搜索
赛宝认证中心CEPREICertificationBody信息安全管理企业管理层培训2赛宝认证中心CEPREICertificationBody一、信息安全管理的基本背景二、信息安全典型案例分析三、ISO27000系列标准简介四、ISO27001信息安全项目实施流程五、管理层在信息安全管理中的职责内容介绍赛宝认证中心CEPREICertificationBody第一部分信息安全管理的基本背景4赛宝认证中心CEPREICertificationBody背景-信息时代我们已经身处信息时代信息时代的特征¾计算机和网络成为重要的生产工具¾传统的时间和空间观发生了巨大变化¾信息成为人类社会发展的重要资源¾信息爆炸¾安全的概念被不断扩展和延伸5赛宝认证中心CEPREICertificationBody什么是信息?从任何来源产生的知识。信息是经过分析、共享和理解的数据或资料。信息也是一种资产,对一个组织而言具有价值,因而需要适当保护---ISO/IEC270016赛宝认证中心CEPREICertificationBody信息的全生命周期保护信息的生命周期:建立贮存处理销毁传送丢失损毁使用?!!恶意或不当行为7赛宝认证中心CEPREICertificationBody信息的存储形式纸、胶片;硬盘、U盘、光盘、磁带、磁光盘;计算机网络;大脑;……8赛宝认证中心CEPREICertificationBody组织的“信息”在哪里?¾雇员的大脑:42%;¾纸质文件:26%;¾电子文档:20%¾其他:12%;不论信息采取何种方式或采取何种手段共享或存储,它总应得到妥善保护----ISO/IEC270019赛宝认证中心CEPREICertificationBody企业应保护什么信息?¾知识产权;¾技术秘密;¾重要的合同;¾客户资料;¾软件产品的源代码;¾财务数据;¾内部文件;¾…………10赛宝认证中心CEPREICertificationBody信息为什么会有安全问题¾信息具有重要的价值z信息社会对信息的高度依赖z信息的高附加值会引起盗窃、滥用等威胁¾信息处理设施(包括人员)固有的脆弱性z信息本身易传播、易毁坏、易伪造z各类信息处理设施的脆弱性¾信息安全管理的不健全11赛宝认证中心CEPREICertificationBody信息安全的定义ISO/IEC27001:2005保持信息的保密性、完整性、可用性;另外,也包括其他属性,如:真实性、可核查性、不可否认性和可靠性。保密性完整性可用性12赛宝认证中心CEPREICertificationBody信息安全三元组保密性Confidentiality:信息不能被未授权的个人、实体或者过程利用或知悉的特性。完整性Integrity保护资产的准确和完整的特性。可用性Availability:根据授权实体的要求可访问和利用的特性。13赛宝认证中心CEPREICertificationBody国家为什么需要信息安全国家安全的需要¾政治、军事、经济、教育对信息的依赖¾要符合法律、法规的要求14赛宝认证中心CEPREICertificationBody企业为什么需要信息安全信息安全能帮助企业盈利吗增加收入a)保护核心信息资产、知识产权,获得竞争优势;b)增强可用性,提高企业反应速度,获得更高客户满意度;降低成本a)良好的信息安全规划和风险评估会减少企业盲目的IT投资;b)减少了因系统中断、服务中断而带来的客户不满意度以及相关的失效处理成本;15赛宝认证中心CEPREICertificationBody企业为什么需要信息安全信息安全能帮助企业降低运营风险吗强有力的内部信息安全控制业务持续性计划与测试安排16赛宝认证中心CEPREICertificationBody企业为什么需要信息安全满足法规的需求法规对信息安全控制的需求,如萨班斯法案保护组织和个人信息的需求赛宝认证中心CEPREICertificationBody第二部分信息安全典型案例分析18赛宝认证中心CEPREICertificationBody原华为工程师网上盗卖充值卡案例一19赛宝认证中心CEPREICertificationBody2006年2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案:UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程稚瀚,在任华为工程师时负责西藏移动等公司的设备安装工作。自2005年2月,从西藏移动公司系统进入北京移动公司的充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。利用特权进入充值数据库20赛宝认证中心CEPREICertificationBody在随后4个多月中他在充值数据库中如此操作,并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,获利380万元。2005年7月,程稚瀚在窃取最后一批密码时,忘记了修改有效日期,他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日,北京移动接到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。获利380万元被判处有期徒刑12年,剥夺政治权利2年,罚款5万元。21赛宝认证中心CEPREICertificationBody创维两工程师偷卖技术换股份案例二22赛宝认证中心CEPREICertificationBody谢某、吴某在2004年分别担任创维公司硬件、软件工程师,主要负责参与该公司机顶盒的研制,由于工作内容都与关键技术有关,他们都被要求与创维公司签订了《保密合同书》。二人均承诺未经创维公司书面许可,不得披露、使用以及允许他人使用其参与开发的职务成果和所了解的技术秘密及经营秘密,并不得利用上述技术秘密和经营秘密从事对创维公司构成竞争的任何行为。