iso27001信息安全管理体系宣讲ppt课件.ppt

《iso27001信息安全管理体系宣讲ppt课件.ppt》由会员分享，可在线阅读，更多相关《iso27001信息安全管理体系宣讲ppt课件.ppt（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系宣讲信息安全管理体系宣讲1 什么是信息 n n信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。n n对现代企业来说，信息是一种资产，包括计算机和网络中的数据，还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息资产具有重要的价值，因而需要进行妥善保护。什么是信息安全 n n保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、

2、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。信息安全的任务 n n就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。信息安全有哪些基本目标n n信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性（如图1所示）。CIA概念的阐述源自信息技术安全评估标准（InformationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。CIA

3、介绍n n保密性（Confidentiality）确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。n n 完整性（Integrity）确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。n n 可用性（Availability）确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA介绍n n当然，不同机构和组织，因为需求不同，对CIA原则的侧重也会不同，如果组织最关心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，

4、那就会突出完整性和可用性的要求。n n除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA原则的细化、补充或加强。DAD 三元组n n与CIA三元组相反的有一个DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration）和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。什么是信息安全的根本目标n n对现代企业来说，对CIA的追求只是一种简单抽

5、象的理解，是信息安全的直接目标，其实企业最关心的，是其关键业务活动的持续性和有效性，这是企业命脉所在，就信息安全来说，是其根本目标。当然，要让依赖于信息环境的业务活动能够持续，就必然要保证信息环境的安全，业务持续性对信息环境提出了CIA的要求，而信息环境CIA的实现支持着业务持续性目标的实现。n n企业从自身利益出发，把着眼点归结到业务活动的切实需求上，信息安全才能做到真正的有始而发和有的放矢。信息安全需求来自哪里n n（1 1）法律法规与合同条约的要求法律法规与合同条约的要求n n与信息安全相关的法律法规是对组织的强制性要求，组织应该对现有与信息安全相关的法律法规是对组织的强制性要求，组织应

6、该对现有的法律法规加以识别，将适用于组织的法律法规转化为组织的信息安的法律法规加以识别，将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次，即国家法律、行政法规和全需求。这里所说的法律法规有三个层次，即国家法律、行政法规和各部委和地方的规章及规范性文件。此外，组织还要考虑商务合作者各部委和地方的规章及规范性文件。此外，组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求，包括合同约定、招标条件和客户对组织提出的具体的信息安全要求，包括合同约定、招标条件和承诺等。例如，合同中可能会明确要求组织的信息安全管理体系遵和承诺等。例如，合同中可能会明确要求组织的信息安全管

7、理体系遵循循BS7799BS7799标准。标准。n n（2 2）组织的原则、目标和规定组织的原则、目标和规定n n组织从自身业务和经营管理的需求出发，必然会在信息技术方面提出组织从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些方针、目标、原则和要求，据此明确自己的信息安全要求，确保一些方针、目标、原则和要求，据此明确自己的信息安全要求，确保支持业务运作的信息处理活动的安全性。支持业务运作的信息处理活动的安全性。n n（3 3）风险评估的结果风险评估的结果n n除了以上两个信息安全需求的来源之外，确定安全需求最主要的一个除了以上两个信息安全需求的来源之外，确定安全需求最主要的一个途径

8、就是进行风险评估，组织对信息资产的保护程度和控制方式的确途径就是进行风险评估，组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素，组织可以分析并确定具体的安全需求。风险评估是信息安全等因素，组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。管理的基础。做好信息安全整体规划n n目标目标ObjectiveObjective：蓝图中首先明确的是信息安全建

9、设的核心目标，即：蓝图中首先明确的是信息安全建设的核心目标，即实现信息安全的实现信息安全的CIACIA并最终确保业务持续性，这是并最终确保业务持续性，这是InfoSecInfoSec所代表的所代表的含义。含义。n n 对象对象ObjectObject：信息安全必须有明确的保护对象，即信息资产，包：信息安全必须有明确的保护对象，即信息资产，包括各种关键数据、应用系统、实物资产、设施和环境，以及人员。括各种关键数据、应用系统、实物资产、设施和环境，以及人员。信信息资产的明确界定，将使信息安全控制的实施有引而发。息资产的明确界定，将使信息安全控制的实施有引而发。而对这些资而对这些资产的保护，将直接关

