ISO27001 & ISO27002信息安全管理培训-分享.ppt

page * 信息安全策略体系的层次性 方针 Policy 程序 Procedure 标准 Standard 强制性 指南 Guideline 建议性 基线 Baseline 最低标准 目标要求 具体步骤 实现方法 战略层次 战术层次 战役层次 ISO17799:2005 信息安全管理实施细则 page * 最高方针示例 page * 练习3：关于信息安全策略 请说出几条贵公司对个人使用信息系统的安全要求？ 你认为在实际工作当中接触到的哪些方面应该归入安全策略的范畴？ 请拟定一份简洁的信息安全策略？ ISO17799:2005 信息安全管理实施细则 page * 6 组织信息安全 6.1 内部组织 6.1.1 管理层对信息安全的责任 6.1.2 信息安全协调机制 6.1.3 分派信息安全责任 6.1.4 信息处理设施的批准程序 6.1.5 保密协议 6.1.6 保持和权威机构的联系 6.1.7 保持和专业团队联系 6.1.8 对信息安全做独立评审 目标：在组织内建立发起和控制信息安全实施的管理框架。 6.2 外部伙伴 6.2.1 识别与外部伙伴相关的风险 6.2.2 和客户交往时注意安全 6.2.3 在第三方协议中注明安全 目标：维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。 ISO17799:2005 信息安全管理实施细则 page * 组织应该建立起有效的信息安全管理框架，以便发起并控制组织内部信息安全的实施。 ISO17799:2005 信息安全管理实施细则 信息安全管理委员会 外部安全专家 信息安全独立评审 信息安全管理 框架 权威机构 page * 识别与外部伙伴相关的风险 ISO17799:2005 信息安全管理实施细则 外部伙伴可能包括： 服务提供商（例如ISP、网络和通信服务、维护和支持服务提供商等），管理安全服务（MSS） 客户 外包服务（IT系统设施和运维、数据采集、呼叫中心） 管理和业务咨询顾问、审计师 软件产品和IT系统的开发者和供应商 保洁快餐等外部服务 临时工、短期兼职人员等 如果需要让外部伙伴访问组织的信息处理设施或信息，有必要先做一次风险评估，找到特别的安全控制需求。应该考虑到是物理访问，还是逻辑访问，是现场访问还是非现场访问。还应考虑需要访问哪些设施和信息？信息的价值，必要的控制，授权以及监督方式，出错可能造成的影响，对安全事件的响应，法律法规等。 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。 page * 在第三方协议中体现安全 ISO17799:2005 信息安全管理实施细则 信息安全方针 用来保护资产的各种控制措施 描述将被提供的产品和服务 确保用户意识到信息安全责任 对人员调换做出规定 硬件和软件安装及维护的责任 清晰的Report结构和格式 变更管理流程 任何必要的物理保护措施和机制 访问控制策略： 允许的访问方法，授权流程，禁止声明 信息安全事件及问题处理机制 期望的SLA及监督报告机制 监督、撤销等权利，审计责任约定 法律责任 知识产权保护 中止或重新协商协议的条件 page * 7 资产管理 7.1 资产责任 7.1.1 资产清单 7.1.2 资产属主 7.1.3 对资产的可接受使用 目标：保持对组织资产的恰当的保护。所有资产都应该责任到人。 7.2 信息分类 7.2.1 分类指南 7.2.2 信息标注及处理 目标：确保信息资产得到适当级别的保护。 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。 按照信息资产所属系统或所在部门列出资产清单。 所有的信息资产都应该具有指定的属主并且可以被追溯责任。 信息应该被分类，以标明其需求、优先级和保护程度。 根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。 Top Secret Secret Confidential Restricted ISO17799:2005 信息安全管理实施细则 page * 信息资产的类型 信息：数据库和数据文件，合同和协议，系统文件，用户手册，培训资料等 软件资产：应用软件，系统软件，开发工具，工具程序 实物资产：计算机和通信设备，移动介质，电源空调等技术性设备 人员：承担特定职能和责任的人员，资质、技能和经验 服务：计算和通信服务，环境支持服务等 组织形象与声誉：无形资产 ISO17799:2005 信息安全管理实施细则 page * 识别资产时的注意事项 所有主要信