信息安全管理体系2013版启动

信息安全管理体系导入ISO/IEC27001:20132NO课程时间1ISO27001导入知识2ISO27001标准正文部分详解3ISO27001标准附录A详解4体系文件编写5信息安全风险评估与管理6信息安全管理体系内部审核课程内容3大数据时代，重现“一九八四”并非不可能进入大数据时代，当权者会拥有更巨大的权力（令人窒息又恐怖的极权主义社会就会在网络时代重现）。海量储存加上机器学习和数据挖掘，可以大大提升监听的效率。不只是信息被偷窥，语音也会被偷听而且自动识别（斯诺登也提到了这一点），人们的网上行为也可以被监测。美国人在网上买了什么，下载了什么软件，在社区里和陌生人谈了什么，甚至每分钟在什么地理位置，都在“棱镜”计划下，完全被掌控。这样的智能软件甚至可以预测每一个人未来可能做的事和决策英国作家乔治•奥威尔案例一问题1：政府、个人敏感信息安全如何保障？4谢某、吴某在2004年分别担任创维公司硬件、软件工程师，主要负责参与该公司机顶盒的研制，由于工作内容都与关键技术有关，他们都被要求与创维公司签订了《保密合同书》。谢某、吴某违反有关保守秘密的要求，利用非法复制的DVB技术秘密入股，成立公司与他人合伙生产，给创维公司造成重大损失。法院判定创维公司的损失额为152.5万元，已构成侵犯商业秘密罪。法院判决，侵犯商业秘密罪，罪名成立均获刑，鉴于二被告人认罪态度较好，且谢某在案发后能主动退赃，可酌情从轻处罚。案例二案例二问题2：公司关键技术信息安全如何保障？5UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程稚瀚，在任华为工程师时负责西藏移动等公司的设备安装工作。自2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。在随后4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。案例三2006年2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案：问题3：公司操作系统系统权限信息安全如何保障？6各国信息安全相关法律法规要求：INFORMATIONRELATEDREGULATIONSOFSOMECOUNTRIES:1995年10月，欧盟出台了《关于处理个人数据时保护个人的欧洲议会及理事会指令》，被称之为EU指令。EU指令于1998年开始生效，要求各成员国在3年之内各自制定出有关个人信息保护的法律。根据EU指令，在此之前未曾制定过隐私保护法的意大利和希腊分别于1996和1997年制定了相关法律条款。另外，EU指令第25条还规定，对不具备完善保护措的非欧盟成员国，禁止从欧盟区域内转移个人资料。Oct.1995,EuropeEUDirective,rule52,forbiddentransferpersonaldataoutofEuropetothecountrywhodonothavedataprotectpolicy.1984年英国制定了《数据保护法》（DataProtectionAct）并在1998年对其进行了修订。该法确立了八项“数据保护原则”，并适用于部分纸质记录和所有电子记录中的个人数据、信息。根据该法，英国成立了“信息专员办公室”（ICO），负责监督、指导《数据保护法》的具体实施。1984,UK《DataProtectionAct》,guide8protectionprinciples.7各国信息安全相关法律法规要求：INFORMATIONRELATEDREGULATIONSOFSOMECOUNTRIES:日本从2005年4月开始实施《个人信息保护法》，制定了保护个人信息的基本原则及基本方针，明确了国家及地方公共团体的责任义务，同时规定使用个人信息的企事业应遵守的义务。Apr.2005,Japanlaunch《PersonalInformationProtection》regulation.美国通过一系列的立法活动构筑其信息安全法律体系，主要从几个以下方面进行管控：（1）反间谍软件；（2）隐私/身份保护/数据安全；（3）互联网安全；（4）国土安全；（5）卫生健康安全管理；（6）因特网和电信服务安全；（7）控制系统安全。USAlaunchseriesregulationofinformationdataprotection.􀂾中国自90年代起，开始着手研究信息安全，至今为止，已经制订并出台了一系列有关信息安全的法律法规。国务院有关部门启动了中国《个人信息保护法》的立法程序，目前正在积极推进中。From90’s,Chinaindevelopinginformationsecurityregulation.8关键信息资产关键资产－信息信息是经过加工的数据或消息。信息是对决策者有价值的数据。企业应保护什么信息？􀂾知识产权；􀂾技术秘密；􀂾重要的合同；􀂾客户资料；􀂾软件产品的源代码；􀂾财务数据；􀂾内部文件；信息的存在形式打印或写在纸上；存在于计算机或网络中；以邮寄、电子邮件方式交换；言语交谈；传输的电波等等。信息的存储介质纸、胶片；硬盘、U盘、光盘、磁带、磁光盘；计算机网络；员工大脑；信息具有重要的价值􀂾信息社会对信息的高度依赖􀁺信息的高附加值会引起盗窃、滥用等威胁9信息安全风险来源RISKSOURCES10传统的防护体系---安全技术11ISO27001现代的防护体系---技术+管理12ISO27001:2013发展史13ISO27001:2013标准正文部分参考SOA(A9~15)控制措施）SOA(A7）SOA(A11A8）SOA(A5、A6）SOA(A18合规性）SOA(A16、A17）14ISMS信息安全管理体系模式图ISMS15标准附录AA5安全方针InformationSecurityPoliciesA6信息安全的组织OrganisationofInformationSecurityA7人力资源安全HumanResourcesSecurityA8资产管理AssetManagementA9访问控制AccessControlA10加密CryptographyA11物理与环境安全Physical&EnvironmentalSecurityA12操作安全OperationsSecurityA13通信安全CommunicationsSecurityA14信息系统获取、开发和维护Systemacquisition,developmentandmaintenanceA15供应关系SupplierRelationshipsA16信息安全事件管理InformationsecurityincidentmanagementA17信息安全方面的业务持续管理InformationsecurityaspectsofbusinesscontinuitymanagementA18符合性Compliance1627000概况和术语27001要求27006认证机构要求27002实用规则27003应用指南27004测量27005风险管理27007审核指南术语通用要求通用指南27799健康领域27011电信领域ISO/IEC27001标准族×××领域17ISMS体系建立与实施进行信息安全风险评估确立信息安全方针定义ISMS的范围信息安全风险管理准备信息安全适用性声明答疑？