3信息安全培训课件.ppt

控制域: 旧 A5 – A15, 新 A5 – A18 * A12.2.4 输出数据的验证 * * ISO 31000:2009 风险管理原则与实施指南，[5] 5.3 * * 1个目标，2项措施。对顾客——阿里巴巴的安全方针、目标？服务级别协议——承诺？为什么要密码要求？ 公司信息安全方针为：依法管理、积极防范，措施有效、风险可控，强化意识、持续改进，股东放心、顾客满意 诠释： 依法管理、积极防范：严格遵守国家、地方、行业信息安全法律法规及相关要求，防范违规行为、事件发生。 措施有效、风险可控：动态全面识别风险，使用有效的风险评估工具和方法，严格控制风险事件在可接受风险范围之内，不断完善控制措施，降低威胁和脆弱性。 强化意识、持续改进：对全体员工进行定期有效的信息安全教育培训，严格执行各项规章制度，不断强化全员信息安全意识，持续改进信息安全管理体系有效性。 股东放心、顾客满意：实施信息安全管理的目的就是保护关键信息数据，保障股东权益，为顾客提供不间断的产品和服务，为公司持续运行发展保驾护航。 1.各相关方关于信息保密的抱怨/投诉的次数为零/年； 2.涉及公司关键、敏感信息数据泄露的事件为零/年； 3.公司核心商密、重要商密不可用事件为零/年，各信息系统连续4小时不可用的次数为零； 4.数据信息应准确、完整，丢失、损坏、被窜改的次数为零/年。 * 2个目标，5+2项措施 * 3个目标，2+3+1项措施 * 3个目标，4+3+3项措施 * 4个目标，2+6+1+5项措施 * 1个目标，2项措施 * 2个目标，15项措施 * 7个目标，4+1+1+4+1+2+1项措施 * * 2个目标，3+4项措施 * 3个目标，3+9+1项措施 * 2个目标，3+2项措施。阿里巴巴对卖家——外包、服务级别协议、安全要求都是什么？处罚——风险转移？ 有的卖家没有意识——20次都不感觉异常？协议签了吗？有安全要求吗？有阈值要求吗？ 有意识的卖家——设置了购买量要求、进一步确认的要求、绑定手机再确认的要求等，真的阻止了罪犯进一步的行动，保护了顾客财产。 * 1个目标，7项措施。接到用户请求后响应？——应急键、预案？——用户期望是什么？——赶快阻止非法行动，减小损失。 * 2个目标，3+1项措施 * 2个目标，5+3项措施 * * ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 ISO/IEC 27002:2013新版本附录A解析A13 A5安全方针 A6信息安全组织 A7人力资源安全 A8资产管理 A9访问控制 A10密码学 A11物理环境安全 A12操作安全 A13通信安全 A14信息系统的获取、开发和维护 A15供应商关系 A16信息安全事件管理 A17信息安全方面的业务连续性管理 A18符合性 ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 A5安全方针 A6信息安全组织 A7人力资源安全 A8资产管理 A9访问控制 A10密码学 A11物理环境安全 A12操作安全 A13通信安全 A14信息系统的获取、开发和维护 A15供应商关系 A16信息安全事件管理 A17信息安全方面的业务连续性管理 A18符合性 ISO/IEC 27002:2013新版本附录A解析A14 ISO/IEC 27002:2013新版本附录A解析A15 ISO/IEC 27002:2005 ISO/IEC 27002:2013 A5安全方针 A6信息安全组织 A7资产管理 A8人力资源安全 A9物理和环境安全 A10通信和运行管理 A11访问控制 A12信息系统的获取开发和维护 A13信息安全事件管理 A14业务连续性管理 A15符合性 A5安全方针 A6信息安全组织 A7人