文档详情

3信息安全培训课件.ppt

发布:2018-01-19约5.29千字共60页下载文档
文本预览下载声明
控制域: 旧 A5 – A15, 新 A5 – A18 * A12.2.4 输出数据的验证 * * ISO 31000:2009 风险管理原则与实施指南,[5] 5.3 * * 1个目标,2项措施。对顾客——阿里巴巴的安全方针、目标?服务级别协议——承诺?为什么要密码要求? 公司信息安全方针为:依法管理、积极防范,措施有效、风险可控,强化意识、持续改进,股东放心、顾客满意 诠释: 依法管理、积极防范:严格遵守国家、地方、行业信息安全法律法规及相关要求,防范违规行为、事件发生。 措施有效、风险可控:动态全面识别风险,使用有效的风险评估工具和方法,严格控制风险事件在可接受风险范围之内,不断完善控制措施,降低威胁和脆弱性。 强化意识、持续改进:对全体员工进行定期有效的信息安全教育培训,严格执行各项规章制度,不断强化全员信息安全意识,持续改进信息安全管理体系有效性。 股东放心、顾客满意:实施信息安全管理的目的就是保护关键信息数据,保障股东权益,为顾客提供不间断的产品和服务,为公司持续运行发展保驾护航。 1.各相关方关于信息保密的抱怨/投诉的次数为零/年; 2.涉及公司关键、敏感信息数据泄露的事件为零/年; 3.公司核心商密、重要商密不可用事件为零/年,各信息系统连续4小时不可用的次数为零; 4.数据信息应准确、完整,丢失、损坏、被窜改的次数为零/年。 * 2个目标,5+2项措施 * 3个目标,2+3+1项措施 * 3个目标,4+3+3项措施 * 4个目标,2+6+1+5项措施 * 1个目标,2项措施 * 2个目标,15项措施 * 7个目标,4+1+1+4+1+2+1项措施 * * 2个目标,3+4项措施 * 3个目标,3+9+1项措施 * 2个目标,3+2项措施。阿里巴巴对卖家——外包、服务级别协议、安全要求都是什么?处罚——风险转移? 有的卖家没有意识——20次都不感觉异常?协议签了吗?有安全要求吗?有阈值要求吗? 有意识的卖家——设置了购买量要求、进一步确认的要求、绑定手机再确认的要求等,真的阻止了罪犯进一步的行动,保护了顾客财产。 * 1个目标,7项措施。接到用户请求后响应?——应急键、预案?——用户期望是什么?——赶快阻止非法行动,减小损失。 * 2个目标,3+1项措施 * 2个目标,5+3项措施 * * ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 ISO/IEC 27002:2013新版本附录A解析A13 A5安全方针 A6信息安全组织 A7人力资源安全 A8资产管理 A9访问控制 A10密码学 A11物理环境安全 A12操作安全 A13通信安全 A14信息系统的获取、开发和维护 A15供应商关系 A16信息安全事件管理 A17信息安全方面的业务连续性管理 A18符合性 ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 A5安全方针 A6信息安全组织 A7人力资源安全 A8资产管理 A9访问控制 A10密码学 A11物理环境安全 A12操作安全 A13通信安全 A14信息系统的获取、开发和维护 A15供应商关系 A16信息安全事件管理 A17信息安全方面的业务连续性管理 A18符合性 ISO/IEC 27002:2013新版本附录A解析A14 ISO/IEC 27002:2013新版本附录A解析A15 ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 A5安全方针 A6信息安全组织 A7人
显示全部
相似文档