ISO27001介绍(亚远景)

用心服务-专业技术-合作发展ISO/IEC27001:2005简介Abriefintroduction用心服务，专业技术，合作发展2/33亚远景Disclosure/Alteration/Destruction组织面临的威胁用心服务，专业技术，合作发展3/33亚远景什么是信息信息是一种资产，就像企业其它资产一样重要，对企业具有重要的价值，因此需要受到适当的保护。信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。用心服务，专业技术，合作发展4/33亚远景什么是信息安全机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性：基于需要可由授权者存取及使用的特性。：性整完征特的整完和威胁脆弱确准产资护保风险用心服务，专业技术，合作发展5/33亚远景信息得到保障信息安全4P-方针、过程、人员、产品用心服务，专业技术，合作发展6/33亚远景现今的部署架构面临的挑战InternetFinanceOperationsSalesWLANSwitchCoreSwitchIDS/IDPFirewallRouterA/DServerDatabaseServersAccessSwitchAccessSwitchAccessSwitch安装多个防护机置于末端升級或改用拥有802.1x的交換器802.1xSwitch802.1xSwitch802.1xSwitchRadiusACSServer增加ACSserver$$$$$$$$$$$於每個子網路加裝F/WRadius$$$$$$$$$加裝分系系統$$$增加IDS/IDPtoLAN子網路$$$$$$$$$$$$維運特徵值和政策userwithinfection側錄每一個網路端點$$$$$$$$設定/更改群組政策面对入侵迟钝的反应,却花费大笔的金钱，而安全却毫无起色用心服务，专业技术，合作发展7/33亚远景軟體驅動AP會議室倉儲作業1.無線電腦開機後發送PROBE連線請求2.週遭無線基地台回應BEACONS3.無線電腦根據最佳的訊號強度,雜訊等條件連接至最佳的AP無線基地台4.使用者可輕易設定為AdHocNetwork模式與駭客連接難以限制使用者的連線對象意外連線惡意連線AdHocNetwork无线网络安全管理问题-无线连接行为难以管控企業內部網路Office周邊左鄰右舍停車場用心服务，专业技术，合作发展8/33亚远景全球信息保护相关信息20%80%的損失，是來自於電腦遺失/被竊取網路入侵/駭客攻擊在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。(Source:KensingtonGroup)80%重要、機密資料被竊取的管道用心服务，专业技术，合作发展9/33亚远景设备损失与资料外泄的成本風險成本評估台幣3萬5千到10萬不等台幣7萬到30萬不等“無價”，損失以無法用價錢衡量商機損失法律責任與賠償客戶信心投資者信心管理政策異動更新保險作業流程資料復原時間使用者等待時間硬體資產軟體資產組織形象復原成本實體資產用心服务，专业技术，合作发展10/33亚远景IntroductiontoISO27001:2005什么是信息安全管理体系用心服务，专业技术，合作发展11/33亚远景信息安全管理，简称ISMS(InformationSecurityManagementSystem)ISMS的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作。ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。用心服务，专业技术，合作发展12/33亚远景ISO27001:2005结构PHY环境与设备POL方针和策略NET网络与通信SYS主机与系统APP应用与业务DAT数据/文档/介质RSK风险管理BCM业务连续性管理ENG项目工程OPR运行与维护ORG人员和组织CPL合规性用心服务，专业技术，合作发展13/33亚远景ISO27001:2005标准用心服务，专业技术，合作发展14/33亚远景信息安全管理体系之PDCA改進用心服务，专业技术，合作发展15/33亚远景ISO27000Today&Development信息安全市场现状与发展用心服务，专业技术，合作发展16/33亚远景政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过ISMS认证的三大行业。展望未来，政府部门或国营事业单位对信息安全服务仍有强烈的需求。BPO,ITO及大型信息电子业则是下一波重点需求所在，这主要基于ISO27001已成为不少国际IT厂商对供应链厂商的审查要点之一。