信息安全技術(shù)與管理的有效融合Trendsetting北京趨勢(shì)引領(lǐng)信息咨詢有限公司

2009.10

如何面對(duì)信息安全問題1

全面構(gòu)建信息安全體系2技術(shù)與管理的平衡和有效融合3

4

信息安全管理實(shí)踐議程案例及數(shù)據(jù)分享管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題案例分享數(shù)據(jù)統(tǒng)計(jì)據(jù)Gartner調(diào)查顯示，超過85%的安全威脅來自組織內(nèi)部，而其中通過即時(shí)通信、電子郵件泄露的電子數(shù)據(jù)信息損失占到30%-40%。在Fortune排名前100家的公司中，每次電子數(shù)據(jù)泄漏的平均損失是50萬(wàn)美元。其中一部分來自于企業(yè)內(nèi)部人員與外部人員相勾結(jié)，另一部分則是別有用心的組織通過技術(shù)手段進(jìn)行信息竊取。

2009年，IDC和EMC的安全子公司RSA聯(lián)手對(duì)大約400位企業(yè)主管級(jí)官員進(jìn)行了調(diào)查。調(diào)查結(jié)果顯示，這400人在過去的12個(gè)月中碰到了大約5.8萬(wàn)起內(nèi)部信息安全事件，也就是說平均每個(gè)企業(yè)每年將發(fā)生近150起內(nèi)部信息安全事故。如何解決問題？部署網(wǎng)絡(luò)/主機(jī)入侵檢測(cè)系統(tǒng)？部署終端安全系統(tǒng)？部署SOC？部署加密系統(tǒng)？實(shí)施ISMS？執(zhí)行信息系統(tǒng)審計(jì)？簽署保密協(xié)議？ 技術(shù)手段管理措施管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題如何面對(duì)信息安全問題？事件、故障發(fā)生以后再采取相應(yīng)的技術(shù)或管理補(bǔ)救措施不注重系統(tǒng)的架構(gòu)和規(guī)劃被動(dòng)型企業(yè)（事件導(dǎo)向）強(qiáng)調(diào)信息安全管理的重要性具有完整的安全管理組織，明確的職責(zé)劃分完善的安全策略、標(biāo)準(zhǔn)和流程部署了基本安全系統(tǒng)和工具管理型企業(yè)（管理導(dǎo)向）強(qiáng)調(diào)信息安全管理和技術(shù)的平衡集成且統(tǒng)一的安全管理體系和技術(shù)架構(gòu)強(qiáng)健有力的信息安全組織保障以風(fēng)險(xiǎn)為導(dǎo)向的控制和管理預(yù)防為主、防治結(jié)合、內(nèi)外兼修成熟型企業(yè)（風(fēng)險(xiǎn)導(dǎo)向）強(qiáng)調(diào)并依賴信息安全技術(shù)擁有眾多技術(shù)專家，并對(duì)安全組織進(jìn)行了詳細(xì)的技術(shù)領(lǐng)域劃分制定了基本的安全策略、標(biāo)準(zhǔn)和流程部署各種先進(jìn)的安全系統(tǒng)和工具技術(shù)型企業(yè)（技術(shù)導(dǎo)向）安全技術(shù)安全管理管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題全面構(gòu)建信息安全體系技術(shù)架構(gòu)定義信息安全技術(shù)架構(gòu)設(shè)計(jì)原則分析信息安全技術(shù)功能需求定義信息安全技術(shù)功能組件劃分安全區(qū)域設(shè)計(jì)信息安全技術(shù)架構(gòu)信息安全技術(shù)系統(tǒng)部署管理體系制定明確的信息安全戰(zhàn)略和方針識(shí)別信息資產(chǎn)和關(guān)鍵業(yè)務(wù)應(yīng)用執(zhí)行風(fēng)險(xiǎn)評(píng)估和進(jìn)行風(fēng)險(xiǎn)管理制定信息安全策略、制度、流程及標(biāo)準(zhǔn)信息安全意識(shí)培訓(xùn)和策略宣貫執(zhí)行監(jiān)督和持續(xù)改進(jìn)管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題信息安全體系規(guī)劃原則信息安全體系規(guī)劃原則：——關(guān)注組織目標(biāo)和合規(guī)風(fēng)險(xiǎn)——采用分階段的建設(shè)方式，從重點(diǎn)問題著手——借鑒國(guó)際先進(jìn)經(jīng)驗(yàn)、依據(jù)國(guó)際標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐——在確保安全性的前提下需注重實(shí)際可操作性和效率——以風(fēng)險(xiǎn)管理為基礎(chǔ)，預(yù)防為主，防治結(jié)合——結(jié)合企業(yè)的戰(zhàn)略和企業(yè)文化關(guān)鍵因素：一個(gè)有效的信息安全體系應(yīng)該是管理和技術(shù)的平衡和有效融合。管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題技術(shù)與管理的平衡如何決策？技術(shù)管理決定因素?ISMS、風(fēng)險(xiǎn)管理、IS審計(jì)。。。IPS、UTM、SSO、SOC。。。人員的意識(shí)、組織的執(zhí)行力、成本效益分析管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題技術(shù)與管理如何有效融合？管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題組織目標(biāo)管理先行，帶動(dòng)技術(shù)需求以規(guī)范的管理為技術(shù)的實(shí)施提供保障管理關(guān)注全局，技術(shù)聚焦重點(diǎn)溝通管理的過程的控制須充分考慮技術(shù)手段管理作為技術(shù)的有益補(bǔ)充，技術(shù)成為管理的可靠保障管理清晰，技術(shù)透明理解基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實(shí)施(D)策劃(P)改進(jìn)(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運(yùn)營(yíng)管理A12信息系統(tǒng)獲取、開發(fā)及維護(hù)人員技術(shù)信息流程環(huán)境注：11控制域，39控制目標(biāo)，133控制措施管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題信息安全管理實(shí)踐管理實(shí)踐有效融合體系構(gòu)建面對(duì)問題業(yè)務(wù)目標(biāo)合規(guī)要求企業(yè)治理IT治理ISO27001最佳實(shí)踐標(biāo)準(zhǔn)驅(qū)動(dòng)COBIT/ISO38500COSO/企業(yè)內(nèi)部控制基本規(guī)范ISO9001ISO20000ISAudit/ISAC