《信息安全技术与管理的有效融合》由会员分享,可在线阅读,更多相关《信息安全技术与管理的有效融合(12页珍藏版)》请在金锄头文库上搜索。
1、Click to edit Master subtitle styleClick to edit Master title style信息安全技术与管理的有效融合信息安全技术与管理的有效融合Trendsetting 2 2/15/15 如何面对信息安全问题如何面对信息安全问题1 1 全面构建信息安全体系全面构建信息安全体系2 2 技术与管理的平衡和有效融合技术与管理的平衡和有效融合3 3 4 4 信息安全管理实践信息安全管理实践议程议程3 3/15/15案例及数据分享管理实践有效融合体系构建面对问题面对问题案例分享案例分享数据统计数据统计据Gartner调查显示,超过85%的安全威胁来自组织内
2、部,而其中通过即时通信、电子邮件泄露的电子数据信息损失占到30%-40%。在Fortune排名前100家的公司中,每次电子数据泄漏的平均损失是50万美元。其中一部分来自于企业内部人员与外部人员相勾结,另一部其中一部分来自于企业内部人员与外部人员相勾结,另一部分则是别有用心的组织通过技术手段进行信息窃取。分则是别有用心的组织通过技术手段进行信息窃取。 2009年,IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示,这400人在过去的12个月中碰到了大约5.8万起内部信息安全事件,也就是说平均每个企业每年将发生近150起内部信息安全事故。4 4/15/15如何
3、解决问题?部署网络部署网络/ /主机入侵检测系统?主机入侵检测系统?部署终端安全系统?部署终端安全系统?部署部署SOCSOC?部署加密系统?部署加密系统?实施实施ISMSISMS?执行信息系统审计?执行信息系统审计?签署保密协议?签署保密协议?技术手段技术手段技术手段技术手段 管理措施管理措施管理措施管理措施管理实践有效融合体系构建面对问题面对问题5 5/15/15如何面对信息安全问题?事件、故障发生以后再采取相应事件、故障发生以后再采取相应的技术或管理补救措施的技术或管理补救措施不注重系统的架构和规划不注重系统的架构和规划被动型企业(事件导向)强调信息安全管理的重要性强调信息安全管理的重要性
4、具有完整的安全管理组织,明确具有完整的安全管理组织,明确的职责划分的职责划分完善的安全策略、标准和流程完善的安全策略、标准和流程部署了基本安全系统和工具部署了基本安全系统和工具管理型企业(管理导向)强调信息安全管理和技术的平衡强调信息安全管理和技术的平衡集成且统一的安全管理体系和技集成且统一的安全管理体系和技术架构术架构强健有力的信息安全组织保障强健有力的信息安全组织保障以风险为导向的控制和管理以风险为导向的控制和管理预防为主、防治结合、内外兼修预防为主、防治结合、内外兼修成熟型企业(风险导向)强调并依赖信息安全技术强调并依赖信息安全技术拥有众多技术专家,并对安全组拥有众多技术专家,并对安全组
5、织进行了详细的技术领域划分织进行了详细的技术领域划分制定了基本的安全策略、标准和制定了基本的安全策略、标准和流程流程部署各种先进的安全系统和工具部署各种先进的安全系统和工具技术型企业(技术导向)安全技术安全管理管理实践有效融合体系构建面对问题面对问题6 6/15/15全面构建信息安全体系技术架构技术架构n定义信息安全技术架构设计原则定义信息安全技术架构设计原则n分析信息安全技术功能需求分析信息安全技术功能需求n定义信息安全技术功能组件定义信息安全技术功能组件n划分安全区域划分安全区域n设计信息安全技术架构设计信息安全技术架构n信息安全技术系统部署信息安全技术系统部署管理体系管理体系n制定明确的
6、信息安全战略和方针制定明确的信息安全战略和方针n识别信息资产和关键业务应用识别信息资产和关键业务应用n执行风险评估和进行风险管理执行风险评估和进行风险管理n制定信息安全策略、制度、流程及标制定信息安全策略、制度、流程及标准准n信息安全意识培训和策略宣贯信息安全意识培训和策略宣贯n执行监督和持续改进执行监督和持续改进管理实践有效融合体系构建体系构建面对问题面对问题7 7/15/15信息安全体系规划原则n信息安全体系规划原则信息安全体系规划原则:n关注组织目标和合规风险n采用分阶段的建设方式,从重点问题着手n借鉴国际先进经验、依据国际标准及业界最佳实践n在确保安全性的前提下需注重实际可操作性和效率
7、n以风险管理为基础,预防为主,防治结合n结合企业的战略和企业文化n关键因素关键因素:一个有效的信息安全体系应该是管理和技术的平一个有效的信息安全体系应该是管理和技术的平衡和有效融合。衡和有效融合。管理实践有效融合体系构建体系构建面对问题面对问题8 8/15/15技术与管理的平衡如何决策?技术技术管理管理决定因素决定因素? ?ISMSISMS、风险、风险管理、管理、ISIS审审计。计。IPSIPS、UTMUTM、SSOSSO、SOCSOC。人员的意识、组织的人员的意识、组织的执行力、成本效益分执行力、成本效益分析析管理实践有效融合有效融合体系构建体系构建面对问题面对问题9 9/15/15技术与管
8、理如何有效融合?管理实践有效融合有效融合体系构建体系构建面对问题面对问题组织目标组织目标管理先行,带动技管理先行,带动技术需求术需求以规范的管理为技以规范的管理为技术的实施提供保障术的实施提供保障管理关注全局,技管理关注全局,技术聚焦重点术聚焦重点沟通沟通管理的过程的控制管理的过程的控制须充分考虑技术手须充分考虑技术手段段管理作为技术的有益管理作为技术的有益补充,技术成为管理补充,技术成为管理的可靠保障的可靠保障管理清晰,技术透明管理清晰,技术透明理解理解1010/15/15基于ISO27001的信息安全管理体系架构A15 合规性相关方要求实施实施(D)(D)策划策划(P)(P)改进改进(A)
9、(A)检查检查(C)(C)相关方满意A14 业务连续性管理A13 信息安全事件管理A7 资产管理A6 组织信息安全A5 安全方针A11 访问控制A8 人力资源安全A9 物理/环境安全A10 通讯运营管理A12 信息系统获取、开发及维护人人员员技技术术信信息息流流程程环环境境注:注:11控制域,控制域,39 控制目标,控制目标,133控制措施控制措施管理实践管理实践有效融合有效融合体系构建体系构建面对问题面对问题1111/15/15信息安全管理实践管理实践管理实践有效融合有效融合体系构建体系构建面对问题面对问题业务目标业务目标合规要求合规要求企业治理企业治理IT治理治理ISO27001最佳实践标准最佳实践标准驱动驱动 COBIT/ISO38500COSO/企业内部控制基本规范企业内部控制基本规范ISO9001ISO20000IS Audit/ISACABS259991212/15/15 服务热线:服务热线:400 - 678 - 1822 公司网址:公司网址:北京趋势引领信息咨询有限公司北京趋势引领信息咨询有限公司Trendsetting Consulting Co., Ltd.