ISO27001简介导入(智天下顾问D)

专 注 标 准 化 管 理 体 系 13年 业精与勤荒于嬉 智慧成就卓越 专业创造价值2 /33智天下顾问 组织面临的威胁 智慧成就卓越 专业创造价值3 /33智天下顾问 什么是信息n信息是一种资产，就像企业其它资产一样重要，对企业具有重要的价值，因此需要受到适当的保护。n信息的类型n书写或打印于纸上 n储存在电子媒体上n以邮寄或电子储存媒体传输n显示于企业影片上n言语-在对话中提出不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。 智慧成就卓越 专业创造价值4 /33智天下顾问 什么是信息安全机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性： 基于需要可由授权者存取及使用的特性。：性整完征特的整完和威胁脆弱确准产资护保风险 智慧成就卓越 专业创造价值5 /33智天下顾问 信息得到保障 智慧成就卓越 专业创造价值6 /33智天下顾问 现今的部署架构面临的挑战Internet Finance Operations Sales WLAN SwitchCore SwitchIDS/IDP Firewall Router A/D Server Database ServersAccess Switch Access Switch Access Switch安装多个防护机置于末端升級或改用拥有 802.1x 的交換器 802.1x Switch 802.1x Switch 802.1x Switch RadiusACS Server 增加ACS server$ $ $ $於每個子網路加裝F/W Radius$ $ $加裝分系系統$ 增加 IDS/IDP toLAN 子網路$ $ $ $ 維運特徵值和政策 userwith infection 側錄每一個網路端點$ $ 設定/更改群組政策 面对入侵迟钝的反应, 却花费大笔的金钱，而安全却毫无起色 智慧成就卓越 专业创造价值7 /33智天下顾问软件驱动AP 会 议 室仓 储 作 业 PROBESPROBESPROBES 1. 无线计算机开机后发送PROBE联机请求2. 周遭无线基地台响应 BEACONS3. 无线计算机根据最佳的讯号强度,噪声等条件连接至最佳的AP无线基地台4. 使用者可轻易设定为Ad Hoc Network模式与黑客连接难 以 限 制 用 户 的 联 机 对 象意外联机恶意联机Ad Hoc Network 无线网络安全管理问题-无线连接行为难以管控企业内部网络Office周边左邻右舍停车场 智慧成就卓越 专业创造价值8 /33智天下顾问 全球信息保护相关信息20% 80%的損失，是來自於電腦遺失/被竊取網路入侵/駭客攻擊 在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。(Source: Kensington Group)80%重要、機密資料被竊取的管道 智慧成就卓越 专业创造价值9 /33智天下顾问 设备损失与资料外泄的成本風險成本評估台幣3萬5千到10萬不等台幣7萬到30萬不等“無價”，損失以無法用價錢衡量 商機損失法律責任與賠償客戶信心投資者信心管理政策異動更新保險作業流程資料復原時間使用者等待時間硬體資產軟體資產組織形象復原成本實體資產 智慧成就卓越 专业创造价值10 /33智天下顾问 什么是信息安全管理体系 智慧成就卓越 专业创造价值11 /33智天下顾问 信息安全管理，简称ISMS (Information Security Management System)n ISMS的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作。n ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。 智慧成就卓越 专业创造价值12 /33智天下顾问 ISO27001:2005结构 智慧成就卓越 专业创造价值13 /33智天下顾问 ISO27001:2005标准 智慧成就卓越 专业创造价值14 /33智天下顾问 信息安全管理体系之PDCA改進 智慧成就卓越 专业创造价值15 /33智天下顾问 信息安全市场现状与发展 智慧成就卓越 专业创造价值16 /33智天下顾问 n政府部门或国营事业单位、金融业与信息安全服务业是目前国内通过ISMS认证的三大行业。n展望未来，政府部门或国营事业单位对信息安全服务仍有强烈的需求。n BPO,ITO及大型信息电子业则是下一波重点需求所在，这主要基于ISO 27001 已成为不少国际IT厂商对供应链厂商的审查要点之一。