如何实现企业信息安全管理与业务流程的融合和实施.ppt

如何实现企业信息安全管理与 业务流程的融合和实施,2019年3月23日,研讨大纲,信息安全基础知识,基础知识,信息安全定义,保密性 Confidentiality： 信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。 完整性 Integrity 保护资产的准确和完整的特性。 可用性 Availability： 需要时，授权实体可以访问和使用的特性。,基础知识,信息安全管理体系（ISMS）定义,信息安全管理体系（Information Security Management System）是企业整个管理体系的一部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。,基础知识,资产定义,任何对组织有价值的事物 （ISO/IEC13335-1:2004) 数据资产 软件资产 硬件资产 人员 服务 其它,基础知识,威胁定义,可能导致对系统或组织的损害的不期望事件发生的潜在原因。（ISO/IEC TR 13335-1:2004） 威胁可以是故意的或意外的，人为的或天灾的，如： 故意的：偷听、恶意软件； 意外的：误操作 天灾的：地震、水灾、火灾,基础知识,脆弱性定义,可能会被一个或多个威胁所利用的资产或一组资产的弱点。（ISO/IEC TR 13335-1:2004） 脆弱性本身不会导致损害，它只是一种条件或一组条件可能容许威胁影响资产； 脆弱性如果不予管理，就会使得威胁变成现实 例子：缺乏安全意识、电压不稳定、门没锁、不良的接线、位于易受洪水影响的区域、不受控的拷贝、员工短缺等,基础知识,其他定义,风险评估：风险分析和风险评价的全过程。 风险处理：选择和实施措施以改变风险的过程。 风险管理：指导和控制一个组织的风险的协调的活动。 注：典型风险管理包括风险评估和风险处理。,基础知识,信息的生命周期,建立,贮存,处理,销毁,传送,丢失,损毁,使用,？,！,！,恶意或不当行为,信息的生命周期伴随在业务流程中！,基础知识,ISO 27001标准介绍,BS7799-1 操作规则,BS7799-2 认证规范,1995年版,1999年版,1998年版,1999年版,ISO/IEC17799：2000,2002年版,ISO/IEC17799：2005,ISO/IEC27001：2005,ISO/IEC27002：2005,基础知识,ISO 27001标准介绍,2700027009：ISMS基本标准， 2701027019：ISMS标准族的解释性指南与文档,认证机构 认可要求,目前信息安全管理与企业业务流程的实施现状,实施现状,现状1,对“信息安全管理”理解片面，不能正确理解信息安全管理目标，完全与业务流程脱节,信息安全就是计算机没有病毒 信息安全就是系统没有漏洞 信息安全就是信息保密 没有连接互联网就是安全的 有信息技术支持就是安全的等,实施现状,现状2,“信息安全管理”没有完全覆盖企业的业务流程,业务过程识别不全面，导致信息安全管理漏洞，如销售过程没有识别、没有考虑远程工作过程 只关注了重要业务流程，如生产过程、设计过程,实施现状,现状3,信息安全控制措施不能在业务过程中有效实施,安全意识较差，安全规定不执行 关注“应用性”，忽略了“安全性” 缺少安全监督检查机制，控制措施不能有效落实 缺乏持续改进机制等,企业的信息安全风险分布区域，忽略信息安全的危害,风险分布及危害,案例,19家企业信息安全问题总结： 信息化基础设施建设水平差，缺乏基本的安全保障 仅有21%的企业信息化组织结构和基础设施的建设较好；有79%的企业信息化组织结构和职责不明确，信息化制度缺失或制度不完善；机房简陋，在防尘、防火、防水、温湿度、电力等方面不符合要求，个别企业没有建立机房；网络系统为二层结构，没有部署防火墙等安全设备；,风险分布及危害,风险分布及危害,风险分布及危害,案例,有89%的企业在信息安全管理和技术上存在较严重的安全隐患 