信息安全管理體系第一頁，共56頁。第一頁，共56頁。目錄介紹ISO27001認證過程和要點介紹信息安全管理體系內容信息安全管理體系準備-風險評估信息安全管理體系設計信息安全管理體系實施信息安全管理體系監控信息安全管理體系改進第二頁，共56頁。第二頁，共56頁。通信公司員工泄漏內部信息獲刑法制晚報：5家調查公司因非法經營被查，由此牽出了移動、聯通的三名在職員工和兩名離職員工——他們與調查公司勾結，將通話記錄等信息透露給對方。吳曉晨利用擔任聯通公司北京市三區分公司廣安門外分局商務客戶代表的工作之便，獲取大量公民個人信息后非法出售給調查公司，從中獲利。案情供述：

聯通公司吳曉晨：他幫調查公司查座機電話號碼的安裝地址，調查公司每個月固定給2000元，后來又讓幫忙查電話清單。 2008年10月初，他索性自己成立了一個商務調查公司單干了。移動公司張寧：2008年原同事林濤找到他，讓他查機主信息，修改手機密碼。他一共幫查過50多個機主信息，修改過100多個手機客服密碼。

只要提供給他機主姓名和手機號碼，他就可以通過工作平臺，將該人的個人信息調取出來，查出身份證號、住址和聯系電話。

修改手機密碼也是通過平臺，只需要提供手機號碼就行。修改完密碼后，就可以通過自動語音系統調通話記錄了，通話記錄會傳真到查詢者的傳真電話上。這比一個個地查完通話記錄再給他們，更方便省事。其實這是通信公司的一個漏洞。朝陽法院以非法經營罪判處5人有期徒刑2年6個月至有期徒刑2年2個月第三頁，共56頁。第三頁，共56頁。清明小長假一政府網被篡改成黃色網站4月6日上午，有網友登錄揚州市城鄉建設局官方網站時吃驚地發現，網頁竟然成了黃色網頁！頁面上充斥著衣著暴露的性感美女，搔首弄姿，十分不雅?！熬W站變成黃色網站的準確時間是3日，也就是清明小長假的第一天，因為放假，我們并沒有發現。今天上午9點節后一上班，我們就發現了這個問題?！弊蛉?，揚州市城鄉建設局信息中心朱主任接受記者采訪時表示，他們的網站確實被黑客襲擊了，被掛上了木馬。這次已是今年第二次遭黑客攻擊，第一次是在今年1月下旬，情況跟這次類似。朱主任表示，他們一上班發現網站“被色情”后，一直忙著維護，到12點多鐘恢復了正常。朱主任同時表示，他們的網站創建已經好幾年了，比較老了，由于現在仍然缺乏相關的網絡安全保護設備，所以網站兩次遭到攻擊。目前網站正在準備升級，在軟件、硬件上都要投入，將網站代碼進行升級，提高安全性。他還透露，今年內揚州市政府可能對政府各部門網站進行集中管理，進一步保障安全性。第四頁，共56頁。第四頁，共56頁。7天酒店數據庫被盜在騰訊微博上，一個名為“××刺客”的用戶發言稱，“出售7天假日所有聯網中心數據，附帶會員注冊個人信息，會員等級，開房信息，個人積分等全部數據?！蓖瑫r該用戶還留下了一個聯系郵箱。

記者通過網絡查詢后，得到了該用戶的QQ號，在4月初與這名黑客取得了聯系。記者假稱自己是旅游行業人員，想購買7天的會員數據庫。在交流中，該黑客明確告訴記者他手中確實有數據庫，會員總數在600萬左右。當記者稱愿意出價1000元購買時，該黑客在等待了幾分鐘后，稱自己比較忙，不賣了。隨后連續幾天，該黑客的QQ頭像始終處于離線狀態，記者發出的10多條消息也無一回復。

黑客通過SQL注入漏洞，入侵了服務器，并竊取了數據庫。第五頁，共56頁。第五頁，共56頁。什么是信息？

通常我們可以把信息理解為消息、信號、數據、情報和知識。信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機、磁帶、紙張等介質中記憶在人的大腦里通過網絡、打印機、傳真機等方式進行傳播信息借助媒體而存在，對現代企業來說具有價值，就成為信息資產：計算機和網絡中的數據硬件和軟件關鍵人員組織提供的服務各類文檔具有價值的信息資產面臨諸多威脅，需要妥善保護。Information第六頁，共56頁。第六頁，共56頁。信息安全定義廣義上講領域——涉及到網絡信息的保密性，完整性，可用性，真實性，可控性的相關技術和理論本質上保護——網絡系統的硬件，軟件，數據防止——系統和數據遭受破壞，更改，泄露保證——系統連續可靠正常地運行，服務不中斷兩個層面技術層面——防止外部用戶的非法入侵管理層面——內部員工的教育和管理第七頁，共56頁。第七頁，共56頁。信息安全金字塔審計管理加密訪問控制用戶驗證安全策略第八頁，共56頁。第八頁，共56頁。

