信息安全管理体系培训.ppt

信息安全管理体系培训 信息安全管理体系 1. ISMS概述 2. ISMS标准 3. ISMS认证 1、ISMS概述 什么是ISMS？ 在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体系 要求）的第3章术语和定义中，对ISMS的定义如下: ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 1、ISMS概述 为什么要建立ISMS ？ 今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。 可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势： 1、ISMS概述 2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。 2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。 1、ISMS概述 2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。 这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。 因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括： 信息安全管理机构 高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。 中层：负责该组织日常信息安全的管理与监督活动。 基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括： 信息安全管理机构 ISMS文件 包括ISMS方针、过程、程序和其它必须的文件等。 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括： 信息安全管理机构 ISMS文件 资源 包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 建立信息安全管理机构 1、ISMS概述 如何建立ISMS? 正确理解ISMS的含义和要素 建立信息安全管理机构 执行标准要求的ISMS建立过程 按照ISO/IEC 27001:2005“4.