信息安全管理体系培训教材

信息安全管理体系目录介绍ISO27001认证过程和要点介绍信息安全管理体系内容信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进通信公司员工泄漏内部信息获刑法制晚报：5家调查公司因非法经营被查，由此牵出了移动、联通的三名在职员工和两名离职员工——他们与调查公司勾结，将通话记录等信息透露给对方。吴晓晨利用担任联通公司北京市三区分公司广安门外分局商务客户代表的工作之便，获取大量公民个人信息后非法出售给调查公司，从中获利。案情供述： 联通公司吴晓晨：他帮调查公司查座机电话号码的安装地址，调查公司每个月固定给2000元，后来又让帮忙查电话清单。 2008年10月初，他索性自己成立了一个商务调查公司单干了。移动公司张宁：2008年原同事林涛找到他，让他查机主信息，修改手机密码。他一共帮查过50多个机主信息，修改过100多个手机客服密码。 只要提供给他机主姓名和手机号码，他就可以通过工作平台，将该人的个人信息调取出来，查出身份证号、住址和联系电话。 修改手机密码也是通过平台，只需要提供手机号码就行。修改完密码后，就可以通过自动语音系统调通话记录了，通话记录会传真到查询者的传真电话上。这比一个个地查完通话记录再给他们，更方便省事。其实这是通信公司的一个漏洞。朝阳法院以非法经营罪判处5人有期徒刑2年6个月至有期徒刑2年2个月清明小长假一政府网被篡改成黄色网站4月6日上午，有网友登录扬州市城乡建设局官方网站时吃惊地发现，网页竟然成了黄色网页！页面上充斥着衣着暴露的性感美女，搔首弄姿，十分不雅。“网站变成黄色网站的准确时间是3日，也就是清明小长假的第一天，因为放假，我们并没有发现。今天上午9点节后一上班，我们就发现了这个问题。”昨日，扬州市城乡建设局信息中心朱主任接受记者采访时表示，他们的网站确实被黑客袭击了，被挂上了木马。这次已是今年第二次遭黑客攻击，第一次是在今年1月下旬，情况跟这次类似。朱主任表示，他们一上班发现网站“被色情”后，一直忙着维护，到12点多钟恢复了正常。朱主任同时表示，他们的网站创建已经好几年了，比较老了，由于现在仍然缺乏相关的网络安全保护设备，所以网站两次遭到攻击。目前网站正在准备升级，在软件、硬件上都要投入，将网站代码进行升级，提高安全性。他还透露，今年内扬州市政府可能对政府各部门网站进行集中管理，进一步保障安全性。7天酒店数据库被盗在腾讯微博上，一个名为“××刺客”的用户发言称，“出售7天假日所有联网中心数据，附带会员注册个人信息，会员等级，开房信息，个人积分等全部数据。”同时该用户还留下了一个联系邮箱。记者通过网络查询后，得到了该用户的QQ号，在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员，想购买7天的会员数据库。在交流中，该黑客明确告诉记者他手中确实有数据库，会员总数在600万左右。当记者称愿意出价1000元购买时，该黑客在等待了几分钟后，称自己比较忙，不卖了。随后连续几天，该黑客的QQ头像始终处于离线状态，记者发出的10多条消息也无一回复。黑客通过SQL注入漏洞，入侵了服务器，并窃取了数据库。什么是信息？通常我们可以把信息理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件和软件关键人员组织提供的服务各类文档具有价值的信息资产面临诸多威胁，需要妥善保护。信息安全定义广义上讲领域——涉及到网络信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论本质上保护——网络系统的硬件，软件，数据防止——系统和数据遭受破坏，更改，泄露保证——系统连续可靠正常地运行，服务不中断两个层面技术层面——防止外部用户的非法入侵管理层面——内部员工的教育和管理信息安全金字塔审计管理加密访问控制用户验证安全策略信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全管理安全管理观点技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程基于风险 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制和处理安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。ISO27001发展历程（由BS7799演变而来）评估标准的发展历程信息安全的CIA目标保护信息的保密性、完整性和可用性——ISO17799目录1介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进ISO27001认证过程-11个Domain16目录介绍ISO27001认证过程和要点介绍信息安全管理体系准备-风险评估信息安全管理体系设计信息安全管理体系实施信息安全管理体系监控信息安全管理体系改进Plan阶段定义ISMS的范围（从业务、组织、位置、资产和技术等方面考虑）定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明（SoA）取得管理层对残留风险的承认和实施并操作ISMS的授权组织实现信息安全的必要的、重要的步骤了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据风险评估的目的评估与安全防护的关系风险管理全过程原理21识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估22对资产进行保护是信息安全和风险管理的首要目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。