ISMS信息安全管理培训知识讲稿.ppt

各部门根据风险处理策略，制定风险处理措施，记录在《风险处理计划》中。 信息安全的实施 风险处理计划 各部门应再次评价风险处理措施实施之后的风险，看风险值是否在可接受水平之下。对于不在可接受水平以内（风险值大于9）的风险，应填写《残余风险审批申请表》，及时汇报给管理层并经管理层确认。 信息安全的实施 评价残余风险 各部门信息安全员汇总本部门整个风险识别及处理结果，提交到体系推行及审核组，由体系推行及审核组编写《风险评估报告》，详细汇报资产调查情况、识别的弱点、面临的威胁以及准备采取的一些风险控制措施及残余风险处理情况，并将《风险处理计划》作为此报告的附件一并上报管理者代表。 信息安全的实施 汇报结果 固定资产的安全管理包括采购、入库、领用、出库、调拨、盘点、维修等。具体参考《固定资产管理制度》。 信息安全的实施 资产管理 公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财务信息等，确保重要资产不被泄露，各部门须根据重要资产分类制定相应的管理规定。 资产安全管理 重要数据资产安全 重要数据资产安全 资产安全管理 人员安全 资产安全管理 网络管理员负责制定网络安全规范和网络访问策略，并管理网络设备。 根据风险评估结果，网络管理员制定网络建设和维护方案。 网络安全 资产安全管理 网络安全 资产安全管理 网络安全 资产安全管理 信息系统安全 资产安全管理 2.ISO/IEC27001：2005标准内容 3.ISMS信息安全管理系统 4.信息安全的实施 1.ISMS的背景介绍 5.资产安全管理 6.机房管理 7.法律合规性管理 8.信息安全管理事件 9.应急管理 10.运行检查 11.有效性测量 ISO27001背景介绍 BS7799 ISO27001背景介绍 ISO/IEC 27002(17799) ISO27001背景介绍 ISO/IEC 27001:2005 ISO/IEC27001：2005标准内容 ISO/IEC27001：2005包括11个方面，39个控制目标，133个控制措施 ISMS信息安全管理系统 重点内容 ISMS信息安全管理系统 PDCA 重点章节 ISMS信息安全管理系统 ISMS信息安全管理系统 信息安全管理体系 ISMS信息安全管理系统 信息安全管理体系 ISMS信息安全管理系统 信息安全管理体系 ISMS信息安全管理系统 信息安全管理体系 ISMS信息安全管理系统 信息安全管理体系 管理职责 ISMS信息安全管理系统 ISMS内审 ISMS信息安全管理系统 ISMS管理评审 持续改进 ISMS信息安全管理系统 信息安全的实施 资产的识别 信息安全的实施 资产的分类 信息安全的实施 资产的分类 信息安全的实施 资产的分类 必威体育官网网址性Confidentiality：　 信息不能被未授权的个人、实体或者过程利用或知悉的特性。 完整性Integrity 　　保护资产的准确和完整的特性。 可用性Availability： 　　根据授权实体的要求可访问和利用的特性 信息安全的实施 信息安全三元组 CIA 信息资产根据其在必威体育官网网址性(C)、完整性(I)、可用性(A)三个属性所表现出的不同的重要程度，分为很低(赋值0)、低(赋值1) 、中(赋值2) 、高(赋值3) 、很高(赋值4)五级。 资产评估的结果填写在《资产识别与评估表》中。 信息资产的价值取其C、I、A三个特性中最高的一个，价值大于2的信息资产为重要信息资产，对所有的重要信息资产必须进行风险评估。 信息安全的实施 资产评估 各部门识别完资产后，参考《风险评估与处理表》中“弱点清单”，识别资产的弱点，并对弱点被利用的严重程度进行评价。 弱点的严重性取值为低(1)、中(2)、高(3)、很高(4)。 弱点被利用的严重性赋值结果记录在《风险评估与处理表》中。 信息安全的实施 评估弱点 弱点是资产本身存在的某种缺陷，一旦被外部威胁所利用，就可能使资产受到损害。 各部门识别完资产的弱点后，参考《风险评估与处理表》中“威胁清单”，识别资产的威胁，并对威胁发生的可能性进行评价。 威胁发生的可能性取值为低(1)、中(2)、高(3)、很高(4)。 在评估威胁发生的可能性时，应先识别现有的控制措施，结合现有的安全控制措施、威胁利用的资产自身的薄弱点来综合考虑，并将评价结果记录在《风险评估与处理表》中。 信息安全的实施 评估威胁 威胁是利用弱点而侵害资产的外在因素。威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类，每一类里面都会有许多威胁形式。 风险值 = 信息资产价值× 威胁可能性 × 弱点严重性 其中：信息资产价值 = MAX( C, I, A)。 根据计算得出的风险值划分风险等级标准为： 对于4级和3级风险，须采取控制措施； 对于2级风险，可选择性采取