ISMS內審員培訓課程SGS-CSTC通標標準技術服務有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

第一部分信息安全基礎知識及案例介紹第二部分ISO27001標準正文部分詳解

ISO27001標準附錄A詳解第三部分信息安全風險評估與管理第四部分體系文件編寫第五部分

信息安全管理體系內部審核課程內容了解信息安全基礎知識熟悉ISO27001標準熟悉信息安全風險管理的基本方法熟悉和掌握信息安全管理體系內審方法和技巧總體課程目標歡迎參加ISMS內審員課程培訓

SGS-CSTC介紹講師介紹第一部分信息安全基礎知識了解信息安全基礎知識認識信息安全對組織的重要性了解基本的攻擊與防御技術知識通過信息安全案例增強安全意識初步接觸ISO/IEC27001:2005教學目標信息是經過分析、共享和理解的數據。信息的基本概念信息的處理方式企業管理關注的信息類型雇員的大腦：42%；紙質文件：26%；電子文檔：20%其他：12%；“不論信息采取何種方式或采取何種手段共享或存儲，它總應得到妥善保護”組織的“信息”在哪里？信息安全定義（部分）國標《計算機信息系統安全保護等級劃分準則》定義：“計算機信息人機系統安全的目標是著力于實體安全、運行安全、信息安全和人員安全維護。安全保護的直接對象是計算機信息系統，實現安全保護的關鍵因素是人。“部標《計算機信息系統安全專用產品分類原則》定義是：“本標準適用于保護計算機信息系統安全專用產品，涉及實體安全、運行安全和信息安全三個方面。”ISO27002定義：“信息安全是使信息避免一系列威脅，保障商務的連續性，最大限度地減少商務的損失，最大限度地獲取投資和商務的回報，涉及的是機密性、完整性、可用性。”國際標準化委員會定義：“為數據處理系統而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞（可用性）、更改（完整性）、顯露（機密性）”信息安全定義百家爭鳴、無一定論所涉及安全屬性所涉及層面管理/人員安全數據/信息安全運行安全實體/物理安全應用安全系統安全網絡安全物理安全信息安全

數據安全信息安全分層機密性(Confidentiality)完整性可用性（Integrity

）

(Availability)機密性（Cf）真實性（Au）可控性（Ct）可用性（Av）國際國內一些學者信息安全的定義ISO/IEC27002：2005保持信息的保密性、完整性、可用性；另外，也包括其他屬性，如：真實性、可核查性、不可否認性和可靠性。保密性完整性可用性信息安全的定義Slide18,rev0ISO27002CMM/CMMISCAMPI(StandardCMMIAppraisalMethodforProcessImprovement)ITILISO12207ISO15504=SPICE（SoftwareProcessImprovementandCapabilitydetermination）ISO20000ISO27001ISO13335COBIT各種概念BCM/BS25999ISO15408/CCISO9001COSOServicemgmt.AP.Dev.(SDLC)Projectmgmt.ITSecurityITPlanningQualitySystemITOperationsEnter.mgmt.Riskmgmt.ITGov.QualitySystems&Mgmt.FrameworksCOSO/BS31100/SOXISO38500/COBITISO20000/ITIL/CMMI-SVCCMMIISO12207ISO15504ISO2700X/ISO13335/SOXPCI/GLBA/HIPAA/BaseII...PMIISStrategySIXSigmaISO900XBCMBS25999BS25777Mainregulationsandstandards:SOX:impactpubliccompaniesandfocusonfinancialinformationGramm-Leach-Bliley:impactfinancialindustryandfocusoncustomerinformationHIPAA:impactmedicalindustryandfocusoninformationofpatients,employees,customers,shareholders.PCIDSS:impactpaycardindustryandfocusoninformationofcardholdersISO27001:GeneralstandardsISO20000:focusonITservicesindustryOthers:BaseII,SCANDA,CA1386,FISMA,NIST...信息具有重要的價值信息社會對信息的高度依賴信息的高附加值會引起盜竊、濫用等威脅信息及系統固有的脆弱性信息本身易傳播、易毀壞、易偽造信息平臺的脆弱性客觀存在：不可避免的因素（技術局限、人的能力局限）、沒有避免的因素（默認配置）威脅客觀存在惡意攻擊、企業間諜、內部系統的誤用/濫用、敵對勢力等信息為什么會有安全問題網絡為什么不安全因為你連在網上……網絡的美妙之處在于你和每個人都能互相連接網絡的可怕之處在于每個人都能和你互相連接信息資產內部、外部泄密拒絕服務攻擊邏輯炸彈黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道信息安全面臨各種安全威脅TCP/IP的每個層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網無線網絡SATNETARPNET應用程序攻擊拒絕服務攻擊數據監聽和竊取硬件設備破壞電磁監聽常規的防護技術措施物理安全技術：環境安全、設備安全、媒體安全；系統安全技術：操作系統及數據庫系統的安全性；網絡安全技術：網絡隔離、訪問控制、VPN、入侵檢測、掃描評估；應用安全技術：Email安全、Web訪問安全、內容過濾、應用系統安全；數據加密技術：硬件和軟件加密，實現身份認證和數據信息的CIA特性；認證授權技術：口令認證、SSO認證（例如Kerberos）、證書認證等；訪問控制技術：防火墻、訪問控制列表等；審計跟蹤技術：入侵檢測、日志審計、辨析取證；防病毒技術：單機防病毒技術逐漸發展成整體防病毒體系；災難恢復和備份技術：業務連續性技術，前提就是對數據的備份。

信息安全＝技術＋產品=防病毒軟件＋防火墻＋入侵檢測系統＋...

