1、.,1,IDC信息安全意識培訓(xùn),從小事做起，從自身做起 遵守IDC各項安全策略和制度規(guī)范,.,2,什么是安全意識？,安全意識（Security awareness），就是能夠認(rèn)知可能存在的安全問題，明白安全事故對組織的危害，恪守正確的行為方式，并且清楚在安全事故發(fā)生時所應(yīng)采取的措施。,.,3,我們的目標(biāo),建立對信息安全的敏感意識和正確認(rèn)識 掌握信息安全的基本概念、原則和慣例 了解信息安全管理體系（ISMS）概況 清楚可能面臨的威脅和風(fēng)險 遵守IDC各項安全策略和制度 在日常工作中養(yǎng)成良好的安全習(xí)慣 最終提升IDC整體的信息安全水平,.,4,制作說明,本培訓(xùn)材料由IDC信息安全管理體系實施組織安

2、全執(zhí)行委員會編寫，并經(jīng)安全管理委員會批準(zhǔn)，供IDC內(nèi)部學(xué)習(xí)使用，旨在貫徹IDC信息安全策略和各項管理制度，全面提升員工信息安全意識。,.,5,現(xiàn)實教訓(xùn) 追蹤問題的根源 掌握基本概念 了解信息安全管理體系 建立良好的安全習(xí)慣 重要信息的保密 信息交換及備份 軟件使用安全 計算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動計算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃 法律法規(guī) 尋求幫助,目 錄,.,6,嚴(yán)峻的現(xiàn)實！,慘痛的教訓(xùn)！,第1部分,.,7,在線銀行一顆定時炸彈。 最近，南非的Absa銀行遇到了麻煩，

3、它的互聯(lián)網(wǎng)銀行服務(wù)發(fā)生一系列安全事件，導(dǎo)致其客戶成百萬美元的損失。Absa銀行聲稱自己的系統(tǒng)是絕對安全的，而把責(zé)任歸結(jié)為客戶所犯的安全錯誤上。Absa銀行的這種處理方式遭致廣泛批評。那么，究竟是怎么回事呢？,一起國外的金融計算機(jī)犯罪案例,.,8,前因后果是這樣的 ,Absa是南非最大的一家銀行，占有35%的市場份額，其Internet銀行業(yè)務(wù)擁有40多萬客戶。 2003年6、7月間，一個30歲男子，盯上了Absa的在線客戶，向這些客戶發(fā)送攜帶有間諜軟件（spyware）的郵件，并成功獲得眾多客戶的賬號信息，從而通過Internet進(jìn)行非法轉(zhuǎn)帳，先后致使10個Absa的在線客戶損失達(dá)數(shù)萬法郎。

4、該男子后來被南非警方逮捕。,.,9,間諜軟件 eBlaster,這是一個商業(yè)軟件（ 該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使消息、Web訪問、鍵盤操作等活動，并將記錄信息悄悄發(fā)到指定郵箱 商業(yè)殺毒軟件一般都忽略了這個商業(yè)軟件 本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后竊取其網(wǎng)上銀行賬號和PIN碼信息的,.,10,我們來總結(jié)一下教訓(xùn),Absa聲稱不是自己的責(zé)任，而是客戶的問題 安全專家和權(quán)威評論員則認(rèn)為：Absa應(yīng)負(fù)必要責(zé)任，其電子銀行的安全性值得懷疑 Deloitte安全專家Rogan Dawes認(rèn)為：Absa應(yīng)向其客戶灌輸更多安全意識，并在易用性和安全性方面達(dá)成平衡 IT技術(shù)專

