1、ISO/IEC27001:2005簡介與導入 ,智慧成就卓越 專業(yè)創(chuàng)造價值,2 /33,智天下顧問,Disclosure/Alteration/Destruction組織面臨的威脅,智慧成就卓越 專業(yè)創(chuàng)造價值,3 /33,智天下顧問,什么是信息,信息是一種資產(chǎn)，就像企業(yè)其它資產(chǎn)一樣重要，對企業(yè)具有重要的價值，因此需要受到適當?shù)谋Ｗo。 信息的類型 書寫或打印于紙上 儲存在電子媒體上 以郵寄或電子儲存媒體傳輸 顯示于企業(yè)影片上 言語-在對話中提出 不管信息的形式是什么，或者共享或儲存的方式是什么，都應該受到適當?shù)谋Ｗo。,智慧成就卓越 專業(yè)創(chuàng)造價值,4 /33,智天下顧問,什么是信息安全,機密性：信

2、息不可被未經(jīng)授權之個人、實體、流程所取得或揭露的特性。,可用性：基于需要可由授權者存取及使用的特性。,：性整完,征特的整完和,威脅,脆弱,確準產(chǎn)資護保,風險,智慧成就卓越 專業(yè)創(chuàng)造價值,5 /33,智天下顧問,信息得到保障,信息安全4P-方針、過程、人員、產(chǎn)品,智慧成就卓越 專業(yè)創(chuàng)造價值,6 /33,智天下顧問,現(xiàn)今的部署架構面臨的挑戰(zhàn),Internet,Finance,Operations,Sales,WLAN Switch,Core Switch,IDS/IDP,Firewall,Router,A/D Server,Database Servers,Radius,ACS Server,$,

3、$,面對入侵遲鈍的反應, 卻花費大筆的金錢，而安全卻毫無起色,智慧成就卓越 專業(yè)創(chuàng)造價值,7 /33,智天下顧問,軟件驅(qū)動AP,會議室,倉儲作業(yè),1. 無線計算機開機后發(fā)送PROBE聯(lián)機請求,2. 周遭無線基地臺響應 BEACONS,3. 無線計算機根據(jù)最佳的訊號強度,噪聲等條件連接至最佳的AP無線基地臺,4. 使用者可輕易設定為Ad Hoc Network模式與黑客連接,難以限制用戶的聯(lián)機對象,意外聯(lián)機,惡意聯(lián)機,Ad Hoc Network,無線網(wǎng)絡安全管理問題-無線連接行為難以管控,企業(yè)內(nèi)部網(wǎng)絡,Office周邊左鄰右舍,停車場,智慧成就卓越 專業(yè)創(chuàng)造價值,8 /33,智天下顧問,全球信

4、息保護相關信息,20%,80%的損失，是來自於電腦遺失/被竊取,網(wǎng)路入侵/駭客攻擊,在網(wǎng)路攻擊的20%內(nèi)，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。 (Source: Kensington Group),80%,重要、機密資料被竊取的管道,智慧成就卓越 專業(yè)創(chuàng)造價值,9 /33,智天下顧問,設備損失與資料外泄的成本,風險成本評估,智慧成就卓越 專業(yè)創(chuàng)造價值,10 /33,智天下顧問,Introduction to ISO27001:2005 什么是信息安全管理體系,智慧成就卓越 專業(yè)創(chuàng)造價值,11 /33,智天下顧問,信息安全管理，簡稱

5、ISMS (Information Security Management System),ISMS的目標是透過一整體規(guī)劃的信息安全解決方案，來確保企業(yè)所有信息系統(tǒng)和業(yè)務的安全，并保持正常運作。 ISMS利用風險分析管理工具，結合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等結果，并綜合評估影響企業(yè)整體的因素，來制定適當?shù)男畔踩吲c信息安全作業(yè)準則，從而降低潛在的風險危機。,智慧成就卓越 專業(yè)創(chuàng)造價值,12 /33,智天下顧問,ISO27001:2005結構,智慧成就卓越 專業(yè)創(chuàng)造價值,13 /33,智天下顧問,ISO27001:2005標準,智慧成就卓越 專業(yè)創(chuàng)造價值,14 /33

