記住我，我的名字叫周武2/33智天下顧問Disclosure/Alteration/Destruction

組織面臨的威脅3/33智天下顧問什么是信息信息是一種資產(chǎn)，就像企業(yè)其它資產(chǎn)一樣重要，對企業(yè)具有重要的價(jià)值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。信息的類型書寫或打印于紙上儲存在電子媒體上以郵寄或電子儲存媒體傳輸顯示于企業(yè)影片上言語-在對話中提出不管信息的形式是什么，或者共享或儲存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。4/33智天下顧問什么是信息安全機(jī)密性：信息不可被未經(jīng)授權(quán)之個人、實(shí)體、流程所取得或揭露的特性?？捎眯裕夯谛枰捎墒跈?quán)者存取及使用的特性。：性整完征特的整完和威脅脆弱確準(zhǔn)產(chǎn)資護(hù)保風(fēng)險(xiǎn)5/33智天下顧問信息得到保障

信息安全4P-方針、過程、人員、產(chǎn)品6/33智天下顧問現(xiàn)今的部署架構(gòu)面臨的挑戰(zhàn)InternetFinanceOperationsSalesWLANSwitchCoreSwitchIDS/IDPFirewallRouterA/DServerDatabaseServersAccessSwitchAccessSwitchAccessSwitch安裝多個防護(hù)機(jī)置于末端升級或改用擁有

802.1x的交換器802.1xSwitch802.1xSwitch802.1xSwitchRadiusACSServer增加ACSserver$$$$$$$$$$$於每個子網(wǎng)路加裝F/WRadius$$$$$$$$$加裝分系系統(tǒng)$$$增加IDS/IDPtoLAN子網(wǎng)路$$$$$$$$$$$$維運(yùn)特徵值和政策userwithinfection側(cè)錄每一個網(wǎng)路端點(diǎn)$$$$$$$$設(shè)定/更改群組政策面對入侵遲鈍的反應(yīng),卻花費(fèi)大筆的金錢，而安全卻毫無起色7/33智天下顧問軟件驅(qū)動AP會議室倉儲作業(yè)PROBESPROBESPROBES1.無線計(jì)算機(jī)開機(jī)后發(fā)送PROBE聯(lián)機(jī)請求2.周遭無線基地臺響應(yīng)BEACONS3.無線計(jì)算機(jī)根據(jù)最佳的訊號強(qiáng)度,噪聲等條件連接至最佳的AP無線基地臺4.使用者可輕易設(shè)定為AdHocNetwork模式與黑客連接難以限制用戶的聯(lián)機(jī)對象意外聯(lián)機(jī)惡意聯(lián)機(jī)AdHocNetwork無線網(wǎng)絡(luò)安全管理問題-無線連接行為難以管控企業(yè)內(nèi)部網(wǎng)絡(luò)Office周邊左鄰右舍停車場8/33智天下顧問全球信息保護(hù)相關(guān)信息20%80%的損失，是來自於電腦遺失/被竊取網(wǎng)路入侵/駭客攻擊在網(wǎng)路攻擊的20%內(nèi)，有一半的比例，是駭客利用遺失/竊取得來的設(shè)備，利用既有的憑證/應(yīng)用程式等進(jìn)行合法的“機(jī)密資料竊取”。(Source:KensingtonGroup)80%重要、機(jī)密資料被竊取的管道9/33智天下顧問設(shè)備損失與資料外泄的成本風(fēng)險(xiǎn)成本評估臺幣3萬5千到10萬不等臺幣7萬到30萬不等“無價(jià)”，損失以無法用價(jià)錢衡量商機(jī)損失法律責(zé)任與賠償客戶信心投資者信心管理政策異動更新保險(xiǎn)作業(yè)流程資料復(fù)原時(shí)間使用者等待時(shí)間硬體資產(chǎn)軟體資產(chǎn)組織形象復(fù)原成本實(shí)體資產(chǎn)10/33智天下顧問IntroductiontoISO27001:2005

