计算机信息安全管理的实施.pptVIP

信息安全管理的实施 1 1.1 企业信息安全管理的现状 1．重视信息技术，轻视信息管理 2．企业对信息的认识过于片面 3．行业规范问题 4．企业标准、管理制度问题 1 1.2 加强企业信息安全管理的对策 1．结合管理层次实施 2．贯彻标准机构的组成人员要有广泛性 3．前期准备工作要细致 4．最后要落实到制度上 1 1.3 灵活使用BS7799 任何标准都是由人来制定的，对标准进行全面的了解之 后，就要活学活用，BS 7799标准也是一样。要抱着这样一个信念，只要有关信息安全的问题，都可以参考这套标准，大到一个企业，小到一个应用系统或一台设备。对照BS 7799标准，检查其安全管理状况，可能会发现很多平时忽视的安全问题，则采取相应的控制措施，把问题消灭在萌芽状态，将其制度化，并保持持续改进。任何一个企业通过实施一套标准就想达到零风险，也是不现实的。谁也不敢说能一劳永逸的解决安全问题。但是可以降低风险，即使发生风险，也能保持企业的可持续发展，这就是研究BS 7799标准的目的之所在。 2 BS 7799信息安全管理实施案例 2.1 信息安全管理体系认证实施案例 2 BS 7799信息安全管理实施案例 2.1.1 企业背景 Ibas公司成立于1978年，是世界公认的数据修复、销毁和计算机犯罪取证领域的领导者。集团总部位于挪威，目前在全球10 多个国家和地区拥有分支结构和完善的营销与服务支持网络。凭借独创的先进科技，超过20年的专业经验和强大的研发能力，Ibas一直是政府、军队、金融、保险等高敏感应用客户的首选方案提供商，同时，在航空和海难事故、刑事案件、战争罪行等诸多知名案例调查过程中的出色表现，为Ibas赢得了崇高的声望和长期的市场领先地位。 2 2.1.2客户需求 鉴于数据销毁和恢复业务的高敏感性，客户对于服务商在服务过程中保护客户隐私，防止敏感信息泄密方面的安全性和信誉度普遍存在不同程度的担忧，这不仅仅是领先的专业技术和市场知名度所能涵盖的，更重要的是企业如何体现对客户信息的安全保障水平。Ibas香港公司希望通过BS 7799项目的实施，建立起符合安全管理国际标准和业务运作要求的信息安全管理体系，获得权威机构的资质认证，从而在提高业务安全管理水平的同时，增强客户对Ibas专业安全服务的信心和品牌知名度。 2 实施过程 2 2 2.1.3 项目实施过程中的难点： 1. 如何确定ISMS 的范围？ 2. 如何进行风险评估？ 风险评估成功与否的关键首先不在于技术问题，而在于良好的客户沟通和会议组织技巧 ； 应避免风险评估仅限IT部门和安全专家的参与 风险评估应始终围绕企业的目标和方针进行 成功的风险评估还要避免片面性、主观性，避免与漏洞扫描或穿透测试混为一谈。 风险评估的好坏不局限于采用定性或定量的风险评估方法，而在于能否为安全控制提供足够的决策参考依据。 2 2.1.3如何发挥人的主观能动性？ 人是安全管理体系的灵魂，而不是没有生命力的产品或文档体系。安全管理体系的良好运作，依赖于制度和组织机制，更依赖于各种角色人员的安全意识，和对安全策略的理解与遵守程度。 首先进行员工培训，然后根据安全控制实施计划逐条落实相关的措施，包括组织建设、资产分类、增强的门禁，实验室装修，区域划分，改善的介质处理流程、方式，以及业务可持续性计划的编制、模拟和演练等。 在评审阶段，由于安全顾问派出的独立审计员预先对已建立的文件体系和实施成果进行了检查，提出了评审意见和不符合项的纠正措施，然后帮助Ibas进行了改善 。 2 2.1.4 实施效果 通过实施BS 7799，Ibas香港公司获得了以下方面的成功和收益 ： 建立了完整的文件化的信息安全管理体系，为企业各项安全相关活动的开展提供了明确的目标和操作指引； 进一步明确了安全管理对于业务促进的重要作用； 通过PDCA过程方法和相应的组织保障体系，使企业安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态； 通过把BS 7799的要求引入业务流程，使现有的业务运作更加安全规范，减少了流程和操作过程带来的安全风险 ； 通过BS 7799认证，意味着企业对安全风险的管理能力获得国际权威机构的认可，有助于消除客户对于服务过程中隐私和敏感数据泄密的担忧，从而巩固在数据安全服务领域的专业形象和市场号召力 。 2 2.1.5 经验总结 BS 7799信息安全管理体系的实施，最大意义不在于显著改善企业的安全风险水平，而在于让企业拥有可控的风险管理架