ISMS内审员培训课件
合集下载
内审员培训课件(ppt-60页)
查看了公司的风险评价表,查看了公司的风险处理报告。
合格
内审检查表
五、审核过程
2、审核准备— 通知受审核部门并约定审核时间提前3-5天通知受审部门。确定陪同人员。其它事项。
五、 审核过程
3、审核实施
首次会议
收集审核证据
审核发现
末次会议
五、 审核过程
3、审核实施—首次会议介绍审核组成员。确认审核范围、目的和进度。介绍审核采用的方次会议的时间和地点。
第一、二、三方审核的相同点
1、被审核的管理体系都必须是正规的。 2、都应由有资格、经授权的、不审核自己工 作的人员进行(独立性)。 3、都是形成文件的过程。 4、都是一种抽样过程(随机抽样)。 5、发现问题都要采取纠正措施。
第一、第二、第三方审核区别
区别
3、审核实施—收集审核证据常用的方法:谈一谈看一看查一查要分析、要说明、要记录
五、 审核过程
3、审核实施—收集审核证据实用的方法:提开放 察其性问题 反应查找 执行程序证据 并记录
供 应 商
第一方审核
第二方审核
第二方审核
第三方审核
第一方审核(内部审核)
定义:用于内部目的,由组织自己或以组织名义进行的审核。 审核目的: 1、体系标准要求; 2、体系运行和改进的需要; 3、第二方和第三方审核前的准备: 4、作为一种管理手段。 审核准则(依据): 1、选定的管理体系标准; 2、管理体系文件(主要依据); 3、适用的法律、法规。
区 域
(3)与管理体系有关的产品范围
二、 审核概述
4、审核准则(1)管理体系标准(2)适用的法律、法规及其他要求(3)管理体系文件(包括计划)(4)惯例(包括合同要求)
三、审核要求
ISMS内审员培训教材ppt课件
准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。 审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、
事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
4
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项
19 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
独立审核(部门审核) ➢ 以单个部门为中心,审核所涉及的相关职能业务; ➢ 部门所涉及条款。 优点 ➢ 节约时间。 缺点 ➢ 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑
相关因素,过程审核思路要清晰,审核组内部沟通要求高。
35
3.3 审核方法—过程审核
过程审核(部门审核) ➢ 以过程为中心; ➢ 一个过程要涉及多个部门、多个标准条款。 优点 ➢ 系统性完整、全面,不易遗漏。 缺点 ➢ 部门之间重复返往较多,费时、费事; ➢ 对审核知识要求较高。
17
2.3 文件审核
目的
➢ 了解体系中的所有过程是否得到识别并适当管理;
➢ 了解过程文件满足审核准则程度;
对象
➢ 信息安全管理体系手册
➢ 信息安全管理体系程序文件
➢ 信息安全管理体系管理制度、办法、计划及指导书等;
准则
➢ 信息安全管理体系标准、合同、法律法规等。
事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
4
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项
19 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
独立审核(部门审核) ➢ 以单个部门为中心,审核所涉及的相关职能业务; ➢ 部门所涉及条款。 优点 ➢ 节约时间。 缺点 ➢ 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑
相关因素,过程审核思路要清晰,审核组内部沟通要求高。
35
3.3 审核方法—过程审核
过程审核(部门审核) ➢ 以过程为中心; ➢ 一个过程要涉及多个部门、多个标准条款。 优点 ➢ 系统性完整、全面,不易遗漏。 缺点 ➢ 部门之间重复返往较多,费时、费事; ➢ 对审核知识要求较高。
17
2.3 文件审核
目的
➢ 了解体系中的所有过程是否得到识别并适当管理;
➢ 了解过程文件满足审核准则程度;
对象
➢ 信息安全管理体系手册
➢ 信息安全管理体系程序文件
➢ 信息安全管理体系管理制度、办法、计划及指导书等;
准则
➢ 信息安全管理体系标准、合同、法律法规等。
ISMS【信息安全系列培训】【内部审核】
ISO/IEC 27001:2005 条款6 应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下,制定 审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应 确保审核过程的客观性和公正性。审核员不应审核自己的工作。
20
审核的原则
与审核员有关的原则 道德行为 公正表达 职业素养 与审核活动有关的原则 独立性 基于证据的方法
4
为什么审核
向管理层展示观点 向管理层强调风险 验证业务有效性 识别培训需求 发现不符合 进行检查 推动改进的工具 获得证书 使相关方满意
5
审核的定义
为获得审核证据,并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程。 ISO 19001
First party / internal audit 第一方/内部审核
7
什么是审核证据
通过观察、测量或实验获得的,并且能够被验证的关于管理体系要素的实施和运行 的定性或定量的信息、记录或陈述。 特点: 可陈述的事实; 可验证的事实; 不含有推测和猜想。
8
审核发现
将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价 结果,这种结果是依据审核准则,在审核证据的基础上做出的,审核发现是编制审 核报告的基础。
REFERENCES :
DATE:
Resp/Ref.