信息安全现状与发展 智慧成就卓越 专业创造价值17 /33智天下顾问 截止2007年全球认证组织统计 智慧成就卓越 专业创造价值18 /33智天下顾问 截止2007年中国获认证的组织发展 智慧成就卓越 专业创造价值19 /33智天下顾问 企业建置 ISMS 的效益n对外：n增加客户之信心及满意度n开拓国际及相关业务市场n强化企业品牌的市场竞争力n提高产品及服务质量n对内： n保护公司之机密信息及知识产权n增进信息系统之稳定性及可用性n降低因信息错误或泄漏造成之损失n改善员工信息管理环境并建立信心 智慧成就卓越 专业创造价值20 /33智天下顾问 ISMS的导入与认证 智慧成就卓越 专业创造价值21 /33智天下顾问 智慧成就卓越 专业创造价值22 /33智天下顾问 ISO27001项目导入规划 准备阶段 l 第 2查 核 点l 第 3查 核 点l 第 1查 核 点实现阶段 认证阶段 运行阶段 智慧成就卓越 专业创造价值23 /33智天下顾问 项目进度表编号工期10个月任务名称第一月第四月第八月第六月第十月1 1个月团队建设 2 1个月专题培训3 2个月体系设计4 3个月过程定义5 6个月过程试点6 6个月全面实施7 2个月管理评审8 1个月评审认证范围界定 认证审核专题培训过程试点过程定义体系设计全面推广项目启动 智慧成就卓越 专业创造价值24 /33智天下顾问 企业参与ISO27001的单位 智慧成就卓越 专业创造价值25 /33智天下顾问 信息安全推动小组职责与管理权限 智慧成就卓越 专业创造价值26 /33智天下顾问 信息安全推动小组职责与管理权限管理权责信息安全推动委员会n建立信息安全管理制度并推动信息安全相关事宜。召集人(由中心主任担任) n负责召集信息安全管理审查会议，并追踪其决议事项。n督导本组织的风险评鉴作业。n督导本组织的持续营运计划的修订与演练。信息安全稽核小组(5人)n执行信息安全管理之内部稽核作业。信息安全工作小组(10人)n评估人员进用之安全性。 n办理信息安全教育训练。n信息资产之安全需求研议、使用管理及保护等事项。n程序及规范书草拟 智慧成就卓越 专业创造价值27 /33智天下顾问 信息安全推动小组职责与管理权限n管理事项如下：n信息安全政策制定及评估n组织的信息安全与分工n资产管理n人力资源的安全n实体与环境安全 n通讯与作业管理n存取控制n信息系统取得、开发及维护n信息安全事故管理n营运持续管理n遵循性 智慧成就卓越 专业创造价值28 /33智天下顾问 信息安全管理体系文档架构一 级 文 件 ： 政 策 性 文 件 ， 适 用 性 声 明二 级 文 件 ： 程 序三 级 文 件 ： 规 划 、 手 册 、 操 作 说 明 、计 划 、 管 理 办 法四 级 文 件 ： 表 单 、 报 告 、 记 录 、 合 约属 政 策 性 文 件 ，由 ISMS推 动 委 员会 议属 于 技 术性 与 操 作性 文 件 由ISMS推 动小 组 另 订 智慧成就卓越 专业创造价值29 /33智天下顾问 ISMS认证流程图 智慧成就卓越 专业创造价值30 /33智天下顾问 成功的关键因素n经验显示，组织的信息安全能否成功实施，下列常为关键因素：n能反映营运目标的信息安全政策、目标及活动。n与组织文化一致的实施、维护、监控、及改进信息安全的方法与框架。n来自所有管理阶层的实际支持和承诺。n对信息安全要求、风险评鉴以及风险管理的深入了解。 n向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。n资助信息安全管理活动。n提供适当的认知、训练及教育。n制定有效的信息安全事故管理过程。n实施一个用于评估ISMS的绩效及改进的回馈建议之量测系统。 智慧成就卓越 专业创造价值31 /33智天下顾问 咨询单位介绍 智慧成就卓越 专业创造价值32 /33智天下顾问 公司介紹n智天下顧問是一家专为企业提供CMMI/ISO27001/ISO2000咨询认证的专业机构。 智天下顧問的服务可为您的企业建立有效的质量、安全管理体系，减少错误和开发成本，持续地满足和增强客户对您企业的信心。n智天下顧問是SGS，BSI战略合作伙伴，中国软件行业协会专家委员单位。曾多次被政府和民间机构评选为CMMI咨询能力第一名。n智天下顧問已为中国80多家客户提供了不同行业各细分领域的质量管理、人信息安全和IT运维管理服务。8年的专业成长，智天下顧問积累了大量的历史数据和实践经验，确保您的企业与产品的成功。 n智天下顧問有一支全国认可专业咨询能力第一的顾问专家队伍，依据业界公认的国际标准CMMI、ISO27001、ISO20000对用户提供专业辅导服务，并协助客户获得权威人员及机构的认证。n我司已经运行符合ISO27001标准的信息安全管理体系，我们期望能分享我们的经验，协助您在组织中建立各种管理体系，在市场上获取最大竞争优势。 智慧成就卓越 专业创造价值33 /33智天下顾问 聯繫資訊深圳市智天下管理顾问有限公司（总部）电话：0755-33153265 36950331 36852140 36943904传真：0755-27822567E-mail：全国客服热线：800-6300-556地址：深圳市宝安区25区华丰商务大厦B座622-623智天下管理顾问（上海）E-mail： 专线电话：021-54866569 手机电话：13917475688全国客服热线：800-6300-556地址：上海市闵行区七莘路3189弄38号801室智天下管理顾问（苏州）E-mail：专线电话： 0512-62391479 18915401898全国客服热线：800-6300-556地址：苏州市高新区枫桥镇马浜花园182栋201智天下管理顾问（杭州）E-mail：专线电话： 15258882052全国客服热线：800-6300-556地址：杭州市上城区惠民路中山苑3幢910号智天下管理顾问（成都）E-mail： 专线电话： 13658008498 全国客服热线：800-6300-556地址：成都市武候区晋吉北路282号长盛续景10幢2-201 智天下管理顾问（江西）E-mail： 专线电话： 13879034456 全国客服热线：800-6300-556地址：江西新余市丽景新村6栋1-202号 官网： 社区： 新浪微博：中国顾问师论坛