[ISO27001宣传刊-8月刊.ppt

ISO27001森马篇-八月刊 部门：流程与系统部 科室：内控科 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. ISO27001信息安全管理体系的定义：信息安全管理体系（ISMS）是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全； ISO27001信息安全管理体系的核心要素：必威体育官网网址性、完整性、可用性； 提高全员信息安全意识的方法与途径： 数据要加密 保管要妥善 口令要强悍 离机要屏保 硬件要加密 软件要更新 八月刊 ISO27001森马篇 上期“知识点”回顾： Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 八月刊 ISO27001森马篇 ISO27001信息安全管理体系推行计划： 现状调研 风险评估 安全体系设计和策划 实施运行 审核认证 后续服务阶段 持续改进 系统安全评估 系统安全加固 安全审核员培训 专业工具： 安全现状调研评估系统 专业调研问卷 安全级别分析模型 漏洞扫描系统 风险评估模型 关键风险确认模型 控制措施工具库 专业交付： 安全现状调研评估报告 风险评估报告 信息安全手册 信息安全策略书 信息安全程序文件 安全制度及标准 IT策略性整体规划 7/1 项目起动 7/6-12调研 7/14-22调研总结 7/25-8/5资产识别 8/8-8/19资产风险评估 8/20-8/26风险处置计划 9/5-9/30体系文件策划与编制 10/7-10/17体系文件宣导 10/18-11/30体系运行 11/2-11/17内审及整改 11/28-11/30管理评审 12月认证审核 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 八月刊 ISO27001森马篇 ISO27001信息安全管理体系的现状评估： 目的： 了解公司文化、安全理念、风险管理意识、和岗位职责权限，获取组织的现有安全防御原理、管理体系、最敏感数据、最大风险点和安全需求。为后续的资产识别和风险评估定义基线。 调研方式： 面对面交流 发放调研问卷 现场查看 文件和记录检查 范围： 业务范围：森马股份 森马事业部 巴拉巴拉事业部 物理范围：上海工业园区 温州办公区 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 八月刊 ISO27001森马篇 ISO27001信息安全管理体系的现状调研结论： 物理安全方面：根据公司业务实际情况分析，从物理安全体系上继续加强公司的安全系统建设，防漏补缺。在持续完善现有安保体系的同时，针对其中尚存的物理安全薄弱项进行规划和建设，实现公司自有安全域物理体系的建设工作完成 信息安全制度建设：在现有的安全管理制度体系上，结合公司实际情况，继续补充和完善安全管理制度。同时，在制定和完善安全管理制度的过程中，需要充分考虑和结合公司的现状和业务特点，从制度的可实施和可考核两方面保证制度不仅仅是一纸空文，而是能真正落实和执行； 合作方管理：强化对公司各合作伙伴、第三方的安全管理，在充分发挥现有安全管理组织作用的同时，需要加强合作伙伴、第三方的安全意识、安全技术水平、安全管理水平，实现公司内部各责任单位间安全管理的协同和协调动作，将安全工作作为合作伙伴、第三方的日常业务工作之一，并定期进行考评； 持续改进机制：依托安全管理体系，加强对公司内各安全环节及重点威胁点的定期审计和检查，确保安全隐患及时发现，及时对应和及时解决，并为今后公司的安全工作方向提供指导性的意见。 …… Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2