ISMS内审员培训课件(PPT-57张)

1ISMS内审员培训课程SGS-CSTCStandardsTechnicalServicesCo.,Ltd.第一部分信息安全基础知识及案例介绍第二部分ISO27001标准正文部分详解ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分信息安全管理体系内部审核课程内容3了解信息安全基础知识熟悉ISO27001标准熟悉信息安全风险管理的基本方法熟悉和掌握信息安全管理体系内审方法和技巧总体课程目标4欢迎参加ISMS内审员课程培训SGS-CSTC介绍讲师介绍5第一部分信息安全基础知识6了解信息安全基础知识认识信息安全对组织的重要性了解基本的攻击与防御技术知识通过信息安全案例增强安全意识初步接触ISO/IEC27001:2005教学目标7信息是经过分析、共享和理解的数据。信息的基本概念8信息的处理方式9企业管理关注的信息类型10雇员的大脑：42%；纸质文件：26%；电子文档：20%其他：12%；“不论信息采取何种方式或采取何种手段共享或存储，它总应得到妥善保护”组织的“信息”在哪里？1112信息安全定义（部分）国标《计算机信息系统安全保护等级划分准则》定义：“计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统，实现安全保护的关键因素是人。“部标《计算机信息系统安全专用产品分类原则》定义是：“本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。”ISO27002定义：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”国际标准化委员会定义：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏（可用性）、更改（完整性）、显露（机密性）”13信息安全定义百家争鸣、无一定论所涉及安全属性所涉及层面14管理/人员安全数据/信息安全运行安全实体/物理安全应用安全系统安全网络安全物理安全信息安全数据安全信息安全分层15机密性(Confidentiality)完整性可用性（Integrity）(Availability)机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）国际国内一些学者16信息安全的定义ISO/IEC27002：2005保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、不可否认性和可靠性。保密性完整性可用性17信息安全的定义18Slide18,rev0CMM/CMMISCAMPI(StandardCMMIAppraisalMethodforProcessImprovement)ITILISO13335各种概念BCM/BS25999ISO15408/CCISO9001COSO19Servicemgmt.AP.Dev.(SDLC)Projectmgmt.ITSecurityITPlanningQualitySystemITOperationsEnter.mgmt.Riskmgmt.ITGov.QualitySystems&Mgmt.FrameworksCOSO/BS31100/SOXISO38500/COBITISO20000/ITIL/CMMI-SVCCMMIISO12207ISO15504ISO2700X/ISO13335/SOXPCI/GLBA/HIPAA/BaseII...PMIISStrategySIXSigmaISO900XBCMBS25999BS2577720Mainregulationsandstandards:SOX:impactpubliccompaniesandfocusonfinancialinformationGramm-Leach-Bliley:impactfinancialindustryandfocusoncustomerinformationHIPAA:impactmedicalindustryandfocusoninformationofpatients,employees,customers,shareholders.PCIDSS:impactpaycardindustryandfocusoninformationofcardholdersISO27001:GeneralstandardsISO20000:focusonITservicesindustryOthers:BaseII,SCANDA,CA1386,FISMA,NIST...21信息具有重要的价值•信息社会对信息的高度依赖•信息的高附加值会引起盗窃、滥用等威胁信息及系统固有的脆弱性•信息本身易传播、易毁坏、易伪造•信息平台的脆弱性客观存在：不可避免的因素（技术局限、人的能力局限）、没有避免的因素（默认配置）威胁客观存在–恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等信息为什么会有安全问题22网络为什么不安全因为你连在网上……网络的美妙之处在于你和每个人都能互相连接网络的可怕之处在于每个人都能和你互相连接23信息资产内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道信息安全面临各种安全威胁24TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听25常规的防护技术措施物理安全技术：环境安全、设备安全、媒体安全；系统安全技术：操作系统及数据库系统的安全性；网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全；数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性；认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等；访问控制技术：防火墙、访问控制列表等；审计跟踪技术：入侵检测、日志审计、辨析取证；防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。