信息平安管理体系;本讲内容;信息平安管理体系概述;什么是信息;什么是信息;信息资产;信息资产的价值;信息的分类;信息的生命周期;信息平安;信息平安的目标;根本要素:CIA;常用概念;信息平安技术;信息平安管理;信息平安管理;信息平安管理的认识误区;信息平安管理的几点认识;什么是信息平安管理体系?;信息平安管理的PDCA模型;HTP模型〔IATF〕;HTP实施过程;P2DR模型〔CC〕;P2DR模型;信息平安管理相关标准;BS7799;什么是BS7799;相关的标准化组织;标准开展历程;BS7799-1:1995;BS7799的开展现状;在线采购BS7799标准的组织分布;通过BS7799认证的意义;BS7799Part1-指南;平安策略SecurityPolicy;BS7799Part2-标准;0简介
0.1概要
0.2过程方法
0.3与其他管理体系的兼容性;BS7799信息平安管理体系;PDCA模型;PROC过程;建立和管理ISMS;PDCA―Plan;PDCA―Do;PDCA―Check;PDCA―Act;ISMS的文档要求;管理责任;资源管理;ISMS管理评审;管理评审的输入;管理评审的输出;内部ISMS审核;ISMS改进;BSI推荐的ISMS建设方法;第一步
会谈协商
了解现状
及商业流程、模式;识别并评价资产;认证与认可;BS7799认证与认可;BS7799认证与认可;认证体系对审核员的要求;组织申请认证的条件;BS7799认证过程;各阶段审核目标;不符合事项的定义;风险评估与管理;定义;资产〔Asset〕-任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、信息效劳和人员等,所有这此资产都需要妥善保护。
威胁〔Threat〕-某种威胁源〔threatsource〕或威胁代理〔threatagent〕成功利用特定弱点对资产造成负面影响的潜在可能。
弱点〔Vulnerability〕-也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点。弱点一旦被利用,就可能对资产造成损害。
风险〔Risk〕-特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。
可能性〔Likelihood〕-对威胁发生几率〔Probability〕或频率〔Frequency〕的定性描述。
影响〔Impact〕-后果〔Consequence〕,意外事件发生给组织带来的直接或间接的损失或伤害。
平安措施〔Safeguard〕-控制措施〔Control〕或对策〔countermeasure〕,即通过防范??胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。
残留风险〔ResidualRisk〕-在实施平安措施之后仍然存在的风险。;风险评估的目的;风险要素之间的关系;风险要素之间的关系;风险管理的目标;识别并评价资产;方案与准备;信息平安目标与战略;确定评估范围;识别信息资产;风险评估内容;评价信息资产;识别并评估威胁;评估威胁常用方法;识别并评估弱点;弱点评估常用方法;弱点评价方法:CVSS;BasicMetric
Group;评估现有的控制措施;威胁;测量评价风险;
可能性;选择控制措施;评估残留风险;风险评估一般途径;风险评估一般途径;信息平安管理最正确惯例;ISO/IEC17799:2000
前言
简介
什么是信息平安〔应该保护信息资产的保密性、完整性和可用性〕
为什么需要信息平安
如何建立平安需求〔平安需求的三个来源〕
评估平安风险〔平安需求经过系统地评估平安风险而得到确认〕
选择控制〔平安控制可以从7799或其它有关标准选择,也可以自己设计满足特定要求的控制〕
信息平安起点〔基于法律要求和信息平安最侍惯例来选择控制措施〕
关键的成功因素
开发你自己的指导方针
范围
术语和定义
2.1信息平安
2.2风险评估
2.3风险管理;平安策略
3.1信息平安策略
3.1.1信息平安策略文件
3.1.2复审与评估;关于平安策略的几条原那么;组织平安
4.1信息平安根底设施
4.1.1建立信息平安管理论坛
4.1.2组织内部的信息平安协调机制
4.1.3分派信息平安责任
4.1.4信息处理设施的授权程序
4.1.5听取信息平安专家的建议
4.1.6组织间的协作
4.1.7独立的信息平安复审;资产分类与控制
5.1资产责任
5.1.1资产清单;人员平安
6.1岗位定义