ISO27001简介导入无密码.ppt

1、ISO/IEC27001:2005简介与导入 ,记住我，我的名字叫周武,Disclosure/Alteration/Destruction组织面临的威胁,什么是信息,信息是一种资产，就像企业其它资产一样重要，对企业具有重要的价值，因此需要受到适当的保护。 信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。,什么是信息安全,机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。,可用性：基于需要可由授权者存取及使用的特性。,：性整完,征特的整完和,威胁,

2、脆弱,确准产资护保,风险,信息得到保障,信息安全4P-方针、过程、人员、产品,现今的部署架构面临的挑战,Internet,Finance,Operations,Sales,WLAN Switch,Core Switch,IDS/IDP,Firewall,Router,A/D Server,Database Servers,Radius,ACS Server,$,$,面对入侵迟钝的反应, 却花费大笔的金钱，而安全却毫无起色,软件驱动AP,会议室,仓储作业,1. 无线计算机开机后发送PROBE联机请求,2. 周遭无线基地台响应 BEACONS,3. 无线计算机根据最佳的讯号强度,噪声等条件连接至最

3、佳的AP无线基地台,4. 使用者可轻易设定为Ad Hoc Network模式与黑客连接,难以限制用户的联机对象,意外联机,恶意联机,Ad Hoc Network,无线网络安全管理问题-无线连接行为难以管控,企业内部网络,Office周边左邻右舍,停车场,全球信息保护相关信息,20%,80%的損失，是來自於電腦遺失/被竊取,網路入侵/駭客攻擊,在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。 (Source: Kensington Group),80%,重要、機密資料被竊取的管道,设备损失与资料外泄的成本,風險成本評估,I

4、ntroduction to ISO27001:2005 什么是信息安全管理体系,信息安全管理，简称ISMS (Information Security Management System),ISMS的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作。 ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。,ISO27001:2005结构,ISO27001:2005标准,信息安全管理体系之PDCA改進,ISO27000

5、 Today & Development信息安全市场现状与发展,政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过ISMS认证的三大行业。 展望未来，政府部门或国营事业单位对信息安全服务仍有强烈的需求。 BPO,ITO及大型信息电子业则是下一波重点需求所在，这主要基于ISO 27001 已成为不少国际IT厂商对供应链厂商的审查要点之一。,信息安全现状与发展,截止2007年全球认证组织统计,截止2007年中国获认证的组织发展,企业建置 ISMS 的效益,对外： 增加客户之信心及满意度 开拓国际及相关业务市场 强化企业品牌的市场竞争力 提高产品及服务质量 对内： 保护公司之机密信息及知识

6、产权 增进信息系统之稳定性及可用性 降低因信息错误或泄漏造成之损失 改善员工信息管理环境并建立信心,ISO27001 Consulting & CertificationISMS的导入与认证,智天下ISO27001諮詢輔導過程,ISO27001项目导入规划,现况分析 -项目启动，团队组建 -组织现况了解与差异分析,风险评估与管理 -资产盘点与风险分析 - 详细风险评估与报告产出 - 风险处理作业,ISMS文件制定与实施 - ISM文件制订与实施 - 业务持续演练 - ISMS内部审计与管理评审,预评与认证 - ISMS预评 - 第一阶段认证 - 第二阶段认证,准备阶段,第2查核点,第3查核点,

7、第1查核点,培训与宣传,实现阶段,认证阶段,运行阶段,项目进度表,编号,工期10个月,任务名称,第一月,第四月,第八月,第六月,第十月,1,1个月,团队建设,2,1个月,专题培训,3,2个月,体系设计,4,3个月,过程定义,5,6个月,过程试点,6,6个月,全面实施,7,2个月,管理评审,8,1个月,评审认证,范围 界定,认证审核,专题 培训,过程 试点,过程 定义,体系 设计,全面 推广,项目启动,企业参与ISO27001的单位,信息安全推动小组职责与管理权限,信息安全推动小组职责与管理权限,管理权责 信息安全推动委员会 建立信息安全管理制度并推动信息安全相关事宜。 召集人(由中心主任担任)

8、 负责召集信息安全管理审查会议，并追踪其决议事项。 督导本组织的风险评鉴作业。 督导本组织的持续营运计划的修订与演练。 信息安全稽核小组(5人) 执行信息安全管理之内部稽核作业。 信息安全工作小组(10人) 评估人员进用之安全性。 办理信息安全教育训练。 信息资产之安全需求研议、使用管理及保护等事项。 程序及规范书草拟,信息安全推动小组职责与管理权限,管理事项如下： 信息安全政策制定及评估 组织的信息安全与分工 资产管理 人力资源的安全 实体与环境安全 通讯与作业管理 存取控制 信息系统取得、开发及维护 信息安全事故管理 营运持续管理 遵循性,信息安全管理体系文档架构,一级文件：政策性文件，适

9、用性声明,二级文件：程序,三级文件：规划、手册、操作说明、 计划、管理办法,四级文件：表单、报告、记录、合约,属政策性文件，由ISMS推动委员会议,属于技术性与操作性文件由ISMS推动小组另订,ISMS认证流程图,成功的关键因素,经验显示，组织的信息安全能否成功实施，下列常为关键因素： 能反映营运目标的信息安全政策、目标及活动。 与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。 资助信息安全管理活动。 提供适当的认知、训练及教育。

10、 制定有效的信息安全事故管理过程。 实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统。,Chits consulting.咨询单位介绍,公司介紹,智天下顧問是一家专为企业提供CMMI/ISO27001/ISO20000咨询认证的专业机构。 智天下顧問的服务可为您的企业建立有效的质量、安全管理体系，减少错误和开发成本，持续地满足和增强客户对您企业的信心。 智天下顧問是SGS，BSI战略合作伙伴，中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。 智天下顧問已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长，

11、智天下顧問积累了大量的历史数据和实践经验，确保您的企业与产品的成功。 智天下顧問有一支全国认可专业咨询能力第一的顾问专家队伍，依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务，并协助客户获得权威人员及机构的认证。 我司已经成功辅导多家ISO27001标准的信息安全管理体系，我们期望能分享我们的经验，协助您在组织中建立各种管理体系，在市场上获取最大竞争优势。,Contact Us聯繫資訊,深圳市智天下管理顾问有限公司（总部） 电话36950331 36852140 36943904传真-mail：全国客服热线：800-6300-556地址：深圳市宝安区25区华丰商务大厦B座622-623 智天下管理顾问（上海）E-mail： 电话： 专线电话：全国客服热线：800-6300-556地址：上海市闵行区七莘路3189弄38号801室 智天下管理顾问（苏州）E-mail：专线电话 全国客服热线： 地址：苏州市高新区枫桥镇马浜花园182栋201,智天下管理顾问（杭州）E-mail：专线电话： 全国客服热线：800-6300-556地址：杭州