如何實現(xiàn)企業(yè)信息安全管理與業(yè)務流程的融合和實施

1、如何實現(xiàn)企業(yè)信息安全管理與業(yè)務流程的融合和實施,2024年3月27日,研討大綱,信息安全基礎知識,基礎知識,信息安全定義,保密性 Confidentiality：　信息不被可用或不被泄漏給未授權的個人、實體和過程的特性。完整性 Integrity保護資產的準確和完整的特性?？捎眯?Availability：需要時，授權實體可以訪問和使用的特性。,基礎知識,信息安全管理體系（ISMS）定義,信息安全管理體系（Informati

2、on Security Management System）是企業(yè)整個管理體系的一部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業(yè)務風險的認識，ISMS 包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動，表現(xiàn)為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。,基礎知識,資產定義,任何對組織有價值的事物（ISO/IEC13335-

3、1:2004) 數(shù)據(jù)資產 軟件資產 硬件資產 人員 服務 其它,基礎知識,威脅定義,可能導致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。（ISO/IEC TR 13335-1:2004）威脅可以是故意的或意外的，人為的或天災的，如：故意的：偷聽、惡意軟件；意外的：誤操作天災的：地震、水災、火災,基礎知識,脆弱性定義,可能會被一個或多個威脅所利用的資產或一組資產的弱點。（ISO/IEC TR 13335-1:2004

4、）脆弱性本身不會導致?lián)p害，它只是一種條件或一組條件可能容許威脅影響資產；脆弱性如果不予管理，就會使得威脅變成現(xiàn)實例子：缺乏安全意識、電壓不穩(wěn)定、門沒鎖、不良的接線、位于易受洪水影響的區(qū)域、不受控的拷貝、員工短缺等,基礎知識,其他定義,風險評估：風險分析和風險評價的全過程。風險處理：選擇和實施措施以改變風險的過程。風險管理：指導和控制一個組織的風險的協(xié)調的活動。注：典型風險管理包括風險評估和風險處理。,基礎知識,信息的生命周期

5、,,建立,貯存,處理,銷毀,傳送,丟失,損毀,使用,？,！,！,,,,,,,,,惡意或不當行為,,,,,,信息的生命周期伴隨在業(yè)務流程中！,基礎知識,ISO 27001標準介紹,BS7799-1 操作規(guī)則,BS7799-2 認證規(guī)范,1995年版,1999年版,1998年版,1999年版,ISO/IEC17799：2000,,,2002年版,,,,ISO/IEC17799：2005,,ISO/IEC27001：2005,,ISO/IEC

6、27002：2005,基礎知識,ISO 27001標準介紹,27000～27009：ISMS基本標準，27010～27019：ISMS標準族的解釋性指南與文檔,認證機構 認可要求,目前信息安全管理與企業(yè)業(yè)務流程的實施現(xiàn)狀,實施現(xiàn)狀,現(xiàn)狀1,對“信息安全管理”理解片面，不能正確理解信息安全管理目標，完全與業(yè)務流程脫節(jié),信息安全就是計算機沒有病毒信息安全就是系統(tǒng)沒有漏洞信息安全就是信息保密沒有連接互聯(lián)網就是安全的有信息技術支持就

7、是安全的等,實施現(xiàn)狀,現(xiàn)狀2,“信息安全管理”沒有完全覆蓋企業(yè)的業(yè)務流程,業(yè)務過程識別不全面，導致信息安全管理漏洞，如銷售過程沒有識別、沒有考慮遠程工作過程只關注了重要業(yè)務流程，如生產過程、設計過程,實施現(xiàn)狀,現(xiàn)狀3,信息安全控制措施不能在業(yè)務過程中有效實施,安全意識較差，安全規(guī)定不執(zhí)行關注“應用性”，忽略了“安全性”缺少安全監(jiān)督檢查機制，控制措施不能有效落實缺乏持續(xù)改進機制等,企業(yè)的信息安全風險分布區(qū)域，忽略信息安全的危害,風

8、險分布及危害,案例,19家企業(yè)信息安全問題總結：信息化基礎設施建設水平差，缺乏基本的安全保障僅有21%的企業(yè)信息化組織結構和基礎設施的建設較好；有79%的企業(yè)信息化組織結構和職責不明確，信息化制度缺失或制度不完善；機房簡陋，在防塵、防火、防水、溫濕度、電力等方面不符合要求，個別企業(yè)沒有建立機房；網絡系統(tǒng)為二層結構，沒有部署防火墻等安全設備；,風險分布及危害,風險分布及危害,風險分布及危害,案例,有89%的企業(yè)在信息安全管理和技術上存

