《信息安全管理培训.ppt》由会员分享,可在线阅读,更多相关《信息安全管理培训.ppt(119页珍藏版)》请在三一文库上搜索。
1、信息安全管理体系,安全防护技术体系分阶段发展规划,1、建章立制 以明确要求为重点,分系统落实,缺乏有效的检查手段。,2、有效执行 (1)通过集中化的安全防护手段,有效落实安全要求。 (2)形成专业的安全支撑维护队伍。,3、量化优化 量化掌握总体安全态势,有效地形成整体安全防护策略,量化评价安全要求的执行,安全管理发展阶段,1、分散防护 分系统部署防火墙、入侵检测、防病毒等基础防护手段。,3、集成防护 建设集成的安全运行管理平台,将各安全防护手段形成合力。实现精细化的风险管理、全网安全态势的量化分析及安全事件的实时监控,并借助EOMS等系统的配合形成快速、流程顺畅的反应机制。,2、集中防护 以安
2、全域划分和边界整合为基础,综合部署各类基础安全技术防护手段。 建立集中的网络安全管控手段。,安全防护技术体系分阶段发展规划,支撑,信息安全的演化,反病毒 ,数据保密,被动的防范和控制 防火墙、IDS、安全应急服务 ,积极的主动防御、更关注“人”的要素,强调综合的安全保障体系,强调安全管理,目录,信息安全现状,信息安全管理体系标准介绍,信息安全管理体系的设计与实施,信息安全保障体系的构成和建设,案例分析,在实施过程中,有个部门采购了一台设备准备用来安装某一软件,由于机房搬迁等各方面原因,造成实施延误。一切妥当后已经过去了大半年,但再来找这台设备的时候,却怎么也找不着了 事后的结果是这台设备可能发
3、给地市去用了。最后是临时再找一台设备来安装产品,案例分析,为了加快项目的速度,花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队,但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息,从而导致了大量的欺骗性采购,花旗银行为此损失了425,000美金。 西藏入侵事件,案例分析,某公司技术部存在2个CTO,一个副CTO,一个主管 某公司员工离职,迟迟未收到人力行政部的通知,并且有设备的口令问了曾管理过的几个管理人员,都不知道口令是什么 在对机房进入的日志检查过程中,发现没有对清洁工的记录,案例分析,“88888帐户”毁了巴林银行,1995年2月26日,英国中央银行宣布了一条震
4、惊世界的消息:巴林银行不得从事交易活动并将申请资产清理。10天后,这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。 88888错误帐户没有销掉。 巴林银行没有将交易与清算业务分开,允许里森既作首席交易员,又负责其交易的清算工作。 巴林银行的内部审计极其松散。,案例分析 3,邯郸农行案主犯写下12条金库管理建议 一、监控方面 1、应安排专人负责查看监控录像,并定期抽查以前的录像记录,查看是否有违规操作等情况; 2、每日必须检查监控设备的正常使用及备份情况,监控数据备份保存时间最少在3个月以上; 3、在非工作时间必须设防110联网报警系统,对非工作时间,进入设防范围或金库内的人员
5、,要马上向领导汇报详细情况; 4、金库内必须安装监控设备。 二、严格执行规章制度,案例分析 3,邯郸农行案主犯写下12条金库管理建议 二、严格执行规章制度 1、应安排现金中心,主管或副主任每旬查一次金库,安排现金中心主任每月查一次金库; 2、在查库时,应先核对记帐情况是否属实,然后根据碰库清单,认真核对现金数额,对装好的整包现金,必须打开包进行核对; 3、各级领导在查库时,都不应该在固定时间和日期; 4、对重要岗位的人员(如记帐员、管库员),应实行强制休假制度,在不事先通知情况下,由领导监督交接工作; 5、应对现金中心的每个岗位,都制定出各自的岗位职责和工作要求,对现金中心工作人员要定期进行思
6、想教育学习。,案例分析 3,邯郸农行案主犯写下12条金库管理建议 三、现金中心岗位设置 1、应设立记帐员岗位,现金中心金库的往来帐目由管库员记帐,对现金中心所有往来帐目都应该由专人记帐,这样可以防止管库员在记帐方面做假帐,从金库挪用资金; 2、对银行内部资金调拨和安排到人民银行交取款的情况,应由专人负责。 四、农行的信用卡通过电话银行,往彩票中心转彩票款,应设置最高转款限额。,信息安全现状,重视技术,轻视管理 重视产品功能,轻视人为因素 重视对外安全,轻视内部安全 静态不变的观念 缺乏整体性信息安全体系的考虑,目录,信息安全现状,信息安全管理体系标准介绍,信息安全管理体系的设计与实施,信息安全
7、保障体系的构成和建设,信息安全管理体系标准,ISO 27001:2005 信息安全管理体系规范 ISO 17799:2005 信息安全管理实践规则,标准发展的历史,1995,1998,率先由英国工业部进行专案,英国公布BS 7799 第一部分 (Part 1),瑞典成立LIS 专案,英国公布BS 7799 第二部分 (Part 2),瑞典标准 SS 62 77 99 Part 1 & 2 发行,1999,新版英国标准 BS 7799 Part 1 & 2发行,提交ISO组织讨论(ISO DIS 17799-1),2000,挪威成立7799 BD 项目(2001年正式发行),1993,红皮书:可
8、信任的网络描述指南; 橘皮书: 可信任的设施管理指南,1990,世界经济发展组织(OECD):信息系统安全指导原则(1992/11/26),12月正式出版ISO 17799标准,2002,9月BS 7799-2:2002公开发行,ISO 17799:2005,2005,ISO 27001:2005,Information信息,Information is an important asset, essential to an organizations business needs. Information can exist in many forms. It can be printed
9、or written on paper, stored electronically, transmitted by post or by using electronic means, shown on films, or spoken in conversation. 信息是一种重要资产,对组织的业务非常关键。信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储,邮寄或使用电子手段传输,以影片播放或对话,The elements of information security 信息安全的要素,Confidentiality the property that information