信息安全现状与发展用心服务，专业技术，合作发展17/33亚远景截止2007年全球认证组织统计用心服务，专业技术，合作发展18/33亚远景截止2007年中国获认证的组织发展用心服务，专业技术，合作发展19/33亚远景企业建置ISMS的效益对外：增加客户之信心及满意度开拓国际及相关业务市场强化企业品牌的市场竞争力提高产品及服务质量对内：保护公司之机密信息及知识产权增进信息系统之稳定性及可用性降低因信息错误或泄漏造成之损失改善员工信息管理环境并建立信心用心服务，专业技术，合作发展20/33亚远景ISO27001Consulting&CertificationISMS的导入与认证用心服务，专业技术，合作发展21/33亚远景亞遠景ISO27001諮詢輔導過程用心服务，专业技术，合作发展22/33亚远景ISO27001项目导入规划•现况分析-项目启动，团队组建-组织现况了解与差异分析•风险评估与管理-资产盘点与风险分析-详细风险评估与报告产出-风险处理作业•ISMS文件制定与实施-ISM文件制订与实施-业务持续演练-ISMS内部审计与管理评审•预评与认证-ISMS预评-第一阶段认证-第二阶段认证准备阶段第2查核点第3查核点第1查核点实现阶段认证阶段运行阶段用心服务，专业技术，合作发展23/33亚远景项目进度表编号工期9个月任务名称09年9月12月8月10年2月12月11个月团队建设21个月专题培训32个月体系设计43个月过程定义56个月过程试点66个月全面实施72个月管理评审81个月评审认证范围界定认证审核专题培训过程试点过程定义体系设计全面推广项目启动用心服务，专业技术，合作发展24/33亚远景企业参与ISO27001的单位用心服务，专业技术，合作发展25/33亚远景信息安全推动小组职责与管理权限資訊安全推動委員會召集人：中心主任當然委員：中心主任、秘書、各組長遴選委員：以各組資訊安全相關業務之組員為原則，若考量任務需要得由當然委員另行指派。資訊安全稽核小組成員：由「資訊安全推動委員會」指派職責：統籌規劃各項資訊安全作業及相關教育訓練。若考量人力因素，得擬由外部人員協助辦理資訊安全工作小組成員：由「資訊安全推動委員會」指派職責：為任務編組，成員由「資訊安全推動委員會」指派，負責評估資訊安全管理制度之落實與遵行情形用心服务，专业技术，合作发展26/33亚远景信息安全推动小组职责与管理权限管理权责●信息安全推动委员会建立信息安全管理制度并推动信息安全相关事宜。●召集人(由中心主任担任)负责召集信息安全管理审查会议，并追踪其决议事项。督导本组织的风险评鉴作业。督导本组织的持续营运计划的修订与演练。●信息安全稽核小组(5人)执行信息安全管理之内部稽核作业。●信息安全工作小组(10人)评估人员进用之安全性。办理信息安全教育训练。信息资产之安全需求研议、使用管理及保护等事项。程序及规范书草拟用心服务，专业技术，合作发展27/33亚远景信息安全推动小组职责与管理权限管理事项如下：信息安全政策制定及评估组织的信息安全与分工资产管理人力资源的安全实体与环境安全通讯与作业管理存取控制信息系统取得、开发及维护信息安全事故管理营运持续管理遵循性用心服务，专业技术，合作发展28/33亚远景信息安全管理体系文档架构一级文件：政策性文件，适用性声明二级文件：程序三级文件：规划、手册、操作说明、计划、管理办法四级文件：表单、报告、记录、合约属政策性文件，由ISMS推动委员会议属于技术性与操作性文件由ISMS推动小组另订用心服务，专业技术，合作发展29/33亚远景ISMS认证流程图用心服务，专业技术，合作发展30/33亚远景成功的关键因素经验显示，组织的信息安全能否成功实施，下列常为关键因素：能反映营运目标的信息安全政策、目标及活动。与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评鉴以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适当的认知、训练及教育。制定有效的信息安全事故管理过程。实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统。用心服务，专业技术，合作发展31/33亚远景WorthyTechnologiesInc.咨询单位介绍用心服务，专业技术，合作发展32/33亚远景公司介紹WTI是一家专为IT企业提供CMMI/ISO27001/ISO2000咨询认证的专业机构。WTI的服务可为您的企业建立有效的质量、安全管理体系，减少错误和开发成本，持续地满足和增强客户对您企业的信心。WTI是SEI，BSI战略合作伙伴，中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。WTI已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长，WTI积累了大量的历史数据和实践经验，确保您的企业与产品的成功。WTI有一支全国认可专业咨询能力第一的顾问专家队伍，依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务，并协助客户获得权威人员及机构的认证。我司已经运行符合ISO27001标准的信息安全管理体系，我们期望能分享我们的经验，协助您在组织中建立各种管理体系，在市场上获取最大竞争优势。用心服务，专业技术，合作发展33/33亚远景ContactUs聯繫資訊ShanghaiCompany:Tel:+862154133280Fax:+862154133279GuangzhouCompany:Tel:+862038480629Fax:+862038480654HaerbinCompany:Tel:+8645187003619Fax:+8645187002209HKOffice:Tel:+85290485027Fax:+85229872129LondonOffice:Tel:+44(0)7739989867Fax:+85290485027Site@cmmcn.com