信息安全管理培訓(xùn)

1、,信 息 安 全,培訓(xùn)對象：高級組長及以上,培訓(xùn)目標(biāo),1、認(rèn)識到信息安全管理的重要性2、了解到信息安全的重點在于管理3、熟練信息安全管理的工作內(nèi)容,信息安全,目錄,一、信息安全案例二、什么是信息三、什么是信息安全四、信息安全的目標(biāo)五、實現(xiàn)信息安全的意義六、信息安全的需求來源七、如何做好信息安全整體規(guī)劃八、如何實現(xiàn)信息安全,信息安全案例,共享打印機帶來的問題,文件帶來的問題,,泄露給別人,打印機密文件,結(jié)果：損失200萬

2、,結(jié)果：損失1000萬,提高安全意識，加強安全預(yù)防，注重安全管理,什么是信息,以下哪些屬于信息?,數(shù)據(jù),專利,計算機,文件,聲音,紙張,什么是信息,定義：,是事物運動的狀態(tài)與方式，是物質(zhì)的一種屬性。,文件,數(shù)據(jù),圖像,信息實例,特征： 依附載體；可傳遞；可共享；可存儲；時效性,什么是信息安全,定義：,保護信息資產(chǎn)免遭惡意破壞，保證業(yè)務(wù)連續(xù)可靠運行。,硬件,軟件,數(shù)據(jù),信息資產(chǎn),基本目標(biāo),,保密性,完整性,可用性,不被篡改,不會泄漏

3、,隨時訪問,實現(xiàn)信息安全的意義,◆能保證企業(yè)的業(yè)務(wù)活動穩(wěn)定有效的運作◆提高客戶滿意度,業(yè)務(wù)運作,信息安全需求來源,法律規(guī)定、客戶組織要求,法律及合約的要求：,組織的目標(biāo)及規(guī)定：,企業(yè)為保證業(yè)務(wù)連續(xù)性而要求,風(fēng)險評估的結(jié)果：,對存在的弱點，威脅的改進要求,如何做好信息安全整體規(guī)劃,目標(biāo)Objective：明確信息安全建設(shè)的核心目標(biāo)。對象Object：明確保護對象（信息資產(chǎn)）：關(guān)鍵數(shù)據(jù)、應(yīng)用系統(tǒng)、實物資產(chǎn)、設(shè)施和環(huán)境，以及人

4、員。規(guī)范Document：制定可實施的一套方針、標(biāo)準(zhǔn)、指南、程序和規(guī)范要求文件，為所有信息安全活動提供指導(dǎo)，最終實現(xiàn)信息安全需求。,過程Process：P:信息安全先做規(guī)劃，明確需求，制定應(yīng)對方案；D:實施解決方案；C:通過檢查，鞏固成果，發(fā)現(xiàn)不足；A:采取后續(xù)措施，改進不足，推動信息安全持續(xù)進步。,如何做好信息安全整體規(guī)劃,如何建設(shè)ISMS,ISMS定義：安全信息管理體系從建立、實施、監(jiān)控、改進信息安全的系列管

5、理活動,計劃階段（P）：,如何建設(shè)ISMS,實施階段（D）：,如何建設(shè)ISMS,檢查與改進階段（C，A）：,如何建立ISMS文件體系,如何建立ISMS文件體系,如何實現(xiàn)信息安全,一、安全技術(shù)二、安全管理,三分靠技術(shù)，七分靠管理,如何實現(xiàn)信息安全,安全技術(shù)：,如何實現(xiàn)信息安全,安全管理：解決三大問題,組織,制度,人員,建設(shè)組織機構(gòu)并明確責(zé)任,建立安全管理制度體系,加強人員的安全意識，并進行安全教育培訓(xùn),信息安全管理內(nèi)容,三分靠技術(shù)，七

6、分靠管理,信息安全管理內(nèi)容,安全策略,1、信息安全策略制定信息安全策略文件定期復(fù)查信息安全策略,企業(yè)級的安全方針部門級的安全策略個人級的安全策略,信息安全管理內(nèi)容,組織信息安全,1、內(nèi)部組織： 分派信息安全責(zé)任 制定保密協(xié)議；常對信息安全作評審2、外部組織：識別與外部伙伴的風(fēng)險與客戶交往時應(yīng)注意安全第三方協(xié)議中注明安全,信息安全管理內(nèi)容,資產(chǎn)管理,1、資產(chǎn)責(zé)任：資產(chǎn)清單