6、,智天下顧問,信息安全管理體系之PDCA改進,智慧成就卓越 專業(yè)創(chuàng)造價值,15 /33,智天下顧問,ISO27000 Today & Development信息安全市場現(xiàn)狀與發(fā)展,智慧成就卓越 專業(yè)創(chuàng)造價值,16 /33,智天下顧問,政府部門或國營事業(yè)單位、金融業(yè)與信息安全服務業(yè)是目前國內(nèi)通過ISMS認證的三大行業(yè)。 展望未來，政府部門或國營事業(yè)單位對信息安全服務仍有強烈的需求。 BPO,ITO及大型信息電子業(yè)則是下一波重點需求所在，這主要基于ISO 27001 已成為不少國際IT廠商對供應鏈廠商的審查要點之一。,信息安全現(xiàn)狀與發(fā)展,智慧成就卓越 專業(yè)創(chuàng)造價值,17 /33,智天下顧問,截止2

7、007年全球認證組織統(tǒng)計,智慧成就卓越 專業(yè)創(chuàng)造價值,18 /33,智天下顧問,截止2007年中國獲認證的組織發(fā)展,智慧成就卓越 專業(yè)創(chuàng)造價值,19 /33,智天下顧問,企業(yè)建置 ISMS 的效益,對外： 增加客戶之信心及滿意度 開拓國際及相關業(yè)務市場 強化企業(yè)品牌的市場競爭力 提高產(chǎn)品及服務質(zhì)量 對內(nèi)： 保護公司之機密信息及知識產(chǎn)權 增進信息系統(tǒng)之穩(wěn)定性及可用性 降低因信息錯誤或泄漏造成之損失 改善員工信息管理環(huán)境并建立信心,智慧成就卓越 專業(yè)創(chuàng)造價值,20 /33,智天下顧問,ISO27001 Consulting & CertificationISMS的導入與認證,智慧成就卓越 專業(yè)創(chuàng)造

8、價值,21 /33,智天下顧問,智天下ISO27001諮詢輔導過程,智慧成就卓越 專業(yè)創(chuàng)造價值,22 /33,智天下顧問,ISO27001項目導入規(guī)劃,現(xiàn)況分析 -項目啟動，團隊組建 -組織現(xiàn)況了解與差異分析,風險評估與管理 -資產(chǎn)盤點與風險分析 - 詳細風險評估與報告產(chǎn)出 - 風險處理作業(yè),ISMS文件制定與實施 - ISM文件制訂與實施 - 業(yè)務持續(xù)演練 - ISMS內(nèi)部審計與管理評審,預評與認證 - ISMS預評 - 第一階段認證 - 第二階段認證,準備階段,第2查核點,第3查核點,第1查核點,培訓與宣傳,實現(xiàn)階段,認證階段,運行階段,智慧成就卓越 專業(yè)創(chuàng)造價值,23 /33,智天下顧問

9、,項目進度表,編號,工期10個月,任務名稱,第一月,第四月,第八月,第六月,第十月,1,1個月,團隊建設,2,1個月,專題培訓,3,2個月,體系設計,4,3個月,過程定義,5,6個月,過程試點,6,6個月,全面實施,7,2個月,管理評審,8,1個月,評審認證,范圍 界定,認證審核,專題 培訓,過程 試點,過程 定義,體系 設計,全面 推廣,項目啟動,智慧成就卓越 專業(yè)創(chuàng)造價值,24 /33,智天下顧問,企業(yè)參與ISO27001的單位,智慧成就卓越 專業(yè)創(chuàng)造價值,25 /33,智天下顧問,信息安全推動小組職責與管理權限,智慧成就卓越 專業(yè)創(chuàng)造價值,26 /33,智天下顧問,信息安全推動小組職責與

10、管理權限,管理權責 信息安全推動委員會 建立信息安全管理制度并推動信息安全相關事宜。 召集人(由中心主任擔任) 負責召集信息安全管理審查會議，并追蹤其決議事項。 督導本組織的風險評鑒作業(yè)。 督導本組織的持續(xù)營運計劃的修訂與演練。 信息安全稽核小組(5人) 執(zhí)行信息安全管理之內(nèi)部稽核作業(yè)。 信息安全工作小組(10人) 評估人員進用之安全性。 辦理信息安全教育訓練。 信息資產(chǎn)之安全需求研議、使用管理及保護等事項。 程序及規(guī)范書草擬,智慧成就卓越 專業(yè)創(chuàng)造價值,27 /33,智天下顧問,信息安全推動小組職責與管理權限,管理事項如下： 信息安全政策制定及評估 組織的信息安全與分工 資產(chǎn)管理 人力資源的