网络架构不合理，没有划分安全区域，没有部署防火墙等安全设备 员工信息安全意识薄弱，没有及时有效查杀病毒，病毒和木马感染事件频发 重要计算机存在弱口令甚至没有设置登录口令 重要应用系统和服务器存在较严重的安全漏洞，易遭到攻击或信息泄露 重要技术机密文件没有被有效保护，个别企业已经发生过技术机密信息泄露事件，造成了损失,风险分布及危害,风险分布,分布在信息生命周期的各个环节，即业务过程中： 组织安全 人员安全 基础环境安全 设施的安全（通信线路、网络设备、主机设备、存储等） 应用安全（系统软件、应用软件） 访问控制 备份及业务连续性,风险分布及危害,危害,企业有哪些重要信息 知识产权； 技术秘密； 重要的合同； 客户资料； 软件产品的源代码； 财务数据； 内部文件等,危害 侵权； 重要信息泄密； 经济损失； 业务中断； 企业倒闭,基于ISO27001的信息安全风险的认识与评估流程：资产、风险因素、风险评价、风险控制和处理,风险认识及评估,基于ISO 27001信息安全风险的认识,“组织应根据整体业务活动和风险，建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系” “考虑业务和法律法规的要求，及合同中的安全义务” “选择适当和相宜的安全控制措施” 制定风险评估准则和接受准则。,风险认识及评估,风险评估流程,风险认识及评估,风险分析原理,如何在业务流程的控制节点融入信息安全的风险控制措施，确保风险可控,融入控制措施,基于业务流程的风险评估 控制措施考虑不同业务节点,识别业务过程,识别业务过程对应的资产,识别 威胁,识 别 脆 弱 性,不同级别的风险,制 定 控 制 措 施,业务流程与信息安全管理整合实施的 难点、方法与步骤,实施方法与步骤,导入以ISO27001为基础的信息安全管理体系,实施方法与步骤,ISO27001 11个控制域（最佳实践）,实施方法与步骤,实施难点,领导层不关注 员工安全意识薄弱，不支持 资源的投入（人力、资金） 专业技术性要求高 解决办法 信息安全培训，提高安全有意识和企业自身能力 聘请专业的第三方公司协助,业务流程与信息安全管理整合的价值 （信息安全管理体系实施的价值）,实施的价值,维持和增强公司竞争优势，促进业务发展。 维护公司的声誉和品牌，增强相关方的信任； 满足客户和法律法规的信息安全要求； 强化员工的信息安全意识，规范组织信息安全行为； 保障公司业务的正常运行 增强信息系统的安全性，减少安全事件带来的影响和经济损失； 提高信息安全管理水平，保障信息系统安全运行； 找出与相关国际/国内/行业标准的差异，增强合规性； 发现系统中潜在风险与安全隐患，有效控制风险；,实施的价值,来源：澳大利亚Edith Cowan University 主办的第九届澳大利亚信息安全管理学术会议 Australia, 5th -7th December, 2011,ISO27001实施效果调查,信息安全标准化管理及透明度,增强组织对信息安全的信心,有效的风险管理,成熟、全面的信息安全管理,增强客户信心,其他服务能力提升,实施的价值,来源：国际计算机科学与网络安全期刊，2010年3月,ISO27001体系作用研究,中国赛宝资质及业务,ISO/IEC 27001 信息安全管理体系认证； ISO/IEC 20000 IT服务管理体系认证； ISO 9001 质量管理体系认证； TL 9000电信行业质量管理体系认证； ISO/TS 16949 汽车行业管理体系认证； ISO 14001环境管理体系认证； OHSAS 18001职业健康与安全管理体系认证； 工业和信息化部计算机信息系统集成资质认证； 工业和信息化部信息系统工程监理资质认证； 美国SEI软件能力成熟模型(CMMI)评估； 中国软件过程及能力成熟度评估(SPCA)；,基础知识,中国赛宝资质及业务,中国合格评定国家认可委员会（CNAS）的认可实验室； 公安部信息安全等级保护测评机构； 工业和信息化部授权的软件产品检测机构； 总装军用实验室认可委员会的认可实验室；,互动交流,