信息安全管理体系教材.pptx

  1. 1、本文档共63页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全管理体系;培训大纲;信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台(如硬件、网络、系统)的复杂性与脆弱性 行动的远程化使安全管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖,信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁 ;层出不穷网络安全事件 全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。 公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示,54%的被调查单位发生过信息网络安全事件,比去年上升5%,其中发生过3次以上的占22%,比去年上升7%。73%的安全事件是由于未修补或防范软件漏洞所导致。 据统计2006年产生的电脑病毒和木马的数量达到23万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。 据统计,2008年初全球产生的电脑病毒和木马的数量达到50万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。;商业间谍无孔不入 在走向现代市场经济的过程中,由于利益多元化格局的形成和利益驱动机制的强化,侵犯企业商业秘密的事件正在迅速增加。 根据美国对本国1500家公司的调查,有1300家公司承认,它们对国外的竞争对手进行了间谍活动。据估计,美国企业每年投资在经济、科技情报方面的费用高达300亿美元。 许多大公司设立专门的竞争情报部门,建立企业竞争情报系统,进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化,而且具有对环境的“早期预警”功能。;商业机密泄露使企业遭受损失 2004年的一项调查显示,名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元,平均 每家公司每年发生2.45次泄密事件,损失超过50万美元。 景泰蓝、宣纸、青蒿素 、维生??C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失,造成了无可挽回的影响。 思科诉华为,华为诉沪科等知识产权案,使企业和人员都蒙受了损失。;信息安全损失的“冰山”理论 信息安全直接损失只是冰由之一角,   间接损失是直接损失是6-53倍 间接损失包括: 时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏 ;我国当前信息安全普遍存在的问题 忽略了信息化的治理机制与控制体系的建立,和信息化“游戏规则”的建立; 厂商主导的技术型解决方案为主,用户跟着厂商的步子走; 安全只重视边界安全,没有在应用层面和内容层面考虑业务安全问题; 重视安全技术,轻视安全管理,信息安全可靠性没有保证; 信息安全建设缺乏绩效评估机制,信息安全成了“投资黑洞”; 信息安全人员变成“救火队员” … ;如何实现信息安全? 信息安全=反病毒软件+防火墙+入侵检测系统? 管理制度?人的因素?环境因素? Ernst Young及国内安全机构的分析: 国家政府和军队信息受到的攻击70%来自外部,银行和企业信息受到的攻击70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一 ,只有35%的组织有持续的安全意识教育与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组织认为在信息安全的投入上不足,60%从不计算信息安全的ROI,83%的组织认为在技术安全产品与技术上投入最多。;信息安全体系模型的演变 ISO 7498-2(GB/T 9387.2-1995) PDR 模型 PDRR 安全模型(P2DR2) IATF信息保障技术框架 信息安全管理体系ISMS;建立信息安全管理体系 对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效 信息安全遵循木桶原理 对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。;;BHTP模型的关键要素 业务与策略 根据业务需要在组织中建立信息安全策略,以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命,也是组织进行有效安全管理的基础和依据。 “保护业务,为业务创造价值”应当是一切安全工作的出发点与归宿,最有效的方式不是从现有的工作方式开始应用信息安全技术,而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安全技术手段支持新的工作方式的能力。 人员与管理 人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面

文档评论(0)

职教魏老师 + 关注
官方认证
服务提供商

专注于研究生产单招、专升本试卷,可定制

版权声明书
用户编号:8005017062000015
认证主体莲池区远卓互联网技术工作室
IP属地河北
统一社会信用代码/组织机构代码
92130606MA0G1JGM00

1亿VIP精品文档

相关文档