信息安全體系咨詢

信息安全體系咨詢服務(wù)介紹2010年2月信息安全體系2010年2月概述第一部分公司介紹第二部分信息安全的標(biāo)準(zhǔn)和模型第三部分項(xiàng)目實(shí)施過(guò)程第四部分成功案例公司介紹概述第一部分公司介紹公司介紹2公司簡(jiǎn)介上訊信息成立于2001年，注冊(cè)資金2150萬(wàn)元，擁有系統(tǒng)集成三級(jí)資質(zhì)和安全服務(wù)一級(jí)資質(zhì)，公司以廣為推崇的國(guó)際標(biāo)準(zhǔn)、最佳實(shí)踐（ISO20000、ISO27001、ISO15408、COBIT等）為藍(lán)本，為中國(guó)廣大的行業(yè)用戶提供的網(wǎng)絡(luò)安全、信息安全的全面解決方案及咨詢服務(wù)，并向客戶提供全面安全解決方案中所需的各項(xiàng)安全工具及管理決策平臺(tái)，并在安全咨詢服務(wù)中提供全面的教育培訓(xùn)以及卓越的售后服務(wù)。公司簡(jiǎn)介上訊信息成立于2001年，注冊(cè)資金2150萬(wàn)3安全咨詢業(yè)務(wù)體系業(yè)務(wù)體系SecurityConsulting信息安全顧問(wèn)咨詢SecurityCetificate信息安全資質(zhì)認(rèn)證SecurityManagement信息安全服務(wù)管理

SecurityImplementation信息安全產(chǎn)品集成SecurityEducation信息安全培訓(xùn)教育安全咨詢業(yè)務(wù)體系業(yè)務(wù)體系SecurityConsultin4公司人員隊(duì)伍BS7799LAISO27001LAISO20000LACISPCISABS25999IMCCNPCCIEOCP及眾多廠商認(rèn)證持有者國(guó)家CNCERT（中國(guó)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組）網(wǎng)絡(luò)協(xié)作成員；公司多名員工曾參加過(guò)國(guó)家863工程S219網(wǎng)絡(luò)安全項(xiàng)目。X-cert緊急響應(yīng)小組公司人員隊(duì)伍BS7799LAISO27001LA5概述第一部分公司介紹第二部分信息安全的標(biāo)準(zhǔn)和模型第三部分項(xiàng)目實(shí)施過(guò)程第四部分成功案例信息安全概念I(lǐng)SO27000系列發(fā)展背景概述第一部分公司介紹信息安全概念6信息安全概念問(wèn)題的提出？信息安全管理，究竟管什么?信息安全管理如何管？如何改變頭痛醫(yī)頭腳痛醫(yī)腳？是否有成熟的信息安全管理模型可以借鑒?我要怎么樣去規(guī)劃組織信息安全建設(shè)?信息安全概念問(wèn)題的提出？7信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性—ISO27002ConfidentialityIntegrityAvailabilityInformation信息安全概念信息安全的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性C8我們對(duì)信息安全的認(rèn)識(shí)只停留在技術(shù)和產(chǎn)品上，是只見樹木不見森林，只治標(biāo)不治本。其實(shí)，信息安全成敗，三分靠技術(shù)，七分靠管理，技術(shù)一般但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、采取措施解決問(wèn)題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子，而整個(gè)的過(guò)程，必須有一套完整的文件體系來(lái)控制和指引這就是信息安全管理體系，應(yīng)該成為組織整體管理體系的一部分ISO27001系列我們對(duì)信息安全的認(rèn)識(shí)只停留在技術(shù)和產(chǎn)品上，是9ISO27001系列ISO27001系列10信息安全管理體系ISO27002控制集11大安全領(lǐng)域，39項(xiàng)控制目標(biāo)，133項(xiàng)控制措施符合性（Compliance）業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）信息安全事件管理（Informationsecurityincidentmanagement）訪問(wèn)控制（Accesscontrol）人力資源安全（Humanresources

