2014年6月19日企业信息安全体系建设交流讨论材料第二部分目录第一部分企业面临的信息安全环境企业信息安全的体系架构第三部分企业信息安全体系的建设第四部分企业信息安全管理的实践23超级互联的商业世界与极其复杂的IT环境超级互联的商业世界:激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中,且可供访问。这就创造了一个极其复杂的IT环境—可能的攻击点几乎是无限的高级持续性的安全威胁:最有经验的对手现在正带来高级持续性威胁,他们通过密切的关注的坚持不懈来获取敏感业务信息的访问权限。这些攻击利用尖端的方法,可持续无限长的时间且具有专门的目标传统IT防御的有效性:如今,愈加多样的威胁侵蚀着传统IT防御(比如防火墙和防病毒软件)的有效性,甚至在许多情况下完全避开了这些控制企业面临的安全挑战:所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力:攻击面扩大攻击模式扩散且手法熟练威胁和解决方案异常复杂*根据思科2014年安全报告,IBM安全报告4业务业务IT支撑IT支撑客户企业IT技术客户企业IT技术传统业务模式新业务模式传统的企业运作模式信息安全仅作为后台数据的保障基本与业务无关的信息安全需求新的安全考虑安全是一个企业整体需求风险评估和企业连续战略都是今天董事会上讨论的话题企业对受过安全培训的人员需求越来越高业务模式的变革增加了企业信息安全的压力新的企业运作模式因客户和IT直接连线导致IT和业务流程的汇合安全不是单独的解决方案5企业的信息安全需求来自以下方面:法律法规与合同条约的要求组织原则目标和规定风险评估的结果风险评估是信息安全管理的基础企业的信息安全需求与风险管理视角安全策略SecurityPolicy保护Protect应急计划EmergencyPlan转移Mitigate风险分析RiskAnalysis预防Prevent从业务出发才能了解企业的风险关注安全遵守才能降低企业的风险残余风险ResidualRisk接受Risk第二部分目录第一部分企业面临的信息安全环境企业信息安全的基本框架第三部分企业信息安全体系的建设第四部分企业信息安全新领域挑战67企业信息安全框架的基本层面战略和治理框架合规和策略遵从安全治理、风险管理与合规风险管理框架安全运维视角:企业信息安全需要从全方位的视角去管理,而不是通过单一系统或程序来实现框架:合适的信息安全框架有利于指导安全体系的建设层次:从体系框架的角度,分为三层:安全治理、风险管理与合规安全运维基础安全服务与架构安全事件安全事件安全事件安全策略安全绩效安全外包监控响应审计管理管理管理安全运维物理安全。机房安全。视频监控安全基础安全服务与架构基础架构安全应用安全数据安全身份与访问安全。网络安全。开发生命周期。数据生命周期。身份验证。主机安全安全管理。访问管理。终端安全。业务流程安全。数据泄露保护。身份生命周期。Web应用安全。数据加密管理。应用开发环境。数据归档、。灾难恢复安全8安全治理、风险管理与合规安全治理、风险管理与合规是企业安全框架的最顶层,是业务驱动安全的出发点通过对企业业务和运营风险的评估,确定其战略和治理框架,风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系信息安全治理不同于信息安全管理,是在宏观层面的战略角度上,对信息安全战略上的过程、结构与联系进行梳理与监控,以确保组织信息系统的安全运营管理能够沿着正确方向演进战略与治理框架•为组织的信息安全定义战略框架•指明具体安全管理工作的目标和职责范围•安全意识培养–宣传教育风险管理•对象确立•风险评估•风险处理•审核批准•监控审查•沟通咨询合规与策略遵从•加强对规范策略了解•确立企业需要合规的具体内容和实现方式•合规性建设,从管理与技术面落实规范与策略要求•合规性审计,提供综合性评述9相关标准规范:ISO27002与ISMS信息安全管理体系ISMS信息安全管理体系框架ISO27002是一个完整的信息安全控制模型,包含了11个主题,可以为企业带来:受业界广泛认同的方法论按业界最佳实践方针开展信息安...
