如何实现企业信息安全管理与业务流程的融合和实施-新版演示课件-精选.pptVIP

风险分布及危害 风险分布 分布在信息生命周期的各个环节，即业务过程中： 组织安全 人员安全 基础环境安全 设施的安全（通信线路、网络设备、主机设备、存储等） 应用安全（系统软件、应用软件） 访问控制 备份及业务连续性 * 风险分布及危害 危害 企业有哪些重要信息 知识产权； 技术秘密； 重要的合同； 客户资料； 软件产品的源代码； 财务数据； 内部文件等 危害 侵权； 重要信息泄密； 经济损失； 业务中断； 企业倒闭 * 基于ISO27001的信息安全风险的认识与评估流程：资产、风险因素、风险评价、风险控制和处理 * 风险认识及评估 基于ISO 27001信息安全风险的认识 “组织应根据整体业务活动和风险，建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系” “考虑业务和法律法规的要求，及合同中的安全义务” “选择适当和相宜的安全控制措施” 制定风险评估准则和接受准则。 * 风险认识及评估 风险评估流程 * 风险认识及评估 风险分析原理 * 如何在业务流程的控制节点融入信息安全的风险控制措施，确保风险可控 * 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 天天好心情 如何实现企业信息安全管理与业务流程的融合和实施 * * 目前信息安全管理与企业业务流程的实施现状 1 研讨大纲 企业的信息安全风险分布区域，忽略信息安全的危害 基于ISO27001的信息安全风险的认识与评估流程：资产、风险因素、风险评价、风险控制和处理 如何在业务流程的控制节点融入信息安全的风险控制措施，确保风险可控 业务流程与信息安全管理整合实施的难点、方法与步骤 业务流程与信息安全管理整合的价值 2 3 4 5 6 * 信息安全基础知识 * 基础知识 信息安全定义 保密性 Confidentiality：　 信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。 完整性 Integrity 保护资产的准确和完整的特性。 可用性 Availability： 需要时，授权实体可以访问和使用的特性。 * 基础知识 信息安全管理体系（ISMS）定义 信息安全管理体系（Information Security Management System）是企业整个管理体系的一部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 * 基础知识 资产定义 任何对组织有价值的事物 （ISO/IEC13335-1:2004) 数据资产 软件资产 硬件资产 人员 服务 其它 * 基础知识 威胁定义 可能导致对系统或组织的损害的不期望事件发生的潜在原因。（ISO/IEC TR 13335-1:2004） 威胁可以是故意的或意外的，人为的或天灾的，如： 故意的：偷听、恶意软件； 意外的：误操作 天灾的：地震、水灾、火灾 * 基础知识 脆弱性定义 可能会被一个或多个威胁所利用的资产或一组资产的弱点。（ISO/IEC TR 13335-1:2004） 脆弱性本身不会导致损害，它只是一种条件或一组条件可能容许威胁影响资产； 脆弱性如果不予管理，就会使得威胁变成现实 例子：缺乏安全意识、电压不稳定、门没锁、不良的接线、位于易受洪水影响的区域、不受控的拷贝、员工短缺等 * 基础知识 其他定义 风险评估：风险分析和风险评价的全过程。 风险处理：选择和实施措施以改变风险的过程。 风险管理：指导和控制一个组织的风险的协调的活动。 注：典型风险管理包括风险评估和风险处理。 * 基础知识 信息的生命周期 建立 贮存 处理 销毁 传送 丢失 损毁 使用 ？ ！ ！ 恶意或不当行为 信息的生命周期伴随在业务流程中！ * 基础知识 ISO 27001标准介绍 BS7799-1 操作规则 BS7799-2 认证规范 1995年版 1999年版 1998年版 1999年版 ISO/IEC17799：2000 2002年版 ISO/IEC17799：2005 ISO/IEC27001：2005 ISO/IEC27002：2005 * 基础知识 ISO 27001标准介绍 27000～27009：ISMS基本标准， 27010～27019：ISMS标准族的解释性指南与文档 认证机构 认可要求 * 目前信息安全管理与企业业务流程的实施现状 * 实施现状 现状1 对“信息安全管理”理解片面，不能正确理解信息安全管理目标，完全与业务流程脱节 信息安全就是计算机没