2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩39頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、如何實(shí)現(xiàn)企業(yè)信息安全管理與業(yè)務(wù)流程的融合和實(shí)施,2024年3月27日,研討大綱,信息安全基礎(chǔ)知識(shí),基礎(chǔ)知識(shí),信息安全定義,保密性 Confidentiality: 信息不被可用或不被泄漏給未授權(quán)的個(gè)人、實(shí)體和過(guò)程的特性。完整性 Integrity保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性??捎眯?Availability:需要時(shí),授權(quán)實(shí)體可以訪問(wèn)和使用的特性。,基礎(chǔ)知識(shí),信息安全管理體系(ISMS)定義,信息安全管理體系(Informati

2、on Security Management System)是企業(yè)整個(gè)管理體系的一部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí),ISMS 包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。,基礎(chǔ)知識(shí),資產(chǎn)定義,任何對(duì)組織有價(jià)值的事物(ISO/IEC13335-

3、1:2004) 數(shù)據(jù)資產(chǎn) 軟件資產(chǎn) 硬件資產(chǎn) 人員 服務(wù) 其它,基礎(chǔ)知識(shí),威脅定義,可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。(ISO/IEC TR 13335-1:2004)威脅可以是故意的或意外的,人為的或天災(zāi)的,如:故意的:偷聽(tīng)、惡意軟件;意外的:誤操作天災(zāi)的:地震、水災(zāi)、火災(zāi),基礎(chǔ)知識(shí),脆弱性定義,可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn)。(ISO/IEC TR 13335-1:2004

4、)脆弱性本身不會(huì)導(dǎo)致?lián)p害,它只是一種條件或一組條件可能容許威脅影響資產(chǎn);脆弱性如果不予管理,就會(huì)使得威脅變成現(xiàn)實(shí)例子:缺乏安全意識(shí)、電壓不穩(wěn)定、門沒(méi)鎖、不良的接線、位于易受洪水影響的區(qū)域、不受控的拷貝、員工短缺等,基礎(chǔ)知識(shí),其他定義,風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。風(fēng)險(xiǎn)處理:選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理:指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。注:典型風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。,基礎(chǔ)知識(shí),信息的生命周期

5、,,建立,貯存,處理,銷毀,傳送,丟失,損毀,使用,?,!,!,,,,,,,,,惡意或不當(dāng)行為,,,,,,信息的生命周期伴隨在業(yè)務(wù)流程中!,基礎(chǔ)知識(shí),ISO 27001標(biāo)準(zhǔn)介紹,BS7799-1 操作規(guī)則,BS7799-2 認(rèn)證規(guī)范,1995年版,1999年版,1998年版,1999年版,ISO/IEC17799:2000,,,2002年版,,,,ISO/IEC17799:2005,,ISO/IEC27001:2005,,ISO/IEC

6、27002:2005,基礎(chǔ)知識(shí),ISO 27001標(biāo)準(zhǔn)介紹,27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔,認(rèn)證機(jī)構(gòu) 認(rèn)可要求,目前信息安全管理與企業(yè)業(yè)務(wù)流程的實(shí)施現(xiàn)狀,實(shí)施現(xiàn)狀,現(xiàn)狀1,對(duì)“信息安全管理”理解片面,不能正確理解信息安全管理目標(biāo),完全與業(yè)務(wù)流程脫節(jié),信息安全就是計(jì)算機(jī)沒(méi)有病毒信息安全就是系統(tǒng)沒(méi)有漏洞信息安全就是信息保密沒(méi)有連接互聯(lián)網(wǎng)就是安全的有信息技術(shù)支持就

7、是安全的等,實(shí)施現(xiàn)狀,現(xiàn)狀2,“信息安全管理”沒(méi)有完全覆蓋企業(yè)的業(yè)務(wù)流程,業(yè)務(wù)過(guò)程識(shí)別不全面,導(dǎo)致信息安全管理漏洞,如銷售過(guò)程沒(méi)有識(shí)別、沒(méi)有考慮遠(yuǎn)程工作過(guò)程只關(guān)注了重要業(yè)務(wù)流程,如生產(chǎn)過(guò)程、設(shè)計(jì)過(guò)程,實(shí)施現(xiàn)狀,現(xiàn)狀3,信息安全控制措施不能在業(yè)務(wù)過(guò)程中有效實(shí)施,安全意識(shí)較差,安全規(guī)定不執(zhí)行關(guān)注“應(yīng)用性”,忽略了“安全性”缺少安全監(jiān)督檢查機(jī)制,控制措施不能有效落實(shí)缺乏持續(xù)改進(jìn)機(jī)制等,企業(yè)的信息安全風(fēng)險(xiǎn)分布區(qū)域,忽略信息安全的危害,風(fēng)

