信息安全管理培訓(xùn)

1、,信 息 安 全,培訓(xùn)對(duì)象：高級(jí)組長及以上,培訓(xùn)目標(biāo),1、認(rèn)識(shí)到信息安全管理的重要性2、了解到信息安全的重點(diǎn)在于管理3、熟練信息安全管理的工作內(nèi)容,信息安全,目錄,一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目標(biāo)五、實(shí)現(xiàn)信息安全的意義六、信息安全的需求來源七、如何做好信息安全整體規(guī)劃八、如何實(shí)現(xiàn)信息安全,信息安全案例,共享打印機(jī)帶來的問題,文件帶來的問題,,泄露給別人,打印機(jī)密文件,結(jié)果：損失200萬

2、,結(jié)果：損失1000萬,提高安全意識(shí)，加強(qiáng)安全預(yù)防，注重安全管理,什么是信息,以下哪些屬于信息?,數(shù)據(jù),專利,計(jì)算機(jī),文件,聲音,紙張,什么是信息,定義：,是事物運(yùn)動(dòng)的狀態(tài)與方式，是物質(zhì)的一種屬性。,文件,數(shù)據(jù),圖像,信息實(shí)例,特征： 依附載體；可傳遞；可共享；可存儲(chǔ)；時(shí)效性,什么是信息安全,定義：,保護(hù)信息資產(chǎn)免遭惡意破壞，保證業(yè)務(wù)連續(xù)可靠運(yùn)行。,硬件,軟件,數(shù)據(jù),信息資產(chǎn),基本目標(biāo),,保密性,完整性,可用性,不被篡改,不會(huì)泄漏

3、,隨時(shí)訪問,實(shí)現(xiàn)信息安全的意義,◆能保證企業(yè)的業(yè)務(wù)活動(dòng)穩(wěn)定有效的運(yùn)作◆提高客戶滿意度,業(yè)務(wù)運(yùn)作,信息安全需求來源,法律規(guī)定、客戶組織要求,法律及合約的要求：,組織的目標(biāo)及規(guī)定：,企業(yè)為保證業(yè)務(wù)連續(xù)性而要求,風(fēng)險(xiǎn)評(píng)估的結(jié)果：,對(duì)存在的弱點(diǎn)，威脅的改進(jìn)要求,如何做好信息安全整體規(guī)劃,目標(biāo)Objective：明確信息安全建設(shè)的核心目標(biāo)。對(duì)象Object：明確保護(hù)對(duì)象（信息資產(chǎn)）：關(guān)鍵數(shù)據(jù)、應(yīng)用系統(tǒng)、實(shí)物資產(chǎn)、設(shè)施和環(huán)境，以及人

4、員。規(guī)范Document：制定可實(shí)施的一套方針、標(biāo)準(zhǔn)、指南、程序和規(guī)范要求文件，為所有信息安全活動(dòng)提供指導(dǎo)，最終實(shí)現(xiàn)信息安全需求。,過程Process：P:信息安全先做規(guī)劃，明確需求，制定應(yīng)對(duì)方案；D:實(shí)施解決方案；C:通過檢查，鞏固成果，發(fā)現(xiàn)不足；A:采取后續(xù)措施，改進(jìn)不足，推動(dòng)信息安全持續(xù)進(jìn)步。,如何做好信息安全整體規(guī)劃,如何建設(shè)ISMS,ISMS定義：安全信息管理體系從建立、實(shí)施、監(jiān)控、改進(jìn)信息安全的系列管

5、理活動(dòng),計(jì)劃階段（P）：,如何建設(shè)ISMS,實(shí)施階段（D）：,如何建設(shè)ISMS,檢查與改進(jìn)階段（C，A）：,如何建立ISMS文件體系,如何建立ISMS文件體系,如何實(shí)現(xiàn)信息安全,一、安全技術(shù)二、安全管理,三分靠技術(shù)，七分靠管理,如何實(shí)現(xiàn)信息安全,安全技術(shù)：,如何實(shí)現(xiàn)信息安全,安全管理：解決三大問題,組織,制度,人員,建設(shè)組織機(jī)構(gòu)并明確責(zé)任,建立安全管理制度體系,加強(qiáng)人員的安全意識(shí)，并進(jìn)行安全教育培訓(xùn),信息安全管理內(nèi)容,三分靠技術(shù)，七

6、分靠管理,信息安全管理內(nèi)容,安全策略,1、信息安全策略制定信息安全策略文件定期復(fù)查信息安全策略,企業(yè)級(jí)的安全方針部門級(jí)的安全策略個(gè)人級(jí)的安全策略,信息安全管理內(nèi)容,組織信息安全,1、內(nèi)部組織： 分派信息安全責(zé)任 制定保密協(xié)議；常對(duì)信息安全作評(píng)審2、外部組織：識(shí)別與外部伙伴的風(fēng)險(xiǎn)與客戶交往時(shí)應(yīng)注意安全第三方協(xié)議中注明安全,信息安全管理內(nèi)容,資產(chǎn)管理,1、資產(chǎn)責(zé)任：資產(chǎn)清單

