内容介绍

信息网络概念介绍
网络安全标准介绍
道道公司安全体系阐述
道道公司安全实践阐述
服务对象关系阐述


? 1.1信息网络安全概念

信息解释：信源与信宿之间的联系；对客观事物的反应

信息安全定义：保护信息的保密性、完整性、可用性及其他属性，如真实性、可核查性质、可靠性、防抵赖性。



? 1.2信息网络安全概念

网络安全定义：狭义指网络系统中软硬件及承载的信息受到保护

信息安全与网络安全关系：当组织单位承载传递信息的媒介方式主要为计算机系统网络时，网络安全会被视为信息安全。

? 2.1信息网络安全的标准

国际标准：ISO27001标准ISO27002标准

国家标准：GBT-22060-2006标准GBT-22061-2006标准
? 2.2信息网络安全的标准

国际标准：ISO27001/2标准
1993年英国贸易工业部立项BS7799
1995年BS7799-1《信息安全管理实施细则》
1996年BS7799-2《信息安全管理体系规范》
2000年BS7799-2成为ISO27001
2000年BS7799-1成为ISO27002



? 2.3信息网络安全的标准

ISO27001 信息安全管理体系模型
ISO27001 信息安全管理体系要求
ISO27002 信息安全管理控制目标和控制措施



? 2.3.1信息网络安全管理体系模型
? 2.3.2信息网络安全管理体系要求

建立ISMS：根据业务特征来确定安全范围、安全方针；评估并分析风险（ISO15306）；选择风险控制目标和控制方式，来自管理层的建议和授权；准备通告声明
实施和运行ISMS：制订风险处理计划，管理措施、职责、优先级；达成控制目标，考虑资金、角色、职责；风险处理有效性的评测；风险处理实施流程。
监视和评审ISMS：检查风险处理有效性、重新评审安全风险。
保持和改进ISMS：与服务对象的沟通



? 2.3.2信息网络安全管理体系要求

文件要求：
方针和控制目标
安全范围
业务流程和控制
风险评估方法和报告
风险处置计划
风险处理评估
适用性声明
记录控制




? 2.3.2信息网络安全管理体系实践

规定和方针
信息安全组织
资产管理
人员安全
设备和环境安全
网络和操作管理
信息系统相关
安全事件管理
保障业务持续运行
符合性