1、如何實現(xiàn)企業(yè)信息安全管理與業(yè)務(wù)流程的融合和實施2022年8月6日目前信息安全管理與企業(yè)業(yè)務(wù)流程的實施現(xiàn)狀1研討大綱企業(yè)的信息安全風(fēng)險分布區(qū)域，忽略信息安全的危害基于ISO27001的信息安全風(fēng)險的認(rèn)識與評估流程：資產(chǎn)、風(fēng)險因素、風(fēng)險評價、風(fēng)險控制和處理如何在業(yè)務(wù)流程的控制節(jié)點融入信息安全的風(fēng)險控制措施，確保風(fēng)險可控業(yè)務(wù)流程與信息安全管理整合實施的難點、方法與步驟業(yè)務(wù)流程與信息安全管理整合的價值23456信息安全基礎(chǔ)知識基礎(chǔ)知識 信息安全定義保密性 Confidentiality：信息不被可用或不被泄漏給未授權(quán)的個人、實體和過程的特性。完整性 Integrity保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。可用性

2、 Availability：需要時，授權(quán)實體可以訪問和使用的特性。基礎(chǔ)知識 信息安全管理體系（ISMS）定義 信息安全管理體系（Information Security Management System）是企業(yè)整個管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。基于對業(yè)務(wù)風(fēng)險的認(rèn)識，ISMS 包括建立、實施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動，表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。基礎(chǔ)知識 資產(chǎn)定義任何對組織有價值的事物（ISO/IEC13335-1:2004) 數(shù)據(jù)

3、資產(chǎn) 軟件資產(chǎn) 硬件資產(chǎn) 人員 服務(wù) 其它基礎(chǔ)知識威脅定義可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。（ISO/IEC TR 13335-1:2004）威脅可以是故意的或意外的，人為的或天災(zāi)的，如：故意的：偷聽、惡意軟件；意外的：誤操作天災(zāi)的：地震、水災(zāi)、火災(zāi)基礎(chǔ)知識脆弱性定義可能會被一個或多個威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點。（ISO/IEC TR 13335-1:2004）脆弱性本身不會導(dǎo)致?lián)p害，它只是一種條件或一組條件可能容許威脅影響資產(chǎn)；脆弱性如果不予管理，就會使得威脅變成現(xiàn)實例子：缺乏安全意識、電壓不穩(wěn)定、門沒鎖、不良的接線、位于易受洪水影響的區(qū)域、不受控的拷貝、員工短缺等

4、基礎(chǔ)知識其他定義風(fēng)險評估：風(fēng)險分析和風(fēng)險評價的全過程。風(fēng)險處理：選擇和實施措施以改變風(fēng)險的過程。風(fēng)險管理：指導(dǎo)和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。注：典型風(fēng)險管理包括風(fēng)險評估和風(fēng)險處理。基礎(chǔ)知識信息的生命周期建立貯存處理銷毀傳送丟失損毀使用？！惡意或不當(dāng)行為信息的生命周期伴隨在業(yè)務(wù)流程中！基礎(chǔ)知識ISO 27001標(biāo)準(zhǔn)介紹BS7799-1 操作規(guī)則BS7799-2 認(rèn)證規(guī)范1995年版1999年版1998年版1999年版ISO/IEC17799：20002002年版ISO/IEC17799：2005ISO/IEC27001：2005ISO/IEC27002：2005基礎(chǔ)知識ISO 27001標(biāo)準(zhǔn)