5、家則認(rèn)為：電子銀行應(yīng)采用更強(qiáng)健的雙因素認(rèn)證機(jī)制（口令或PIN智能卡），而不是簡單的口令 我們認(rèn)為：Absa銀行和客戶都有責(zé)任,.,11,國內(nèi)金融計算機(jī)犯罪的典型案例,一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲蓄網(wǎng)絡(luò)，盜走83.5萬元。這起利用網(wǎng)絡(luò)進(jìn)行金融盜竊犯罪的案件不久前被甘肅省定西地區(qū)公安機(jī)關(guān)破獲 人民日報，2003年12月,時間：2003年11月 地點：甘肅省定西地區(qū)臨洮縣太石鎮(zhèn)郵政儲蓄所 人物：一個普通的系統(tǒng)管理員,.,12,怪事是這么發(fā)生的,2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲蓄所的營業(yè)電腦突然死機(jī) 工作人員以為是一般的故障，對電腦進(jìn)行了簡單的修復(fù)和重裝處理 17日

6、，工作人員發(fā)現(xiàn)打印出的報表儲蓄余額與實際不符，對賬發(fā)現(xiàn)，13日發(fā)生了11筆交易，83.5萬異地帳戶是虛存（有交易記錄但無實際現(xiàn)金） 緊急與開戶行聯(lián)系，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半 儲蓄所向縣公安局報案 公安局向定西公安處匯報 公安處成立專案組，同時向省公安廳上報 ,.,13,當(dāng)然，最終結(jié)果不錯 ,經(jīng)過縝密的調(diào)查取證，我英勇機(jī)智的公安干警終于一舉抓獲這起案件的罪魁禍?zhǔn)?會寧郵政局一個普通的系統(tǒng)維護(hù)人員張某,.,14,事情的經(jīng)過原來是這樣的 , 會寧的張某用假身份證在蘭州開了8個活期帳戶,.,15,到底哪里出了紕漏 ,張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平平，談不上精通計算機(jī)和網(wǎng)絡(luò)技術(shù),郵政儲

7、蓄網(wǎng)絡(luò)的防范可謂嚴(yán)密： 與Internet物理隔離的專網(wǎng)；配備了防火墻；從前臺分機(jī)到主機(jī)經(jīng)過數(shù)重密碼認(rèn)證,.,16,可還是出事了，郁悶呀 問題究竟出在哪里？ 思考中 哦，原來如此 ,.,17,看來，問題真的不少呀 ,張某私搭電纜，沒人過問和阻止，使其輕易進(jìn)入郵政儲蓄專網(wǎng) 臨洮縣太石鎮(zhèn)的郵政儲蓄網(wǎng)點使用原始密碼，沒有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關(guān)，直接進(jìn)入了操作系統(tǒng) 問題出現(xiàn)時，工作人員以為是網(wǎng)絡(luò)系統(tǒng)故障，沒有足夠重視 ,.,18,總結(jié)教訓(xùn) ,最直接的教訓(xùn)：漠視口令安全帶來惡果！ 歸根到底，是管理上存在漏洞，人員安全意識淡薄,安全意識的提高刻不容緩！,.,19,一起證券行業(yè)

8、計算機(jī)犯罪案例,憑借自己的耐心和別人的粗心，股市“菜鳥”嚴(yán)某非法侵入“股神通”10個單位和個人的股票賬戶，用別人的錢磨練自己的炒股技藝 青年報，2003年12月,時間：2003年6月 地點：上海 人物：26歲的待業(yè)青年嚴(yán)某,.,20,事情是這樣的 ,2003年3月，嚴(yán)父在家中安裝開通“股神通”業(yè)務(wù)，進(jìn)行即時股票交易。 2003年6月的一天，嚴(yán)某偶得其父一張股票交易單，上有9位數(shù)字的賬號，遂動了“瞎貓碰死老鼠”的念頭：該證券公司客戶賬號前6位數(shù)字是相同的，只需猜后3位；而6位密碼，嚴(yán)某鎖定為“123456”。 嚴(yán)某”埋頭苦干“，第一天連續(xù)輸入了3000個數(shù)字組合，一無所獲。 第二天繼續(xù)，很快”奇

