返回
信息安全意识培训-全体员工

信息安全意识培训-全体员工

ID:46560713

大小:4.22 MB

页数:99页

时间:2019-11-25

信息安全意识培训-全体员工_第1页
信息安全意识培训-全体员工_第2页
信息安全意识培训-全体员工_第3页
信息安全意识培训-全体员工_第4页
信息安全意识培训-全体员工_第5页
资源描述:

《信息安全意识培训-全体员工》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1大厦哪里存在信息安全隐患?信息安全人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制ISO/IEC17799:2005版11个方面、39个控制目标和133项控制措施列表1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理ISMS(信息安全管理系统)ISO/IEC27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(In

2、formationSecurityManagementSystem,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。(引用自ISO/IEC27001:2005中“0.1总则”)Page5PDCA(戴明环)PDCA(Plan、Do、Check和Act)是管理学惯用的一个过程模型,最早是由休哈特

3、(WalterShewhart)于19世纪30年代构想的,后来被戴明(EdwardsDeming)采纳、宣传并运用于持续改善产品质量的过程当中。1、P(Plan)--计划,确定方针和目标,确定活动计划;2、D(Do)--执行,实地去做,实现计划中的内容;3、C(Check)--检查,总结执行计划的结果,注意效果,找出问题;4、A(Action)--行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。Page6PDCA特点大环套小环,小环保大环,推动大循环PDCA循环作为质量管理的基本方法,

4、不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。Page7PDCA特点(续)不断前进、不断提高PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。PDCA质量水平螺旋

5、上升的PDCAPage8PDCA和ISMS的结合Page9建设ISMS第一步工作是建设ISMS系统,这部分工作可以由组织或者公司自己进行,前提是该组织拥有专业的人才。大部分的公司不具备这样的能力,这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。建设ISMS的工作不是一个纯粹的IT建设,而是建立一个循序渐进的体系,需要公司的全员配合,特别是公司领导层重视,需要成立专门的团队来负责这项工作。Page10建设ISMS(续)文件化很重要,针对标准4.3的内容,各个层次的文件和记录都需要编写完备,这些工作也可以由第三方来协助进行。风险评估,培训等工作

6、的进行也需要在咨询公司的协助下进行。ISMS初步建立之后,需要运行一段时间,针对出现的问题进行修正。Page11提出申请待ISMS稳定运行一段时间之后,可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社)等。Page12认证审核-预审预审核(Pre-assessmentAudit)也称预审,是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看,预审是正式审核的预演或排练。许多组织都没有采用预审核。预审是审核员通过使用“差距分析”方法,分析和检查组织的ISMS与ISO/IEC27001:2005要求的差距,包

7、括(但不仅限于):分析ISMS方针与程序,组织当前的业务保护情况;检查ISMS是否与其实际业务融合一起;检查ISMS是否符合正式审核的基本条件;检查组织还有哪些未能按照标准要求进行运行的领域,包括员工的安全意识和员工是否知道ISMS等;检查ISMS运行的时间长度。注:预审也是要收费的!Page13认证审核-桌面审核强制性ISMS文件说明(1)ISMS方针文件,包括ISMS的范围根据ISO/IEC27001:2005标准“4.3.1”a)和b)的要求。(2)风险评估程序根据ISO/IEC27001:2005标准“4.3.1”d)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。