ISO27001信息安全管理体系培训基础知识课件
- 格式:ppt
- 大小:382.50 KB
- 文档页数:36


惠州培训网
更多免费资料下载请进: 好好学习社区
ISO27001信息安全管理体系培训测试
姓名_____________________
工号_____________________
部门_____________________
一、以下对于信息安全管理体系的叙述,哪个个是不正确的?
A.只规范公司高层与信息安全人员的行为;
B.针对组织内部所使用的信息,实施全面性的管理;
C.为了妥善保护信息的机密性、完整性和可用性;
D.降低信息安全事件的冲击至可承受的范围;
E.分为PDCA(计划—执行—检查—行动)四大部份,循环执行,不断改进。
二、以下对于PDCA(计划—执行—检查—行动)的叙述,哪个是正确的?
A.其中的重点在于P(计划);
B.依据PDCA的顺序顺利执行完一次,即可确保信息安全;
C.需依据管理层审查结果采取矫正与预防措施,以达到持续改进的目的;
D.如果整体执行过程中C(检查)的过程过于繁复,可予以略过;
E.以上皆非。
三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项?
A.信息安全政策; B.组织安全; C.人员安全; D.复杂性; E.访问控制。
四、下列对于风险的叙述,哪个是正确的?
A.风险分析:针对无法改善的风险进行分析;
B.风险管理:列出所有可能存在的风险清单;
C.风险评估:把所估计的风险与已知的风险标准作比较,以决定风险的重要性;
D.风险处理:为了将风险降为零风险所采取的行动; 惠州培训网
更多免费资料下载请进: 好好学习社区 E.可接受风险:可接受进行改善的风险。
五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求?
A.文件都必须电子化;
B.信息安全管理体系所需的文件仅需保护,但无须控制;
C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用;
ISO27001培训系列V1.0
ISO 27001信息安全体系培训控制目标和控制措施
(条款A7-资产管理
2009年11月
董翼枫(dongyifeng78@
条款A7
资产管理
A7.1对资产负责
✓目标:
实现和保持对组织资产的适当保护。
✓所有资产应是可核查的,并且有指定的责任人。
✓对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。
A7.1.1资产清单
控制措施
✓应清晰的识别所有资产,编制并维护所有重要资产的清单。
实施指南
✓一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。
✓另外,应商定每一资产的责任人(见A7.1.2和信息分类(见A7.2,并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。
A7.1.2资产责任人
控制措施
✓与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。
实施指南
✓资产责任人应负责:
a确保与信息处理设施相关的信息和资产进行了适当的分类;
b确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。
✓所有权可以分配给:
a业务过程;
b已定义的活动集;
c应用;
d已定义的数据集。
A7.1.3资产的合格使用
✓与信息处理设施有关的信息和资产使用允许规则应被确定、形成 文件并加以实施。
✓所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产
的可接受的使用规则,包括:
a 电子邮件和互联网使用(见 A10.8规则;
b 移动设备,尤其是在组织外部使用设备(见 A11.7;1的使用指南;
✓具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员 、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和 资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责 下的使用负责。
如对你有帮助,请购买下载打赏,谢谢!
ISO 27001信息安全管理体系标准及内审员
课程大纲
培训时间:2014年4月29~30日(星期二~星期三)
培训地点:上海
培训目标:
1、了解信息安全及其重要性;
2、通过培训了解信息安全管理常见的问题以及解决方法;
3、使企业管理层及信息安全管理者了解建立符合企业需要的信息安全管理制度;
4、了解信息安全管理体系的框架和结构;
5、了解如何建立信息安全管理体系及体系建设中的难点;
6、掌握内部审核的要求和技巧,具备内部审核的能力并获得内审员证书。
培训对象:
各级管理人员、信息安全管理人员、信息技术人员等。
培训大纲:
1、信息安全案例分析和讨论
案例1 个人隐私权
案例2 电子媒体
案例3 全国最大的网上盗窃通讯资费
2、什么是信息安全
2.1关键资产-信息
企业应保护什么信息?
信息的生命周期
信息的存在形式 如对你有帮助,请购买下载打赏,谢谢!
信息的存储介质
2.2信息为什么会有安全问题
信息具有重要的价值
信息系统固有的脆弱性
信息安全管理的不健全
2.3信息安全的定义
信息安全的实现目标
信息安全的重要性
3、为什么需要信息安全
3.1信息安全范围
国家安全的需要
组织持续发展的需要
保护个人隐私与财产的需要
3.2信息安全能帮助企业盈利吗
3.3日常工作中常见的信息安全事件
3.4企业面临的信息安全问题
3.5信息安全面临的威胁类型
3.6日常工作中安全威胁举例
3.7怎么办
4、信息安全管理体系
4.1信息安全管理体系框架
4.2风险管理 如对你有帮助,请购买下载打赏,谢谢!
风险评估策略
信息面临的威胁和可利用的脆弱性
风险处理计划
4.3风险控制措施
A.5安全方针
A.6组织信息安全
A.7资产管理
资产责任人
资产分类(密级)、标记及处理
A.8人力资源安全
入职前的背景调查
入职中的保密协议及信息安全意识培训、违纪处理
离职时的资产返还、权限处理
安全培训策略
发布部门 营销中心、技术部 生效时间 2009年7月1日
批准人 张德洲 文件编号 JSWLS/IS-05-2009
介绍 理解计算机安全的重要性以及人员对计算机安全的责任和义务对达成组织安全目标是至关重要的。可以通过常用的计算机安全意识培训来提高员工的安全意识。特定的安全指令的基本保护原理应该传授给计算机使用者,并反复加强。安全意识和培训信息及程序的更新需要不断地补充和升级。
目的 该策略的目的是描述确保信息资源的每一个使用者都能受到有关计算机安全问题的培训,并按照他们岗位角色的需要对其响应。
适用范围 该策略适用于所有使用信息资源的人员。
内容 在所有新用户被准许访问任何信息资源前,必须接受被认可的安全意识程序。
必须对程序进行定期的更新。
必须为所有用户(员工、顾问、相关方、合同方、临时工等)提供充分的培训和支持性参考资料,以使他们能恰当的保护信息资源;
所有用户必须参加每年一度的计算机安全研讨会并通过相关的考试;
信息安全办公室必须建立和保持一个沟通的过程,以便沟通新的计算机安全程序信息、发布安全公告以及相关的安全情报。