企业信息安全管理体系建设与运行方法探讨2011.7.26.ppt

1、广州信城通机密，未经许可不得扩散,企业信息安全管理体系（ISMS）建设与运行探讨,广州信城通数码科技有限公司 信息安全部 2011.7.26,广州信城通机密，未经许可不得扩散,讲师简介,邓生品 ISMS高级顾问、COBIT治理师/中国科技大学硕士 IBM、华为等ISMS体系建设标杆企业8年从业经历 联系 ,广州信城通机密，未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,信息安全一直伴随人类社会,从未离弃,广州信城通机密，未经许可不得扩散,计算机时代的信息安全走势,广州信城通机密，未经许可不得扩散,ICT技术的发展报

2、告 1997年，David Moschella对IT技术发展的历史和趋势给出了一个如左图所示的总结和预测,从微软windows系统漏洞看国际信息安全态势,广州信城通机密，未经许可不得扩散,占了OS世界市场90的微软操作系统被发现的脆弱数(漏洞)快速增长（见右表）; NSA认为，对美国国防部系统的成功攻击，90%以上是利用了已知的漏洞,从我国信息安全案件走势看国内信息安全态势,广州信城通机密，未经许可不得扩散,每年我国公安机关办理的各类信息安全违法犯罪案件数，都呈现20%左右的增速。大有GDP、CPI增速无法比拟的态势,企业的核心信息资产泄密的主要矛盾在哪里？,广州信城通机密，未经许可不得扩散,

3、企业42%的核心资产与人直接相关,46%与人紧密相关; 当与人关联时,就是规范化运作与建设的问题,即就是管理体系建设的问题,不是单纯技术能够解决的问题,综上：魔高一尺，道高一丈，ISMS应需而来,广州信城通机密，未经许可不得扩散,解决信息安全问题的两种方案 产品导向型 需求导向型 ISMS是需求导向型的解决信息安全问题的方案,广州信城通机密，未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,广州信城通机密，未经许可不得扩散,什么是信息安全管理体系（ ISMS ）？,2.1 ISMS概念（什么是信息、信息安全等）2.2 ISMS内容（ISMS体

4、系内容、标准介绍） 2.3 ISMS方法（安全测量、过程方法、风险管理）,广州信城通机密，未经许可不得扩散,什么是管理体系？,组织机构： 明确职责、权限 程序： 告诉相关人员怎么做 过程： 具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？ 资源： 可调配、使用的人员、设备等 培训,广州信城通机密，未经许可不得扩散,什么叫ISMS信息安全管理体系?,Information 信息 信息是一种重要资产，对组织的业务非常关键。 信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。 Information Security信息安

5、全 对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,Information Security Management System信息安全管理体系 是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。 简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。,step1,如果,广州信城通机密，未经许可不得扩散,什么是信息安全管理体系（ ISMS ）？,2.1 ISMS概念（什么是信息、信息安全等等）2.2 ISMS内容（ISMS体系内容、标准介绍） 2.3 ISMS方法（过程方法、风险管理、安全

6、测量）,广州信城通机密，未经许可不得扩散,ISO/IEC27000标准历史沿革,广州信城通机密，未经许可不得扩散,ISO/IEC27000体系类标准族解析,广州信城通机密，未经许可不得扩散,ISMS体系内容包含的11个模块,广州信城通机密，未经许可不得扩散,ISO/IEC27002:2005 的主要内容,广州信城通机密，未经许可不得扩散,什么是信息安全管理体系（ ISMS ）？,2.1 ISMS概念（什么是信息、信息安全等等）2.2 ISMS内容（ISMS体系内容、标准介绍） 2.3 ISMS方法（过程方法、风险管理、安全测量）,广州信城通机密，未经许可不得扩散,ISMS建设三个核心方法,过程

7、方法,风险方法,测量方法,广州信城通机密，未经许可不得扩散,测量方法,信息安全测量是计量学在信息安全领域的应用 信息安全测量模型 测量需求 测量客体 测量函数 分析模型 指标 决定准则,广州信城通机密，未经许可不得扩散,风险方法,广州信城通机密，未经许可不得扩散,过程方法,广州信城通机密，未经许可不得扩散,ISMS建设流程,广州信城通机密，未经许可不得扩散,提纲,为什么需要信息安全管理体系 什么是信息安全管理体系 怎样成功实施信息安全体系,广州信城通机密，未经许可不得扩散,怎样成功实施信息安全管理体系？,3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙”,俗话说“打

8、蛇打七寸”，ISMS的“七寸”何在？,广州信城通机密，未经许可不得扩散,有人把ISMS（信息安全管理体系）比喻成一栋大厦，有人把它比喻成一台机器无论比喻成什么，核心的思想就是在于说明：用正确的方法做正确的事情。 这要求考虑： 我们以什么作为指导思想来建设体系 我们遵循什么样的科学逻辑来实施与运作体系 我们依靠什么力量来保证正确的指导思想、科学的实施逻辑得以有效落地,体系的指导思想应是什么？,广州信城通机密，未经许可不得扩散,系列标准（对应被引为我国国家标准，比如：，引为我国国标等），经过实践证明是体系建设的最佳指导思想。 或许这样对比更容易理解，这个标准对的意义，就如指导原子弹成功研制的爱因斯