8、險(xiǎn)分布及危害,案例,19家企業(yè)信息安全問(wèn)題總結(jié):信息化基礎(chǔ)設(shè)施建設(shè)水平差,缺乏基本的安全保障僅有21%的企業(yè)信息化組織結(jié)構(gòu)和基礎(chǔ)設(shè)施的建設(shè)較好;有79%的企業(yè)信息化組織結(jié)構(gòu)和職責(zé)不明確,信息化制度缺失或制度不完善;機(jī)房簡(jiǎn)陋,在防塵、防火、防水、溫濕度、電力等方面不符合要求,個(gè)別企業(yè)沒(méi)有建立機(jī)房;網(wǎng)絡(luò)系統(tǒng)為二層結(jié)構(gòu),沒(méi)有部署防火墻等安全設(shè)備;,風(fēng)險(xiǎn)分布及危害,風(fēng)險(xiǎn)分布及危害,風(fēng)險(xiǎn)分布及危害,案例,有89%的企業(yè)在信息安全管理和技術(shù)上存

9、在較嚴(yán)重的安全隱患網(wǎng)絡(luò)架構(gòu)不合理,沒(méi)有劃分安全區(qū)域,沒(méi)有部署防火墻等安全設(shè)備員工信息安全意識(shí)薄弱,沒(méi)有及時(shí)有效查殺病毒,病毒和木馬感染事件頻發(fā)重要計(jì)算機(jī)存在弱口令甚至沒(méi)有設(shè)置登錄口令重要應(yīng)用系統(tǒng)和服務(wù)器存在較嚴(yán)重的安全漏洞,易遭到攻擊或信息泄露重要技術(shù)機(jī)密文件沒(méi)有被有效保護(hù),個(gè)別企業(yè)已經(jīng)發(fā)生過(guò)技術(shù)機(jī)密信息泄露事件,造成了損失,風(fēng)險(xiǎn)分布及危害,風(fēng)險(xiǎn)分布,分布在信息生命周期的各個(gè)環(huán)節(jié),即業(yè)務(wù)過(guò)程中:組織安全人員安全基礎(chǔ)環(huán)境安

10、全設(shè)施的安全(通信線路、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、存儲(chǔ)等)應(yīng)用安全(系統(tǒng)軟件、應(yīng)用軟件)訪問(wèn)控制備份及業(yè)務(wù)連續(xù)性,風(fēng)險(xiǎn)分布及危害,危害,企業(yè)有哪些重要信息知識(shí)產(chǎn)權(quán);技術(shù)秘密;重要的合同;客戶資料;軟件產(chǎn)品的源代碼;財(cái)務(wù)數(shù)據(jù);內(nèi)部文件等,危害侵權(quán);重要信息泄密;經(jīng)濟(jì)損失;業(yè)務(wù)中斷;企業(yè)倒閉,,基于ISO27001的信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)與評(píng)估流程:資產(chǎn)、風(fēng)險(xiǎn)因素、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制和處理,風(fēng)險(xiǎn)認(rèn)識(shí)及評(píng)估,基于ISO

11、27001信息安全風(fēng)險(xiǎn)的認(rèn)識(shí),“組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn),建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持并改進(jìn)文件化的信息安全管理體系”“考慮業(yè)務(wù)和法律法規(guī)的要求,及合同中的安全義務(wù)”“選擇適當(dāng)和相宜的安全控制措施” 制定風(fēng)險(xiǎn)評(píng)估準(zhǔn)則和接受準(zhǔn)則。,風(fēng)險(xiǎn)認(rèn)識(shí)及評(píng)估,風(fēng)險(xiǎn)評(píng)估流程,風(fēng)險(xiǎn)認(rèn)識(shí)及評(píng)估,風(fēng)險(xiǎn)分析原理,如何在業(yè)務(wù)流程的控制節(jié)點(diǎn)融入信息安全的風(fēng)險(xiǎn)控制措施,確保風(fēng)險(xiǎn)可控,融入控制措施,基于業(yè)務(wù)流程的風(fēng)險(xiǎn)評(píng)估控制措施考慮不同業(yè)務(wù)節(jié)點(diǎn),識(shí)別