10、is made available or disclosed to unauthorized individuals, entities, or processes 保密性信息被获取或泄露给未经授权的个人、实体或流程 Integrity the property of safeguarding the accuracy and completeness of assets 完整性保护资产准确和完整 Availability the property of being accessible and usable upon demand by an authorised entity 可用性资产仅
11、对授权人员在需要的时候是可访问的或可用的,Information security信息安全,Information security Preservation of confidentiality, integrity and availability of information; In addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved 信息安全保护信息保密性、完整性和可用性;另外,其他特性如真实性、可确认性
12、、不可否认性和可靠性也可以包括在内,信息安全管理体系标准,什么是信息安全管理体系? 信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,技术和管理。即: 安全管理是信息安全的关键; 人员是安全管理的核心,教育是提高人员安全意识和素质的最好方法; 技术是安全 运营支撑。,Information security management system 信息安全管理体系,Information security management system: That part of the overall management system, based on a business risk appro
13、ach, to establish, implement, operate, monitor, review, maintain and improve information security 信息安全管理体系:整个管理体系的一部分,基于业务风险的方法,建立、实施、运作、监控、评审、维护和改进信息安全。 Note: The management system includes organisational structure, policies, planning activities, responsibilities, practices, procedures, processes a
14、nd resources. 注:管理体系包括组织架构、方针(政策)、策划活动、职责、活动、程序、流程和资源,信息安全管理体系标准,企业为什么要实现信息安全? 组织自身业务的需要 自身业务和利益的要求 客户的要求 合作伙伴的要求 投标要求 竞争优势,树立品牌 加强内部管理的要求 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护 ,What does the Standard Offer? 标准提供什么,Experience feedback from thousands of users regarding information security
15、management system 成千上万的信息安全管理体系的使用者的经验反馈 A systematic approach to change and improvement (PDCA) 采用系统化的方法进行变革与改进(PDCA) Focus on information security requirments and specifications, processes, management, and people 关注信息安全要求和规范、过程、管理和人员 Advantage: Similar structure within the quality, enviromental and
16、 safety management standards 优势:与质量、环境和安全管理标准的类似结构,A process-based information security management system ISO 27001,利益相关方 Interested Parties,Information security requirements and expectations,Interested Parties,Managed Information security,Continual improvement of the information security management
17、 system,Establish ISMS 4.2.1,Monitor and Review the ISMS 4.2.3,Implement and Operate the ISMS 4.2.2,Maintain and improve the ISMS 4.2.4,Input,Output,Information security management system,Information security management system 信息安全管理体系,4.1 General requirements 一般要求,4.2 Establishing and managing The
18、ISMS 建立和管理ISMS,4.2.1 Establish the ISMS 建立ISMS 4.2.2 Implement and operate the ISMS 管理和运营ISMS 4.2.3 Monitor and review the ISMS 监控和评审ISMS 4.2.4 Maintain and improve the ISMS 维护和改进ISMS,4.3 Documentation requirements 文件要求,4.3.1 General 一般要求 4.3.2 Control of documents 文件控制 4.3.3 Control of records 记录控制
19、,4.ISMS,Management responsibility 管理层责任 Internal ISMS audit 内部审核,5.1 Management commitment 管理层承诺,5.2 Resource management 资源管理,5.3 Training, awareness and competence 培训,意识和能力,5. Management responsibility 管理责任,6.Internal ISMS audit ISMS内审,7.1 General 一般要求,7.2 Review input 评审输入,7.2 Review output 评审输出,7
