1、如何实现企业信息安全管理与如何实现企业信息安全管理与业务流程的融合和实施业务流程的融合和实施2022年年6月月16日日目前信息安全管理与企业业务流程的实施现状1研讨大纲研讨大纲企业的信息安全风险分布区域,忽略信息安全的危害基于ISO27001的信息安全风险的认识与评估流程:资产、风险因素、风险评价、风险控制和处理如何在业务流程的控制节点融入信息安全的风险控制措施,确保风险可控业务流程与信息安全管理整合实施的难点、方法与步骤业务流程与信息安全管理整合的价值23456信息安全基础知识信息安全基础知识基础知识基础知识p 信息安全定义信息安全定义保密性 Confidentiality:信息不被可用或不
2、被泄漏给未授权的个人、实体和过程的特性。完整性 Integrity保护资产的准确和完整的特性。可用性 Availability:需要时,授权实体可以访问和使用的特性。基础知识基础知识p 信息安全管理体系信息安全管理体系(ISMS)定义定义 信息安全管理体系(Information Security Management System)是企业整个管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,表现为组织结构、策略方针、计划活动、目标与原则、人员
3、与责任、过程与方法、资源等诸多要素的集合。基础知识基础知识p 资产定义资产定义任何对组织有价值的事物任何对组织有价值的事物(ISO/IEC13335-1:2004) 数据资产 软件资产 硬件资产 人员 服务 其它基础知识基础知识p威胁定义威胁定义可能导致对系统或组织的损害的不期望事件发生的潜可能导致对系统或组织的损害的不期望事件发生的潜在原因。在原因。(ISO/IEC TR 13335-1:2004)威胁可以是故意的或意外的,人为的或天灾的,如:故意的:偷听、恶意软件;意外的:误操作天灾的:地震、水灾、火灾基础知识基础知识p脆弱性定义脆弱性定义可能会被一个或多个威胁所利用的资产或一组资产的弱可
4、能会被一个或多个威胁所利用的资产或一组资产的弱点。点。(ISO/IEC TR 13335-1:2004)脆弱性本身不会导致损害,它只是一种条件或一组条件可能容许威胁影响资产;脆弱性如果不予管理,就会使得威胁变成现实例子:缺乏安全意识、电压不稳定、门没锁、不良的接线、位于易受洪水影响的区域、不受控的拷贝、员工短缺等基础知识基础知识p其他定义其他定义风险评估:风险分析和风险评价的全过程。风险处理:选择和实施措施以改变风险的过程。风险管理:指导和控制一个组织的风险的协调的活动。注:典型风险管理包括风险评估和风险处理。基础知识基础知识p信息的生命周期信息的生命周期建立建立贮存贮存处理处理销毁销毁传送传
5、送丢失丢失损毁损毁使用使用?!恶意或不当行为恶意或不当行为信息的生命周期伴随在业务流程中!信息的生命周期伴随在业务流程中!基础知识基础知识pISO 27001标准介绍标准介绍uBS7799-1 操作规则uBS7799-2 BS7799-2 认证规范认证规范1995年版1999年版1998年版1999年版uISO/IEC17799:20002002年版uISO/IEC17799:2005uISO/IEC27001:2005uISO/IEC27002:2005基础知识基础知识pISO 27001标准介绍标准介绍2700027009:ISMS基本标准,2701027019:ISMS标准族的解释性指南
6、与文档 认证机构 认可要求 目前信息安全管理与企业业务目前信息安全管理与企业业务流程的实施现状流程的实施现状实施现状实施现状p 现状现状1对对“信息安全管理信息安全管理”理解片面,不能正确理解信息安全管理解片面,不能正确理解信息安全管理目标,完全与业务流程脱节理目标,完全与业务流程脱节信息安全就是计算机没有病毒信息安全就是系统没有漏洞信息安全就是信息保密没有连接互联网就是安全的有信息技术支持就是安全的等实施现状实施现状p 现状现状2“信息安全管理信息安全管理”没有完全覆盖企业的业务流程没有完全覆盖企业的业务流程业务过程识别不全面,导致信息安全管理漏洞,如销售过程没有识别、没有考虑远程工作过程只
7、关注了重要业务流程,如生产过程、设计过程实施现状实施现状p 现状现状3信息安全控制措施不能在业务过程中有效实施信息安全控制措施不能在业务过程中有效实施安全意识较差,安全规定不执行关注“应用性”,忽略了“安全性”缺少安全监督检查机制,控制措施不能有效落实缺乏持续改进机制等企业的信息安全风险分布区域,企业的信息安全风险分布区域,忽略信息安全的危害忽略信息安全的危害风险分布及危害风险分布及危害p 案例案例19家企业信息安全问题总结:家企业信息安全问题总结:信息化基础设施建设水平差,缺乏基本的安全保障仅有21%的企业信息化组织结构和基础设施的建设较好;有79%的企业信息化组织结构和职责不明确,信息化制
