搜索
ISO27001信息安全管理体系介绍页数1招商银行信息系统内部审计培训招商银行信息系统内部审计培训ISO27001信息安全管理体系介绍2009年3月ISO27001信息安全管理体系介绍页数2招商银行信息系统内部审计培训1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系介绍页数3招商银行信息系统内部审计培训几个问题►信息是否是企业的重要资产?►信息的泄漏是否会给企业带来重大影响?►信息的真实性对企业是否带来重大影响?►信息的可用性对企业是否带来重大影响?►我们是否清楚知道什么信息对企业是重要的?►信息的价值是否在企业内部有一个统一的标准?►我们是否知道企业关系信息的所有人►我们是否知道企业关系信息的信息流向、状态、存储方式,是否收到足够保护?►信息安全事件给企业造成的最大/最坏影响?ISO27001信息安全管理体系介绍页数4招商银行信息系统内部审计培训1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系介绍页数5招商银行信息系统内部审计培训信息资产►信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排(fallbackarrangement)、审核跟踪记录(audittrails)、归档信息;►软件资产:应用软件、系统软件、开发工具和实用程序;►物理资产:计算机设备、通信设备、可移动介质和其他设备;►服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施(例如,供暖,照明,能源,空调);►人员,他们的资格、技能和经验;►无形资产,如组织的声誉和形象。信息资产类型:ISO27001信息安全管理体系介绍页数6招商银行信息系统内部审计培训信息资产►电脑数据►网络传输►传真►纸上记录►图片►数码照片►光盘磁带►电话交谈►人的大脑等信息资产存在方式:ISO27001信息安全管理体系介绍页数7招商银行信息系统内部审计培训信息资产►产生►使用►存储►传输►销毁/抛弃信息资产的生命周期:产生使用存贮传输销毁/抛弃ISO27001信息安全管理体系介绍页数8招商银行信息系统内部审计培训什么是信息安全?ISO27001将信息安全定义如下:保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性保密性可用性►保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性►可用性:根据授权实体的要求可访问和利用的特性►完整性:保护资产的准确和完整的特性ISO27001信息安全管理体系介绍页数9招商银行信息系统内部审计培训1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系介绍页数10招商银行信息系统内部审计培训信息安全管理体系(ISMS)介绍►InformationSecurityManagementSystem(ISMS)信息安全管理体系►基于国际标准ISO/IEC27001:信息安全管理体系要求►是综合信息安全管理和技术手段,保障组织信息安全的一种方法►ISMS是管理体系(MS)家族的一个成员►ISO/IECJTC1/SC27/WG1(国际标准化组织/国际电工委员会联合技术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南ISO27001信息安全管理体系介绍页数11招商银行信息系统内部审计培训ISO27000系列标准标准序号标准名称发布时间ISO/IEC27000基础与术语起草中,未发布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS实用规则2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS实施指南起草中,未发布ISO/IEC27004ISMSMetricsandMeasurementISMS的测量起草中,未发布ISO/IEC27005InformationSecurityRiskManagement信息安全风险管理2008年6月ISO/IEC27006CertificationandRegistrationprocess审核认证机构要求2007年2月ISO27001信息安全管理体系介绍页数12招商银行信息系统内部审计培训ISO27001的历史1995年1998年1999年2000年2002年2005年发布BS7799Part1发布BS7799Part2发布新版BS7799Part1&2发布ISO17799:2000发布新版BS7799-2发布ISO17799:2005发布ISO27001:20052007年ISO27002:2005替代ISO17799:2005ISO27001信息安全管理体系介绍页数13招商银行信息系统内部审计培训等同的国家标准►GB/T22080-2008信息技术安全技术信息安全管理体系要求►GB/T22081-2008信息技术安全技术信息安全管理实用规则我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布两个新的国家标准,并于2008年11月1日起实施。