20、.Management review of ISMS ISMS管理评审,Management review of ISMS,8.1 Continual improvement 持续改进,8.2 Corrective action 纠正措施,8.3 Preventive action 预防措施,8.ISMS improvement 持续改进,ISMS improvement,ISO/IEC 17799内容,39个控制目标 133个控制措施,Security policy and 安全方针 Organisation of information security 信息安全组织,A.5 Securi
21、ty policy安全方针,A.5.1 Information security policy 信息安全方针,A.5.1.1 Information security policy document 信息安全方针文件,A.5.1.2 Review of Information security policy document 评审信息安全方针文件,A.6.1 To manage information security within the organization 在组织内部管理信息安全,A.6.1.1 Management commitment to Information securit
22、y 信息安全管理委员会 A.6.1.2 Information security coordination 信息安全协作 A.6.1.3 Allocation of information security responsibilities 落实(分派)信息安全责任 A.6.1.4 Authorization process for information processing facilities 信息处理设施的授权过程 A.6.1.5 Confidentiality agreements 保密协议 A.6.1.6 Contact with authorities 与权力机构保持联系 A.6
23、.1.7 Contact with special interest groups 与特殊利益团体保持联系 A.6.1.8 Independent review of information security 信息 安全的独立评审,A.6.2 To maintain security of information assets/facilities from third parties 从第三方维护信资息产/设施的安全,A.6.2.1 Identification of risk related to external parties 识别与外部机构相关的风险 A.6.2.2 Addressi
24、ng security when dealing with customers 与客户接触时强调安全 A.6.2.3 Addressing security in third party agreements 在第三方协议中强调安全,A.6 Organization of information security 信息安全组织,Asset management 资产管理,A.7 Asset management 资产管理,A.7.1 To achieve and maintain appropriate protection of Assets 对资产达成和维护适当的保护,A.7.2 To e
25、nsure that information receives appropriate protection level 确保信息受到适当程度的保护,A.7.1.1 Inventory of Assets 资产清点 A.7.1.2 Ownership of Assets 资产的责任关系 A.7.1.3 Acceptable use of assets 资产使用的可接受方法,A.7.2.1 Classification guidelines 分类指南 A.7.2.2 Information Labeling and handling 信息标示和处理,Human resource security
26、 人力资源安全,A.8.2 To ensure awareness of threats and concerns, roles/responsibilities and to enable them to support organizations information security policy 确保知晓威胁 和需要关注点,角色/责任并他们能够支持 组织的信息安全政策,A.8.1To ensure that employees are aware of information security and their role to reduce security risk 确保员工知晓
27、信息安全和他们在降低安全风险方面的角色,A.8.1.1 Roles and Responsibilities 角色和责任 A.8.1.2 Screening 筛审 A.8.1.3 Terms and conditions of employment 雇佣协议和条件,A.8.2.1 Management responsibilities 管理层责任 A.8.2.2 Information security awareness, education and training 信息安全意识、教育和培训 A.8.2.3 Disciplinary process 惩罚过程,A.8.3 To ensure
28、 exit of employees, contractors and third party users in an orderly manner 确保员工、合同商 和第三方有秩序地退出,A.8.3.1 Termination responsibilities 结束雇佣关系时的责任 A.8.3.2 Return of assets 退还资产 A.8.3.3 Removal of access rights 取消访问权限,A.8 Human resource security 人力资源安全,Physical and environmental security,A.9.1 To prevent
29、 unauthorized physical access damage and interference to premises and information. 防止未经 授权的物理资产损坏和对办公室及信息的干扰,A.9.2 To prevent loss, damage, theft or compromise of assets and to organizational activities.,A.9.1.1 Physical security perimeter 物理安全周界 A.9.1.2 Physical entry controls 物理进出控制 A.9.1.3 Securi
