如何實現(xiàn)企業(yè)信息安全管理與業(yè)務(wù)流程的融合和實施

1、如何實現(xiàn)企業(yè)信息安全管理與業(yè)務(wù)流程的融合和實施,2024年3月27日,研討大綱,信息安全基礎(chǔ)知識,基礎(chǔ)知識,信息安全定義,保密性 Confidentiality：　信息不被可用或不被泄漏給未授權(quán)的個人、實體和過程的特性。完整性 Integrity保護資產(chǎn)的準(zhǔn)確和完整的特性?？捎眯?Availability：需要時，授權(quán)實體可以訪問和使用的特性。,基礎(chǔ)知識,信息安全管理體系（ISMS）定義,信息安全管理體系（Informati

2、on Security Management System）是企業(yè)整個管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系?；趯I(yè)務(wù)風(fēng)險的認(rèn)識，ISMS 包括建立、實施、操作、監(jiān)視、復(fù)查、維護和改進(jìn)信息安全等一系列的管理活動，表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。,基礎(chǔ)知識,資產(chǎn)定義,任何對組織有價值的事物（ISO/IEC13335-

3、1:2004) 數(shù)據(jù)資產(chǎn) 軟件資產(chǎn) 硬件資產(chǎn) 人員 服務(wù) 其它,基礎(chǔ)知識,威脅定義,可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。（ISO/IEC TR 13335-1:2004）威脅可以是故意的或意外的，人為的或天災(zāi)的，如：故意的：偷聽、惡意軟件；意外的：誤操作天災(zāi)的：地震、水災(zāi)、火災(zāi),基礎(chǔ)知識,脆弱性定義,可能會被一個或多個威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點。（ISO/IEC TR 13335-1:2004

4、）脆弱性本身不會導(dǎo)致?lián)p害，它只是一種條件或一組條件可能容許威脅影響資產(chǎn)；脆弱性如果不予管理，就會使得威脅變成現(xiàn)實例子：缺乏安全意識、電壓不穩(wěn)定、門沒鎖、不良的接線、位于易受洪水影響的區(qū)域、不受控的拷貝、員工短缺等,基礎(chǔ)知識,其他定義,風(fēng)險評估：風(fēng)險分析和風(fēng)險評價的全過程。風(fēng)險處理：選擇和實施措施以改變風(fēng)險的過程。風(fēng)險管理：指導(dǎo)和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。注：典型風(fēng)險管理包括風(fēng)險評估和風(fēng)險處理。,基礎(chǔ)知識,信息的生命周期

5、,,建立,貯存,處理,銷毀,傳送,丟失,損毀,使用,？,！,！,,,,,,,,,惡意或不當(dāng)行為,,,,,,信息的生命周期伴隨在業(yè)務(wù)流程中！,基礎(chǔ)知識,ISO 27001標(biāo)準(zhǔn)介紹,BS7799-1 操作規(guī)則,BS7799-2 認(rèn)證規(guī)范,1995年版,1999年版,1998年版,1999年版,ISO/IEC17799：2000,,,2002年版,,,,ISO/IEC17799：2005,,ISO/IEC27001：2005,,ISO/IEC

6、27002：2005,基礎(chǔ)知識,ISO 27001標(biāo)準(zhǔn)介紹,27000～27009：ISMS基本標(biāo)準(zhǔn)，27010～27019：ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔,認(rèn)證機構(gòu) 認(rèn)可要求,目前信息安全管理與企業(yè)業(yè)務(wù)流程的實施現(xiàn)狀,實施現(xiàn)狀,現(xiàn)狀1,對“信息安全管理”理解片面，不能正確理解信息安全管理目標(biāo)，完全與業(yè)務(wù)流程脫節(jié),信息安全就是計算機沒有病毒信息安全就是系統(tǒng)沒有漏洞信息安全就是信息保密沒有連接互聯(lián)網(wǎng)就是安全的有信息技術(shù)支持就

