如何实现企业信息安全管理与业务流程的融合和实施

如何实现企业信息安全管理与业务流程的融合和实施

ID:27670326

大小:1.82 MB

页数:40页

时间:2018-12-02

如何实现企业信息安全管理与业务流程的融合和实施_第1页
如何实现企业信息安全管理与业务流程的融合和实施_第2页
如何实现企业信息安全管理与业务流程的融合和实施_第3页
如何实现企业信息安全管理与业务流程的融合和实施_第4页
如何实现企业信息安全管理与业务流程的融合和实施_第5页
资源描述:

《如何实现企业信息安全管理与业务流程的融合和实施》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、如何实现企业信息安全管理与业务流程的融合和实施2021年9月16日目前信息安全管理与企业业务流程的实施现状1研讨大纲企业的信息安全风险分布区域,忽略信息安全的危害基于ISO27001的信息安全风险的认识与评估流程:资产、风险因素、风险评价、风险控制和处理如何在业务流程的控制节点融入信息安全的风险控制措施,确保风险可控业务流程与信息安全管理整合实施的难点、方法与步骤业务流程与信息安全管理整合的价值23456信息安全基础知识基础知识信息安全定义保密性Confidentiality:信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。完整性Integrity保护资产的准确和完整

2、的特性。可用性Availability:需要时,授权实体可以访问和使用的特性。基础知识信息安全管理体系(ISMS)定义信息安全管理体系(InformationSecurityManagementSystem)是企业整个管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。基础知识资产定义任何对组织有价值的事物(ISO/IEC13335-1:

3、2004)数据资产软件资产硬件资产人员服务其它基础知识威胁定义可能导致对系统或组织的损害的不期望事件发生的潜在原因。(ISO/IECTR13335-1:2004)威胁可以是故意的或意外的,人为的或天灾的,如:故意的:偷听、恶意软件;意外的:误操作天灾的:地震、水灾、火灾基础知识脆弱性定义可能会被一个或多个威胁所利用的资产或一组资产的弱点。(ISO/IECTR13335-1:2004)脆弱性本身不会导致损害,它只是一种条件或一组条件可能容许威胁影响资产;脆弱性如果不予管理,就会使得威胁变成现实例子:缺乏安全意识、电压不稳定、门没锁、不良的接线、位于易受洪水影响的区域、不受控的拷

4、贝、员工短缺等基础知识其他定义风险评估:风险分析和风险评价的全过程。风险处理:选择和实施措施以改变风险的过程。风险管理:指导和控制一个组织的风险的协调的活动。注:典型风险管理包括风险评估和风险处理。基础知识信息的生命周期建立贮存处理销毁传送丢失损毁使用?!!恶意或不当行为信息的生命周期伴随在业务流程中!基础知识ISO27001标准介绍BS7799-1操作规则BS7799-2认证规范1995年版1999年版1998年版1999年版ISO/IEC17799:20002002年版ISO/IEC17799:2005ISO/IEC27001:2005ISO/IEC27002:2005基

5、础知识ISO27001标准介绍27000~27009:ISMS基本标准,27010~27019:ISMS标准族的解释性指南与文档认证机构认可要求目前信息安全管理与企业业务流程的实施现状实施现状现状1对“信息安全管理”理解片面,不能正确理解信息安全管理目标,完全与业务流程脱节信息安全就是计算机没有病毒信息安全就是系统没有漏洞信息安全就是信息保密没有连接互联网就是安全的有信息技术支持就是安全的等实施现状现状2“信息安全管理”没有完全覆盖企业的业务流程业务过程识别不全面,导致信息安全管理漏洞,如销售过程没有识别、没有考虑远程工作过程只关注了重要业务流程,如生产过程、设计过程实施现状

6、现状3信息安全控制措施不能在业务过程中有效实施安全意识较差,安全规定不执行关注“应用性”,忽略了“安全性”缺少安全监督检查机制,控制措施不能有效落实缺乏持续改进机制等企业的信息安全风险分布区域,忽略信息安全的危害风险分布及危害案例19家企业信息安全问题总结:信息化基础设施建设水平差,缺乏基本的安全保障仅有21%的企业信息化组织结构和基础设施的建设较好;有79%的企业信息化组织结构和职责不明确,信息化制度缺失或制度不完善;机房简陋,在防尘、防火、防水、温湿度、电力等方面不符合要求,个别企业没有建立机房;网络系统为二层结构,没有部署防火墙等安全设备;风险分布及危害风险分布及危害风

7、险分布及危害案例有89%的企业在信息安全管理和技术上存在较严重的安全隐患网络架构不合理,没有划分安全区域,没有部署防火墙等安全设备员工信息安全意识薄弱,没有及时有效查杀病毒,病毒和木马感染事件频发重要计算机存在弱口令甚至没有设置登录口令重要应用系统和服务器存在较严重的安全漏洞,易遭到攻击或信息泄露重要技术机密文件没有被有效保护,个别企业已经发生过技术机密信息泄露事件,造成了损失风险分布及危害风险分布分布在信息生命周期的各个环节,即业务过程中:组织安全人员安全基础环境安全设施的安全(通信线路、网络设备、主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。