12、業(yè)務(wù)過(guò)程,識(shí)別業(yè)務(wù)過(guò)程對(duì)應(yīng)的資產(chǎn),識(shí)別威脅,識(shí)別脆弱性,,,,,,不同級(jí)別的風(fēng)險(xiǎn),,,制定控制措施,,,業(yè)務(wù)流程與信息安全管理整合實(shí)施的難點(diǎn)、方法與步驟,實(shí)施方法與步驟,導(dǎo)入以ISO27001為基礎(chǔ)的信息安全管理體系,,實(shí)施方法與步驟,ISO27001 11個(gè)控制域(最佳實(shí)踐),實(shí)施方法與步驟,實(shí)施難點(diǎn),領(lǐng)導(dǎo)層不關(guān)注員工安全意識(shí)薄弱,不支持資源的投入(人力、資金)專業(yè)技術(shù)性要求高解決辦法信息安全培訓(xùn),提高

13、安全有意識(shí)和企業(yè)自身能力聘請(qǐng)專業(yè)的第三方公司協(xié)助,業(yè)務(wù)流程與信息安全管理整合的價(jià)值(信息安全管理體系實(shí)施的價(jià)值),實(shí)施的價(jià)值,,○維持和增強(qiáng)公司競(jìng)爭(zhēng)優(yōu)勢(shì),促進(jìn)業(yè)務(wù)發(fā)展。 ○維護(hù)公司的聲譽(yù)和品牌,增強(qiáng)相關(guān)方的信任; ○滿足客戶和法律法規(guī)的信息安全要求; ○強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為; ○保障公司業(yè)務(wù)的正常運(yùn)

14、行 ○增強(qiáng)信息系統(tǒng)的安全性,減少安全事件帶來(lái)的影響和經(jīng)濟(jì)損失; ○提高信息安全管理水平,保障信息系統(tǒng)安全運(yùn)行; ○找出與相關(guān)國(guó)際/國(guó)內(nèi)/行業(yè)標(biāo)準(zhǔn)的差異,增強(qiáng)合規(guī)性;○發(fā)現(xiàn)系統(tǒng)中潛在風(fēng)險(xiǎn)與安全隱患,有效控制風(fēng)險(xiǎn);,實(shí)施的價(jià)值,來(lái)源:澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學(xué)術(shù)會(huì)議Australia, 5th -7th December, 2011,ISO2

15、7001實(shí)施效果調(diào)查,信息安全標(biāo)準(zhǔn)化管理及透明度,增強(qiáng)組織對(duì)信息安全的信心,有效的風(fēng)險(xiǎn)管理,成熟、全面的信息安全管理,增強(qiáng)客戶信心,其他服務(wù)能力提升,實(shí)施的價(jià)值,來(lái)源:國(guó)際計(jì)算機(jī)科學(xué)與網(wǎng)絡(luò)安全期刊,2010年3月,ISO27001體系作用研究,中國(guó)賽寶資質(zhì)及業(yè)務(wù),ISO/IEC 27001 信息安全管理體系認(rèn)證;ISO/IEC 20000 IT服務(wù)管理體系認(rèn)證;ISO 9001 質(zhì)量管理體系認(rèn)證;TL 9000電信行業(yè)質(zhì)量管理體系

16、認(rèn)證;ISO/TS 16949 汽車行業(yè)管理體系認(rèn)證;ISO 14001環(huán)境管理體系認(rèn)證;OHSAS 18001職業(yè)健康與安全管理體系認(rèn)證;工業(yè)和信息化部計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)認(rèn)證;工業(yè)和信息化部信息系統(tǒng)工程監(jiān)理資質(zhì)認(rèn)證;美國(guó)SEI軟件能力成熟模型(CMMI)評(píng)估;中國(guó)軟件過(guò)程及能力成熟度評(píng)估(SPCA);,基礎(chǔ)知識(shí),中國(guó)賽寶資質(zhì)及業(yè)務(wù),中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)的認(rèn)可實(shí)驗(yàn)室;公安部信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu);

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論