信息安全的成敗取決于兩個因素：技術和管理。安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個重要的環節，它構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協調的活動，其針對對象就是組織的信息資產。現實世界里大多數安全事件的發生和安全隱患的存在，與其說是技術上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關鍵作用，對于真正實現信息安全目標來說尤其重要。信息安全管理的核心就是風險管理。信息安全管理第九頁，共56頁。第九頁，共56頁。安全管理觀點

技術和產品是基礎，管理才是關鍵產品和技術，要通過管理的組織職能才能發揮最佳作用技術不高但管理良好的系統遠比技術高超但管理混亂的系統安全先進、易于理解、方便操作的安全策略對信息安全至關重要建立一個管理框架，讓好的安全策略在這個框架內可重復實施，并不斷得到修正，就會擁有持續安全根本上說，信息安全是個管理過程，而不是技術過程第十頁，共56頁。第十頁，共56頁?；陲L險分析的安全管理方法

信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動。制定信息安全策略方針風險評估和管理控制目標和方式選擇風險控制和處理安全保證信息安全策略方針為信息安全管理提供導向和支持?？刂颇繕伺c控制方式的選擇應該建立在風險評估的基礎上?？紤]控制成本與風險平衡的原則，將風險降低到組織可接受的水平。需要全員參與。遵循管理的一般模式——PDCA模型。第十一頁，共56頁。第十一頁，共56頁。ISO27001發展歷程（由BS7799演變而來）第十二頁，共56頁。第十二頁，共56頁。評估標準的發展歷程第十三頁，共56頁。第十三頁，共56頁。信息安全的CIA目標

保護信息的保密性、完整性和可用性

——ISO17799ConfidentialityIntegrityAvailabilityInformation第十四頁，共56頁。第十四頁，共56頁。目錄1介紹ISO27001認證過程和要點介紹信息安全管理體系準備-風險評估信息安全管理體系設計信息安全管理體系實施信息安全管理體系監控信息安全管理體系改進第十五頁，共56頁。第十五頁，共56頁。ISO27001認證過程-11個Domain16一、信息安全方針（SecurityPolicy)(1,2)

四、人員安全（HumanResourceSecurity)(3,9)五、物理及環境安全（PhysicalandEnvironmentalSecurity)(2,13)

二、組織安全（OrganizingInformationsecurity)(2,11)三、資產分類與控制（AssetManagement)(2,5)六、通信與操作管理（CommunicationsandOperationsManagement)(10,33)八、系統開發與維護（InformationSystemsAcquisition,DevelopmentandMaintenance)(5,15)七、訪問控制（AccessControl)(7,25)十、業務持續性管理（BusinessContinuityManagement)(1,5)十一、符合性（Compliance)(3,10)九、信息安全事件管理（InformationsecurityincidentManagement)(2,5)第十六頁，共56頁。第十六頁，共56頁。目錄介紹ISO27001認證過程和要點介紹信息安全管理體系準備-風險評估信息安全管理體系設計信息安全管理體系實施信息安全管理體系監控信息安全管理體系改進第十七頁，共56頁。第十七頁，共56頁。Plan階段

定義ISMS的范圍（從業務、組織、位置、資產和技術等方面考慮）定義ISMS策略定義系統的風險評估途徑識別風險評估風險識別并評價風險處理措施選擇用于風險處理的控制目標和控制準備適用性聲明（SoA）取得管理層對殘留風險的承認和實施并操作ISMS的授權第十八頁，共56頁。第十八頁，共56頁。

