第3讲 第二节 信息安全风险评估(下).pptxVIP

第3讲 信息安全风险评估（二）;;ISO 27001的标准全称 （ISO27001标准题目） Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求; 建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。 管理体系包括组织结构，策略，规划，角色，职责，流程，程序和资源等。(ISO 270013 术语和定义-3.7) 管理的方方面面以及公司的所有雇员，均囊括在管理体系范围内。 ;1.1 什么是信息安全？;;1.3 27001的总要求(ISO27001 4.1);0. Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Information security management system 4.1 General requirements 4.2 Establishing and managing the ISMS 4.2.1 Establish the ISMS 4.2.2 Implement and operate the ISMS 4.2.3 Monitor and review the ISMS 4.2.4 Maintain and improve the ISMS 4.3 Documentation requirements 5. Management responsibility 6. Internal ISMS audits 7. Management review of the ISMS 8. ISMS improvement Annex A;1.5 ISO27001所关注的领域(ISO27001 附录 A);十大管理要项（BS7799）： 信息安全策略：为信息安全提供管理指导和支持 机构安全基础设施，目标包括： 内部信息安全管理； 保障机构的信息处理设施以及信息资产的安全； 当信息处理的责任外包时，维护信息的安全性 资产分类和控制：对资产进行分类和控制，确保机构资产和信息资产得到适当水平的保护。 人员安全，其目标是： 减少由于人为错误、盗窃、欺诈和设施误用等造成的风险； 确保用户了解信息安全威胁，确保其支持机构的安全策略； 减少安全事故和故障造成的损失，并从事故中吸取教训。 物理和环境安全，其目标包括： 防止对业务场所和信息的非法访问、破坏以及干扰； 防止资产的丢失、破坏、威胁对业务活动的中断； 防止信息或信息处理设施的损坏或失窃。;通信和操作的管理，其目标是 确保信息设施处理的正确、安全操作； 把系统错误的风险降到最低； 保护软件和信息的完整性； 维护信息处理和通信的完整性和有效性； 加强对网络中信息和支持设施的保护； 防止资产损坏和活动的中断； 在机构间交换信息时，防止信息的丢失、篡改以及误用等情况。 系统访问控制，其目标是： 控制对信息的访问； 防止对信息系统的非授权访问； 确保对网络服务的保护； 防止未授权的计算机访问； 检测未授权的活动； 确保便携式计算机和无线网络的信息安全。;ISO27001 正式的标准 可认证的标准 管理体系的要求 控制措施的要求 ;ISO17799:2000;;0. 引言 1. 范围 2. 规范性应用文件 3. 术语和定义 4. 信息安全管理体系(ISMS) 4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立 ISMS 4.2.2 实施和运维 ISMS 4.2.3 监控和评审 ISMS 4.2.4 维护和改进 ISMS 4.3 文件要求 5. 管理职责 6. ISMS的内部审核 7. ISMS的管理评审 8. ISMS 改进 附录A 控制目标和控制措施 附录B OECD原则与本标准 附录C ISO9001:2000和ISO14001:2004对照 参考书目 ;2.1 27001核心内容（4-8条款）;2.2 PDCA与4-8条款关系;条款的重要性;4.1 总要求 风险+PDCA+文件化的ISMS 4.2.1 建立ISMS a) 范围(Scope of the ISMS) b) 策略(ISMS Policy) c) ~ h) 风险评估和管理 (Risk Management) i) 管理者授权实施和运行ISMS j) 适用声明(SOA) 4.3 文件要求 5 管理职责; 根据组织及其业务特点、位置、资产、技