科士达信息安全体系建设交流胶片1118

科士达科技平安体系建设

高层交流

刘永波

——深圳昂楷科技总经理

2023/11/8目录Page2越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1昂楷科技——技术、咨询并重是我们的独特优势Page3帮助客户最大程度地推广技术和管理策略，落实咨询方案，实现业务保障和创新技术整合咨询评估推广执行帮助客户进行平安、存储、统一通信技术层面的评估和分析，整合IT环境，夯实根底帮助客户进行管理策略、运行体系和战略愿景层面的咨询和规划，辅助客户建立信息平安整体架构

提供端到端解决方案与客户共同成长，成为战略合作伙伴创始人足迹——创造专利Page4Page5创始人足迹——带队研发的UA5000成为BT独家供货产品，世界同类产品排名第一Page6创始人足迹——荣获华为珍贵的金牌团队奖Page7足迹——华赛平安研发总监任职期间在SYMANTEC总部谈技术合作Page8国际顶级的应用平安非营利的开源组织昂楷科技OWASP组织的支持者目录Page9越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1XX网游--因核心开发人员外泄相关技术及营业秘密向法院提起诉讼，要求赔偿65亿韩元的损失费。而游戏公司也只能从零开始。大局部MMORPG的开发至少需要2~3年，游戏上市也被推迟几年XX军工--一个参与中国海军潜艇科研工程的军工科研所多份保密资料和文件，甚至一些关键材料的绝密技术资料，都落入境外情报机关之手。在这起事件中，该间谍通过发送伪造官方邮件并暗藏木马程序后，在工作人员点击后就迅速控制了该电脑盗取绝密资料，对我军损失巨大。XX移动—与增值效劳商、合作的广告公司“勾结〞，为他们更新最新用户名单，提供漫游至当地的号码，用于发送垃圾短信，包括一些非法垃圾短信；CCTV暴光。据专业机构调查，数据泄密每年损失百亿，并呈逐年上升的态势！严峻的平安形势Page10发生在深圳的典型案例华为VS港湾事件华为VS沪科事件深圳***LED龙头企业。。。Page11我们获得的经验：知识产权保护迫在眉睫！企业信息平安保护错综复杂！很多企业都是在吃亏后才考虑！尽可能早的考虑全面保护措施－－本钱收益最大化！Page12平安已经不仅是技术问题正在转向经济获益，且愈演愈烈；平安威胁正变得越来越难以检测和消除平安威胁的严重程度1990199520002005经济平安威胁:经济盗窃和破坏中期平安威胁:病毒和恶意软件早期平安威胁:根本的入侵和网络病毒20072021目录Page13越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1Page14企业内控的开展历史巴塞尔协议19881992COSO内控框架安然、安达信丑闻曝光2001.82001.12世通丑闻曝光1996COBIT控制框架2002.7萨班斯法案颁布2004.6新巴塞尔协议2004.9COSOERM框架2004.12中航油事件曝光2006.6金融工具与交易法公布2006.6上交所内控指引2006.6中央企业全面风险管理指引2006.9深交所内控指引2007.7商业银行内控指引2008.6企业内部控制基本规范2006.7企业内部控制标准委员会成立Page15内部控制目标企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果，促进企业实现开展战略Page16如何发现IT控制点IT服务操作系统/数据库/通讯/网络财务流程制造流程供应链流程其他流程公司管理实体控制实体控制设定了整个企业控制的基调和文化。IT实体级控制是一个企业整体控制环境中的一局部。实体控制包括：战略和规划政策和程序风险评估培训和教育质量保证内部审计IT一般控制嵌入IT流程中的控制为企业提供了一个可靠的运营环境并为应用控制的有效运作提供支持：访问控制设备运营程序开发程序变更应用控制嵌入业务流程的应用控制直接支持财务控制目标。这类控制存在于大多数财务应用中，比方SAP、Oracle和其他财务软件中。Page17ME1监督和评价IT绩效ME2监督和评价内部控制ME3确保法规遵从ME4提供IT治理DS1定义和管理效劳水平DS2管理第三方效劳DS3管理性能与容量DS4确保效劳的连续性DS5确保系统平安DS6确定并分配费用DS7教育并培训使用者DS8效劳台与事件管理DS9配置管理DS10问题管理DS11数据管理DS12运营环境管理DS13运营管理AI1定义自动化解决方案AI2获取并维护应用软件AI3获取并维护技术根底设施AI4保障运营和使用AI5获取IT资源AI6变革管理AI7安装、授权解决方案和变更PO1定义IT战略规划PO2定义信息体系结构PO3确定技术方向PO4定义IT流程，组织和关系PO5管理IT投资PO6传达管理目标和方向PO7管理IT人力资源PO8质量管理PO9评估和管理IT风险PO10工程管理CoBIT控制模型应用软件信息根底架构人员IT资源交付与支持监控和评价获取与实施规划和组织信息治理目标企业目标CoBIT效果效率保密性完整性可用性合规性可靠性ISO27001——是IT内控中信息平安控制的国际标准信息安全管理标准信息平安管理实施细那么ISO17799:2005信息平安管理体系标准ISO27001:2005各类平安控制手段实施指南包括管理制度要求建立管理体系的参考不用于认证

