信息安全管理体系及重点制度介绍.ppt

信息安全管理体系及重点制度介绍
信息系统部
2011年5月4日
1
目录
信息安全管理体系介绍
1
基础电信企业信息安全责任管理办法
2
基础信息安全要求
3
客户信息保护管理规定
4
信息安全三同步管理办法
5
业务安全风险评估标准
6
2
ISO17799:2000
国际标准
BS7799-1:1999
BS7799-2:1999
英国标准
BS7799-2: 2002
BS7799-1:2000
ISO17799:2005
ISO27001:2005
BS7799:1996
BS7799-3:2005
安全管理体系标准的发展历史
3
ISO 27001的标准全称
Information technology- Security techniques-Information security management systems-Requirements
信息技术-安全技术-信息安全管理体系-要求
ISMS 信息安全管理体系
- 管理体系
- 信息安全相关
- ISO 27001 的"3 术语和定义-"
Requirements 要求
ISO/IEC 27001介绍
4
建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。
管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等。(ISO 27001"3 术语和定义-")
管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。
什么是管理体系?
Quality management system
(ISO 9001)
Environmental management system
(ISO 14001)
Safety management system
(OHSAS 18001)
Human Food Safety management system
(P)
IT Service Management System
(ISO 20000)
Information security management system
(ISO 27001)
5
什么是信息安全?
Alteration
Destruction
Disclosure
Information
Integrity
Availability
Confidentiality
Information
保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性(ISO 27001"3 术语和定义-")
机密性(Confidentiality)
信息不能被未授权的个人,实体或者过程利用或知悉的特性(ISO 27001"3 术语和定义-")
完整性(Integrity)
保护资产的准确和完整的特性(ISO 27001"3 术语和定义-").确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
可用性(Availability)
根据授权实体的要求可访问和利用的特性(ISO 27001"3 术语和定义-").确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源
6
信息安全管理体系所涵盖的领域
安全策略
合规性
信息安全组织
资产管理
信息系统获取开发和维护
人力资源安全
物理和环境安全
通信和操作管理
访问控制
信息安全事件管理
业务连续性管理
7
湖南移动信息安全管理体系
8
湖南移动信息安全管理制度
已发布制度
《湖南移动信息安全管理办法》和责任矩阵
《湖南移动信息安全三同步管理办法》
《***客户信息安全保护管理规定(试行)》和控制矩阵
《***业务信息安全评估标准》(2011)
《***基础信息安全管理通用要求(试行)》和检查矩阵
实践案例汇编
“客户信息安全保护解决方案汇编”
“基础信息安全案例汇编”
计划完善的制度
安全应急处置
责任追究
安全检查管理办法
……
9
目录
信息安全管理体系介绍
1
基础电信企业信息安全责任管理办法
2
基础信息安全要求
3
客户信息保护管理规定
4
信息安全三同步管理办法
5
业务安全风险评估标准
6
10