7、資產(chǎn)屬主對(duì)資產(chǎn)的可接受使用2、資產(chǎn)分類：確保信息資產(chǎn)得到適當(dāng)級(jí)別的保護(hù)分類指南信息標(biāo)注與處理,信息安全管理內(nèi)容,人力資源安全,1、聘用前：定義雇員角色和責(zé)任篩選合適人員制定聘用條件條款2、聘用間：提供員工安全教育培訓(xùn)制定獎(jiǎng)罰機(jī)制3、解聘后/職位變更：制定解聘責(zé)任要求員工返還資產(chǎn)去除員工訪問權(quán)限重定義員工轉(zhuǎn)崗時(shí)的角色責(zé)任及利用的資產(chǎn),信息安全管理內(nèi)容,物理與環(huán)境管理,1、安全區(qū)域：

8、防止非授權(quán)的訪問安全區(qū)邊界物理安全邊界控制物理入口（安裝防盜門鎖之類）制定場(chǎng)所、房間、設(shè)施保護(hù)規(guī)則在安全區(qū)域內(nèi)工作2、設(shè)備安全：防止資產(chǎn)丟失、破壞 設(shè)備的安置與保護(hù)供電電纜安全設(shè)備維護(hù)設(shè)備報(bào)廢的安全,信息安全管理內(nèi)容,通信與操作管理,1、操作程序和責(zé)任：操作程序的文檔化變更管理2、第三方服務(wù)交付管理：服務(wù)交付監(jiān)督第三方服務(wù)第三方服務(wù)變更管理3、系統(tǒng)規(guī)劃驗(yàn)收:

9、 容量管理,對(duì)于共享文件應(yīng)存放在公告目錄中，發(fā)內(nèi)部郵件時(shí)最好不加附件，而使用超鏈接導(dǎo)航到文件,信息安全管理內(nèi)容,4、抵卸惡意代碼：惡意代碼控制5、備份:信息備份6、網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)管理控制網(wǎng)絡(luò)服務(wù)安全控制7、介質(zhì)處理：移動(dòng)介質(zhì)管理規(guī)定8、監(jiān)視：發(fā)現(xiàn)非授權(quán)活動(dòng)監(jiān)視系統(tǒng)使用操作日志問題日志,信息安全管理內(nèi)容,1、訪問控制的業(yè)務(wù)需求：控制對(duì)信息的訪問訪問控制策略2、用戶訪問管理：

10、授權(quán)用戶對(duì)系統(tǒng)的訪問用戶注冊(cè)權(quán)限管理口令管理3、用戶責(zé)任：口令使用在操作無人值守的設(shè)備時(shí)要注意信息安全,訪問控制,信息安全管理內(nèi)容,4、網(wǎng)絡(luò)訪問控制：授權(quán)用戶訪問網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)使用策略對(duì)連接用戶進(jìn)行身份確認(rèn)端口保護(hù)及控制網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制5、操作系統(tǒng)訪問控制：安全的登錄程序身份識(shí)別口令管理會(huì)話超時(shí)限制連接時(shí)間,信息安全管理內(nèi)容,1、信息系統(tǒng)的安全需求：安全需求分析與

11、規(guī)范2、應(yīng)用程序中的正確處理：數(shù)據(jù)驗(yàn)證內(nèi)部處理控制輸出數(shù)據(jù)驗(yàn)證3、密碼控制：密碼控制使用策略4、程序文件的安全：控制運(yùn)營系統(tǒng)上的軟件保護(hù)系統(tǒng)測(cè)試數(shù)據(jù)對(duì)源代碼的訪問控制,系統(tǒng)開發(fā)與維護(hù),5、開發(fā)與支持過程的安全： 變更控制程序 運(yùn)營系統(tǒng)變更后應(yīng)做評(píng)審 信息泄漏6、技術(shù)漏洞管理： 控制技術(shù)漏洞,,信息安全管理內(nèi)容,控制目標(biāo),1、報(bào)告安全事件與缺陷： 報(bào)告安全事件

12、 報(bào)告安全缺陷2、管理安全事件與改進(jìn)： 責(zé)任與程序 從事件中吸取教訓(xùn),信息安全事件管理,要將安全事件及問題解決方案存檔，作為組織過程資產(chǎn).,信息安全管理內(nèi)容,1、業(yè)務(wù)連續(xù)性管理的信息安全方面：業(yè)務(wù)過程中考慮信息安全風(fēng)險(xiǎn)評(píng)估,業(yè)務(wù)連續(xù)性管理,信息安全管理內(nèi)容,1、符合法律要求：知識(shí)產(chǎn)權(quán)數(shù)據(jù)保護(hù)和個(gè)人信息隱私2、符合安全策略和標(biāo)準(zhǔn)：符合安全性策略技術(shù)符合性檢查,符合性,