10、系到业务持续性这一最终目标的实现与否。产的保护，将直接关系到业务持续性这一最终目标的实现与否。n n 规范规范DocumentDocument：为了实现核心目标，我们还必须明确信息安全：为了实现核心目标，我们还必须明确信息安全方面的现实需求，并且用确定的、无矛盾的、可实施的一套方针、标方面的现实需求，并且用确定的、无矛盾的、可实施的一套方针、标准、指南、程序和规范要求来体现，这些层次化的文件将为所有信息准、指南、程序和规范要求来体现，这些层次化的文件将为所有信息安全活动提供指导，最终导入信息安全需求的实现。其实，安全活动提供指导，最终导入信息安全需求的实现。其实，信息安全信息安全管理体系是一个

11、文件化的体系，文件所约定的各项管理要求和操作规管理体系是一个文件化的体系，文件所约定的各项管理要求和操作规范，能够体现信息安全目标实现的持久、统一和权威性，也是范，能够体现信息安全目标实现的持久、统一和权威性，也是ISMSISMS的具体表现形式。的具体表现形式。n n 过程过程ProcessProcess：为了对信息资产实施保护，我们必须采取一定措施，：为了对信息资产实施保护，我们必须采取一定措施，经历一番努力和过程，最终才能实现既定目标。信息安全的建设过程，经历一番努力和过程，最终才能实现既定目标。信息安全的建设过程，表现为一系列流程的实现，最终体现出的是所谓表现为一系列流程的实现，最终体现

12、出的是所谓PDCAPDCA的过程模型：的过程模型：信息安全先做规划，明确需求，制定应对方案；实施解决方案；通过信息安全先做规划，明确需求，制定应对方案；实施解决方案；通过检查，巩固成果，发现不足；采取后续措施，改进不足，推动信息安检查，巩固成果，发现不足；采取后续措施，改进不足，推动信息安全持续进步。全持续进步。信息安全技术n n物理安全技术：环境安全、设备安全、媒体安全；物理安全技术：环境安全、设备安全、媒体安全；n n 系统安全技术：操作系统及数据库系统的安全性；系统安全技术：操作系统及数据库系统的安全性；n n 网络安全技术：网络隔离、访问控制、网络安全技术：网络隔离、访问控制、VPNV

13、PN、入侵检测、入侵检测、扫描评估；扫描评估；n n 应用安全技术：应用安全技术：EmailEmail安全、安全、WebWeb访问安全、内容过滤、访问安全、内容过滤、应用系统安全；应用系统安全；n n 数据加密技术：硬件和软件加密，实现身份认证和数据数据加密技术：硬件和软件加密，实现身份认证和数据信息的信息的CIACIA特性；特性；n n 认证授权技术：口令认证、认证授权技术：口令认证、SSOSSO认证（例如认证（例如KerberosKerberos）、证书认证等；）、证书认证等；n n 访问控制技术：防火墙、访问控制列表等；访问控制技术：防火墙、访问控制列表等；n n 审计跟踪技术：入侵检测

14、、日志审计、辨析取证；审计跟踪技术：入侵检测、日志审计、辨析取证；n n 防病毒技术：单机防病毒技术逐渐发展成整体防病毒体防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；系；n n 灾难恢复和备份技术：业务连续性技术，前提就是对数灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。据的备份。信息安全并不是技术过程，而是管理过程n n解决信息及信息系统的安全问题不能只局限于技术，更重要的还在于管理n n安全管理牵涉到组织的信息评估、开发和文档化，以及对实现保密性、完整性和可用性目标的策略、标准、程序及指南的实施。安全管理要求识别威胁、分类资产，并依据脆弱性分级来有效实施安全控制。信息安

15、全并不是技术过程，而是管理过程n n1 技术和产品达不到人们需要的水平n n2 技术往往落后于风险的出现 熊猫烧香 木马 蠕虫n n3 技术管理不当 带来新风险信息安全族标准n nISO/IEC 27000，基础和术语。n n ISO/IEC 27001，信息安全管理体系要求，已于2005年10月15日正式发布（ISO/IEC 27001:2005）。n n ISO/IEC 27002，信息安全管理体系最佳实践，将会在2007年4月直接由ISO/IEC 17799:2005（已于2005年6月15日正式发布）转换而来。n n ISO/IEC 27003，ISMS实施指南，正在开发。n n IS

