信息安全体系咨询_第1页
信息安全体系咨询_第2页
信息安全体系咨询_第3页
信息安全体系咨询_第4页
信息安全体系咨询_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息平安体系咨询效劳介绍2021年2月概述第一局部公司介绍第二局部信息平安的标准和模型第三局部工程实施过程第四局部成功案例公司介绍公司简介上讯信息成立于2001年,注册资金2150万元,拥有系统集成三级资质和平安效劳一级资质,公司以广为推崇的国际标准、最正确实践〔ISO20000、ISO27001、ISO15408、COBIT等〕为蓝本,为中国广阔的行业用户提供的网络平安、信息平安的全面解决方案及咨询效劳,并向客户提供全面平安解决方案中所需的各项平安工具及管理决策平台,并在平安咨询效劳中提供全面的教育培训以及卓越的售后效劳。平安咨询业务体系业务体系SecurityConsulting信息安全顾问咨询SecurityCetificate信息安全资质认证SecurityManagement信息安全服务管理

SecurityImplementation信息安全产品集成SecurityEducation信息安全培训教育公司人员队伍BS7799LAISO27001LAISO20000LACISPCISABS25999IMCCNPCCIEOCP及众多厂商认证持有者国家CNCERT〔中国网络平安应急响应小组〕网络协作成员;公司多名员工曾参加过国家863工程S219网络平安工程。X-cert紧急响应小组概述第一局部公司介绍第二局部信息平安的标准和模型第三局部工程实施过程第四局部成功案例信息平安概念ISO27000系列开展背景信息平安概念问题的提出?信息平安管理,究竟管什么?信息平安管理如何管?如何改变头痛医头脚痛医脚?是否有成熟的信息平安管理模型可以借鉴?我要怎么样去规划组织信息平安建设?信息平安的CIA目标保护信息的保密性、完整性和可用性

—ISO27002ConfidentialityIntegrityAvailabilityInformation信息平安概念ISO27001系列ISO27001系列信息平安管理体系ISO27002控制集11大平安领域,39项控制目标,133项控制措施符合性(Compliance)业务连续性管理(Businesscontinuitymanagement)信息安全事件管理(Informationsecurityincidentmanagement)访问控制(Accesscontrol)人力资源安全(Humanresources

security)物理和环境安全(Physicaland

environmental

security)通信和操作安全(Communications

andoperationsManagement)信息系统获取开发和维护(Informationsystem

acquisition,development

andmaintenance)资产管理(Assetmanagement)信息安全组织(Organizinginformationsecurity)安全策略(SecurityPolicy)ISO27001系列ISO27002(ISO17799)ISO27001CodeofPractice作业规范Requirement认证要求包含经过实证的信息安全程序和信息安全措施的综合列表包含对ISMS的要求,构成PDCA循环(条款4-8中叙述)涵盖11个领域包含11个安全领域,39个控制目标,构成133个控制措施(附录A中叙述)可作为了解ISO/IEC27001中要求的基础着重于预防性而非纠正性措施不适合作为认证的判定标准适用于ISMS体系认证的判定标准ISO27002-基于风险分析的平安管理方法信息平安管理是指导和控制组织的关于信息平安风险的相互协调的活动。制定信息平安策略方针风险评估和管理控制目标和方式选择风险控制和处理平安保证信息平安策略方针为信息平安管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的根底上。考虑控制本钱与风险平衡的原那么,将风险降低到组织可接受的水平。需要全员参与。遵循管理的PDCA模型。ISO27001系列ISO27005以风险为核心的平安模型风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足ISO27001系列ISO27001系列信息平安管理模型ISO27001系列管理体系核心持续改进建立ISMS实施与运作ISMS监视与评审ISMS保持与改进ISMSISO27001系列根据ISO/IEC27001实施ISMS并进行认证,充分证明您的组织风险已得到正确的识别、评估和管理,同时使信息平安流程、程序和文档得到正式化证明您在信息维护、信息平安管理方面所作的承诺定期评估过程有助于您持续监控您的绩效与改进证明您可以独立保证内部控制,同时符合公司治理和业务连续性要求充分证明您遵守适用的法律法规通过符合合同要求,并向客户证明它们的信息平安是您的头等大事,从而带来竞争优势建制ISMS的收益开展背景国家\地区证书数目UK405日本3378大陆250台湾344印度483美国95全球6037截止09年12月ISO27001证书数目统计:开展背景ISO27001INCHINA:大陆 250〔2021.12〕银行业:交通银行大连银行信息科技部上海银行信息科技部建设银行山东省分行光大银行信息卡中心…..更多行业企业已进行体系建设工作。概述第一局部公司介绍第二局部信息平安的标准和模型第三局部工程实施过程第四局部成功案例整体概述建制实施工作整体概述整体概述多级培训团队建设建制实施工作风险管理风险评估风险分析参考〔ISO/IEC27001:20054.2.1a~j〕建制实施工作识别风险监控风险处置风险提升平安建制实施工作识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险(测量与等级划分)接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受风险管理建制实施工作参照国际风险评估平安要素提取惯例和标准,调查分析用户的已有策略,从管理、制度、落实情况、物理平安、人员平安、第三方平安等等各方面来评估分析。调查业务流程,并对信息资产进行赋值和等级划分;结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行平安性评估,最终完成信息平安风险报告。具体内容包括:◆策略制度调查分析◆平安需求分析◆资产调查分析◆业务流程分析◆网络架构分析◆工具扫描分析◆人工评估分析◆数据库平安审计◆渗透测试分析◆平安等级划分风险评估量化方法脆弱级别严重风险系数3普通风险系数2一般风险系数1被利用的可能性完全可能风险系数3几乎不可能风险系数2不可能风险系数1信息资产的价值非常重要风险系数3一般重要风险系数2不重要风险系数1如上所示通过简单的定义,我们就能精确的量化风险值。Risk=AssetxThreatxVulnerability风险值=资产价值X威胁的可能性X资产脆弱级别建制实施工作建制实施工作风险RISKRISKRISKRISK风险根本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险控制措施?-----分层式风险消除管理层操作层物理层应用层系统层数据层网络层防静电、防雷击、灾难备份、冗余身份认证、权限控制等

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论