ISO27001介绍(亚远景).pptx

《ISO27001介绍(亚远景).pptx》由会员分享，可在线阅读，更多相关《ISO27001介绍(亚远景).pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、服务技术发展用心服务，专业技术，合作发展2 /33亚远景组织面临的威胁组织面临的威胁用心服务，专业技术，合作发展3 /33亚远景什么是信息n信息是一种资产，就像企业其它资产信息是一种资产，就像企业其它资产一一样重要，样重要，对对企业企业具有具有重要的重要的价值，因此需要受到价值，因此需要受到适当适当的的保护。保护。n信息的类型信息的类型n书写或打印于纸上书写或打印于纸上n储存在电子媒体上储存在电子媒体上n以邮寄或电子储存媒体传输以邮寄或电子储存媒体传输n显示于企业影片上显示于企业影片上n言语言语-在对话中提出在对话中提出不管信息的形式是什么，或者共享或储存的方式是什不管信息的形式是什么，或者共

2、享或储存的方式是什么，都应该受到适当的保护。么，都应该受到适当的保护。用心服务，专业技术，合作发展4 /33亚远景什么是信息安全机密性：机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性：可用性：基于需要可由授权者存取及使用的特性。：性整完：性整完征特的整完和威胁脆弱确准产资护保风险用心服务，专业技术，合作发展5 /33亚远景信息得到保障 用心服务，专业技术，合作发展6 /33亚远景现今的部署架构面临的挑战现今的部署架构面临的挑战InternetFinanceOperationsSalesWLAN SwitchCore SwitchIDS/IDPFirewallRouter

3、A/D ServerDatabase ServersAccess SwitchAccess SwitchAccess Switch安装多个防护机安装多个防护机置于末端置于末端升級或改用拥有 802.1x 的交換器802.1x Switch802.1x Switch802.1x SwitchRadiusACS Server增加ACS server$於每個子網路加裝F/WRadius$加裝分系系統$增加 IDS/IDP toLAN 子網路$維運特徵值和政策userwith infection側錄每一個網路端點$設定/更改群組政策面对入侵迟钝的反应面对入侵迟钝的反应, 却花费大笔的却花费大笔的金钱，

4、金钱，而安全却毫无起色而安全却毫无起色用心服务，专业技术，合作发展7 /33亚远景軟體驅動軟體驅動AP會議室倉儲作業PROBESPROBESPROBES1. 無線電腦開機後發送無線電腦開機後發送PROBE連線請求連線請求2. 週遭無線基地台回應週遭無線基地台回應 BEACONS3. 無線電腦根據最佳的訊號強度無線電腦根據最佳的訊號強度, 雜訊等條雜訊等條件連接至件連接至最佳的最佳的AP無線基地台無線基地台4. 使用者可輕易設定為使用者可輕易設定為 Ad Hoc Network 模式與駭客連接模式與駭客連接難以限制使用者的連線對象難以限制使用者的連線對象意外連線意外連線惡意連線惡意連線Ad Ho

5、c Network无线网络安全管理问题无线网络安全管理问题-无线连接行为难以管控无线连接行为难以管控企業內部網路企業內部網路Office周邊左鄰右舍周邊左鄰右舍停車場停車場用心服务，专业技术，合作发展8 /33亚远景全球信息保护相关信息20%80%的損失，是來自於電腦遺失/被竊取網路入侵/駭客攻擊在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。(Source: Kensington Group)80%重要、機密資料被竊取的管道用心服务，专业技术，合作发展9 /33亚远景设备损失与资料外泄的成本设备损失与资料外泄的成本風險

6、成本評估台幣3萬5千到10萬不等台幣7萬到30萬不等“無價”，損失以無法用價錢衡量商機損失法律責任與賠償客戶信心投資者信心管理政策異動更新保險作業流程資料復原時間使用者等待時間硬體資產軟體資產組織形象復原成本實體資產用心服务，专业技术，合作发展10 /33亚远景什么是信息安全管理体系什么是信息安全管理体系用心服务，专业技术，合作发展11 /33亚远景信息安全管理，简称ISMS (Information Security Management System)nISMS的目标是透过一整体规划的信息安全的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务解决方案，来确保企业所有信息

7、系统和业务的安全，并保持正常运作。的安全，并保持正常运作。nISMS利用风险分析管理工具，结合企业资利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。全作业准则，从而降低潜在的风险危机。用心服务，专业技术，合作发展12 /33亚远景ISO27001:2005结构用心服务，专业技术，合作发展13 /33亚远景ISO27001:2005标准用心服务，专业技

8、术，合作发展14 /33亚远景信息安全管理体系之信息安全管理体系之PDCA改進改進用心服务，专业技术，合作发展15 /33亚远景信息安全市场现状与发展信息安全市场现状与发展用心服务，专业技术，合作发展16 /33亚远景n政府部门或国营事业单位、金融业与信政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过息安全服务业是目前国内通过ISMS认证认证的三大行业。的三大行业。n展望未来，政府部门或国营事业单位对展望未来，政府部门或国营事业单位对信息安全服务仍有强烈的需求。信息安全服务仍有强烈的需求。nBPO,ITO及大型信息电子业则是下一波及大型信息电子业则是下一波重点需求所在，这主要基于重

9、点需求所在，这主要基于ISO 27001 已成为不少国际已成为不少国际IT厂商对供应链厂商的厂商对供应链厂商的审查要点之一。审查要点之一。信息安全现状与发展用心服务，专业技术，合作发展17 /33亚远景截止2007年全球认证组织统计用心服务，专业技术，合作发展18 /33亚远景截止2007年中国获认证的组织发展用心服务，专业技术，合作发展19 /33亚远景企业建置 ISMS 的效益n对外：对外：n增加客户之信心及满意度n开拓国际及相关业务市场n强化企业品牌的市场竞争力n提高产品及服务质量n对内：对内：n保护公司之机密信息及知识产权n增进信息系统之稳定性及可用性n降低因信息错误或泄漏造成之损失n

