電信信息安全管理培訓(ppt 203頁)
主要內容
陝西電信信息安全管理培訓
信息安全管理體係介紹
什麼是信息安全
信息安全管理概念
信息安全管理體係
曆史
現在與未來
ISO 27000標準族
ISO27001:2005標準說明
管理體係的4大要素
什麼叫ISMS信息安全管理體係
什麼是好的ISMS
實施ISMS的關鍵成功因素
重要提示
影響公司層麵業務持續性的因素
BCM非常重要
4. Information security management system
4.Information security management system
4.2信息安全管理係統之建立及管理
4.3文件要求
5.管理階層責任
5.2資源管理
6.內部ISMS審計
7.ISMS之管理階層審查
8.ISMS之改進
ISO/IEC 27001:2005核心
PDCA過程
建立ISMS
實施和操作ISMS
監視和評審ISMS
維護和改進ISMS
信息安全管理的目的和意義
ISO/IEC 27001:2005與ISO/IEC 27001:2013差異對比
新標準正文部分架構變化
內容新調整
核心內容變化
附錄A變化
控製項的增刪與調整
ISMS文檔
控製視圖
信息管理11個控製域
控製(39個目標,133個控製措施)
風險管理基礎與風險評估務實
什麼是風險
風險,威脅和脆弱性之間的關係
威脅識別
威脅
威脅源
威脅類別
風險和威脅
風險與風險評估
風險各相關要素
風險評估
理解風險與風險評估
相關術語
風險評估流程
GB/T 20984實施流程
風險評估實戰流程分析
風險評估準備階段
大綱
確定目標與範圍
示例
建立項目團隊
係統調研
方式
簽署相關協議
編寫方案
獲得支持
工具準備
風險評估實施階段
啟動會議
示例1
示例2
培訓
資產識別
資產分類
資產賦值1
資產賦值2
威脅賦值
脆弱性識別
脆弱性賦值
已有安全措施確認
風險分析
風險計算原理
風險等級劃分
現場技術評估
漏洞掃描
脆弱性掃描注意事項
基線檢查
基線分類
網絡數據包分析
日誌收集與分析
現場管理評估
組織機構
文檔評審
ISO 27001控製項
風險彙總與分析
編寫風險評估報告
風險處理階段
風險溝通
差距分析
風險處理計劃
處理計劃的選擇與認可
確定風險處理計劃
風險評估文檔記錄
風險評估文檔
信息安全管理體係度量
信息安全度量概述
ISMS PDCA循環中的測量輸入和輸出
信息安全測量方案
成功因素
信息安全測量模型
基本測度和測量方法
導出測度和測量方法
指標和分析模型
測量結果和決策準則
管理職責
測度和測量的製定
定義測量範圍
識別信息需要
選擇測量對象及其屬性
製定測量構造
應用測量構造
確定數據收集和分析過程及報告
確定測量實施途徑和相應的文件
測量運行
規程整合
數據收集、存儲和驗證
數據分析和測量結果報告
分析數據並產生測量結果
與利益相關者溝通測量結果
信息安全測量方案的評價和改進
識別信息安全測量方案的評價準則
監視、評審和評價測量
實施改進
第一階段結束
..............................