9、坦质能方程的意义一样，它将指导组织成功建立其核心资产保护体系。,体系的科学运营逻辑是什么？,广州信城通机密，未经许可不得扩散,美国管理学大师戴明发现了管理体系的运营规律，即戴明环，被所有管理体系标准遵从。,广州信城通机密，未经许可不得扩散,的解析,管理可控的ISMS,建立ISMS(P) 确定范围和方针 执行风险评估 选择控制措施 获得管理层批注 准备适用性声明,保持和改进ISMS(A) 评估残余或新风险 实施改进措施 传达改进情况 检查改进效果,实施和运行ISMS(D) 制定实施计划 实施控制措施 确定测量措施 培训和教育 运行和维护,监视和评审ISMS(C) 执行监控规程 定期审核和评审 更

10、新安全计划 记录监控结果,广州信城通机密，未经许可不得扩散,理清公司的安全流程制度体系,人的血液循环系统围绕心脏展开,从主动脉到各细小毛细血管,一脉相承,保证了生命新陈代谢. 参照以上规律,运作良好的组织,总会建立围绕其宗旨展开的,从战略层面到执行细节的制度体系,保证组织健壮的生命力. 比如一个有序文明的国家,总会具有从宪法到各规章制度的文件体系,指引公民的行为和权利行使良性展开.,ISMS文件金字塔内容示例,广州信城通机密，未经许可不得扩散,怎样成功实施信息安全管理体系？,3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙”,信息安全方针、目标和活动反映业务目标,广

11、州信城通机密，未经许可不得扩散,体系建设关键成功因素1,保证ISMS方向与企业战略方向一致,与组织文化一致的信息安全方法,广州信城通机密，未经许可不得扩散,体系建设关键成功因素2选择适合企业文化的信息安全执行文化,所有管理层可见的支持和承诺,广州信城通机密，未经许可不得扩散,体系建设关键成功因素3获得企业管理层的认可与授权,对信息安全要求、风险评估和风险管理有好的理解,广州信城通机密，未经许可不得扩散,体系建设关键成功因素4企业信息安全执行团队较好把握信息安全核心知识技能,有效地对员工和其他人推销信息安全,广州信城通机密，未经许可不得扩散,体系建设关键成功因素5对关联各方持续安全意识培育,向所

12、有员工和其他人分发信息安全指南,广州信城通机密，未经许可不得扩散,体系建设关键成功因素6编制和分发通俗易懂的安全操作手册,足够的财务支持,广州信城通机密，未经许可不得扩散,体系建设关键成功因素7将安全建设预算纳入公司年度财务预算,适当培训和教育,广州信城通机密，未经许可不得扩散,体系建设关键成功因素8培育员工适度的安全防护知识技能,有效的信息安全事故管理过程,广州信城通机密，未经许可不得扩散,体系建设关键成功因素9建立公司信息安全响应“神经系统”,广州信城通机密，未经许可不得扩散,怎样成功实施信息安全管理体系？,3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙”,安

13、全可控的 企业业务信息资源,体系前期咨询服务,安全咨询顾问服务，将把“用正确的方法做正确的事”这块布料，裁剪成适合你公司业务战略需求“身段”的衣服,建设过程风险评估与培训服务,安全风险评估与培训服务，帮助你日常有效运作信息安全管理体系，不致于你穿上的衣服洗了一两次以后，就缩水废弃了,运作中持续优化,持续的优化改进投入，确保了信息安全管理体系与时俱进保护你企业业务的健康良性发展大厦完工交付后，大厦的有序使用依赖于持续的管理维护,我们已经解码了“用正确的方法做正确的事” ，那么开启ISMS机器的“钥匙”在哪里？,广州信城通机密，未经许可不得扩散,是的，前述都没有错，但是，那又怎么样？,广州信城通机

14、密，未经许可不得扩散,一件事情带来的影响如果不是很大，就不会上升一个组织、或者国家用统一规范来持续运作与控制的高度，强调一下，这里说的是持续（除非这件事情因这个组织最高独裁者个人爱好而做，但这类决策不具备延续性）。,国际标准化组织 ISO/IEC JTC1/SC27/WG1 http:/www.jtc1sc27.din.de 国内标准化组织 全国信息安全标准化技术委员会 http:/ ,如果在这种高度下，企业都还不重视自身信息安全建设，轻者，企业面临的是自己时常给别人做嫁衣、或者企业社会名声受损；重者，违背国际、国家法律强制性要求，将受到限制、吊销运营资格，或者受到严肃法律制裁。,ISMS体系疏于建设,投资付诸东流,