西电信信息安全管理培训.pptVIP

改进、完善 纠正 采取措施，以消除与ISMS的实施、运作相关的不合格的原因，防止再次发生。 预防 确定措施，以消除潜在不合格的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。 认证 认证机构 认证机构 认证机构 权威部门 认证机构 产品、过程、服务等 认证机构 …… UKAS 认证公司BSI/DNV 公司或企业 咨询公司 Agenda 一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍 信息安全相关 COSO COBIT ISO20000 ISO27001 国家标准_《信息安全风险评估指南》 信息系统安全保障等级评估准则GB 17859 SOX ISO/IEC 15408（CC） 信息技术安全技术信息技术安全性评估准则 GB 18336 信息安全事件分类分级指南 COSO 标准名称 内部控制-整体框架 标准组织 发起组织委员会COSO 隶属机构 美国国会的反对虚假财务报告委员会 标准作用 研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议。 形成时间 形成于1985年，1992年发布报告 COSO组织 一个通过商业道德、有效的内部控制和公司治理结合以致力于改善财务报告的美国民间组织。研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC（美国证券交易委员会）和其他监管机构以及教育机构提供建议。该委员会由美国五个主要财务职业协会共同主办：AAA(美国会计学会)、AICPA(美国注册会计师协会)、FEI(财务经理协会)、IIA(内部审计师协会)和naa(全国会计师协会，现为IMA、管理会计师协会)。COSO完全独立于各主办组织。 COSO报告 1992年COSO委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制－整体框架》（Internal Control－Integrated Framework）报告，即通称的COSO报告。 COSO报告提出内部控制由五部分组成： 控制环境：它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。 风险评估：是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 控制活动：是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 信息和交流：信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的尾部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通 监控：监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量，不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。 COBIT 标准名称 信息及相关技术的控制目标 隶属机构 美国IT治理研究院 标准作用 信息、IT以及相关风险控制方面的国际公认标准。 最新版本 CoBiT 4.0, CoBiT第一版于1994年推出 ISO2000（ITIL） 标准名称 IT基础机构库 隶属机构 英国商务部OGC(Office of Government Commerce) 标准作用 实现“以流程为中心、以客户需求为导向”的IT服务管理 形成时间 80年底末 版本 2001年英国标准协会在国际IT服务管理论坛(itSMF)发布了基于ITIL的英国国家标准BS15000，2005年12月正式成为国际标准，隶属国际标准化组织，ISO/IEC20000源于BS15000标准，使第一部全球IT服务管理标准。 ISO2000（ITIL）框架 ISO2000（ITIL）十大流程 萨班斯－奥克斯利法案（SOX） 针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理