30、ng offices, rooms and facilities 办公室、 房间和设施的安全 A.9.1.4 Protecting against external/environmental threats 防止外部/环境威胁 A.9.1.5 Working in secure areas 在安全区域内工作 A.9.1.6 Public access, delivery and loading areas 公共访问、运送和装卸区域,A.9.2.1 Equipment siting and protection 设备放置与保护 A.9.2.2 Supporting utilities 支持设施
31、 A.9.2.3 Cabling security 电缆安全 A.9.2.4 Equipment maintenance 设备维护 A.9.2.5 Security of equipment off premises 办公区域外设备的安全 A.9.2.6 Secure disposal or re-use of equipment 处置和重新使用设备的安全 A.9.2.7 Removal of property 资产搬移,A.9 Physical and environmental security 物理和环境安全,Communications and operations managemen
32、t 通信和运营安全,A.10 Communications and operations management 通信和运营安全,A.10.1 To ensure correct and secure operations 确保正确与安全地运营,A.10.2 To implement and maintain appropriate level of inf. security in line with third party service delivery agreements 实施和维护适当程度的、与第三方服务 提供协议一致的信息安全,A.10.3 To minimize risk of
33、system failures 最小化系统失效的风险,A.10.4 To protect integrity of software and information 保护信息和软件的完整性,A.10.2.1 Service delivery 服务提供 A.10.2.2 Monitoring, review of third party services 监控、评审第三方服务 A.10.2.3 Managing changes to third party services 管理对第三方服务的变更,A.10.3.1 Capacity management 容量管理 A.10.3.2 System
34、 acceptance 系统验受条件,A.10.4.1 Controls against malicious code 控制恶意代码 A.10.4.2 Controls against mobile code 控制移动代码,A.10.1.1 Documented operating procedures 文件化运营程序 A.10.1.2 Change management 变更管理 A.10.1.3 Segregation of duties 责任分离 A.10.1.4 separation of development, test and operational facilities 分离开
35、发、测试和运营设施,Communications and operations management 通讯和运营管理,A.10.5 To maintain integrity and availability of information and information processing facilities. 维护信息和信息处理设施的完 整性、可用性,A.10.6 To protect information in networks and supporting infrastructure 保护在网络和支持架构中的信息,A.10.7 To prevent unauthorized di
36、sclosure, modification, removal or destruction of assets and interruptions to business activities. 防止未授权的披露、修改、移动 和毁坏资产以及对业务活动的干扰,A.10.5.1 Information backup信息备份,A.10.6.1 Network controls 网络控制 A.10.6.2 Security of network devices 网络服务中的安全,A.10.7.1 Management of removable media 管理可移动的介质 A.10.7.2 Disp
37、osal of media 介质处置 A.10.7.3 Information handling procedures 信息处理程序 A.10.7.4 Security of system documentation 保护系统文件安全,A.10 Communications and operations management 通信和运营管理,Communications and operations management 通信和运营管理,A.10.8 To maintain security of information and software exchanged within the or
38、gn. and with any external entity 维护信息和软件 在组织内与组织外交换的安全,A.10.9 To ensure security of e-commerce and their secure use 确保电子商务的安全 以及他们的安全使用,A.10.10 To detect unauthorized information processing facilities. 侦测未经授权的信息处理设施,A.10.8.1 Information exchange, policies, procedures 信息交换政策、程序 A.10.8.2 Exchange agre
39、ements 交换协议 A.10.8.3 Physical media in transit 物理介质在运输中的安全 A.10.8.4 Electronic messaging 电子消息 A.10.8.5 Business information systems 业务信息系统,A.10.10.1 Audit logging 审计日志 A.10.10.2 Monitoring system use 监控系统的使用 A.10.10.3 Protecting log information 保护日志信息 A.10.10.4 Admin and operator logs 管理和操作者记录 A.10.
