《《企业IT 安全管理实务》.ppt

企业IT 安全管理实务 蝴蝶效应 1979年，洛伦斯教授在华盛顿所作的报告中说：他在研究中发现，巴西的一只蝴蝶翅膀挥动一下，会在美国的得克萨斯州形成飓风。这一理论称为“蝴蝶效应”。“蝴蝶效应”是说，有些小事可以糊涂；有些小事如经过系统会被放大，则对一个企业、一个国家至关重要，就不能糊涂。 青蛙现象 “青蛙现象”。“青蛙现象”是19世纪末康奈尔大学几个教授做的一个实验：先把一只青蛙扔进沸腾的油锅里，它非常敏捷，马上跳了出来。然后教授们把这只青蛙放进一只装有温水的铁锅里，下面点着小火。它感到暖洋洋很舒服，水温逐渐升高，它仍然悠然自在。等到它觉得烫了，体内能量已耗尽，肌肉已硬了，跳不出来了，就这样被煮死了。“青蛙现象”告诉我们，一些突变事件，往往容易引起人们警觉，而易致人于死地的却是在自我感觉良好的情况下，对实际情况的逐渐恶化，没有清醒的察觉，没能及时做出反应。当感到危机临头了，再想挽救已经来不及了。人的头脑习惯于注意幅度较大的变化，我们要学会看出缓慢、渐进的过程。用我们中国人的话来说就是要防微杜渐，把问题解决在萌芽状态。 压力篇 用户 管理层 同行 技术 成本 管理 PDCA In The ISMS PDCA In The ISMS PDCA In The ISMS PDCA In The ISMS 关键环节有哪些？ 基线目标 安全是管理层的责任 详尽策略 清晰组织 务实规则 认证合规 Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳实践组成的国际标准，非技术性标准，重点在于IT安全管理控制，是信息安全管理必不可少的参考； COBIT，信息化全生命周期管理框架，重点在于IT控制和IT度量评价，强烈建议将其作为IT风险管理、IT审计标准的重要参考； ITIL，IT服务管理的最佳实践，重点在于IT流程管理，强调IT支持和IT价值交付，可以在实施IT运维和IT服务管理时作为参考； 《企业内部控制基本规范》 《上交所内部控制指引》、《深交所内部控制指引》、《银行业金融机构信息系统风险管理指引》…… 《巴塞尔协议》、《萨班斯法案》、 《信息安全等级保护管理办法》 ITIL –IT服务管理最佳实践 通过认证带来全面价值的提升 遵守适用法律 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从一定角度讲，ISO27001:2005 标准是对适用法律法规的补充和注解，因为ISO27001:2005 标准本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在很多国家相关的信息保护法规中都有体现 很多国家所推行的相关的行业指导性文件及要求，又可能是参照BS7799 而拟定的。因此，通过ISO27001:2005认证，可以使组织更有效地履行国家法律和行业规范的要求 主体本身组织高效运作 证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任 财务状况 ISMS 的实施，本身也能降低因为潜在安全事件发生而给组织带来的损失，另外，也有可能减少保险金支出 通过认证带来全面价值的提升 人员素质以及意识 提升职员的安全意识，增强其责任感 风险管理 有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护。 商业信誉和信心 当合作伙伴、股东和客户看到组织为保护信息而付出的努力时，其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织，在同行业内的竞争优势，提升其市场地位。 商业运营符合型 符合企业的自身远期发展需要，事实上，现在很多国际性的投标项目已经开始要求ISO27001:2005 符合性了，通过认证已经是众多企业提升核心竞争力的必要手段 关于ISO27001认证流程 ISO27001 规定了很多与建立、实施、维护和改进ISMS 相关的要求，组织是否符合这些要求，要在认证审核过程中予以验证 组织在建立并实施ISMS 之后应该运行一段时间，确保体系功能正常、用户得到有效培训、文件和记录系统运转正确，一旦ISMS 根据设计规范运转达到了令组织满意的状态，就可以联系一家被认可的认证机构，准备相关资料，提出认证申请 ISO27001认证审核的过程大致分两个阶段，即文件审核阶段和现场审核阶段 认证申请流程：如左图 投资 等级保护操作实务 信息实体标识 系统等级保护划分标准 等级划分实例 策略的实务 规则务实 参考COBIT4.0 建立管理和控制及评估机制 COBIT4.0一共有209页，囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标，针对每个IT过程还定义有专门的度量方法和能力成熟度