5、介紹2700027009：ISMS基本標(biāo)準(zhǔn)，2701027019：ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔 認(rèn)證機(jī)構(gòu) 認(rèn)可要求 目前信息安全管理與企業(yè)業(yè)務(wù)流程的實施現(xiàn)狀實施現(xiàn)狀 現(xiàn)狀1對“信息安全管理”理解片面，不能正確理解信息安全管理目標(biāo)，完全與業(yè)務(wù)流程脫節(jié)信息安全就是計算機(jī)沒有病毒信息安全就是系統(tǒng)沒有漏洞信息安全就是信息保密沒有連接互聯(lián)網(wǎng)就是安全的有信息技術(shù)支持就是安全的等實施現(xiàn)狀 現(xiàn)狀2“信息安全管理”沒有完全覆蓋企業(yè)的業(yè)務(wù)流程業(yè)務(wù)過程識別不全面，導(dǎo)致信息安全管理漏洞，如銷售過程沒有識別、沒有考慮遠(yuǎn)程工作過程只關(guān)注了重要業(yè)務(wù)流程，如生產(chǎn)過程、設(shè)計過程實施現(xiàn)狀 現(xiàn)狀3信息安全控制措施不能在業(yè)務(wù)過程

6、中有效實施安全意識較差，安全規(guī)定不執(zhí)行關(guān)注“應(yīng)用性”，忽略了“安全性”缺少安全監(jiān)督檢查機(jī)制，控制措施不能有效落實缺乏持續(xù)改進(jìn)機(jī)制等企業(yè)的信息安全風(fēng)險分布區(qū)域，忽略信息安全的危害風(fēng)險分布及危害 案例19家企業(yè)信息安全問題總結(jié)：信息化基礎(chǔ)設(shè)施建設(shè)水平差，缺乏基本的安全保障僅有21%的企業(yè)信息化組織結(jié)構(gòu)和基礎(chǔ)設(shè)施的建設(shè)較好；有79%的企業(yè)信息化組織結(jié)構(gòu)和職責(zé)不明確，信息化制度缺失或制度不完善；機(jī)房簡陋，在防塵、防火、防水、溫濕度、電力等方面不符合要求，個別企業(yè)沒有建立機(jī)房；網(wǎng)絡(luò)系統(tǒng)為二層結(jié)構(gòu)，沒有部署防火墻等安全設(shè)備；風(fēng)險分布及危害風(fēng)險分布及危害風(fēng)險分布及危害 案例有89%的企業(yè)在信息安全管理和技術(shù)

7、上存在較嚴(yán)重的安全隱患網(wǎng)絡(luò)架構(gòu)不合理，沒有劃分安全區(qū)域，沒有部署防火墻等安全設(shè)備員工信息安全意識薄弱，沒有及時有效查殺病毒，病毒和木馬感染事件頻發(fā)重要計算機(jī)存在弱口令甚至沒有設(shè)置登錄口令重要應(yīng)用系統(tǒng)和服務(wù)器存在較嚴(yán)重的安全漏洞，易遭到攻擊或信息泄露重要技術(shù)機(jī)密文件沒有被有效保護(hù)，個別企業(yè)已經(jīng)發(fā)生過技術(shù)機(jī)密信息泄露事件，造成了損失風(fēng)險分布及危害 風(fēng)險分布分布在信息生命周期的各個環(huán)節(jié)，即業(yè)務(wù)過程中：組織安全人員安全基礎(chǔ)環(huán)境安全設(shè)施的安全（通信線路、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、存儲等）應(yīng)用安全（系統(tǒng)軟件、應(yīng)用軟件）訪問控制備份及業(yè)務(wù)連續(xù)性風(fēng)險分布及危害 危害企業(yè)有哪些重要信息知識產(chǎn)權(quán)；技術(shù)秘密；重要的合同；

8、客戶資料；軟件產(chǎn)品的源代碼；財務(wù)數(shù)據(jù)；內(nèi)部文件等危害侵權(quán)；重要信息泄密；經(jīng)濟(jì)損失；業(yè)務(wù)中斷；企業(yè)倒閉基于ISO27001的信息安全風(fēng)險的認(rèn)識與評估流程：資產(chǎn)、風(fēng)險因素、風(fēng)險評價、風(fēng)險控制和處理風(fēng)險認(rèn)識及評估基于ISO 27001信息安全風(fēng)險的認(rèn)識“組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險，建立、實施、運行、監(jiān)控、評審、保持并改進(jìn)文件化的信息安全管理體系”“考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)”“選擇適當(dāng)和相宜的安全控制措施” 制定風(fēng)險評估準(zhǔn)則和接受準(zhǔn)則。風(fēng)險認(rèn)識及評估風(fēng)險評估流程風(fēng)險認(rèn)識及評估風(fēng)險分析原理如何在業(yè)務(wù)流程的控制節(jié)點融入信息安全的風(fēng)險控制措施，確保風(fēng)險可控融入控制措施 基于業(yè)務(wù)流程的風(fēng)

