ISO27001简介导入无密码课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,PPT,文档演模板,Office,PPT,19 十一月 2024,ISO27001简介导入无密码,28 九月 2023ISO27001简介导入无密码,1,Disclosure/Alteration/Destruction,组织面临的威胁,智天下顾问,2,2,Disclosure/Alteration/Destruct,什么是信息,信息是一种资产，就像企业其它资产一样重要，对企业具有重要的价值，因此需要受到适当的保护。,信息的类型,书写或打印于纸上,储存在电子媒体上,以邮寄或电子储存媒体传输,显示于企业影片上,言语-在对话中提出,不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。,智天下顾问,3,3,什么是信息信息是一种资产，就像企业其它资产一样重要，对企业具,什么是信息安全,机密性：,信息不可被未经授权之个人、实体、流程所取得或揭露的特性,。,可用性：,基于需要可由授权者存取及使用的特性。,：性整完,征特的整完和,威胁,脆弱,确准产资护保,风险,智天下顾问,4,4,什么是信息安全机密性：信息不可被未经授权之个人、实体、流程所,信息得到保障,信息安全4P-方针、过程、人员、产品,智天下顾问,5,5,信息得到保障 信息安全4P-方针、过程、人员、产品智天下顾问,现今的部署架构面临的挑战,Internet,Finance,Operations,Sales,WLAN Switch,Core Switch,IDS/IDP,Firewall,Router,A/D Server,Database Servers,Access Switch,Access Switch,Access Switch,安装多个防护机,置于末端,升級或改用拥有,802.1x 的交換器,802.1x Switch,802.1x Switch,802.1x Switch,Radius,ACS Server,增加,ACS server,$,$,$,$,於每個子網路,加裝F/W,Radius,$,$,$,加裝分系系統,$,增加 IDS/IDP to,LAN 子網路,$,$,$,$,維運特徵值,和政策,user,with infection,側錄每一個網路,端點,$,$,$,$,設定/更改,群組政策,面对入侵迟钝的反应,却花费大笔的金钱，,而安全却毫无起色,智天下顾问,6,6,现今的部署架构面临的挑战InternetFinanceOpe,软件驱动AP,会议室,仓储作业,PROBES,PROBES,PROBES,1.无线计算机开机后发送PROBE联机请求,2.周遭无线基地台响应 BEACONS,3.无线计算机根据最佳的讯号强度,噪声等条件连接至,最佳的AP无线基地台,4.使用者可轻易设定为Ad Hoc Network模式与黑客连接,难以限制用户的联机对象,意外联机,恶意联机,Ad Hoc Network,无线网络安全管理问题,-,无线连接行为难以管控,企业内部网络,Office周边左邻右舍,停车场,智天下顾问,7,7,软件驱动AP会议室仓储作业PROBESPROBESPROBE,全球信息保护相关信息,20%,80%的損失，是來自於電腦遺失/被竊取,網路入侵/駭客攻擊,在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。,(Source:Kensington Group),80%,重要、機密資料被竊取的管道,智天下顾问,8,8,全球信息保护相关信息20%80%的損失，是來自於電腦遺失/被,设备损失与资料外泄的成本,風險成本評估,台幣3萬5千到10萬不等,台幣7萬到30萬不等,“,無價,”，損失以無法用價錢衡量,商機損失,法律責任與賠償,客戶信心,投資者信心,管理政策異動更新,保險作業流程,資料復原時間,使用者等待時間,硬體資產,軟體資產,組織形象,復原成本,實體資產,智天下顾问,9,9,设备损失与资料外泄的成本風險成本評估台幣3萬5千到10萬不等,Introduction to ISO27001:2005,什么是信息安全管理体系,智天下顾问,10,10,Introduction to ISO27001:2005,信息安全管理，简称ISMS(Information Security Management System),ISMS的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作。,ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。,智天下顾问,11,11,信息安全管理，简称ISMS(Information Se,ISO27001:2005结构,智天下顾问,12,12,ISO27001:2005结构智天下顾问1212,ISO27001:2005标准,智天下顾问,13,13,ISO27001:2005标准智天下顾问1313,信息安全管理体系之PDCA改進,智天下顾问,14,14,信息安全管理体系之PDCA改進智天下顾问1414,ISO27000 Today&Development,信息安全市场现状与发展,智天下顾问,15,15,ISO27000 Today&Development信,政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过ISMS认证的三大行业。,展望未来，政府部门或国营事业单位对信息安全服务仍有强烈的需求。,BPO,ITO及大型信息电子业则是下一波重点需求所在，这主要基于ISO 27001 已成为不少国际IT厂商对供应链厂商的审查要点之一。