企业信息安全管理体系建设与运行方法探讨2011.7.26.ppt
《企业信息安全管理体系建设与运行方法探讨2011.7.26.ppt》由会员分享,可在线阅读,更多相关《企业信息安全管理体系建设与运行方法探讨2011.7.26.ppt(49页珍藏版)》请在三一文库上搜索。
1、广州信城通机密,未经许可不得扩散,企业信息安全管理体系(ISMS)建设与运行探讨,广州信城通数码科技有限公司 信息安全部 2011.7.26,广州信城通机密,未经许可不得扩散,讲师简介,邓生品 ISMS高级顾问、COBIT治理师/中国科技大学硕士 IBM、华为等ISMS体系建设标杆企业8年从业经历 联系:15986652300, ,广州信城通机密,未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,信息安全一直伴随人类社会,从未离弃,广州信城通机密,未经许可不得扩散,计算机时代的信息安全走势,广州信城通机密,未经许可不得扩散,ICT技术的发展报
2、告 1997年,David Moschella对IT技术发展的历史和趋势给出了一个如左图所示的总结和预测,从微软windows系统漏洞看国际信息安全态势,广州信城通机密,未经许可不得扩散,占了OS世界市场90的微软操作系统被发现的脆弱数(漏洞)快速增长(见右表); NSA认为,对美国国防部系统的成功攻击,90%以上是利用了已知的漏洞,从我国信息安全案件走势看国内信息安全态势,广州信城通机密,未经许可不得扩散,每年我国公安机关办理的各类信息安全违法犯罪案件数,都呈现20%左右的增速。大有GDP、CPI增速无法比拟的态势,企业的核心信息资产泄密的主要矛盾在哪里?,广州信城通机密,未经许可不得扩散,
3、企业42%的核心资产与人直接相关,46%与人紧密相关; 当与人关联时,就是规范化运作与建设的问题,即就是管理体系建设的问题,不是单纯技术能够解决的问题,综上:魔高一尺,道高一丈,ISMS应需而来,广州信城通机密,未经许可不得扩散,解决信息安全问题的两种方案 产品导向型 需求导向型 ISMS是需求导向型的解决信息安全问题的方案,广州信城通机密,未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,广州信城通机密,未经许可不得扩散,什么是信息安全管理体系( ISMS )?,2.1 ISMS概念(什么是信息、信息安全等) 2.2 ISMS内容(ISMS
4、体系内容、标准介绍) 2.3 ISMS方法(安全测量、过程方法、风险管理),广州信城通机密,未经许可不得扩散,什么是管理体系?,组织机构: 明确职责、权限 程序: 告诉相关人员怎么做 过程: 具体的执行情况,如何做的?比如执行人是否每周2次检查了某个应用程序的日志? 资源: 可调配、使用的人员、设备等 培训,广州信城通机密,未经许可不得扩散,什么叫ISMS信息安全管理体系?,Information 信息 信息是一种重要资产,对组织的业务非常关键。 信息可以以各种形式存在,可以印刷或写在纸上,以电子形式存储、邮寄或使用电子手段传输,以影片播放或对话。 Information Security信息
5、安全 对信息的保密性、完整性和可用性的保护,同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,Information Security Management System信息安全管理体系 是管理体系的一部分,基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全。 简单地说,是为了确保组织信息的“三性”,设立的组织机构、程序、过程和资源。,step1,如果,广州信城通机密,未经许可不得扩散,什么是信息安全管理体系( ISMS )?,2.1 ISMS概念(什么是信息、信息安全等等) 2.2 ISMS内容(ISMS体系内容、标准介绍) 2.3 ISMS方法(过程方法、风险管理、
6、安全测量),广州信城通机密,未经许可不得扩散,ISO/IEC27000标准历史沿革,广州信城通机密,未经许可不得扩散,ISO/IEC27000体系类标准族解析,广州信城通机密,未经许可不得扩散,ISMS体系内容包含的11个模块,广州信城通机密,未经许可不得扩散,ISO/IEC27002:2005 的主要内容,广州信城通机密,未经许可不得扩散,什么是信息安全管理体系( ISMS )?,2.1 ISMS概念(什么是信息、信息安全等等) 2.2 ISMS内容(ISMS体系内容、标准介绍) 2.3 ISMS方法(过程方法、风险管理、安全测量),广州信城通机密,未经许可不得扩散,ISMS建设三个核心方法
7、,过程方法,风险方法,测量方法,广州信城通机密,未经许可不得扩散,测量方法,信息安全测量是计量学在信息安全领域的应用 信息安全测量模型 测量需求 测量客体 测量函数 分析模型 指标 决定准则,广州信城通机密,未经许可不得扩散,风险方法,广州信城通机密,未经许可不得扩散,过程方法,广州信城通机密,未经许可不得扩散,ISMS建设流程,广州信城通机密,未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,广州信城通机密,未经许可不得扩散,怎样成功实施信息安全管理体系?,3.1 确定指导思想与科学方法 3.2 遵循关键成功要素 3.3 获取启动“钥匙”,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业信息 安全 管理体系 建设 运行 方法 探讨 2011.7 26
链接地址:https://www.31doc.com/p-3564937.html