Findings
DATE:
✓/
31
审核检查表的目的
✓ Helps with preparation
✓
帮助准备
✓
Ensures issues are not
forgotten
✓
确问题不被忘记
Aids Consistency
20
审核的原则
与审核员有关的原则 道德行为 公正表达 职业素养 与审核活动有关的原则 独立性 基于证据的方法
4
为什么审核
向管理层展示观点 向管理层强调风险 验证业务有效性 识别培训需求 发现不符合 进行检查 推动改进的工具 获得证书 使相关方满意
5
审核的定义
为获得审核证据,并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程。 ISO 19001
First party / internal audit 第一方/内部审核
7
什么是审核证据
通过观察、测量或实验获得的,并且能够被验证的关于管理体系要素的实施和运行 的定性或定量的信息、记录或陈述。 特点: 可陈述的事实; 可验证的事实; 不含有推测和猜想。
8
审核发现
将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价 结果,这种结果是依据审核准则,在审核证据的基础上做出的,审核发现是编制审 核报告的基础。
REFERENCES :
DATE:
Resp/Ref.
Findings
DATE:
✓/
31
审核检查表的目的
✓ Helps with preparation
✓
帮助准备
✓
Ensures issues are not
forgotten
✓
确问题不被忘记
Aids Consistency
ISMS内审员培训教程
ISMS内审员培训教程ISMS内审员培训教程引言:随着信息化的日益普及和信息安全问题的日益突出,越来越多的企业开始关注信息安全管理体系(Information Security Management System,简称ISMS)的建立和运行。
ISMS是一种管理企业信息安全的体系,并且可以帮助企业评估和监控信息安全相关的风险。
为了保证ISMS的有效运行,企业需要进行内部审核以发现和纠正潜在问题。
本文将介绍ISMS内审员培训的基本内容和步骤,以帮助人们了解如何有效地进行ISMS内审。
一、ISMS内审员的角色和职责ISMS内审员是负责对ISMS体系进行内部审核的人员。
他们需要具备相关的知识和技能,熟悉ISMS的要求和标准,能够独立进行内部审核并提出改进建议。
ISMS内审员的职责包括:1. 审核企业的ISMS文件和记录,确保他们符合ISMS标准的要求。
2. 检查企业的信息安全实践,发现和纠正潜在问题。
3. 提供关于信息安全的建议和培训,帮助企业提高信息安全管理水平。
4. 撰写内审报告,总结审核结果和提出改进建议。
二、ISMS内审员的培训内容ISMS内审员的培训内容应该包括以下几个方面:1. ISMS标准的理解:内审员需要深入了解ISMS标准,包括其背景、目的和要求。
他们应该熟悉ISO 27001标准,了解其适用范围、结构和关键要素,以及与其他管理系统标准(如ISO 9001和ISO 14001)的关系。
2. 内审技巧和方法:内审员需要掌握一些基本的内审技巧和方法,例如面试和观察等。
他们还需要了解如何规划和执行内部审核,并撰写相关的审核报告。
3. 信息安全风险评估:内审员应该了解信息安全风险评估的基本原理和方法。
他们需要学习如何识别和评估信息安全风险,并提出相应的控制措施。
4. 改进和持续改进:内审员应该了解改进和持续改进的重要性,并学习一些改进工具和方法,例如PDCA循环和5W1H分析法。
三、ISMS内审员的培训步骤ISMS内审员的培训应该按照以下步骤进行:1. 确定培训目标和需求:确定内审员的培训目标和需求,了解他们当前的知识水平和经验,并根据此设定培训计划。
质量管理体系内部审核员培训(ppt 121页)
