版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、如何實現(xiàn)企業(yè)信息安全管理與業(yè)務(wù)流程的融合和實施,2024年3月27日,研討大綱,信息安全基礎(chǔ)知識,基礎(chǔ)知識,信息安全定義,保密性 Confidentiality: 信息不被可用或不被泄漏給未授權(quán)的個人、實體和過程的特性。完整性 Integrity保護資產(chǎn)的準(zhǔn)確和完整的特性??捎眯?Availability:需要時,授權(quán)實體可以訪問和使用的特性。,基礎(chǔ)知識,信息安全管理體系(ISMS)定義,信息安全管理體系(Informati
2、on Security Management System)是企業(yè)整個管理體系的一部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系?;趯I(yè)務(wù)風(fēng)險的認(rèn)識,ISMS 包括建立、實施、操作、監(jiān)視、復(fù)查、維護和改進(jìn)信息安全等一系列的管理活動,表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。,基礎(chǔ)知識,資產(chǎn)定義,任何對組織有價值的事物(ISO/IEC13335-
3、1:2004) 數(shù)據(jù)資產(chǎn) 軟件資產(chǎn) 硬件資產(chǎn) 人員 服務(wù) 其它,基礎(chǔ)知識,威脅定義,可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。(ISO/IEC TR 13335-1:2004)威脅可以是故意的或意外的,人為的或天災(zāi)的,如:故意的:偷聽、惡意軟件;意外的:誤操作天災(zāi)的:地震、水災(zāi)、火災(zāi),基礎(chǔ)知識,脆弱性定義,可能會被一個或多個威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點。(ISO/IEC TR 13335-1:2004
4、)脆弱性本身不會導(dǎo)致?lián)p害,它只是一種條件或一組條件可能容許威脅影響資產(chǎn);脆弱性如果不予管理,就會使得威脅變成現(xiàn)實例子:缺乏安全意識、電壓不穩(wěn)定、門沒鎖、不良的接線、位于易受洪水影響的區(qū)域、不受控的拷貝、員工短缺等,基礎(chǔ)知識,其他定義,風(fēng)險評估:風(fēng)險分析和風(fēng)險評價的全過程。風(fēng)險處理:選擇和實施措施以改變風(fēng)險的過程。風(fēng)險管理:指導(dǎo)和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。注:典型風(fēng)險管理包括風(fēng)險評估和風(fēng)險處理。,基礎(chǔ)知識,信息的生命周期
5、,,建立,貯存,處理,銷毀,傳送,丟失,損毀,使用,?,!,!,,,,,,,,,惡意或不當(dāng)行為,,,,,,信息的生命周期伴隨在業(yè)務(wù)流程中!,基礎(chǔ)知識,ISO 27001標(biāo)準(zhǔn)介紹,BS7799-1 操作規(guī)則,BS7799-2 認(rèn)證規(guī)范,1995年版,1999年版,1998年版,1999年版,ISO/IEC17799:2000,,,2002年版,,,,ISO/IEC17799:2005,,ISO/IEC27001:2005,,ISO/IEC
6、27002:2005,基礎(chǔ)知識,ISO 27001標(biāo)準(zhǔn)介紹,27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔,認(rèn)證機構(gòu) 認(rèn)可要求,目前信息安全管理與企業(yè)業(yè)務(wù)流程的實施現(xiàn)狀,實施現(xiàn)狀,現(xiàn)狀1,對“信息安全管理”理解片面,不能正確理解信息安全管理目標(biāo),完全與業(yè)務(wù)流程脫節(jié),信息安全就是計算機沒有病毒信息安全就是系統(tǒng)沒有漏洞信息安全就是信息保密沒有連接互聯(lián)網(wǎng)就是安全的有信息技術(shù)支持就
