信息平安體系咨詢效勞介紹2021年2月概述第一局部公司介紹第二局部信息平安的標(biāo)準(zhǔn)和模型第三局部工程實(shí)施過程第四局部成功案例公司介紹公司簡介上訊信息成立于2001年，注冊資金2150萬元，擁有系統(tǒng)集成三級資質(zhì)和平安效勞一級資質(zhì)，公司以廣為推崇的國際標(biāo)準(zhǔn)、最正確實(shí)踐〔ISO20000、ISO27001、ISO15408、COBIT等〕為藍(lán)本，為中國廣闊的行業(yè)用戶提供的網(wǎng)絡(luò)平安、信息平安的全面解決方案及咨詢效勞，并向客戶提供全面平安解決方案中所需的各項(xiàng)平安工具及管理決策平臺，并在平安咨詢效勞中提供全面的教育培訓(xùn)以及卓越的售后效勞。平安咨詢業(yè)務(wù)體系業(yè)務(wù)體系SecurityConsulting信息安全顧問咨詢SecurityCetificate信息安全資質(zhì)認(rèn)證SecurityManagement信息安全服務(wù)管理

SecurityImplementation信息安全產(chǎn)品集成SecurityEducation信息安全培訓(xùn)教育公司人員隊(duì)伍BS7799LAISO27001LAISO20000LACISPCISABS25999IMCCNPCCIEOCP及眾多廠商認(rèn)證持有者國家CNCERT〔中國網(wǎng)絡(luò)平安應(yīng)急響應(yīng)小組〕網(wǎng)絡(luò)協(xié)作成員；公司多名員工曾參加過國家863工程S219網(wǎng)絡(luò)平安工程。X-cert緊急響應(yīng)小組概述第一局部公司介紹第二局部信息平安的標(biāo)準(zhǔn)和模型第三局部工程實(shí)施過程第四局部成功案例信息平安概念I(lǐng)SO27000系列開展背景信息平安概念問題的提出？信息平安管理，究竟管什么?信息平安管理如何管？如何改變頭痛醫(yī)頭腳痛醫(yī)腳？是否有成熟的信息平安管理模型可以借鑒?我要怎么樣去規(guī)劃組織信息平安建設(shè)?信息平安的CIA目標(biāo)保護(hù)信息的保密性、完整性和可用性

—ISO27002ConfidentialityIntegrityAvailabilityInformation信息平安概念I(lǐng)SO27001系列ISO27001系列信息平安管理體系ISO27002控制集11大平安領(lǐng)域，39項(xiàng)控制目標(biāo)，133項(xiàng)控制措施符合性（Compliance）業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）信息安全事件管理（Informationsecurityincidentmanagement）訪問控制（Accesscontrol）人力資源安全（Humanresources