11、安全 實體與環(huán)境安全 通訊與作業(yè)管理 存取控制 信息系統(tǒng)取得、開發(fā)及維護 信息安全事故管理 營運持續(xù)管理 遵循性,智慧成就卓越 專業(yè)創(chuàng)造價值,28 /33,智天下顧問,信息安全管理體系文檔架構,一級文件：政策性文件，適用性聲明,二級文件：程序,三級文件：規(guī)劃、手冊、操作說明、 計劃、管理辦法,四級文件：表單、報告、記錄、合約,屬政策性文件，由ISMS推動委員會議,屬于技術性與操作性文件由ISMS推動小組另訂,智慧成就卓越 專業(yè)創(chuàng)造價值,29 /33,智天下顧問,ISMS認證流程圖,智慧成就卓越 專業(yè)創(chuàng)造價值,30 /33,智天下顧問,成功的關鍵因素,經(jīng)驗顯示，組織的信息安全能否成功實施，下列常

12、為關鍵因素： 能反映營運目標的信息安全政策、目標及活動。 與組織文化一致的實施、維護、監(jiān)控、及改進信息安全的方法與框架。 來自所有管理階層的實際支持和承諾。 對信息安全要求、風險評鑒以及風險管理的深入了解。 向全體管理人員、受雇人員、及相關人員有效推廣信息安全以達到認知。 資助信息安全管理活動。 提供適當?shù)恼J知、訓練及教育。 制定有效的信息安全事故管理過程。 實施一個用于評估ISMS的績效及改進的回饋建議之量測系統(tǒng)。,智慧成就卓越 專業(yè)創(chuàng)造價值,31 /33,智天下顧問,Chits consulting.咨詢單位介紹,智慧成就卓越 專業(yè)創(chuàng)造價值,32 /33,智天下顧問,公司介紹,智天下顧問是

13、一家專為企業(yè)提供CMMI/ISO27001/ISO2000咨詢認證的專業(yè)機構。 智天下顧問的服務可為您的企業(yè)建立有效的質(zhì)量、安全管理體系，減少錯誤和開發(fā)成本，持續(xù)地滿足和增強客戶對您企業(yè)的信心。 智天下顧問是SGS，BSI戰(zhàn)略合作伙伴，中國軟件行業(yè)協(xié)會專家委員單位。曾多次被政府和民間機構評選為CMMI咨詢能力第一名。 智天下顧問已為中國80多家客戶提供了不同行業(yè)各細分領域的質(zhì)量管理、人信息安全和IT運維管理服務。8年的專業(yè)成長，智天下顧問積累了大量的歷史數(shù)據(jù)和實踐經(jīng)驗，確保您的企業(yè)與產(chǎn)品的成功。 智天下顧問有一支全國認可專業(yè)咨詢能力第一的顧問專家隊伍，依據(jù)業(yè)界公認的國際標準CMMI、ISO27

14、001、ISO20000對用戶提供專業(yè)輔導服務，并協(xié)助客戶獲得權威人員及機構的認證。 我司已經(jīng)運行符合ISO27001標準的信息安全管理體系，我們期望能分享我們的經(jīng)驗，協(xié)助您在組織中建立各種管理體系，在市場上獲取最大競爭優(yōu)勢。,智慧成就卓越 專業(yè)創(chuàng)造價值,33 /33,智天下顧問,Contact Us聯(lián)繫資訊,深圳市智天下管理顧問有限公司（總部） 電話36950331 36852140 36943904傳真-mail：全國客服熱線：800-6300-556地址：深圳市寶安區(qū)25區(qū)華豐商務大廈B座622-623 智天下管理顧問（上海）E-mail： 專線電話機電話國客服熱線：800-6300-556地址：上海市閔行區(qū)七莘路3189弄38號801室 智天下管理顧問（蘇州）E-mail：專線電話：18915401898全國客服熱線：800-6300-556地址：蘇州市高新區(qū)楓橋鎮(zhèn)馬浜花園182棟201,智天下管理顧問（杭州）E-mail：專線電話： 15258