企业信息安全管理体系建设与运行方法探讨726

广州信城通机密，未经许可不得扩散企业信息平安管理体系〔ISMS〕建设与运行探讨广州信城通数码科技信息平安部广州信城通机密，未经许可不得扩散讲师简介邓生品ISMS高级参谋、COBIT治理师/中国科技大学硕士IBM、华为等ISMS体系建设标杆企业8年从业经历联系：广州信城通机密，未经许可不得扩散提纲为什么需要信息平安管理体系什么是信息平安管理体系怎样成功实施信息平安体系信息平安一直伴随人类社会,从未离弃广州信城通机密，未经许可不得扩散计算机时代的信息平安走势广州信城通机密，未经许可不得扩散ICT技术的开展报告1997年，DavidMoschella对IT技术开展的历史和趋势给出了一个如左图所示的总结和预测从微软windows系统漏洞看国际信息平安态势广州信城通机密，未经许可不得扩散微软操作系统历年漏洞走势年份漏洞数20021712003345200431120054172006109020072437200841292009502820105897…………占了OS世界市场90％的微软操作系统被发现的脆弱数(漏洞)快速增长〔见右表〕;NSA认为，对美国国防部系统的成功攻击，90%以上是利用了的漏洞从我国信息平安案件走势看国内信息平安态势广州信城通机密，未经许可不得扩散年份立案数刑事案件数违法案件数200513500150813000200615090148014509200718050163215001200820085290819080200924582230222241201030901290830005每年我国公安机关办理的各类信息平安违法犯罪案件数，都呈现20%左右的增速。大有GDP、CPI增速无法比较的态势企业的核心信息资产泄密的主要矛盾在哪里？广州信城通机密，未经许可不得扩散企业42%的核心资产与人直接相关,46%与人紧密相关;当与人关联时,就是标准化运作与建设的问题,即就是管理体系建设的问题,不是单纯技术能够解决的问题综上：魔高一尺，道高一丈，ISMS应需而来广州信城通机密，未经许可不得扩散解决信息平安问题的两种方案产品导向型需求导向型ISMS是需求导向型的解决信息平安问题的方案广州信城通机密，未经许可不得扩散提纲为什么需要信息平安管理体系什么是信息平安管理体系怎样成功实施信息平安体系广州信城通机密，未经许可不得扩散什么是信息平安管理体系〔ISMS〕？2.1ISMS概念〔什么是信息、信息平安等〕

2.2ISMS内容〔ISMS体系内容、标准介绍〕2.3ISMS方法〔平安测量、过程方法、风险管理〕广州信城通机密，未经许可不得扩散什么是管理体系？组织机构：明确职责、权限程序：告诉相关人员怎么做过程：具体的执行情况，如何做的？比方执行人是否每周2次检查了某个应用程序的日志？资源：可调配、使用的人员、设备等培训资源过程程序组织结构管理体系广州信城通机密，未经许可不得扩散什么叫ISMS信息平安管理体系?Information信息信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。InformationSecurity信息平安对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。InformationSecurityManagementSystem信息平安管理体系是管理体系的一局部，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息平安。简单地说，是为了确保组织信息的“三性〞，设立的组织机构、程序、过程和资源。step1如果广州信城通机密，未经许可不得扩散什么是信息平安管理体系〔ISMS〕？2.1ISMS概念〔什么是信息、信息平安等等〕

2.2ISMS内容〔ISMS体系内容、标准介绍〕2.3ISMS方法〔过程方法、风险管理、平安测量〕广州信城通机密，未经许可不得扩散ISO/IEC27000标准历史沿革广州信城通机密，未经许可不得扩散ISO/IEC27000体系类标准族解析广州信城通机密，未经许可不得扩散ISMS体系内容包含的11个模块广州信城通机密，未经许可不得扩散ISO/IEC27002:2005的主要内容

广州信城通机密，未经许可不得扩散什么是信息平安管理体系〔ISMS〕？2.1ISMS概念〔什么是信息、信息平安等等〕

2.2ISMS内容〔ISMS体系内容、标准介绍〕2.3ISMS方法〔过程方法、风险管理、平安测量〕广州信城通机密，未经许可不得扩散ISMS建设三个核心方法过程方法风险方法测量方法广州信城通机密，未经许可不得扩散测量方法信息平安测量是计量学在信息平安领域的应用信息平安测量模型测量需求测量客体测量函数分析模型指标决定准那么广州信城通机密，未经许可不得扩散风险方法广州信城通机密，未经许可不得扩散过程方法广州信城通机密，未经许可不得扩散ISMS建设流程广州信城通机密，未经许可不得扩散提纲为什么需要信息平安管理体系什么是信息平安管理体系怎样成功实施信息平安体系广州信城通机密，未经许可不得扩散怎样成功实施信息平安管理体系？3.1确定指导思想与科学方法

