信息安全技术与管理的有效融合

ClicktoeditMastersubtitlestyleClicktoeditMastertitlestyle信息安全技术与管理的有效融合Trendsetting北京趋势引领信息咨询有限公司2009.102/15如何面对信息安全问题1全面构建信息安全体系2技术与管理的平衡和有效融合34信息安全管理实践议程3/15案例及数据分享管理实践有效融合体系构建面对问题案例分享数据统计据Gartner调查显示，超过85%的安全威胁来自组织内部，而其中通过即时通信、电子邮件泄露的电子数据信息损失占到30%-40%。在Fortune排名前100家的公司中，每次电子数据泄漏的平均损失是50万美元。其中一部分来自于企业内部人员与外部人员相勾结，另一部分则是别有用心的组织通过技术手段进行信息窃取。2009年，IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示，这400人在过去的12个月中碰到了大约5.8万起内部信息安全事件，也就是说平均每个企业每年将发生近150起内部信息安全事故。4/15如何解决问题？部署网络/主机入侵检测系统？部署终端安全系统？部署SOC？部署加密系统？实施ISMS？执行信息系统审计？签署保密协议？技术手段管理措施管理实践有效融合体系构建面对问题5/15如何面对信息安全问题？•事件、故障发生以后再采取相应的技术或管理补救措施•不注重系统的架构和规划被动型企业（事件导向）•强调信息安全管理的重要性•具有完整的安全管理组织，明确的职责划分•完善的安全策略、标准和流程•部署了基本安全系统和工具管理型企业（管理导向）•强调信息安全管理和技术的平衡•集成且统一的安全管理体系和技术架构•强健有力的信息安全组织保障•以风险为导向的控制和管理•预防为主、防治结合、内外兼修成熟型企业（风险导向）•强调并依赖信息安全技术•拥有众多技术专家，并对安全组织进行了详细的技术领域划分•制定了基本的安全策略、标准和流程•部署各种先进的安全系统和工具技术型企业（技术导向）安全技术安全管理管理实践有效融合体系构建面对问题6/15全面构建信息安全体系技术架构定义信息安全技术架构设计原则分析信息安全技术功能需求定义信息安全技术功能组件划分安全区域设计信息安全技术架构信息安全技术系统部署管理体系制定明确的信息安全战略和方针识别信息资产和关键业务应用执行风险评估和进行风险管理制定信息安全策略、制度、流程及标准信息安全意识培训和策略宣贯执行监督和持续改进管理实践有效融合体系构建面对问题7/15信息安全体系规划原则信息安全体系规划原则：——关注组织目标和合规风险——采用分阶段的建设方式，从重点问题着手——借鉴国际先进经验、依据国际标准及业界最佳实践——在确保安全性的前提下需注重实际可操作性和效率——以风险管理为基础，预防为主，防治结合——结合企业的战略和企业文化关键因素：一个有效的信息安全体系应该是管理和技术的平衡和有效融合。管理实践有效融合体系构建面对问题8/15技术与管理的平衡如何决策？技术管理决定因素?ISMS、风险管理、IS审计。。。IPS、UTM、SSO、SOC。。。人员的意识、组织的执行力、成本效益分析管理实践有效融合体系构建面对问题9/15技术与管理如何有效融合？管理实践有效融合体系构建面对问题组织目标管理先行，带动技术需求以规范的管理为技术的实施提供保障管理关注全局，技术聚焦重点沟通管理的过程的控制须充分考虑技术手段管理作为技术的有益补充，技术成为管理的可靠保障管理清晰，技术透明理解10/15基于ISO27001的信息安全管理体系架构A15合规性实施(D)策划(P)改进(A)检查(C)A14业务连续性管理A13信息安全事件管理A7资产管理A6组织信息安全A5安全方针A11访问控制A8人力资源安全A9物理/环境安全A10通讯运营管理A12信息系统获取、开发及维护人员技术信息流程环境注：11控制域，39控制目标，133控制措施管理实践有效融合体系构建面对问题11/15信息安全管理实践管理实践有效融合体系构建面对问题业务目标合规要求企业治理IT治理ISO27001最佳实践标准驱动COBIT/ISO38500COSO/企业内部控制基本规范ISO9001ISO20000ISAudit/ISACABS2599912/15服务热线：400-678-1822公司网址：www.trendsetting.com.cn北京趋势引领信息咨询有限公司TrendsettingConsultingCo.,Ltd.