ISO 27001：2013信息安全管理体系基础介绍.ppt

芝麻信用已经通过ISO27001信息安全管理 体系认证，你的个人信息以严格的认证标准 进行保护，未经你的授权不会对第三方提供 6 ISO 27001 起源和发展 信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程 健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准， 类似于质量管理体系认证的 ISO9000标准。 组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表 示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其 在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监 督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户 及利益相关方感受到组织对信息安全的承诺。 7 ISO 27001:2013体系架构 信 息 信 息 安 全 事 件 管 理 系 统 的 获 取 开 发 维 护 业 务 连 续 性 管 理 人 力 资 源 安 全 物 理 环 境 安 全 供 应 商 关 系 资 产 安 全 访 问 控 制 操 作 安 全 通 讯 安 全 密 码 学 符 合 性 8 建立展望 人力资源安全 建立展望： 确保所有员工，合同方和第三方了解信息安全威胁和 相关事宜以及各自的责任，义务，以减少人为差错， 盗窃，欺诈或误用设施的风险。 9 建立展望 资产安全 建立展望： 核查所有信息资产，做好信息分类，确保信息资产受 到适当程度的保护。 10 建立展望 访问控制 建立展望： 制定访问控制策略，避免信息系统的非授权访问，并 让用户了解其职责和义务，包括网络访问控制，操作 系统访问控制，应用系统和信息访问控制，监视系统 访问和使用，定期检测未授权的活动;当使用移动办公 和远程控制时，也要确保信息安全。 11 建立展望 12 建立展望 物理环境安全 建立展望： 定义安全区域，防止对办公场所和信息的未授权访问， 破坏和干扰;保护设备的安全，防止信息资产的丢失， 损坏或被盗，以及对企业业务的干扰;同时，还要做好 一般控制，防止信息和信息处理设施的损坏和被盗。 13 建立展望 14 建立展望 通讯和操作安全 建立展望： 制定操作规程和职责，确保信息处理设施的正确和安 全操作;建立系统规划和验收准则，将系统失效的风险 降到最低;防范恶意代码和移动代码，保护软件和信息 的完整性;做好信息备份和网络安全管理，确保信息在 网络中的安全，确保其支持性基础设施得到保护;建立 媒体处置和安全的规程，防止资产损坏和业务活动的 中断;防止信息和软件在组织之间交换时丢失，修改或 误用。 15 建立展望 16 建立展望 17 建立展望 信息系统开发和维护安全 建立展望： 标示系统的安全要求，确保安全成为信息系统的内置 部分，控制应用系统的安全，防止应用系统中用户数 据的丢失，被修改或误用;通过加密手段保护信息的保 密性，真实性和完整性;控制对系统文件的访问，确保 系统文档，源程序代码的安全;严格控制开发和支持过 程，维护应用系统软件和信息安全。 18 建立展望 信息时间安全管理 建立展望： 报告信息安全事件和弱点，及时采取纠正措施，确保 使用持续有效的方法管理信息安全事故，并确保及时 修复。 19 建立展望 供应商关系 建立展望： 标示供应商系统的安全要求，确保重要信息资产在供 应商关系中得到有效的控制。 20 建立展望 业务连续性管理 建立展望： 为减少业务活动的中断，是关键业务过程免受主要故 障或天灾的影响，并确保及时恢复。 21 从一个笑话开始 和前女友分手时，前女友把我送她的iPhone当着我的面前摔碎了，对我咆 哮：你送我的都还给你！然后转身走人，我在一旁不知所措，过了一阵， 我去收拾碎片，结果发现居然是摔碎的爱疯居然有两个卡槽。 尼玛，我送的可是真的。 思考： 山寨机从字面来解释:山寨--有占山为王，逃避政府管理的意思。它们或 由生产者自己取个品牌名字，或模仿品牌手机的功能和样式;由于逃避政府 管理，他们不缴纳增值税、销售税，在研发方面以生搬硬套居多当然也不 乏有新意产品，又没有广告、促销等费用，再加上成功的成本控制和分销 手段的灵活，导致其终端零售价格往往仅是品牌手机的1/2到1/3。 山寨机特点：快！准！狠！ 2 3 5