- 1、本文档共57页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
科士达信息安全体系建设交流胶片20101118
* * * * * * * * * * 运维阶段风险评估的目的是了解和控制运行过程中的安全风险,评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。 2.3.1 安全运行和管理 信息系统在开始运行之后,应按照处理措施所定义的系统操作要求、运行要求和管理要求,进行安全操作和安全管理,保证系统的安全功能的实现。安全运行和管理的例子包括执行备份、举办培训课程、管理密钥、更新用户管理和访问特权、以及更新安全软件等。 2.3.2 变更管理 在信息系统及其运行环境发生变化时,应评估其风险,并制定和实施相应的处理措施来控制风险。变更管理包括以下几个方面: 1)信息系统的变更 包括系统升级、增加新功能、发现新的系统威胁和脆弱性等。 2)系统运行环境的变更 包括系统的硬环境、软环境的变化,以及法律法规环境的变化。 在信息系统及其运行环境发生变化时,应执行风险管理流程中的风险评估过程和风险处理过程,分析可能出现的新风险,并制定和实施处理措施对风险进行处理。 变更管理主要用于信息系统及其运行环境发生变化不大的情况,变更管理无需对系统运行进行重新授权。 2.3.3 风险再评估 风险再评估是对重新对系统进行风险评估的过程。应定期进行系统的风险全面再评估,在信息系统及其运行环境发生重大变化时,也应适时进行风险全面再评估。定期风险全面评估的周期一般应为一年,最长不应超过2年。 风险再评估后应执行风险处理过程,针对风险制定和实施处理措施。 2.3.4 定期重新审批 定期重新审批是重新执行信息系统审核批准的过程。信息系统在运行一段时间之后,系统及其运行环境、风险环境都会发生变化,应重新确认系统风险是否仍在可接受的范围内。 信息系统授权的重新审批应以风险再评估的结果为依据,根据系统风险再评估后的风险状况和残余风险,重新审批信息系统是否可以继续运行。 * 对信息安全管理的传统认识 对信息安全的传统认识是 信息安全一向被认为是IT部门的职责 大部分企业认为信息安全是只有技术方案才能解决的技术性问题 保证信息的保密性 Page * 信息安全 ≠ 技术方案 案例: E是一家网络零售商,2000年12月因客户资料系统遭受骇客破坏,造成370万组信用卡号外流,股票价值因而下跌了25%. E公司事前当然建立了安全防护系统,事后并宣称资料并未窃,但由于公司内部缺乏协调管理,未能提出一致的响应,因而无法说服客户和股东相信这些极为敏感的资料仍然安全无恙. 应急响应的组织?(骇客入侵应急响应 (业务连续性管理) Page * 信息安全管理的经验告诉我们 员工缺乏信息安全意识 没有建立必要的信息安全管理机制(流程和程序) 没有人执行信息安全管理制度 缺乏必要的信息安全技术控制措施 大部分信息安全问题的发生是因为: Page * 角色和责任 Page * 层面 信息系统 信息安全风险管理 角色 内外部 责任 角色 内外部 责任 决策层 主管者 内 负责信息系统的重大决策。 主管者 内 负责信息安全风险管理的重大决策。 管理层 管理者 内 负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。 管理者 内 负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。 执行层 建设者 内或外 负责信息系统的设计和实施。 执行者 内或外 负责信息安全风险管理的实施。 运行者 内 负责信息系统的日常运行和操作。 维护者 内或外 负责信息系统的日常维护,包括维修和升级。 监控者 内 负责信息系统的监视和控制。 监控者 内 负责信息安全风险管理过程、成本和结果的监视和控制。 支持层 专业者 外 为信息系统提供专业咨询、培训、诊断和工具等服务。 专业者 外 为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。 用户层 使用者 内或外 利用信息系统完成自身的任务。 受益者 内或外 反馈信息安全风险管理的效果。 建立“泛”安全体系 Page * 目录 Page * 越来越严峻的安全形势 企业内控与ISO27001 信息安全的重要概念 体系推进过程及目标 2 3 4 5 昂楷科技简介 1 IT内控实施过程 Page * IT内控实施 1. IT控制的计划和范围 检查全部文档并识别应用控制 识别应包括的应用控制 识别应包括的IT基础设施和系统 5. 优化和缺陷修补 重要缺陷的可能性和影响 是否有缺陷修补措施和措施的可靠性 4. 评价IT内控设计和运行效果 内部审计 技术测试 遵从性测试 成熟度模型 3. 记录控制 制度/程序/手册 记录应用控制 记录IT一般控制 2. 评估IT风险 识别IT风险 评估IT风险引起内控失效的可能性和影响 企业价值 6. 持续运作 内部评价和外部评价 自动化控制 消除重复和冗余控制 体系推进流程——总流程
您可能关注的文档
- 电力系统分析课件 8 电力系统简单不对称故障分析.ppt
- 电动葫芦结构及维保图文.ppt
- 电子商务之成功案例-凡客诚品.ppt
- 电子商务旅游网旅游APP净网行动.ppt
- 电子元器件手工焊接培训[精华].ppt
- 电子商务成功案例2010全版_销售营销_经管营销_专业资料.ppt
- 电子商务安全技术第四章网络信息安全技术.ppt
- 电子商务案例分享-凡客诚品成功之道1.ppt
- 电子商务案例分析 第10章 电子商务应用案例分析.ppt
- 电子商务案例分析PPT,第4章网络经纪模式案例分析.ppt
- 《GB/T 12668.7202-2024调速电气传动系统 第7-202部分:电气传动系统的通用接口和使用规范 2型规范说明》.pdf
- 《GB/T 15692-2024制药机械 术语》.pdf
- GB/T 15692-2024制药机械 术语.pdf
- 中国国家标准 GB/T 15692-2024制药机械 术语.pdf
- GB/T 19633.1-2024最终灭菌医疗器械包装 第1部分:材料、无菌屏障系统和包装系统的要求.pdf
- 中国国家标准 GB/T 19633.1-2024最终灭菌医疗器械包装 第1部分:材料、无菌屏障系统和包装系统的要求.pdf
- 《GB/T 19633.1-2024最终灭菌医疗器械包装 第1部分:材料、无菌屏障系统和包装系统的要求》.pdf
- 《GB/T 30117.1-2024非相干光产品的光生物安全 第1部分:通用要求》.pdf
- 《GB/T 33348-2024高压直流输电用电压源换流器阀 电气试验》.pdf
- GB/T 33348-2024高压直流输电用电压源换流器阀 电气试验.pdf
文档评论(0)