科士达信息安全体系建设交流胶片.ppt

科士达科技平安体系建设

高层交流

刘永波

——深圳昂楷科技总经理

2025/2/25

目录Page2越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1

Page3咨询评估推广执行帮助客户进行管理策略、运行体系和战略愿景层面的咨询和规划，辅助客户建立信息平安整体架构提供端到端解决方案与客户共同成长，成为战略合作伙伴

创始人足迹——创造专利Page4

Page5创始人足迹——带队研发的UA5000成为BT独家供货产品，世界同类产品排名第一

Page6创始人足迹——荣获华为珍贵的金牌团队奖

Page7

Page8国际顶级的应用平安非营利的开源组织昂楷科技OWASP组织的支持者

目录Page9越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1

XX移动—与增值效劳商、合作的广告公司“勾结〞，为他们更新最新用户名单，提供漫游至当地的号码，用于发送垃圾短信，包括一些非法垃圾短信；CCTV暴光。据专业机构调查，数据泄密每年损失百亿，并呈逐年上升的态势！严峻的平安形势Page10

发生在深圳的典型案例华为VS港湾事件华为VS沪科事件深圳***LED龙头企业。。。Page11我们获得的经验：知识产权保护迫在眉睫！企业信息平安保护错综复杂！很多企业都是在吃亏后才考虑！尽可能早的考虑全面保护措施－－本钱收益最大化！

Page12正在转向经济获益，且愈演愈烈；平安威胁正变得越来越难以检测和消除平安威胁的严重程度1990199520002005经济平安威胁:经济盗窃和破坏中期平安威胁:病毒和恶意软件早期平安威胁:根本的入侵和网络病目录Page13越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1

Page14企业内控的开展历史巴塞尔协OSO内控框架安然、安达信丑闻曝光2001.82001.12世通丑闻曝光1996COBIT控制框架2002.7萨班斯法案颁布2004.6新巴塞尔协议2004.9COSOERM框架2004.12中航油事件曝光2006.6金融工具与交易法公布2006.6上交所内控指引2006.6中央企业全面风险管理指引2006.9深交所内控指引2007.7商业银行内控指引2008.6企业内部控制基本规范2006.7企业内部控制标准委员会成立

Page15内部控制目标企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果，促进企业实现开展战略

Page16如何发现IT控制点IT服务操作系统/数据库/通讯/网络财务流程制造流程供应链流程其他流程公司管理IT一般控制嵌入IT流程中的控制为企业提供了一个可靠的运营环境并为应用控制的有效运作提供支持：访问控制设备运营程序开发程序变更应用控制嵌入业务流程的应用控制直接支持财务控制目标。这类控制存在于大多数财务应用中，比方SAP、Oracle和其他财务软件中。

Page17ME1监督和评价IT绩效ME2监督和评价内部控制ME3确保法规遵从ME4提供IT治理DS1定义和管理效劳水平DS2管理第三方效劳DS3管理性能与容量DS4确保效劳的连续性DS5确保系统平安DS6确定并分配费用DS7教育并培训使用者DS8效劳台与事件管理DS9配置管理DS10问题管理DS11数据管理DS12运营环境管理DS13运营管理CoBIT控制模型应用软件信息根底架构人员IT资源交付与支持监控和评价获取与实施规划和组织信息治理目标企业目标CoBIT效果效率保密性完整性可用性合规性可靠性

ISO27001——是IT内控中信息平安控制的国际标准信息安全管理标准信息平安管理实施细那么ISO17799:2005信息平安管理体系标准ISO27001:2005各类平安控制手段实施指南包括管理制度要求建立管理体系的参考不用于认证管理体系框架明确控制要求(没有详细的指南)强制性要求用于体系认证Page18

ISO27001在世界和国内越来越“流行〞Page19截止到2021年9月末，国内企业获得CMM/CMMI〔软件能力成熟度模型〕评估证书为1300张，世界排名第二；截止到2021年底，国内通过信息效劳管理标准体系ISO20000认证的企业31家，约占全球10.1%，居全球第五；截止到2021年，国内通过ISO27001认证的企业数量是180家左右，约占全球总量的3.46%。

Page20实施ISO27001的价值通过提高运营的效率和效果，为企业赢得竞争优势国际化的高标准，树立良好的企业形象提