16、O/IEC 27004，信息安全管理度量和改进，正在开发。n n ISO/IEC 27005，信息安全风险管理指南，以2005年底刚刚推出的BS7799-3（基于ISO/IEC 13335-2）为蓝本。信息安全主要内容n n1111个方面定义了个方面定义了3939个目标个目标133133项控制措施，可供信息安项控制措施，可供信息安全管理体系实施者参考使用，这全管理体系实施者参考使用，这1111个方面是：个方面是：安全策略（安全策略（Security policySecurity policy）；）；组织信息安全（组织信息安全（Organizing information securityOrg

17、anizing information security）；）；资产管理（资产管理（Asset managementAsset management）；）；人力资源安全人力资源安全 （Human resources securityHuman resources security）；）；物理和环境安全（物理和环境安全（Physical and environmental securityPhysical and environmental security）；）；通信和操作管理（通信和操作管理（Communication and operation Communication and oper

18、ation managementmanagement）；）；访问控制（访问控制（Access controlAccess control）；）；信息系统获取、开发和维护（信息系统获取、开发和维护（Information systems Information systems acquisition,development and maintenanceacquisition,development and maintenance）；）；信息安全事件管理（信息安全事件管理（Information security incident Information security incident ma

19、nagementmanagement）；）；业务连续性管理（业务连续性管理（Business continuity managementBusiness continuity management）；）；符合性（符合性（ComplianceCompliance）。）。为什么要接受ISO27001认证n n我们都知道，万事没有绝对，100的安全是不现实也不可行的，对组织来说，符合ISO27001标准并且获得相应证书，其本身并不能证明组织达到了100的安全，除非停止所有的组织活动。但不管怎么说，作为一个全球公认的最权威的信息安全管理标准，ISO27001能给组织带来的将是由里到外全面的价值提升IS

20、O27001认证价值n n针对性针对性 获益点获益点 简单说明简单说明n n法律法规法律法规 遵守适用法律遵守适用法律 证书的获得，可以向权威证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从一定角度机构表明，组织遵守了所有适用的法律法规。从一定角度讲，讲，ISO27001ISO27001标准是对适用法律法规的补充和注解，因标准是对适用法律法规的补充和注解，因为为ISO27001ISO27001标准本身的制订，是参照了业界最通行的实标准本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在很多国家相关的信息保护践措施的，而这些实践措施，在很多国家相关的信息保护法规中都有体

21、现（例如美国的法规中都有体现（例如美国的SOXSOX法案、法案、HIPAAHIPAA、个人隐、个人隐私法、计算机安全法、私法、计算机安全法、GLBAGLBA、政府信息安全修正法案等）、政府信息安全修正法案等）；另一方面，很多国家所推行的相关的行业指导性文件及；另一方面，很多国家所推行的相关的行业指导性文件及要求，又可能是参照要求，又可能是参照ISO27001ISO27001而拟定的。因此，而拟定的。因此，通过通过ISO27001ISO27001认证，可以使组织更有效地履行国家法律和行认证，可以使组织更有效地履行国家法律和行业规范的要求。业规范的要求。n n外部期望外部期望 提升信誉，增强信心提

22、升信誉，增强信心 当合作伙伴、股东当合作伙伴、股东和客户看到组织为保护信息而付出的努力时，其对组织的和客户看到组织为保护信息而付出的努力时，其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际很多国际 性的投标项目已经开始要求性的投标项目已经开始要求ISO27001ISO27001符合性符合性了。了。ISO27001认证价值n n管理层管理层 履行责任履行责任 证书的获得，本身就能证明组织证书的获得，本身就能证明组织在各个层面的安

23、全保护上都付出了卓有成效的努力，表明在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。管理层履行了相关责任。n n员工员工 增强意识、责任感和相关技能增强意识、责任感和相关技能提升员工的提升员工的安全意识，增强其责任感，减少人为原因造成的不必要的安全意识，增强其责任感，减少人为原因造成的不必要的损失。损失。n n核心业务核心业务 保证持续运行保证持续运行 全面的信息安全管理体系全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架。得到了妥善保护，并且建立有

24、效的业务持续性计划框架。n n信息环境日常运作信息环境日常运作实现风险管理实现风险管理 有助于更好有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。到妥善保护，确保信息环境有序而稳定地运作。n n财务状况财务状况 减少损失，降低成本减少损失，降低成本 ISMSISMS的实施，本的实施，本身也能降低因为潜在安全事件发生而给组织带来的损失，身也能降低因为潜在安全事件发生而给组织带来的损失，另外，也有

