[企业管理]bs7799风险评估培训.ppt

风险评估介绍 一、 BS7799知识回顾 二、项目已实施内容介绍 信息安全管理体系方针和范围 信息安全管理体系文件框架 XXXX组织架构和职责 前期交流所发现的问题和改进措施 三、风险评估 风险概述 风险评估方法 风险评估过程 BS7799知识回顾 信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段。 全面的信息安全控制，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架。 信息安全管理方面唯一被认可的商业标准。 BS7799知识回顾 BS7799-2:2002 信息安全管理体系规范 说明标准的目的和所用的定义 构建ISMS体系的PDCA过程 附录A：控制目标和控制措施 10个安全领域 36个控制目标 127个控制措施 信息安全管理体系建立步骤 通过标准认证的过程 BS7799-2:2002 PDCA BS7799-2:2002 附录A：10个安全域 安全策略（1，2） 安全组织（3，10） 资产分类与控制（2，3） 人员安全（3，10） 物理与环境安全（3，13） 通讯和操作管理（7，24） 访问控制（8，31） 软件开发和维护（5，18） 业务连续性管理（1，5） 符合性（3，11） 信息安全管理体系建立步骤 信息资产 结果与结论 信息安全认证过程 信息安全管理体系认证的目的 获得最佳的信息安全运行方式 保证商业安全 降低风险、避免损失 保持核心竞争优势 提供商业活动中的信誉 增加竞争能力 满足客户的要求 保证可持续发展 符合法律法规的要求 信息安全认证过程 认证范围 组织寻求的认证范围通常与它实施安全管理体系的范围是相同的，但并不需要必须相同。如一个组织可能有多个执行安全管理体系的办公地点，但寻求认证的也许仅有一个。如果是这种情况，只需要在认证范围拟定适用性申明。 组织明确的适用性声明是认证文件中需要审查的部分。 适用性声明：是一个包含组织所选择的控制目标与控制方式的文件，相当于一个控制目标与方式清单。阐述选择与不选择的理由。 控制目标和控制方式 条款A. 是否适用 备注 安全方针 3 适用 信息安全方针 3.1 适用 信息安全方针文件 3.1.1 适用 参见XXXX《信息安全方针》 审核与评估 3.1.2 适用 参见XXXX《管理审核与评估》 安全组织 4 适用 信息安全结构 4.1 适用 信息安全管理委员会 4.1.1 适用 参见XXXX《信息安全管理手册》 信息安全责任划分 4.1.3 适用 参见XXXX《组织架构和职责》 第三方访问存取风险的鉴别 4.2.1 适用 参见XXXX 《第三方人员管理规范》 外包 4.3 适用 公司目前的信息处理外包只有购买软件包加以少部分修改，对信息系统的管理和控制的安全要求在双方认可的合约中注明 访问控制 9 无人职守的使用者设备 9.3.2 不适用 公司目前尚未使用无人职守的使用者设备 信息安全认证过程 申请认证的基本条件： 组织按照BS7799-2标准与适用的法律法规要求建立并实施文件化的信息安全管理体系，并满足以下基本条件就可以向被认可的认证机构提出认证申请 遵循法律法规的努力已被相关机构认同 体系文件完全符合标准要求 体系已被有效实施，即组织在风险评估的基础上识别出需要保护的关键信息资产、制定信息安全方针、确定安全控制目标与控制方式并实施、完成体系审核与评审活动并采取相应的纠正预防措施。 提出申请时，组织向认证机构提供的信息 方针、认证范围、信息安全手册、组织架构和职责、IT基础设施拓扑图、风险评估方法、风险评估报告、程序控制文件、适用性申明 符合ISO9001的任何现存的认证复印件、以及他的范围。 信息安全认证过程 通常文件审核的内容包括： 信息安全方针 认证范围 IT－环境文件，如网络拓扑图 适用性申明文件 风险评估文件 商务持续性管理计划 信息安全管理手册 程序文件 现场审核 审核组按照审核计划的日程安排，通过现场观察、查阅文件和有关记录、与受审核方人员的交谈与提问、必要的现场操作与测试等抽样调查的取证方法，获取客观证据，以确定信息安全管理体系的符合性、判断体系总体有效性。 审查报告与审核结论 通过认证的好处 增强员工的安全意识，提高信息安全管理水平 减少机密信息的外泄和未授权访问 减少、避免灾难和安全失效对业务的影响 减少业务中断的发生频率和可能性 减少业务中断的影响程度 减少业务中断的经济和商誉损失 缩短信息安全事件恢复周期 降低企业面临的信息安全风险 减少知识产权纠纷（软件版权等） 通过认证的好处 实践的验证和公正的第三方权威验证 ，增加客户信心，客户将会看到您更有效和更好的企业管理从而增强市场竞争的机会 体系符合法律法规，并与执法部门的及