9、險評估控制措施考慮不同業(yè)務(wù)節(jié)點識別業(yè)務(wù)過程識別業(yè)務(wù)過程對應(yīng)的資產(chǎn)識別威脅識別脆弱性不同級別的風(fēng)險制定控制措施業(yè)務(wù)流程與信息安全管理整合實施的難點、方法與步驟實施方法與步驟導(dǎo)入以ISO27001為基礎(chǔ)的信息安全管理體系實施方法與步驟 ISO27001 11個控制域（最佳實踐）信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信與操作安全訪問控制信息系統(tǒng)的獲取開發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)持續(xù)性管理符合性實施方法與步驟實施難點領(lǐng)導(dǎo)層不關(guān)注員工安全意識薄弱，不支持資源的投入（人力、資金）專業(yè)技術(shù)性要求高解決辦法信息安全培訓(xùn)，提高安全有意識和企業(yè)自身能力聘請專業(yè)的第三方

10、公司協(xié)助業(yè)務(wù)流程與信息安全管理整合的價值（信息安全管理體系實施的價值）實施的價值 維持和增強(qiáng)公司競爭優(yōu)勢，促進(jìn)業(yè)務(wù)發(fā)展。 維護(hù)公司的聲譽和品牌，增強(qiáng)相關(guān)方的信任； 滿足客戶和法律法規(guī)的信息安全要求； 強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為； 保障公司業(yè)務(wù)的正常運行 增強(qiáng)信息系統(tǒng)的安全性，減少安全事件帶來的影響和經(jīng)濟(jì)損失； 提高信息安全管理水平，保障信息系統(tǒng)安全運行； 找出與相關(guān)國際/國內(nèi)/行業(yè)標(biāo)準(zhǔn)的差異，增強(qiáng)合規(guī)性；發(fā)現(xiàn)系統(tǒng)中潛在風(fēng)險與安全隱患，有效控制風(fēng)險；實施的價值來源：澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學(xué)術(shù)會議Australia,

11、 5th -7th December, 2011ISO27001實施效果調(diào)查信息安全標(biāo)準(zhǔn)化管理及透明度增強(qiáng)組織對信息安全的信心有效的風(fēng)險管理成熟、全面的信息安全管理增強(qiáng)客戶信心其他服務(wù)能力提升實施的價值來源：國際計算機(jī)科學(xué)與網(wǎng)絡(luò)安全期刊，2010年3月ISO27001體系作用研究影響方面測量指標(biāo)效果直接經(jīng)濟(jì)效益現(xiàn)金流增長14%成本降低30%間接經(jīng)濟(jì)效益業(yè)務(wù)機(jī)會增加25%客戶合作增加39%信息安全可靠性流程效率提升53%反應(yīng)速度提升37%安全防護(hù)能力提升68% 中國賽寶資質(zhì)及業(yè)務(wù)ISO/IEC 27001 信息安全管理體系認(rèn)證；ISO/IEC 20000 IT服務(wù)管理體系認(rèn)證；ISO 9001 質(zhì)量管理體系認(rèn)證；TL 9000電信行業(yè)質(zhì)量管理體系認(rèn)證；ISO/TS 16949 汽車行業(yè)管理體系認(rèn)證；ISO 14001環(huán)境管理體系認(rèn)證；OHSAS 18001職業(yè)健康與安全管理體系認(rèn)證；工業(yè)和信