1、信息安全意识培训主题一123什么是信息安全?信息安全=信息系统安全?信息安全=信息保密?信息资产安全风险信息资产你担心这些事吗?1.您担心个人信息被泄露?2.您担心笔记本或手机丢失后,里面个人的数据会泄露?3.您担心自己使用的U盘丢失后,里面的数据会泄露?4.您担心在网络上使用网上银行时会泄露自己账号信息?你担心这些事吗?1.您担心客户信息泄露后给公司造成的严重后果么?2.您担心公司的核心数据资料会被偷窃么?3.您担心公司的网络瘫痪后带来的损失么?什么是信息信息:是对事物的存在方式、运动状态以及事物间相互联系特性的表述。信息的生命周期信息的基本属性 信息的基本属性包括:保密性(C Confid
2、entiality),完整性(I Integrity),可用性(A Availability);另外也可包括诸如真实性(authenticity),可核查性(accountability),不可否认性(non-repudiation)和可靠性(reliability)等特性。信息信息信息保密性保密性完整性完整性可用性可用性信息信息信息泄露泄露篡改篡改破坏破坏信息安全的基本属性:保密性保密性(confidentiality):信息不能被未授权的个人,实体或者过程利用或知悉的特性。信息安全的基本属性:完整性完整性完整性(integrity)(integrity):保护资产的准确和完整的特性保护资产
3、的准确和完整的特性。信息安全的基本属性:可用性可用性可用性(availability)(availability):根据授权实体的要求可访问和利用的根据授权实体的要求可访问和利用的特性特性什么是信息安全信息安全:保证信息的保密性保密性(C Confidentiality),完整性完整性(I Integrity),可用性可用性(A Availability);另外也可包括诸如:真实性(authenticity),可核查性(accountability),不可否认性(non-repudiation)和可靠性(reliability)等特性。-ISO/IEC 27002:2013C C:保密保密I
4、I:完整完整A A:可用可用常见的信息安全风险1.物理破坏 火灾、水灾、电源损坏等2.人为错误 偶然的或不经意的行为造成破坏3.设备故障 系统及外围设备的故障4.内外部攻击 内部人员、外部黑客的攻击5.数据误用 共享机密数据,数据被窃6.数据丢失 故意或非故意的以破坏方式丢失数据7.程序错误 计算错误、输入错误、缓冲区溢出等破坏信息安全的主要原因造成破坏的原因造成破坏的原因破坏者破坏者计算机犯罪的类型计算机犯罪的类型人是信息安全中最关键的因素,也是信息安全中最薄弱的环节人是信息安全中最关键的因素,也是信息安全中最薄弱的环节 怎样才能做到信息安全通过实施一系列的控制措施来达到信息的保密、完整及连续可用,包括:方针方针 过程和程序过程和程序 人员与组织结构人员与组织结构 软件和硬件技术功能软件和硬件技术功能 最佳做法及实践:基于最佳做法及实践:基于ISO27001ISO27001建立信息安全管理体系。建立信息安全管理体系。过程人员技术管理和技术同样重要管理和技术同样重要信息安全要求的来源商业要求保护的要求费用法律法规要求威胁、可能性&结果风险安全要求的三个来源:风险评估必须的法律、法规、标准和合同的要求。内部制定的信息处理的特定原则、目标和要求。安全处置思想没有绝对的安全安全应控制在可接受的水平实施控制要考虑风险、成本、利益没有绝对的安全信息安全要适度、平衡谢谢