security）物理和環(huán)境安全（Physicaland

environmental

security）通信和操作安全（Communications

andoperationsManagement）信息系統(tǒng)獲取開發(fā)和維護(hù)（Informationsystem

acquisition,development

andmaintenance）資產(chǎn)管理（Assetmanagement）信息安全組織（Organizinginformationsecurity）安全策略（SecurityPolicy）信息安全管理體系ISO27002符合性（Compliance11ISO27001系列ISO27002（ISO17799）ISO27001CodeofPractice作業(yè)規(guī)范Requirement認(rèn)證要求包含經(jīng)過(guò)實(shí)證的信息安全程序和信息安全措施的綜合列表包含對(duì)ISMS的要求，構(gòu)成PDCA循環(huán)（條款4-8中敘述）涵蓋11個(gè)領(lǐng)域包含11個(gè)安全領(lǐng)域，39個(gè)控制目標(biāo)，構(gòu)成133個(gè)控制措施（附錄A中敘述）可作為了解ISO/IEC27001中要求的基礎(chǔ)著重于預(yù)防性而非糾正性措施不適合作為認(rèn)證的判定標(biāo)準(zhǔn)適用于ISMS體系認(rèn)證的判定標(biāo)準(zhǔn)ISO27001系列ISO27002（ISO17799）IS12ISO27002-基于風(fēng)險(xiǎn)分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。制定信息安全策略方針風(fēng)險(xiǎn)評(píng)估和管理控制目標(biāo)和方式選擇風(fēng)險(xiǎn)控制和處理安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持?？刂颇繕?biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上?？紤]控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。需要全員參與。遵循管理的PDCA模型。ISO27001系列ISO27002-基于風(fēng)險(xiǎn)分析的安全管理方法ISO2700113ISO27005以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足ISO27001系列ISO27005以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)威14ISO27001系列信息安全管理模型ISO27001系列信息安全管理模型15ISO27001系列管理體系核心持續(xù)改進(jìn)建立ISMS實(shí)施與運(yùn)作ISMS監(jiān)視與評(píng)審ISMS保持與改進(jìn)ISMSISO27001系列管理體系核心16ISO27001系列根據(jù)ISO/IEC27001實(shí)施ISMS并進(jìn)行認(rèn)證，充分證明您的組織風(fēng)險(xiǎn)已得到正確的識(shí)別、評(píng)估和管理，同時(shí)使信息安全流程、程序和文檔得到正式化證明您在信息維護(hù)、信息安全管理方面所作的承諾定期評(píng)估過(guò)程有助于您持續(xù)監(jiān)控您的績(jī)效與改進(jìn)證明您可以獨(dú)立保證內(nèi)部控制，同時(shí)符合公司治理和業(yè)務(wù)連續(xù)性要求充分證明您遵守適用的法律法規(guī)通過(guò)符合合同要求，并向客戶證明它們的信息安全是您的頭等大事，從而帶來(lái)競(jìng)爭(zhēng)優(yōu)勢(shì)建制ISMS的收益ISO27001系列根據(jù)ISO/IEC27001實(shí)施17發(fā)展背景國(guó)家\地區(qū)證書數(shù)目UK405日本3378大陸250臺(tái)灣344印度483美國(guó)95全球6037截止09年12月ISO27001證書數(shù)目統(tǒng)計(jì)：發(fā)展背景國(guó)家\地區(qū)證書數(shù)目UK405日本3378大陸250臺(tái)18發(fā)展背景ISO27001INCHINA:大陸 250（2009.12）銀行業(yè)：交通銀行大連銀行信息科技部上海銀行信息科技部建設(shè)銀行山東省分行光大銀行信息卡中心…..更多行業(yè)企業(yè)已進(jìn)行體系建設(shè)工作。發(fā)展背景ISO27001INCHINA:大陸 250（19概述第一部分公司介紹第二部分信息安全的標(biāo)準(zhǔn)和模型第三部分項(xiàng)目實(shí)施過(guò)程第四部分成功案例整體概述建制實(shí)施工作概述第一部分公司介紹整體概述20整體概述信息安全三分技術(shù)七分管理，有效的信息安全管理體系是全面提升企業(yè)信息安全管理水平的治本之道。上訊信息在信息安全管理體系PDCA循環(huán)整個(gè)生命周期為客戶提供全方位的咨詢服務(wù)，確?？蛻艚ㄖ梅蠘I(yè)務(wù)需求的信息安全管理體系并順利合規(guī)，獲得ISO27001證書?！舨罹喾治觥麸L(fēng)險(xiǎn)評(píng)估◆技術(shù)風(fēng)險(xiǎn)處置◆文檔化體系建制◆落地實(shí)施指導(dǎo)◆內(nèi)審支持◆認(rèn)證審核支持◆持續(xù)改進(jìn)體系優(yōu)化整體概述信息安全三分技術(shù)七分管理，有效的信息安全管理體系是全21整體概述多級(jí)培訓(xùn)團(tuán)隊(duì)建設(shè)整體概述多級(jí)22建制實(shí)施工作風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析參考（ISO/IEC27001:20054.2.1a~j）建制實(shí)施工作風(fēng)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析參考（ISO/IEC2700123建制實(shí)施工作識(shí)別風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)提升安全建制實(shí)施工作識(shí)別風(fēng)險(xiǎn)24建制實(shí)施工作識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