BSI中国区业务拓展经理BSI中国区信息安全管产品经理BSI

1、bsibsi中国区业务拓展经理中国区业务拓展经理bsibsi中国区信息安全管理产品经理中国区信息安全管理产品经理bsibsi中国区中国区itit服务管理产品经理服务管理产品经理bsibsi中国区中国区itilitil产品经理产品经理从管控风险到治理it服务的标准之道任晖任晖bsi 英国标准协会英国标准协会bsi集团全球总部位于英国伦敦，由四大分支机构组成：集团全球总部位于英国伦敦，由四大分支机构组成：标准研发机构标准研发机构管理体系认证机构管理体系认证机构www.bsi- bsi全球网站全球网站19002009百年权威百年权威 标准之源标准之源1979bs 5750（后转化为（后转化为iso9

2、000）正式颁行）正式颁行1929获英国皇家特许认可获英国皇家特许认可1901成立工程标准委员会成立工程标准委员会1926颁布第一个英国标准颁布第一个英国标准,建立第一个英国标准建立第一个英国标准标志标志-风筝标志风筝标志1946国际标准化组织国际标准化组织（iso）创始会员）创始会员1992bs 7750（后转化为（后转化为iso 14000）正式颁行）正式颁行1996bs 8800（后转化为（后转化为0hsas 18000）正式）正式颁行颁行2000bs15000（后转化为（后转化为iso 20000)正式颁行正式颁行2002收购收购kpmg(毕马威毕马威 )北美管理北美管理体系认证业务，

3、成为北美最大体系认证业务，成为北美最大的认证机构之一的认证机构之一2004-2008连续五年被国际公认品牌裁决连续五年被国际公认品牌裁决机构选为全球性超级品牌机构选为全球性超级品牌1995bs 7799（后转化为（后转化为iso 27001/iso17799）正式）正式颁行颁行风险管控的标准之道风险管控的标准之道 - iso 27001 信息安全管理体系信息安全管理体系对信息安全的关注：对信息安全的关注： 信息是业务的基础信息是业务的基础 竞争环境的要求竞争环境的要求 保证服务水平保证服务水平 取胜之道取胜之道 定制的服务要求更多的客户信息定制的服务要求更多的客户信息 控制成本要求尽量少的信息

4、壁垒控制成本要求尽量少的信息壁垒 合法性合法性 商业信誉商业信誉系统系统 / 技术技术管理管理 / 策略策略人人信息安全信息安全信息安全因素信息安全因素风险来源风险来源拒绝服务拒绝服务逻辑炸弹逻辑炸弹黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫社会工程社会工程系统系统bugbug硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨雷雨地震地震confidentialityavailabilityintegrityinformation security - ciainformation lifecycle 信息生命周期信息生命周期使用使用变更变更

5、产生产生归类归类存档存档传输传输销毁销毁级别 / 途径管理原则/非授权使用 / 授权者非法使用/验证 / 可恢复 / 发布可控 / 安全访问控制 / 备份授权/方式/损毁彻底 checklistcompliance 合规性合规性bcm 业务连续性管理业务连续性管理information security incident信息安全事件管理信息安全事件管理human人员安全人员安全physical物理安全物理安全operation & communication运营与通讯安全运营与通讯安全information system系统获得系统获得/开发开发/维护维护access control访

6、问控制访问控制access control访问控制访问控制asset 资产管理资产管理organization组织安全组织安全policy方针策略方针策略compliance 合规性合规性compliance 合规性合规性compliance 合规性合规性iso27001 信息安全管理体系信息安全管理体系it服务管理的标准之道服务管理的标准之道 - iso 20000 it 服务管理体系服务管理体系企业对于企业对于it服务的认知服务的认知响应慢响应慢随意变更随意变更不了解业务不了解业务需求需求总是要投资总是要投资能力低能力低it serviceit经理们的挑战经理们的挑战 如何保证客户如何保证

7、客户/用户的满意度？用户的满意度？ 如何管理客户的期望如何管理客户的期望 如何衡量如何衡量it职能的绩效？职能的绩效？ it员工流失率员工流失率 如何才能管好供应商，满足如何才能管好供应商，满足业务要求业务要求 如何才能保障如何才能保障it的安全性的安全性itsm体系发展历史体系发展历史英国政府于英国政府于1989年设立了年设立了it基础库基础库（itil - it infrastructure library ）itil 定义了定义了“最佳实践最佳实践”过程和程序过程和程序1991年成立年成立itsmf，进一步发展最，进一步发展最佳实践佳实践itsmf 通过通过bsi 开发标准开发标准bs

8、15000首先于首先于2000年出版为一个年出版为一个规范（规范（2002年修订）年修订）2005年被采纳为年被采纳为iso 20000:2005国国际标准际标准iso 20000-1:2005 服务管理规范服务管理规范iso 20000-2:2005服务管理实践指南服务管理实践指南itil foundation流程定义流程定义认证认证bip 系列参考书系列参考书基于基于itil基础基础capacity management容量管理容量管理service level management服务级别管理服务级别管理information security management信息安全管理信息安全管

9、理budgeting and accounting for it services财务管理财务管理service continuity & availability management可用性可用性&连续性管理连续性管理service reporting服务报告服务报告configuration management配置管理配置管理change management变更管理变更管理release management发布管理发布管理incident management事件管理事件管理problem management 问题管理问题管理business relationshi

10、p management业务关系管理业务关系管理supplier management供应商管理供应商管理3.requirements for a management system 管理体系的要求: structure, documentation and hr4.planning and implementing service management 策划和实施服务管理: pdca5.new or changed services 新的或变更的服务: pm标准之道标准之道 - iso 27001 信息安全管理体系信息安全管理体系和和iso 20000 it 服务管理体系服务管理体系profitability: enabler产生绩效产生绩效iso 9001/itil/iso 20000cmm/cmmisustainability: risk防止失效防止失效iso 27001/bs 7799/bs 25999managers challengeiso 27001 信息安全管理体系信息安全管理体系iso 20000 it服务管理体系服务管理体系标准之道标准之道 - bsi 为您助力为您助力一般员工内审组成员isms项目组成员公司管理层审核/改进应用理解认知管管理理体体系系意意识识标标准准精精解解风险风险评估与管理评估与管理管理体系实施管理体系