？是不是把相關技術及產品都部署到位了，就安全了呢？到底如何做才能真正保障信息安全呢？

下面我們先來看幾個案例北京市民搶購熱情高奧運售票系統癱瘓2007年10月30日星期二14:51路透北京10月30日電(記者NickMulvenney/劉蓁)---2008北京奧運會門票銷售的第二階段周二早上開始，由于購票者甚多，訂票網站和電話線全部堵塞，購票定點銀行的門前也排起了長隊。奧組委宣布，在售票系統開啟後的第一個小時，訂票網站的點擊量就達到了800萬，組委會還接到了200萬個訂票電話。“由于當前訪問量過大，票務銷售系統數據處理能力相對有所不足，從而造成目前各售票渠道出現售票速度較慢、暫時不能登錄系統的情況。”北京奧組委在奧運會官方網站()上說。“北京奧運票務中心正在積極采取措施，增加系統處理能力，改善目前的運行狀況。因此，通過中國銀行和呼叫中心購票的公眾需晚些時候再嘗試申購。”諾頓誤殺導致操作系統崩潰數百萬電腦面臨滅頂之災諾頓誤殺導致操作系統崩潰數百萬電腦面臨滅頂之災

2007年05月18日17:12:00來源：新華網

新華網北京５月１８日專電（記者顧洪洪）諾頓誤殺導致操作系統崩潰，數以百萬計的電腦面臨滅頂之災。５月１８日，瑞星發布紅色安全警報稱：賽門鐵克公司提供的諾頓殺毒軟件在升級病毒庫后，會把ＷｉｎｄｏｗｓＸＰ系統的關鍵系統文件當作病毒清除，重啟后系統將會癱瘓。瑞星公司表示，截至１８日中午１２點已有超過７０００名個人用戶和近百家企業用戶向瑞星客戶服務中心求助，更多用戶由于系統繁忙無法打入電話。2001年9月11日，恐怖份子襲擊了紐約世界貿易中心，造成3棟塔樓倒塌，近3000人失蹤和死亡。DeutscheBank

93年開始風險分析，并建立了一整套完整的業務連續性計劃（BCP），以應對突發事件或災難。災難發生后，德意志銀行調動4000多名員工及全球分行的資源，短時間內在距離紐約30公里的地方恢復了業務運行。

911后，員工和客戶對德意志銀行都更加有信心。

BankofNewYork:

數據中心位于災場附近，通訊線路全部中斷，造成連鎖反應。其第三季度的利潤因此下降了33％。應急預案與BCM9.11事件中，1200家企業受災，400家企業啟動了災難恢復計劃，其中摩根士丹利公司幾天后在新澤西州恢復營業，而無災備能力的企業損失慘重。據GartnerGroup統計，在經歷大型災難事件而導致系統停運的公司中，有2/5左右再也沒有恢復運營，剩下的公司中也有接近1/3在兩年內破產。應急預案與BCM2006年2月27日,中央電視臺報道了全國最大的網上盜竊通訊資費案：UT斯達康中國有限公司深圳分公司資深軟件研發工程師31歲的程姓工程師，在任華為工程師時負責西藏移動等公司的設備安裝工作。自2005年2月，從西藏移動公司系統進入北京移動公司的充值中心數據庫，獲得最高系統權限，根據“已充值”的充值卡顯示的18位密碼破解出對應的34位密鑰，然后把“已充值”狀態改為“未充值”，并修改其有效日期，激活了已經使用過的充值卡。利用特權進入充值數據庫案例一信息來源網易/06/0224/18/2AODTE1V0011179K.html在隨后4個多月中他在充值數據庫中如此操作，并復制出了14000個充值密碼。他把面值300元的充值密碼以281.5到285元面值不等價格在網上售出，獲利380萬元。2005年7月，程稚瀚在竊取最后一批密碼時，忘記了修改有效日期，他的這個“疏忽”讓買卡的客戶向北京移動投訴。7月16日，北京移動接到用戶投訴說購買的充值卡無法充值，這才發現密碼被人盜竊并報警。獲利380萬元被判處有期徒刑12年,剝奪政治權利2年,罰款5萬元。案例一案例一剖析

原因

措施加強對系統特權帳戶的管理口令強壯，定期更新加強系統審計加密符合國家標準程有特權帳戶和密碼承包商未對系統特權帳戶善后客戶系統管理員未審計日志加密方法簡單軟件泄密打開日本信息安全天窗案例二網易轉載新華網/06/0321/09/2CNRFCBL00091KUI.html

2006年2月下旬，海上自衛隊護衛艦相關密碼信息流失到國際互聯網上。3月份，陸上自衛隊和航空自衛隊的業務信息、岡山縣和愛媛縣警方的搜查信息泄露。其他的流失信息還包括醫院的患者個人信息、銀行的票據處理記錄、學校的學生成績表等。日本首相小泉純一郎，指示官房長官安倍晉三調查，人們發現一系列信