管理体系框架明确控制要求(没有详细的指南)

强制性要求用于体系认证Page18ISO27001在世界和国内越来越“流行〞Page19截止到2021年9月末，国内企业获得CMM/CMMI〔软件能力成熟度模型〕评估证书为1300张，世界排名第二；截止到2021年底，国内通过信息效劳管理标准体系ISO20000认证的企业31家，约占全球10.1%，居全球第五；截止到2021年，国内通过ISO27001认证的企业数量是180家左右，约占全球总量的3.46%。

Page20实施ISO27001的价值通过提高运营的效率和效果，为企业赢得竞争优势国际化的高标准，树立良好的企业形象提高企业的风险管理能力和IT治理能力提高企业高层对IT的理解采用综合的方法来保证信息的平安性、可获得性和完整性使企业运营得以优化通过提供高质量、及时的信息改善企业的经营决策满足其他法律法规的要求防止智力资产的流失，降低系统泄密的可能性帮助我们快速稳健的成为国际化的大公司！21ISO17799:200511管理要求39执行目标133控制措施信息平安管理程序性要求/控制措施–不用于认证ISO27001开展历程1995/2月—BS7799-第一局部信息平安管理实施细那么1998/2月—BS7799第二局部信息平安管理体系标准1999/4月—BS7799第一局部/第二局部2000/12月—ISO/IEC17799第一局部信息平安管理实施细那么2002/9月—BS7799第二局部信息平安管理体系标准2005/6月—ISO17799:2005信息技术–平安技术–信息平安管理体系实施细那么2005/11月—ISO27001:2005信息技术–平安技术–信息平安管理体系要求标准Page2223十一大管理要求平安方针〔SecurityPolicy)组织信息平安(OrganizingInformationSecurity)资产管理(AssetManagement)信息系统获取、开发与维护〔Informationsystemacquisition,Developmentandmaintenance)访问控制〔AccessControl)人力资源平安humanresourcessecurity物理与环境平安Physicalandenviron-mentsecurity通信与运行平安CommunicationandOperationsecurity信息平安事件管理〔InformationSecurityIncidentManagement)业务连续性管理(BusinessContinuityManagement)符合性(Compliance)24ISO27001:2005标准相关方信息安全要求和期望建立体系

实施体系筹划

执行监控评审维持改进检查改进相关方信息平安受控管理体系框架及控制措施–用于第三方认证目录Page25越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1什么是信息?Page26ISO/IECIT平安指南(ISO/IECTR13335)定义:信息是通过在数据上施加某些约定而赋予这些数据特殊的含义.ISO27001标准对信息的解释:任何对组织有价值的东西信息是一种资产,和组织其他资产一样，是有价值的，应得到适当保护。信息本身是无形的,借助于媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中存储在人的大脑里通过网络、机、打印机进行传播什么是信息平安？对一个研发核心技术的组织而言，其信息平安的核心是:最新产品的核心技术信息得到充分保密核心技术信息准确无误需要使用信息的人，通过授权随时可以获得Page27什么是信息平安?保密性C完整性I可用性A确保只有授权的人员才能访问信息确保信息及处理方式的准确性和完整性确保经授权的人员在需要的时候可以访问信息及相关资产信息平安概念源自信息计算平安评估标准〔ITSEC〕Page28三者应到达一个平衡点Page29保密性可用性完整性在有些组织,完整性和/或可用性可能比保密性更重要其他信息平安元素Page30还有其他信息平安元素来细化、补充CIA要素，例如：可追溯性〔Accountability)抗抵赖性〔Non-repudiation〕真实性〔Authenticity)与CIA相反的三元素〔DAD〕泄漏〔Disclosure)篡改〔Alteration〕破坏〔Destruction)