信息资产的存在形式有多种，物理的、逻辑的、无形的。信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、回退计划、归档等信息；软件资产：应用程序软件、系统软件、开发工具以及实用程序；实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、机房；书面文件：包含系统文件、使用手册、各种程序及指引办法、合约书等。人员：承担特定职能和责任的人员；服务：计算和通信服务，其他技术性服务，例如供暖、照明、水电、UPS识别信息资产识别并评估弱点23针对每一项需要保护的资产，找到其现实存在的弱点，包括：技术性弱点：系统、程序、设备中存在的漏洞或缺陷。操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。管理性弱点：策略、程序、规章 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 、人员意识、组织结构等方面的不足。弱点的识别途径：审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试对弱点的评估需要考虑其严重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。如果资产没有弱点或者弱点很轻微，就不存在风险问题。24识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，ThreatAgent）。威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）：人员威胁：故意破坏和无意失误系统威胁：系统、网络或服务出现的故障环境威胁：电源故障、污染、液体泄漏、火灾等自然威胁：洪水、地震、台风、雷电等威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。对威胁的评估，主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机（Motivation）和能力（Capability）等因素。识别并评估威胁25关于风险可接受水平决策者应该根据公司实际情况来确定风险可接受水平26降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。规避风险（AvoidRisk）——或者RejectingRisk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转移风险（TransferRisk）——也称作RiskAssignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。确定风险处理策略27依据风险评估的结果来选择安全控制措施。选择安全措施（对策）时需要进行成本效益分析（cost/benefitanalysis）：基本原则：实施安全措施的代价不应该大于所要保护资产的价值控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等控制价值＝没有实施控制前的损失－控制的成本－实施安全控制之后的损失除了成本效益，还应该考虑：控制的易用性对用户的透明度控制自身的强度控制的功能类型（预防、威慑、检测、纠正）确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。选择控制措施28资产评估识别信息资产评价信息资产识别并评估弱点安全漏洞工具扫描人工评估识别并评估威胁网络架构分析渗透测试风险评估阶段流程风险评价降低风险规避风险转移风险接受风险控制措施风险处置评价残留风险目录ISO27001认证过程和要点介绍ISO27001介绍ISO27001信息安全管理体系准备-风险评估ISO27001信息安全管理体系设计ISO27001信息安全管理体系实施ISO27001信息安全管理体系监控ISO27001信息安全管理体系改进DO阶段制定风险处理计划（RiskTreatmentPlan）实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源实施能够激发安全事件检测和响应的程序和控制31绝对安全（即零风险）是不可能的。实施安全控制后会有残留风险或残存风险（ResidualRisk）。为了确保信息安全，应该确保残留风险在可接受的范围内：残留风险Rr＝原有的风险R0－控制ΔR残留风险Rr≤可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。评价残留风险信息安全管理体系蓝图(示例)32建立ISMS管理框架的过程ISMS的文档体系Procedures程序WorkInstructions,checklists,forms,etc.