《08、ISO27001-2013介绍》由会员分享,可在线阅读,更多相关《08、ISO27001-2013介绍(33页珍藏版)》请在金锄头文库上搜索。
1、ISO/IEC27001:2013简介A brief introduction,用心服务,专业技术,合作发展,2 /33,亚远景,Disclosure/Alteration/Destruction组织面临的威胁,用心服务,专业技术,合作发展,3 /33,亚远景,什么是信息,信息是一种资产,就像企业其它资产一样重要,对企业具有重要的价值,因此需要受到适当的保护。 信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护,用心服务,专业技术,合作发展,4 /33,亚远景,什
2、么是信息安全,机密性:信息不可被未经授权之个人、实体、流程所取得或揭露的特性,可用性:基于需要可由授权者存取及使用的特性,性整完,征特的整完和,威胁,脆弱,确准产资护保,风险,用心服务,专业技术,合作发展,5 /33,亚远景,信息得到保障,信息安全4P-方针、过程、人员、产品,用心服务,专业技术,合作发展,6 /33,亚远景,现今的部署架构面临的挑战,Internet,Finance,Operations,Sales,WLAN Switch,Core Switch,IDS/IDP,Firewall,Router,A/D Server,Database Servers,Radius,ACS Se
3、rver,面对入侵迟钝的反应, 却花费大笔的金钱,而安全却毫无起色,用心服务,专业技术,合作发展,7 /33,亚远景,軟體驅動AP,會議室,倉儲作業,1. 無線電腦開機後發送PROBE連線請求,2. 週遭無線基地台回應 BEACONS,3. 無線電腦根據最佳的訊號強度, 雜訊等條件連接至最佳的AP無線基地台,4. 使用者可輕易設定為 Ad Hoc Network 模式與駭客連接,難以限制使用者的連線對象,意外連線,惡意連線,Ad Hoc Network,无线网络安全管理问题-无线连接行为难以管控,企業內部網路,Office周邊左鄰右舍,停車場,用心服务,专业技术,合作发展,8 /33,亚远景,
4、全球信息保护相关信息,20,80%的損失,是來自於電腦遺失/被竊取,網路入侵/駭客攻擊,在網路攻擊的20%內,有一半的比例,是駭客利用遺失/竊取得來的設備,利用既有的憑證/應用程式等進行合法的“機密資料竊取”。 (Source: Kensington Group,80,重要、機密資料被竊取的管道,用心服务,专业技术,合作发展,9 /33,亚远景,设备损失与资料外泄的成本,風險成本評估,用心服务,专业技术,合作发展,10 /33,亚远景,Introduction to ISO27001:2013 什么是信息安全管理体系,用心服务,专业技术,合作发展,11 /33,亚远景,信息安全管理,简称ISM
5、S (Information Security Management System,ISMS的目标是透过一整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。 ISMS利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果,并综合评估影响企业整体的因素,来制定适当的信息安全政策与信息安全作业准则,从而降低潜在的风险危机,用心服务,专业技术,合作发展,12 /33,亚远景,ISO27001:2013结构,用心服务,专业技术,合作发展,13 /33,亚远景,ISO27001:2013标准,用心服务,专业技术,合作发展,14 /33,亚远景,信
6、息安全管理体系之PDCA改進,用心服务,专业技术,合作发展,15 /33,亚远景,ISO27000 Today & Development信息安全市场现状与发展,用心服务,专业技术,合作发展,16 /33,亚远景,政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过ISMS认证的三大行业。 展望未来,政府部门或国营事业单位对信息安全服务仍有强烈的需求。 BPO,ITO及大型信息电子业则是下一波重点需求所在,这主要基于ISO 27001 已成为不少国际IT厂商对供应链厂商的审查要点之一,信息安全现状与发展,用心服务,专业技术,合作发展,17 /33,亚远景,截止2007年全球认证组织统计
7、,用心服务,专业技术,合作发展,18 /33,亚远景,截止2007年中国获认证的组织发展,用心服务,专业技术,合作发展,19 /33,亚远景,企业建置 ISMS 的效益,对外: 增加客户之信心及满意度 开拓国际及相关业务市场 强化企业品牌的市场竞争力 提高产品及服务质量 对内: 保护公司之机密信息及知识产权 增进信息系统之稳定性及可用性 降低因信息错误或泄漏造成之损失 改善员工信息管理环境并建立信心,用心服务,专业技术,合作发展,20 /33,亚远景,ISO27001 Consulting & CertificationISMS的导入与认证,用心服务,专业技术,合作发展,21 /33,亚远景,
