如何实现企业信息安全管理与业务流程的融合和实施
Download
Report
Transcript 如何实现企业信息安全管理与业务流程的融合和实施
如何实现企业信息安全管理与
业务流程的融合和实施
2020年4月25日
研讨大纲
1
目前信息安全管理与企业业务流程的实施现状
2
企业的信息安全风险分布区域,忽略信息安全的危害
3
基于ISO27001的信息安全风险的认识与评估流程:资产、
风险因素、风险评价、风险控制和处理
4
如何在业务流程的控制节点融入信息安全的风险控制措施,
确保风险可控
5
业务流程与信息安全管理整合实施的难点、方法与步骤
6
业务流程与信息安全管理整合的价值
信息安全基础知识
基础知识
信息安全定义
保密性 Confidentiality:
信息不被可用或不被泄漏给未授权的个人、实体和过程的
特性。
完整性 Integrity
保护资产的准确和完整的特性。
可用性 Availability:
需要时,授权实体可以访问和使用的特性。
基础知识
信息安全管理体系(ISMS)定义
信息安全管理体系(Information Security Management
System)是企业整个管理体系的一部分,是组织在整体或特定
范围内建立信息安全方针和目标,以及完成这些目标所用方法的
体系。基于对业务风险的认识,ISMS 包括建立、实施、操作、
监视、复查、维护和改进信息安全等一系列的管理活动,表现为
组织结构、策略方针、计划活动、目标与原则、人员与责任、过
程与方法、资源等诸多要素的集合。
基础知识
资产定义
任何对组织有价值的事物
(ISO/IEC13335-1:2004)
数据资产
软件资产
硬件资产
人员
服务
其它
基础知识
威胁定义
可能导致对系统或组织的损害的不期望事件发生的潜
在原因。(ISO/IEC TR 13335-1:2004)
威胁可以是故意的或意外的,人为的或天灾的,如:
故意的:偷听、恶意软件;
意外的:误操作
天灾的:地震、水灾、火灾
基础知识
脆弱性定义
可能会被一个或多个威胁所利用的资产或一组资产的弱
点。(ISO/IEC TR 13335-1:2004)
脆弱性本身不会导致损害,它只是一种条件或一组条件可能
容许威胁影响资产;
脆弱性如果不予管理,就会使得威胁变成现实
例子:缺乏安全意识、电压不稳定、门没锁、不良的接线、
位于易受洪水影响的区域、不受控的拷贝、员工短缺等
基础知识
其他定义
风险评估:风险分析和风险评价的全过程。
风险处理:选择和实施措施以改变风险的过程。
风险管理:指导和控制一个组织的风险的协调的活动。
注:典型风险管理包括风险评估和风险处理。
基础知识
信息的生命周期
建立
传送
使用
贮存
处理
销毁
?
丢失
恶意或不当行为
!
信息的生命周期伴随在业务流程中!
损毁
!
基础知识
ISO 27001标准介绍
BS7799-1
操作规则
1995年版
1999年版
BS7799-2
认证规范
1998年版
1999年版
ISO/IEC17799:2000
2002年版
ISO/IEC17799:2005
ISO/IEC27002:2005
ISO/IEC27001:2005
基础知识
ISO 27001标准介绍
认证机构
认可要求
27000~27009:ISMS基本标准,
27010~27019:ISMS标准族的解释性指南与文档
目前信息安全管理与企业业务
流程的实施现状
实施现状
现状1
对“信息安全管理”理解片面,不能正确理解信息安全管
理目标,完全与业务流程脱节
信息安全就是计算机没有病毒
信息安全就是系统没有漏洞
信息安全就是信息保密
没有连接互联网就是安全的
有信息技术支持就是安全的等
实施现状
现状2
“信息安全管理”没有完全覆盖企业的业务流程
业务过程识别不全面,导致信息安全管理漏洞,如销售
过程没有识别、没有考虑远程工作过程
只关注了重要业务流程,如生产过程、设计过程
实施现状
现状3
信息安全控制措施不能在业务过程中有效实施
安全意识较差,安全规定不执行
关注“应用性”,忽略了“安全性”
缺少安全监督检查机制,控制措施不能有效落实
缺乏持续改进机制等
企业的信息安全风险分布区域,
忽略信息安全的危害
风险分布及危害
案例
19家企业信息安全问题总结:
信息化基础设施建设水平差,缺乏基本的安全保障
仅有21%的企业信息化组织结构和基础设施的建设较好;
有79%的企业信息化组织结构和职责不明确,信息化制度
缺失或制度不完善;机房简陋,在防尘、防火、防水、温
湿度、电力等方面不符合要求,个别企业没有建立机房;
网络系统为二层结构,没有部署防火墙等安全设备;
风险分布及危害
风险分布及危害
风险分布及危害
案例
有89%的企业在信息安全管理和技术上存在较严重的安全隐患
网络架构不合理,没有划分安全区域,没有部署防火墙等安全设备