10、改善员工信息管理环境并建立信心用心服务，专业技术，合作发展20 /33亚远景ISMS的的导入与认证导入与认证用心服务，专业技术，合作发展21 /33亚远景用心服务，专业技术，合作发展22 /33亚远景ISO27001项目导入规划项目导入规划 准备阶段准备阶段 l 第2查核点l 第3查核点l 第1查核点实现阶段实现阶段 认证阶段认证阶段 运行阶段运行阶段 用心服务，专业技术，合作发展23 /33亚远景项目进度表编号工期9个月任务名称09年9月12月8月10年2月12月11个月个月团队建设21个月个月专题培训32个月个月体系设计43个月个月过程定义56个月个月过程试点66个月个月全面实施72个月个

11、月管理评审81个月个月评审认证范围界定 认证审核专题培训过程试点过程定义体系设计全面推广项目启动用心服务，专业技术，合作发展24 /33亚远景企业参与ISO27001的单位用心服务，专业技术，合作发展25 /33亚远景信息安全推动小组职责与管理权限用心服务，专业技术，合作发展26 /33亚远景信息安全推动小组职责与管理权限管理权责管理权责信息安全推动委员会信息安全推动委员会n建立信息安全管理制度并推动信息安全相关事宜。建立信息安全管理制度并推动信息安全相关事宜。召集人召集人(由中心主任担任由中心主任担任)n负责召集信息安全管理审查会议，并追踪其决议事项。负责召集信息安全管理审查会议，并追踪其决

12、议事项。n督导本组织的风险评鉴作业。督导本组织的风险评鉴作业。n督导本组织的持续营运计划的修订与演练。督导本组织的持续营运计划的修订与演练。信息安全稽核小组信息安全稽核小组(5人人)n执行信息安全管理之内部稽核作业。执行信息安全管理之内部稽核作业。信息安全工作小组信息安全工作小组(10人人)n评估人员进用之安全性。评估人员进用之安全性。n办理信息安全教育训练。办理信息安全教育训练。n信息资产之安全需求研议、使用管理及保护等事项。信息资产之安全需求研议、使用管理及保护等事项。n程序及规范书草拟程序及规范书草拟用心服务，专业技术，合作发展27 /33亚远景信息安全推动小组职责与管理权限n管理事项如

13、下：管理事项如下：n信息安全政策制定及评估信息安全政策制定及评估n组织的信息安全与分工组织的信息安全与分工n资产管理资产管理n人力资源的安全人力资源的安全n实体与环境安全实体与环境安全n通讯与作业管理通讯与作业管理n存取控制存取控制n信息系统取得、开发及维护信息系统取得、开发及维护n信息安全事故管理信息安全事故管理n营运持续管理营运持续管理n遵循性遵循性用心服务，专业技术，合作发展28 /33亚远景信息安全管理体系文档架构信息安全管理体系文档架构一级文件一级文件：政策性文件，适用性声明政策性文件，适用性声明二级文件二级文件：程序程序三级文件三级文件：规划规划、手册手册、操作说明操作说明、计划计

14、划、管理办法管理办法四级文件四级文件：表单表单、报告报告、记录记录、合约合约属政策性文件属政策性文件，由由ISMSISMS推动委员推动委员会议会议属于技术属于技术性与操作性与操作性文件由性文件由ISMSISMS推动推动小组另订小组另订用心服务，专业技术，合作发展29 /33亚远景ISMS认证流程图用心服务，专业技术，合作发展30 /33亚远景成功的关键因素n经验显示，组织的信息安全能否成功实施，下列经验显示，组织的信息安全能否成功实施，下列常为关键因素：常为关键因素：n能反映营运目标的信息安全政策、目标及活动。能反映营运目标的信息安全政策、目标及活动。n与组织文化一致的实施、维护、监控、及改进

15、信息安与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。全的方法与框架。n来自所有管理阶层的实际支持和承诺。来自所有管理阶层的实际支持和承诺。n对信息安全要求、风险评鉴以及风险管理的深入了解。对信息安全要求、风险评鉴以及风险管理的深入了解。n向全体管理人员、受雇人员、及相关人员有效推广信向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。息安全以达到认知。n资助信息安全管理活动。资助信息安全管理活动。n提供适当的认知、训练及教育。提供适当的认知、训练及教育。n制定有效的信息安全事故管理过程。制定有效的信息安全事故管理过程。n实施一个用于评估实施一个用于评估ISMS的绩效

16、及改进的回馈建议之的绩效及改进的回馈建议之量测系统。量测系统。用心服务，专业技术，合作发展31 /33亚远景咨询单位介绍咨询单位介绍用心服务，专业技术，合作发展32 /33亚远景公司介紹公司介紹nWTI是一家专为IT企业提供CMMI/ISO27001/ISO2000咨询认证的专业机构。 WTI的服务可为您的企业建立有效的质量、安全管理体系，减少错误和开发成本，持续地满足和增强客户对您企业的信心。nWTI是SEI，BSI战略合作伙伴，中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。nWTI已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长，WTI积累了大量的历史数据和实践经验，确保您的企业与产品的成功。nWTI有一支全国认可专业咨询能力第一的顾问专家队伍，依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务，并协助客户获得权威人员及机构的认证。n我司已经运行符合ISO27001标准的信息安全管理体系，我们期望能分享我们的经验，协助您在组织中建立各种管理体系，在市场上获取最大竞争优势。用心服务，专业技术，合作发展33 /33亚远景聯繫資訊聯繫資訊