《ISO27001简介导入(智天下顾问D)》由会员分享,可在线阅读,更多相关《ISO27001简介导入(智天下顾问D)(33页珍藏版)》请在金锄头文库上搜索。
1、专注标准化管理体系13年业精与勤荒于嬉ISO/IEC27001:2005简介与导入 智慧成就卓越专业创造价值2 /33智天下顾问Disclosure/Alteration/Destruction组织面临的威胁组织面临的威胁智慧成就卓越专业创造价值3 /33智天下顾问什么是信息n信息是一种资产,就像企业其它资产信息是一种资产,就像企业其它资产一一样重要,样重要,对对企业企业具有具有重要的重要的价值,因此需要受到价值,因此需要受到适当适当的的保护。保护。n信息的类型信息的类型n书写或打印于纸上书写或打印于纸上n储存在电子媒体上储存在电子媒体上n以邮寄或电子储存媒体传输以邮寄或电子储存媒体传输n显
2、示于企业影片上显示于企业影片上n言语言语-在对话中提出在对话中提出不管信息的形式是什么,或者共享或储存的方式是什不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。么,都应该受到适当的保护。智慧成就卓越专业创造价值4 /33智天下顾问什么是信息安全机密性:机密性:信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性:可用性:基于需要可由授权者存取及使用的特性。:性整完:性整完征特的整完和威胁脆弱确准产资护保风险智慧成就卓越专业创造价值5 /33智天下顾问信息得到保障 n n信息安全4P-方针、过程、人员、产品智慧成就卓越专业创造价值6 /33智天下顾问现今的部署架
3、构面临的挑战现今的部署架构面临的挑战InternetFinanceOperationsSalesWLAN SwitchCore SwitchIDS/IDPFirewallRouterA/D ServerDatabase ServersAccess SwitchAccess SwitchAccess Switch安装多个防护机安装多个防护机置于末端置于末端升級或改用拥有 802.1x 的交換器802.1x Switch802.1x Switch802.1x SwitchRadiusACS Server增加ACS server$於每個子網路加裝F/WRadius$加裝分系系統$增加 IDS/IDP
4、 toLAN 子網路$維運特徵值和政策userwith infection側錄每一個網路端點$設定/更改群組政策面对入侵迟钝的反应面对入侵迟钝的反应, 却花费大笔的却花费大笔的金钱,金钱,而安全却毫无起色而安全却毫无起色智慧成就卓越专业创造价值7 /33智天下顾问软件驱动软件驱动AP会议室仓储作业PROBESPROBESPROBES1. 无线计算机开机后发送无线计算机开机后发送PROBE联机请求联机请求2. 周遭无线基地台响应周遭无线基地台响应 BEACONS3. 无线计算机根据最佳的讯号强度无线计算机根据最佳的讯号强度,噪声等噪声等条件连接至条件连接至最佳的最佳的AP无线基地台无线基地台4.
5、 使用者可轻易设定为使用者可轻易设定为Ad Hoc Network模式与黑客连接模式与黑客连接难以限制用户的联机对象意外联机意外联机恶意联机恶意联机Ad Hoc Network无线网络安全管理问题无线网络安全管理问题-无线连接行为难以管控无线连接行为难以管控企业内部网络企业内部网络Office周边左邻右舍周边左邻右舍停车场停车场智慧成就卓越专业创造价值8 /33智天下顾问全球信息保护相关信息20%20%80%的損失,是來自於電腦遺失/被竊取網路入侵/駭客攻擊在網路攻擊的20%內,有一半的比例,是駭客利用遺失/竊取得來的設備,利用既有的憑證/應用程式等進行合法的“機密資料竊取”。(Source:
6、 Kensington Group)80%80%重要、機密資料被竊取的管道智慧成就卓越专业创造价值9 /33智天下顾问设备损失与资料外泄的成本设备损失与资料外泄的成本風險成本評估台幣3萬5千到10萬不等台幣7萬到30萬不等“無價”,損失以無法用價錢衡量商機損失法律責任與賠償客戶信心投資者信心管理政策異動更新保險作業流程資料復原時間使用者等待時間硬體資產軟體資產組織形象復原成本實體資產智慧成就卓越专业创造价值10 /33智天下顾问IntroductiontoISO27001:2005什么是信息安全管理体系什么是信息安全管理体系智慧成就卓越专业创造价值11 /33智天下顾问信息安全管理,简称ISM
