ISO27001简介导入(智天下顾问D)

ISO IEC27001 2005简介与导入 2 网站 社区 Disclosure Alteration Destruction组织面临的威胁 3 网站 社区 什么是信息 信息是一种资产 就像企业其它资产一样重要 对企业具有重要的价值 因此需要受到适当的保护 信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语 在对话中提出不管信息的形式是什么 或者共享或储存的方式是什么 都应该受到适当的保护 4 网站 社区 什么是信息安全 机密性 信息不可被未经授权之个人 实体 流程所取得或揭露的特性 可用性 基于需要可由授权者存取及使用的特性 性整完 征特的整完和 威胁 脆弱 确准产资护保 风险 5 网站 社区 信息得到保障 信息安全4P 方针 过程 人员 产品 6 网站 社区 现今的部署架构面临的挑战 Internet Finance Operations Sales WLANSwitch CoreSwitch IDS IDP Firewall Router A DServer DatabaseServers Radius ACSServer 面对入侵迟钝的反应 却花费大笔的金钱 而安全却毫无起色 7 网站 社区 软件驱动AP 会议室 仓储作业 1 无线计算机开机后发送PROBE联机请求 2 周遭无线基地台响应BEACONS 3 无线计算机根据最佳的讯号强度 噪声等条件连接至最佳的AP无线基地台 4 使用者可轻易设定为AdHocNetwork模式与黑客连接 难以限制用户的联机对象 意外联机 恶意联机 AdHocNetwork 无线网络安全管理问题 无线连接行为难以管控 企业内部网络 Office周边左邻右舍 停车场 8 网站 社区 全球信息保护相关信息 20 80 的損失 是來自於電腦遺失 被竊取 網路入侵 駭客攻擊 在網路攻擊的20 內 有一半的比例 是駭客利用遺失 竊取得來的設備 利用既有的憑證 應用程式等進行合法的 機密資料竊取 Source KensingtonGroup 80 重要 機密資料被竊取的管道 9 网站 社区 设备损失与资料外泄的成本 風險成本評估 10 网站 社区 IntroductiontoISO27001 2005什么是信息安全管理体系 11 网站 社区 信息安全管理 简称ISMS InformationSecurityManagementSystem ISMS的目标是透过一整体规划的信息安全解决方案 来确保企业所有信息系统和业务的安全 并保持正常运作 ISMS利用风险分析管理工具 结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果 并综合评估影响企业整体的因素 来制定适当的信息安全政策与信息安全作业准则 从而降低潜在的风险危机 12 网站 社区 ISO27001 2005结构 13 网站 社区 ISO27001 2005标准 14 网站 社区 信息安全管理体系之PDCA改進 15 网站 社区 ISO27000Today Development信息安全市场现状与发展 16 网站 社区 政府部门或国营事业单位 金融业与信息安全服务业是目前国内通过ISMS认证的三大行业 展望未来 政府部门或国营事业单位对信息安全服务仍有强烈的需求 BPO ITO及大型信息电子业则是下一波重点需求所在 这主要基于ISO27001已成为不少国际IT厂商对供应链厂商的审查要点之一 信息安全现状与发展 17 网站 社区 截止2007年全球认证组织统计 18 网站 社区 截止2007年中国获认证的组织发展 19 网站 社区 企业建置ISMS的效益 对外 增加客户之信心及满意度开拓国际及相关业务市场强化企业品牌的市场竞争力提高产品及服务质量对内 保护公司之机密信息及知识产权增进信息系统之稳定性及可用性降低因信息错误或泄漏造成之损失改善员工信息管理环境并建立信心 20 网站 社区 ISO27001Consulting CertificationISMS的导入与认证 21 网站 社区 智天下ISO27001諮詢輔導過程 22 网站 社区 ISO27001项目导入规划 现况分析 项目启动 团队组建 组织现况了解与差异分析 风险评估与管理 资产盘点与风险分析 详细风险评估与报告产出 风险处理作业 ISMS文件制定与实施 ISM文件制订与实施 业务持续演练 ISMS内部审计与管理评审 