ISMS信息安全管理培训.ppt

ISO/IEC27001：2005标准内容 ISO/IEC27001：2005包括11个方面，39个控制目标，133个控制措施 ISMS信息安全管理系统 保密性Confidentiality：　 信息不能被未授权的个人、实体或者过程利用或知悉的特性。 完整性Integrity 　　保护资产的准确和完整的特性。 可用性Availability： 　　根据授权实体的要求可访问和利用的特性 谢 谢！ 对于需要采取措施来控制风险的，一般会有四种处理策略：(1)转移风险； (2)规避风险；(3)消减风险；(4)接受风险。结合信息安全管理体系标准的133个控制要素选择对应的控制项，将结果记录在《风险评估与处理表》中。 信息安全的实施 采取措施 各部门根据风险处理策略，制定风险处理措施，记录在《风险处理计划》中。 信息安全的实施 风险处理计划 各部门应再次评价风险处理措施实施之后的风险，看风险值是否在可接受水平之下。对于不在可接受水平以内（风险值大于9）的风险，应填写《残余风险审批申请表》，及时汇报给管理层并经管理层确认。 信息安全的实施 评价残余风险 各部门信息安全员汇总本部门整个风险识别及处理结果，提交到体系推行及审核组，由体系推行及审核组编写《风险评估报告》，详细汇报资产调查情况、识别的弱点、面临的威胁以及准备采取的一些风险控制措施及残余风险处理情况，并将《风险处理计划》作为此报告的附件一并上报管理者代表。 信息安全的实施 汇报结果 状态 要求 资产未领用前 服务器、交换机、路由器、防火墙等设备领用后必须放置于机房； 扫描仪、打印机等办公设备经行政与法律部允许后放置于办公区； 个人领用的笔记本等设备个人保管，非工作时间不得将个人办公设备放置于办公台面； 其他资产必须存放在库房。 资产归还时 由技术服务部系统管理员负责对其进行物理格式化。 资产需要维修时 向固定资产管理员提出申请，经技术服务部相关技术人员鉴定故障原因并做了相应的信息安全处理后，统一安排维修。 资产无法维修时 由资产管理员确定是否报废处理，如果需报废产品包含存储介质，应对其所有项目进行检查，以确保在报废前，任何敏感信息和注册软件已被删除和安全重写。 固定资产的安全管理包括采购、入库、领用、出库、调拨、盘点、维修等。具体参考《固定资产管理制度》。 信息安全的实施 资产管理 公司的重要数据资产包括合同、标书、客户资料、公司业绩数据、财务信息等，确保重要资产不被泄露，各部门须根据重要资产分类制定相应的管理规定。 资产安全管理 重要数据资产安全 部门 重要数据资产举例 安全要求 销售中心 合同、标书、客户信息等 数据的借阅、拷贝、分发严格遵守公司规定的流程； 重要数据严格保密，及时备份，做好备份计划和备份记录； 重要数据严禁放在无人值守的桌面上，做好登记和分类，妥善保管（锁在柜子里、放在档案室等）； 客户方的数据在项目结项后要彻底销毁原始数据； 扫描仪、传真机、打印机等公用设备上严禁留存数据，使用结束后及时清除记录； 系统的后台数据严禁未经授权导出； 存放在服务器上的数据要严格遵守服务器权限设置规定。 ITO业务中心 公司内部信息系统的开发代码、客户方的数据等 BPO业务中心 标书、电子版合同、BPO运营数据等 人力资源部 员工档案、薪酬、绩效考核等 行政与法律部 合同、公司的各类资质证书、发文、制度等 财务部 员工工资、公司经营数据等 运营管理部 业绩数据、绩效考核、合同扫描件等 商务部 采购合同、分销数据等 重要数据资产安全 资产安全管理 状态 安全要求 人员招聘 部门经理以上岗位和其他关键岗位录用人员必须做背景调查； 财务类、司机类岗位需做家访。 人员录用 被录用人员在办理入职手续时要签订《劳动合同》、《保密协议》等； 参加公司入职培训，包括与信息安全有关的培训等； 已转正的在职员工要每年定期参加信息安全相关知识的培训。 人员调岗 对应信息系统的权限要及时变更。 人员离职 离职人员凭《离职手续表》办理离职手续，系统管理员要及时关闭信息系统的权限，资产管理员及时收回并确认该离职人员所使用的资产情况。 人员安全 资产安全管理 网络管理员负责制定网络安全规范和网络访问策略，并管理网络设备。 根据风险评估结果，网络管理员制定网络建设和维护方案。 网络安全 资产安全管理 分类 要求 网络建设 网络管理员从网络系统的设计、网络系统划分、网络访问及控制策略等方面详细策划并出具网络建设方案。 网络维护 网络管理员从应用系统、操作系统、数据库、中间件、硬件设备、机房环境和网络的主要指标和状态等方面监控整个网络的运行，并做好值班日志记录，建立网络系统维护日志，每季度填写《错误日志评审记录表》； 定期进行网络巡检； 定期去公共网站或权威期刊上获取最新的关于恶意代码相关信息的报警或公