7、是安全的等,實施現(xiàn)狀,現(xiàn)狀2,“信息安全管理”沒有完全覆蓋企業(yè)的業(yè)務(wù)流程,業(yè)務(wù)過程識別不全面，導(dǎo)致信息安全管理漏洞，如銷售過程沒有識別、沒有考慮遠(yuǎn)程工作過程只關(guān)注了重要業(yè)務(wù)流程，如生產(chǎn)過程、設(shè)計過程,實施現(xiàn)狀,現(xiàn)狀3,信息安全控制措施不能在業(yè)務(wù)過程中有效實施,安全意識較差，安全規(guī)定不執(zhí)行關(guān)注“應(yīng)用性”，忽略了“安全性”缺少安全監(jiān)督檢查機制，控制措施不能有效落實缺乏持續(xù)改進(jìn)機制等,企業(yè)的信息安全風(fēng)險分布區(qū)域，忽略信息安全的危害,風(fēng)

8、險分布及危害,案例,19家企業(yè)信息安全問題總結(jié)：信息化基礎(chǔ)設(shè)施建設(shè)水平差，缺乏基本的安全保障僅有21%的企業(yè)信息化組織結(jié)構(gòu)和基礎(chǔ)設(shè)施的建設(shè)較好；有79%的企業(yè)信息化組織結(jié)構(gòu)和職責(zé)不明確，信息化制度缺失或制度不完善；機房簡陋，在防塵、防火、防水、溫濕度、電力等方面不符合要求，個別企業(yè)沒有建立機房；網(wǎng)絡(luò)系統(tǒng)為二層結(jié)構(gòu)，沒有部署防火墻等安全設(shè)備；,風(fēng)險分布及危害,風(fēng)險分布及危害,風(fēng)險分布及危害,案例,有89%的企業(yè)在信息安全管理和技術(shù)上存

9、在較嚴(yán)重的安全隱患網(wǎng)絡(luò)架構(gòu)不合理，沒有劃分安全區(qū)域，沒有部署防火墻等安全設(shè)備員工信息安全意識薄弱，沒有及時有效查殺病毒，病毒和木馬感染事件頻發(fā)重要計算機存在弱口令甚至沒有設(shè)置登錄口令重要應(yīng)用系統(tǒng)和服務(wù)器存在較嚴(yán)重的安全漏洞，易遭到攻擊或信息泄露重要技術(shù)機密文件沒有被有效保護，個別企業(yè)已經(jīng)發(fā)生過技術(shù)機密信息泄露事件，造成了損失,風(fēng)險分布及危害,風(fēng)險分布,分布在信息生命周期的各個環(huán)節(jié)，即業(yè)務(wù)過程中：組織安全人員安全基礎(chǔ)環(huán)境安

10、全設(shè)施的安全（通信線路、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、存儲等）應(yīng)用安全（系統(tǒng)軟件、應(yīng)用軟件）訪問控制備份及業(yè)務(wù)連續(xù)性,風(fēng)險分布及危害,危害,企業(yè)有哪些重要信息知識產(chǎn)權(quán)；技術(shù)秘密；重要的合同；客戶資料；軟件產(chǎn)品的源代碼；財務(wù)數(shù)據(jù)；內(nèi)部文件等,危害侵權(quán)；重要信息泄密；經(jīng)濟損失；業(yè)務(wù)中斷；企業(yè)倒閉,,基于ISO27001的信息安全風(fēng)險的認(rèn)識與評估流程：資產(chǎn)、風(fēng)險因素、風(fēng)險評價、風(fēng)險控制和處理,風(fēng)險認(rèn)識及評估,基于ISO