工作指导书,检查清单,表格等Records纪录SecurityManual安全手册Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一级关于ISO27001的管理框架的方针策略第二级第三级第四级1.信息安全策略目标：Toprovidemanagementdirectionandsupportforinformationsecurity.信息安全策略——为信息安全提供管理方向和支持安全策略应该做到：对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程2.信息安全组织目标：TomanageinformationsecuritywithintheorganisationTomaintainthesecurityoforganisationalinformationprocessingfacilitiesandinformationassetsaccessedbythirdpartiesTomaintainthesecurityofinformationwhentheresponsibilityforinformationprocessinghasbeenoutsourcedtoanotherorganisation.信息安全基础设施——在组织内部管理信息安全第三方访问的安全——维护组织信息处理设施和被第三方访问的信息资产的安全性外包控制——如果信息处理责任外包给其他组织，维护信息的安全性包含的内容：建立管理委员会，定义安全管理的角色和责任对软硬件的采购建立授权过程第三方访问的安全考虑外包 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 中的安全需求3.资产分类和控制目标：Tomaintainappropriateprotectionofcorporateassetsandtoensurethatinformationassetsreceiveanappropriatelevelofprotection.资产责任——对组织资产进行恰当的保护信息分类——确保对信息资产的保护达到恰当的水平包含的内容：建立对硬件、软件和信息的资产登记表对分类和标注资产进行建议4.人力资源安全目标：Toreducerisksofhumanerror,theft,fraudormisuseoffacilitiesToensurethatusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportthecorporatesecuritypolicyinthecourseoftheirnormalworkTominimisethedamagefromsecurityincidentsandmalfunctionsandlearnfromsuchincidents.岗位安全责任与人员录用的安全——减少人为错误、偷窃、欺诈或误用设施带来的风险。用户培训——确保用户意识到信息安全威胁及利害关系，并在正常工作中支持组织的安全策略。安全事件响应——减少来自安全事件和故障的损失，监视并从事件中吸取教训。包含的内容：故意或者无意的人为活动可能给数据和系统造成风险在正式的工作描述中建立安全责任，员工入职审查基本安全意识的培训建立安全事件处理框架5.物理和环境安全目标：Topreventunauthorisedaccess,damageandinterferencetobusinesspremisesandinformationTopreventloss,damageorcompromiseofassetsandinterruptiontobusinessactivitiesTopreventcompromiseortheftofinformationandinformationprocessingfacilities安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。设备安全——防止资产的丢失、损害和破坏，防止业务活动被中断。常规控制措施——防止危害或窃取信息及信息处理设施。包含的内容：应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所，或者准备报废时，应考虑其安全6.通信和操作管理目标：操作程序和责任——确保正确并安全地操作信息处理设施。系统规划与验收——减少系统失效带来的风险。抵御恶意软件——保护软件和信息的完整性。内务管理——维护信息处理和通信服务的完整性和可用性。网络管理——确保对网络中信息和支持性基础设施的安全保护。介质处理和安全——防止损害资产和中断业务活动。信息和软件的交换——防止机构间交换的信息丢失、遭受篡改和误用。包含的内容：防病毒，防恶意软件进行变更控制做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性电子邮件安全性保护传输中的数据7.访问控制目标：访问控制的业务需求——控制对信息的访问。用户访问管理——防止非授权访问信息系统。用户责任——防止非授权的用户访问。网络访问控制——保护网络服务。操作系统访问控制——防止非授权的计算机访问。应用访问控制——防止非授权访问信息系统中的信息。