1、如何实现企业信息安全管理与业务流程的融合和实施2019年1月25日 星期五目前信息安全管理与企业业务流程的实施现状1研讨大纲企业的信息安全风险分布区域,忽略信息安全的危害基于ISO27001的信息安全风险的认识与评估流程:资产、风险因素、风险评价、风险控制和处理如何在业务流程的控制节点融入信息安全的风险控制措施,确保风险可控业务流程与信息安全管理整合实施的难点、方法与步骤业务流程与信息安全管理整合的价值23456信息安全基础知识基础知识 信息安全定义保密性 Confidentiality: 信息不被可用或不被泄漏给未授权的个人、实体和过程的特性。完整性 Integrity保护资产的准确和完整的
2、特性。可用性 Availability:需要时,授权实体可以访问和使用的特性。基础知识 信息安全管理体系(ISMS)定义信息安全管理体系(Information Security Management System)是企业整个管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完 目标 用方法的体系。基于 业务风险的认识,ISMS 建立、实施、 、 、 护和 信息安全 一系 的管理 , 现 组织 、 略方针、 、目标与 、人 与 、过程与方法、资 要素的合。基础知识 资产定义何 组织价值的(ISO/IEC13335-1:2004) currency1资产 “资产 “资产 人
3、务 fi基础知识fl 定义可 系或组织的 害的不期“的在 因。(ISO/IEC TR 13335-1:2004)fl 可以是”的或的,人 的或 的,如:”的: 、“的: 的:、 、 基础知识 性定义可被一个或个fl 用的资产或一组资产的 点。(ISO/IEC TR 13335-1:2004) 性 不 害,fi是一“或一组“可fl 资产 性如 不 管理, 使 fl 现实: 安全识、 不 定、 、不 的 、于 的区域、不控的 、 基础知识 定义风险评估:风险分 和风险评价的全过程。风险处理: 和实施措施以 风险的过程。风险管理: 和控制一个组织的风险的 的 。: 风险管理 风险评估和风险处理。基础知识信息的期建立 处理送丢失 使用?!或不当行 信息的期伴随在业务流程中!
