服务外包中信息安全保护.ppt

《服务外包中信息安全保护.ppt》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、服务外包中的信息安全保护-打造全方位的信息安全管理郭晓英10June2008日程目前的处境如何应对发包方的安全要求对于安全应该考虑那些方面建立安全的信息安全管理机制28/07/20212©DetNorskeVeritasAS.Allrightsreserved服务外包服务外包是指企业将IT系统开发和架构、应用管理、业务流程优化等自身业务需求通过外包由第三方（即服务外包提供商）来完成，以专注企业核心业务，更好实现企业经营目标的经济活动。28/07/20213©DetNorskeVeritasAS.Allrightsreserved服务外包-发包方的风险Cost-ReductionExpec

2、tations成本DataSecurity/Protection数据保护ProcessDiscipline(CMM)过程管理LossofBusinessKnowledge业务知识丧失VendorFailuretoDeliver不能按时提供服务ScopeCreep范围延伸GovernmentOversight/Regulation合规性Culture文化TurnoverofKeyPersonnel关键人员的流失KnowledgeTransfer知识传递28/07/20214©DetNorskeVeritasAS.Allrightsreserved多数想接包企业当前的处境频繁应对第二方审核组

3、织临时救火队缺乏有经验的安全管理人员遗漏关键信息安全控制点没有明确的信息安全方针和指南….28/07/20215©DetNorskeVeritasAS.Allrightsreserved外包企业的信息安全对策建立信息安全管理体系-采用最佳国际实践ISO27001全面识别外包服务中的安全要求明确公司的信息安全政策风险评估与管理文件化管理体系投入资源、培训、执行体系持续改进信息安全管理28/07/20216©DetNorskeVeritasAS.Allrightsreserved外包服务安全风险（PaladionNetwork）Unrestricteduseofpaperandelectro

4、nicdeviceswithmemoryUnauthorizedaccesstodatastoredinCMSImproperuserprovisioningandde-provisioningInsecuresystemandnetworkconfigurationNoclearresponsibilityforsecurityLackoftopmanagementsupportLackofsecurityawarenessUnrestrictedthirdpartyaccessLackofreadinessforhandlingsecurityincidentsAbsenceofpe

5、riodicsecurityaudit28/07/20217©DetNorskeVeritasAS.Allrightsreserved建立安全管理机制要考虑的重点深入全面考虑安全风险领导要为企业建立明确的安全方针和安全组织针对业务性质，建立关键的安全管理流程周期性执行内部审核第三方审核与认证28/07/20218©DetNorskeVeritasAS.Allrightsreserved外包企业信息安全管理重点流程识别安全要求-全面考虑来自客户、政府、法规等的安全要求人力资源安全流程物理安全流程开发过程安全流程（软件外包）业务过程安全流程（其他业务外包）知识产权保护流程网络安全和上网行为管

6、控流程系统与数据管控流程客户端和移动设备管理流程28/07/20219©DetNorskeVeritasAS.Allrightsreserved提问谢谢倾听欢迎指教28/07/202110©DetNorskeVeritasAS.Allrightsreserved28/07/202111©DetNorskeVeritasAS.Allrightsreserved