监视系统访问与使用——检测非授权的活动。移动计算和通讯——确保使用移动计算和通讯设施时的信息安全。包含的内容：口令的正确使用对终端的物理访问自动终止时间软件监视等8.系统获取、开发与维护目标：系统的安全需求——确保安全内建于信息系统中。应用系统的安全——防止丢失、篡改和误用信息系统中的用户数据。密码控制——保护信息的保密性、真实性或完整性。系统文件的安全——确保IT项目和支持活动得以安全地进行。开发和支持过程的安全——维护应用系统软件和信息的安全。包含的内容：在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护软件开发和维护中应该建立配置管理、变更控制等机制目标：确保与信息系统相关的信息安全事件和缺陷能够及时发现，以便采取纠正措施。确保采取一致和有效的方法来管理信息安全事件。包含的内容：报告信息安全事件报告安全缺陷管理信息安全事件和改进责任和程序从信息安全事件中吸取教训证据搜集9.安全事件管理10.业务连续性管理目标：Tocounteractinterruptionstobusinessactivitiesandtocriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters.减少业务活动的中断，保护关键业务过程不受重大事故或灾害的影响。包含的内容：全面理解业务连续性计划（BCP）理解组织面临的风险，识别关键业务活动和优先次序。确认可能对业务造成影响的中断。应该设计、实施、测试和维护BCP11.符合性目标：Toavoidbreachesofanycriminalorcivillaw,statutory,regulatoryorcontractualobligationsandofanysecurityrequirementsToensurecomplianceofsystemswithorganisationalsecuritypoliciesandstandardsTomaximisetheeffectivenessofandtominimiseinterferenceto/fromthesystemauditprocess.符合法律要求——避免违反任何刑法、民法、法规或者合同义务，以及任何安全要求。对安全策略和技术符合性的评审——确保系统遵循了组织的安全策略和标准。系统审计的考虑——发挥系统审计过程的最大效用，并把干扰降到最低。包含的内容：组织应该确保遵守相关的法律法规和合同义务软件版权，知识产权等目录ISO27001认证过程和要点介绍ISO27001介绍ISO27001信息安全管理体系内容ISO27001信息安全管理体系准备-风险评估ISO27001信息安全管理体系设计ISO27001信息安全管理体系实施ISO27001信息安全管理体系监控ISO27001信息安全管理体系改进编写信息安全管理方针、制度、标准、流程等47信息安全方针示例安全补丁更新流程示例P.S.请直接点击上面文件进入查看详细内容网络连续性应急预案示例目录ISO27001认证过程和要点介绍ISO27001介绍ISO27001信息安全管理体系内容ISO27001信息安全管理体系准备-风险评估ISO27001信息安全管理体系设计ISO27001信息安全管理体系实施ISO27001信息安全管理体系监控ISO27001信息安全管理体系改进Check阶段执行监视程序和控制对ISMS的效力进行定期复审（看其是否满足安全策略和目标，安全控制是否有效）复审残留风险和可接受风险的水平，考虑到各种变化情况按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响常见安全审计的焦点问题如下密码是否牢靠?网络是否有访问控制清单?访问日志是否记录了访问数据的人员?个人电脑是否经常扫描广告软件和恶意软件?谁有权访问组织中的备份存储媒介?安全审计范围Gartner估计80%的风险集中于如下四个方面：网络访问控制(NAC)。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些情况下，NAC还会根据已知的风险或用户矫正或是应对风险。入侵防御：入侵防御涵盖的范围远广于传统的入侵检测。实际上，这与NAC有些类似，都是防范已知的风险。入侵防御会加强政策的执行从而将风险范围缩小到最小范围。身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明，越来越多的政策管理的存储也是很关键的因素。漏洞管理。漏洞管理根据根原因分析处置风险，采取有效的措施应对特定的风险。目录ISO27001认证过程和要点介绍ISO27001介绍ISO27001信息安全管理体系内容ISO27001信息安全管理体系准备-风险评估ISO27001信息安全管理体系设计ISO27001信息安全管理体系实施ISO27001信息安全管理体系监控ISO27001信息安全管理体系改进Act阶段对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标信息安全管理工作推行Page54信息安全管理 工作职责 党支部工作制度和职责国库集中支付中心工作职责安全生产工作职责分工财务部工作职责城市社区居委会工作职责 分配（RACI)Page55共创未来ShareFuture