信息安全技術(shù)與管理的有效融合

信息平安技術(shù)與管理的有效交融Trendsetting北京趨勢(shì)引領(lǐng)信息咨詢2021.10如何面對(duì)信息平安問(wèn)題1全面構(gòu)建信息平安體系2技術(shù)與管理的平衡和有效交融3

4信息平安管理實(shí)際議程案例及數(shù)據(jù)分享管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題案例分享數(shù)據(jù)統(tǒng)計(jì)據(jù)Gartner調(diào)查顯示，超越85%的平安要挾來(lái)自組織內(nèi)部，而其中經(jīng)過(guò)即時(shí)通訊、電子郵件泄露的電子數(shù)據(jù)信息損失占到30%-40%。在Fortune排名前100家的公司中，每次電子數(shù)據(jù)走漏的平均損失是50萬(wàn)美圓。其中一部分來(lái)自于企業(yè)內(nèi)部人員與外部人員相勾結(jié)，另一部分那么是別有用心的組織經(jīng)過(guò)技術(shù)手段進(jìn)展信息竊取。2021年，IDC和EMC的平安子公司RSA聯(lián)手對(duì)大約400位企業(yè)主管級(jí)官員進(jìn)展了調(diào)查。調(diào)查結(jié)果顯示，這400人在過(guò)去的12個(gè)月中碰到了大約5.8萬(wàn)起內(nèi)部信息平安事件，也就是說(shuō)平均每個(gè)企業(yè)每年將發(fā)生近150起內(nèi)部信息平安事故。如何處理問(wèn)題？部署網(wǎng)絡(luò)/主機(jī)入侵檢測(cè)系統(tǒng)？部署終端平安系統(tǒng)？部署SOC？部署加密系統(tǒng)？實(shí)施ISMS？執(zhí)行信息系統(tǒng)審計(jì)？簽署嚴(yán)密協(xié)議？ 技術(shù)手段管理措施管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題如何面對(duì)信息平安問(wèn)題？事件、缺點(diǎn)發(fā)生以后再采取相應(yīng)的技術(shù)或管理補(bǔ)救措施不注重系統(tǒng)的架構(gòu)和規(guī)劃被動(dòng)型企業(yè)〔事件導(dǎo)向〕強(qiáng)調(diào)信息平安管理的重要性具有完好的平安管理組織，明確的職責(zé)劃分完善的平安戰(zhàn)略、規(guī)范和流程部署了根本平安系統(tǒng)和工具管理型企業(yè)〔管理導(dǎo)向〕強(qiáng)調(diào)信息平安管理和技術(shù)的平衡集成且一致的平安管理體系和技術(shù)架構(gòu)強(qiáng)壯有力的信息平安組織保證以風(fēng)險(xiǎn)為導(dǎo)向的控制和管理預(yù)防為主、防治結(jié)合、內(nèi)外兼修成熟型企業(yè)〔風(fēng)險(xiǎn)導(dǎo)向〕強(qiáng)調(diào)并依賴信息平安技術(shù)擁有眾多技術(shù)專家，并對(duì)平安組織進(jìn)展了詳細(xì)的技術(shù)領(lǐng)域劃分制定了根本的平安戰(zhàn)略、規(guī)范和流程部署各種先進(jìn)的平安系統(tǒng)和工具技術(shù)型企業(yè)〔技術(shù)導(dǎo)向〕平安技術(shù)平安管理管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題全面構(gòu)建信息平安體系技術(shù)架構(gòu)定義信息平安技術(shù)架構(gòu)設(shè)計(jì)原那么分析信息平安技術(shù)功能需求定義信息平安技術(shù)功能組件劃分平安區(qū)域設(shè)計(jì)信息平安技術(shù)架構(gòu)信息平安技術(shù)系統(tǒng)部署管理體系制定明確的信息平安戰(zhàn)略和方針識(shí)別信息資產(chǎn)和關(guān)鍵業(yè)務(wù)運(yùn)用執(zhí)行風(fēng)險(xiǎn)評(píng)價(jià)和進(jìn)展風(fēng)險(xiǎn)管理制定信息平安戰(zhàn)略、制度、流程及規(guī)范信息平安認(rèn)識(shí)培訓(xùn)和戰(zhàn)略宣貫執(zhí)行監(jiān)視和繼續(xù)改良管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題信息平安體系規(guī)劃原那么信息平安體系規(guī)劃原那么：——關(guān)注組織目的和合規(guī)風(fēng)險(xiǎn)——采用分階段的建立方式，從重點(diǎn)問(wèn)題著手——自創(chuàng)國(guó)際先進(jìn)閱歷、根據(jù)國(guó)際規(guī)范及業(yè)界最正確實(shí)際——在確保平安性的前提下需注重實(shí)踐可操作性和效率——以風(fēng)險(xiǎn)管理為根底，預(yù)防為主，防治結(jié)合——結(jié)合企業(yè)的戰(zhàn)略和企業(yè)文化關(guān)鍵要素：一個(gè)有效的信息平安體系應(yīng)該是管理和技術(shù)的平衡和有效交融。管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題技術(shù)與管理的平衡如何決策？技術(shù)管理決議要素?ISMS、風(fēng)險(xiǎn)管理、IS審計(jì)。。。IPS、UTM、SSO、SOC。。。人員的認(rèn)識(shí)、組織的執(zhí)行力、本錢(qián)效益分析管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題技術(shù)與管理如何有效交融？管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題組織目的管理先行，帶動(dòng)技術(shù)需求以規(guī)范的管理為技術(shù)的實(shí)施提供保證管理關(guān)注全局，技術(shù)聚焦重點(diǎn)溝通管理的過(guò)程的控制須充分思索技術(shù)手段管理作為技術(shù)的有益補(bǔ)充，技術(shù)成為管理的可靠保證管理明晰，技術(shù)透明了解基于ISO27001的信息平安管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實(shí)施(D)謀劃(P)改良(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)延續(xù)性管理A13信息平安事件管理A7資產(chǎn)管理A6組織信息平安A5平安方針A11訪問(wèn)控制A8人力資源平安A9物理/環(huán)境平安A10通訊運(yùn)營(yíng)管理A12信息系統(tǒng)獲取、開(kāi)發(fā)及維護(hù)人員技術(shù)信息流程環(huán)境注：11控制域，39控制目的，133控制措施管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題信息平安管理實(shí)際管理實(shí)際有效交融體系構(gòu)建面對(duì)問(wèn)題業(yè)務(wù)目的合規(guī)要求企業(yè)治理IT治理ISO27001最正確實(shí)際規(guī)范驅(qū)動(dòng)COBIT/ISO38500COSO/企業(yè)內(nèi)部控制根本規(guī)范ISO9001ISO20000ISAudit/ISACABS2599