idc信息安全意识培训从小事做起，从自身做起遵守idc各项安全策略和制度规范--什么是安全意识-.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * CERT/CC：CERT Coordination Center是属于Carnegie Mellon University的一个服务注册商标，CERT代表computer security incident response team，最早源于美国国防部对软件工程协会（Software Engineering Institute SEI）的资助项目 迄今为止，统计在案的安全事件已经达到297,318起（从1988年到现在） 2003年的统计数字只是前三个季度的 * * Computer Security Institute（CSI）是致力于服务和培训信息、计算机及网络安全专家的全球领先的组织 CSI/FBI Computer Crime and Security Survey，是CSI协同FBI一起举办的权威的安全调查。 2003年的调查对象是530家公司，牵涉到高科技、制造业、通信、运输、金融、政府等行业。 调查显示，有56％的响应者承认自己公司发生过非法使用的事件，所有事件造成的损失总量达到$201,797,340（前一年度，这个数字是$455Million） * * 人员威胁：故意破坏和无意失误，内部人员和外部人员 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 * * * * * * * * * * * * * * 但关键还要看整体的信息安全管理 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要 三分技术，七分管理！ * 务必重视信息安全管理 加强信息安全建设工作 * PDCA信息安全管理模型 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施，改进安全状况。 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 * 可以参考的标准规范和最佳惯例 ISO27001 * 安全性与方便性的平衡问题 在方便性（convenience，即易用性）和安全性（security）之间是一种相反的关系 提高了安全性，相应地就降低了方便性 而要提高安全性，又势必增大成本 管理者应在二者之间达成一种可接受的平衡 * 计算机安全领域一句格言： “真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 这样的计算机是没法用了。 绝对的安全是不存在的！ * 正确认识信息安全 安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程 * 整体管理思路 信息安全管理体系 第4部分 * 英国标准协会（British Standards Institute，BSI）制定的信息安全标准。 由信息安全方面的最佳惯例组成的一套全面的控制集。 信息安全管理方面最受推崇的国际标准。 ISO27001是关于信息安全管理的标准 * ISO27001 标准包含两个部分 ISO17799:2005：信息安全管理实施细则（Code of Practice for Information Security Management），相当于一个工具包，体现了三分技术七分管理 ISO27001：是建立信息安全管理系统（ISMS）的一套规范（Specification for Information Security Management Systems），详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准 安全策略 Security policy 安全组织 Security organisation 资产分类与控制 Asset classification control 人员安全 Personnel security 物理与环境安全 Physical environmental security 通信与操作管理 Communications operations managemen