两工程师都曾承诺保密23赛宝认证中心CEPREICertificationBody2004年10月,深圳龙岗信昌塑胶厂的王某通过他人找到谢某和吴某,王某向二人提出由王某出资入股,谢某和吴某以创维公司的技术秘密入股,成立香港爱迪威科技有限公司,合作开发DVB产品。二人分别拥有7%和6%的股份,每月月薪8500元。面对高额回报,二人动心了,并随后开始行动。谢某将创维公司采取保密措施的DVB-S、DVB-T、DVB-C软件复制后带出,吴某则偷偷复制了创维公司采取保密措施的DVB-S技术资料。带技术化名加入他公司24赛宝认证中心CEPREICertificationBody2004年12月,两人离职化名为李光华和刘树来到王某的塑胶厂担任硬、软件工程师,利用从创维公司窃取的技术资料研发DVB-S、DVB-T机顶盒,并于2005年4月研制出模型机,前往香港参展。2005年7月,他们生产出样机50台,并将该种样机寄往国外20多家客户,还接受了沙特阿拉伯一家公司的500台订单(30美元/台)。另外,谢某曾于2005年5月30日将其复制的创维公司的DVB-S技术以人民币12万元的价格卖给他人。离职后研制模型机参展25赛宝认证中心CEPREICertificationBody谢某、吴某违反有关保守秘密的要求,利用非法复制的DVB技术秘密入股,成立公司与他人合伙生产,给创维公司造成重大损失。法院判定创维公司的损失额为152.5万元,已构成侵犯商业秘密罪。法院判决,侵犯商业秘密罪,罪名成立均获刑,鉴于二被告人认罪态度较好,且谢某在案发后能主动退赃,可酌情从轻处罚。被控侵犯商业秘密罪26赛宝认证中心CEPREICertificationBody广州好又多商业资讯被外泄案例三27赛宝认证中心CEPREICertificationBody1997年8月,广州好又多百货商场资讯部副课长李建新,违反规定擅自从公司中心服务器上将公司的供货商名址、商品购销价格、公司经营业绩及会员客户通讯录等资料下载并秘密复制,然后分别以8、10万元价格向广东天资百货和“万客隆”两商业机构兜售。“万客隆”与李两次洽商并确认资料后购买,并安装到公司的电脑主机上。同年9月,“好又多”因经营业绩大幅下跌,蒙受经济损失4200万元,经调查发现是因公司商业秘密外泄所致,并将李人脏并获,李被天河区人民法院以侵犯商业秘密罪判处有期徒刑两年。广州好又多巨亏4200万元28赛宝认证中心CEPREICertificationBody苏州医疗器械总厂技术专利被侵占案例四29赛宝认证中心CEPREICertificationBody苏州医疗器械总厂是卫生部在国内定点生产眼科医疗器械的唯一工厂,其专利产品裂隙灯显微镜、显微器械、眼用手术显微镜、眼用电子治疗器械、人工晶体在国内市场占有率85%以上。1993年4月,该厂一车间副主任联络两名技术工人脱离该厂,组建了个体企业“明仁医疗器械厂”,生产与定点厂专利完全相同的产品。由于不需要为产品开发支付成本,“明仁”产品具有明显的价格优势,迅速挤占了市场。使总厂蒙受损失300多万元,市场份额在一天天缩小。明仁挤垮总厂30赛宝认证中心CEPREICertificationBody张氏铜锣技术秘密泄露案例五31赛宝认证中心CEPREICertificationBody祖传三代打冷铁的张老板早在80年代便以响当当的铜锣产品稳占广东市场,后来还打进了东南亚国家。有一铜锣制造商向张老板取经,憨厚的张老板如实答道:“我的锣是铁打的,不过不是一般的铁,是用几种金属混合制成,既有铜锣洪亮的声音,又无铜质易脆裂弱点,乃张家祖传秘方。”一记者采访后写成报道,先后在几家新闻媒体刊载和播出。没想到这一来竟把张氏铜锣市场砸了。“你把铁锣当铜锣卖,骗人”退货和责骂如潮涌来,张老板苦苦解释也无法挽回失去的顾客。张氏铜锣市场砸了32赛宝认证中心CEPREICertificationBody广州政府部门等网页被黑案例六33赛宝认证中心CEPREICertificationBody广州市物价局网站被链上黄色网页图片来源:南方都市报谭伟山摄34赛宝认证中心CEPREICertificationBody广州国土局网页被黑后的致歉声明截图35赛宝认证中心CEPREICertificationBody广州台湾办被黑网页36赛宝认证中心CEPREICertificationBody广州保密办被黑网页37赛宝认证中心CEPREICertificationBody金山剑侠官方网页被黑截图38赛宝认证中心CEPREICertificationBody方正宽带首页被黑截图39赛宝认证中心CEPREICertificationBody中科院国家天文台网页被黑截图40赛宝认证中心CEPREICertificationBody软件泄密打开日本信息安全天窗案例七41赛宝认证中心CEPREICertificationBody2006年2月下旬,海上自卫队护卫舰相关密码信息流失到国际互联网上。3月份,陆上自卫队和航空自卫队的业务信息、冈山县和爱媛县警方的搜查信息泄露。其他的流失信息还包括医院的患者个人信息、银行的票据处理记录、学校的学生成绩表等。日本首相小泉纯一郎,指示官房长官安倍晋三调查,人们发现一系列信息泄漏事件有一个共同点,那就是这些机构内部工作人员都曾经用装有winny软件的私人电脑处理公务。42赛宝认证中心CEPREICertificationBodywinny是在日本广受欢迎的一款网络文件交换软件,用户可用它在网上检索感兴趣的电影、音乐和游戏等文件,如果在其他winny用户电脑的共享文件夹中找到了需要的文件,就可以随心所欲地下载。该软件于2002年12月问世,可以从网上免费下载。使用以往的软件交换文件需要通过服务器,而winny支持电脑间不经由服务器直接交换数据。winny基于自由网模式,用户的IP地址是保密的,同时它能有效突破防火墙。winny的上述特点使它的人气急剧攀升,目前日本国内用户据说已逾百万。43赛宝认证中心CEPREICertificationBody如果