3.2遵循关键成功要素

3.3获取启动“钥匙〞俗话说“打蛇打七寸〞，ISMS的“七寸〞何在？广州信城通机密，未经许可不得扩散有人把ISMS〔信息平安管理体系〕比喻成一栋大厦，有人把它比喻成一台机器……无论比喻成什么，核心的思想就是在于说明：用正确的方法做正确的事情。这要求考虑：１．我们以什么作为指导思想来建设ＩＳＭＳ体系２．我们遵循什么样的科学逻辑来实施与运作ＩＳＭＳ体系３．我们依靠什么力量来保证正确的指导思想、科学的实施逻辑得以有效落地ＩＳＭＳ体系的指导思想应是什么？广州信城通机密，未经许可不得扩散ＩＳＯ／ＩＥＣ２７０００系列标准〔对应被引为我国国家标准，比方ＩＳＯ／ＩＥＣ２７００１：２００５，引为我国国标ＧＢ／Ｔ２２０８０－２００８等〕，经过实践证明是ＩＳＭＳ体系建设的最正确指导思想。或许这样比照更容易理解，这个标准对ＩＳＭＳ的意义，就如指导原子弹成功研制的爱因斯坦质能方程的意义一样，它将指导组织成功建立其核心资产保护体系。ＩＳＭＳ体系的科学运营逻辑是什么？广州信城通机密，未经许可不得扩散

美国管理学大师戴明发现了管理体系的运营规律，即ＰＤＣＡ戴明环，被所有管理体系标准遵从。广州信城通机密，未经许可不得扩散ＩＳＭＳ的ＰＤＣＡ解析管理可控的ISMS建立ISMS(P)确定范围和方针执行风险评估选择控制措施获得管理层批注准备适用性声明保持和改进ISMS(A)评估剩余或新风险实施改进措施传达改进情况检查改进效果实施和运行ISMS(D)制定实施方案实施控制措施确定测量措施培训和教育运行和维护监视和评审ISMS(C)执行监控规程定期审核和评审更新平安方案记录监控结果广州信城通机密，未经许可不得扩散理清公司的平安流程制度体系人的血液循环系统围绕心脏展开,从主动脉到各细小毛细血管,一脉相承,保证了生命新陈代谢.参照以上规律,运作良好的组织,总会建立围绕其宗旨展开的,从战略层面到执行细节的制度体系,保证组织健壮的生命力.比方一个有序文明的国家,总会具有从宪法到各规章制度的文件体系,指引公民的行为和权利行使良性展开.ISMS文件金字塔内容例如广州信城通机密，未经许可不得扩散怎样成功实施信息平安管理体系？3.1确定指导思想与科学方法

3.2遵循关键成功要素

3.3获取启动“钥匙〞 信息平安方针、目标和活动反映业务目标广州信城通机密，未经许可不得扩散体系建设关键成功因素1,保证ISMS方向与企业战略方向一致与组织文化一致的信 息平安方法广州信城通机密，未经许可不得扩散体系建设关键成功因素2——选择适合企业文化的信息平安执行文化所有管理层可见的支持和承诺广州信城通机密，未经许可不得扩散体系建设关键成功因素3——获得企业管理层的认可与授权对信息平安要求、风险评估和风险管理有好的理解广州信城通机密，未经许可不得扩散体系建设关键成功因素4——企业信息平安执行团队较好把握信息平安核心知识技能有效地对员工和其他人推销信息平安广州信城通机密，未经许可不得扩散体系建设关键成功因素5——对关联各方持续平安意识培育向所有员工和其他人分发信息平安指南广州信城通机密，未经许可不得扩散体系建设关键成功因素6——编制和分发通俗易懂的平安操作手册足够的财务支持广州信城通机密，未经许可不得扩散体系建设关键成功因素7——将平安建设预算纳入公司年度财务预算适当培训和教育广州信城通机密，未经许可不得扩散体系建设关键成功因素8——培育员工适度的平安防护知识技能有效的信息平安事故管理过程广州信城通机密，未经许可不得扩散体系建设关键成功因素9——建立公司信息平安响应“神经系统〞广州信城通机密，未经许可不得扩散怎样成功实施信息平安管理体系？3.1确定指导思想与科学方法

3.2遵循关键成功要素

3.3获取启动“钥匙〞平安可控的企业业务信息资源体系前期咨询效劳平安咨询参谋效劳，将把“用正确的方法做正确的事〞这块布料，裁剪成适合你公司业务战略需求“身段〞的衣服建设过程风险评估与培训效劳平安风险评估与培训效劳，帮助你日常有效运作信息平安管理体系，不致于你穿上的衣服洗了一两次以后，就缩水废弃了运作中持续优化持续的优化改进投入，确保了信息平安管理体系与时俱进保护你企业业务的健康良性开展——大厦完工交付后，大厦的有序使用依赖于持续的管理维护我们已经解码了“用正确的方法做正确的事〞，那么开启ISMS机器的“钥匙〞在哪里？广州信城通机密，未经许可不得扩散是的，前述都没有错，但是，那又怎么样？广州信城通机密，未经许可不得扩散一件事情带来的影响如果不是很大，就不会上升一个组织、或者国家用统一标准来持续运作与控制的高度，强调一下，这里说的是持续〔除非这件事情因这个组织最高专制者个人爱好而做，但这类决策不具备延续性〕。国际标准化组织ISO/IECJTC1/SC27/WG1国内标准化组织全国信息平安标准化技术委员会如果在这种高度下，企业都还不重视自身信息平安建设，轻者，企业面临的是自己时常给别人做嫁衣、或者企业社会名声受损；重者，违背国际、国家法律强制性要求，将受到限制、撤消运营资格，或者受到严肃法律制裁