9、跡“出現(xiàn)，嚴(yán)某順利進(jìn)入一個股票賬戶。利用相同的方法，嚴(yán)某又先后侵入了10余個股票賬戶。 嚴(yán)某利用別人的賬戶，十幾天里共買進(jìn)賣出1000多萬元股票，損失超過14萬元，直到6月10日案發(fā)。 嚴(yán)某被以破壞計算機(jī)信息系統(tǒng)罪依法逮捕。,.,21,問題出在哪里 ,嚴(yán)某不算聰明，但他深知炒股的多是中老年人，密碼設(shè)置肯定不會復(fù)雜。首先，作為股民，安全意識薄弱,證券公司，在進(jìn)行賬戶管理時也存在不足：初始密碼設(shè)置太簡單，沒提醒客戶及時修改等,作為設(shè)備提供商，“股神通”軟件設(shè)計里的安全機(jī)制太簡單脆弱，易被人利用,.,22,總結(jié)教訓(xùn) ,又是口令安全的問題！ 又是人的安全意識問題！,再次強(qiáng)調(diào)安全意識的重要性！,.,23

10、,一個與物理安全相關(guān)的典型案例,時間：2002年某天夜里 地點：A公司的數(shù)據(jù)中心大樓 人物：一個普通的系統(tǒng)管理員,一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心 來自國外某論壇的激烈討論，2002年,.,24,情況是這樣的 ,A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過，出來時很簡單，數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開 數(shù)據(jù)中心有個系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂 張三急需今夜加班，可他又不想打擾他人，怎么辦？,

11、.,25,一點線索： 昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場還未清理干凈，遺留下很多雜物，哦，還有氣球,.,26,聰明的張三想出了妙計 , 張三找到一個氣球，放掉氣, 張三面朝大門入口趴下來，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊, 張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球, 由于氣球在門內(nèi)彈跳，觸發(fā)動作探測器，門終于開了,.,27,問題出在哪里 ,如果門和地板齊平且沒有縫隙，就不會出這樣的事,如果動作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應(yīng)，也不會出此事,當(dāng)然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發(fā)生,.,28,總結(jié)教訓(xùn) ,雖然是偶然事件，也沒有直接危害，

12、但是潛在風(fēng)險 既是物理安全的問題，更是管理問題 切記！有時候自以為是的安全，恰恰是最不安全！,物理安全非常關(guān)鍵！,.,29,類似的事件不勝枚舉,蘇州某中學(xué)計算機(jī)教師羅某，只因嫌準(zhǔn)備考試太麻煩，產(chǎn)生反感情緒，竟向江蘇省教育廳會考辦的考試服務(wù)器發(fā)動攻擊，他以黑客身份兩次闖入該考試服務(wù)器，共刪除全省中小學(xué)信息技術(shù)等級考試文件達(dá)100多個，直接經(jīng)濟(jì)損失達(dá)20多萬元，后被警方抓獲。 某高校招生辦一臺服務(wù)器，因設(shè)置網(wǎng)絡(luò)共享不加密碼，導(dǎo)致共享目錄中保存的有關(guān)高考招生的重要信息泄漏，造成了惡劣的社會影響。 屢屢出現(xiàn)的關(guān)于銀行ATM取款機(jī)的問題。 ,.,30,你碰到過類似的事嗎？,.,31,IDC曾經(jīng)發(fā)生的安全

13、事件,(請?zhí)砑幼约旱膬?nèi)容),.,32,CERT關(guān)于安全事件的統(tǒng)計, 摘自CERT/CC的統(tǒng)計報告 2003年12月,.,33,過去6個月的統(tǒng)計。Source: Riptech Internet Security Threat Report. January 2002,不同行業(yè)遭受攻擊的平均次數(shù),.,34,CSI/FBI對安全事件損失的統(tǒng)計, 摘自CSI/FBI的統(tǒng)計報告 2003年12月,.,35,威脅和弱點,問題的根源,第2部分,.,36,我們時刻都面臨來自外部的威脅,.,37,人是最關(guān)鍵的因素,判斷威脅來源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作

