第三讲 信息安全管理措施.pptx

第三讲 信息安全管理措施主题一关于信息安全的定位1信息安全风险的基本概念2安全管理措施3信息安全等级保护简介4小结5信息安全管理体系（ISMS）：27001-2013版的“高要求”27001-13版的高要求和高定位分析 1 是一组过程起点和定位高：战略和管理框架客户交付：信心能力：满足自身安全要求-非满足客户安全要求可操作性：不够细战略因素？与ISMS和风险评估的衔接？如何体现定位的“高度”采用风险管理过程来确保信息的CIA-谁的信息？目的：给予相关方信心-风险已被充分管控 2 战略性决策采用ISMS是组织的一项战略性决策受到组织的需要和目标、安全要求、组织过程以及组织的结构和规模的影响 3 组织管理框架的一部分：两个重要是组织过程和整体框架的一部分组织的过程、信息系统和控制的设计需考虑安全 4 用途内外组织使用-评估某组织的能力能力：满足自身安全要求的能力1、是组织的一项战略性决策2、在组织的过程、IS和控制的设计中3、风险已被管控的信心高定位的解读业务设计：过程、IS和控制设计中考虑信息安全信息安全管理体系——企业运行于流程之上，信息在流程中的作用战略方向中，信息价值在流程中体现业务流程设计与优化，信息的作用？需要明确信息价值可能的损失设计业务流程和支撑系统中的信息安全需要考虑内控等中的信息安全执行决策绩效-监督给予相关利益方风险已被管控的信心战略性决策：需要领导力和承诺——谁拥有业务，谁就是业务风险的责任人相关利益方：内外人员-组织环境识别中获取谁是风险责任人：业务拥有者信心：内外人员，业务是安全的手段：信息安全管理体系ISMS是一种满足自身安全要求的能力-安全要求指风险被管控——安全方针、安全目标与组织的战略方向一致需要了解业务模式、产品、用户和市场（内外环境识别）需要了解信息对它们的作用（信息的价值）需要明确信息价值可能的损失明确信息安全方针和安全目标1、战略性决策决定了高层如何看待信息安全？如何建立与之匹配的安全方针和目标？公司治理股东利益相关者需要理解组织内外环境需要了解业务模式、产品、用户和市场需要理解信息在战略发展中的价值需要理解降低信息价值的风险信息安全风险是其中的风险之一董事会监控披露高层执行团队战略期望行为关键资产人力资产金融资产实物资产知识产权资产信息和IT资产关系资产关键资产治理财务治理机制（委员会、预算等）IT治理机制（委员会、预算等）安全人员应该主动了解信息安全管理体系的内外环境-内部环境，决定了信息安全的推动力企业管理客户交易与业务价值IT管理信息准则-IT服务或能力商业智能应用层面企业管理业务战略符合IT战略符合人员-组织-岗位-绩效搜素决策支持管理系统数据处理智能应用信息内容管理企业治理IT治理-COBIT数据管理管理层：IT管理程序PDCAIT资源和IT能力系统层面服务器DB主机存储系统中间件虚拟化统一消息管理风险管理信息安全风险企业运营ITIL运维网络层面网络边界网络区域网络设备安全设备审计IT审计物理层面内控与合规合规：20000/27001物理环境物理设备存储介质通信设施业务过程和IT系统战略明道（示例）：信息安全方针和目标与组织的战略方向一致某组织业务的例子产品的战略方向质量成本响应效率业务模式改进人员服务前置，质量为本尽可能降低沟通和交易成本及时响应客户强大的后台能力与客户共享信息与IT要素信息处理或决策支持快速准确持续性降低交易成本应变和灵活性强；对IT依赖高CRM-客户理财与组织能力更密切的结合IT基础设施（容量、可用性）大规模用户远程并发响应一定人员规模下，交易量大增，单位人交易成本低IT技术革新（云计算）更安全批量，交易成本降低更多方式响应用户需求IT展示技术更立体，更直观多维度的宣传，降低市场成本吸引客户市场效果更佳VIP级的可视化技术信息在产品发展的价值人员数量和服务能力信息的准确性和及时性至关重要信息价值损失潜在因素信息不准确：完整性被破坏信息不及时：可用性被破坏其余：保守客户秘密-保密性信息安全方针高层负责，为新业务改进保驾护航信息安全目标新建IS部分可用性99.9客户服务数据完整性措施覆盖率100%2、协同工作，在业务流程设计中考虑信息安全业务的整体性信息流转拒绝孤岛愿景与使命覆盖哪些流程，流程优化方案，确定信息贯穿的场景和安全需求，选择安全措施战略方向：明确重点发展的产品和业务板块，确定信息安全方针和目标安全目标分解到相关部门，有效性度量；安全措施在IS和非IS中实现宗旨、定位战略目标业务与职能战略职责划分是关键；要有分工和独立职责，更要有整体性业务线财务人力资源……关键目标指标（KGI）财务角度客户角度内部流程角度学习与发展角度关键ISMS需要顶层设计，互相协作，承担不同职责 战略-组织环境战术-业务设计操作-业务运营 领导和组织制定战略规划：产品、客