招商银行信息系统内部审计培训招商银行信息系统内部审计培训ISO27001ISO27001信息安全管理体系介绍信息安全管理体系介绍1PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 2PPT学习交流几个问题信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？3PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 4PPT学习交流信息资产信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallbackarrangement）、审核跟踪记录（audittrails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。信息资产类型:5PPT学习交流信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式：6PPT学习交流信息资产产生使用存储传输销毁/抛弃信息资产的生命周期：产生使用存贮传输销毁/抛弃7PPT学习交流什么是信息安全什么是信息安全? ? ISO27001 将信息安全定义如下:保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性保密性可用性保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性 完整性：保护资产的准确和完整的特性 8PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 9PPT学习交流信息安全管理体系（ISMS）介绍Information Security Management System(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IEC JTC1/SC27/WG1（国际标准化组织/国际电工委员会 联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南10PPT学习交流ISO27000系列标准标准序号标准名称发布时间ISO/IEC 27000基础与术语基础与术语起草中，未发布起草中，未发布ISO/IEC 27001ISMS Requirement ISMS要求要求 2005年年10月月ISO/IEC 27002Code of Practice for ISMS实用规则实用规则2007年年4月月ISO/IEC 27003ISMS Implementation Guidance ISMS实施指南实施指南起草中，未发布起草中，未发布ISO/IEC 27004ISMS Metrics and Measurement ISMS的测量的测量起草中，未发布起草中，未发布ISO/IEC 27005Information Security Risk Management 信息安全风险管理信息安全风险管理2008年年6月月ISO/IEC 27006Certification and Registration process审核认证机构要求审核认证机构要求2007年年2月月11PPT学习交流ISO27001的历史12PPT学习交流等同的国家标准GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月，经国家标准化管理委员会批准，全国信息安全标准化技术委员会发布两个新的国家标准，并于2008年11月1日起实施。13PPT学习交流提升竞争力提高合规性满足利益相关方期望实施ISMS的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO 2700114PPT学习交流当前获得ISO27001证书的组织分布(2008年9月)15PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 16PPT学习交流ISO27001信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。 17PPT学习交流1.定义范围和边界2.定义安全策略3.定义风险评估方法4.识别风险5.识别和评价风险6.识别和评价风险处理的可选措施7.为处理风险选择控制目标和控制措施8.获得管理者对建议的残余风险的批准9.获得管理者对实施和运行ISMS的授权准备适用性声明（SoA）建立ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS18PPT学习交流实施和运行ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.制定风险处理计划2.实施风险处理计划 3.实施培训和意识教育计划4.管理ISMS的运行 5.管理ISMS的资源6.应急响应、事故管理19PPT学习交流监视和评审ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.执行监视与评审程序和其它控制措施 2.ISMS有效性的定期评审 3.测量控制措施的有效性 4.定期实施ISMS内部审核 5.定期进行ISMS管理评审 20PPT学习交流保持和改进ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS1.实施已识别的ISMS改进措施 2.采取合适的纠正和预防措施 3.从安全经验中吸取教训 4.向所有相关方沟通措施和改进情况 21PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 22PPT学习交流风险的概念风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率上述事件发生之后所带来的影响在ISO/IECGUIDE73将风险定义为：事件的概率及其结果的组合。