企业信息安全与安全架构规划服务-Read.pptVIP

Presentation Title | Confidential | Document ID IBM Confidential IBM在信息安全方面的实践及解决方案介绍 IBM中国 资深系统架构师 廖家丞 信息安全的内涵与定义 内涵： 保障企业各类信息资产免于〝不可承受的风险〞的所有战略、程序与机制 定义：考虑所有信息资产的 保密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability) 范围： 总/分/子公司、信息系统设备、人员、信息记录、服务 信息安全体系的范围 企业内信息安全的责任划分 安全策略的制订者 信息资产的所有者 信息资产的维护者 信息资产的使用者 信息安全的检查者 信息安全策略体系 总体企业的信息安全策略与目标，以及配合的标准／规范／规定 信息安全的运作范围 PDCA的循环持续强化模式(制订安全策略-信息安全的实施与培训-运维事件监查-纠正改善) 事前预防，事中应变，事后追踪考核的完整作业来完善企业安全的持续运作 员工安全意识的提升与奖惩机制的搭配来落实信息安全的策略 作业的合规性及日常管理的检查点来检验日常作业的安全状况 信息资产的可视化与信息安全事件的响应机制来反应各类突发事件 技术解决方案及业务流程的相互搭配 安全体系的落实-将管理与检核点结合到日常作业流程中 以”风险导向”(Risk Focused )的企业完整信息安全架构蓝图 具体项目经验分享-国内某保险公司 完整信息安全架构蓝图中的各类服务 安全咨询服务：企业信息安全评估与安全架构规划服务 安全咨询服务：信息安全管理系统、BS7799认证咨询服务 企业安全监控中心（SoC) 企业身份与权限管理系统 企业信息加固服务 电子邮件安全解决方案 桌面终端安全符合性检查 ? Copyright IBM Corporation 2006 Confidential Integrated Technology Services, Greater China Region Page * ? Copyright IBM Corporation 2006 Confidential C I A 信息安全 信息安全 组织 组织 信息安全 信息安全 运作 运作 信息安全 信息安全 技术 技术 信息安全 信息安全 策略 策略 安全监控 机制 ? Operation 弱点侦测机制 (Vulnerability Detection) 事件侦测机制 (Incident Detection) 事件关联分析 及审计 (Event Correlation Communication) 信息安全管理体系 ( Information Security Management System ) - 信息安全战略、标准、及信息安全资产建立 企业经营战略/业务管理需求 (Business Strategy / Requirement) 信息服务管理工具及程序(IT Management Tools And Process ) - 问题管理、变更管理、配置管理 信息服务技术架构 (IT infrastructure) 信息安全方案 (Security Solutions) 信息安全管理组织机构(Security Organization) 事后的管理程序 (Defective Response Process) 预防的管理程序 (Proactive Response Process) 审计程序 (Auditing Process) 安全管理 制度 ? Process 技术与架构 支持 ? Enabler 1-IT安全战略 3-信息资产分级 7-解决方案设计 10-安全标准 11-安全流程、步骤 8-安全产品选择 13-安全运营与监测 15-安全技术评估 14-安全管理评估 12-安全意识 培训 9-安全解决 方案实施 4-安全策略 2-现状评估 Product 流程 作业指南 架构 产品建议 政策 安全标准 原则 5-安全风险分析 6-安全需求 自动化的安全补丁 IBM业务行为准则 不定期安全提示 WSC自动检查 安全组织 网站 资产登记 执行流程 口令 工作场所安全 离职规定 标准软件网站 公司信息安全管理政策及标准 IT变更流程 软件安装、自动补丁工具 资产管理、安全监控工具 工作站安全检查工具 自动资产管理工具（网站） 打印机安装、管理工具（网站 个人防火墙 PC 标准安装包 邮件 信息安全流程 信息安全作业指南 信息安全架构 信息安全产品建议 信息安全政策 信息安全标准 信息安全原则 目 标 ITCS 302 ITCS 204 安全信息通报 ITCS 300 外部法律 ITCS 104 信息服务管理工具及程