7、資產(chǎn)屬主對資產(chǎn)的可接受使用2、資產(chǎn)分類：確保信息資產(chǎn)得到適當(dāng)級別的保護分類指南信息標(biāo)注與處理,信息安全管理內(nèi)容,人力資源安全,1、聘用前：定義雇員角色和責(zé)任篩選合適人員制定聘用條件條款2、聘用間：提供員工安全教育培訓(xùn)制定獎罰機制3、解聘后/職位變更：制定解聘責(zé)任要求員工返還資產(chǎn)去除員工訪問權(quán)限重定義員工轉(zhuǎn)崗時的角色責(zé)任及利用的資產(chǎn),信息安全管理內(nèi)容,物理與環(huán)境管理,1、安全區(qū)域：

8、防止非授權(quán)的訪問安全區(qū)邊界物理安全邊界控制物理入口（安裝防盜門鎖之類）制定場所、房間、設(shè)施保護規(guī)則在安全區(qū)域內(nèi)工作2、設(shè)備安全：防止資產(chǎn)丟失、破壞 設(shè)備的安置與保護供電電纜安全設(shè)備維護設(shè)備報廢的安全,信息安全管理內(nèi)容,通信與操作管理,1、操作程序和責(zé)任：操作程序的文檔化變更管理2、第三方服務(wù)交付管理：服務(wù)交付監(jiān)督第三方服務(wù)第三方服務(wù)變更管理3、系統(tǒng)規(guī)劃驗收:

9、 容量管理,對于共享文件應(yīng)存放在公告目錄中，發(fā)內(nèi)部郵件時最好不加附件，而使用超鏈接導(dǎo)航到文件,信息安全管理內(nèi)容,4、抵卸惡意代碼：惡意代碼控制5、備份:信息備份6、網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)管理控制網(wǎng)絡(luò)服務(wù)安全控制7、介質(zhì)處理：移動介質(zhì)管理規(guī)定8、監(jiān)視：發(fā)現(xiàn)非授權(quán)活動監(jiān)視系統(tǒng)使用操作日志問題日志,信息安全管理內(nèi)容,1、訪問控制的業(yè)務(wù)需求：控制對信息的訪問訪問控制策略2、用戶訪問管理：

10、授權(quán)用戶對系統(tǒng)的訪問用戶注冊權(quán)限管理口令管理3、用戶責(zé)任：口令使用在操作無人值守的設(shè)備時要注意信息安全,訪問控制,信息安全管理內(nèi)容,4、網(wǎng)絡(luò)訪問控制：授權(quán)用戶訪問網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)使用策略對連接用戶進行身份確認(rèn)端口保護及控制網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制5、操作系統(tǒng)訪問控制：安全的登錄程序身份識別口令管理會話超時限制連接時間,信息安全管理內(nèi)容,1、信息系統(tǒng)的安全需求：安全需求分析與

11、規(guī)范2、應(yīng)用程序中的正確處理：數(shù)據(jù)驗證內(nèi)部處理控制輸出數(shù)據(jù)驗證3、密碼控制：密碼控制使用策略4、程序文件的安全：控制運營系統(tǒng)上的軟件保護系統(tǒng)測試數(shù)據(jù)對源代碼的訪問控制,系統(tǒng)開發(fā)與維護,5、開發(fā)與支持過程的安全： 變更控制程序 運營系統(tǒng)變更后應(yīng)做評審 信息泄漏6、技術(shù)漏洞管理： 控制技術(shù)漏洞,,信息安全管理內(nèi)容,控制目標(biāo),1、報告安全事件與缺陷： 報告安全事件

12、 報告安全缺陷2、管理安全事件與改進： 責(zé)任與程序 從事件中吸取教訓(xùn),信息安全事件管理,要將安全事件及問題解決方案存檔，作為組織過程資產(chǎn).,信息安全管理內(nèi)容,1、業(yè)務(wù)連續(xù)性管理的信息安全方面：業(yè)務(wù)過程中考慮信息安全風(fēng)險評估,業(yè)務(wù)連續(xù)性管理,信息安全管理內(nèi)容,1、符合法律要求：知識產(chǎn)權(quán)數(shù)據(jù)保護和個人信息隱私2、符合安全策略和標(biāo)準(zhǔn)：符合安全性策略技術(shù)符合性檢查,符合性,