7、S (Information Security Management System)nISMS的目标是透过一整体规划的信息安全的目标是透过一整体规划的信息安全解决方案,来确保企业所有信息系统和业务解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。的安全,并保持正常运作。nISMS利用风险分析管理工具,结合企业资利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱产列表和威胁来源的调查分析及系统安全弱点评估等结果,并综合评估影响企业整体的点评估等结果,并综合评估影响企业整体的因素,来制定适当的信息安全政策与信息安因素,来制定适当的信息安全政策与信息安全作业准则,从而
8、降低潜在的风险危机。全作业准则,从而降低潜在的风险危机。智慧成就卓越专业创造价值12 /33智天下顾问ISO27001:2005结构智慧成就卓越专业创造价值13 /33智天下顾问ISO27001:2005标准智慧成就卓越专业创造价值14 /33智天下顾问信息安全管理体系之信息安全管理体系之PDCA改進改進智慧成就卓越专业创造价值15 /33智天下顾问ISO27000Today&Development信息安全市场现状与发展信息安全市场现状与发展智慧成就卓越专业创造价值16 /33智天下顾问n政府部门或国营事业单位、金融业与信政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过息安全服务业
9、是目前国内通过ISMS认证认证的三大行业。的三大行业。n展望未来,政府部门或国营事业单位对展望未来,政府部门或国营事业单位对信息安全服务仍有强烈的需求。信息安全服务仍有强烈的需求。nBPO,ITO及大型信息电子业则是下一波及大型信息电子业则是下一波重点需求所在,这主要基于重点需求所在,这主要基于ISO 27001 已成为不少国际已成为不少国际IT厂商对供应链厂商的厂商对供应链厂商的审查要点之一。审查要点之一。信息安全现状与发展智慧成就卓越专业创造价值17 /33智天下顾问截止2007年全球认证组织统计智慧成就卓越专业创造价值18 /33智天下顾问截止2007年中国获认证的组织发展智慧成就卓越专
10、业创造价值19 /33智天下顾问企业建置 ISMS 的效益n对外:对外:n增加客户之信心及满意度n开拓国际及相关业务市场n强化企业品牌的市场竞争力n提高产品及服务质量n对内:对内:n保护公司之机密信息及知识产权n增进信息系统之稳定性及可用性n降低因信息错误或泄漏造成之损失n改善员工信息管理环境并建立信心智慧成就卓越专业创造价值20 /33智天下顾问ISO27001Consulting&CertificationISMS的的导入与认证导入与认证智慧成就卓越专业创造价值21 /33智天下顾问智天下ISO27001諮詢輔導過程智慧成就卓越专业创造价值22 /33智天下顾问ISO27001项目导入规划
11、项目导入规划 准备阶段 ll第第22查核点查核点ll第第33查核点查核点ll第第11查核点查核点持续改善持续改善培训与宣传培训与宣传实现阶段 认证阶段 运行阶段 智慧成就卓越专业创造价值23 /33智天下顾问项目进度表编号工期10个月任务名称第一月第四月第八月第六月第十月11个月个月团队建设21个月个月专题培训32个月个月体系设计43个月个月过程定义56个月个月过程试点66个月个月全面实施72个月个月管理评审81个月个月评审认证范围界定 认证审核专题培训过程试点过程定义体系设计全面推广项目启动智慧成就卓越专业创造价值24 /33智天下顾问企业参与ISO27001的单位智慧成就卓越专业创造价值2
12、5 /33智天下顾问信息安全推动小组职责与管理权限智慧成就卓越专业创造价值26 /33智天下顾问信息安全推动小组职责与管理权限管理权责管理权责信息安全推动委员会信息安全推动委员会n建立信息安全管理制度并推动信息安全相关事宜。建立信息安全管理制度并推动信息安全相关事宜。召集人召集人(由中心主任担任由中心主任担任)n负责召集信息安全管理审查会议,并追踪其决议事项。负责召集信息安全管理审查会议,并追踪其决议事项。n督导本组织的风险评鉴作业。督导本组织的风险评鉴作业。n督导本组织的持续营运计划的修订与演练。督导本组织的持续营运计划的修订与演练。信息安全稽核小组信息安全稽核小组(5人人)n执行信息安全管
13、理之内部稽核作业。执行信息安全管理之内部稽核作业。信息安全工作小组信息安全工作小组(10人人)n评估人员进用之安全性。评估人员进用之安全性。n办理信息安全教育训练。办理信息安全教育训练。n信息资产之安全需求研议、使用管理及保护等事项。信息资产之安全需求研议、使用管理及保护等事项。n程序及规范书草拟程序及规范书草拟智慧成就卓越专业创造价值27 /33智天下顾问信息安全推动小组职责与管理权限n管理事项如下:管理事项如下:n信息安全政策制定及评估信息安全政策制定及评估n组织的信息安全与分工组织的信息安全与分工n资产管理资产管理n人力资源的安全人力资源的安全n实体与环境安全实体与环境安全n通讯与作业管
