ISO27001信息安全管理体系培训基础知识
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系（ISMS）概述 • 信息安全管理体系（ISMS）标准介绍 • 信息安全管理体系（ISMS）实施控制重点
ISO27001信息安全管理体系培训基础知识
ISO27001信息安全管理体系培训基础知识
什么什是么信是息信安息全安--信全息—的机信密息性的机密性
信息的机密性是指确保授予或特定权限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同，所有人员都可以访问的信息为公开信息， 需要限制访问的信息为敏感信息或秘密信息，根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级，已授权用户根据所 授予的操作权限可以对保密信息进行操作。
什么是信息
什么是信息
信息通常指消息、情报、数据和知识等，在 ISO/IEC27001标准中信息是指对组织具有重要价值， 可以通过多媒体传递和存储的一种资产。
ISO27001信息安全管理体系培训基础知识
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系（ISMS）概述 • 信息安全管理体系（ISMS）标准介绍 • 信息安全管理体系（ISMS）实施控制重点
ISO27001信息安全管理体系培训基础知识
什么什是么信是息信安息全安—信全息—的完信整息性的完整性
信息的完整性是指要保证信息使用和处理方法的正确 性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象；另一方面是指信息处理方 法的正确性，信息备份、系统恢复、销毁等处理不正 当的操作，有可能造成重要文件的丢失，甚至整个系 统的瘫痪。
ISO27001信息安全管理体系培训基础知识
为什么要实施信息安全管理
实施信息管理原因：目前单一的技术手段已难以解决 企业信息安全问题，只有建立一套完善的信息安全管理流 程并严格执行，才能有效降低信息安全风险，保障企业信 息业务的连续性。
实施信息管理必然性：实践证明信息安全是个复杂的系统问 题，解决系统性安全问题，必须以系统的方法来解决，建立管理 体系(明确方针和目标并实现这些目标的体系，是系统性解决复杂 问题的有效方法。为了保证信息安全管理的有效性、充分性和适 宜性组织需要建立信息安全管理体系(ISMS)，信息安全管理体系 通过固化信息安全管理范围，制定信息安全管理策略方针与与目 标，明确信息安全管理职责、落实控制目标并选择控制措施进行 管控，全面系统保障管理信息的安全。
ISO27001信息安全管理体系培训基础知识
什么什是么信是息信安息全安—信全息—的可信用息性的可用性
信息的可用性是指确保已被授权的用户访问时得到所需 要信息。即信息及相关信息资产在授权人需要时可立即 获得。例如，通信线路中断故障、网络的拥堵会造成信 息在一段时间内不可用，影响正常的业务运营，这是信 息可用性的破坏。提供信息的系统必须能适当地承受攻 击并在失败时及时恢复。 另外还要保证信息的真实性和有效性,即组织之间或组 织与合作伙伴间的商业交易和信息交换是可信赖的。
ISO27001信息安全管理体系培训基础知识
为什么要实施信息安全管理
实施信息管理必然性： • 从系统论观点来看, 一个体系(系统)必须具有自组织、自学习、 自适应、自修复、自生长的能力和功能才可以保证其持续有效 性。
信息安全管理体系（ISMS）基 础知识培训
ISO27001信息安全管理体系培训基础知识
目录目录
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系（ISMS）概述 • 信息安全管理体系（ISMS）标准介绍 • 信息安全管理体系（ISMS）实施控制重点
ISO27001信息安全管理体系培训基础知识
目录
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系（ISMS）概述 • 信息安全管理体系（ISMS）标准介绍 • 信息安全管理体系（ISMS）实施控制重点
ISO27001信息安全管理体系培训基础知识
然而，能对组织造成巨大损失的风险主要还是来源于组织 内部，国外统计结果表明企业信息受到的损失中，70%是 由于内部员工的疏忽或有意泄密造成。
ISO27001信息安全管理体系培训基础知识
为什么要实施信息安全管理
实施信息管理原因：多数计算机使用者很少接受严格 的信息安全意识培训，每天都在以不安全的方式处理企业 的大量重要信息，而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统，对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条，就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站，偷窃并散布客户敏感信息，为竞争对手提供机密资 料，甚至破坏关键信息系统作为报复企业，致使企业蒙受 了巨大的经济损失。
ISO27001信息是息信安息全安全
信息安全的作用是保护信息业务涉及范围不受威胁所 干扰，使组织业务畅顺，减少损失及增大投资回报和 商机。在ISO/IEC27001标准中信息安全主要指信息的 机密性、完整性和可用性的保持。即指通过采用计算 机软硬件技术、网络技术、密钥技术等安全技术和各 种组织管理措施，来保护信息在其生命周期内的产生、 传输、交换、处理和存储的各个环节中，信息的机密 性、完整性和可用性不被破坏。
为什么要实施信息安全管理
实施信息管理原因：自1987年以来，全世界已发现超过 50000种计算机病毒，2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失；美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击，且成功进入 率高达63%。