8、度缺失或制度不完善;机房简陋,在防尘、防火、防水、温湿度、电力等方面不符合要求,个别企业没有建立机房;网络系统为二层结构,没有部署防火墙等安全设备;风险分布及危害风险分布及危害风险分布及危害风险分布及危害风险分布及危害风险分布及危害p 案例案例有89%的企业在信息安全管理和技术上存在较严重的安全隐患网络架构不合理,没有划分安全区域,没有部署防火墙等安全设备员工信息安全意识薄弱,没有及时有效查杀病毒,病毒和木马感染事件频发重要计算机存在弱口令甚至没有设置登录口令重要应用系统和服务器存在较严重的安全漏洞,易遭到攻击或信息泄露重要技术机密文件没有被有效保护,个别企业已经发生过技术机密信息泄露事件,造
9、成了损失风险分布及危害风险分布及危害p 风险分布风险分布分布在信息生命周期的各个环节,即业务过程中:分布在信息生命周期的各个环节,即业务过程中:组织安全人员安全基础环境安全设施的安全(通信线路、网络设备、主机设备、存储等)应用安全(系统软件、应用软件)访问控制备份及业务连续性风险分布及危害风险分布及危害p 危害危害企业有哪些重要信息企业有哪些重要信息知识产权;技术秘密;重要的合同;客户资料;软件产品的源代码;财务数据;内部文件等危害危害侵权;重要信息泄密;经济损失;业务中断;企业倒闭基于基于ISO27001的信息安全风险的认识与评估流程:的信息安全风险的认识与评估流程:资产、风险因素、风险评价
10、、风险控制和处理资产、风险因素、风险评价、风险控制和处理风险认识及评估风险认识及评估p基于基于ISO 27001信息安全风险的认识信息安全风险的认识“组织应根据整体业务活动和风险,建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系”“考虑业务和法律法规的要求,及合同中的安全义务”“选择适当和相宜的安全控制措施” 制定风险评估准则和接受准则。风险认识及评估风险认识及评估p风险评估流程风险评估流程风险认识及评估风险认识及评估p风险分析原理风险分析原理如何在业务流程的控制节点融入信息安如何在业务流程的控制节点融入信息安全的风险控制措施,确保风险可控全的风险控制措施,确保风险可控融入控制
11、措施融入控制措施p 基于业务流程的风险评估基于业务流程的风险评估p控制措施考虑不同业务节点控制措施考虑不同业务节点识别业务过程识别业务过程对应的资产识别威胁识别脆弱性不同级别的风险制定控制措施业务流程与信息安全管理整合实施的业务流程与信息安全管理整合实施的难点、方法与步骤难点、方法与步骤实施方法与步骤实施方法与步骤p导入以导入以ISO27001为基础的信息安全管理体系为基础的信息安全管理体系实施方法与步骤实施方法与步骤p ISO27001 11个控制域(最佳实践)个控制域(最佳实践)信息资产安全方针信息安全组织资产管理人力资源安全物理和环境安全通信与操作安全访问控制信息系统的获取开发和维护信息
12、安全事件管理业务持续性管理符合性实施方法与步骤实施方法与步骤p实施难点实施难点领导层不关注员工安全意识薄弱,不支持资源的投入(人力、资金)专业技术性要求高解决办法解决办法信息安全培训,提高安全有意识和企业自身能力聘请专业的第三方公司协助业务流程与信息安全管理整合的价值业务流程与信息安全管理整合的价值(信息安全管理体系实施的价值)(信息安全管理体系实施的价值)实施的价值实施的价值 维持和增强公司竞争优势,促进业务发展。 维护公司的声誉和品牌,增强相关方的信任; 满足客户和法律法规的信息安全要求; 强化员工的信息安全意识,规范组织信息安全行为; 保障公司业务的正常运行 增强信息系统的安全性,减少安
13、全事件带来的影响和经济损失; 提高信息安全管理水平,保障信息系统安全运行; 找出与相关国际/国内/行业标准的差异,增强合规性;发现系统中潜在风险与安全隐患,有效控制风险;实施的价值实施的价值来源:澳大利亚Edith Cowan University 主办的第九届澳大利亚信息安全管理学术会议Australia, 5th -7th December, 2011ISO27001实施效果调查实施效果调查信息安全标准化管理及透明度增强组织对信息安全的信心有效的风险管理成熟、全面的信息安全管理增强客户信心其他服务能力提升实施的价值实施的价值来源:国际计算机科学与网络安全期刊,2010年3月ISO27001
14、体系作用研究体系作用研究影响方面影响方面测量指标测量指标效果效果直接经济效益现金流增长14%成本降低30%间接经济效益业务机会增加25%客户合作增加39%信息安全可靠性流程效率提升53%反应速度提升37%安全防护能力提升68%p 中国赛宝资质及业务中国赛宝资质及业务 ISO/IEC 27001 信息安全管理体系认证; ISO/IEC 20000 IT服务管理体系认证; ISO 9001 质量管理体系认证; TL 9000电信行业质量管理体系认证; ISO/TS 16949 汽车行业管理体系认证; ISO 14001环境管理体系认证; OHSAS 18001职业健康与安全管理体系认证; 工业和信息化部计算机信息系统集成资质认证; 工业和信息化部信息系统工程监理资质认证; 美国SEI软件能力成熟模型(CMMI)评估; 中国软件过程及能力成熟度评估(SPCA);基础知识基础知识p 中国赛宝资质及业务中国赛宝资质及业务 中国合格评定国家认可委员会(CNAS)的认可实验室; 公安部信息安全等级保护测评机构; 工业和信息化部授权的软件产品检测机构; 总装军用实验室认可委员会的认可实验室;互动交流互动交流
