信息安全技术与管理的有效融合课件

1、信息安全技术与管理的有效融合,Trendsetting,1,2,3,4,信息安全管理实践,议程,案例及数据分享,管理实践,有效融合,体系构建,面对问题,案例分享,数据统计 据Gartner调查显示，超过85%的安全威胁来自组织内部，而其中通过即时通信、电子邮件泄露的电子数据信息损失占到30%-40%。在Fortune排名前100家的公司中，每次电子数据泄漏的平均损失是50万美元。其中一部分来自于企业内部人员与外部人员相勾结，另一部分则是别有用心的组织通过技术手段进行信息窃取。 2009年，IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示，这400人在过去

2、的12个月中碰到了大约5.8万起内部信息安全事件，也就是说平均每个企业每年将发生近150起内部信息安全事故,如何解决问题,部署网络/主机入侵检测系统,部署终端安全系统,部署SOC,部署加密系统,实施ISMS,执行信息系统审计,签署保密协议,技术手段,管理措施,管理实践,有效融合,体系构建,面对问题,如何面对信息安全问题,安全技术,安全管理,管理实践,有效融合,体系构建,面对问题,全面构建信息安全体系,技术架构,定义信息安全技术架构设计原则 分析信息安全技术功能需求 定义信息安全技术功能组件 划分安全区域 设计信息安全技术架构 信息安全技术系统部署,管理体系,制定明确的信息安全战略和方针 识别信

3、息资产和关键业务应用 执行风险评估和进行风险管理 制定信息安全策略、制度、流程及标准 信息安全意识培训和策略宣贯 执行监督和持续改进,管理实践,有效融合,体系构建,面对问题,信息安全体系规划原则,信息安全体系规划原则： 关注组织目标和合规风险 采用分阶段的建设方式，从重点问题着手 借鉴国际先进经验、依据国际标准及业界最佳实践 在确保安全性的前提下需注重实际可操作性和效率 以风险管理为基础，预防为主，防治结合 结合企业的战略和企业文化 关键因素：一个有效的信息安全体系应该是管理和技术的平衡和有效融合,管理实践,有效融合,体系构建,面对问题,技术与管理的平衡如何决策,技术,管理,决定因素,ISMS

4、、风险管理、IS审计,IPS、UTM、SSO、SOC,人员的意识、组织的执行力、成本效益分析,管理实践,有效融合,体系构建,面对问题,技术与管理如何有效融合,管理实践,有效融合,体系构建,面对问题,管理先行，带动技术需求,以规范的管理为技术的实施提供保障,管理关注全局，技术聚焦重点,沟通,管理的过程的控制须充分考虑技术手段,管理作为技术的有益补充，技术成为管理的可靠保障,管理清晰，技术透明,理解,基于ISO27001的信息安全管理体系架构,注：11控制域，39 控制目标，133控制措施,管理实践,有效融合,体系构建,面对问题,信息安全管理实践,管理实践,有效融合,体系构建,面对问题,业务目标,合规要求,企业治理,IT治理,ISO27001,最佳实践标准,驱动,COBIT/ISO38500,COSO/企业内部控制基本规范,ISO9001,ISO20000,IS Audit/ISACA,BS25999,服务热线：4