企业IT 安全管理实务.ppt

认证合规必要的认证、合规Codeofpracticeforinformationsecuritymanagement(ISO/IEC17799)信息安全管理最佳实践组成的国际标准，非技术性标准，重点在于IT安全管理控制，是信息安全管理必不可少的参考；COBIT，信息化全生命周期管理框架，重点在于IT控制和IT度量评价，强烈建议将其作为IT风险管理、IT审计标准的重要参考；ITIL，IT服务管理的最佳实践，重点在于IT流程管理，强调IT支持和IT价值交付，可以在实施IT运维和IT服务管理时作为参考；《企业内部控制基本规范》《上交所内部控制指引》、《深交所内部控制指引》、《银行业金融机构信息系统风险管理指引》……《巴塞尔协议》、《萨班斯法案》、《信息安全等级保护管理办法》ITIL–IT服务管理最佳实践(ISO/IEC17799)COBIT4.1国内上市公司要求美国上市公司要求国家重点行业要求Compliance合规ISO27001通过认证带来全面价值的提升证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从一定角度讲，ISO27001:2005标准是对适用法律法规的补充和注解，因为ISO27001:2005标准本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在很多国家相关的信息保护法规中都有体现很多国家所推行的相关的行业指导性文件及要求，又可能是参照BS7799而拟定的。因此，通过ISO27001:2005认证，可以使组织更有效地履行国家法律和行业规范的要求遵守适用法律证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任主体本身组织高效运作ISMS的实施，本身也能降低因为潜在安全事件发生而给组织带来的损失，另外，也有可能减少保险金支出财务状况通过认证带来全面价值的提升商业运营符合型04符合企业的自身远期发展需要，事实上，现在很多国际性的投标项目已经开始要求ISO27001:2005符合性了，通过认证已经是众多企业提升核心竞争力的必要手段商业信誉和信心03当合作伙伴、股东和客户看到组织为保护信息而付出的努力时，其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织，在同行业内的竞争优势，提升其市场地位。风险管理02有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护。人员素质以及意识01提升职员的安全意识，增强其责任感关于ISO27001认证流程ISO27001规定了很多与建立、实施、维护和改进ISMS相关的要求，组织是否符合这些要求，要在认证审核过程中予以验证组织在建立并实施ISMS之后应该运行一段时间，确保体系功能正常、用户得到有效培训、文件和记录系统运转正确，一旦ISMS根据设计规范运转达到了令组织满意的状态，就可以联系一家被认可的认证机构，准备相关资料，提出认证申请ISO27001认证审核的过程大致分两个阶段，即文件审核阶段和现场审核阶段认证申请流程：如左图投资等级保护操作实务有哪些系统系统中的信息分类系统的服务分类服务的对象受害客体①邮件系统②财务系统③OA……①系统稳定②存储安全③管理①商业敏感信息②内部敏感信息③公开信息①合作伙伴②员工③VIP④开放①个人隐私②公司商业利益③企业公众形象④侵害程度定级(信息安全/服务安全)①一般②严重③非常严重信息实体标识密级标识绝密信息机密信息秘密信息内部信息公开信息控制标识操作权限保密存储受控存储不可通过邮件发送，复制载体登记，集中管理不可复制必须通过邮件加密发送，不可打印，不可复制授权复制PDF格式,可以通过邮件发送，授权打印，授权复制自由复制处理标识创建者复制人（使用受权人）抄送到（被授权人）介质标识纸介纸介+数字数字系统等级保护划分标准等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级国家安全社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级划分实例信息系统安全保护等级定级定级系统名称侵害程度监管强度一级互联网邮件系统企业和个人合法权益受损自主保护二级内部OA企业合法权益严重损害

公共利益损害指导互联网门户三级企业ERP危及企业运行，公共利益严重损害监