信息安全项目成果培训信息安全管理政策.ppt

信息安全项目成果培训信息安全管理政策 信息安全管理体系的建立 – 范围的订定 ISMS 的范围 ISMS 的范围 —— 范例 ISMS 的范围 —— 考虑因素 ISMS 的范围 —— 资产种类 ISMS 的范围 —— 资产范例 ISMS 的范围 —— 资产价值 ISMS 的范围 —— 资产的拥有者 信息安全管理体系的建立 – 风险评估 风险评估 风险评估的相关概念 威胁的种类 信息安全的风险分析路径 风险评估 —— 威胁与弱点 风险评估 —— 威胁的范例 风险评估 —— 弱点的范例 风险评估 —— 风险程度和影响 风险评估 —— 风险程度的范例 风险评估 —— 业务影响的范例 风险评估 —— 方法 风险评估 – 评估表范例 信息安全管理体系的建立 – 风险管理 风险管理的定义 弱點、威胁与控制 风险管理 风险管理 —— 方法和政策 信息安全管理体系的建立 – 执行控制 风险管理 – 对策 风险管理 – 对策的范例 持续风险管理 会议内容 毕博管理咨询的信息安全保障体系概览 毕博管理咨询的信息安全保障体系概览（续） 信息安全政策与标准的总体框架 毕博信息安全管理架构 毕博信息安全管理架构（续） 会议内容 信息安全管理政策内容 企业管理的基本框架 现代企业管理是由企业战略、组织架构、业务流程、绩效管理和信息技术这五种要素构成的。这五种要素与外部环境共同作用的结果最终影响企业的发展 安全管理的核心-风险管理 风险管理的目的： 有效的控制风险，而非杜绝风险 风险管理中时常遇到的几个问题： 风险在哪里？ 风险的大小？ 采取手段来控制风险了吗？ 风险是否降低到可以接受的程度了？ ………… 风险管理的常用方法 消除 降低 回避 从企业管理看信息安全 信息安全管理政策内容 信息安全管理体系建立模型 信息安全管理体系建立模型是一个不断循环的系统，借以持续完善信息安全管理体系，适应环境的变化。 主要思想是从风险管理的角度出发，按照预防为主的思想，遵循管理的一般循环模式对风险实施动态管理。 中国石油信息安全政策与标准的总体框架 中国石油信息安全政策的内容概要 信息安全管理政策内容 中国石油信息安全的策略 中国石油信息安全策略是在中国石油信息战略的指导下建立的，是中国石油信息安全体系建立的最高纲领，中国石油所有信息系统的建立者、维护者、管理者、使用者（包括组织与个人）都必须遵循。信息安全策略的适用范围包括但不限于中国石油总部、各专业公司、地区公司及下属单位、各研究机构以及相关第三方组织或个人。信息安全策略主要包含以下两方面内容： 总体目标，中国石油信息安全的总体目标是为中国石油的可持续性发展提供保障，具体内容体现在以下七个方面： 保护企业信息的保密性、完整性和有效性； 强化员工的信息安全意识，规范中国石油的信息安全行为； 对中国石油的关键信息资产进行全面系统的保护，维持竞争优势； 在信息系统收到侵袭时，确保业务持续开展并将损失降到最低程度； 使得中国石油的合作伙伴和客户对中国石油充满信心； 证明中国石油有能力保障重要信息，提高中国石油的知名度与信任度； 促使管理层坚持贯彻信息安全保障体系。 实施原则： 制定信息安全政策总则，为信息安全管理提供导向和支持； 信息安全政策与标准的制定建立在风险评估的基础之上； 考虑控制费用、业务开展与风险平衡的原则，将风险降至中国石油可接受的水平； 以预防控制为主的思想原则； 业务持续性原则，即从故障与灾难中恢复业务运作，减少故障与灾难对关键业务过程的影响； 动态管理原则，即对风险实施动态管理； 全员参与的原则； 遵循管理的一般循环模式—持续改进模式（PDCA），即Plan（规划）—Do（执行）—Check（检查）—Action（措施）。 信息安全管理政策内容 信息安全组织管理政策 内容概要 信息安全组织架构 信息安全组织架构 信息安全组织架构与中国石油组织架构的关系 中国石油信息安全组织架构 中国石油信息安全组织各机构职责与分工 勘探院和规划院的信息安全管理组织 关于设立信息技术支持中心的设想 中国石油信息安全关键岗位设置 中国石油信息安全关键岗位设置 信息安全管理部门关键岗位设置 信息安全技术维护/支持部门关键岗位设置 中国石油信息安全关键岗位职责 中国石油信息安全管理关键岗位职责 中国石油信息安全技术关键岗位职责 中国石油信息安全考核制度 信息安全关键岗位考核指标 信息安全关键岗位考核指标定义 信息安全关键岗位考核指标计算方法 关键考核指标与信息安全关键岗位的对应关系 信息安全关键岗位考核责任制度 中国石油信息安全关键岗位的考核指标和具体目标的制订和审批： 中国石油信息安全各关键岗位考核关系： 信息安全关键岗位考核流程 中国石油信息安全组织运作 信息安全论坛 信息安全协调机制 信息安全组织架构 信