一个有效的信息安全体系应该是管理和技术的平衡和有效融合.ppt

*/15 Click to edit Master subtitle style Click to edit Master title style 信息安全技术与管理的有效融合 Trendsetting 北京趋势引领信息咨询有限公司 杨宁 2009.10 如何面对信息安全问题 1 全面构建信息安全体系 2 技术与管理的平衡和有效融合 3 4 信息安全管理实践 议程 案例及数据分享 管理实践 有效融合 体系构建 面对问题 案例分享 数据统计 据Gartner调查显示，超过85%的安全威胁来自组织内部，而其中通过即时通信、电子邮件泄露的电子数据信息损失占到30%-40%。在Fortune排名前100家的公司中，每次电子数据泄漏的平均损失是50万美元。其中一部分来自于企业内部人员与外部人员相勾结，另一部分则是别有用心的组织通过技术手段进行信息窃取。 2009年，IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示，这400人在过去的12个月中碰到了大约5.8万起内部信息安全事件，也就是说平均每个企业每年将发生近150起内部信息安全事故。 如何解决问题？ 部署网络/主机入侵检测系统？ 部署终端安全系统？ 部署SOC？ 部署加密系统？ 实施ISMS？ 执行信息系统审计？ 签署必威体育官网网址协议？ 技术手段 管理措施 管理实践 有效融合 体系构建 面对问题 如何面对信息安全问题？ 事件、故障发生以后再采取相应的技术或管理补救措施 不注重系统的架构和规划 被动型企业（事件导向） 强调信息安全管理的重要性 具有完整的安全管理组织，明确的职责划分 完善的安全策略、标准和流程 部署了基本安全系统和工具 管理型企业（管理导向） 强调信息安全管理和技术的平衡 集成且统一的安全管理体系和技术架构 强健有力的信息安全组织保障 以风险为导向的控制和管理 预防为主、防治结合、内外兼修 成熟型企业（风险导向） 强调并依赖信息安全技术 拥有众多技术专家，并对安全组织进行了详细的技术领域划分 制定了基本的安全策略、标准和流程 部署各种先进的安全系统和工具 技术型企业（技术导向） 安全技术 安全管理 管理实践 有效融合 体系构建 面对问题 全面构建信息安全体系 技术架构 定义信息安全技术架构设计原则 分析信息安全技术功能需求 定义信息安全技术功能组件 划分安全区域 设计信息安全技术架构 信息安全技术系统部署 管理体系 制定明确的信息安全战略和方针 识别信息资产和关键业务应用 执行风险评估和进行风险管理 制定信息安全策略、制度、流程及标准 信息安全意识培训和策略宣贯 执行监督和持续改进 管理实践 有效融合 体系构建 面对问题 信息安全体系规划原则 信息安全体系规划原则： ——关注组织目标和合规风险 ——采用分阶段的建设方式，从重点问题着手 ——借鉴国际先进经验、依据国际标准及业界最佳实践 ——在确保安全性的前提下需注重实际可操作性和效率 ——以风险管理为基础，预防为主，防治结合 ——结合企业的战略和企业文化 关键因素：一个有效的信息安全体系应该是管理和技术的平衡和有效融合。 管理实践 有效融合 体系构建 面对问题 技术与管理的平衡如何决策？ 技术 管理 决定因素? ISMS、风险管理、IS审计。。。 IPS、UTM、SSO、SOC。。。 人员的意识、组织的执行力、成本效益分析 管理实践 有效融合 体系构建 面对问题 技术与管理如何有效融合？ 管理实践 有效融合 体系构建 面对问题 组织目标 管理先行，带动技术需求 以规范的管理为技术的实施提供保障 管理关注全局，技术聚焦重点 沟通 管理的过程的控制须充分考虑技术手段 管理作为技术的有益补充，技术成为管理的可靠保障 管理清晰，技术透明 理解 基于ISO27001的信息安全管理体系架构 A15 合规性 相　关　方　要　求 实施(D) 策划(P) 改进(A) 检查(C) 相　关　方　满　意 A14 业务连续性管理 A13 信息安全事件管理 A7 资产管理 A6 组织信息安全 A5 安全方针 A11 访问控制 A8 人力资源安全 A9 物理/环境安全 A10 通讯运营管理 A12 信息系统获取、开发及维护 人员 技术 信息 流程 环境 注：11控制域，39 控制目标，133控制措施 管理实践 有效融合 体系构建 面对问题 信息安全管理实践 管理实践 有效融合 体系构建 面对问题 业务目标 合规要求 企业治理 IT治理 ISO27001 最佳实践标准 驱动 COBIT/ISO38500 COSO/企业内部控制基本规范 ISO9001 ISO20000 IS Audit/ISACA BS25999 服务热线：4