1、如何實現企業信息安全管理與業務流程的融合和實施2022年8月6日目前信息安全管理與企業業務流程的實施現狀1研討大綱企業的信息安全風險分布區域，忽略信息安全的危害基于ISO27001的信息安全風險的認識與評估流程：資產、風險因素、風險評價、風險控制和處理如何在業務流程的控制節點融入信息安全的風險控制措施，確保風險可控業務流程與信息安全管理整合實施的難點、方法與步驟業務流程與信息安全管理整合的價值23456信息安全基礎知識基礎知識 信息安全定義保密性 Confidentiality：信息不被可用或不被泄漏給未授權的個人、實體和過程的特性。完整性 Integrity保護資產的準確和完整的特性?？捎眯?/p>

2、 Availability：需要時，授權實體可以訪問和使用的特性。基礎知識 信息安全管理體系（ISMS）定義 信息安全管理體系（Information Security Management System）是企業整個管理體系的一部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業務風險的認識，ISMS 包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動，表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。基礎知識 資產定義任何對組織有價值的事物（ISO/IEC13335-1:2004) 數據

3、資產 軟件資產 硬件資產 人員 服務 其它基礎知識威脅定義可能導致對系統或組織的損害的不期望事件發生的潛在原因。（ISO/IEC TR 13335-1:2004）威脅可以是故意的或意外的，人為的或天災的，如：故意的：偷聽、惡意軟件；意外的：誤操作天災的：地震、水災、火災基礎知識脆弱性定義可能會被一個或多個威脅所利用的資產或一組資產的弱點。（ISO/IEC TR 13335-1:2004）脆弱性本身不會導致損害，它只是一種條件或一組條件可能容許威脅影響資產；脆弱性如果不予管理，就會使得威脅變成現實例子：缺乏安全意識、電壓不穩定、門沒鎖、不良的接線、位于易受洪水影響的區域、不受控的拷貝、員工短缺等

4、基礎知識其他定義風險評估：風險分析和風險評價的全過程。風險處理：選擇和實施措施以改變風險的過程。風險管理：指導和控制一個組織的風險的協調的活動。注：典型風險管理包括風險評估和風險處理。基礎知識信息的生命周期建立貯存處理銷毀傳送丟失損毀使用？！惡意或不當行為信息的生命周期伴隨在業務流程中！基礎知識ISO 27001標準介紹BS7799-1 操作規則BS7799-2 認證規范1995年版1999年版1998年版1999年版ISO/IEC17799：20002002年版ISO/IEC17799：2005ISO/IEC27001：2005ISO/IEC27002：2005基礎知識ISO 27001標準

5、介紹2700027009：ISMS基本標準，2701027019：ISMS標準族的解釋性指南與文檔 認證機構 認可要求 目前信息安全管理與企業業務流程的實施現狀實施現狀 現狀1對“信息安全管理”理解片面，不能正確理解信息安全管理目標，完全與業務流程脫節信息安全就是計算機沒有病毒信息安全就是系統沒有漏洞信息安全就是信息保密沒有連接互聯網就是安全的有信息技術支持就是安全的等實施現狀 現狀2“信息安全管理”沒有完全覆蓋企業的業務流程業務過程識別不全面，導致信息安全管理漏洞，如銷售過程沒有識別、沒有考慮遠程工作過程只關注了重要業務流程，如生產過程、設計過程實施現狀 現狀3信息安全控制措施不能在業務過程

6、中有效實施安全意識較差，安全規定不執行關注“應用性”，忽略了“安全性”缺少安全監督檢查機制，控制措施不能有效落實缺乏持續改進機制等企業的信息安全風險分布區域，忽略信息安全的危害風險分布及危害 案例19家企業信息安全問題總結：信息化基礎設施建設水平差，缺乏基本的安全保障僅有21%的企業信息化組織結構和基礎設施的建設較好；有79%的企業信息化組織結構和職責不明確，信息化制度缺失或制度不完善；機房簡陋，在防塵、防火、防水、溫濕度、電力等方面不符合要求，個別企業沒有建立機房；網絡系統為二層結構，沒有部署防火墻等安全設備；風險分布及危害風險分布及危害風險分布及危害 案例有89%的企業在信息安全管理和技術