9、在較嚴重的安全隱患網絡架構不合理，沒有劃分安全區(qū)域，沒有部署防火墻等安全設備員工信息安全意識薄弱，沒有及時有效查殺病毒，病毒和木馬感染事件頻發(fā)重要計算機存在弱口令甚至沒有設置登錄口令重要應用系統(tǒng)和服務器存在較嚴重的安全漏洞，易遭到攻擊或信息泄露重要技術機密文件沒有被有效保護，個別企業(yè)已經發(fā)生過技術機密信息泄露事件，造成了損失,風險分布及危害,風險分布,分布在信息生命周期的各個環(huán)節(jié)，即業(yè)務過程中：組織安全人員安全基礎環(huán)境安

10、全設施的安全（通信線路、網絡設備、主機設備、存儲等）應用安全（系統(tǒng)軟件、應用軟件）訪問控制備份及業(yè)務連續(xù)性,風險分布及危害,危害,企業(yè)有哪些重要信息知識產權；技術秘密；重要的合同；客戶資料；軟件產品的源代碼；財務數(shù)據(jù)；內部文件等,危害侵權；重要信息泄密；經濟損失；業(yè)務中斷；企業(yè)倒閉,,基于ISO27001的信息安全風險的認識與評估流程：資產、風險因素、風險評價、風險控制和處理,風險認識及評估,基于ISO

11、27001信息安全風險的認識,“組織應根據(jù)整體業(yè)務活動和風險，建立、實施、運行、監(jiān)控、評審、保持并改進文件化的信息安全管理體系”“考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務”“選擇適當和相宜的安全控制措施” 制定風險評估準則和接受準則。,風險認識及評估,風險評估流程,風險認識及評估,風險分析原理,如何在業(yè)務流程的控制節(jié)點融入信息安全的風險控制措施，確保風險可控,融入控制措施,基于業(yè)務流程的風險評估控制措施考慮不同業(yè)務節(jié)點,識別

12、業(yè)務過程,識別業(yè)務過程對應的資產,識別威脅,識別脆弱性,,,,,,不同級別的風險,,,制定控制措施,,,業(yè)務流程與信息安全管理整合實施的難點、方法與步驟,實施方法與步驟,導入以ISO27001為基礎的信息安全管理體系,,實施方法與步驟,ISO27001 11個控制域（最佳實踐）,實施方法與步驟,實施難點,領導層不關注員工安全意識薄弱，不支持資源的投入（人力、資金）專業(yè)技術性要求高解決辦法信息安全培訓，提高

13、安全有意識和企業(yè)自身能力聘請專業(yè)的第三方公司協(xié)助,業(yè)務流程與信息安全管理整合的價值（信息安全管理體系實施的價值）,實施的價值,,○維持和增強公司競爭優(yōu)勢，促進業(yè)務發(fā)展。 ○維護公司的聲譽和品牌，增強相關方的信任； ○滿足客戶和法律法規(guī)的信息安全要求； ○強化員工的信息安全意識，規(guī)范組織信息安全行為； ○保障公司業(yè)務的正常運

14、行 ○增強信息系統(tǒng)的安全性，減少安全事件帶來的影響和經濟損失； ○提高信息安全管理水平，保障信息系統(tǒng)安全運行； ○找出與相關國際/國內/行業(yè)標準的差異，增強合規(guī)性；○發(fā)現(xiàn)系統(tǒng)中潛在風險與安全隱患，有效控制風險；,實施的價值,來源：澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學術會議Australia, 5th -7th December, 2011,ISO2

15、7001實施效果調查,信息安全標準化管理及透明度,增強組織對信息安全的信心,有效的風險管理,成熟、全面的信息安全管理,增強客戶信心,其他服務能力提升,實施的價值,來源：國際計算機科學與網絡安全期刊，2010年3月,ISO27001體系作用研究,中國賽寶資質及業(yè)務,ISO/IEC 27001 信息安全管理體系認證；ISO/IEC 20000 IT服務管理體系認證；ISO 9001 質量管理體系認證；TL 9000電信行業(yè)質量管理體系

16、認證；ISO/TS 16949 汽車行業(yè)管理體系認證；ISO 14001環(huán)境管理體系認證；OHSAS 18001職業(yè)健康與安全管理體系認證；工業(yè)和信息化部計算機信息系統(tǒng)集成資質認證；工業(yè)和信息化部信息系統(tǒng)工程監(jiān)理資質認證；美國SEI軟件能力成熟模型(CMMI)評估；中國軟件過程及能力成熟度評估(SPCA)；,基礎知識,中國賽寶資質及業(yè)務,中國合格評定國家認可委員會（CNAS）的認可實驗室；公安部信息安全等級保護測評機構；