14、用 正是因為人在有意（攻擊破壞）或無意（誤操作、誤配置）間的活動，才給信息系統(tǒng)安全帶來了隱患和威脅,提高人員安全意識和素質(zhì)勢在必行！,.,38,黑客攻擊，是我們聽說最多的威脅！,.,39,.,40,世界頭號黑客 Kevin Mitnick,出生于1964年 15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機(jī)密 入侵太平洋電話公司的通信網(wǎng)絡(luò) 入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員 16歲被捕，但旋即獲釋 入侵摩托羅拉、Novell、Sun、Nokia等大公司 與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲 1995年被抓獲，被判5年監(jiān)禁 獲釋后禁止接觸電子物品，禁止從事計算機(jī)行業(yè),.,41,黑客不請自來，乘虛而入,.,42

15、,踩點：千方百計搜集信息，明確攻擊目標(biāo) 掃描：通過網(wǎng)絡(luò)，用工具來找到目標(biāo)系統(tǒng)的漏洞 DoS攻擊：拒絕服務(wù)，是一種破壞性攻擊，目的是使資源不可用 DDoS攻擊：是DoS的延伸，更大規(guī)模，多點對一點實施攻擊 滲透攻擊：利用攻擊軟件，遠(yuǎn)程得到目標(biāo)系統(tǒng)的訪問權(quán)或控制權(quán) 遠(yuǎn)程控制：利用安裝的后門來實施隱蔽而方便的控制 網(wǎng)絡(luò)蠕蟲：一種自動擴(kuò)散的惡意代碼，就像一個不受控的黑客,了解一些黑客攻擊手段很有必要,.,43,DoS攻擊示例 Smurf,攻擊者,受害者,.,44,DDoS攻擊模型,Internet,Intruder,Master,Master,Daemon,Daemon,Daemon,Daemon,D

16、aemon,Daemon,Victim,.,45,蠕蟲攻擊示例 CodeRed,.,46,威脅更多是來自公司內(nèi)部,黑客雖然可怕，可更多時候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害 據(jù)權(quán)威部門統(tǒng)計，內(nèi)部人員犯罪（或與內(nèi)部人員有關(guān)的犯罪）占到了計算機(jī)犯罪總量的70%以上,員工誤操作,蓄意破壞,公司資源私用,.,47,一個巴掌拍不響！,外因是條件 內(nèi)因才是根本！,.,48,我們自身的弱點不容小視, 技術(shù)弱點, 操作弱點, 管理弱點,系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷,配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份過程的不當(dāng)?shù)?策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足,.

17、,49,人最常犯的一些錯誤,將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題,.,50,想想你是否也犯過這些錯誤？,.,51,嘿嘿，這頓美餐唾手可得,嗚嗚，可憐我手無縛雞之力,威脅就像這只貪婪的貓,如果盤中美食暴露在外,遭受損失也就難免了,.,52,信息資產(chǎn)對我們很重

18、要，是要保護(hù)的對象 外在的威脅就像蒼蠅一樣，揮之不去，無孔不入 資產(chǎn)本身又有各種弱點，給威脅帶來可乘之機(jī) 于是，我們面臨各種風(fēng)險，一旦發(fā)生就成為安全事件,時刻都應(yīng)保持清醒的認(rèn)識,.,53,我們需要去做的就是 ,熟悉潛在的安全問題 知道怎樣防止其發(fā)生 知道發(fā)生后如何應(yīng)對,.,54,還記得消防戰(zhàn)略嗎？,.,55,理解和鋪墊,基本概念,第3部分,.,56,消息、信號、數(shù)據(jù)、情報和知識 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲在計算機(jī)、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)： 計算機(jī)和