40、10.5 fault logging 错误日志 A.10.10.6 Clock synchronization 始终同步,A.10.9.1 Electronic Commerce 电子商务 A.10.9.2 Online transactions 在线交易 A.10.9.3 Publicly available information 可利用的公共信息,A.10 Communications and operations management 通信和运营管理,Access control访问控制,A.11.1 To control access to Information 控制对信息的访问,
41、A.11.2 To ensure authorized user access and prevent unauthorized access to information systems 确保授权用户 的访问和防止未经授权的对信息系统的访问,A.11.3 To prevent unauthorized user Access and compromise/theft of information and information processing facilities 防止未经授权的用户访问 和危及/偷盗信息和信息处理设施,A.11.4 To prevent unauthorized ac
42、cess to networked Services 防止未经授权的网络服务访问,A.11.2.1 User Registration 用户注册 A.11.2.2 Privilege management 特权管理 A.11.2.3 User password management 用户口令字管理 A.11.2.4 Review of user access rights 评审用户访问权限,A.11.3.1 Password use 口令字使用 A.11.3.2 Unattended user equipment 无人看管的用户设备 A.11.3.3 Clear desk and clear
43、screen policy 清楚桌面和屏幕政策,A.11.4.1 Policy on use of network services使用网络服务政策 A.11.4.2 User authentication for external connections 用户外部连接的授权 A.11.4.3 Equipment identification in networks 网络中设备的识别 A.11.4.4 Remote diagnostic and configuration port protection 保护远程诊断和配置端口 A.11.4.5 Segregation in networks
44、网络分离 A.11.4.6 Network connection control 网络连接控制 A.11.4.7 Network routing control 网络路由控制,A.11.1.1 Access Control Policy 访问控制方针,A.11 Access control 访问控制,Access control访问控制,A.11.5 To prevent unauthorized access to operating systems 防止未经授权的对操作系统的访问,A.11.5.1 Secure log-on procedures 安全注册程序 A.11.5.2 User
45、identification and authentication 用户识别和验证 A.11.5.3 Password management system 口令管理系统 A.11.5.4 Use of system utilities 系统设施的使用 A.11.5.5 Session time-out 访问时间限制 A.11.5.6 Limitation of connection time 连接时间限制,A.11.6 To prevent unauthorized access to information held in application system 防止未经授权的 对应用系统中信
46、息的访问,A.11.6.1 Information access restriction 信息访问限制 A.11.6.2 Sensitive system isolation 敏感系统隔离,A.11.7 To ensure information security when using mobile computing and teleworking facilities 在使用移动 计算和远程通信设施时确保信息安全,A.11.7.1 Mobile computing and communications 移动计算和通讯 A.11.7.2 Teleworking 远程工作,A.11 Acces
47、s control 访问控制,Information systems, acquisition, development and maintenance 信息系统的获得、开发和维护,A.12.1 To ensure that security is an integral part of information Systems 确保安全是信息系统的一个重要部分,A.12.2 To prevent error, loss, unauthorized modification or misuse of information in Application 防止错误、丢失、未经授权 的修改或误用在应
48、用系统中的信息,A.12.3 To protect confidentiality, authenticity or integrity of information by cryptographic Means 用加密手段保护信息的机密性、 真实性或完整性,A.12.2.1 Input data validation 输入数据验证 A.12.2.2 Control of internal processing 控制内部过程 A.12.2.3 Message integrity 消息完整性 A.12.2.4 Output data validation 输出数据的验证,A.12.3.1 Pol
49、icy on the use of cryptographic controls 使用加密控制方针 A.12.3.2 Key management 密钥管理,A.12.1.1 Security requirement, analysis and specification 安全需求、分析和详细说明,A.12 Information systems acquisition, development and maintenance 信息系统的获得,开发和维护,Information systems acquisition, development and maintenance 信息系统的获得、开发和维护,A.12.4 To ensure security of system files 确保系统 文档的安全,A.12.4.1 Control of operational software 控制运营软件 A.12.4.2 Protection of system test data 保护系统测试数据 A.12.4.3 Access control to program source code 程序员代码的访问控制,A.12.5
链接地址:https://www.31doc.com/p-2784933.html