7、上存在較嚴重的安全隱患網絡架構不合理，沒有劃分安全區域，沒有部署防火墻等安全設備員工信息安全意識薄弱，沒有及時有效查殺病毒，病毒和木馬感染事件頻發重要計算機存在弱口令甚至沒有設置登錄口令重要應用系統和服務器存在較嚴重的安全漏洞，易遭到攻擊或信息泄露重要技術機密文件沒有被有效保護，個別企業已經發生過技術機密信息泄露事件，造成了損失風險分布及危害 風險分布分布在信息生命周期的各個環節，即業務過程中：組織安全人員安全基礎環境安全設施的安全（通信線路、網絡設備、主機設備、存儲等）應用安全（系統軟件、應用軟件）訪問控制備份及業務連續性風險分布及危害 危害企業有哪些重要信息知識產權；技術秘密；重要的合同；

8、客戶資料；軟件產品的源代碼；財務數據；內部文件等危害侵權；重要信息泄密；經濟損失；業務中斷；企業倒閉基于ISO27001的信息安全風險的認識與評估流程：資產、風險因素、風險評價、風險控制和處理風險認識及評估基于ISO 27001信息安全風險的認識“組織應根據整體業務活動和風險，建立、實施、運行、監控、評審、保持并改進文件化的信息安全管理體系”“考慮業務和法律法規的要求，及合同中的安全義務”“選擇適當和相宜的安全控制措施” 制定風險評估準則和接受準則。風險認識及評估風險評估流程風險認識及評估風險分析原理如何在業務流程的控制節點融入信息安全的風險控制措施，確保風險可控融入控制措施 基于業務流程的風

9、險評估控制措施考慮不同業務節點識別業務過程識別業務過程對應的資產識別威脅識別脆弱性不同級別的風險制定控制措施業務流程與信息安全管理整合實施的難點、方法與步驟實施方法與步驟導入以ISO27001為基礎的信息安全管理體系實施方法與步驟 ISO27001 11個控制域（最佳實踐）信息資產保密性完整性可用性安全方針信息安全組織資產管理人力資源安全物理和環境安全通信與操作安全訪問控制信息系統的獲取開發和維護信息安全事件管理業務持續性管理符合性實施方法與步驟實施難點領導層不關注員工安全意識薄弱，不支持資源的投入（人力、資金）專業技術性要求高解決辦法信息安全培訓，提高安全有意識和企業自身能力聘請專業的第三方

10、公司協助業務流程與信息安全管理整合的價值（信息安全管理體系實施的價值）實施的價值 維持和增強公司競爭優勢，促進業務發展。 維護公司的聲譽和品牌，增強相關方的信任； 滿足客戶和法律法規的信息安全要求； 強化員工的信息安全意識，規范組織信息安全行為； 保障公司業務的正常運行 增強信息系統的安全性，減少安全事件帶來的影響和經濟損失； 提高信息安全管理水平，保障信息系統安全運行； 找出與相關國際/國內/行業標準的差異，增強合規性；發現系統中潛在風險與安全隱患，有效控制風險；實施的價值來源：澳大利亞Edith Cowan University 主辦的第九屆澳大利亞信息安全管理學術會議Australia,

11、 5th -7th December, 2011ISO27001實施效果調查信息安全標準化管理及透明度增強組織對信息安全的信心有效的風險管理成熟、全面的信息安全管理增強客戶信心其他服務能力提升實施的價值來源：國際計算機科學與網絡安全期刊，2010年3月ISO27001體系作用研究影響方面測量指標效果直接經濟效益現金流增長14%成本降低30%間接經濟效益業務機會增加25%客戶合作增加39%信息安全可靠性流程效率提升53%反應速度提升37%安全防護能力提升68% 中國賽寶資質及業務ISO/IEC 27001 信息安全管理體系認證；ISO/IEC 20000 IT服務管理體系認證；ISO 9001 質量管理體系認證；TL 9000電信行業質量管理體系認證；ISO/TS 16949 汽車行業管理體系認證；ISO 14001環境管理體系認證；OHSAS 18001職業健康與安全管理體系認證；工業和信