负责受审核区域的管理者应确保及时采取措 三车间主任和四车间技术副主 施,以消除所发现的不合格及其原因。跟踪活 任任组员,因为他们两人对四
动应包括对所采取措施的验证和验证结果的报 车间的流程、设备、工艺和人
告。
员等最了解。
14
8.2.2.1 质量管理体系审核 内部体系审核应覆盖所有的活动和班
次。应根据年度审核计划安排体系审 核,以验证与本技术规范和任何附加 的体系要求的符合性。
注I:特定知识和技术是指与受审核的组织、过程或活动,或语言或文化 有关的的知识和技术。
1.11审核方案:针对特定时间段所策划,并具有特定目的的 一组(一次或多次)审核(3.1)。
注:审核方案包括策划、组织和实施审核所有必要的所有活动。
1.12审核计划:对一次审核(3.1)的活动或安排的描述。 1.13审核范围:审核(3.1)的内容和界限。
注:审核准则是用于与审核证据进行比较的依据。
1.3审核证据:与审核准则(3.2)有关的并能够证实的记录、事实陈述或其他信息。
注:审核证据可以是定性的或定量的。 审核证据通常来自审核范围内所进行的面谈、文件审
阅、对活动与情况的观察、测量与试验结果或其他方法。
1.4审核发现:将收集到的审核证据(3.3)对照审核准则(3.2)进行评价的结果。
2)原有产品在批量生产时的过程审核。 此过程审核由审核员制定《过程审核计划》,建议每年至少审核两
天,当出现下列情况时,建议增加审核频次: a) 生产转移时; b) 发生重大质量问题时; c) 过程工艺的改变时; d)顾客或法规新增的特殊要求时; e) 其他改变时。
16
—— 过程审核控制要点 1)过程审核前应制定《过程审核检查表》,检查表可采用提问
ISMS内审员培训课程第二部分:ISO 27001标准附录A详解
4
A.5 安全方针
目标:依据业务要求和相关法律法规提供管理指导并支
持信息安全。
信息安全方针文件 信息安全方针的评审
方
针 (例)
信息安全,人人有责 信息安全是赢得客户 的基础,无破坏零损 失是我们的终极目标
为保护本公司的相关信息资 产,包括软硬件设施、数据 、信息的安全,免于因外在 的威胁或内部人员不当的管 理遭受泄密、破坏或遗失等 风险,特制订本政策,以供 全体员工共同遵循。
34
A.10.3 系统规划和验收
目标:将系统失效的风险降至最小。
容量管理 系统验收
35
A.10.3.1 容量管理
控制措施:
资源的使用应加以监视、调整,并作出对于 未来容量要求的预测,以确保拥有所需的系 统性能。
A.10.3.2 系统验收
控制措施:
应建立对新信息系统、升级及新版本的验收 准则,并且在开发中和验收前对系统进行适 当的测试。
25
A.9.1安全区域
目标:防止对组织场所和信息的未授权物理访问、
损坏和干扰。
物理安全周边
物理入口控制
办公室、房间和设施的安全保护 外部和环境威胁的安全防护 在安全区域工作 公共访问、交接区安全
26
A.9.1.1
物理安全周边
控制措施:
应使用安全周边(诸如墙、卡控制的入口或有人管理的接待台等屏障 )来保护包含信息和信息处理设施的区域。
控制措施:
应确保第三方实施、运行和保持在第三方服 务交付协议中的安全控制措施、服务定义和 交付水准。
A.10.2.2 第三方服务 监控和评审
控制措施:
应定期监视和评审由第三方提供的服务、报 告和记录,审核也应定期执行。
ISMS信息安全管理体系内部审核员培训(ISO27001)
V2.0
19
审核方式 — 分散式滚动审核
分区域(部门)或体系要求在不同时间进行审核 需编制年度审核方案
➢ 审核区域 ➢ 审核频次(一年审核几次) ➢ 计划的时间(预计的审核月份)
对审核方案进行滚动修改 适用于体系范围广、规模大的组织
V2.0
20
年度ISMS审核方案
月份 部门
管理层
销售部
采购部
V2.0
3
审核总论
审核的基本定义 审核的基本程序
V2.0
4
什么是审核?