組織實現信息安全的必要的、重要的步驟

了解組織的安全現狀

分析組織的安全需求

建立信息安全管理體系的要求

制訂安全策略和實施安防措施的依據風險評估的目的第十九頁，共56頁。第十九頁，共56頁。資產擁有者安全控制措施安全防護確信/信心安全風險評估生成/加強給出證據/發現問題需要如不能確信，需要評估給出評估與安全防護的關系第二十頁，共56頁。第二十頁，共56頁。風險管理全過程原理21識別并評價資產識別并評估威脅識別并評估弱點現有控制確認風險評價接受保持現有控制選擇控制目標和控制方式實施選定的控制YesNo確認并評估殘留風險定期評估風險評估風險消減風險接受風險管理第二十一頁，共56頁。第二十一頁，共56頁。22對資產進行保護是信息安全和風險管理的首要目標。劃入風險評估范圍和邊界的每項資產都應該被識別和評價。應該清楚識別每項資產的擁有者、保管者和使用者。信息資產的存在形式有多種，物理的、邏輯的、無形的。信息資產：數據庫數據文件、系統文檔、用戶手冊、培訓材料、操作或支持步驟、連續性計劃、回退計劃、歸檔等信息；軟件資產：應用程序軟件、系統軟件、開發工具以及實用程序；實體資產：計算機設備（處理器、監視器、膝上型電腦、調制解調器）、通訊設備（路由器、PABX、傳真機、應答機）、磁介質（磁帶和磁盤）、其它技術設備（電源、空調器）、機房；書面文件：包含系統文件、使用手冊、各種程序及指引辦法、合約書等。人員：承擔特定職能和責任的人員；服務：計算和通信服務，其他技術性服務，例如供暖、照明、水電、UPS識別信息資產第二十二頁，共56頁。第二十二頁，共56頁。識別并評估弱點23針對每一項需要保護的資產，找到其現實存在的弱點，包括：

技術性弱點：系統、程序、設備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規章制度、人員意識、組織結構等方面的不足。弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統測試和評估報告專業機構發布的漏洞信息自動化的漏洞掃描工具和滲透測試對弱點的評估需要考慮其嚴重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。如果資產沒有弱點或者弱點很輕微，就不存在風險問題。第二十三頁，共56頁。第二十三頁，共56頁。24識別每項（類）資產可能面臨的威脅。一項資產可能面臨多個威脅，一個威脅也可能對不同資產造成影響。識別威脅的關鍵在于確認引發威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質），通常包括（來源）：

人員威脅：故意破壞和無意失誤

系統威脅：系統、網絡或服務出現的故障

環境威脅：電源故障、污染、液體泄漏、火災等

自然威脅：洪水、地震、臺風、雷電等威脅對資產的侵害，表現在CIA某方面或者多個方面的受損上。對威脅的評估，主要考慮其發生的可能性。評估威脅可能性時要考慮威脅源的動機（Motivation）和能力（Capability）等因素。識別并評估威脅第二十四頁，共56頁。第二十四頁，共56頁。25關于風險可接受水平安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平決策者應該根據公司實際情況來確定風險可接受水平第二十五頁，共56頁。第二十五頁，共56頁。26降低風險（ReduceRisk）——實施有效控制，將風險降低到可接受的程度，實際上就是力圖減小威脅發生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統受惡意軟件攻擊的機會。減少弱點：例如，通過安全教育和意識培訓，強化職員的安全意識與安全操作能力。降低影響：例如，制定災難恢復計劃和業務連續性計劃，做好備份。規避風險（AvoidRisk）——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風險的業務或資產，以此規避風險。例如，將重要的計算機系統與互聯網隔離，使其免遭來自外部網絡的攻擊。轉移風險（TransferRisk）——也稱作RiskAssignment。將風險全部或者部分地轉移到其他責任方，例如購買商業保險。接受風險（AcceptRisk）——在實施了其他風險應對措施之后，對于殘留的風險，組織可以選擇接受，即所謂的無作為。確定風險處理策略第二十六頁，共56頁。第二十六頁，共56頁。27

依據風險評估的結果來選擇安全控制措施。選擇安全措施（對策）時需要進行成本效益分析（cost/benefitanalysis）：基本原則：實施安全措施的代價不應該大于所要保護資產的價值控制成本：購買費用，對業務效率的影響，額外人力物力，培訓費用，維護費用等控制價值＝沒有實施控制前的損失－控制的成本－實施安全控制之后的損失除了成本效益，還應該考慮：控制的易用性對用戶的透明度控制自身的強度控制的功能類型（預防、威懾、檢測、糾正）確定所選安全措施的效力，就是看實施新措施之后還有什么殘留風險。選擇控制措施第二十七頁，共56頁。第二十七頁，共56頁。28資產評估識別信息資產評價信息資產識別并評估弱點安全漏洞工具掃描人工評估識別并評估威脅網絡架構分析滲透測試風險評估階段流程風險評價降低風險規避風險轉移風險接受風險控制措施風險處置威脅弱點威脅事件防止威懾性控制影響利用引發造成保護發現減小預防性控制檢測性控制糾正性控制評價殘留風險第二十八頁，共56頁。第二十八頁，共56頁。目錄ISO27001認證過程和要點介紹ISO27001介紹ISO27001信息安全管理體系準備-風險評估ISO27001信息安全管理體系設計ISO27001信息安全管理體系實施ISO27001信息安全管理體系監控ISO27001信息安全管理體系改進第二十九頁，共56頁。第二十九頁，共56頁。DO階段

