科士达信息安全体系建设交流胶片20101118.ppt

科士达信息安全体系建设交流胶片20101118.ppt

  1. 1、本文档共57页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
科士达信息安全体系建设交流胶片20101118

* * * * * * * * * * 运维阶段风险评估的目的是了解和控制运行过程中的安全风险,评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。 2.3.1 安全运行和管理 信息系统在开始运行之后,应按照处理措施所定义的系统操作要求、运行要求和管理要求,进行安全操作和安全管理,保证系统的安全功能的实现。安全运行和管理的例子包括执行备份、举办培训课程、管理密钥、更新用户管理和访问特权、以及更新安全软件等。 2.3.2 变更管理 在信息系统及其运行环境发生变化时,应评估其风险,并制定和实施相应的处理措施来控制风险。变更管理包括以下几个方面: 1)信息系统的变更 包括系统升级、增加新功能、发现新的系统威胁和脆弱性等。 2)系统运行环境的变更 包括系统的硬环境、软环境的变化,以及法律法规环境的变化。 在信息系统及其运行环境发生变化时,应执行风险管理流程中的风险评估过程和风险处理过程,分析可能出现的新风险,并制定和实施处理措施对风险进行处理。 变更管理主要用于信息系统及其运行环境发生变化不大的情况,变更管理无需对系统运行进行重新授权。 2.3.3 风险再评估 风险再评估是对重新对系统进行风险评估的过程。应定期进行系统的风险全面再评估,在信息系统及其运行环境发生重大变化时,也应适时进行风险全面再评估。定期风险全面评估的周期一般应为一年,最长不应超过2年。 风险再评估后应执行风险处理过程,针对风险制定和实施处理措施。 2.3.4 定期重新审批 定期重新审批是重新执行信息系统审核批准的过程。信息系统在运行一段时间之后,系统及其运行环境、风险环境都会发生变化,应重新确认系统风险是否仍在可接受的范围内。 信息系统授权的重新审批应以风险再评估的结果为依据,根据系统风险再评估后的风险状况和残余风险,重新审批信息系统是否可以继续运行。 * 对信息安全管理的传统认识 对信息安全的传统认识是 信息安全一向被认为是IT部门的职责 大部分企业认为信息安全是只有技术方案才能解决的技术性问题 保证信息的必威体育官网网址性 Page * 信息安全 ≠ 技术方案 案例: E是一家网络零售商,2000年12月因客户资料系统遭受骇客破坏,造成370万组信用卡号外流,股票价值因而下跌了25%. E公司事前当然建立了安全防护系统,事后并宣称资料并未窃,但由于公司内部缺乏协调管理,未能提出一致的响应,因而无法说服客户和股东相信这些极为敏感的资料仍然安全无恙. 应急响应的组织?(骇客入侵应急响应 (业务连续性管理) Page * 信息安全管理的经验告诉我们 员工缺乏信息安全意识 没有建立必要的信息安全管理机制(流程和程序) 没有人执行信息安全管理制度 缺乏必要的信息安全技术控制措施 大部分信息安全问题的发生是因为: Page * 角色和责任 Page * 层面 信息系统 信息安全风险管理 角色 内外部 责任 角色 内外部 责任 决策层 主管者 内 负责信息系统的重大决策。 主管者 内 负责信息安全风险管理的重大决策。 管理层 管理者 内 负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。 管理者 内 负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。 执行层 建设者 内或外 负责信息系统的设计和实施。 执行者 内或外 负责信息安全风险管理的实施。 运行者 内 负责信息系统的日常运行和操作。 维护者 内或外 负责信息系统的日常维护,包括维修和升级。 监控者 内 负责信息系统的监视和控制。 监控者 内 负责信息安全风险管理过程、成本和结果的监视和控制。 支持层 专业者 外 为信息系统提供专业咨询、培训、诊断和工具等服务。 专业者 外 为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。 用户层 使用者 内或外 利用信息系统完成自身的任务。 受益者 内或外 反馈信息安全风险管理的效果。 建立“泛”安全体系 Page * 目录 Page * 越来越严峻的安全形势 企业内控与ISO27001 信息安全的重要概念 体系推进过程及目标 2 3 4 5 昂楷科技简介 1 IT内控实施过程 Page * IT内控实施 1. IT控制的计划和范围 检查全部文档并识别应用控制 识别应包括的应用控制 识别应包括的IT基础设施和系统 5. 优化和缺陷修补 重要缺陷的可能性和影响 是否有缺陷修补措施和措施的可靠性 4. 评价IT内控设计和运行效果 内部审计 技术测试 遵从性测试 成熟度模型 3. 记录控制 制度/程序/手册 记录应用控制 记录IT一般控制 2. 评估IT风险 识别IT风险 评估IT风险引起内控失效的可能性和影响 企业价值 6. 持续运作 内部评价和外部评价 自动化控制 消除重复和冗余控制 体系推进流程——总流程

文档评论(0)

wuyoujun92 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档