审核证据
审核结论
客观评价
满足程度
审核准则
系统的、独立的、并形成文件的过程
V2.0
5
信息安全管理体系审核定义
为获得与信息安全相关的审核证据并对其进行客观评价, 以确定满足是否符合信息安全审核准则的程度所进行的 系统的、独立的并形成文件的过程。
V2.0
7
审核证据
与审核准则有关的并且能够证实的: – 记录 – 事实陈述 – 或其他信息
审核准则可以是定性的或定量的
V2.0
8
审核类型
第一方审核/内审
组织
第二方审核
第三方审核
第三方机构/认证机构
顾客
V2.0
9
内部审核的作用
验证组织ISMS体系符合ISO27001标准的程度。 审查组织的ISMS体系符合安全方针和目标的有效性和适宜性 通过内部审核,达到持续改进ISMS的目的。 通过内部审核,发现信息安全漏洞和薄弱环节。 通过内部审核,调查重大安全事件发生原因。 提高员工信息安全意识,促进全员参与信息安全管理。 在第二、三方审核前纠正不足。
审核后跟踪
V2.0
内审员培训讲义ppt56页课件
*
三 内部质量体系审核 (内审实施)
审核准则:审核用来同所收集的关于主题事项的审核证据进行比较的方针、惯例、程序或要求 审核证据:关于事实的可验证的信息、记录或陈述。 审核发现:将收集的审核证据与审核准则进行比较所得出的评价结果 审核结论:审核关于审核主题事项的专业判断或意见,它应基于并仅限于审核员根据审核发现所做的论证。
(三) 质量体系审核的范围 (1)要素
(2)场所
部 门
地 区
(3)活动
与质量体系有关的产品范围
*
二 质量体系审核概述
(四)质量体系审核的依据 (1)ISO9001质量管理体系标准 (2)质量体系文件 (3)质量计划(特定产品或项目) (4)合同 (5)国家有关的法律、法规
*
查售后服务的记录台帐,选出其中3~5份较大的服务记录,查看客户对服务的意见反馈。
5
成品库是否按程序进行了管理?
1)查看成品库台帐; 2)抽查3~5种成品的帐、物、卡的一致性; 3)观察仓库条件及产品标识情况; 4)与仓库主管谈话。
6
销售部门参加设计评审及合同转化为设计输入的情况
与销售经理谈话。
*
三 内部质量体系审核(二)内审的准备
通知受审核部门并约定审核时间 1)提前3-5天通知受审部门。 2)确定陪同人员。 3)其它事项。
*
三 内部质量体系审核
三)内部质量体系审核 ---实施程序
首次会议
现场审核
确定不合格及不合格报告
汇总分析审核结果
末次会议
编写审核报告
*
三 内部质量体系审核 (内审实施)
首次会议 1)向受审方的最高管理者介绍审核组成员。 2)重申审核的范围和目的。 3)介绍审核的方法和程序。 4)在审核组和受审核方之间建立正式联系。 5)确认审核组所需要的资源和设施已齐备。 6)确认末次会议的时间和地点。
三 内部质量体系审核 (内审实施)
审核准则:审核用来同所收集的关于主题事项的审核证据进行比较的方针、惯例、程序或要求 审核证据:关于事实的可验证的信息、记录或陈述。 审核发现:将收集的审核证据与审核准则进行比较所得出的评价结果 审核结论:审核关于审核主题事项的专业判断或意见,它应基于并仅限于审核员根据审核发现所做的论证。
(三) 质量体系审核的范围 (1)要素
(2)场所
部 门
地 区
(3)活动
与质量体系有关的产品范围
*
二 质量体系审核概述
(四)质量体系审核的依据 (1)ISO9001质量管理体系标准 (2)质量体系文件 (3)质量计划(特定产品或项目) (4)合同 (5)国家有关的法律、法规
*
查售后服务的记录台帐,选出其中3~5份较大的服务记录,查看客户对服务的意见反馈。
5
成品库是否按程序进行了管理?