制定風險處理計劃（RiskTreatmentPlan）實施風險處理計劃實施所選的控制措施以滿足控制目標實施培訓和意識程序管理操作管理資源實施能夠激發安全事件檢測和響應的程序和控制第三十頁，共56頁。第三十頁，共56頁。31

絕對安全（即零風險）是不可能的。實施安全控制后會有殘留風險或殘存風險（ResidualRisk）。為了確保信息安全，應該確保殘留風險在可接受的范圍內：殘留風險Rr＝原有的風險R0－控制ΔR

殘留風險Rr≤可接受的風險Rt

對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據風險評估的結果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。評價殘留風險第三十一頁，共56頁。第三十一頁，共56頁。信息安全管理體系藍圖(示例)32第三十二頁，共56頁。第三十二頁，共56頁。建立ISMS管理框架的過程定義安全策略威脅、弱點、影響組織風險管理的途徑要求達到的保障程度ISO17799第三段列出的控制目標和控制不在ISO27001范圍內的其他安全控制Step1Step2Step3Step4Step5Step6策略文檔ISMS的范圍風險評估適用性聲明信息資產結果和結論選定的控制選項選擇的控制目標和控制定義ISMS范圍進行風險評估管理風險選擇控制目標和控制并加以實施準備適用性聲明第三十三頁，共56頁。第三十三頁，共56頁。ISMS的文檔體系Procedures程序WorkInstructions,checklists,forms,etc.工作指導書,檢查清單,表格等Records

紀錄SecurityManual

安全手冊Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一級關于ISO27001的管理框架的方針策略第二級第三級第四級第三十四頁，共56頁。第三十四頁，共56頁。1.信息安全策略

目標：

Toprovidemanagementdirectionandsupportforinformationsecurity.

信息安全策略——為信息安全提供管理方向和支持安全策略應該做到：對信息安全加以定義陳述管理層的意圖分派責任約定信息安全管理的范圍對特定的原則、標準和遵守要求進行說明對報告可疑安全事件的過程進行說明定義用以維護策略的復查過程第三十五頁，共56頁。第三十五頁，共56頁。2.信息安全組織

目標：

TomanageinformationsecuritywithintheorganisationTomaintainthesecurityoforganisationalinformationprocessingfacilitiesandinformationassetsaccessedbythirdpartiesTomaintainthesecurityofinformationwhentheresponsibilityforinformationprocessinghasbeenoutsourcedtoanotherorganisation.

信息安全基礎設施——在組織內部管理信息安全第三方訪問的安全——維護組織信息處理設施和被第三方訪問的信息資產的安全性外包控制——如果信息處理責任外包給其他組織，維護信息的安全性包含的內容：建立管理委員會，定義安全管理的角色和責任對軟硬件的采購建立授權過程第三方訪問的安全考慮外包合同中的安全需求第三十六頁，共56頁。第三十六頁，共56頁。3.資產分類和控制

目標：

Tomaintainappropriateprotectionofcorporateassetsandtoensurethatinformationassetsreceiveanappropriatelevelofprotection.資產責任——對組織資產進行恰當的保護信息分類——確保對信息資產的保護達到恰當的水平包含的內容：建立對硬件、軟件和信息的資產登記表對分類和標注資產進行建議TopSecretSecretConfidentialRestricted第三十七頁，共56頁。第三十七頁，共56頁。4.人力資源安全

目標：

Toreducerisksofhumanerror,theft,fraudormisuseoffacilitiesToensurethatusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportthecorporatesecuritypolicyinthecourseoftheirnormalworkTominimisethedamagefromsecurityincidentsandmalfunctionsandlearnfromsuchincidents.崗位安全責任與人員錄用的安全——減少人為錯誤、偷竊、欺詐或誤用設施帶來的風險。用戶培訓——確保用戶意識到信息安全威脅及利害關系，并在正常工作中支持組織的安全策略。安全事件響應——減少來自安全事件和故障的損失，監視并從事件中吸取教訓。包含的內容：故意或者無意的人為活動可能給數據和系統造成風險在正式的工作描述中建立安全責任，員工入職審查基本安全意識的培訓建立安全事件處理框架第三十八頁，共56頁。第三十八頁，共56頁。5.物理和環境安全

目標：

Topreventunauthorisedaccess,damageandinterferencetobusinesspremisesandinformationTopreventloss,damageorcompromiseofassetsandinterruptiontobusinessactivitiesTopreventcompromiseortheftofinformationandinformationprocessingfacilities

