信息安全技術與管理的有效融合

信息安全技術與管理的有效融合Trendsetting北京趨勢引領信息咨詢有限公司

2009.10

如何面對信息安全問題1

全面構建信息安全體系2技術與管理的平衡和有效融合3

4

信息安全管理實踐議程案例及數(shù)據(jù)分享管理實踐有效融合體系構建面對問題案例分享數(shù)據(jù)統(tǒng)計據(jù)Gartner調查顯示，超過85%的安全威脅來自組織內(nèi)部，而其中通過即時通信、電子郵件泄露的電子數(shù)據(jù)信息損失占到30%-40%。在Fortune排名前100家的公司中，每次電子數(shù)據(jù)泄漏的平均損失是50萬美元。其中一部分來自于企業(yè)內(nèi)部人員與外部人員相勾結，另一部分則是別有用心的組織通過技術手段進行信息竊取。

2009年，IDC和EMC的安全子公司RSA聯(lián)手對大約400位企業(yè)主管級官員進行了調查。調查結果顯示，這400人在過去的12個月中碰到了大約5.8萬起內(nèi)部信息安全事件，也就是說平均每個企業(yè)每年將發(fā)生近150起內(nèi)部信息安全事故。如何解決問題？部署網(wǎng)絡/主機入侵檢測系統(tǒng)？部署終端安全系統(tǒng)？部署SOC？部署加密系統(tǒng)？實施ISMS？執(zhí)行信息系統(tǒng)審計？簽署保密協(xié)議？ 技術手段管理措施管理實踐有效融合體系構建面對問題如何面對信息安全問題？事件、故障發(fā)生以后再采取相應的技術或管理補救措施不注重系統(tǒng)的架構和規(guī)劃被動型企業(yè)（事件導向）強調信息安全管理的重要性具有完整的安全管理組織，明確的職責劃分完善的安全策略、標準和流程部署了基本安全系統(tǒng)和工具管理型企業(yè)（管理導向）強調信息安全管理和技術的平衡集成且統(tǒng)一的安全管理體系和技術架構強健有力的信息安全組織保障以風險為導向的控制和管理預防為主、防治結合、內(nèi)外兼修成熟型企業(yè)（風險導向）強調并依賴信息安全技術擁有眾多技術專家，并對安全組織進行了詳細的技術領域劃分制定了基本的安全策略、標準和流程部署各種先進的安全系統(tǒng)和工具技術型企業(yè)（技術導向）安全技術安全管理管理實踐有效融合體系構建面對問題全面構建信息安全體系技術架構定義信息安全技術架構設計原則分析信息安全技術功能需求定義信息安全技術功能組件劃分安全區(qū)域設計信息安全技術架構信息安全技術系統(tǒng)部署管理體系制定明確的信息安全戰(zhàn)略和方針識別信息資產(chǎn)和關鍵業(yè)務應用執(zhí)行風險評估和進行風險管理制定信息安全策略、制度、流程及標準信息安全意識培訓和策略宣貫執(zhí)行監(jiān)督和持續(xù)改進管理實踐有效融合體系構建面對問題信息安全體系規(guī)劃原則信息安全體系規(guī)劃原則：——關注組織目標和合規(guī)風險——采用分階段的建設方式，從重點問題著手——借鑒國際先進經(jīng)驗、依據(jù)國際標準及業(yè)界最佳實踐——在確保安全性的前提下需注重實際可操作性和效率——以風險管理為基礎，預防為主，防治結合——結合企業(yè)的戰(zhàn)略和企業(yè)文化關鍵因素：一個有效的信息安全體系應該是管理和技術的平衡和有效融合。管理實踐有效融合體系構建面對問題技術與管理的平衡如何決策？技術管理決定因素?ISMS、風險管理、IS審計。。。IPS、UTM、SSO、SOC。。。人員的意識、組織的執(zhí)行力、成本效益分析管理實踐有效融合體系構建面對問題技術與管理如何有效融合？管理實踐有效融合體系構建面對問題組織目標管理先行，帶動技術需求以規(guī)范的管理為技術的實施提供保障管理關注全局，技術聚焦重點溝通管理的過程的控制須充分考慮技術手段管理作為技術的有益補充，技術成為管理的可靠保障管理清晰，技術透明理解基于ISO27001的信息安全管理體系架構A15合規(guī)性相關方要求實施(D)策劃(P)改進(A)檢查(C)相關方滿意A14業(yè)務連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運營管理A12信息系統(tǒng)獲取、開發(fā)及維護人員技術信息流程環(huán)境注：11控制域，39控制目標，133控制措施管理實踐有效融合體系構建面對問題信息安全管理實踐管理實踐有效融合體系構建面對問題業(yè)務目標合規(guī)要求企業(yè)治理IT治理ISO27001最佳實踐標準驅動COBIT/ISO38500COSO/企業(yè)內(nèi)部控制基本規(guī)范ISO9001ISO20000ISAudit/ISAC