7、是安全的等,實施現(xiàn)狀,現(xiàn)狀2,“信息安全管理”沒有完全覆蓋企業(yè)的業(yè)務(wù)流程,業(yè)務(wù)過程識別不全面,導(dǎo)致信息安全管理漏洞,如銷售過程沒有識別、沒有考慮遠(yuǎn)程工作過程只關(guān)注了重要業(yè)務(wù)流程,如生產(chǎn)過程、設(shè)計過程,實施現(xiàn)狀,現(xiàn)狀3,信息安全控制措施不能在業(yè)務(wù)過程中有效實施,安全意識較差,安全規(guī)定不執(zhí)行關(guān)注“應(yīng)用性”,忽略了“安全性”缺少安全監(jiān)督檢查機制,控制措施不能有效落實缺乏持續(xù)改進(jìn)機制等,企業(yè)的信息安全風(fēng)險分布區(qū)域,忽略信息安全的危害,風(fēng)
8、險分布及危害,案例,19家企業(yè)信息安全問題總結(jié):信息化基礎(chǔ)設(shè)施建設(shè)水平差,缺乏基本的安全保障僅有21%的企業(yè)信息化組織結(jié)構(gòu)和基礎(chǔ)設(shè)施的建設(shè)較好;有79%的企業(yè)信息化組織結(jié)構(gòu)和職責(zé)不明確,信息化制度缺失或制度不完善;機房簡陋,在防塵、防火、防水、溫濕度、電力等方面不符合要求,個別企業(yè)沒有建立機房;網(wǎng)絡(luò)系統(tǒng)為二層結(jié)構(gòu),沒有部署防火墻等安全設(shè)備;,風(fēng)險分布及危害,風(fēng)險分布及危害,風(fēng)險分布及危害,案例,有89%的企業(yè)在信息安全管理和技術(shù)上存
9、在較嚴(yán)重的安全隱患網(wǎng)絡(luò)架構(gòu)不合理,沒有劃分安全區(qū)域,沒有部署防火墻等安全設(shè)備員工信息安全意識薄弱,沒有及時有效查殺病毒,病毒和木馬感染事件頻發(fā)重要計算機存在弱口令甚至沒有設(shè)置登錄口令重要應(yīng)用系統(tǒng)和服務(wù)器存在較嚴(yán)重的安全漏洞,易遭到攻擊或信息泄露重要技術(shù)機密文件沒有被有效保護,個別企業(yè)已經(jīng)發(fā)生過技術(shù)機密信息泄露事件,造成了損失,風(fēng)險分布及危害,風(fēng)險分布,分布在信息生命周期的各個環(huán)節(jié),即業(yè)務(wù)過程中:組織安全人員安全基礎(chǔ)環(huán)境安
10、全設(shè)施的安全(通信線路、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、存儲等)應(yīng)用安全(系統(tǒng)軟件、應(yīng)用軟件)訪問控制備份及業(yè)務(wù)連續(xù)性,風(fēng)險分布及危害,危害,企業(yè)有哪些重要信息知識產(chǎn)權(quán);技術(shù)秘密;重要的合同;客戶資料;軟件產(chǎn)品的源代碼;財務(wù)數(shù)據(jù);內(nèi)部文件等,危害侵權(quán);重要信息泄密;經(jīng)濟損失;業(yè)務(wù)中斷;企業(yè)倒閉,,基于ISO27001的信息安全風(fēng)險的認(rèn)識與評估流程:資產(chǎn)、風(fēng)險因素、風(fēng)險評價、風(fēng)險控制和處理,風(fēng)險認(rèn)識及評估,基于ISO
11、27001信息安全風(fēng)險的認(rèn)識,“組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險,建立、實施、運行、監(jiān)控、評審、保持并改進(jìn)文件化的信息安全管理體系”“考慮業(yè)務(wù)和法律法規(guī)的要求,及合同中的安全義務(wù)”“選擇適當(dāng)和相宜的安全控制措施” 制定風(fēng)險評估準(zhǔn)則和接受準(zhǔn)則。,風(fēng)險認(rèn)識及評估,風(fēng)險評估流程,風(fēng)險認(rèn)識及評估,風(fēng)險分析原理,如何在業(yè)務(wù)流程的控制節(jié)點融入信息安全的風(fēng)險控制措施,確保風(fēng)險可控,融入控制措施,基于業(yè)務(wù)流程的風(fēng)險評估控制措施考慮不同業(yè)務(wù)節(jié)點,識別
12、業(yè)務(wù)過程,識別業(yè)務(wù)過程對應(yīng)的資產(chǎn),識別威脅,識別脆弱性,,,,,,不同級別的風(fēng)險,,,制定控制措施,,,業(yè)務(wù)流程與信息安全管理整合實施的難點、方法與步驟,實施方法與步驟,導(dǎo)入以ISO27001為基礎(chǔ)的信息安全管理體系,,實施方法與步驟,ISO27001 11個控制域(最佳實踐),實施方法與步驟,實施難點,領(lǐng)導(dǎo)層不關(guān)注員工安全意識薄弱,不支持資源的投入(人力、資金)專業(yè)技術(shù)性要求高解決辦法信息安全培訓(xùn),提高