什么是信息安全管理體系11/33智天下顧問問信息安全管理，，簡稱ISMS(InformationSecurityManagementSystem)ISMS的目標(biāo)是透透過一整體體規(guī)劃的信信息安全解解決方案，，來確保企企業(yè)所有信信息系統(tǒng)和和業(yè)務(wù)的安安全，并保保持正常運(yùn)運(yùn)作。ISMS利用風(fēng)險(xiǎn)分分析管理工工具，結(jié)合合企業(yè)資產(chǎn)產(chǎn)列表和威威脅來源的的調(diào)查分析析及系統(tǒng)安安全弱點(diǎn)評評估等結(jié)果果，并綜合合評估影響響企業(yè)整體體的因素，，來制定適適當(dāng)?shù)男畔⑾踩卟吲c信息安安全作業(yè)準(zhǔn)準(zhǔn)則，從而而降低潛在在的風(fēng)險(xiǎn)危危機(jī)。12/33智天下顧問問ISO27001:2005結(jié)構(gòu)13/33智天下顧問問ISO27001:2005標(biāo)準(zhǔn)準(zhǔn)14/33智天天下下顧顧問問信息息安安全全管管理理體體系系之之PDCA改進(jìn)進(jìn)15/33智天天下下顧顧問問ISO27000Today&Development信息息安安全全市市場場現(xiàn)現(xiàn)狀狀與與發(fā)發(fā)展展16/33智天天下下顧顧問問政府府部部門門或或國國營營事事業(yè)業(yè)單單位位、、金金融融業(yè)業(yè)與與信信息息安安全全服服務(wù)務(wù)業(yè)業(yè)是是目目前前國國內(nèi)內(nèi)通通過過ISMS認(rèn)證證的的三三大大行行業(yè)業(yè)。。展望望未未來來，，政政府府部部門門或或國國營營事事業(yè)業(yè)單單位位對對信信息息安安全全服服務(wù)務(wù)仍仍有有強(qiáng)強(qiáng)烈烈的的需需求求。。BPO,ITO及大大型型信信息息電電子子業(yè)業(yè)則則是是下下一一波波重重點(diǎn)點(diǎn)需需求求所所在在，，這這主主要要基基于于ISO27001已成成為為不不少少國國際際IT廠商商對對供供應(yīng)應(yīng)鏈鏈廠廠商商的的審審查查要要點(diǎn)點(diǎn)之之一一。。信息息安安全全現(xiàn)現(xiàn)狀狀與發(fā)展展17/33智天天下下顧顧問問截止止2007年全全球球認(rèn)證證組組織織統(tǒng)統(tǒng)計(jì)計(jì)18/33智天天下下顧顧問問截止止2007年中國國獲獲認(rèn)認(rèn)證證的的組組織織發(fā)發(fā)展展19/33智天天下下顧顧問問企業(yè)業(yè)建置置ISMS的效效益益對外外：：增加加客客戶戶之之信信心心及及滿滿意意度度開拓拓國國際際及及相相關(guān)關(guān)業(yè)業(yè)務(wù)務(wù)市市場場強(qiáng)化化企企業(yè)業(yè)品品牌牌的的市市場場競競爭爭力力提高高產(chǎn)產(chǎn)品品及及服服務(wù)務(wù)質(zhì)質(zhì)量量對內(nèi)內(nèi)：：保護(hù)護(hù)公公司司之之機(jī)機(jī)密密信信息息及及知知識識產(chǎn)產(chǎn)權(quán)權(quán)增進(jìn)進(jìn)信信息息系系統(tǒng)統(tǒng)之之穩(wěn)穩(wěn)定定性性及及可可用用性性降低低因因信信息息錯錯誤誤或或泄泄漏漏造造成成之之損損失失改善善員員工工信信息息管管理理環(huán)環(huán)境境并并建建立立信信心心20/33智天天下下顧顧問問ISO27001Consulting&CertificationISMS的導(dǎo)入入與與認(rèn)認(rèn)證證21/33智天天下下顧顧問問智天天下下