信息平安面临的最普遍的风险Page31对信息平安管理的传统认识对信息平安的传统认识是信息平安一向被认为是IT部门的职责大局部企业认为信息平安是只有技术方案才能解决的技术性问题保证信息的保密性Page32信息平安≠技术方案案例:Egghead是一家网络零售商,2000年12月因客户资料系统遭受骇客破坏,造成370万组信用卡号外流,股票价值因而下跌了25%.Egghead公司事前当然建立了平安防护系统,事后并宣称资料并未窃,但由于公司内部缺乏协调管理,未能提出一致的响应,因而无法说服客户和股东相信这些极为敏感的资料仍然平安无恙.应急响应的组织?(骇客入侵应急响应(业务连续性管理)Page33信息平安管理的经验告诉我们员工缺乏信息平安意识没有建立必要的信息平安管理机制〔流程和程序〕没有人执行信息平安管理制度缺乏必要的信息平安技术控制措施大局部信息平安问题的发生是因为:Page34角色和责任Page35层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程、成本和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。建立“泛〞平安体系Page36目录Page37越来越严峻的平安形势企业内控与ISO27001信息平安的重要概念体系推进过程及目标2345昂楷科技简介1IT内控实施过程Page38IT内控实施1.IT控制的方案和范围检查全部文档并识别应用控制识别应包括的应用控制识别应包括的IT根底设施和系统5.优化和缺陷修补重要缺陷的可能性和影响是否有缺陷修补措施和措施的可靠性4.评价IT内控设计和运行效果内部审计技术测试遵从性测试成熟度模型3.记录控制

制度/程序/手册记录应用控制记录IT一般控制2.评估IT风险识别IT风险评估IT风险引起内控失效的可能性和影响企业价值6.持续运作内部评价和外部评价自动化控制消除重复和冗余控制体系推进流程——总流程发动部署阶段体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审文件化阶段总结经验稳固成果阶段Page39体系推进流程——导入准备体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审项目准备与前期策划顾问方提交顾问计划书宣传和舆论准备工作成立项目领导小组/推进小组任命管理者代表工作内容Page40体系推进流程——体系诊断体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容现场访谈调查制订全期工作计划制订工作规范风险识别和评估项目组再分工工作目标评估现有信息管理体系初步评估现有改进机会完成基础和理念的培训相关法律法规的收集完成风险识别和评价识别现有IT服务内容可移交成果管理体系诊断报告管理体系设计方案管理者代表任命书推行小组人员职责相关法规清单风险评估表培训培训:风险识别风险评估Page41体系推进流程——体系设计体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容确定体系初步方案确定方针确定体系范围风险评估实施咨询工具/培训咨询工具：培训提供样板工作目标根据风险评估确定适用性声明和文件清单识别IT服务改进点并体现在未来的体系中选择制定控制目标和控制对象确定安全和服务需求通过培训使项目小组人员掌握ISO27001文件编写要求可移交成果信息安全适用性声明风险管理策略程序和作业文件清单风险评估报告整改项目意见和初步方案Page42体系推进流程——培训体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容标准要求培训文件编写与分析培训文件修订与讨论培训工作重点教会学员按照流程编写文件的方法通过对相关文件的分析使文件编写人员认识什么是“好”的文件工作目标文件编写人员掌握编写标准\方法\技巧Page43体系推进流程——体系建立体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容体系文件的编写体系文件的讨论和修订文件的操作性实用性接口性审核体系文件的发放同步建立ISO考核体系文件编写结果的控制文件充分讨论并达成一致意见合理的考核体系确保编写的文件有效\有用\实用确保与文件有关的管理人员接受并了解文件的要求改进方案的制定控制措施文件化工作目标工作重点Page44体系推进流程——体系实施体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容运行动员文件培训和考试运行检查文件修订内审员培训工作重点通过充分培训和考试提高管理意识组织文件与员工意识提升通过考核体系促进体系的运行工作目标所有人员熟悉文件要求所有人员按照文件要求执行解决运行中出现的问题Page45体系推进流程——评价改进体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审工作内容体系绩效测量一次管理评审预审核改进发现运行中问题并加以改进培养一批能力强的审核员基层之间相互审核提高体系的一致性审核员实际审核技巧和能力的培养内部改善评价系统数据分析技术专业技术工作目标工作重点咨询工具Page46体系推进流程——认证评审体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审认证前准备正式评审/陪同审核获得注册证书工作内容Page47体系推进流程——体系维持体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审日常检查内审管理评审考核/验收补课工作内容Page48管理咨询的七个要点调研访谈的充分性问题分析的深入性双方沟通的及时性项目内容的具体性项目成果的可行性培训工作的有效性成果执行的持续性Page49平安