信息安全意识培训
主题一
1 2 3什么是信息安全？
信息安全=信息系统安全？信息安全=信息保密？
信息资产安全风险信息资产
1.您担心个人信息被泄露？
2.您担心笔记本或手机丢失后，里面个人的数据会泄露？
3.您担心自己使用的U盘丢失后，里面的数据会泄露？
4.您担心在网络上使用网上银行时会泄露自己账号信息？
1.您担心客户信息泄露后给公司造成的严重后果么?
2.您担心公司的核心数据资料会被偷窃么?
3.您担心公司的网络瘫痪后带来的损失么?
什么是信息
信息：是对事物的存在方式、运动状态以及事物间相互联系特性的表述。

信息的基本属性包括：保密性（C onfidentiality ），完整性（I ntegrity ），可用性（
A vailability ）；另外也可包括诸如真实性（authenticity ），可核查性（accountability ），不可否认性（non-repudiation ）和可靠性（reliability ）等特性。

信息信息
保密性完整性可用性信息
信息泄露
篡改破坏
保密性(confidentiality)：信息不能被未授权的个人，实体或者过程利用或知悉的特性。

完整性(integrity) ：保护资产的准确和完整的特性。

信息安全的基本属性：可用性
可用性(availability)：根据授权实体的要求可访问和利用的特性
什么是信息安全
信息安全：保证信息的保密性（C onfidentiality ），完整性（I ntegrity ），可用性（A vailability ）；
另外也可包括诸如：真实性（authenticity ），
可核查性（accountability ），
不可否认性（non-repudiation）和
可靠性（reliability ）等特性。

---ISO/IEC 27002:2013C : 保密
I: 完整
A : 可用
常见的信息安全风险
1.物理破坏－火灾、水灾、电源损坏等
2.人为错误－偶然的或不经意的行为造成破坏
3.设备故障－系统及外围设备的故障
4.内外部攻击－内部人员、外部黑客的攻击
5.数据误用－共享机密数据，数据被窃
6.数据丢失－故意或非故意的以破坏方式丢失数据
7.程序错误－计算错误、输入错误、缓冲区溢出等……
破坏信息安全的主要原因
造成破坏的原因破坏者计算机犯罪的类型
•人是信息安全中最关键的因素，也是信息安全中最薄弱的环节
怎样才能做到信息安全
通过实施一系列的控制措施来达到信息的保密、完整及连续可用，包括：
✓方针
✓过程和程序
✓人员与组织结构✓软件和硬件技术功能
▪最佳做法及实践：基于ISO27001建立信息安全管理体系。

过程人员技术
管理和技术同样重要
信息安全要求的来源
商业要求保护的要求
费用法律法规要求威胁、可能性&结果风险安全要求的三个来源： 风险评估
必须的法律、法规、标准和合同的要求。

内部制定的信息处理的特定原则、目标和要求。

安全处置思想 没有绝对的安全
安全应控制在可接受的水平 实施控制要考虑风险、成本、利益
没有绝对的安全
信息安全要适度、平衡
谢谢。