信息安全管理体系培训课件new.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * 目录 ISO27001认证过程和要点介绍 ISO27001介绍 ISO27001信息安全管理体系准备-风险评估 ISO27001信息安全管理体系设计 ISO27001信息安全管理体系实施 ISO27001信息安全管理体系监控 ISO27001信息安全管理体系改进 ? DO阶段 制定风险处理计划（Risk Treatment Plan） 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源 实施能够激发安全事件检测和响应的程序和控制 * 绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr ＝ 原有的风险R0 － 控制ΔR 残留风险Rr ≤ 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。 评价残留风险 信息安全管理体系蓝图(示例) * 建立ISMS管理框架的过程 定义安全策略 威胁、弱点、影响 组织风险管理的途径 要求达到的保障程度 ISO17799第三段列出的控制目标和控制 不在ISO27001范围内的其他安全控制 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 策略文档 ISMS的范围 风险评估 适用性声明 信息资产 结果和结论 选定的控制选项 选择的控制目标和控制 定义ISMS范围 进行风险评估 管理风险 选择控制目标和 控制并加以实施 准备适用性声明 ISMS的文档体系 Procedures程序 Work Instructions, checklists, forms, etc. 工作指导书,检查清单,表格等 Records纪录 Security Manual安全手册 Policy, scope risk assessment, statement of applicability Describes processes who, what, when, where. Describes how tasks and specific activities are done Provides objective evidence of compliance to ISMS requirements 第一级 关于ISO27001的管理 框架的方针策略 第二级 第三级 第四级 1. 信息安全策略 目标： To provide management direction and support for information security. 信息安全策略——为信息安全提供管理方向和支持 安全策略应该做到： 对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程 2. 信息安全组织 目标： To manage information security within the organisation To maintain the security of organisational information processing facilities and information assets accessed by third parties To maintain the security of information when the responsibility for information processing has been outsourced to another organisation. 信息安全基础设施——在组织内部管理信息安全 第三方访问的安全——维护组织信息处理设施和被第三方访问的信息资产的安全性 外包控制——如果信息处理责任外包给其他组织，维护信息的安全性 包含的内容： 建立管理委员会，定义安全管理的角色和责任 对软硬件的采购建立授权过程 第三方访问的安全考虑 外包合同中的安全需求 3. 资产分类和控制 目标： To maintain appropriate protection of corporate assets and to ensure that information assets r