文档介绍:企业信息安全�风险分析与控制研究
工商管理
王欣欣
目录
洞析企业信息安全
企业信息安全风险分析
企业信息安全风险控制
一、洞析企业信息安全
1、企业信息安全:防止信息财产被故意的或偶然的非授权泄漏、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。
2、企业信息安全的实现目标
(1)真实性
(2)保密性
(3)完整性
(4)可用性
(5)不可抵赖性
(6)可控制性
(7)可审查性
3、企业信息系统安全发展历程
通信安全阶段
信息安全阶段
信息保障阶段
4、信息安全国际标准
信息安全管理标准
信息和通信技术安全管理(ISO/IEC)
澳新风险管理标准(AS/NZS 4360)
信息安全管理体系(ISO/IEC 27001)
信息安全管理实施细则(ISO/IEC 27002)
信息安全产品标准
美国可信计算机安全评价标准(TCSEC)
)
二、企业信息安全风险分析
1、信息安全风险分类
管理:信息安全组织不完善
来自人员的威胁
政策、措施的不完善
技术:物理上面对的威胁
系统面临的威胁
应用面临的威胁
数据面临的威胁
2、企业信息安全风险需求
上市公司监管:sox法案
行业规范:银监会风险管理指引,电子银行PCI等
政府机构:公安部等级保护
第二方审计:ISAS70/CobiT/PC
证书要求:ISO27001/ISO20000
研发、知识产权和客户资料保护的要求
业务连续的要求
企业发展战略对IT内控的要求
企业信誉和形象的要求
合规要求
客户要求
自身需求
客户/合作
伙伴
行业
大环境
企业自身环境
三、企业信息安全风险控制
1、企业制定信息安全框架
安全原则:描述信息安全的业务需求价值
安全政策:描述信息安全的目的、方向、愿景及责任
安全标准:信息安全实施规则
安全流程:于跨部门实施政策标准的活动、工作及程序
安全作业指南:描述个人在流程上的详细工作
安全架构:信息安全技术如何结合的细节
安全产品:信息安全解决方案所选的产品及工具
2、企业信息安全建设思路
由面到点
提升层次
由点到面
在体系框架内,将控制深入到与业务结合更紧密的IT领域
基础设施安全控制
IT安全运行和维护
业务连续性管理
信息安全管理体系
软件开发安全控制
信息企业安
全治理框架
由点到面
将基本控制做到全面、系统和完整,形成风险驱动的体系
最终上升到直接的业务层面,形成信息安全战略