1、信息安全技术与管理的有效融合,Trendsetting,北京趋势引领信息咨询有限公司杨宁,1,2,3,4,信息安全管理实践,议程,案例及数据分享,管理实践,有效融合,体系构建,面对问题,案例分享,数据统计据Gartner调查显示,超过85%的安全威胁来自组织内部,而其中通过即时通信、电子邮件泄露的电子数据信息损失占到30%-40%。在Fortune排名前100家的公司中,每次电子数据泄漏的平均损失是50万美元。其中一部分来自于企业内部人员与外部人员相勾结,另一部分则是别有用心的组织通过技术手段进行信息窃取。 2009年,IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查
2、。调查结果显示,这400人在过去的12个月中碰到了大约5.8万起内部信息安全事件,也就是说平均每个企业每年将发生近150起内部信息安全事故。,如何解决问题?,部署网络/主机入侵检测系统?,部署终端安全系统?,部署SOC?,部署加密系统?,实施ISMS?,执行信息系统审计?,签署保密协议?,技术手段,管理措施,管理实践,有效融合,体系构建,面对问题,如何面对信息安全问题?,安全技术,安全管理,管理实践,有效融合,体系构建,面对问题,全面构建信息安全体系,技术架构,定义信息安全技术架构设计原则分析信息安全技术功能需求定义信息安全技术功能组件划分安全区域设计信息安全技术架构信息安全技术系统部署,管理
3、体系,制定明确的信息安全战略和方针识别信息资产和关键业务应用执行风险评估和进行风险管理制定信息安全策略、制度、流程及标准信息安全意识培训和策略宣贯执行监督和持续改进,管理实践,有效融合,体系构建,面对问题,信息安全体系规划原则,信息安全体系规划原则:关注组织目标和合规风险采用分阶段的建设方式,从重点问题着手借鉴国际先进经验、依据国际标准及业界最佳实践在确保安全性的前提下需注重实际可操作性和效率以风险管理为基础,预防为主,防治结合结合企业的战略和企业文化关键因素:一个有效的信息安全体系应该是管理和技术的平衡和有效融合。,管理实践,有效融合,体系构建,面对问题,技术与管理的平衡如何决策?,技术,管
4、理,决定因素?,ISMS、风险管理、IS审计。,IPS、UTM、SSO、SOC。,人员的意识、组织的执行力、成本效益分析,管理实践,有效融合,体系构建,面对问题,技术与管理如何有效融合?,管理实践,有效融合,体系构建,面对问题,管理先行,带动技术需求,以规范的管理为技术的实施提供保障,管理关注全局,技术聚焦重点,沟通,管理的过程的控制须充分考虑技术手段,管理作为技术的有益补充,技术成为管理的可靠保障,管理清晰,技术透明,理解,基于ISO27001的信息安全管理体系架构,注:11控制域,39 控制目标,133控制措施,管理实践,有效融合,体系构建,面对问题,信息安全管理实践,管理实践,有效融合,体系构建,面对问题,业务目标,合规要求,企业治理,IT治理,ISO27001,最佳实践标准,驱动,COBIT/ISO38500,COSO/企业内部控制基本规范,ISO9001,ISO20000,IS Audit/ISACA,BS25999,服务热线:400 - 678 - 1822 公司网址:,北京趋势引领信息咨询有限公司Trendsetting Consulting Co., Ltd.,
