安全管理体系ppt，iso27001信息安全管理体系培训基础知识ppt课件.ppt

信息安全管理体系（信息安全管理体系（）基础知识培训础知识培训什么是信息信息通常指消息、情报、数据和知识等，在ISO/标准中信息是指对组织具有重要价值，可以通过多媒体传递和存储的一种资产。什么是信息安全信息安全的作用是保护信息业务涉及范围不受威胁所干扰，使组织业务畅顺，减少损失及增大投资回报和商机。在ISO/标准中信息安全主要指信息的机密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施安全管理体系ppt，iso27001信息安全管理体系培训基础知识ppt课件.ppt，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。什么是信息安全–信息的机密性信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。—信息的机密性什么是信息安全—信息的完整性信息的完整性是指要保证信息使用和处理方法的正确性和完整性。

信息完整性一方面是指在使用、传输、存储、备份、交换信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指信息处理方法的正确性，信息备份、系统恢复、销毁等处理不正当的操作考证含金量排行榜，有可能造成重要文件的丢失，甚至整个系统的瘫痪。—信息的完整性什么是信息安全—信息的可用性信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时及时恢复。另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。—信息的可用性11为什么要实施信息安全管理实施信息管理原因：自1987年以来，全世界已发现超过种计算机病毒，2000年爆发的“爱虫”病毒给全球用户造成了100亿美元的损失；美国每年因信息与网络安全问题所造成的损失高达75亿美元。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击，且成功进入率高达63%。然而，能对组织造成巨大损失的风险主要还是来源于组织内部，国外统计结果表明企业信息受到的损失中，70%是由于内部员工的疏忽或有意泄密造成。

12为什么要实施信息安全管理实施信息管理原因：多数计算机使用者很少接受严格的信息安全意识培训，每天都在以不安全的方式处理企业的大量重要信息，而且企业的合作单位、咨询机构等外部人员都以不同的方式使用企业的信息系统，对企业的信息系统构成了潜在的威胁。如员工为了方便记忆系统登录口令而在明显处粘一便条安全管理体系ppt，就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密资料，甚至破坏关键信息系统作为报复企业，致使企业蒙受了巨大的经济损失。13为什么要实施信息安全管理实施信息管理原因：目前单一的技术手段已难以解决企业信息安全问题，只有建立一套完善的信息安全管理流程并严格执行，才能有效降低信息安全风险，保障企业信息业务的连续性。实施信息管理必然性：实践证明信息安全是个复杂的系统问题，解决系统性安全问题，必须以系统的方法来解决，建立管理体系(明确方针和目标并实现这些目标的体系，是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS)，信息安全管理体系通过固化信息安全管理范围，制定信息安全管理策略方针与与目标，明确信息安全管理职责、落实控制目标并选择控制措施进行管控，全面系统保障管理信息的安全。

从系统论观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效信息安全管理体系通过不断的识别组织和相关方的信息安全要求，不断的识别外界环境和组织自身的变化，不断的学习采用最新的管理理念和技术手段，不断的调整自己的目标、方针、程序和过程等，才可以实现持续的安全。本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/认证是不必要的。实施信息管理必然性：为什么要实施信息安全管理如果因为预算困难或其他原因，不能一下子降低所有不可接受风险到可接受程度时，能否通过体系认证，也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整，是否运行正常，是否有重大的信息安全风险没有得到识别和评估。有小部分的风险暂时得不到有效处臵是允许的，当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。实施信息管理必然性：为什么要实施信息安全管理本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（，简称ISMS）提供模型。

采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。本标准可被相关的内部方和外部方运用以评估一致性。/族介绍信息安全管理体系审核指南ISO/族–信息安全管理体系综述与术语-信息安全管理体系要求–信息安全管理体系实践规范—-信息安全管理体系实施指南–信息安全管理体系测量–信息安全管理体系信息安全风险管理–信息安全管理体系认证机构要求/信息安全管理实施细则,于2005年6月15日正式发布；ISO/信息安全管理体系要求，于2005年10月15日正式发布；ISO/信息安全管理体系最佳实践，于2007年4月正式发布；ISO/信息安全管理体系实施指南，正在ISMS标准的工作组研究并征求意见阶段；ISO/信息安全管理度量和改进，正在委员会草案阶段；ISO/信息安全风险管理指南，以2005年底刚刚推出的-3为准。

