ISMS与公司治理.ppt

1、ISMS和公司治理，潭江大学信息管理系副教授兼主任索书商中华民国93年十月2日，2，ISMS和公司治理，信息安全管理系统(ISMS)信息安全管理系统(ISMS)(证券期货市场发展基金会)，3，5个公司治理原则，国际经济合作与发展组织(OECD)公司治理结构应保护股东的基本权利和决策参与权。公司治理结构要公平对待所有大大小小的股东和外国股东。公司治理结构应该鼓励利益相关者的法律权益和作用积极合作于创造财富、工作、健全的财务等方面。公司治理结构必须确保公司财务状况、绩效、所有权和其他重要信息的准确披露和透明度。公司治理结构必须保证公司董事会的战略地图和有效性监督。4，信息安全，信息安全认知教育训练

2、KPMG朱成光，5，6，7，事项事件第3页(信息安全3要素)，政府机构信息安全风险评估和控制近业中信万有云4/29/2004，8，信息安全相关图，9 构建信息安全管理系统2002/10 ISO/IEC 1799:2000信息安全管理系统操作点(指导文档)10个管理项目36个执行目标127个控制项目BS 7799-233602002信息安全管理系统要求(必需要求)CNS 17799和CNS 1779 BS7799是英国标准局(BSI)牙齿制定的信息安全管理标准，包括Part One ISMS法规(specification for information security management

3、systems)牙齿，即Part Two信息安全管理实施点总计36个控制目标和127个控制措施BS 7799-2:2002 Part 2(第2部分)信息安全管理系统信息安全表specification for information security management systems法规描述了公司为实施和管理信息安全而要做的事情(what)。程序准确地说明了公司如何达到(how)上层规范和政策规定的要求。信息安全政策组织必须思考和衡量信息安全对组织的重要性。信息的安全性和便利性冲突时，组织应如何选择？管理系统必须明确定义应保护哪些信息安全资产。详细列表使风险评估能够计算每项资产的价值，通过

4、分析安全弱点和可能的攻击，汇总定义整体信息安全的风险。，17，信息安全管理系统(ISMS)计划，信息安全策略设置，定义信息安全管理范围，信息安全风险评估，信息安全风险管理，信息安全管理项目选择，安全威胁和弱点的影响和影响评估，资产确认，资产确认，加强组织安全：bs 7772减少弱点意味着安全漏洞少，欺诈、财产风险、法律风险也减少，当然，网络的正常运行时间和客户信任度也会提高。提高安全计划的效率：BS7799列出了127个控制项目和控制详细信息，这些项目属于10个领域，指导组织如何进行人力资源、法律和突发事件响应计划。这些关于信息安全的全面、详细的建议将使组织在开始引入安全措施时更加完善、更容易

5、管理、更经济高效。提高安全管理效率：所有组织都必须开始制定或重新审查信息安全政策和程序。与组织的一般安全计划不同，BS7799被确认为信息安全的最佳实践指导原则。像BT、HSBC、Marks and Spenser、Shell International和Unilever这样的人对BS7799开发做出了很大贡献，并在实际业务环境中测试了其效果。19，持续保护：组织获得认证后，审计机关的持续检查和BS7799更新将使组织始终了解最新的弱点和最佳实践指导规则。改善合作伙伴关系：为了更好地保护组织网络和执行电子数据更换(EDE)，组织可以将BS7799认证用作合作伙伴和供应商的安全要求。安全电子商务

6、：BS7799是一种安全徽章，可轻松区分经过认证的电子商务公司，无论其金融机构还是电子商店。引入了BS7799标准企业，sementex，20，提高了客户信心。客户和供应商对网络安全漏洞越来越谨慎，开始寻求具体的安全保障。BS7799认证可以提供他们需要的自信。提高审计投资回报率(ROI):bs 7799包括认证流程和委托审计机构。以后，当BS7799成为行业标准时，越来越多的组织委托独立审计机构进行安全策略检测和评估，以遵循审计程序，安全审计也变得越来越准确可靠。降低法律风险：如果组织通过BS7799认证，就可以减少安全突发事件带来的法律问题。因为法庭认为，组织充分保护了组织符合该标准的事实