文档介绍:信息安全管理体系建设
绿盟科技
目录
CONTENTS
01 信息安全管理体系简介
02 信息安全管理体系价值
03 信息安全管理体系实现方法
04 信息安全管理体系建设
绿盟科技
目录
CONTENTS
01 信息安全管理体系简介
02 信息安全管理体系价值
03 信息安全管理体系实现方法
04 信息安全管理体系建设方案
信息安全管理体系简介
信息安全的概念
管理的概念
信息安全管理的概念
信息安全管理体系与ISO27001
信息安全的概念
信息安全
计算机安全
网络安全
知识安全
数据安全
内容安全
不同的声音
信息安全定义
已有的几个定义
ISO/IEC 17799
保持信息的保密性、完整性、可用性;另外,也包括其他属性,如:真实性、可核查性、抗抵赖性和可靠性。
《美国联邦信息安全管理法案》(FISMA)
保护信息与信息系统,防止未授权的访问、使用、泄露、中断、修改或破坏,以保护完整性、保密性、可用性。
《中华人民共和国计算机信息系统安全保护条例》
第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全、运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
管理的定义
管
理
管理学中的定义
ISO/IEC9000:2000的定义
管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达成组织目标的过程
控制和控制组织的协调活动
管理的职能
为组织确定任务、总之、目标;实现目标的战略、措施、程序;以及实现目标的时间表和预算。
组织
领导
控制
根据组织的目标、战略和内外环境设计组织结构,并为不同岗位配置人力资源的过程。
对组织成员施加影响,以推动其实现组织目标的过程。
衡量和纠正下属活动,以保证事态发展符合计划要求的过程。
计划
信息安全管理的定义
选择和采用的控制措施要全面覆盖主要风险
1
3
2
信息安全管理,是为了实现信息安全的目标,而进行的实践活动
通过建立信息安全管理体系(Information Security Management System,简称ISMS),能够实现和达到信息安全的目标
根据信息安全管理的国际标准ISO 27001的定义,信息安全管理体系是基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系
信息安全管理体系的建设和维护是一个动态的过程,其中包括了顺序上的各个环节
建立信息安全管理体系,需要有正确的思路和方法,就是基于风险的方法
信息安全管理在IT管理中的位置
Process 流程
People 人员
组织架构
⑥ IT综合管理
Technology 技术
组织文化
以流程为基础的IT管理理论:
①IT服务管理(ITIL/ISO20000)
③项目管理(PRINCE2/P3O/MSP)
以风险为基础的IT管理理论:
②信息安全与风险管理(ISMS/ISO27001/BS10012)
④业务连续性管理(BCM/BS25999/ISO27031)
⑤IT合规与审计
IT风险
IT价值
IT生命周期活动
识别风险和机会
管理风险
管理价值
以控制为基础 IT治理(COBIT)
平衡
IT管理是人员,技术,流程在组织当中的整合
IT管理的目标就是要在IT价值与IT风险之间取得平衡
信息安全管理体系与ISO 27000系列标准
ISO/IEC 27000系列标准以风险管理为基础,为企业建设信息安全管理体系提供了强有力的参考与支撑。