企業(yè)信息安全管理體系建設與運行方法探討2011.7.26課件

1、廣州信城通機密，未經(jīng)許可不得擴散企業(yè)信息安全管理體系（ISMS）建設與運行探討廣州信城通數(shù)碼科技有限公司信息安全部2011.7.26廣州信城通機密，未經(jīng)許可不得擴散講師簡介鄧生品 ISMS高級顧問、COBIT治理師/中國科技大學碩士IBM、華為等ISMS體系建設標桿企業(yè)8年從業(yè)經(jīng)歷聯(lián)系 dengshengpin廣州信城通機密，未經(jīng)許可不得擴散提綱為什么需要信息安全管理體系什么是信息安全管理體系怎樣成功實施信息安全體系信息安全一直伴隨人類社會,從未離棄廣州信城通機密，未經(jīng)許可不得擴散計算機時代的信息安全走勢廣州信城通機密，未經(jīng)許可不得擴散ICT技術的發(fā)展報告 1997年

2、，David Moschella對IT技術發(fā)展的歷史和趨勢給出了一個如左圖所示的總結和預測從微軟windows系統(tǒng)漏洞看國際信息安全態(tài)勢廣州信城通機密，未經(jīng)許可不得擴散微軟操作系統(tǒng)歷年漏洞走勢年份漏洞數(shù)20021712003345200431120054172006109020072437200841292009502820105897占了OS世界市場90的微軟操作系統(tǒng)被發(fā)現(xiàn)的脆弱數(shù)(漏洞)快速增長（見右表）;NSA認為，對美國國防部系統(tǒng)的成功攻擊，90%以上是利用了已知的漏洞從我國信息安全案件走勢看國內信息安全態(tài)勢廣州信城通機密，未經(jīng)許可不得擴散年份立案數(shù)刑事案件數(shù)違法案件數(shù)20051350

3、0150813000200615090148014509200718050163215001200820085290819080200924582230222241201030901290830005每年我國公安機關辦理的各類信息安全違法犯罪案件數(shù)，都呈現(xiàn)20%左右的增速。大有GDP、CPI增速無法比擬的態(tài)勢廣州信城通機密，未經(jīng)許可不得擴散提綱為什么需要信息安全管理體系什么是信息安全管理體系怎樣成功實施信息安全體系廣州信城通機密，未經(jīng)許可不得擴散什么是信息安全管理體系（ ISMS ）？2.1 ISMS概念（什么是信息、信息安全等）2.2 ISMS內容（ISMS體系內容、標準介紹） 2.3 IS

4、MS方法（安全測量、過程方法、風險管理）廣州信城通機密，未經(jīng)許可不得擴散什么是管理體系？組織機構：明確職責、權限程序：告訴相關人員怎么做過程：具體的執(zhí)行情況，如何做的？比如執(zhí)行人是否每周2次檢查了某個應用程序的日志？資源：可調配、使用的人員、設備等培訓資源過程程序組織結構管理體系廣州信城通機密，未經(jīng)許可不得擴散ISO/IEC27000體系類標準族解析廣州信城通機密，未經(jīng)許可不得擴散ISMS體系內容包含的11個模塊廣州信城通機密，未經(jīng)許可不得擴散ISO/IEC27002:2005 的主要內容 廣州信城通機密，未經(jīng)許可不得擴散什么是信息安全管理體系（ ISMS ）？2.1 ISMS概念（什么是信息

5、、信息安全等等）2.2 ISMS內容（ISMS體系內容、標準介紹） 2.3 ISMS方法（過程方法、風險管理、安全測量）廣州信城通機密，未經(jīng)許可不得擴散測量方法信息安全測量是計量學在信息安全領域的應用信息安全測量模型測量需求測量客體測量函數(shù)分析模型指標決定準則廣州信城通機密，未經(jīng)許可不得擴散風險方法廣州信城通機密，未經(jīng)許可不得擴散過程方法廣州信城通機密，未經(jīng)許可不得擴散ISMS建設流程廣州信城通機密，未經(jīng)許可不得擴散提綱為什么需要信息安全管理體系什么是信息安全管理體系怎樣成功實施信息安全體系廣州信城通機密，未經(jīng)許可不得擴散怎樣成功實施信息安全管理體系？3.1 確定指導思想與科學方法3.2 遵循

6、關鍵成功要素3.3 獲取啟動“鑰匙”俗話說“打蛇打七寸”，ISMS的“七寸”何在？廣州信城通機密，未經(jīng)許可不得擴散 有人把ISMS（信息安全管理體系）比喻成一棟大廈，有人把它比喻成一臺機器無論比喻成什么，核心的思想就是在于說明：用正確的方法做正確的事情。 這要求考慮： 我們以什么作為指導思想來建設體系 我們遵循什么樣的科學邏輯來實施與運作體系 我們依靠什么力量來保證正確的指導思想、科學的實施邏輯得以有效落地體系的指導思想應是什么？廣州信城通機密，未經(jīng)許可不得擴散 系列標準（對應被引為我國國家標準，比如：，引為我國國標等），經(jīng)過實踐證明是體系建設的最佳指導思想。 或許這樣對比更容易理解，這個標準

