安永安全管理的体系ISO27001认证咨询服务介绍53页PPT
- 格式:ppt
- 大小:9.00 MB
- 文档页数:27
下载文档原格式
合集下载
ISO27001信息安全管理体系介绍(PPT52页).pptx
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性 ► 保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 ► 可用性:根据授权实体的要求可访问和利用的特性 ► 完整性:保护资产的准确和完整的特性
招商银行信息系统内部审计培训
保密性
ISO27001信息安全管理体系介绍
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1
1998年
发布BS 7799 Part 2
1999年 发布新版 BS 7799 Part 1 & 2
2000年 发布ISO 17799:2000
2002年 发布新版BS 7799-2
2005年
发布ISO 17799:2005 发布ISO 27001:2005
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
► 产生 ► 使用 ► 存储 ► 传输 ► 销毁/抛弃
产生
销毁/ 抛弃
传输
使用 存贮
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ห้องสมุดไป่ตู้ISO27001 将信息安全定义如下:
ISO 27001体系认证简介课件~2020
6 6.实现风险管理
謝謝
2019
ISO27001信息安全體系認證簡介
XXX管理部
目录
CONTENTS
1
ISO27001簡介
2
什麼是信息安全
3
如何达成信息安全
4
如何建立管理体系
5
認證優勢
簡介
信息安全管理要求ISO/IEC27001的前身为英国的BS7799 标准,该标准由英国标准协会(BSI)于1995年2月提出, 并于1995年5月修订而成的。1999年BSI重新修改了该标 准。BS7799分为两个部分: BS7799-1,信息安全管理实 施规则 BS7799-2,信息安全管理体系规范。 第一部分对 信息安全管理给出建议,供负责在其组织启动、实施或维 护安全的人员使用;第二部分说明了建立、实施和文件化 信息安全管理体系(ISMS)的要求,规定了根据独立组 织的需要应实施安全控制的要求。
IOS27001體系认证優勢
1.符合法律法规要求
1
2.维护企业的声誉、 品牌和客户信任
2
3.履行信息安全管理责任
3
4
4.增强员工的意识、责任感 和相关技能
认证 優勢
7
7.减少损失,降低成本
5
5.保持业务持续发展和竞 争优势
ISO27001信息安全防护管理体系培训方案基础知识.ppt
26
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
ISO27001标准详解75543PPT课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
ISO27001咨询认证精品名师资料
标准名称
项目实施步骤
1 阶 段 项目启动和差异分析 2 风险评估
3
体系设计与发布
4
体系运行与监控
5
认证及持续改进
•
•
主 要 任 务
• • • • •
项目启动会议,确 定项目团队、建立 项目组管理架构 信息安全管理现状 的快速评估 信息安全管理体系 差异分析 设计信息安全方针 设计信息安全管理 组织架构 信息安全管理培训 阶段项目总结会议
人力资源安全 物理环境 安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵 公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划 建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评 估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。 计 划 (PLAN)
项目实施采取的程序
• • •
项目可能用到的工具
• • •
访谈 文档审阅 调查问卷
• • •
现场检查 系统检查 技术扫描
信息安全风险评估工具 网络脆弱性评估 服务器端口扫描
• • •
资产识别工具 渗透测试 信息安全控制审计
参考的相关标准
序号
1 3 4 5 6 7 8 9 10 11 12 ISO 27001 :2005信息安全管理体系要求 ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估 烟草行业信息安全等级保护规范 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求 GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则 GB50174-2008 电子信息系统机房设计规范 GBT 20270-2006 信息安全技术 网络基础安全技术要求 GBT 21028-2007 信息安全技术 服务器安全技术要求 GBT 21052-2007 信息安全技术 信息系统物理安全技术要求
ISO27001详细介绍ppt课件
ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶 段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以, 在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
