企业信息安全管理体系建设与运行方法探讨2011.7.26课件

1、广州信城通机密，未经许可不得扩散企业信息安全管理体系（ISMS）建设与运行探讨广州信城通数码科技有限公司信息安全部2011.7.26广州信城通机密，未经许可不得扩散讲师简介邓生品 ISMS高级顾问、COBIT治理师/中国科技大学硕士IBM、华为等ISMS体系建设标杆企业8年从业经历联系 dengshengpin广州信城通机密，未经许可不得扩散提纲为什么需要信息安全管理体系什么是信息安全管理体系怎样成功实施信息安全体系信息安全一直伴随人类社会,从未离弃广州信城通机密，未经许可不得扩散计算机时代的信息安全走势广州信城通机密，未经许可不得扩散ICT技术的发展报告 1997年

2、，David Moschella对IT技术发展的历史和趋势给出了一个如左图所示的总结和预测从微软windows系统漏洞看国际信息安全态势广州信城通机密，未经许可不得扩散微软操作系统历年漏洞走势年份漏洞数20021712003345200431120054172006109020072437200841292009502820105897占了OS世界市场90的微软操作系统被发现的脆弱数(漏洞)快速增长（见右表）;NSA认为，对美国国防部系统的成功攻击，90%以上是利用了已知的漏洞从我国信息安全案件走势看国内信息安全态势广州信城通机密，未经许可不得扩散年份立案数刑事案件数违法案件数20051350

3、0150813000200615090148014509200718050163215001200820085290819080200924582230222241201030901290830005每年我国公安机关办理的各类信息安全违法犯罪案件数，都呈现20%左右的增速。大有GDP、CPI增速无法比拟的态势广州信城通机密，未经许可不得扩散提纲为什么需要信息安全管理体系什么是信息安全管理体系怎样成功实施信息安全体系广州信城通机密，未经许可不得扩散什么是信息安全管理体系（ ISMS ）？2.1 ISMS概念（什么是信息、信息安全等）2.2 ISMS内容（ISMS体系内容、标准介绍） 2.3 IS

4、MS方法（安全测量、过程方法、风险管理）广州信城通机密，未经许可不得扩散什么是管理体系？组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训资源过程程序组织结构管理体系广州信城通机密，未经许可不得扩散ISO/IEC27000体系类标准族解析广州信城通机密，未经许可不得扩散ISMS体系内容包含的11个模块广州信城通机密，未经许可不得扩散ISO/IEC27002:2005 的主要内容 广州信城通机密，未经许可不得扩散什么是信息安全管理体系（ ISMS ）？2.1 ISMS概念（什么是信息

5、、信息安全等等）2.2 ISMS内容（ISMS体系内容、标准介绍） 2.3 ISMS方法（过程方法、风险管理、安全测量）广州信城通机密，未经许可不得扩散测量方法信息安全测量是计量学在信息安全领域的应用信息安全测量模型测量需求测量客体测量函数分析模型指标决定准则广州信城通机密，未经许可不得扩散风险方法广州信城通机密，未经许可不得扩散过程方法广州信城通机密，未经许可不得扩散ISMS建设流程广州信城通机密，未经许可不得扩散提纲为什么需要信息安全管理体系什么是信息安全管理体系怎样成功实施信息安全体系广州信城通机密，未经许可不得扩散怎样成功实施信息安全管理体系？3.1 确定指导思想与科学方法3.2 遵循

6、关键成功要素3.3 获取启动“钥匙”俗话说“打蛇打七寸”，ISMS的“七寸”何在？广州信城通机密，未经许可不得扩散 有人把ISMS（信息安全管理体系）比喻成一栋大厦，有人把它比喻成一台机器无论比喻成什么，核心的思想就是在于说明：用正确的方法做正确的事情。 这要求考虑： 我们以什么作为指导思想来建设体系 我们遵循什么样的科学逻辑来实施与运作体系 我们依靠什么力量来保证正确的指导思想、科学的实施逻辑得以有效落地体系的指导思想应是什么？广州信城通机密，未经许可不得扩散 系列标准（对应被引为我国国家标准，比如：，引为我国国标等），经过实践证明是体系建设的最佳指导思想。 或许这样对比更容易理解，这个标准

