資產(chǎn)分類制定相應(yīng)的管理規(guī)定。資產(chǎn)安全管理重要數(shù)據(jù)資產(chǎn)安全重要數(shù)據(jù)資產(chǎn)安全重要數(shù)據(jù)資產(chǎn)安全重要數(shù)據(jù)資產(chǎn)安全資產(chǎn)安全管理人員安全人員安全資產(chǎn)安全管理36網(wǎng)絡(luò)管理員負責(zé)制定網(wǎng)絡(luò)安全規(guī)范和網(wǎng)絡(luò)訪問策略,并管理網(wǎng)絡(luò)設(shè)備。根據(jù)風(fēng)險評估結(jié)果,網(wǎng)絡(luò)管理員制定網(wǎng)絡(luò)建設(shè)和維護方案。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全資產(chǎn)安全管理網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全資產(chǎn)安全管理38網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全資產(chǎn)安全管理信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理信息系統(tǒng)安全信息

9、系統(tǒng)安全資產(chǎn)安全管理信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理系統(tǒng)的容量、變更、發(fā)布、配置管理由系統(tǒng)管理員負責(zé),具體流程參考內(nèi)部IT系統(tǒng)運維規(guī)范。信息系統(tǒng)安全信息系統(tǒng)安全資產(chǎn)安全管理機房的安全管理從機房的日常環(huán)境監(jiān)控、機房布線、異常事件處理、秩序管理及消防安全方面進行規(guī)定,由網(wǎng)絡(luò)管理員全面負責(zé),具體要求參考機房管理制度,全體員工須遵守制度中的要求。機房管理法律合規(guī)性管理所有員工均有義務(wù)及時上報信息安全事件至事件響應(yīng)小組,事件處理人填寫信息安全事件報告處理單。報告機制按照公司應(yīng)急事件處理流程規(guī)定執(zhí)行。信息安全事件管理信息安全的應(yīng)急管理每年3月份由體系推行及審核組負責(zé)組織實施。應(yīng)急管理應(yīng)急管理運行檢查有效性測量運營管理部負責(zé)有效性測量的組織和策劃,負責(zé)分析測量結(jié)果,編制并提交測量報告。有效性測量有效性測量n運營管理部對收集到的各種測量結(jié)果與信息安全管理體系的管控目標(biāo)進行對比,以此衡量體系的有效性。對管理目標(biāo)的達成情況,運營管理部負責(zé)每季度進行測量,對于分析結(jié)果提出改進建議,將具體情況記錄在信息安全管理體系季度工作報告中。n必要時根

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論