企业信息安全体系ppt课件.pptx

2014年6月19日企业信息安全体系建设 交流讨论材料精品课件第二部分目录 第一部分企业面临的信息安全环境企业信息安全的体系架构第三部分企业信息安全体系的建设第四部分企业信息安全管理的实践 2精品课件3超级互联的商业世界与极其复杂的IT环境超级互联的商业世界:激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中,且可供访问。这就创造了一个极其复杂的IT环境—可能的攻击点几乎是无限的高级持续性的安全威胁:最有经验的对手现在正带来高级持续性威胁,他们通过密切的关注的坚持不懈来获取敏感业务信息的访问权限。这些攻击利用尖端的方法,可持续无限长的时间且具有专门的目标传统IT防御的有效性:如今,愈加多样的威胁侵蚀着传统IT防御 (比如防火墙和防病毒软件)的有效性,甚至在许多情况下完全避开了这些控制企业面临的安全挑战:所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力:攻击面扩大攻击模式扩散且手法熟练威胁和解决方案异常复杂*根据思科2014年安全报告,IBM安全报告精品课件4业务业务IT支撑IT支撑客户企业IT技术客户企业IT技术传统业务模式新业务模式传统的企业运作模式信息安全仅作为后台数据的保障基本与业务无关的信息安全需求新的安全考虑安全是一个企业整体需求风险评估和企业连续战略都是今 天董事会上讨论的话题企业对受过安全培训的人员需求 越来越高业务模式的变革增加了企业信息安全的压力新的企业运作模式因客户和IT直接连线导致IT和业 务流程的汇合安全不是单独的解决方案精品课件5企业的信息安全需求来自以下方面:法律法规与合同条约的要求组织原则目标和规定风险评估的结果风险评估是信息安全管理的基础企业的信息安全需求与风险管理视角安全策略Security Policy 保护 Protect应急计划Emergenc yPlan 转移 Mitigate风险分析 RiskAnalysis 预防 Prevent从业务出发才能了解企业的风险关注安全遵守才能降低企业的风险残余风险 Residual Risk 接受 Risk精品课件第二部分目录 第一部分企业面临的信息安全环境企业信息安全的基本框架第三部分企业信息安全体系的建设第四部分企业信息安全新领域挑战 6精品课件7企业信息安全框架的基本层面战略和治理框架合规和策略遵从安全治理、风险管理与合规 风险管理框架安全运维视角:企业信息安全需要 从全方位的视角去管理, 而不是通过单一系统或程 序来实现框架:合适的信息安全框 架有利于指导安全体系的 建设层次:从体系框架的角度, 分为三层: 安全治理、风险管理与合规安全运维基础安全服务与架构安全事件安全事件安全事件安全策略安全绩效安全外包 监控响应审计管理管理管理安全运维物理安全 。机房安全。视频监控安全基础安全服务与架构基础架构安全应用安全数据安全身份与访问安全 。网络安全。开发生命周期。数据生命周期。身份验证 。主机安全安全管理。访问管理 。终端安全。业务流程安全。数据泄露保护。身份生命周期。Web应用安全。数据加密管理。应用开发环境。数据归档、。灾难恢复安全精品课件8安全治理、风险管理与合规安全治理、风险管理与合规是企业安全框架的最顶层,是业务驱动安全的出发点通过对企业业务和运营风险的评估,确定其战略和治理框架,风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系信息安全治理不同于信息安全管理,是在宏观层面的战略角度上,对信息安全战略上的过程、结构与联系进行梳理与监控,以确保组织信息系统的安全运营管理能够沿着正确方向演进战略与治理框架•为组织的信息安全定义战略 框架•指明具体安全管理工作的目 标和职责范围•安全意识培养–宣传教育风险管理•对象确立•风险评估•风险处理•审核批准•监控审查•沟通咨询合规与策略遵从•加强对规范策略了解•确立企业需要合规的具体内 容和实现方式•合规性建设,从管理与技术 面落实规范与策略要求•合规性审计,提供综合性评 述精品课件9相关标准规范:ISO27002与ISMS信息安全管理体系ISMS信息安全管理体系框架ISO27002是一个完整的信息安全控制模型,包含了11个主题,可以为企业带来:受业界广泛认同的方法论按业界最佳实践方针开展信息安全评估、实施、维护和管理为定义策略、标准、流程提供框架指南精品课件10信息安全运维安全事件监控 安全事件收集 安全事件归并过滤 安全事件标准化 安全事件关联分析 安全事件显示安全事件响应记录日志分析确认事件处理系统恢复 事后分析与跟踪安全事件审计 全面的日志采集 审计记录的 规范化工作 基于策略的日志过滤 本地与网络 结合的审计体系 多维关系分析工作 符合法案的 内控报表