文档介绍：BSI中国区业务拓展经理
BSI中国区信息安全管理产品经理
BSI中国区IT服务管理产品经理
BSI中国区ITIL产品经理
从管控风险到治理IT服务的标准之道
任晖
1
文库专用
BSI 英国标准协会
2
文库专用
BSI集团全球总部位于英国伦敦,由四大分支机构组成:
标准研发机构
管理体系认证机构
.com BSI全球网站
3
文库专用
1900
2009
百年权威标准之源
1979
BS 5750(后转化为ISO9000)正式颁行
1929
获英国皇家特许认可
1901
成立工程标准委员会
1926
颁布第一个英国标准,建立第一个英国标准标志-风筝标志
1946
国际标准化组织(ISO)创始会员
1992
BS 7750(后转化为ISO 14000)正式颁行
1996
BS 8800(后转化为0HSAS 18000)正式颁行
2000
BS15000(后转化为ISO 20000)正式颁行
2002
收购KPMG(毕马威)北美管理体系认证业务,成为北美最大的认证机构之一
2004--2008
连续五年被国际公认品牌裁决机构选为全球性超级品牌
1995
BS 7799(后转化为ISO 27001/ISO17799)正式颁行
KiteMark
4
文库专用
风险管控的标准之道--- ISO 27001 信息安全管理体系
5
文库专用
对信息安全的关注:
信息是业务的基础
竞争环境的要求
保证服务水平–取胜之道
定制的服务要求更多的客户信息
控制成本要求尽量少的信息壁垒
合法性
商业信誉
系统/ 技术
管理/ 策略
人
信息安全
信息安全因素
6
文库专用
风险来源
信息资产
拒绝服务
逻辑炸弹
黑客渗透
内部人员威胁
木马后门
病毒和蠕虫
社会工程
系统Bug
硬件故障
网络通信故障
供电中断
失火
雷雨
地震
7
文库专用
Confidentiality
Availability
Integrity
Information Security - CIA
8
文库专用
Information Lifecycle 信息生命周期
使用
变更
产生
归类
存档
传输
销毁
级别/ 途径
管理原则/非授权使用/ 授权者非法使用/
验证/ 可恢复/ 发布
可控/ 安全
访问控制/ 备份
授权/方式/损毁彻底
9
文库专用
checklist
Compliance
合规性
BCM 业务连续性管理
Information Security Incident信息安全事件管理
Human人员安全
Physical物理安全
Operation & Communication
运营与通讯安全
Information System
系统获得/开发/维护
Access Control访问控制
Access Control访问控制
Asset 资产管理
Organization组织安全
Policy
方针策略
Compliance
合规性
Compliance
合规性
Compliance
合规性
ISO27001 信息安全管理体系
10
文库专用