ISO27001諮詢詢輔輔導(dǎo)導(dǎo)過過程程22/33智天天下下顧顧問問ISO27001項(xiàng)目目導(dǎo)導(dǎo)入入規(guī)規(guī)劃劃現(xiàn)況況分分析析-項(xiàng)目目啟啟動動，團(tuán)團(tuán)隊(duì)隊(duì)組組建建-組織織現(xiàn)現(xiàn)況況了了解解與與差差異異分分析析風(fēng)險(xiǎn)評估與管理-資產(chǎn)盤點(diǎn)點(diǎn)與風(fēng)險(xiǎn)險(xiǎn)分析-詳細(xì)風(fēng)險(xiǎn)評估估與報(bào)告告產(chǎn)出-風(fēng)險(xiǎn)處理理作業(yè)ISMS文件制定定與實(shí)施施-ISM文件制訂訂與實(shí)施施-業(yè)務(wù)持續(xù)續(xù)演練-ISMS內(nèi)部審計(jì)計(jì)與管理理評審預(yù)評與認(rèn)認(rèn)證-ISMS預(yù)評-第一階段段認(rèn)證-第二階段段認(rèn)證準(zhǔn)備階段段第2查核點(diǎn)第3查核點(diǎn)第1查核點(diǎn)持續(xù)改善培訓(xùn)與宣宣傳實(shí)現(xiàn)階段段認(rèn)證階段段運(yùn)行階段段23/33智天下顧顧問項(xiàng)目進(jìn)度度表編號工期10個月任務(wù)名稱稱第一月第四月第八月第六月第十月11個月團(tuán)隊(duì)建設(shè)設(shè)21個月專題培訓(xùn)訓(xùn)32個月體系設(shè)計(jì)計(jì)43個月過程定義義56個月過程試點(diǎn)點(diǎn)66個月全面實(shí)施施72個月管理評審審81個月評審認(rèn)證證范圍界定認(rèn)證審核核專題培訓(xùn)過程試點(diǎn)過程定義體系設(shè)計(jì)全面推廣項(xiàng)目啟動動24/33智天下顧顧問企業(yè)參與與ISO27001的單位25/33智天下顧顧問信息安全全推動小小組職責(zé)責(zé)與管理理權(quán)限26/33智天下顧顧問信息安全全推動小小組職責(zé)責(zé)與管理理權(quán)限管理權(quán)責(zé)責(zé)●信息安安全推動動委員會會建立信息息安全管管理制度度并推動動信息安安全相關(guān)關(guān)事宜。?！裾偌巳?由中心主主任擔(dān)任任)負(fù)責(zé)召集集信息安安全管理理審查會會議，并并追蹤其其決議事事項(xiàng)。督導(dǎo)本組組織的風(fēng)風(fēng)險(xiǎn)評鑒鑒作業(yè)。。督導(dǎo)本組組織的持持續(xù)營運(yùn)運(yùn)計(jì)劃的的修訂與與演練。。●信息安安全稽核核小組(5人)執(zhí)行信息息安全管管理之內(nèi)內(nèi)部稽核核作業(yè)。?！裥畔舶踩ぷ髯餍〗M(10人)評估人員員進(jìn)用之之安全性性。辦理信息息安全教教育訓(xùn)練練。信息資產(chǎn)產(chǎn)之安全全需求研研議、使使用管理理及保護(hù)護(hù)等事項(xiàng)項(xiàng)。程序及規(guī)規(guī)范書草草擬27/33智天下顧顧問信息安全全推動小小組職責(zé)責(zé)與管理理權(quán)限管理事項(xiàng)項(xiàng)如下：：信息安全全政策制制定及評評估組織的信信息安全全與分工工資產(chǎn)管理理人力資源源的安全全實(shí)體與環(huán)環(huán)境安全全通訊與作作業(yè)管理理存取控制制信息系統(tǒng)統(tǒng)取得、、開發(fā)及及維護(hù)信息安全全事故管管理營運(yùn)持續(xù)續(xù)管理遵循性28/33智天下顧顧問信息安全全管理體體系文檔檔架構(gòu)一級文件件：政策性文文件，適適用性聲聲明二級文件件：程序三級文件件：規(guī)劃、手冊、操作說明明、計(jì)劃、管理辦法法四級文件件：表單、報(bào)告、記錄、合約屬政策策性文文件，由ISMS推動委委員會會議屬于技技術(shù)性性與操操作性性文件件由ISMS推動小小組另另訂29/33智天下下顧問問ISMS認(rèn)證流流程圖圖30/33智天下下顧問問成功的的關(guān)鍵鍵因素素經(jīng)驗(yàn)顯顯示，，組織織的信信息安安全能能否成成功實(shí)實(shí)施，，下列列常為為關(guān)鍵鍵因素素：能反映映營運(yùn)運(yùn)目標(biāo)標(biāo)的信信息安安全政政策、、目標(biāo)標(biāo)及活活動。。