23PPT学习交流风险管理的目标风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。风险管理的目标：高影响低概率高影响高影响高概率高概率低影响低影响低概率低概率底影响底影响低概率低概率影响概率控制目标控制目标概率24PPT学习交流信息安全风险管理一般方法资产识别 威胁识别 分析和评价风险 风险处理计划识别脆弱性当前控制措施分析风险监控、检查与沟通风险监控、检查与沟通25PPT学习交流识别威胁威胁威胁可多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径几种常见威胁：自然灾害计算机犯罪员工操作失误商业间谍黑客ISO 27001将威胁定义如下：可能导致对系统或组织的损害的不期望事件发生的潜在原因 26PPT学习交流识别脆弱性脆弱性常被成为漏洞几种常见脆弱性：简单口令员工安全意思淡薄第三方缺乏保密协议变更管理薄弱明文传输信息经验表明：大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术脆弱性。ISO 27001将脆弱性定义如下：可能会被一个或多个威胁所利用的资产或一组资产的弱点 27PPT学习交流分析当前控制ISO 27002将控制定义如下：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。控制措施也用于防护措施或对策的同义词。本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）28PPT学习交流风险的分析与评价风险分析：系统地使用信息来识别风险来源和估计风险 风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程存在定性、定量两种风险分析方法实例：29PPT学习交流风险处理策略经过风险评估后识别出来的风险，接着便是制定其对应的风险处理计划. 可能的风险处理计划包括以下四种之一或四种的组合:采取适当的控制措施来降低(reduce)风险。了解并客观地接受(accept)风险,倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。通过放弃当前的某些活动来规避(avoid)风险发生。转嫁(transfer)风险至其它组织，例如保险公司、供应商等。30PPT学习交流定义风险接收水平风险处理计划完成后的残余风险水平应在可接受风险水平之内初始风险水平（高）可接受的风险水平（Low）残余风险风险级别高中低残余风险风险控制措施风险控制措施31PPT学习交流控制措施选择从针对性和实施方式来看，控制措施分三类：管理(Administrative)性:安全策略,流程,组织与职责等操作(Operation)性:人员职责,事故反应,意识培训,系统开发等等技术(Technical)性:加密,访问控制,审计等或者从功能上来分,控制措施类型包括：威慑性(Deterrent):告示、标语预防性(Preventive):培训，操作手册，加密，身份认证检测性(Detective):CCTV,保安，报警纠正性(Corrective):培训，问责，应急响应，灾备32PPT学习交流风险风险成本成本最佳投资点最佳投资点基本原则实施安全控制措施的代价不应该大于要保护的资产的价值选择控制措施时的成本效益分析33PPT学习交流1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 34PPT学习交流ISO27002信息安全管理体系实用规则一、安全方针（Security Policy）二、组织信息安全（Organizing Information Security）三、资产管理（Asset Management）四、人力资源安全（Human Resource Security）五、物理及环境安全(Physical and Environmental Security) 六、通信与操作管理（Communications and Operations Management）八、系统获取、开发与维护(Information System Acquisition, Development and Maintenance)七、访问控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、业务持续性管理（Business Continuity Management）十一、符合性（Compliance）11个安全域，39个控制目标，133个控制点35PPT学习交流控制域1：安全方针信息安全方针文件信息安全方针文件的评审1.1信息安全方针信息安全方针 依据业务要求和相关法律法规提供管理指导并支持信息安全 36PPT学习交流控制域2：组织信息安全信息安全的管理承诺信息安全协调 信息安全职责的分配信息处理设施的授权过程保密性协议2.12.1内部组织内部组织 在组织内管理信息安全 与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题2.2组织外部各方组织外部各方保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 37PPT学习交流控制域3：资产管理资产清单资产责任人资产的合格使用3.13.1资产责任资产责任实现和保持对组织资产的适当保护 分类指南信息的标记和处理3.2资产分类资产分类确保信息受到适当级别的保护 38PPT学习交流控制域4：人力资源安全角色和职责背景审查任用条款和条件4.1任用之前任用之前确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险 管理职责信息安全意识、教育和培训 纪律处理过程4.2任用中任用中确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险终止职责资产的归还撤销访问权4.3任用的终止任用的终止或变化或变化确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系 