信息安全管理-苏州工业园区企业发展服务中心.PPT

业务流程与信息安全管理整合实施的 难点、方法与步骤 实施方法与步骤 导入以ISO27001为基础的信息安全管理体系 实施方法与步骤 ISO27001 11个控制域（最佳实践） 信息资产 保密性 完整性 可用性 安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信与操作安全 访问控制 信息系统的获取 开发和维护 信息安全事件管理 业务持续性管理 符合性 实施方法与步骤 实施难点 领导层不关注 员工安全意识薄弱，不支持 资源的投入（人力、资金） 专业技术性要求高 解决办法 信息安全培训，提高安全有意识和企业自身能力 聘请专业的第三方公司协助 业务流程与信息安全管理整合的价值 （信息安全管理体系实施的价值） 实施的价值 ○维持和增强公司竞争优势，促进业务发展。 ○维护公司的声誉和品牌，增强相关方的信任； ○满足客户和法律法规的信息安全要求； ○强化员工的信息安全意识，规范组织信息安全行为； ○保障公司业务的正常运行 ○增强信息系统的安全性，减少安全事件带来的影响和经济损失； ○提高信息安全管理水平，保障信息系统安全运行； ○找出与相关国际/国内/行业标准的差异，增强合规性； ○发现系统中潜在风险与安全隐患，有效控制风险； 实施的价值 来源：澳大利亚Edith Cowan University 主办的第九届澳大利亚信息安全管理学术会议 Australia, 5th -7th December, 2011 ISO27001实施效果调查 信息安全标准化管理及透明度 增强组织对信息安全的信心 有效的风险管理 成熟、全面的信息安全管理 增强客户信心 其他服务能力提升 实施的价值 来源：国际计算机科学与网络安全期刊，2010年3月 ISO27001体系作用研究 影响方面 测量指标 效果 直接经济效益 现金流 增长14% 成本 降低30% 间接经济效益 业务机会 增加25% 客户合作 增加39% 信息安全可靠性 流程效率 提升53% 反应速度 提升37% 安全防护能力 提升68% 中国赛宝资质及业务 ISO/IEC 27001 信息安全管理体系认证； ISO/IEC 20000 IT服务管理体系认证； ISO 9001 质量管理体系认证； TL 9000电信行业质量管理体系认证； ISO/TS 16949 汽车行业管理体系认证； ISO 14001环境管理体系认证； OHSAS 18001职业健康与安全管理体系认证； 工业和信息化部计算机信息系统集成资质认证； 工业和信息化部信息系统工程监理资质认证； 美国SEI软件能力成熟模型(CMMI)评估； 中国软件过程及能力成熟度评估(SPCA)； 基础知识 中国赛宝资质及业务 中国合格评定国家认可委员会（CNAS）的认可实验室； 公安部信息安全等级保护测评机构； 工业和信息化部授权的软件产品检测机构； 总装军用实验室认可委员会的认可实验室； 互动交流 如何实现企业信息安全管理与业务流程的融合和实施 * 目前信息安全管理与企业业务流程的实施现状 1 研讨大纲 企业的信息安全风险分布区域，忽略信息安全的危害 基于ISO27001的信息安全风险的认识与评估流程：资产、风险因素、风险评价、风险控制和处理 如何在业务流程的控制节点融入信息安全的风险控制措施，确保风险可控 业务流程与信息安全管理整合实施的难点、方法与步骤 业务流程与信息安全管理整合的价值 2 3 4 5 6 信息安全基础知识 基础知识 信息安全定义 保密性 Confidentiality：　 信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。 完整性 Integrity 保护资产的准确和完整的特性。 可用性 Availability： 需要时，授权实体可以访问和使用的特性。 基础知识 信息安全管理体系（ISMS）定义 信息安全管理体系（Information Security Management System）是企业整个管理体系的一部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 基础知识 资产定义 任何对组织有价值的事物 （ISO/IEC13335-1:2004) 数据资产 软件资产 硬件资产 人员 服务 其它 基础知识 威胁定义 可能导致对系统或组织的损害的不期望事件发