14、理通讯与作业管理n存取控制存取控制n信息系统取得、开发及维护信息系统取得、开发及维护n信息安全事故管理信息安全事故管理n营运持续管理营运持续管理n遵循性遵循性智慧成就卓越专业创造价值28 /33智天下顾问信息安全管理体系文档架构信息安全管理体系文档架构一级文件:政策性文件,适用性声明二级文件:程序三级文件:规划、手册、操作说明、计划、管理办法四级文件:表单、报告、记录、合约属政策性文件,由ISMS推动委员会议属于技术性与操作性文件由ISMS推动小组另订智慧成就卓越专业创造价值29 /33智天下顾问ISMS认证流程图智慧成就卓越专业创造价值30 /33智天下顾问成功的关键因素n经验显示,组织的信
15、息安全能否成功实施,下列经验显示,组织的信息安全能否成功实施,下列常为关键因素:常为关键因素:n能反映营运目标的信息安全政策、目标及活动。能反映营运目标的信息安全政策、目标及活动。n与组织文化一致的实施、维护、监控、及改进信息安与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。全的方法与框架。n来自所有管理阶层的实际支持和承诺。来自所有管理阶层的实际支持和承诺。n对信息安全要求、风险评鉴以及风险管理的深入了解。对信息安全要求、风险评鉴以及风险管理的深入了解。n向全体管理人员、受雇人员、及相关人员有效推广信向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。息安全以达到认
16、知。n资助信息安全管理活动。资助信息安全管理活动。n提供适当的认知、训练及教育。提供适当的认知、训练及教育。n制定有效的信息安全事故管理过程。制定有效的信息安全事故管理过程。n实施一个用于评估实施一个用于评估ISMS的绩效及改进的回馈建议之的绩效及改进的回馈建议之量测系统。量测系统。智慧成就卓越专业创造价值31 /33智天下顾问Chitsconsulting.咨询单位介绍咨询单位介绍智慧成就卓越专业创造价值32 /33智天下顾问公司介紹公司介紹n智天下顧問是一家专为企业提供CMMI/ISO27001/ISO2000咨询认证的专业机构。 智天下顧問的服务可为您的企业建立有效的质量、安全管理体系,
17、减少错误和开发成本,持续地满足和增强客户对您企业的信心。n智天下顧問是SGS,BSI战略合作伙伴,中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。n智天下顧問已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长,智天下顧問积累了大量的历史数据和实践经验,确保您的企业与产品的成功。n智天下顧問有一支全国认可专业咨询能力第一的顾问专家队伍,依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务,并协助客户获得权威人员及机构的认证。n我司已经运行符合ISO27001标准的信息安全管理体
18、系,我们期望能分享我们的经验,协助您在组织中建立各种管理体系,在市场上获取最大竞争优势。智慧成就卓越专业创造价值33 /33智天下顾问ContactUs聯繫資訊聯繫資訊深圳市智天下管理顾问有限公司(总部)深圳市智天下管理顾问有限公司(总部)电话:0755-33153265369503313685214036943904传真:0755-27822567E-mail:全国客服热线:800-6300-556地址:深圳市宝安区25区华丰商务大厦B座622-623智天下管理顾问(上海)智天下管理顾问(上海)E-mail:专线电话:021-54866569手机电话:13917475688全国客服热线:80
19、0-6300-556地址:上海市闵行区七莘路3189弄38号801室智天下管理顾问(苏州)智天下管理顾问(苏州)E-mail:专线电话:0512-6239147918915401898全国客服热线:800-6300-556地址:苏州市高新区枫桥镇马浜花园182栋201智天下管理顾问(杭州)智天下管理顾问(杭州)E-mail:专线电话:15258882052全国客服热线:800-6300-556地址:杭州市上城区惠民路中山苑3幢910号智天下管理顾问(成都)智天下管理顾问(成都)E-mail:专线电话:13658008498全国客服热线:800-6300-556地址:成都市武候区晋吉北路282号长盛续景10幢2-201智天下管理顾问(江西)智天下管理顾问(江西)E-mail:专线电话:13879034456全国客服热线:800-6300-556地址:江西新余市丽景新村6栋1-202号官网:社区:新浪微博:中国顾问师论坛