安全區域——防止非授權訪問、破壞和干擾業務運行的前提條件及信息。設備安全——防止資產的丟失、損害和破壞，防止業務活動被中斷。常規控制措施——防止危害或竊取信息及信息處理設施。包含的內容：應該建立帶有物理入口控制的安全區域應該配備物理保護的硬件設備應該防止網絡電纜被塔線竊聽將設備搬離場所，或者準備報廢時，應考慮其安全第三十九頁，共56頁。第三十九頁，共56頁。6.通信和操作管理

目標：操作程序和責任——確保正確并安全地操作信息處理設施。系統規劃與驗收——減少系統失效帶來的風險。抵御惡意軟件——保護軟件和信息的完整性。內務管理——維護信息處理和通信服務的完整性和可用性。網絡管理——確保對網絡中信息和支持性基礎設施的安全保護。介質處理和安全——防止損害資產和中斷業務活動。信息和軟件的交換——防止機構間交換的信息丟失、遭受篡改和誤用。包含的內容：防病毒，防惡意軟件進行變更控制做好備份，存儲介質的安全處理，保存正確的訪問日志，系統文件的安全性電子郵件安全性保護傳輸中的數據第四十頁，共56頁。第四十頁，共56頁。7.訪問控制

目標：訪問控制的業務需求——控制對信息的訪問。用戶訪問管理——防止非授權訪問信息系統。用戶責任——防止非授權的用戶訪問。網絡訪問控制——保護網絡服務。操作系統訪問控制——防止非授權的計算機訪問。應用訪問控制——防止非授權訪問信息系統中的信息。監視系統訪問與使用——檢測非授權的活動。移動計算和通訊——確保使用移動計算和通訊設施時的信息安全。包含的內容：口令的正確使用對終端的物理訪問自動終止時間軟件監視等第四十一頁，共56頁。第四十一頁，共56頁。8.系統獲取、開發與維護

目標：系統的安全需求——確保安全內建于信息系統中。應用系統的安全——防止丟失、篡改和誤用信息系統中的用戶數據。密碼控制——保護信息的保密性、真實性或完整性。系統文件的安全——確保IT項目和支持活動得以安全地進行。開發和支持過程的安全——維護應用系統軟件和信息的安全。包含的內容：在系統設計時應該考慮輸入數據校驗、數據加密、數據文件的安全性、測試數據的保護軟件開發和維護中應該建立配置管理、變更控制等機制第四十二頁，共56頁。第四十二頁，共56頁。

目標：確保與信息系統相關的信息安全事件和缺陷能夠及時發現，以便采取糾正措施。確保采取一致和有效的方法來管理信息安全事件。包含的內容：報告信息安全事件報告安全缺陷管理信息安全事件和改進責任和程序從信息安全事件中吸取教訓證據搜集9.安全事件管理第四十三頁，共56頁。第四十三頁，共56頁。10.業務連續性管理

目標：

Tocounteractinterruptionstobusinessactivitiesandtocriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters.

減少業務活動的中斷，保護關鍵業務過程不受重大事故或災害的影響。包含的內容：全面理解業務連續性計劃（BCP）理解組織面臨的風險，識別關鍵業務活動和優先次序。確認可能對業務造成影響的中斷。應該設計、實施、測試和維護BCP第四十四頁，共56頁。第四十四頁，共56頁。11.符合性

目標：

Toavoidbreachesofanycriminalorcivillaw,statutory,regulatoryorcontractualobligationsandofanysecurityrequirementsToensurecomplianceofsystemswithorganisationalsecuritypoliciesandstandardsTomaximisetheeffectivenessofandtominimiseinterferenceto/fromthesystemauditprocess.

符合法律要求——避免違反任何刑法、民法、法規或者合同義務，以及任何安全要求。對安全策略和技術符合性的評審——確保系統遵循了組織的安全策略和標準。系統審計的考慮——發揮系統審計過程的最大效用，并把干擾降到最低。包含的內容：組織應該確保遵守相關的法律法規和合同義務軟件版權，知識產權等第四十五頁，共56頁。第四十五頁，共56頁。目錄ISO27001認證過程和要點介紹ISO27001介紹ISO27001信息安全管理體系內容ISO27001信息安全管理體系準備-風險評估ISO27001信息安全管理體系設計ISO27001信息安全管理體系實施ISO27001信息安全管理體系監控ISO27001信息安全管理體系改進第四十六頁，共56頁。第四十六頁，共56頁。編寫信息安全管理方針、