,信息安全现状,与,发展,智天下顾问,16,16,政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过,截止2007年全球认证组织统计,智天下顾问,17,17,截止2007年全球认证组织统计智天下顾问1717,截止2007年中国获认证的组织发展,智天下顾问,18,18,截止2007年中国获认证的组织发展智天下顾问1818,企业建置 ISMS 的效益,对外：,增加客户之信心及满意度,开拓国际及相关业务市场,强化企业品牌的市场竞争力,提高产品及服务质量,对内：,保护公司之机密信息及知识产权,增进信息系统之稳定性及可用性,降低因信息错误或泄漏造成之损失,改善员工信息管理环境并建立信心,智天下顾问,19,19,企业建置 ISMS 的效益对外：智天下顾问1919,ISO27001 Consulting&Certification,ISMS,的导入与认证,智天下顾问,20,20,ISO27001 Consulting&Certific,智天下ISO27001諮詢輔導過程,智天下顾问,21,21,智天下ISO27001諮詢輔導過程智天下顾问2121,ISO27001项目导入规划,现况分析,-项目启动，团队组建,-组织现况了解与差异分析,风险评估与管理,-资产盘点与风险分析,-详细风险评估与报告产出,-风险处理作业,ISMS文件制定与实施,-ISM文件制订与实施,-业务持续演练,-ISMS内部审计与管理评审,预评与认证,-ISMS预评,-第一阶段认证,-第二阶段认证,准备阶段,第2查核点,第3查核点,第1查核点,持续改善,培训与宣传,实现阶段,认证阶段,运行阶段,智天下顾问,22,22,ISO27001项目导入规划 现况分析 风险评估与管理 I,项目进度表,编号,工期10个月,任务名称,第一月,第四月,第八月,第六月,第十月,1,1个月,团队建设,2,1个月,专题培训,3,2个月,体系设计,4,3个月,过程定义,5,6个月,过程试点,6,6个月,全面实施,7,2个月,管理评审,8,1个月,评审认证,范围,界定,认证审核,专题,培训,过程,试点,过程,定义,体系,设计,全面,推广,项目启动,智天下顾问,23,23,项目进度表编号工期10个月任务名称第一月第四月第八月第六月第,企业参与ISO27001的单位,智天下顾问,24,24,企业参与ISO27001的单位智天下顾问2424,信息安全推动小组职责与管理权限,智天下顾问,25,25,信息安全推动小组职责与管理权限智天下顾问2525,信息安全推动小组职责与管理权限,管理权责,信息安全推动委员会,建立信息安全管理制度并推动信息安全相关事宜。,召集人(由中心主任担任),负责召集信息安全管理审查会议，并追踪其决议事项。,督导本组织的风险评鉴作业。,督导本组织的持续营运计划的修订与演练。,信息安全稽核小组(5人),执行信息安全管理之内部稽核作业。,信息安全工作小组(10人),评估人员进用之安全性。,办理信息安全教育训练。,信息资产之安全需求研议、使用管理及保护等事项。,程序及规范书草拟,智天下顾问,26,26,信息安全推动小组职责与管理权限管理权责智天下顾问2626,信息安全推动小组职责与管理权限,管理事项如下：,信息安全政策制定及评估,组织的信息安全与分工,资产管理,人力资源的安全,实体与环境安全,通讯与作业管理,存取控制,信息系统取得、开发及维护,信息安全事故管理,营运持续管理,遵循性,智天下顾问,27,27,信息安全推动小组职责与管理权限管理事项如下：智天下顾问272,信息安全管理体系文档架构,一级文件：政策性文件，适用性声明,二级文件：程序,三级文件：规划、手册、操作说明、,计划、管理办法,四级文件：表单、报告、记录、合约,属政策性文件，由ISMS推动委员会议,属于技术性与操作性文件由ISMS推动小组另订,智天下顾问,28,28,信息安全管理体系文档架构一级文件：政策性文件，适用性声明二级,ISMS认证流程图,智天下顾问,29,29,ISMS认证流程图智天下顾问2929,成功的关键因素,经验显示，组织的信息安全能否成功实施，下列常为关键因素：,能反映营运目标的信息安全政策、目标及活动。,与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。,来自所有管理阶层的实际支持和承诺。,对信息安全要求、风险评鉴以及风险管理的深入了解。,向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。,资助信息安全管理活动。,提供适当的认知、训练及教育。,制定有效的信息安全事故管理过程。,实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统。,智天下顾问,30,30,成功的关键因素经验显示，组织的信息安全能否成功实施，下列常为,Chits consulting.,咨询单位介绍,智天下顾问,31,31,Chits consulting.咨询单位介绍智天下顾问3,公司介紹,智天下顧問是一家专为企业提供CMMI/ISO27001/ISO20000咨询认证的专业机构。智天下顧問的服务可为您的企业建立有效的质量、安全管理体系，减少错误和开发成本，持续地满足和增强客户对您企业的信心。,智天下顧問是SGS，BSI战略合作伙伴，中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。,智天下顧問已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长，智天下顧問积累了大量的历史数据和实践经验，确保您的企业与产品的成功。,智天下顧問有一支全国认可专业咨询能力第一的顾问专家队伍，依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务，并协助客户获得权威人员及机构的认证。,我司已经成功辅导多家ISO27001标准的信息安全管理体系，我们期望能分享我们的经验，协助您在组织中建立各种管理体系，在市场上获取最大竞争优势。,智天下顾问,32,32,公司介紹智天下顧問是一家专为企业提供CMMI/ISO2700,