25、可能减少保险金支出另外，也有可能减少保险金支出信息安全管理体系适合对象n n半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛，大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业，鉴于IP（知识产权）保护的重要性，来自国外客户的明确要求，使得国内芯片制造企业必须在信息安全管理方面做出保证，ISO27001证书就是最好的选择。信息安全管理体系适合对象n n软件开发行业：情况与芯片制造企业类似，近年来，承担软件定制开发的很多企业，也面临外部客户明确提出的信息保护的要求，特别是承接日本、欧美等国外软件开发订单业务的大型软件企业。信息安全管理体系适合对象n n金融

26、业和保险业：一直以来，金融和保险行业对信息安全的重视都是非常高的，保护客户信息、保证业务运转的可靠性和持续性，这都是此行业组织实施ISMS并寻求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设，今后的工作重点将逐渐向全面的信息安全管理方向发展。信息安全管理体系适合对象n n通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。n n其他行业：只要是牵涉到IP保护的、牵涉到行业规范和法律法规要求的、牵涉到自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国信息安全管理系列指导文件

27、（ISMG）Sarbanes-Oxley法案（萨班斯法案，简称SOX法案）来说，由于对在SEC注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，因为信息安全控制是企业内部控制必不可少的一个部分。A5 安全方针安全方针A7 资产管理资产管理A11 访问控制访问控制A14 业业务连续务连续性管理性管理15 符合性符合性A13 信息安全事件管理信息安全事件管理A6 信息安信息安全组织全组织A8 人力资人力资源安全源安全A9 物理和物理和环境安全环境安全A10 通信通信和操作管理和操作管理A12 信息系信息系统获取、开统获取、开发和维护发和维护安全控制域安全控制域信息安全管

28、理涉及的领域24为什么应该聘请咨询老师来协助认证n n尽管越来越多的企业在信息安全方面表现出了愈发迫切的需求，但限于自身经验、意识、技能的欠缺，往往在如何合理规划和有效实施方面陷入困境，毕竟信息安全建设是一项技术性很强而且尚处于探索阶段的全新课题，另一方面，iso27001所要求建立的信息安全管理体系，较之纯粹的信息安全技术又更显得“务虚”和“高端”，是和组织整体的经营管理紧密相关的。面对这样全新而复杂的难题，传统行业内机构通常都会自 叹摸不找头脑，大有“门外汉”的感觉，即便是始终走在信息通信领域前沿的高技术性企业，也不见得在信息安全管理方面有足够的积累。n n于是，越来越多的组织选择聘请专业

29、的咨询顾问，协助企业建设信息安全管理体系并且通过ISO27001认证，这不失为一条“捷径”。专业的咨询，究竟能给企业带来什么价值呢n n帮助企业消除困惑和疑难n n借助外部咨询顾问为其分析问题症结，并提出有针对性的解决方案，其获益将会更直接更快捷，也能更让人信服n n企业会逐渐掌握咨询顾问解决特定问题的方法和技术，增强企业解决信息安全问题的能力ISO27001实施介绍n nISO27001是建立和维护信息安全管理体系的标准，它要求应该通过这样的过程来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进IS

30、MS，保持体系运作的有效性。此外，ISO27001非常强调信息安全管理过程中文件化的工作，ISMS的文件体系应该包括安全策略、适用性声明（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。ISO27001体系实施ISO27001体系实施ISO27001体系实施ISO27001体系实施完整的风险评估活动n n前期沟通：前期调研，了解需求，启动风险评估项目；n n 项目计划：明确目标和范围，对系统环境进行描述，确定各项评估指标，建立评估小组并明确责任，进行必要的培训，提供必须的资源，准备适用的表格、问卷等材料，制定项目计划；n n 资产评估：识别并评估关键的信息资产；n n 威胁评估：识别威胁，衡量威胁的可能性；n n 弱点评估：识别各类弱点（包括现有控制的不足），衡量弱点的严重度；n n 风险评估：进行风险场景描述，评价风险，划分风险等级，编写风险评估报告；n n 风险处理：推荐、评估并确定控制目标和控制，编制风险处理计划。n谢谢大家