企业信息安全管理体系建设与运行方法探讨.ppt

信息安全一直伴随人类社会,从未离弃 计算机时代的信息安全走势 ICT技术的发展报告 1997年，David Moschella对IT技术发展的历史和趋势给出了一个如左图所示的总结和预测 从微软windows系统漏洞看国际信息安全态势 从我国信息安全案件走势看国内信息安全态势 企业的核心信息资产泄密的主要矛盾在哪里？ 企业42%的核心资产与人直接相关,46%与人紧密相关; 当与人关联时,就是规范化运作与建设的问题,即就是管理体系建设的问题,不是单纯技术能够解决的问题 综上：魔高一尺，道高一丈，ISMS应需而来 俗话说“打蛇打七寸”，ISMS的“七寸”何在？ 有人把ISMS（信息安全管理体系）比喻成一栋大厦，有人把它比喻成一台机器……无论比喻成什么，核心的思想就是在于说明：用正确的方法做正确的事情。 这要求考虑： 　 １．我们以什么作为指导思想来建设ＩＳＭＳ体系 　 ２．我们遵循什么样的科学逻辑来实施与运作ＩＳＭＳ体系 　 ３．我们依靠什么力量来保证正确的指导思想、科学的实施逻辑得以有效落地 ＩＳＭＳ体系的指导思想应是什么？ ＩＳＯ／ＩＥＣ　２７０００系列标准（对应被引为我国国家标准，比如ＩＳＯ／ＩＥＣ２７００１：２００５，引为我国国标ＧＢ／Ｔ２２０８０－２００８等），经过实践证明是ＩＳＭＳ体系建设的最佳指导思想。 　　　 或许这样对比更容易理解，这个标准对ＩＳＭＳ的意义，就如指导原子弹成功研制的爱因斯坦质能方程的意义一样，它将指导组织成功建立其核心资产保护体系。 ＩＳＭＳ体系的科学运营逻辑是什么？ 　 我们已经解码了“用正确的方法做正确的事” ，那么开启ISMS机器的“钥匙”在哪里？ 是的，前述都没有错，但是，那又怎么样？ ISMS体系疏于建设,投资付诸东流 血的教训 常见问题分析 广州信城通机密，未经许可不得扩散 理清公司的安全流程制度体系 人的血液循环系统围绕心脏展开,从主动脉到各细小毛细血管,一脉相承,保证了生命新陈代谢. 参照以上规律,运作良好的组织,总会建立围绕其宗旨展开的,从战略层面到执行细节的制度体系,保证组织健壮的生命力. 比如一个有序文明的国家,总会具有从宪法到各规章制度的文件体系,指引公民的行为和权利行使良性展开. ISMS文件金字塔内容示例 广州信城通机密，未经许可不得扩散 怎样成功实施信息安全管理体系？ 3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙” 信息安全方针、目标和活动反映业务目标 广州信城通机密，未经许可不得扩散 体系建设关键成功因素1,保证ISMS方向与企业战略方向一致 与组织文化一致的信 息安全方法 广州信城通机密，未经许可不得扩散 体系建设关键成功因素2——选择适合企业文化的信息安全执行文化 所有管理层可见的支持和承诺 广州信城通机密，未经许可不得扩散 体系建设关键成功因素3——获得企业管理层的认可与授权 对信息安全要求、风险评估和风险管理有好的理解 广州信城通机密，未经许可不得扩散 体系建设关键成功因素4——企业信息安全执行团队较好把握信息安全核心知识技能 有效地对员工和其他人推销信息安全 广州信城通机密，未经许可不得扩散 体系建设关键成功因素5——对关联各方持续安全意识培育 向所有员工和其他人分发信息安全指南 广州信城通机密，未经许可不得扩散 体系建设关键成功因素6——编制和分发通俗易懂的安全操作手册 足够的财务支持 广州信城通机密，未经许可不得扩散 体系建设关键成功因素7——将安全建设预算纳入公司年度财务预算 适当培训和教育 广州信城通机密，未经许可不得扩散 体系建设关键成功因素8——培育员工适度的安全防护知识技能 有效的信息安全事故管理过程 广州信城通机密，未经许可不得扩散 体系建设关键成功因素9——建立公司信息安全响应“神经系统” 广州信城通机密，未经许可不得扩散 怎样成功实施信息安全管理体系？ 3.1 确定指导思想与科学方法3.2 遵循关键成功要素3.3 获取启动“钥匙” 安全可控的 企业业务信息资源 体系前期咨询服务 安全咨询顾问服务，将把“用正确的方法做正确的事”这块布料，裁剪成适合你公司业务战略需求“身段”的衣服 建设过程风险评估与培训服务 安全风险评估与培训服务，帮助你日常有效运作信息安全管理体系，不致于你穿上的衣服洗了一两次以后，就缩水废弃了 运作中持续优化 持续的优化改进投入，确保了信息安全管理体系与时俱进保护你企业业务的健康良性发展——大厦完工交付后，大厦的有序使用依赖于持续的管理维护 广州信城通机密，未经许可不得扩散 广州信城通机密，未经许可不得扩散 一件事情带来的影响如果不是