11、27001信息安全風(fēng)險的認(rèn)識,“組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險，建立、實施、運行、監(jiān)控、評審、保持并改進(jìn)文件化的信息安全管理體系”“考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)”“選擇適當(dāng)和相宜的安全控制措施” 制定風(fēng)險評估準(zhǔn)則和接受準(zhǔn)則。,風(fēng)險認(rèn)識及評估,風(fēng)險評估流程,風(fēng)險認(rèn)識及評估,風(fēng)險分析原理,如何在業(yè)務(wù)流程的控制節(jié)點融入信息安全的風(fēng)險控制措施，確保風(fēng)險可控,融入控制措施,基于業(yè)務(wù)流程的風(fēng)險評估控制措施考慮不同業(yè)務(wù)節(jié)點,識別

12、業(yè)務(wù)過程,識別業(yè)務(wù)過程對應(yīng)的資產(chǎn),識別威脅,識別脆弱性,,,,,,不同級別的風(fēng)險,,,制定控制措施,,,業(yè)務(wù)流程與信息安全管理整合實施的難點、方法與步驟,實施方法與步驟,導(dǎo)入以ISO27001為基礎(chǔ)的信息安全管理體系,,實施方法與步驟,ISO27001 11個控制域（最佳實踐）,實施方法與步驟,實施難點,領(lǐng)導(dǎo)層不關(guān)注員工安全意識薄弱，不支持資源的投入（人力、資金）專業(yè)技術(shù)性要求高解決辦法信息安全培訓(xùn)，提高

13、安全有意識和企業(yè)自身能力聘請專業(yè)的第三方公司協(xié)助,業(yè)務(wù)流程與信息安全管理整合的價值（信息安全管理體系實施的價值）,實施的價值,,○維持和增強公司競爭優(yōu)勢，促進(jìn)業(yè)務(wù)發(fā)展。 ○維護公司的聲譽和品牌，增強相關(guān)方的信任； ○滿足客戶和法律法規(guī)的信息安全要求； ○強化員工的信息安全意識，規(guī)范組織信息安全行為； ○保障公司業(yè)務(wù)的正常運

14、行 ○增強信息系統(tǒng)的安全性，減少安全事件帶來的影響和經(jīng)濟損失； ○提高信息安全管理水平，保障信息系統(tǒng)安全運行； ○找出與相關(guān)國際/國內(nèi)/行業(yè)標(biāo)準(zhǔn)的差異，增強合規(guī)性；○發(fā)現(xiàn)系統(tǒng)中潛在風(fēng)險與安全隱患，有效控制風(fēng)險；,實施的價值,來源：澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學(xué)術(shù)會議Australia, 5th -7th December, 2011,ISO2

15、7001實施效果調(diào)查,信息安全標(biāo)準(zhǔn)化管理及透明度,增強組織對信息安全的信心,有效的風(fēng)險管理,成熟、全面的信息安全管理,增強客戶信心,其他服務(wù)能力提升,實施的價值,來源：國際計算機科學(xué)與網(wǎng)絡(luò)安全期刊，2010年3月,ISO27001體系作用研究,中國賽寶資質(zhì)及業(yè)務(wù),ISO/IEC 27001 信息安全管理體系認(rèn)證；ISO/IEC 20000 IT服務(wù)管理體系認(rèn)證；ISO 9001 質(zhì)量管理體系認(rèn)證；TL 9000電信行業(yè)質(zhì)量管理體系

16、認(rèn)證；ISO/TS 16949 汽車行業(yè)管理體系認(rèn)證；ISO 14001環(huán)境管理體系認(rèn)證；OHSAS 18001職業(yè)健康與安全管理體系認(rèn)證；工業(yè)和信息化部計算機信息系統(tǒng)集成資質(zhì)認(rèn)證；工業(yè)和信息化部信息系統(tǒng)工程監(jiān)理資質(zhì)認(rèn)證；美國SEI軟件能力成熟模型(CMMI)評估；中國軟件過程及能力成熟度評估(SPCA)；,基礎(chǔ)知識,中國賽寶資質(zhì)及業(yè)務(wù),中國合格評定國家認(rèn)可委員會（CNAS）的認(rèn)可實驗室；公安部信息安全等級保護測評機構(gòu)；