员工信息安全意识薄弱,没有及时有效查杀病毒,病毒和木马感染事件
频发
重要计算机存在弱口令甚至没有设置登录口令
重要应用系统和服务器存在较严重的安全漏洞,易遭到攻击或信息泄露
重要技术机密文件没有被有效保护,个别企业已经发生过技术机密信息
泄露事件,造成了损失
风险分布及危害
风险分布
分布在信息生命周期的各个环节,即业务过程中:
组织安全
人员安全
基础环境安全
设施的安全(通信线路、网络设备、主机设备、存储等)
应用安全(系统软件、应用软件)
访问控制
备份及业务连续性
风险分布及危害
危害
企业有哪些重要信息
危害
知识产权;
侵权;
技术秘密;
重要信息泄密;
重要的合同;
经济损失;
客户资料;
业务中断;
软件产品的源代码;
企业倒闭
财务数据;
内部文件等
基于ISO27001的信息安全风险的认识与评估流程:
资产、风险因素、风险评价、风险控制和处理
风险认识及评估
基于ISO 27001信息安全风险的认识
“组织应根据整体业务活动和风险,建立、实施、运行
、监控、评审、保持并改进文件化的信息安全管理体系”
“考虑业务和法律法规的要求,及合同中的安全义务”
“选择适当和相宜的安全控制措施”
制定风险评估准则和接受准则。
风险认识及评估
风险评估流程
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认
评估过程文档
风险计算
风险分析
评估过程文档
保持已有的安全措施
是
风险是否接受
..
..
.
..
..
..
..
.
..
..
否
制定风险处理计划
并评估残余风险
是否接受残余风险
否
评估过程文档
是
实施风险管理
风险评估文档记录
风险认识及评估
风险分析原理
如何在业务流程的控制节点融入信息安
全的风险控制措施,确保风险可控
融入控制措施
基于业务流程的风险评估
控制措施考虑不同业务节点
识
别
业
务
过
程
识别
业务
过程
对应
的资
产
识别
威胁
识
别
脆
弱
性
不同
级别
的风
险
制
定
控
制
措
施
业务流程与信息安全管理整合实施的
难点、方法与步骤
实施方法与步骤
导入以ISO27001为基础的信息安全管理体系
实施方法与步骤
ISO27001 11个控制域(最佳实践)
安全方针
信息安全组织
符合性
完整性
业务持续性管理
保密性
资产管理
信息资产
信息安全事件管理
信息系统的获取
开发和维护
访问控制
人力资源安全
可用性
物理和环境安全
通信与操作安全
实施方法与步骤
实施难点
领导层不关注
员工安全意识薄弱,不支持
资源的投入(人力、资金)
专业技术性要求高
解决办法
信息安全培训,提高安全有意识和企业自身能力
聘请专业的第三方公司协助
业务流程与信息安全管理整合的价值
(信息安全管理体系实施的价值)
实施的价值
○维持和增强公司竞争优势,促进业务发展。
○维护公司的声誉和品牌,增强相关方的信任;
○满足客户和法律法规的信息安全要求;
○强化员工的信息安全意识,规范组织信息安全行为;
○保障公司业务的正常运行
○增强信息系统的安全性,减少安全事件带来的影响和经济损失;
○提高信息安全管理水平,保障信息系统安全运行;
○找出与相关国际/国内/行业标准的差异,增强合规性;
○发现系统中潜在风险与安全隐患,有效控制风险;
实施的价值
ISO27001实施效果调查
来源:澳大利亚Edith Cowan University 主办的第九届澳大利亚信息安全管理学术会议
Australia, 5th -7th December, 2011
实施的价值
ISO27001体系作用研究
影响方面
直接经济效益
间接经济效益
信息安全可靠性
测量指标
效果
现金流
增长14%
成本
降低30%
业务机会
增加25%
客户合作
增加39%
流程效率
提升53%
反应速度
提升37%
安全防护能力
提升68%
来源:国际计算机科学与网络安全期刊,2010年3月
中国赛宝资质及业务
ISO/IEC 27001 信息安全管理体系认证;
ISO/IEC 20000 IT服务管理体系认证;
ISO 9001 质量管理体系认证;
TL 9000电信行业质量管理体系认证;
ISO/TS 16949 汽车行业管理体系认证;
ISO 14001环境管理体系认证;
OHSAS 18001职业健康与安全管理体系认证;
工业和信息化部计算机信息系统集成资质认证;
工业和信息化部信息系统工程监理资质认证;
美国SEI软件能力成熟模型(CMMI)评估;
中国软件过程及能力成熟度评估(SPCA);
基础知识
中国赛宝资质及业务
中国合格评定国家认可委员会(CNAS)的认可实验室;
公安部信息安全等级保护测评机构;
工业和信息化部授权的软件产品检测机构;
总装军用实验室认可委员会的认可实验室;
互动交流