信息安全＝技术＋产品=防病毒软件＋防火墙＋入侵检测系统＋...？2627是不是把相关技术及产品都部署到位了，就安全了呢？到底如何做才能真正保障信息安全呢？下面我们先来看几个案例28北京市民抢购热情高奥运售票系统瘫痪2007年10月30日星期二14:51路透北京10月30日电(记者NickMulvenney/刘蓁)---2008北京奥运会门票销售的第二阶段周二早上开始，由于购票者甚多，订票网站和电话线全部堵塞，购票定点银行的门前也排起了长队。奥组委宣布，在售票系统开启後的第一个小时，订票网站的点击量就达到了800万，组委会还接到了200万个订票电话。“由于当前访问量过大，票务销售系统数据处理能力相对有所不足，从而造成目前各售票渠道出现售票速度较慢、暂时不能登录系统的情况。”北京奥组委在奥运会官方网站()上说。“北京奥运票务中心正在积极采取措施，增加系统处理能力，改善目前的运行状况。因此，通过中国银行和呼叫中心购票的公众需晚些时候再尝试申购。”29诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾2007年05月18日17:12:00来源：新华网新华网北京５月１８日专电（记者顾洪洪）诺顿误杀导致操作系统崩溃，数以百万计的电脑面临灭顶之灾。５月１８日，瑞星发布红色安全警报称：赛门铁克公司提供的诺顿杀毒软件在升级病毒库后，会把ＷｉｎｄｏｗｓＸＰ系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。瑞星公司表示，截至１８日中午１２点已有超过７０００名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。302001年9月11日，恐怖份子袭击了纽约世界贸易中心，造成3栋塔楼倒塌，近3000人失踪和死亡。DeutscheBank93年开始风险分析，并建立了一整套完整的业务连续性计划（BCP），以应对突发事件或灾难。灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行。911后，员工和客户对德意志银行都更加有信心。BankofNewYork:数据中心位于灾场附近，通讯线路全部中断，造成连锁反应。其第三季度的利润因此下降了33％。应急预案与BCM319.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。据GartnerGroup统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。应急预案与BCM322006年2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案：UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程姓工程师，在任华为工程师时负责西藏移动等公司的设备安装工作。自2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。利用特权进入充值数据库案例一信息来源网易在随后4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。获利380万元被判处有期徒刑12年,剥夺政治权利2年,罚款5万元。案例一34案例一剖析原因措施加强对系统特权帐户的管理口令强壮，定期更新加强系统审计加密符合国家标准程有特权帐户和密码承包商未对系统特权帐户善后客户系统管理员未审计日志加密方法简单35软件泄密打开日本信息安全天窗案例二网易转载新华网年2月下旬，海上自卫队护卫舰相关密码信息流失到国际互联网上。3月份，陆上自卫队和航空自卫队的业务信息、冈山县和爱媛县警方的搜查信息泄露。其他的流失信息还包括医院的患者个人信息、银行的票据处理记录、学校的学生成绩表等。日本首相小泉纯一郎，指示官房长官安倍晋三调查，人们发现一系列信息泄漏事件有一个共同点，那就是这些机构内部工作人员都曾经用装有winny软件的私人电脑处理公务。案例二37winny是在日本广受欢迎的一款网络文件交换软件，用户可用它在网上检索感兴趣的电影、音乐和游戏等文件，如果在其他winny用户电脑的共享文件夹中找到了需要的文件，就可以随心所欲地下载。该软件于2002年12月问世，可以从网上免费下载。使用以往的软件交换文件需要通过服务器，而winny支持电脑间不经由服务器直接交换数据。winny基于自由网模式，用户的IP地址是保密的，同时它能有效突破防火墙。案例二38如果使用winny下载的文件中隐藏着“Antinny”等病毒，用户只要双击下载的文件图标，就会导致电脑感染病毒。病毒在电脑中任意将个人文件压缩后放置到共享文件夹中，导致信息泄漏。由于电脑本身不会出现异常，用户往往直到被别人告知自己的个人信息泄漏了，才意识到电脑感染了病毒。更为糟糕的是，流失的文件会被记录到许多电脑中，几乎不可能