7、對的意義，就如指導原子彈成功研制的愛因斯坦質能方程的意義一樣，它將指導組織成功建立其核心資產(chǎn)保護體系。體系的科學運營邏輯是什么？廣州信城通機密，未經(jīng)許可不得擴散美國管理學大師戴明發(fā)現(xiàn)了管理體系的運營規(guī)律，即戴明環(huán)，被所有管理體系標準遵從。廣州信城通機密，未經(jīng)許可不得擴散的解析管理可控的ISMS建立ISMS(P)確定范圍和方針執(zhí)行風險評估選擇控制措施獲得管理層批注準備適用性聲明保持和改進ISMS(A)評估殘余或新風險實施改進措施傳達改進情況檢查改進效果 實施和運行ISMS(D)制定實施計劃實施控制措施確定測量措施培訓和教育運行和維護 監(jiān)視和評審ISMS(C)執(zhí)行監(jiān)控規(guī)程定期審核和評審更新安全計劃

8、記錄監(jiān)控結果廣州信城通機密，未經(jīng)許可不得擴散理清公司的安全流程制度體系 人的血液循環(huán)系統(tǒng)圍繞心臟展開,從主動脈到各細小毛細血管,一脈相承,保證了生命新陳代謝. 參照以上規(guī)律,運作良好的組織,總會建立圍繞其宗旨展開的,從戰(zhàn)略層面到執(zhí)行細節(jié)的制度體系,保證組織健壯的生命力. 比如一個有序文明的國家,總會具有從憲法到各規(guī)章制度的文件體系,指引公民的行為和權利行使良性展開.ISMS文件金字塔內容示例廣州信城通機密，未經(jīng)許可不得擴散怎樣成功實施信息安全管理體系？3.1 確定指導思想與科學方法3.2 遵循關鍵成功要素3.3 獲取啟動“鑰匙”信息安全方針、目標和活動反映業(yè)務目標廣州信城通機密，未經(jīng)許可不得擴

9、散體系建設關鍵成功因素1,保證ISMS方向與企業(yè)戰(zhàn)略方向一致 與組織文化一致的信息安全方法廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素2選擇適合企業(yè)文化的信息安全執(zhí)行文化所有管理層可見的支持和承諾廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素3獲得企業(yè)管理層的認可與授權對信息安全要求、風險評估和風險管理有好的理解廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素4企業(yè)信息安全執(zhí)行團隊較好把握信息安全核心知識技能有效地對員工和其他人推銷信息安全廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素5對關聯(lián)各方持續(xù)安全意識培育向所有員工和其他人分發(fā)信息安全指南廣州信城通機密，未經(jīng)許可

10、不得擴散體系建設關鍵成功因素6編制和分發(fā)通俗易懂的安全操作手冊足夠的財務支持廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素7將安全建設預算納入公司年度財務預算適當培訓和教育廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素8培育員工適度的安全防護知識技能有效的信息安全事故管理過程廣州信城通機密，未經(jīng)許可不得擴散體系建設關鍵成功因素9建立公司信息安全響應“神經(jīng)系統(tǒng)”廣州信城通機密，未經(jīng)許可不得擴散怎樣成功實施信息安全管理體系？3.1 確定指導思想與科學方法3.2 遵循關鍵成功要素3.3 獲取啟動“鑰匙”安全可控的企業(yè)業(yè)務信息資源體系前期咨詢服務 安全咨詢顧問服務，將把“用正確的方法做正確

11、的事”這塊布料，裁剪成適合你公司業(yè)務戰(zhàn)略需求“身段”的衣服建設過程風險評估與培訓服務 安全風險評估與培訓服務，幫助你日常有效運作信息安全管理體系，不致于你穿上的衣服洗了一兩次以后，就縮水廢棄了運作中持續(xù)優(yōu)化 持續(xù)的優(yōu)化改進投入，確保了信息安全管理體系與時俱進保護你企業(yè)業(yè)務的健康良性發(fā)展大廈完工交付后，大廈的有序使用依賴于持續(xù)的管理維護我們已經(jīng)解碼了“用正確的方法做正確的事” ，那么開啟ISMS機器的“鑰匙”在哪里？廣州信城通機密，未經(jīng)許可不得擴散是的，前述都沒有錯，但是，那又怎么樣？廣州信城通機密，未經(jīng)許可不得擴散一件事情帶來的影響如果不是很大，就不會上升一個組織、或者國家用統(tǒng)一規(guī)范來持續(xù)運作與控制的高度，強調一下，這里說的是持續(xù)（除非這件事情因這個組織最高獨裁者個人愛好而做，但這類決策不具備延續(xù)性）。國際標準化組織ISO/IEC JTC1/SC27/WG1http:/www.jtc1sc27.din.de國內標準化組織全國信息安全標準化技術委員會http:/ 如果在這種高度下，企業(yè)都還不重視自身信息安全建設，輕者，企業(yè)面臨的是自己時常給別人做嫁衣、或者企業(yè)社會名聲受損；重者，違背國際、國家法律強制性要求，將受到限制、吊銷運營資格，或者受到嚴肅法律制裁。ISMS體系疏于建設,投資付諸東流廣州信城通機密，未經(jīng)許可不得擴散血的教訓