信息安全管理培訓(xùn)課件

信息安全培訓(xùn)對象：高級組長及以上信息安全培訓(xùn)對象：高級組長及以上培訓(xùn)目標(biāo)1、認(rèn)識到信息安全管理的重要性2、了解到信息安全的重點在于管理3、熟練信息安全管理的工作內(nèi)容培訓(xùn)目標(biāo)1、認(rèn)識到信息安全管理的重要性信息安全目錄一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目標(biāo)五、實現(xiàn)信息安全的意義六、信息安全的需求來源七、如何做好信息安全整體規(guī)劃八、如何實現(xiàn)信息安全信息安全目錄一、信息安全案例信息安全案例共享打印機(jī)帶來的問題文件帶來的問題泄露給別人打印機(jī)密文件看看他們的標(biāo)書他偷看我標(biāo)書，中標(biāo)了結(jié)果：損失200萬結(jié)果：損失1000萬提高安全意識，加強(qiáng)安全預(yù)防，注重安全管理信息安全案例共享打印機(jī)帶來的問題文件帶來的問題泄露給別人打印什么是信息以下哪些屬于信息?數(shù)據(jù)專利計算機(jī)文件聲音紙張什么是信息以下哪些屬于信息?數(shù)據(jù)專利計算機(jī)文件聲音紙張什么是信息定義：是事物運動的狀態(tài)與方式，是物質(zhì)的一種屬性。文件數(shù)據(jù)聲音圖像信息實例特征：依附載體；可傳遞；可共享；可存儲；時效性什么是信息定義：是事物運動的狀態(tài)與方式，是物質(zhì)的一種什么是信息安全定義：保護(hù)信息資產(chǎn)免遭惡意破壞，保證業(yè)務(wù)連續(xù)可靠運行。硬件軟件數(shù)據(jù)信息資產(chǎn)什么是信息安全定義：保護(hù)信息資產(chǎn)免遭惡意破壞，保證業(yè)基本目標(biāo)保密性完整性可用性不被篡改不會泄漏隨時訪問基本目標(biāo)保密性完整性可用性不被篡改不會泄漏隨時訪問實現(xiàn)信息安全的意義◆能保證企業(yè)的業(yè)務(wù)活動穩(wěn)定有效的運作◆提高客戶滿意度滿意度業(yè)務(wù)運作實現(xiàn)信息安全的意義◆能保證企業(yè)的業(yè)務(wù)活動穩(wěn)定有效的運作滿意度信息安全需求來源法律規(guī)定、客戶組織要求法律及合約的要求：組織的目標(biāo)及規(guī)定：企業(yè)為保證業(yè)務(wù)連續(xù)性而要求風(fēng)險評估的結(jié)果：對存在的弱點，威脅的改進(jìn)要求信息安全需求來源法律規(guī)定、客戶組織要求法律及合約的要如何做好信息安全整體規(guī)劃目標(biāo)Objective：

明確信息安全建設(shè)的核心目標(biāo)。對象Object：

明確保護(hù)對象（信息資產(chǎn)）： 關(guān)鍵數(shù)據(jù)、應(yīng)用系統(tǒng)、實物資產(chǎn)、設(shè)施和環(huán)境，以及人員。規(guī)范Document：

制定可實施的一套方針、標(biāo)準(zhǔn)、指南、程序和規(guī)范要求文件，為所有信息安全活動提供指導(dǎo)，最終實現(xiàn)信息安全需求。如何做好信息安全整體規(guī)劃目標(biāo)Objective：過程Process：