與組織織文化化一致致的實(shí)實(shí)施、、維護(hù)護(hù)、監(jiān)監(jiān)控、、及改改進(jìn)信信息安安全的的方法法與框框架。。來自所所有管管理階階層的的實(shí)際際支持持和承承諾。。對信息息安全全要求求、風(fēng)風(fēng)險(xiǎn)評評鑒以以及風(fēng)風(fēng)險(xiǎn)管管理的的深入入了解解。向全體體管理理人員員、受受雇人人員、、及相相關(guān)人人員有有效推推廣信信息安安全以以達(dá)到到認(rèn)知知。資助信信息安安全管管理活活動。。提供適適當(dāng)?shù)牡恼J(rèn)知知、訓(xùn)訓(xùn)練及及教育育。制定有有效的的信息息安全全事故故管理理過程程。實(shí)施一一個用用于評評估ISMS的績效效及改改進(jìn)的的回饋饋建議議之量量測系系統(tǒng)。。31/33智天下下顧問問Chitsconsulting.咨詢單單位介介紹32/33智天下下顧問問公司介介紹智天下下顧問問是一一家專專為企企業(yè)提提供CMMI/ISO27001/ISO20000咨詢認(rèn)認(rèn)證的的專業(yè)業(yè)機(jī)構(gòu)構(gòu)。智智天天下顧顧問的的服務(wù)務(wù)可為為您的的企業(yè)業(yè)建立立有效效的質(zhì)質(zhì)量、、安全全管理理體系系，減減少錯錯誤和和開發(fā)發(fā)成本本，持持續(xù)地地滿足足和增增強(qiáng)客客戶對對您企企業(yè)的的信心心。智天下下顧問問是SGS，BSI戰(zhàn)略合合作伙伙伴，，中國國軟件件行業(yè)業(yè)協(xié)會會專家家委員員單位位。曾曾多次次被政政府和和民間間機(jī)構(gòu)構(gòu)評選選為CMMI咨詢能能力第第一名名。智天下下顧問問已為為中國國80多家客客戶提提供了了不同同行業(yè)業(yè)各細(xì)細(xì)分領(lǐng)領(lǐng)域的的質(zhì)量量管理理、人人信息息安全全和IT運(yùn)維管管理服服務(wù)。。8年的專專業(yè)成成長，，智天天下顧顧問積積累了了大量量的歷歷史數(shù)數(shù)據(jù)和和實(shí)踐踐經(jīng)驗(yàn)驗(yàn)，確確保您您的企企業(yè)與與產(chǎn)品品的成成功。。智天下下顧問問有一一支全全國認(rèn)認(rèn)可專專業(yè)咨咨詢能能力第第一的的顧問問專家家隊(duì)伍伍，依依據(jù)業(yè)業(yè)界公公認(rèn)的的國際際標(biāo)準(zhǔn)準(zhǔn)CMMI、ISO27001、ISO20000對用戶戶提供供專業(yè)業(yè)輔導(dǎo)導(dǎo)服務(wù)務(wù)，并并協(xié)助助客戶戶獲得得權(quán)威威人員員及機(jī)機(jī)構(gòu)的的認(rèn)證證。我司已已經(jīng)成成功輔輔導(dǎo)多多家ISO27001標(biāo)準(zhǔn)的的信息息安全全管理理體系系，我我們期期望能能分享享我們們的經(jīng)經(jīng)驗(yàn)，，協(xié)助助您在在組織織中建建立各各種管管理體體系，，在市市場上上獲取取最大大競爭爭優(yōu)勢勢。33/33智天下下顧問問ContactUs聯(lián)繫資資訊深圳市智天天下管理顧顧問有限公公司（總部部）電話/p>

36950331368521403694