安永安全管理体系ISO27001认证咨询服务介绍
根据ISO 27001,信息安全管理体系包括: ►11 个详细的控制子条款 ►39 个控制目标
业务连续性 管理
合规性
安全策略
►133 个控制
策略 程序、流程 工作指导书、操作说 明、模板、检查表等 文档、记录
系统获取 开发维护管理
信息安全 事故管理
权限控制
信息 客户记录 个人记录 法律记录
信息安全组织 资产管理
我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业,提供审计、税务、风险管理和其 他咨询服务。
《财富》全球500强企业 — 安永服务的企业所占百分比
审计客户
税务、风险管理等非 审计咨询服务客户 指数中所有其他客户
标准普尔1200指数成份股企业 — 安永服务的企业所占百分比
审计客户
税务、风险管理等非 审计咨询服务客户
5
《信息系统安全等级保护基本要求》
6
《信息系统安全等级保护实施指南》
7
GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求
8
GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则
9
GB50174-2008 电子信息系统机房设计规范
10
GBT 20270-2006 信息安全技术 网络基础安全技术要求
国内第二大银行 ► 信息科技等级保护体系建设
e 10
第二部分:信息安全管理体系建设
安永信息安全管理咨询服务
安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系 ,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信 任的控制措施,提供行业解决方案,满足客户的不同需求。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
安全管理体系ISO27001认证咨询服务介绍(PPT 53页)
国内第二大银行 ► 信息科技等级保护体系建设
第二部分:信息安全管理体系建设
ISO 27001 Advisory Services, <Client>
► 拥有下面专业证书资质: • CISSP • CISM • CISA • BS25999 LA • ISO27001 LA • ISO20000 LA • PMP • ITIL
北京
安永IT咨询服务团队 武汉 上海
广州 深圳
香港
台北
安永信息科技管理咨询服务
科技与信息安全咨询服务(ITRA)在中国有超过300人的专业服务团队,在华北、华中与华 南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务 ,主要服务类型如下:
在中国的专业IT咨询服务团队
► 安永在大中华区有超过300人的IT风险咨询顾问,其中在北京,上海,广州,深圳,香港,台湾等地更是具有 专注在IT咨询服务的团队。 我们在中国地区的IT咨询服务团队介绍:
► 在中国有超过300位专注于IT咨询领域的 顾问专家。
► 安全顾问有不同的背景专长,技能覆盖 信息安全的各个方面。
我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业,提供审计、税务、风险管理和其 他咨询服务。
《财富》全球500强企业 — 安永服务的企业所占百分比
52%
23% 25%
审计客户
税务、风险管理等非 审计咨询服务客户
指数中所有其他客户
标准普尔1200指数成份股企业 — 安永服务的企业所占百分比
热门话题 ►客户数据与机密数据保护 ►业务连续性管理 ►信息安全治理 ►身份认证与访问控制管理 ►虚拟化技术与云计算
安永提供的热门服务:
信息系统风险评估服务 ► 帮助企业发现存在的安全漏洞和威胁,
第二部分:信息安全管理体系建设
ISO 27001 Advisory Services, <Client>
► 拥有下面专业证书资质: • CISSP • CISM • CISA • BS25999 LA • ISO27001 LA • ISO20000 LA • PMP • ITIL
北京
安永IT咨询服务团队 武汉 上海
广州 深圳
香港
台北
安永信息科技管理咨询服务
科技与信息安全咨询服务(ITRA)在中国有超过300人的专业服务团队,在华北、华中与华 南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务 ,主要服务类型如下:
在中国的专业IT咨询服务团队
► 安永在大中华区有超过300人的IT风险咨询顾问,其中在北京,上海,广州,深圳,香港,台湾等地更是具有 专注在IT咨询服务的团队。 我们在中国地区的IT咨询服务团队介绍:
► 在中国有超过300位专注于IT咨询领域的 顾问专家。
► 安全顾问有不同的背景专长,技能覆盖 信息安全的各个方面。
我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业,提供审计、税务、风险管理和其 他咨询服务。
《财富》全球500强企业 — 安永服务的企业所占百分比
52%
23% 25%
审计客户
税务、风险管理等非 审计咨询服务客户
指数中所有其他客户
标准普尔1200指数成份股企业 — 安永服务的企业所占百分比
热门话题 ►客户数据与机密数据保护 ►业务连续性管理 ►信息安全治理 ►身份认证与访问控制管理 ►虚拟化技术与云计算
安永提供的热门服务:
信息系统风险评估服务 ► 帮助企业发现存在的安全漏洞和威胁,
ISO27001信息安全管理体系介绍.ppt
► ► ►
保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 可用性:根据授权实体的要求可访问和利用的特性 完整性:保护资产的准确和完整的特性
可用性 保密性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 8
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
监视和 评审ISMS 检查Check
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 19
监视和评审ISMS
规划Plan 建立ISMS
1. 执行监视与评审程序和其它控制措施 2. ISMS有效性的定期评审
实施 实施和 Do 运行ISMS 保持和 改进ISMS
3. 测量控制措施的有效性 4. 定期实施ISMS内部审核
► ► ► ► ►
产生 使用 存储 传输 销毁/抛弃
产生 使用 销毁/ 抛弃 存贮 传输
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性
影响 高影响 低概率 概率 低影响 低概率 底影响 低概率 高影响 高概率
概率
页数 24
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
信息安全风险管理一般方法
资产识别
威胁识别
识别脆弱性
当前控制 措施分析
分析和评价 风险
风险处理 计划
保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 可用性:根据授权实体的要求可访问和利用的特性 完整性:保护资产的准确和完整的特性
可用性 保密性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 8
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
监视和 评审ISMS 检查Check
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 19
监视和评审ISMS
规划Plan 建立ISMS
1. 执行监视与评审程序和其它控制措施 2. ISMS有效性的定期评审
实施 实施和 Do 运行ISMS 保持和 改进ISMS
3. 测量控制措施的有效性 4. 定期实施ISMS内部审核
► ► ► ► ►
产生 使用 存储 传输 销毁/抛弃
产生 使用 销毁/ 抛弃 存贮 传输
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性
影响 高影响 低概率 概率 低影响 低概率 底影响 低概率 高影响 高概率
概率
页数 24
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
信息安全风险管理一般方法
资产识别
威胁识别
识别脆弱性
当前控制 措施分析
分析和评价 风险
风险处理 计划
iso27001信息安全管理体系宣讲课件.ppt
信息安全的根本目标
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
ISO27001信息安全防护管理体系培训方案基础知识.ppt
7
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
ISO27001信息安全管理体系--咨询服务及认证实施 ppt课件
项目可能用到的工具
► 信息安全风险评估工具 ► 网络脆弱性评估 ► 服务器端口扫描
► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
标准名称
1
ISO 27001 :2005信息安全管理体系要求
3
ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估
4
烟草行业信息安全等级保护规范
► 确定风险容忍度和 风险偏好
► 确定风险处置措施 并实施整改计划
► 制度整合及信息安 全管理体系文档编 写
► 信息安全体系技术 控制及管理落地建 议
► 信息安全管理体系 发布及培训
► 阶段项目总结会议
► 制定信息安全管理 绩效监控流程
► 信息安全管理体系 试运行
► 体系运行监控 ► 业务连续性管理培
► 信息安全管理体系与国际 标准ISO27001对标
► 信息安全方针设计
ISO27001信息安全管理体系 咨询服务及认证实施
目录
一、ISO27001标准简介 二、ISO27001信息安全项目实施流程 三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构 认可要求
27000~27009:ISMS基本标准, 27010~27019:ISMS标准族的解释性指南与文档
访问控制
法律记录 通信安全
人力资源安全
物理环境 安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵 公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划 建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评 估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。