security）物理和環(huán)境安全（Physicaland

environmental

security）通信和操作安全（Communications

andoperationsManagement）信息系統(tǒng)獲取開發(fā)和維護(hù)（Informationsystem

acquisition,development

andmaintenance）資產(chǎn)管理（Assetmanagement）信息安全組織（Organizinginformationsecurity）安全策略（SecurityPolicy）ISO27001系列ISO27002（ISO17799）ISO27001CodeofPractice作業(yè)規(guī)范Requirement認(rèn)證要求包含經(jīng)過實(shí)證的信息安全程序和信息安全措施的綜合列表包含對ISMS的要求，構(gòu)成PDCA循環(huán)（條款4-8中敘述）涵蓋11個領(lǐng)域包含11個安全領(lǐng)域，39個控制目標(biāo)，構(gòu)成133個控制措施（附錄A中敘述）可作為了解ISO/IEC27001中要求的基礎(chǔ)著重于預(yù)防性而非糾正性措施不適合作為認(rèn)證的判定標(biāo)準(zhǔn)適用于ISMS體系認(rèn)證的判定標(biāo)準(zhǔn)ISO27002-基于風(fēng)險(xiǎn)分析的平安管理方法信息平安管理是指導(dǎo)和控制組織的關(guān)于信息平安風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動。制定信息平安策略方針風(fēng)險(xiǎn)評估和管理控制目標(biāo)和方式選擇風(fēng)險(xiǎn)控制和處理平安保證信息平安策略方針為信息平安管理提供導(dǎo)向和支持?？刂颇繕?biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評估的根底上?？紤]控制本錢與風(fēng)險(xiǎn)平衡的原那么，將風(fēng)險(xiǎn)降低到組織可接受的水平。需要全員參與。遵循管理的PDCA模型。ISO27001系列ISO27005以風(fēng)險(xiǎn)為核心的平安模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足ISO27001系列ISO27001系列信息平安管理模型ISO27001系列管理體系核心持續(xù)改進(jìn)建立ISMS實(shí)施與運(yùn)作ISMS監(jiān)視與評審ISMS保持與改進(jìn)ISMSISO27001系列根據(jù)ISO/IEC27001實(shí)施ISMS并進(jìn)行認(rèn)證，充分證明您的組織風(fēng)險(xiǎn)已得到正確的識別、評估和管理，同時使信息平安流程、程序和文檔得到正式化證明您在信息維護(hù)、信息平安管理方面所作的承諾定期評估過程有助于您持續(xù)監(jiān)控您的績效與改進(jìn)證明您可以獨(dú)立保證內(nèi)部控制，同時符合公司治理和業(yè)務(wù)連續(xù)性要求充分證明您遵守適用的法律法規(guī)通過符合合同要求，并向客戶證明它們的信息平安是您的頭等大事，從而帶來競爭優(yōu)勢建制ISMS的收益開展背景國家\地區(qū)證書數(shù)目UK405日本3378大陸250臺灣344印度483美國95全球6037截止09年12月ISO27001證書數(shù)目統(tǒng)計(jì)：開展背景ISO27001INCHINA:大陸 250〔2021.12〕銀行業(yè)：交通銀行大連銀行信息科技部上海銀行信息科技部建設(shè)銀行山東省分行光大銀行信息卡中心…..更多行業(yè)企業(yè)已進(jìn)行體系建設(shè)工作。概述第一局部公司介紹第二局部信息平安的標(biāo)準(zhǔn)和模型第三局部工程實(shí)施過程第四局部成功案例整體概述建制實(shí)施工作整體概述整體概述多級培訓(xùn)團(tuán)隊(duì)建設(shè)建制實(shí)施工作風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)分析參考〔ISO/IEC27001:20054.2.1a~j〕建制實(shí)施工作識別風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)提升平安建制實(shí)施工作識別并評價(jià)資產(chǎn)識別并評估威脅識別并評估弱點(diǎn)現(xiàn)有控制確認(rèn)評估風(fēng)險(xiǎn)（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實(shí)施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險(xiǎn)定期評估風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)管理建制實(shí)施工作參照國際風(fēng)險(xiǎn)評估平安要素提取慣例和標(biāo)準(zhǔn)，調(diào)查分析用戶的已有策略，從管理、制度、落實(shí)情況、物理平安、人員平安、第三方平安等等各方面來評估分析。調(diào)查業(yè)務(wù)流程，并對信息資產(chǎn)進(jìn)行賦值和等級劃分；結(jié)合工具掃描、人工評估對系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫以及管理制度進(jìn)行平安性評估，最終完成信息平安風(fēng)險(xiǎn)報(bào)告。具體內(nèi)容包括：◆策略制度調(diào)查分析◆平安需求分析◆資產(chǎn)調(diào)查分析◆業(yè)務(wù)流程分析◆網(wǎng)絡(luò)架構(gòu)分析◆工具掃描分析◆人工評估分析◆數(shù)據(jù)庫平安審計(jì)◆滲透測試分析◆平安等級劃分風(fēng)險(xiǎn)評估量化方法脆弱級別嚴(yán)重風(fēng)險(xiǎn)系數(shù)3普通風(fēng)險(xiǎn)系數(shù)2一般風(fēng)險(xiǎn)系數(shù)1被利用的可能性完全可能風(fēng)險(xiǎn)系數(shù)3幾乎不可能風(fēng)險(xiǎn)系數(shù)2不可能風(fēng)險(xiǎn)系數(shù)1信息資產(chǎn)的價(jià)值非常重要風(fēng)險(xiǎn)系數(shù)3一般重要風(fēng)險(xiǎn)系數(shù)2不重要風(fēng)險(xiǎn)系數(shù)1如上所示通過簡單的定義，我們就能精確的量化風(fēng)險(xiǎn)值。Risk=AssetxThreatxVulnerability風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值X威脅的可能性X資產(chǎn)脆弱級別建制實(shí)施工作建制實(shí)施工作風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)根本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風(fēng)險(xiǎn)控制措施?-----分層式風(fēng)險(xiǎn)消除管理層操作層物理層應(yīng)用層系統(tǒng)層數(shù)據(jù)層網(wǎng)絡(luò)層防靜電、防雷擊、災(zāi)難備份、冗余身份認(rèn)證、權(quán)限控制等