13、安全有意識和企業(yè)自身能力聘請專業(yè)的第三方公司協(xié)助,業(yè)務(wù)流程與信息安全管理整合的價值(信息安全管理體系實施的價值),實施的價值,,○維持和增強公司競爭優(yōu)勢,促進(jìn)業(yè)務(wù)發(fā)展。 ○維護公司的聲譽和品牌,增強相關(guān)方的信任; ○滿足客戶和法律法規(guī)的信息安全要求; ○強化員工的信息安全意識,規(guī)范組織信息安全行為; ○保障公司業(yè)務(wù)的正常運
14、行 ○增強信息系統(tǒng)的安全性,減少安全事件帶來的影響和經(jīng)濟損失; ○提高信息安全管理水平,保障信息系統(tǒng)安全運行; ○找出與相關(guān)國際/國內(nèi)/行業(yè)標(biāo)準(zhǔn)的差異,增強合規(guī)性;○發(fā)現(xiàn)系統(tǒng)中潛在風(fēng)險與安全隱患,有效控制風(fēng)險;,實施的價值,來源:澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學(xué)術(shù)會議Australia, 5th -7th December, 2011,ISO2
15、7001實施效果調(diào)查,信息安全標(biāo)準(zhǔn)化管理及透明度,增強組織對信息安全的信心,有效的風(fēng)險管理,成熟、全面的信息安全管理,增強客戶信心,其他服務(wù)能力提升,實施的價值,來源:國際計算機科學(xué)與網(wǎng)絡(luò)安全期刊,2010年3月,ISO27001體系作用研究,中國賽寶資質(zhì)及業(yè)務(wù),ISO/IEC 27001 信息安全管理體系認(rèn)證;ISO/IEC 20000 IT服務(wù)管理體系認(rèn)證;ISO 9001 質(zhì)量管理體系認(rèn)證;TL 9000電信行業(yè)質(zhì)量管理體系
16、認(rèn)證;ISO/TS 16949 汽車行業(yè)管理體系認(rèn)證;ISO 14001環(huán)境管理體系認(rèn)證;OHSAS 18001職業(yè)健康與安全管理體系認(rèn)證;工業(yè)和信息化部計算機信息系統(tǒng)集成資質(zhì)認(rèn)證;工業(yè)和信息化部信息系統(tǒng)工程監(jiān)理資質(zhì)認(rèn)證;美國SEI軟件能力成熟模型(CMMI)評估;中國軟件過程及能力成熟度評估(SPCA);,基礎(chǔ)知識,中國賽寶資質(zhì)及業(yè)務(wù),中國合格評定國家認(rèn)可委員會(CNAS)的認(rèn)可實驗室;公安部信息安全等級保護測評機構(gòu);
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 企業(yè)信息化業(yè)務(wù)流程管理復(fù)習(xí)題
- 基于業(yè)務(wù)流程再造的企業(yè)信息化研究
- 玻璃企業(yè)業(yè)務(wù)流程的研究和實現(xiàn)
- 面向企業(yè)信息化的西南鋁財務(wù)業(yè)務(wù)流程重構(gòu)研究與實施.pdf
- 企業(yè)業(yè)務(wù)流程管理
- S企業(yè)信息安全管理的策略和實施.pdf
- 玻璃企業(yè)業(yè)務(wù)流程的研究和實現(xiàn).pdf
- 核電企業(yè)業(yè)務(wù)流程管理系統(tǒng)的設(shè)計與實現(xiàn).pdf
- 業(yè)務(wù)流程重組與企業(yè)管理
- 業(yè)務(wù)流程管理與企業(yè)管理的整合
- 基于業(yè)務(wù)流程的國有軍工企業(yè)信息系統(tǒng)審核研究.pdf
- 業(yè)務(wù)流程管理系統(tǒng)的設(shè)計與實現(xiàn).pdf
- 企業(yè)業(yè)務(wù)流程
- 石化企業(yè)供應(yīng)業(yè)務(wù)流程整合與信息系統(tǒng)的設(shè)計實現(xiàn).pdf
- 煙草商業(yè)企業(yè)信息化中的業(yè)務(wù)流程重組研究.pdf
- 企業(yè)業(yè)務(wù)流程中的知識管理
- 采購業(yè)務(wù)流程再造和企業(yè)變革管理.pdf
- 企業(yè)業(yè)務(wù)流程管理辦法
- 復(fù)雜信息系統(tǒng)全局業(yè)務(wù)流程的獲取和實現(xiàn).pdf
- 信息流程重組與業(yè)務(wù)流程重組
評論
0/150
提交評論