信息安全管理体系建设交流.ppt

组织从策划，实施，实施的检验和实施的ISMS的有效性评估开始 策划： 信息包括范围 风险评估，一个相关的评估和重要性设置在组织的每一个资产和商业要求的资产防范危害，危害发生的可能性；风险和结果被进行以确保组织资产的保护到一个适当的层次。这些程序必需确保环境的改变对于商业信息安全管理的影响。 商业可持续计划-组织的商业可持续计划被策划和形成文件 控制目标和控制-由风险分析的结果策划和决定作为一个基础 适用性的说明-从选择的控制目标和控制的结果计划和决定 实施： 安全组织被建立-职责和权力的分配 资产分类的实施 职责和权力被文件化和沟通 教育和培训确保组织理解安全工作的重要性并且使其达到相应的安全实施层次 重要活动的保护和登记表被实施，用风险分析的结果作为基础 数据保护被实施，用风险分析的结果作为基础 检验：实施控制的确认 服从法规的要求和信息安全方针 技术上服从；事件的记录，软件的拷贝，等等 评价：安全结构，用管理代表，评价ISMS 的符合和控制目标及控制的有效性，预防性措施被实施 组织从策划，实施，实施的检验和实施的ISMS的有效性评估开始 策划： 信息包括范围 风险评估，一个相关的评估和重要性设置在组织的每一个资产和商业要求的资产防范危害，危害发生的可能性；风险和结果被进行以确保组织资产的保护到一个适当的层次。这些程序必需确保环境的改变对于商业信息安全管理的影响。 商业可持续计划-组织的商业可持续计划被策划和形成文件 控制目标和控制-由风险分析的结果策划和决定作为一个基础 适用性的说明-从选择的控制目标和控制的结果计划和决定 实施： 安全组织被建立-职责和权力的分配 资产分类的实施 职责和权力被文件化和沟通 教育和培训确保组织理解安全工作的重要性并且使其达到相应的安全实施层次 重要活动的保护和登记表被实施，用风险分析的结果作为基础 数据保护被实施，用风险分析的结果作为基础 检验：实施控制的确认 服从法规的要求和信息安全方针 技术上服从；事件的记录，软件的拷贝，等等 评价：安全结构，用管理代表，评价ISMS 的符合和控制目标及控制的有效性，预防性措施被实施 等级化信息安全保障体系建设 目录 一、实施方法论 总体规划 信息收集 风险评估 体系设计 二、成功案例 三、天融信公司简介 大商所信息安全建设项目 注：该项目完成后提供一年的信息安全管理体系维护。　 等级化信息安全保障体系已经投入使用，获得证监会检查组的高度认可。 六期交易系统设计、开发、实施阶段的安全保障顺利进行，获得客户的高度认可。 项目成果 1）大商所等级化信息安全保障体系设计 2）六期系统安全风险评估报告 3）大商所信息安全管理体系 4）大商所安全集成设计 项目输出 该项目包括三个部分，第一个部分是设计大商所等级化信息安全保障体系，第二个部分是在六期交易系统的设计、开发、实施、运维各个阶段提供信息安全评估及保障，第三个部分是设计大商所的ISMS。 项目简介 设计大连商品交易所等级化信息安全保障体系，包括安全策略体系、安全组织体系、安全技术体系、安全运维体系，并在该体系的指导下，进行六期交易系统生命周期安全保障建设。 项目主要内容 杨威 项目负责人 3个月 工期 2005.8 项目合同签约日 2005.8 项目中标时间 大连商品交易所 用户名称 大连商品交易所信息安全建设项目 项目名称 中原油田信息安全建设项目 等级化信息安全保障体系已经投入使用，获得客户的高度认可。 ERP系统安全保障顺利实施，获得中石化以及SAP的高度认可。 项目成果 1）中原油田等级化信息安全保障体系 2）中原油田业务持续性计划 3）中原油田ERP系统安全风险评估报告 4）中原油田ERP系统安全解决方案 项目输出 该项目包括两个部分，第一个部分是设计中原油田等级化信息安全保障体系，第二个部分是在中原油田ERP系统实施过程中对其安全功能、安全保证以及安全环境进行评估，并提供安全保障。 项目简介 设计中原油田等级化信息安全保障体系，帮助中原油田制定业务持续性计划，在中原油田ERP建设过程中提供安全咨询。 项目主要内容 杨威 项目负责人 2个月 工期 2005.10 项目合同签约日 2005.10 项目中标时间 中原油田 用户名称 中原油田信息安全建设项目 项目名称 太平人寿信息安全咨询项目 达到了项目设计的预期目标，完善了太平人寿企业安全组织和安全管理制度，初