1)查看成品库台帐; 2)抽查3~5种成品的帐、物、卡的一致性; 3)观察仓库条件及产品标识情况; 4)与仓库主管谈话。
6
销售部门参加设计评审及合同转化为设计输入的情况
与销售经理谈话。
*
三 内部质量体系审核(二)内审的准备
通知受审核部门并约定审核时间 1)提前3-5天通知受审部门。 2)确定陪同人员。 3)其它事项。
*
三 内部质量体系审核
三)内部质量体系审核 ---实施程序
首次会议
现场审核
确定不合格及不合格报告
汇总分析审核结果
末次会议
编写审核报告
*
三 内部质量体系审核 (内审实施)
首次会议 1)向受审方的最高管理者介绍审核组成员。 2)重申审核的范围和目的。 3)介绍审核的方法和程序。 4)在审核组和受审核方之间建立正式联系。 5)确认审核组所需要的资源和设施已齐备。 6)确认末次会议的时间和地点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部标《计算机信息系统安全专用产品分类原则》定义是:“本标准适用于保护计 算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。”
ISO 27002 定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最 大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、 完整性、可用性。”
FTP
TCP
DNS
SMTP
UDP
IP
ARPNET SATNET 无线网络 以太网
应用程序攻击 数据监听和窃取 拒绝服务攻击 硬件设备破坏 电磁监听
24
常规的防护技术措施
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性; 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
ISMS内审员培训课程
课程内容
第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
总体课程目标
了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧
21
网络为什么不安全 因为你连在网上……
网络的美妙之处在于你和每个人都能互相连接 网络的可怕之处在于每个人都能和你互相连接
22
信息安全面临各种安全威胁
黑客攻击
后门、隐蔽通道
计算机病毒
信息丢失、篡 改、销毁
信息资产
拒绝服务攻击
逻辑炸弹
内部、外部泄密
23
TCP/IP的每个层次都存在攻击
Telnet
核查性、不可否认性和可靠性。
完整性 保密性
可用性
16
信息安全的定义
17
COSO ISO13335
各种概念
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
信息安全
数据安全 应用安全 系统安全 网络安全 物理安全
14
机密性 (Confidentiality)
机密性(Cf) 真实性(Au)
完整性
可用性
(Integrity ) (Availability) 可控性(Ct) 可用性(Av)
国际
国内一些学者
15
信息安全的定义
ISO/IEC 27002:2005 保持信息的保密性、完整性、可用性; 另外,也包括其他属性,如:真实性、可
Slide 18, rev 108
Quality Systems & MgL /CMMI-SVC
CMMI ISO12207 ISO15504
ISO2700X/ISO13335/SOX PCI/GLBA/HIPAA/BaseII...
Quality System IT Planning Project mgmt. BCM IT Security
AP. Dev. (SDLC)
Service mgmt.
Enter. mgmt. Risk mgmt.
IT Gov.
COSO/BS31100 /SOX
ISO38500/COBIT
ISO900X
IT Operations
SIX Sigma
BS25999 BS25777
IS Strategy PMI
19
20
信息为什么会有安全问题
➢ 信息具有重要的价值
• 信息社会对信息的高度依赖 • 信息的高附加值会引起盗窃、滥用等威胁
➢ 信息及系统固有的脆弱性
• 信息本身易传播、易毁坏、易伪造 • 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局
限)、没有避免的因素(默认配置)
➢威胁客观存在
– 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等
7
信息的处理方式
8
企业管理关注的信息类型
9
组织的“信息”在哪里?
➢ 雇员的大脑:42%; ➢ 纸质文件:26%; ➢ 电子文档:20% ➢ 其他:12%;
“不论信息采取何种方式或采取何种手段共享或 存储,它总应得到妥善保护”
10
11
信息安全定义(部分)
国标《计算机信息系统安全保护等级划分准则》定义:“计算机信息人机系统安 全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的 直接对象是计算机信息系统,实现安全保护的关键因素是人。“
国际标准化委员会定义:“为数据处理系统而采取的技术的和管理的安全保护, 保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏(可用性)、 更改(完整性)、显露(机密性)”
12
信息安全定义
百家争鸣、无一定论
所涉及层 面
所涉及安 全属性
13
信息安全分层
管理/人员安全 数据/信息安全 运行安全 实体/物理安全
3
欢迎参加ISMS内审员课程培训
SGS-CSTC介绍 讲师介绍
4
第一部分 信息安全基础知识
教学目标
了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005
6
信息的基本概念
信息是经过分析、共享和理解的数据。
Main regulations and standards: SOX: impact public companies and focus on financial information Gramm-Leach-Bliley: impact financial industry and focus on customer information HIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders. PCI DSS: impact pay card industry and focus on information of cardholders ISO27001: General standards ISO20000: focus on IT services industry Others: BaseII, SCANDA, CA1386, FISMA, NIST...