P:信息安全先做規(guī)劃，明確需求，制定應(yīng)對方案；

D:實施解決方案；

C:通過檢查，鞏固成果，發(fā)現(xiàn)不足；

A:采取后續(xù)措施，改進(jìn)不足，推動信息安全持續(xù)進(jìn)步。

如何做好信息安全整體規(guī)劃如何做好信息安全整體規(guī)劃如何建設(shè)ISMSISMS定義：安全信息管理體系從建立、實施、監(jiān)控、改進(jìn)信息安全的系列管理活動計劃階段（P）：如何建設(shè)ISMSISMS定義：安全信息管理體系計劃階段（P）如何建設(shè)ISMS實施階段（D）：如何建設(shè)ISMS實施階段（D）：如何建設(shè)ISMS檢查與改進(jìn)階段（C，A）：如何建設(shè)ISMS檢查與改進(jìn)階段（C，A）：如何建立ISMS文件體系如何建立ISMS文件體系如何建立ISMS文件體系如何建立ISMS文件體系如何實現(xiàn)信息安全一、安全技術(shù)二、安全管理三分靠技術(shù)，七分靠管理如何實現(xiàn)信息安全一、安全技術(shù)三分靠技術(shù)，七分靠管理如何實現(xiàn)信息安全安全技術(shù)：如何實現(xiàn)信息安全安全技術(shù)：如何實現(xiàn)信息安全安全管理：解決三大問題組織制度人員建設(shè)組織機(jī)構(gòu)并明確責(zé)任建立安全管理制度體系加強(qiáng)人員的安全意識，并進(jìn)行安全教育培訓(xùn)如何實現(xiàn)信息安全安全管理：解決三大問題組織制度人員建設(shè)組織機(jī)信息安全管理內(nèi)容符合性業(yè)務(wù)連續(xù)性管理安全事件管理系統(tǒng)開發(fā)維護(hù)訪問控制通信與操作管理物理安全人力資源安全資產(chǎn)管理組織信息安全安全策略領(lǐng)域三分靠技術(shù)，七分靠管理信息安全管理內(nèi)容符合性業(yè)務(wù)連續(xù)安全事件系統(tǒng)開發(fā)訪問控制通信與信息安全管理內(nèi)容安全策略1、信息安全策略 制定信息安全策略文件 定期復(fù)查信息安全策略企業(yè)級的安全方針部門級的安全策略個人級的安全策略信息安全管理內(nèi)容安全策略1、信息安全策略企業(yè)級的安全方針信息安全管理內(nèi)容組織信息安全1、內(nèi)部組織： 分派信息安全責(zé)任 制定保密協(xié)議； 常對信息安全作評審2、外部組織：

識別與外部伙伴的風(fēng)險 與客戶交往時應(yīng)注意安全

第三方協(xié)議中注明安全信息安全管理內(nèi)容組織信息安全1、內(nèi)部組織：信息安全管理內(nèi)容資產(chǎn)管理1、資產(chǎn)責(zé)任：

資產(chǎn)清單

資產(chǎn)屬主 對資產(chǎn)的可接受使用2、資產(chǎn)分類：確保信息資產(chǎn)得到適當(dāng)級別的保護(hù) 分類指南 信息標(biāo)注與處理信息安全管理內(nèi)容資產(chǎn)管理1、資產(chǎn)責(zé)任：信息安全管理內(nèi)容人力資源安全1、聘用前： 定義雇員角色和責(zé)任 篩選合適人員 制定聘用條件條款2、聘用間： 提供員工安全教育培訓(xùn) 制定獎罰機(jī)制3、解聘后/職位變更： 制定解聘責(zé)任 要求員工返還資產(chǎn) 去除員工訪問權(quán)限 重定義員工轉(zhuǎn)崗時的角色責(zé)任及利用的資產(chǎn)信息安全管理內(nèi)容人力資源安全1、聘用前：信息安全管理內(nèi)容物理與環(huán)境管理1、安全區(qū)域：防止非授權(quán)的訪問安全區(qū)邊界 物理安全邊界 控制物理入口（安裝防盜門鎖之類） 制定場所、房間、設(shè)施保護(hù)規(guī)則 在安全區(qū)域內(nèi)工作2、設(shè)備安全：防止資產(chǎn)丟失、破壞 設(shè)備的安置與保護(hù) 供電 電纜安全 設(shè)備維護(hù) 設(shè)備報廢的安全信息安全管理內(nèi)容物理與環(huán)境管理1、安全區(qū)域：防止非授權(quán)的訪問信息安全管理內(nèi)容通信與操作管理1、操作程序和責(zé)任：