7、对的意义，就如指导原子弹成功研制的爱因斯坦质能方程的意义一样，它将指导组织成功建立其核心资产保护体系。体系的科学运营逻辑是什么？广州信城通机密，未经许可不得扩散美国管理学大师戴明发现了管理体系的运营规律，即戴明环，被所有管理体系标准遵从。广州信城通机密，未经许可不得扩散的解析管理可控的ISMS建立ISMS(P)确定范围和方针执行风险评估选择控制措施获得管理层批注准备适用性声明保持和改进ISMS(A)评估残余或新风险实施改进措施传达改进情况检查改进效果 实施和运行ISMS(D)制定实施计划实施控制措施确定测量措施培训和教育运行和维护 监视和评审ISMS(C)执行监控规程定期审核和评审更新安全计划

8、记录监控结果广州信城通机密，未经许可不得扩散理清公司的安全流程制度体系 人的血液循环系统围绕心脏展开,从主动脉到各细小毛细血管,一脉相承,保证了生命新陈代谢. 参照以上规律,运作良好的组织,总会建立围绕其宗旨展开的,从战略层面到执行细节的制度体系,保证组织健壮的生命力. 比如一个有序文明的国家,总会具有从宪法到各规章制度的文件体系,指引公民的行为和权利行使良性展开.ISMS文件金字塔内容示例广州信城通机密，未经许可不得扩散怎样成功实施信息安全管理体系？3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙”信息安全方针、目标和活动反映业务目标广州信城通机密，未经许可不得扩

9、散体系建设关键成功因素1,保证ISMS方向与企业战略方向一致 与组织文化一致的信息安全方法广州信城通机密，未经许可不得扩散体系建设关键成功因素2选择适合企业文化的信息安全执行文化所有管理层可见的支持和承诺广州信城通机密，未经许可不得扩散体系建设关键成功因素3获得企业管理层的认可与授权对信息安全要求、风险评估和风险管理有好的理解广州信城通机密，未经许可不得扩散体系建设关键成功因素4企业信息安全执行团队较好把握信息安全核心知识技能有效地对员工和其他人推销信息安全广州信城通机密，未经许可不得扩散体系建设关键成功因素5对关联各方持续安全意识培育向所有员工和其他人分发信息安全指南广州信城通机密，未经许可

10、不得扩散体系建设关键成功因素6编制和分发通俗易懂的安全操作手册足够的财务支持广州信城通机密，未经许可不得扩散体系建设关键成功因素7将安全建设预算纳入公司年度财务预算适当培训和教育广州信城通机密，未经许可不得扩散体系建设关键成功因素8培育员工适度的安全防护知识技能有效的信息安全事故管理过程广州信城通机密，未经许可不得扩散体系建设关键成功因素9建立公司信息安全响应“神经系统”广州信城通机密，未经许可不得扩散怎样成功实施信息安全管理体系？3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙”安全可控的企业业务信息资源体系前期咨询服务 安全咨询顾问服务，将把“用正确的方法做正确

11、的事”这块布料，裁剪成适合你公司业务战略需求“身段”的衣服建设过程风险评估与培训服务 安全风险评估与培训服务，帮助你日常有效运作信息安全管理体系，不致于你穿上的衣服洗了一两次以后，就缩水废弃了运作中持续优化 持续的优化改进投入，确保了信息安全管理体系与时俱进保护你企业业务的健康良性发展大厦完工交付后，大厦的有序使用依赖于持续的管理维护我们已经解码了“用正确的方法做正确的事” ，那么开启ISMS机器的“钥匙”在哪里？广州信城通机密，未经许可不得扩散是的，前述都没有错，但是，那又怎么样？广州信城通机密，未经许可不得扩散一件事情带来的影响如果不是很大，就不会上升一个组织、或者国家用统一规范来持续运作与控制的高度，强调一下，这里说的是持续（除非这件事情因这个组织最高独裁者个人爱好而做，但这类决策不具备延续性）。国际标准化组织ISO/IEC JTC1/SC27/WG1http:/www.jtc1sc27.din.de国内标准化组织全国信息安全标准化技术委员会http:/ 如果在这种高度下，企业都还不重视自身信息安全建设，轻者，企业面临的是自己时常给别人做嫁衣、或者企业社会名声受损；重者，违背国际、国家法律强制性要求，将受到限制、吊销运营资格，或者受到严肃法律制裁。ISMS体系疏于建设,投资付诸东流广州信城通机密，未经许可不得扩散血的教训