ISO 27002 定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最 大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、 完整性、可用性。”
FTP
TCP
DNS
SMTP
UDP
IP
ARPNET SATNET 无线网络 以太网
应用程序攻击 数据监听和窃取 拒绝服务攻击 硬件设备破坏 电磁监听
24
常规的防护技术措施
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性; 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
ISMS内审员培训课程
课程内容
第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
总体课程目标
了解信息安全基础知识 熟悉ISO27001标准 熟悉信息安全风险管理的基本方法 熟悉和掌握信息安全管理体系内审方法和技巧
21
网络为什么不安全 因为你连在网上……
网络的美妙之处在于你和每个人都能互相连接 网络的可怕之处在于每个人都能和你互相连接
22
信息安全面临各种安全威胁
黑客攻击
后门、隐蔽通道
计算机病毒
信息丢失、篡 改、销毁
信息资产
拒绝服务攻击
逻辑炸弹
内部、外部泄密
23
TCP/IP的每个层次都存在攻击
Telnet
核查性、不可否认性和可靠性。
完整性 保密性
可用性
16
信息安全的定义
17
COSO ISO13335
各种概念
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
信息安全
数据安全 应用安全 系统安全 网络安全 物理安全
14
机密性 (Confidentiality)
机密性(Cf) 真实性(Au)
完整性
可用性
(Integrity ) (Availability) 可控性(Ct) 可用性(Av)
国际
国内一些学者
15
信息安全的定义
ISO/IEC 27002:2005 保持信息的保密性、完整性、可用性; 另外,也包括其他属性,如:真实性、可
Slide 18, rev 108
Quality Systems & MgL /CMMI-SVC
CMMI ISO12207 ISO15504
ISO2700X/ISO13335/SOX PCI/GLBA/HIPAA/BaseII...
Quality System IT Planning Project mgmt. BCM IT Security
AP. Dev. (SDLC)
Service mgmt.
Enter. mgmt. Risk mgmt.
IT Gov.
COSO/BS31100 /SOX
ISO38500/COBIT
ISO900X
IT Operations
SIX Sigma
BS25999 BS25777
IS Strategy PMI
19
20
信息为什么会有安全问题
➢ 信息具有重要的价值
• 信息社会对信息的高度依赖 • 信息的高附加值会引起盗窃、滥用等威胁
➢ 信息及系统固有的脆弱性
• 信息本身易传播、易毁坏、易伪造 • 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局
限)、没有避免的因素(默认配置)
➢威胁客观存在
– 恶意攻击、企业间谍、内部系统的误用/滥用、敌对势力等
7
信息的处理方式
8
企业管理关注的信息类型
9
组织的“信息”在哪里?
➢ 雇员的大脑:42%; ➢ 纸质文件:26%; ➢ 电子文档:20% ➢ 其他:12%;
“不论信息采取何种方式或采取何种手段共享或 存储,它总应得到妥善保护”
10
11
信息安全定义(部分)
国标《计算机信息系统安全保护等级划分准则》定义:“计算机信息人机系统安 全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的 直接对象是计算机信息系统,实现安全保护的关键因素是人。“
国际标准化委员会定义:“为数据处理系统而采取的技术的和管理的安全保护, 保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏(可用性)、 更改(完整性)、显露(机密性)”
12
信息安全定义
百家争鸣、无一定论
所涉及层 面
所涉及安 全属性
13
信息安全分层
管理/人员安全 数据/信息安全 运行安全 实体/物理安全
3
欢迎参加ISMS内审员课程培训
SGS-CSTC介绍 讲师介绍
4
第一部分 信息安全基础知识
教学目标
了解信息安全基础知识 认识信息安全对组织的重要性 了解基本的攻击与防御技术知识 通过信息安全案例增强安全意识 初步接触ISO/IEC 27001:2005
6
信息的基本概念
信息是经过分析、共享和理解的数据。
Main regulations and standards: SOX: impact public companies and focus on financial information Gramm-Leach-Bliley: impact financial industry and focus on customer information HIPAA: impact medical industry and focus on information of patients, employees, customers, shareholders. PCI DSS: impact pay card industry and focus on information of cardholders ISO27001: General standards ISO20000: focus on IT services industry Others: BaseII, SCANDA, CA1386, FISMA, NIST...