19、網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的服務(wù) 具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù),Information,什么是信息？,.,57,什么是信息安全？,采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。,.,58,CIA,謹(jǐn)記信息安全基本目標(biāo),.,59,企業(yè)管理者關(guān)注的是最終目標(biāo),.,60,信息安全關(guān)鍵因素及其相互關(guān)系,.,61,實現(xiàn)信息安全可以采取一些技術(shù)手段,物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 網(wǎng)

20、絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估 應(yīng)用安全技術(shù)：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等 訪問控制技術(shù)：防火墻、訪問控制列表等 審計跟蹤技術(shù)：入侵檢測、日志審計、辨析取證 防病毒技術(shù)：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份,.,62,.,63,但關(guān)鍵還要看整體的信息安全管理,技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑 信息安全管理構(gòu)成了信息安全具有能動

21、性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的 理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)尤其重要,三分技術(shù)，七分管理！,.,64,務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作,.,65,PDCA信息安全管理模型,根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。,實施所選的安全控制措施。,針對檢查結(jié)果采取應(yīng)對措施，改進(jìn)安全狀況。,依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實施情況進(jìn)行符合性檢查。,.,66,可以參考的標(biāo)準(zhǔn)規(guī)范和最佳慣例,I

22、SO27001,.,67,安全性與方便性的平衡問題,在方便性（convenience，即易用性）和安全性（security）之間是一種相反的關(guān)系 提高了安全性，相應(yīng)地就降低了方便性 而要提高安全性，又勢必增大成本 管理者應(yīng)在二者之間達(dá)成一種可接受的平衡,.,68,計算機(jī)安全領(lǐng)域一句格言： “真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！?這樣的計算機(jī)是沒法用了。,絕對的安全是不存在的！,.,69,正確認(rèn)識信息安全,安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程

23、,.,70,整體管理思路,信息安全管理體系,第4部分,.,71,英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）制定的信息安全標(biāo)準(zhǔn)。 由信息安全方面的最佳慣例組成的一套全面的控制集。 信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)。,ISO27001是關(guān)于信息安全管理的標(biāo)準(zhǔn),.,72,ISO27001 標(biāo)準(zhǔn)包含兩個部分,ISO17799:2005：信息安全管理實施細(xì)則（Code of Practice for Information Security Management），相當(dāng)于一個工具包，體現(xiàn)了三分技術(shù)七分管理 ISO27001：是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)

24、范（Specification for Information Security Management Systems），詳細(xì)說明了建立、實施和維護(hù)信息安全管理系統(tǒng)的要求，指出實施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn),.,73,什么是信息安全管理體系？,以往我們對信息安全的認(rèn)識只停留在技術(shù)和產(chǎn)品上，是只見樹木不見森林，只治標(biāo)不治本 其實，信息安全成敗，三分靠技術(shù)，七分靠管理，技術(shù)一般但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 但以往我們的管理，只是粗淺的、靜態(tài)的、不成體系的管理 信息安全必須從整體去考慮，必須做到“有計劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子，而整個的過程，必須有一套完整的文件體系來控制和指引 這就是信息安全管理體系，應(yīng)該成為組織整體管理體系的一部分,.,74,IDC建立信息安全管理體系的目的,檢驗IDC信息安全管理現(xiàn)狀，全面評估安全風(fēng)險，找到問題所在，采取措施解決問題，從而建立完善的信息安全管理體系 在此過程中，通過IDC全員的參與，全面提升IDC信息安全管理水平和意識技能，將信息安全理念融入到IDC企業(yè)文化當(dāng)中 接受認(rèn)證機(jī)構(gòu)的審核，獲得具有國際權(quán)威性的ISO27001認(rèn)證證書 通過內(nèi)功修煉和外在證明，提升IDC作為軟件開發(fā)和服務(wù)企業(yè)的市場競爭力，贏取客戶的認(rèn)可和信任,.,75,信息安全方針I(yè)DC的“