ISO27001信息安全管理体系介绍页数14招商银行信息系统内部审计培训提升竞争力提高合规性满足利益相关方期望实施ISMS的好处►建立持续改进的信息安全与风险管理►有效保护组织的知识产权►有效保护客户信息►提升组织形象►提升内部控制►符合国家信息安全管理标准要求►保护商业机密►遵从法律法规要求►更好的IT服务质量►保证业务连续性►增强自信与客户信任度►提升投资回报率ISO27001ISO27001信息安全管理体系介绍页数15招商银行信息系统内部审计培训当前获得ISO27001证书的组织分布(2008年9月)ISO27001信息安全管理体系介绍页数16招商银行信息系统内部审计培训1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系介绍页数17招商银行信息系统内部审计培训ISO27001信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系(InformationSecuritryManagementSystems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。ISO27001信息安全管理体系介绍页数18招商银行信息系统内部审计培训1.定义范围和边界2.定义安全策略3.定义风险评估方法4.识别风险5.识别和评价风险6.识别和评价风险处理的可选措施7.为处理风险选择控制目标和控制措施8.获得管理者对建议的残余风险的批准9.获得管理者对实施和运行ISMS的授权准备适用性声明(SoA)建立ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMSISO27001信息安全管理体系介绍页数19招商银行信息系统内部审计培训实施和运行ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.制定风险处理计划2.实施风险处理计划3.实施培训和意识教育计划4.管理ISMS的运行5.管理ISMS的资源6.应急响应、事故管理ISO27001信息安全管理体系介绍页数20招商银行信息系统内部审计培训监视和评审ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.执行监视与评审程序和其它控制措施2.ISMS有效性的定期评审3.测量控制措施的有效性4.定期实施ISMS内部审核5.定期进行ISMS管理评审ISO27001信息安全管理体系介绍页数21招商银行信息系统内部审计培训保持和改进ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.实施已识别的ISMS改进措施2.采取合适的纠正和预防措施3.从安全经验中吸取教训4.向所有相关方沟通措施和改进情况ISO27001信息安全管理体系介绍页数22招商银行信息系统内部审计培训1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系介绍页数23招商银行信息系统内部审计培训风险的概念►风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结果的潜在因素。►对信息系统而言:两种因素造成对其使命的实际影响:►一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率►上述事件发生之后所带来的影响►在ISO/IECGUIDE73将风险定义为:事件的概率及其结果的组合。ISO27001信息安全管理体系介绍页数24招商银行信息系统内部审计培训风险管理的目标►风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。►风险管理被认为是良好管理的一个组成部分。►风险管理的目标:高影响低概率高影响高概率低影响低概率底影响低概率影响概率概率ISO27001信息安全管理体系介绍页数25招商银行信息系统内部审计培训信息安全风险管理一般方法资产识别威胁识别分析和评价风险风险处理计划识别脆弱性当前控制措施分析风险监控、检查与沟通ISO27001信息安全管理体系介绍页数26招商银行信息系统内部审计培训识别威胁►威胁威胁可多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径►几种常见威胁:►自然灾害►计算机犯罪►员工操作失误►商业间谍►黑客ISO27001将威胁定义如下:可能导致对系统或组织的损害的不期望事件发生的潜在原因ISO27001信息安全管理体系介绍页数27招商银行信息系统内部审计培训识别脆弱性►脆弱性常被成为漏洞►几种常见脆弱性:►简单口令►员工安全意思淡薄►第三方缺乏保密协议►变更管理薄弱►明文传输信息►经验表明:大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的,但是进行风险评估时往往过分注重技术脆弱性。ISO27001将脆弱性定义如下:可能会被一个或多个威胁所利用的资产或一组资产的弱点ISO27001信息安全管理体系介绍页数28招商银行信息系统内部审计培训分析当前控制ISO27002将控制定义如下:管理风险的方法,包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。►控制措施也用于防护措施或对策的同义词。►本步的目标是对已经实现或规划中的安全防护措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性(或概率)ISO27001信息安全管理体系介绍页数29招商银行信息系统内部审计培训风险的分析与评价►风险分析:系统地使用信息来识别风险来源和估计风险►风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程►存在定性、定量两种风险分析方法►实例:MHHMMH4MMMMMHMMM3MMMMMMMMM2MMMMMMLMM1LLMLMMMHAssetValue0LLLLLMMediumHighLevelofVulnerabilityLMHLMHLLevelofThreatLowISO27001信息安全管理体系介绍页数30招商银行信息系统内部审计培训风险处理策