8、亞遠景ISO27001諮詢輔導過程,用心服务,专业技术,合作发展,22 /33,亚远景,ISO27001项目导入规划,现况分析 -项目启动,团队组建 -组织现况了解与差异分析,风险评估与管理 -资产盘点与风险分析 - 详细风险评估与报告产出 - 风险处理作业,ISMS文件制定与实施 - ISM文件制订与实施 - 业务持续演练 - ISMS内部审计与管理评审,预评与认证 - ISMS预评 - 第一阶段认证 - 第二阶段认证,准备阶段,第2查核点,第3查核点,第1查核点,培训与宣传,实现阶段,认证阶段,运行阶段,用心服务,专业技术,合作发展,23 /33,亚远景,项目进度表,编号,工期9个月,任务
9、名称,09年9月,12月,8月,10年2月,12月,1,1个月,团队建设,2,1个月,专题培训,3,2个月,体系设计,4,3个月,过程定义,5,6个月,过程试点,6,6个月,全面实施,7,2个月,管理评审,8,1个月,评审认证,范围 界定,认证审核,专题 培训,过程 试点,过程 定义,体系 设计,全面 推广,项目启动,用心服务,专业技术,合作发展,24 /33,亚远景,企业参与ISO27001的单位,用心服务,专业技术,合作发展,25 /33,亚远景,信息安全推动小组职责与管理权限,用心服务,专业技术,合作发展,26 /33,亚远景,信息安全推动小组职责与管理权限,管理权责 信息安全推动委员会
10、 建立信息安全管理制度并推动信息安全相关事宜。 召集人(由中心主任担任) 负责召集信息安全管理审查会议,并追踪其决议事项。 督导本组织的风险评鉴作业。 督导本组织的持续营运计划的修订与演练。 信息安全稽核小组(5人) 执行信息安全管理之内部稽核作业。 信息安全工作小组(10人) 评估人员进用之安全性。 办理信息安全教育训练。 信息资产之安全需求研议、使用管理及保护等事项。 程序及规范书草拟,用心服务,专业技术,合作发展,27 /33,亚远景,信息安全推动小组职责与管理权限,管理事项如下: 信息安全政策制定及评估 组织的信息安全与分工 资产管理 人力资源的安全 实体与环境安全 通讯与作业管理 存
11、取控制 信息系统取得、开发及维护 信息安全事故管理 营运持续管理 遵循性,用心服务,专业技术,合作发展,28 /33,亚远景,信息安全管理体系文档架构,一级文件:政策性文件,适用性声明,二级文件:程序,三级文件:规划、手册、操作说明、 计划、管理办法,四级文件:表单、报告、记录、合约,属政策性文件,由ISMS推动委员会议,属于技术性与操作性文件由ISMS推动小组另订,用心服务,专业技术,合作发展,29 /33,亚远景,ISMS认证流程图,用心服务,专业技术,合作发展,30 /33,亚远景,成功的关键因素,经验显示,组织的信息安全能否成功实施,下列常为关键因素: 能反映营运目标的信息安全政策、目
12、标及活动。 与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。 资助信息安全管理活动。 提供适当的认知、训练及教育。 制定有效的信息安全事故管理过程。 实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统,用心服务,专业技术,合作发展,31 /33,亚远景,Worthy Technologies Inc.咨询单位介绍,用心服务,专业技术,合作发展,32 /33,亚远景,公司介紹,WTI是一家专为IT企业提供CMMI/ISO270
13、01/ISO2000咨询认证的专业机构。 WTI的服务可为您的企业建立有效的质量、安全管理体系,减少错误和开发成本,持续地满足和增强客户对您企业的信心。 WTI是SEI,BSI战略合作伙伴,中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。 WTI已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长,WTI积累了大量的历史数据和实践经验,确保您的企业与产品的成功。 WTI有一支全国认可专业咨询能力第一的顾问专家队伍,依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务,并协助客户
14、获得权威人员及机构的认证。 我司已经运行符合ISO27001标准的信息安全管理体系,我们期望能分享我们的经验,协助您在组织中建立各种管理体系,在市场上获取最大竞争优势,用心服务,专业技术,合作发展,33 /33,亚远景,Contact Us聯繫資訊,Shanghai Company: Tel: +86 21 5413 3280 Fax: +86 21 5413 3279 Guangzhou Company: Tel: +86 20 3848 0629 Fax: +86 20 3848 0654 Haerbin Company: Tel: +86 451 87003619 Fax: +86 451 87002209 HK Office: Tel: +852 9048 5027 Fax: +852 2987 2129 London Office: Tel: +44 (0)7739 989 867 Fax: +852 9048 5027 Site http:/ E-mail:
