信息安全技术与管理的有效融合ppt课件

1、Click to edit Master subtitle styleClick to edit Master title style信息平安技术与管理的有效交融信息平安技术与管理的有效交融Trendsetting 2 2/15/15 如何面对信息平安问题如何面对信息平安问题 全面构建信息平安体系全面构建信息平安体系 技术与管理的平衡和有效交融技术与管理的平衡和有效交融 信息平安管理实际信息平安管理实际议程议程3 3/15/15案例及数据分享管理实际有效交融体系构建面对问题面对问题案例分享案例分享数据统计数据统计据据GartnerGartner调查显示，超越调查显示，超越85%85%的平安要挟

2、来自组的平安要挟来自组织内部，而其中经过即时通讯、电子邮件泄露的织内部，而其中经过即时通讯、电子邮件泄露的电子数据信息损失占到电子数据信息损失占到30%-40%30%-40%。在。在FortuneFortune排名排名前前100100家的公司中，每次电子数据走漏的平均损失家的公司中，每次电子数据走漏的平均损失是是5050万美圆。其中一部分来自于企业内部人员与万美圆。其中一部分来自于企业内部人员与外部人员相勾结，另一部分那么是别有用心的组外部人员相勾结，另一部分那么是别有用心的组织经过技术手段进展信息窃取。织经过技术手段进展信息窃取。 20202020年，年，IDCIDC和和EMCEMC的平安子

3、公司的平安子公司RSARSA联手对大约联手对大约40400 0位企业主管级官员进展了调查。调查结果显示，位企业主管级官员进展了调查。调查结果显示，这这400400人在过去的人在过去的1212个月中碰到了大约个月中碰到了大约5.85.8万起内万起内部信息平安事件，也就是说平均每个企业每年将部信息平安事件，也就是说平均每个企业每年将发生近发生近150150起内部信息平安事故。起内部信息平安事故。4 4/15/15如何处理问题？部署网络部署网络/ /主机入侵检测系统？主机入侵检测系统？部署终端平安系统？部署终端平安系统？部署部署SOCSOC？部署加密系统？部署加密系统？施行施行ISMSISMS？执行

4、信息系统审计？执行信息系统审计？签署严密协议？签署严密协议？管理实际有效交融体系构建面对问题面对问题5 5/15/15如何面对信息平安问题？ 事件、缺点发生以后再采取相应事件、缺点发生以后再采取相应的技术或管理补救措施的技术或管理补救措施 不注重系统的架构和规划不注重系统的架构和规划被动型企业事件导向 强调信息平安管理的重要性强调信息平安管理的重要性 具有完好的平安管理组织，明确具有完好的平安管理组织，明确的职责划分的职责划分 完善的平安战略、规范和流程完善的平安战略、规范和流程 部署了根本平安系统和工具部署了根本平安系统和工具管理型企业管理导向 强调信息平安管理和技术的平衡强调信息平安管理和

5、技术的平衡 集成且一致的平安管理体系和技集成且一致的平安管理体系和技术架构术架构 强壮有力的信息平安组织保证强壮有力的信息平安组织保证 以风险为导向的控制和管理以风险为导向的控制和管理 预防为主、防治结合、内外兼修预防为主、防治结合、内外兼修成熟型企业风险导向 强调并依赖信息平安技术强调并依赖信息平安技术 拥有众多技术专家，并对平安组拥有众多技术专家，并对平安组织进展了详细的技术领域划分织进展了详细的技术领域划分 制定了根本的平安战略、规范和制定了根本的平安战略、规范和流程流程 部署各种先进的平安系统和工具部署各种先进的平安系统和工具技术型企业技术导向平安技术平安管理管理实际有效交融体系构建面

6、对问题面对问题6 6/15/15全面构建信息平安体系技术架构技术架构n定义信息平安技术架构设计原那么定义信息平安技术架构设计原那么n分析信息平安技术功能需求分析信息平安技术功能需求n定义信息平安技术功能组件定义信息平安技术功能组件n划分平安区域划分平安区域n设计信息平安技术架构设计信息平安技术架构n信息平安技术系统部署信息平安技术系统部署管理体系管理体系n制定明确的信息平安战略和方针制定明确的信息平安战略和方针n识别信息资产和关键业务运用识别信息资产和关键业务运用n执行风险评价和进展风险管理执行风险评价和进展风险管理n制定信息平安战略、制度、流程及规制定信息平安战略、制度、流程及规范范n信息平

7、安认识培训和战略宣贯信息平安认识培训和战略宣贯n执行监视和继续改良执行监视和继续改良管理实际有效交融体系构建体系构建面对问题面对问题7 7/15/15信息平安体系规划原那么n信息平安体系规划原那么：信息平安体系规划原那么：n关注组织目的和合规风险关注组织目的和合规风险n采用分阶段的建立方式，从重点问题着手采用分阶段的建立方式，从重点问题着手n自创国际先进阅历、根据国际规范及业界最正确实际自创国际先进阅历、根据国际规范及业界最正确实际n在确保平安性的前提下需注重实践可操作性和效率在确保平安性的前提下需注重实践可操作性和效率n以风险管理为根底，预防为主，防治结合以风险管理为根底，预防为主，防治结合

8、n结合企业的战略和企业文化结合企业的战略和企业文化n关键要素：一个有效的信息平安体系应该是管理和技术的平衡关键要素：一个有效的信息平安体系应该是管理和技术的平衡和有效交融。和有效交融。管理实际有效交融体系构建体系构建面对问题面对问题8 8/15/15技术与管理的平衡如何决策？技术技术管理管理决议要素决议要素? ?ISMSISMS、风险、风险管理、管理、ISIS审审计。计。IPSIPS、UTMUTM、SSOSSO、SOCSOC。人员的认识、组织的人员的认识、组织的执行力、本钱效益分执行力、本钱效益分析析管理实际有效交融有效交融体系构建体系构建面对问题面对问题9 9/15/15技术与管理如何有效交

9、融？管理实际有效交融有效交融体系构建体系构建面对问题面对问题组织目的组织目的管理先行，带动技管理先行，带动技术需求术需求以规范的管理为技以规范的管理为技术的施行提供保证术的施行提供保证管理关注全局，技管理关注全局，技术聚焦重点术聚焦重点沟通沟通管理的过程的控制管理的过程的控制须充分思索技术手须充分思索技术手段段管理作为技术的有益管理作为技术的有益补充，技术成为管理补充，技术成为管理的可靠保证的可靠保证管理明晰，技术透明管理明晰，技术透明了解了解1010/15/15基于ISO27001的信息平安管理体系架构A15 合规性相关方要求实施实施(D)(D)谋划谋划(P)(P)改良改良(A)(A)检查检

10、查(C)(C)相关方满意A14 业务延续性管理A13 信息平安事件管理A7 资产管理A6 组织信息平安A5 平安方针A11 访问控制A8 人力资源平安A9 物理/环境平安A10 通讯运营管理A12 信息系统获取、开发及维护人人员员技技术术信信息息流流程程环环境境注：注：11控制域，控制域，39 控制目的，控制目的，133控制措施控制措施管理实际管理实际有效交融有效交融体系构建体系构建面对问题面对问题1111/15/15信息平安管理实际管理实际管理实际有效交融有效交融体系构建体系构建面对问题面对问题业务目的业务目的合规要求合规要求企业治理企业治理IT治理治理ISO27001最正确实际规范最正确实际规范驱动驱动 COBIT/ISO38500COSO/企业内部控制根本规范企业内部控制根本规范ISO9001ISO20000IS