企业信息安全风险分析与控制研究

企业信息安全风险分析与控制研究工商管理王欣欣目录一．洞析企业信息安全二．企业信息安全风险分析三．企业信息安全风险控制一、洞析企业信息安全1、企业信息安全：防止信息财产被故意的或偶然的非授权泄漏、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、可用性、完整性和可控性。2、企业信息安全的实现目标（1）真实性（2）保密性（3）完整性（4）可用性（5）不可抵赖性（6）可控制性（7）可审查性3、企业信息系统安全发展历程通信安全阶段信息安全阶段信息保障阶段4、信息安全国际标准•信息安全管理标准信息和通信技术安全管理（ISO/IEC）澳新风险管理标准（AS/NZS4360）信息安全管理体系（ISO/IEC27001）信息安全管理实施细则（ISO/IEC27002）•信息安全产品标准美国可信计算机安全评价标准（TCSEC）国际通用准则（CC）二、企业信息安全风险分析1、信息安全风险分类管理：信息安全组织不完善来自人员的威胁政策、措施的不完善技术：物理上面对的威胁系统面临的威胁应用面临的威胁数据面临的威胁2、企业信息安全风险需求上市公司监管：sox法案行业规范：银监会风险管理指引，电子银行PCI等政府机构：公安部等级保护第二方审计：ISAS70/CobiT/PC证书要求：ISO27001/ISO20000研发、知识产权和客户资料保护的要求业务连续的要求企业发展战略对IT内控的要求企业信誉和形象的要求合规要求客户要求自身需求客户/合作伙伴行业大环境企业自身环境三、企业信息安全风险控制1、企业制定信息安全框架安全原则：描述信息安全的业务需求价值安全政策：描述信息安全的目的、方向、愿景及责任安全标准：信息安全实施规则安全流程：于跨部门实施政策标准的活动、工作及程序安全作业指南：描述个人在流程上的详细工作安全架构：信息安全技术如何结合的细节安全产品：信息安全解决方案所选的产品及工具2、企业信息安全建设思路由面到点提升层次由点到面在体系框架内，将控制深入到与业务结合更紧密的IT领域基础设施安全控制IT安全运行和维护业务连续性管理信息安全管理体系软件开发安全控制信息企业安全治理框架由点到面将基本控制做到全面、系统和完整，形成风险驱动的体系最终上升到直接的业务层面，形成信息安全战略3、管理控制组织安全信息安全决策层信息安全管理层信息安全操作层信息安全审计业务安全需求信息安全风险人员安全1.人员来源的保证2.人员职责的明确3.法规约束4.安全培训5.人员本身的安全安全政策4、技术控制防护技术人员认证体系网络认证体系防火墙体系应用网关开发工程过程VLAN病毒防御系统检测技术入侵检测安全监控安全审计响应技术主页恢复备份系统灾备中心