-信息安全管理体系.pptVIP

陈伟，CIOtimes高级咨询顾问，国际注册信息系统审计师(CISA)，BS7799主任审核员，国际信息系统审计与控制协会会员，管理信息系统硕士。 在IT行业系统集成、软件开发、信息安全与控制领域有十五年工作经验，精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国内大中型企业的计算机网络、应用系统、安全系统的规划、设计、实施有较丰富的经验。 目前的工作专业领域集中于IT管理控制领域(ISO27001、ITIL、COBIT)理论与方法研究，并为深圳证券交易所、国家财政部、国家税务总局、国家审计署、中国工商银行总行、中国银行、中核集团、首都机场、广东移动等多个大型组织实施信息安全管理及信息系统审计咨询与培训项目。 著有《信息安全管理：全球最佳实务与实施指南 》、《经营管理与信息技术》等，翻译《索耶内部审计》，发表多篇IT治理论文。 联系方式： davistewart@ 讲师简介 建立完善的安全治理结构，为信息安全提供战略保证； 审视组织的业务目标，确定安全需求，并建立相应的总体安全策略； 在风险评估的基础上，进行安全规划； 建立并运行信息安全体系，初步达到粗粒度的信息安全； 建立“人力防火墙”与“技术防火墙”,在细粒度上保证信息安全； 实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性； 持续监控业务与安全环境的变化，并对安全策略进行及时调整。 例如：通过在组织中建立IT治理委员会，使IT战略、IT规划、信息安全、IT绩效、IT审计等问题通过建立一个有主要领导参加的、跨部门的、有广泛代表性和执行力的委员会进行讨论与决策，使IT决策、IT战略、信息安全等问题与企业战略保持一致，这是IT成功的关键，是实现信息安全的基础。 组织的IT实践人员在IT原则的指导下，通过对组织业务战略和IT规划的详细分析，发现并分析组织业务所处的环境，了解IT基础设施及应用系统可能存在的薄弱点，在此基础上制定出适宜的安全政策、保障措施及安全投资计划。 ISO17799差距分析调研问卷主要涵盖了ISO17799中的11个领域和133个控制项，由各部门参与风险评估的人员填写，从主观角度了解各层面人员从自身角度出发对于组织安全现状的认识和与标准的差距感受。 ISMS是以风险评估为前提，以风险管理为基础，通过建立一整套文件化的管理制度，包括方针、策略、程序文件，操作手册，记录等，在组织中以PDCA的方式实施，把风险控制到组织可接受的水平。 类似于质量管理体系的ISO9000标准，信息安全管理体系也有相应的国际标准ISO17799:2005 ISO27001:2005。国信办根据本次试点工作情况将推荐其为中国国家标准。 有一个事实摆在面前，伟大的ISO9000管理标准的诞生，突破了传统的质量管理实施的技术和方法，使质量从一个专业管理走向全面管理的辉煌大道。 作为一个现代企业其运作是一个完整的系统，是由战略管理、财务管理、人力资源管理、质量管理、环境管理、职业安全健康管理、信息管理、营销管理和客户管理等子系统集合而成。作为一个企业，其运作是一个完整的系统，其各项管理运作必须是协调统一的，从ISO9000诞生为管理提供了一种新的思维程式，人们逐步运用到各项专业管理中，环境的ISO14000、职业安全管理的OHSAS18000、信息安全的ISO17799，培训管理体系的ISO100015等衍生出的管理标准，可以覆盖整个企业的各个专业管理单元。 但是在实施ISO9000时由于人们对标准认识的局限性，由于建立不同的管理体系人为的将原本就很脆弱的管理系统拆分的七零八落，增加许多不必要的接口，是违背管理体系的宗旨的。ISO9000的2000版提出的八项管理原则，充分体现了其的整合的必要性。这也为企业标准化战略体系的建立产生了一些跗面的影响。 标准化工作如果忽略了合格评定的环节，标准的质量将无法被认可，而又没有直接与经济效益挂钩的情况下，开创被公认的局面相当难。所以企业标准化工作者必须了解和控制认证机构的影响力。 作为认证公司可以只谈ISO9001、ISO14001和职业安全健康指南，但是作为企业就要依照认证标准的所有配套标准建立体系，不可偏废。因为企业的最终目的是提高企业价值，获取效益，生存发展，回报社会和股东。 不包括财务，不涉及决策、不考虑绩效的管理体系是企业、领导、员工所不欢迎和接受的。教训已经产生，管理体系不被领导重视是许多质量人员所抱怨的，根本原因在于你没有触及企业核心，你干的事无足轻重，你一年发挥一次作用足以。审核时表现一会，其他时候没你什么事。 把管理分为体系内和体系外，仅对其认为与产品有关的部分控制，绝对是投机的行为，严重违反了企业的运作规律，可以说是推行管理体系的一大失误，贻害多半个年代，花巨大的代价