估威脅識(shí)別并評(píng)估弱點(diǎn)現(xiàn)有控制確認(rèn)評(píng)估風(fēng)險(xiǎn)（測(cè)量與等級(jí)劃分）接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實(shí)施選定的控制YesNo確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn)定期評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)管理建制實(shí)施工作識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估威脅識(shí)別并評(píng)估弱點(diǎn)現(xiàn)有控25建制實(shí)施工作參照國(guó)際風(fēng)險(xiǎn)評(píng)估安全要素提取慣例和標(biāo)準(zhǔn)，調(diào)查分析用戶的已有策略，從管理、制度、落實(shí)情況、物理安全、人員安全、第三方安全等等各方面來(lái)評(píng)估分析。調(diào)查業(yè)務(wù)流程，并對(duì)信息資產(chǎn)進(jìn)行賦值和等級(jí)劃分；結(jié)合工具掃描、人工評(píng)估對(duì)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)以及管理制度進(jìn)行安全性評(píng)估，最終完成信息安全風(fēng)險(xiǎn)報(bào)告。具體內(nèi)容包括：◆策略制度調(diào)查分析◆安全需求分析◆資產(chǎn)調(diào)查分析◆業(yè)務(wù)流程分析◆網(wǎng)絡(luò)架構(gòu)分析◆工具掃描分析◆人工評(píng)估分析◆數(shù)據(jù)庫(kù)安全審計(jì)◆滲透測(cè)試分析◆安全等級(jí)劃分建制實(shí)施工作參照國(guó)際風(fēng)險(xiǎn)評(píng)估安全要素提取慣例和標(biāo)準(zhǔn)，調(diào)查分析26風(fēng)險(xiǎn)評(píng)估量化方法脆弱級(jí)別嚴(yán)重風(fēng)險(xiǎn)系數(shù)3普通風(fēng)險(xiǎn)系數(shù)2一般風(fēng)險(xiǎn)系數(shù)1被利用的可能性完全可能風(fēng)險(xiǎn)系數(shù)3幾乎不可能風(fēng)險(xiǎn)系數(shù)2不可能風(fēng)險(xiǎn)系數(shù)1信息資產(chǎn)的價(jià)值非常重要風(fēng)險(xiǎn)系數(shù)3一般重要風(fēng)險(xiǎn)系數(shù)2不重要風(fēng)險(xiǎn)系數(shù)1如上所示通過(guò)簡(jiǎn)單的定義，我們就能精確的量化風(fēng)險(xiǎn)值。Risk=AssetxThreatxVulnerability風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值X威脅的可能性X資產(chǎn)脆弱級(jí)別建制實(shí)施工作風(fēng)險(xiǎn)評(píng)估量化方法脆弱級(jí)別嚴(yán)重普通一般被利用的可能性完全可能風(fēng)27建制實(shí)施工作風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞建制實(shí)施工作風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)28風(fēng)險(xiǎn)控制措施?-----分層式風(fēng)險(xiǎn)消除管理層操作層物理層應(yīng)用層系統(tǒng)層數(shù)據(jù)層網(wǎng)絡(luò)層防靜電、防雷擊、災(zāi)難備份、冗余身份認(rèn)證、權(quán)限控制等管理規(guī)范、技術(shù)標(biāo)準(zhǔn)、安全策略等應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)主機(jī)操作系統(tǒng)（Win\Linux\Unix）數(shù)據(jù)備份、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)加密等網(wǎng)絡(luò)傳輸協(xié)議、網(wǎng)絡(luò)設(shè)備、VPN等建制實(shí)施工作風(fēng)險(xiǎn)控制措施?-----分層式風(fēng)險(xiǎn)消除管理層操作層物理層29概述第一部分公司介紹第二部分信息安全的標(biāo)準(zhǔn)和模型第三部分項(xiàng)目實(shí)施過(guò)程第四部分成功案例成功案例概述第一部分公司介紹成功案例30成功案例成功案例31成功案例深圳供電局ISO27001認(rèn)證咨詢項(xiàng)目覆蓋深圳供電局信息部門包括負(fù)責(zé)其大部分開發(fā)、運(yùn)維服務(wù)的康拓普公司相關(guān)人員、流程建置符合ISO27001標(biāo)準(zhǔn)的信息安全管理體系，并與ISO20000IT服務(wù)管理體系進(jìn)行整合，規(guī)范化日常管理流程，完善技術(shù)控制實(shí)施方案，搭建內(nèi)控內(nèi)審機(jī)制并與績(jī)效考評(píng)相整合。最終順利通過(guò)BSI認(rèn)證取得ISO27001\ISO20000證書。成功案例深圳供電局ISO27001認(rèn)證咨詢項(xiàng)目32成功案例云南電網(wǎng)信息安全管理咨詢項(xiàng)目項(xiàng)目涉及云南電網(wǎng)信息通信網(wǎng)絡(luò)全部從安全體系的高度出發(fā)，從政策、制度、管理、技術(shù)的不同層次和網(wǎng)絡(luò)、服務(wù)器、PC、應(yīng)用系統(tǒng)、備份系統(tǒng)、郵件系統(tǒng)等方面來(lái)對(duì)其信息安全進(jìn)行全面評(píng)估和規(guī)劃項(xiàng)目建立起符合等級(jí)保護(hù)要求的主機(jī)、終端、應(yīng)用與網(wǎng)絡(luò)的安全技術(shù)基線項(xiàng)目建立起云南電網(wǎng)信息安全管理體系，并編寫其相應(yīng)管理制度與規(guī)范項(xiàng)目針對(duì)云南電網(wǎng)的未來(lái)信息安全工作提供五年的信息安全規(guī)劃成功案例云南電網(wǎng)信息安全管理咨詢項(xiàng)目33成功案例國(guó)家開發(fā)銀行信息安全合規(guī)審計(jì)、體