39PPT学习交流控制域5：物理和环境安全物理安全边界 物理入口控制 办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全5.1安全区域安全区域防止对组织场所和信息的未授权物理访问、损坏和干扰 设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处置和再利用资产的移动5.2设备安全设备安全防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 40PPT学习交流控制域6：通信和操作管理文件化的操作程序变更管理责任分割开发、测试和运行设施分离6.16.1操作程序和操作程序和职责职责确保正确、安全的操作信息处理设施 服务交付第三方服务的监视和评审第三方服务的变更管理6.26.2第三方服务第三方服务交付管理交付管理实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准 容量管理系统验收6.36.3系统规划和系统规划和验收验收将系统失效的风险降至最小 41PPT学习交流控制域6：通信和操作管理（续）控制恶意代码控制移动代码6.4防范恶意和防范恶意和移动代码移动代码保护软件和信息的完整性 信息备份6.5备份备份保持信息和信息处理设施的完整性及可用性 网络控制网络服务安全6.6网络安全管理网络安全管理确保网络中信息的安全性并保护支持性的基础设施 42PPT学习交流控制域6：通信和操作管理（续）可移动介质的管理介质的处置信息处理程序系统文件安全6.7介质处置介质处置防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断 信息交换策略和程序交换协议运输中的物理介质电子消息发送业务信息系统6.8信息的交换信息的交换保持组织内信息和软件交换及与外部组织信息和软件交换的安全 电子商务在线交易公共可用信息6.9电子商务服务电子商务服务确保电子商务服务的安全及其安全使用 43PPT学习交流控制域6：通信和操作管理（续）审计日志监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步6.10监视监视检测未经授权的信息处理活动 44PPT学习交流控制域7：访问控制访问控制策略7.1访问控制的访问控制的业务要求业务要求控制对信息的访问 用户注册特殊权限管理用户口令管理用户访问权的复查7.2用户访问管理用户访问管理确保授权用户访问信息系统，并防止未授权的访问 口令使用无人值守的用户设备清空桌面和屏幕策略7.3用户职责用户职责防止未授权用户对信息和信息处理设施的访问、危害或窃取 45PPT学习交流控制域7：访问控制（续）使用网络服务的策略外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路由控制7.4网络访问控制网络访问控制防止对网络服务的未授权访问 安全登录程序用户标识和鉴别口令管理系统系统实用工具的使用会话超时联机时间的限定7.5操作系统访操作系统访问控制问控制防止对操作系统的未授权访问 信息访问限制敏感系统隔离7.6应用和信息应用和信息访问控制访问控制防止对应用系统中信息的未授权访问 46PPT学习交流控制域7：访问控制（续）移动计算和通讯远程工作7.7移动计算和移动计算和远程工作远程工作确保使用移动计算和远程工作设施时的信息安全 47PPT学习交流控制域8：信息系统获取、开发和维护安全要求分析和说明8.1信息系统的信息系统的安全要求安全要求确保安全是信息系统的一个有机组成部分 输入数据验证内部处理的控制消息完整性输出数据验证8.2应用中的正应用中的正确处理确处理防止应用系统中的信息的错误、遗失、未授权的修改及误用 使用密码控制的策略密钥管理8.3密码控制密码控制通过密码方法保护信息的保密性、真实性或完整性 48PPT学习交流控制域8：信息系统获取、开发和维护（续）运行软件的控制系统测试数据的保护对程序源代码的访问控制8.4系统文件的系统文件的安全安全确保系统文件的安全 变更控制程序操作系统变更后应用的技术评审软件包变更的限制信息泄露外包软件开发8.5开发和支持开发和支持过程中的安全过程中的安全维护应用系统软件和信息的安全 技术脆弱性的控制8.6技术脆弱性技术脆弱性管理管理降低利用公布的技术脆弱性导致的风险 49PPT学习交流控制域9：信息安全事件管理报告信息安全事态报告安全弱点9.1报告信息安报告信息安全事态和弱点全事态和弱点确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施 职责和程序对信息安全事件的总结证据的收集9.2信息安全事信息安全事件和改进的管理件和改进的管理确保采用一致和有效的方法对信息安全事件进行管理50PPT学习交流控制域10：业务连续性管理业务连续性管理过程中包含的信息安全 业务连续性和风险评估制定和实施包含信息安全的连续性计划业务连续性计划框架测试、维护和再评估业务连续性计划10.1业务连续性业务连续性管理的信息安全管理的信息安全方面方面防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复 51PPT学习交流控制域11：符合性可用法律的识别知识产权（IPR）保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则11.1符合法律要求符合法律要求避免违反任何法律、法令、法规或合同义务，以及任何安全要求 符合安全策略和标准技术符合性检查11.2符合安全策符合安全策略和标准以及技略和标准以及技术符合性术符合性确保系统符合组织的安全策略及标准 信息系统审核控制措施信息系统审核工具的保护11.3信息系统审信息系统审核考虑核考虑将信息系统审核过程的有效性最大化，干扰最小化 52PPT学习交流53PPT学习交流