欢迎来到天天文库
浏览记录
ID:4154392
大小:1.49 MB
页数:32页
时间:2017-11-29
《信息安全管理体系培训》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全管理体系培训信息安全管理体系1.ISMS概述2.ISMS标准3.ISMS认证1、ISMS概述什么是ISMS?在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。1、ISMS概述为什么要建立ISMS?今天,我们已经身处
2、信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势:1、ISMS概述2005年6月19日,万事达公司宣
3、布,储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售,每条100美元,并可能被用于金融欺诈活动。2005年5月19日,深圳市中级人民法院对华为公司诉其前员工案作出终审判决,维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工,因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英,最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。1、ISMS概述2006年5月8日上午8时左右,中国工程院院士,著名的传染病学专家钟
4、南山在上班的路上,被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在研制的新药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊”。这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。因此,保护信息资产,解决信息安全问题,已经成为组织必须
5、考虑的问题。1、ISMS概述如何建立ISMS?正确理解ISMS的含义和要素1、ISMS概述如何建立ISMS?正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC27001:20053.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:信息安全管理机构高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。中层:负责该组织日常信息安全
6、的管理与监督活动。基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。1、ISMS概述如何建立ISMS?正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC27001:20053.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:信息安全管理机构ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。1、ISMS概述如何建立ISM
7、S?正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC27001:20053.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:信息安全管理机构ISMS文件资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。1、ISMS概述如何建立ISMS?正确理解ISMS的含义和要素建立信息安全管理机构1、ISMS概述如何建立ISMS?正确理解ISMS的含义和要素
8、建立信息安全管理机构执行标准要求的ISMS建立过程按照ISO/IEC27001:2005“4.2.1建立ISMS”条款的要求,建立ISMS的步骤包括:定义ISMS的范围和边界,形成ISMS的范围文件;定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;定义组织的风险评估方法;识别要保护的信息资产的风险;分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;识别和评价风险处理的可选措施,形成《风险处理计划》文件;根据风险处理计划,选择风险处理控制目标和控制措施,形
此文档下载收益归作者所有