预评与认证 ISMS预评 第一阶段认证 第二阶段认证 准备阶段 第2查核点 第3查核点 第1查核点 培训与宣传 实现阶段 认证阶段 运行阶段 23 网站 社区 项目进度表 编号 工期10个月 任务名称 第一月 第四月 第八月 第六月 第十月 1 1个月 团队建设 2 1个月 专题培训 3 2个月 体系设计 4 3个月 过程定义 5 6个月 过程试点 6 6个月 全面实施 7 2个月 管理评审 8 1个月 评审认证 范围界定 认证审核 专题培训 过程试点 过程定义 体系设计 全面推广 项目启动 24 网站 社区 企业参与ISO27001的单位 25 网站 社区 信息安全推动小组职责与管理权限 26 网站 社区 信息安全推动小组职责与管理权限 管理权责 信息安全推动委员会建立信息安全管理制度并推动信息安全相关事宜 召集人 由中心主任担任 负责召集信息安全管理审查会议 并追踪其决议事项 督导本组织的风险评鉴作业 督导本组织的持续营运计划的修订与演练 信息安全稽核小组 5人 执行信息安全管理之内部稽核作业 信息安全工作小组 10人 评估人员进用之安全性 办理信息安全教育训练 信息资产之安全需求研议 使用管理及保护等事项 程序及规范书草拟 27 网站 社区 信息安全推动小组职责与管理权限 管理事项如下 信息安全政策制定及评估组织的信息安全与分工资产管理人力资源的安全实体与环境安全通讯与作业管理存取控制信息系统取得 开发及维护信息安全事故管理营运持续管理遵循性 28 网站 社区 信息安全管理体系文档架构 一级文件 政策性文件 适用性声明 二级文件 程序 三级文件 规划 手册 操作说明 计划 管理办法 四级文件 表单 报告 记录 合约 属政策性文件 由ISMS推动委员会议 属于技术性与操作性文件由ISMS推动小组另订 29 网站 社区 ISMS认证流程图 30 网站 社区 成功的关键因素 经验显示 组织的信息安全能否成功实施 下列常为关键因素 能反映营运目标的信息安全政策 目标及活动 与组织文化一致的实施 维护 监控 及改进信息安全的方法与框架 来自所有管理阶层的实际支持和承诺 对信息安全要求 风险评鉴以及风险管理的深入了解 向全体管理人员 受雇人员 及相关人员有效推广信息安全以达到认知 资助信息安全管理活动 提供适当的认知 训练及教育 制定有效的信息安全事故管理过程 实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统 31 网站 社区 Chitsconsulting 咨询单位介绍 32 网站 社区 公司介紹 智天下顧問是一家专为企业提供CMMI ISO27001 ISO2000咨询认证的专业机构 智天下顧問的服务可为您的企业建立有效的质量 安全管理体系 减少错误和开发成本 持续地满足和增强客户对您企业的信心 智天下顧問是SGS BSI战略合作伙伴 中国软件行业协会专家委员单位 曾多次被政府和民间机构评选为CMMI咨询能力第一名 智天下顧問已为中国80多家客户提供了不同行业各细分领域的质量管理 人信息安全和IT运维管理服务 8年的专业成长 智天下顧問积累了大量的历史数据和实践经验 确保您的企业与产品的成功 智天下顧問有一支全国认可专业咨询能力第一的顾问专家队伍 依据业界公认的国际标准CMMI ISO27001 ISO20000对用户提供专业辅导服务 并协助客户获得权威人员及机构的认证 我司已经运行符合ISO27001标准的信息安全管理体系 我们期望能分享我们的经验 协助您在组织中建立各种管理体系 在市场上获取最大竞争优势 33 网站 社区 ContactUs聯繫資訊 深圳市智天下管理顾问有限公司 总部 电话 0755 33153265369503313685214036943904传真 0755 27822567E mail sz 全国客服热线 800 6300 556地址 深圳市宝安区25区华丰商务大厦B座622 623智天下管理顾问 上海 E mail sh 专线电话 021 54866569手机电话国客服热线 800 6300 556地址 上海市闵行区七莘路3189弄38号801室智天下管理顾问 苏州 E mail suz 专线电话 0512 6239147918915401898全国客服热线 800 6300 556地址 苏州市高新区枫桥镇马浜花园182栋201 智天下管理顾问 杭州 E mail hz 专线电话国客服热线 800 6300 556地址 杭州市