企业信息安全体系.pptxVIP

企业信息安全体系建设 交流讨论材料2014年6月19日目录 第一部分 企业面临的信息安全环境企业信息安全的体系架构第二部分第三部分 企业信息安全体系的建设第四部分 企业信息安全管理的实践 2超级互联的商业世界与极其复杂的IT环境超级互联的商业世界：激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中，且可供访问。这就创造了一个极其复杂的 IT环境 —可能的攻击点几乎是无限的高级持续性的安全威胁：最有经验的对手现在正带来高级持续性威胁，他们通过密切的关注的坚持不懈来获取敏感业务信息的访问权限。这些攻击利用尖端的方法，可持续无限长的时间且具有专门的目标传统IT防御的有效性：如今，愈加多样的威胁侵蚀着传统 IT防御 (比如防火墙和防病毒软件 )的有效性，甚至在许多情况下完全避开了这些控制企业面临的安全挑战：所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力：????攻击面扩大?攻击模式扩散且手法熟练威胁和解决方案异常复杂??* 根据思科2014年安全报告，IBM安全报告3业务模式的变革增加了企业信息安全的压力传统的企业运作模式? 信息安全仅作为后台数据的保障? 基本与业务无关的信息安全需求传统业务模式业务IT支撑客户企业新的企业运作模式IT技术? 因客户和IT直接连线导致IT 和业 务流程的汇合? 安全不是单独的解决方案新业务模式 业务IT支撑新的安全考虑? 安全是一个企业整体需求? 风险评估和企业连续战略都是今 天董事会上讨论的话题? 企业对受过安全培训的人员需求 越来越高企业IT技术客户4企业的信息安全需求与风险管理视角 从业务出发才能了解企业的风险 企业的信息安全需求来自以下方面： 关注安全遵守才能降低企业的风险 残余风险 Residual Risk 接受 Risk风险分析 RiskAnalysis 预防 Prevent法律法规与合同条约的要求组织原则目标和规定风险评估的结果风险评估是信息安全管理的基础???安全策略Security Policy 保护 Protect 应急计划Emergenc y Plan 转移 Mitigate5目录 第一部分 企业面临的信息安全环境企业信息安全的基本框架第二部分第三部分 企业信息安全体系的建设第四部分 企业信息安全新领域挑战 6企业信息安全框架的基本层面? 视角：企业信息安全需要 从全方位的视角去管理， 而不是通过单一系统或程 序来实现安全治理、风险管理与合规 风险管理框架 安全运维战略和治理框架合规和策略遵从安全事件 安全事件 安全事件 安全策略 安全绩效 安全外包 监控 响应 审计 管理 管理 管理 安全运维? 框架：合适的信息安全框 架有利于指导安全体系的 建设 基础安全服务与架构基础架构安全 应用安全 数据安全 身份与访问安全 。网络安全 。开发生命周期 。数据生命周期 。身份验证 。主机安全 安全 管理 。访问管理 。终端安全 。业务流程安全 。数据泄露保护 。身份生命周期 。Web应用安全 。数据加密 管理 。应用开发环境 。数据归档、。 灾难恢复 安全? 层次：从体系框架的角度， 分为三层： ? 安全治理、风险管理 与合规 ? 安全运维 ? 基础安全服务与架构 物理安全 。机房安全。视频监控安全7安全治理、风险管理与合规安全治理、风险管理与合规是企业安全框架的最顶层，是业务驱动安全的出发点通过对企业业务和运营风险的评估，确定其战略和治理框架，风险管理框架，定义合规和策略遵从，确立信息安全文档管理体系信息安全治理不同于信息安全管理，是在宏观层面的战略角度上，对信息安全战略上的过程、结构与联系进行梳理与监控，以确保组织信息系统的安全运营管理能够沿着正确方向演进??? 战略与治理框架?为组织的信息安全定义战略 框架?指明具体安全管理工作的目 标和职责范围?安全意识培养 – 宣传教育 风险管理?对象确立?风险评估?风险处理?审核批准?监控审查?沟通咨询 合规与策略遵从?加强对规范策略了解?确立企业需要合规的具体内 容和实现方式?合规性建设，从管理与技术 面落实规范与策略要求?合规性审计，提供综合性评 述8相关标准规范：ISO27002与ISMS信息安全管理体系ISO27002是一个完整的信息安全控制模型，包含了11个主题，可以为企业带来：? 受业界广泛认同的方法论? 按业界最佳实践方针开展信息安全评估、实施、维护和管理? 为定义策略、标准、流程提供框架指南ISMS信息安全管理体系框架9信息安全运维安全运维是指在安全策略的指导下，安全组织利用安全技术来达成安全保护的过程安全运维与IT运维相辅相成、互为依托、共享信息和资源安全运维与安全组织紧密联系，融合在业务管理和IT管理体系中???安全事件监控 安全事件收 集