/信息安全管理体系与其它体系兼容性：2008质量管理体系：2004环境管理体系ISO/：2009汽车行业质量管理体系 ：2005 有害物质过程管理体系 23A.6 A.6 信息安全组织 信息安全组织 A.8 A.8 人力资源安全 人力资源安全 AA..77 资产管理 资产管理 A.12 A.12 系统获取开发和维护 系统获取开发和维护 A.9 A.9 物理和环境安全 物理和环境安全 A.5 A.5 信息安全方针 信息安全方针 A.14 A.14 业务持续性管理 业务持续性管理 A.10 A.10 通信和操作管理 通信和操作管理 A.13 A.13 信息安全事件管理 信息安全事件管理 A.11 A.11 访问控制 访问控制 A.15 A.15 符合性 符合性 ISO/ A.16 A.16 教育培训 教育培训 安全方针：制定信息安全方针，为信息安全提供管理指导和支持，并定期评审； 信息安全组织：建立信息安全基础设施，管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全， 以及当信息处理外包给其他组织时，确保信息的安全。

资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。 人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或 误用设施的风险。 ISO/ –管理内容 物理与环境安全：定义安全区域，防止对办公场所和信息的未授权访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏 或被盗，以及对业务活动的干扰；同时，还要做好一般控制，防止 信息和信息处理设施的损坏或被盗。 通讯和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险减到最 低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信 息备份和网络安全管理，确保信息在网络中的安全，确保其支持性 基础设施得到保护；建立媒体处臵和安全的规程，防止资产损坏和 业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或 误用。 ISO/ –管理内容 访问控制：制定文件化的访问控制策略，避免信息系统的未授权访问，并让用户了解其职责和义务，包括网络访问控制、操作系统访 问控制、应用系统和信息访问控制、监视系统访问和使用，定期检 测未授权的活动；当使用移动办公和远程工作时，也要确保信息安 信息系统的获取、开发和维护：标识系统的安全要求，确保安全成为信息系统的内臵部分；控制应用系统的安全，防止应用系统中用 户数据的丢失、被修改或误用；通过加密手段保护信息的保密性、 真实性和完整性；控制对系统文件的访问，确保系统文档的安全； 严格控制开发和支持过程，维护应用系统软件和信息的安全。 ISO/ –管理内容 信息安全事故的管理：报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。

安全与管理专业，我想考注册安全工程师，应该选哪个专业呢？

最近几年考注安的学生有很多，但不少同学在选专业的问题上却犯了难。

到底应该怎么选专业才更适合自己呢？

1、从执业行业来看

不同专业的安全工程师在市场需求量、择业范围、薪资范围等方面都存在一定的差异，综合行业安全管理现状、发展、国家重视程度、薪资水平、就业需求等方面，注册安全工程师各专业报考顺序如下：

化工＞煤矿＞建筑＞金属冶炼＞金属非金属矿山＞其他，此推荐顺序仅供参考！

2、怎么选专业？

（1）个人职业规划

如果有清晰的职业规划，比如未来想加入建筑行业，那么专业选择很明显，但如果还没有确定工作方向或者是未来要换行业,只想先把证书考下来安全与管理专业，可根据情况，选择相对比较容易考过的专业，比如其他专业。

这样学习也会轻松一些，等以后确定具体方向后再进行专业增项即可。

（2）是工作需要还是提升个人价值？

考证书的目的很重要，其中绝大部分人考取证书都是因为工作需要，那就必须根据自身实际出发安全与管理专业，我想考注册安全工程师，应该选哪个专业呢？，依据所从事的行业选择相应的专业类别。

（3）大学所读专业

如果说你现在没从事相关工作以后想要从事安全生产方面的相关工作，那么就可以根据含金量和自己所学专业进行选择，最终还是在两三个专业之间犹豫徘徊，可以参照自己大学时所学专业方向来进行选择，且因大学学过相关知识，备考相对会轻松一些，通过率也会更高。

要选择适合自己发展的，毕竟考证书也需要时间和精力考证书的正规网站，不容浪费！