科士达信息安全体系建设交流胶片20101118.ppt

* * * * * * * * * * 运维阶段风险评估的目的是了解和控制运行过程中的安全风险，评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。 2.3.1 安全运行和管理 信息系统在开始运行之后，应按照处理措施所定义的系统操作要求、运行要求和管理要求，进行安全操作和安全管理，保证系统的安全功能的实现。安全运行和管理的例子包括执行备份、举办培训课程、管理密钥、更新用户管理和访问特权、以及更新安全软件等。 2.3.2 变更管理 在信息系统及其运行环境发生变化时，应评估其风险，并制定和实施相应的处理措施来控制风险。变更管理包括以下几个方面： 1）信息系统的变更 包括系统升级、增加新功能、发现新的系统威胁和脆弱性等。 2）系统运行环境的变更 包括系统的硬环境、软环境的变化，以及法律法规环境的变化。 在信息系统及其运行环境发生变化时，应执行风险管理流程中的风险评估过程和风险处理过程，分析可能出现的新风险，并制定和实施处理措施对风险进行处理。 变更管理主要用于信息系统及其运行环境发生变化不大的情况，变更管理无需对系统运行进行重新授权。 2.3.3 风险再评估 风险再评估是对重新对系统进行风险评估的过程。应定期进行系统的风险全面再评估，在信息系统及其运行环境发生重大变化时，也应适时进行风险全面再评估。定期风险全面评估的周期一般应为一年，最长不应超过2年。 风险再评估后应执行风险处理过程，针对风险制定和实施处理措施。 2.3.4 定期重新审批 定期重新审批是重新执行信息系统审核批准的过程。信息系统在运行一段时间之后，系统及其运行环境、风险环境都会发生变化，应重新确认系统风险是否仍在可接受的范围内。 信息系统授权的重新审批应以风险再评估的结果为依据，根据系统风险再评估后的风险状况和残余风险，重新审批信息系统是否可以继续运行。 * 对信息安全管理的传统认识 对信息安全的传统认识是 信息安全一向被认为是IT部门的职责 大部分企业认为信息安全是只有技术方案才能解决的技术性问题 保证信息的保密性 Page * 信息安全 ≠ 技术方案 案例: E是一家网络零售商,2000年12月因客户资料系统遭受骇客破坏,造成370万组信用卡号外流,股票价值因而下跌了25%. E公司事前当然建立了安全防护系统,事后并宣称资料并未窃,但由于公司内部缺乏协调管理,未能提出一致的响应,因而无法说服客户和股东相信这些极为敏感的资料仍然安全无恙. 应急响应的组织?(骇客入侵应急响应 (业务连续性管理) Page * 信息安全管理的经验告诉我们 员工缺乏信息安全意识 没有建立必要的信息安全管理机制（流程和程序） 没有人执行信息安全管理制度 缺乏必要的信息安全技术控制措施 大部分信息安全问题的发生是因为: Page * 角色和责任 Page * 层面 信息系统 信息安全风险管理 角色 内外部 责任 角色 内外部 责任 决策层 主管者 内 负责信息系统的重大决策。 主管者 内 负责信息安全风险管理的重大决策。 管理层 管理者 内 负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。 管理者 内 负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。 执行层 建设者 内或外 负责信息系统的设计和实施。 执行者 内或外 负责信息安全风险管理的实施。 运行者 内 负责信息系统的日常运行和操作。 维护者 内或外 负责信息系统的日常维护，包括维修和升级。 监控者 内 负责信息系统的监视和控制。 监控者 内 负责信息安全风险管理过程、成本和结果的监视和控制。 支持层 专业者 外 为信息系统提供专业咨询、培训、诊断和工具等服务。 专业者 外 为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。 用户层 使用者 内或外 利用信息系统完成自身的任务。 受益者 内或外 反馈信息安全风险管理的效果。 建立“泛”安全体系 Page * 目录 Page * 越来越严峻的安全形势 企业内控与ISO27001 信息安全的重要概念 体系推进过程及目标 2 3 4 5 昂楷科技简介 1 IT内控实施过程 Page * IT内控实施 1. IT控制的计划和范围 检查全部文档并识别应用控制 识别应包括的应用控制 识别应包括的IT基础设施和系统 5. 优化和缺陷修补 重要缺陷的可能性和影响 是否有缺陷修补措施和措施的可靠性 4. 评价IT内控设计和运行效果 内部审计 技术测试 遵从性测试 成熟度模型 3. 记录控制 制度/程序/手册 记录应用控制 记录IT一般控制 2. 评估IT风险 识别IT风险 评估IT风险引起内控失效的可能性和影响 企业价值 6. 持续运作 内部评价和外部评价 自动化控制 消除重复和冗余控制 体系推进流程——总流程