操作程序的文檔化 變更管理2、第三方服務(wù)交付管理：

服務(wù)交付 監(jiān)督第三方服務(wù) 第三方服務(wù)變更管理3、系統(tǒng)規(guī)劃驗收: 容量管理對于共享文件應(yīng)存放在公告目錄中，發(fā)內(nèi)部郵件時最好不加附件，而使用超鏈接導(dǎo)航到文件信息安全管理內(nèi)容通信與操作管理1、操作程序和責(zé)任：對于共享文信息安全管理內(nèi)容4、抵卸惡意代碼：

惡意代碼控制5、備份: 信息備份6、網(wǎng)絡(luò)安全管理： 網(wǎng)絡(luò)管理控制 網(wǎng)絡(luò)服務(wù)安全控制7、介質(zhì)處理： 移動介質(zhì)管理規(guī)定8、監(jiān)視：發(fā)現(xiàn)非授權(quán)活動 監(jiān)視系統(tǒng)使用 操作日志 問題日志信息安全管理內(nèi)容4、抵卸惡意代碼：信息安全管理內(nèi)容1、訪問控制的業(yè)務(wù)需求：控制對信息的訪問 訪問控制策略2、用戶訪問管理：授權(quán)用戶對系統(tǒng)的訪問 用戶注冊 權(quán)限管理 口令管理3、用戶責(zé)任： 口令使用 在操作無人值守的設(shè)備時要注意信息安全訪問控制信息安全管理內(nèi)容1、訪問控制的業(yè)務(wù)需求：控制對信息的訪問訪問信息安全管理內(nèi)容4、網(wǎng)絡(luò)訪問控制：授權(quán)用戶訪問網(wǎng)絡(luò) 網(wǎng)絡(luò)服務(wù)使用策略 對連接用戶進(jìn)行身份確認(rèn) 端口保護(hù)及控制 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制5、操作系統(tǒng)訪問控制： 安全的登錄程序 身份識別 口令管理 會話超時 限制連接時間信息安全管理內(nèi)容4、網(wǎng)絡(luò)訪問控制：授權(quán)用戶訪問網(wǎng)絡(luò)信息安全管理內(nèi)容1、信息系統(tǒng)的安全需求： 安全需求分析與規(guī)范2、應(yīng)用程序中的正確處理： 數(shù)據(jù)驗證 內(nèi)部處理控制 輸出數(shù)據(jù)驗證3、密碼控制：

密碼控制使用策略4、程序文件的安全：

控制運營系統(tǒng)上的軟件 保護(hù)系統(tǒng)測試數(shù)據(jù) 對源代碼的訪問控制系統(tǒng)開發(fā)與維護(hù)5、開發(fā)與支持過程的安全：變更控制程序運營系統(tǒng)變更后應(yīng)做評審信息泄漏6、技術(shù)漏洞管理：控制技術(shù)漏洞信息安全管理內(nèi)容1、信息系統(tǒng)的安全需求：系統(tǒng)開發(fā)與維護(hù)5、開信息安全管理內(nèi)容控制目標(biāo)1、報告安全事件與缺陷：報告安全事件報告安全缺陷2、管理安全事件與改進(jìn)：責(zé)任與程序從事件中吸取教訓(xùn)信息安全事件管理要將安全事件及問題解決方案存檔，作為組織過程資產(chǎn).信息安全管理內(nèi)容控制目標(biāo)1、報告安全事件與缺陷：信息安全事件信息安全管理內(nèi)容1、業(yè)務(wù)連續(xù)