,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,SAP 2007/Page,*,单击此处编辑母版标题样式,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,SAP 2007/Page,*,Click to edit Master title style,信息平安体系,咨询效劳介绍,2021年2月,概述,第一局部 公司介绍,第二局部 信息平安的标准和模型,第三局部 工程实施过程,第四局部 成功案例,公司介绍,公司简介,上讯信息成立于 2001 年，注册资金 2150 万元，拥有系统集成三级资质和平安效劳一级资质，公司以广为推崇的国际标准、最正确实践ISO20000、ISO27001、ISO15408、COBIT等为蓝本，为中国广阔的行业用户提供的网络平安、信息平安的全面解决方案及咨询效劳，并向客户提供全面平安解决方案中所需的各项平安工具及管理决策平台，并在平安咨询效劳中提供全面的教育培训以及卓越的售后效劳。,平安咨询业务体系,业务体系,Security Consulting,信息安全顾问咨询,Security Cetificate,信息安全资质认证,Security Management,信息安全服务管理,Security Implementation,信息安全产品集成,Security Education,信息安全培训教育,公司人员队伍,BS7799LA ISO 27001 LA,ISO20000LA,CISP CISA BS25999IM,CCNP CCIE OCP及众多厂商认证持有者,国家CNCERT中国网络平安应急响应小组网络协作成员；,公司多名员工曾参加过国家863工程S219网络平安工程。,X-cert紧急响应小组,概述,第一局部 公司介绍,第二局部 信息平安的标准和模型,第三局部 工程实施过程,第四局部 成功案例,信息平安概念,ISO27000系列,开展背景,信息平安概念,问题的提出？,信息平安管理，究竟管什么?,信息平安管理如何管？,如何改变头痛医头 脚痛医脚？,是否有成熟的信息平安管理模型可以借鉴?,我要怎么样去规划组织信息平安建设?,信息平安的CIA目标,保护信息的保密性、完整性和可用性,ISO27002,Confidentiality,Integrity,Availability,Information,信息平安概念,我们对信息平安的认识只停留在技术和产品上，是只见树木不见森林，只治标不治本。其实，信息平安成败，三分靠技术，七分靠管理，技术一般但管理良好的系统远比技术高超但管理混乱的系统平安,信息平安必须从整体去考虑，必须做到“有方案有目标、发现问题、分析问题、采取措施解决问题、后续监督防止再现这样的全程管理的路子，而整个的过程，必须有一套完整的文件体系来控制和指引这就是信息平安管理体系，应该成为组织整体管理体系的一局部,ISO27001,系列,ISO27001,系列,信息平安管理体系,ISO27002,控制集,11大平安领域，39项控制目标，133项控制措施,符合性,（,Compliance,）,业务连续性管理,（,Business continuity management,）,信息安全事件管理,（,Information security incident management,）,访问控制,（,Access control,）,人力资源安全,（,Human resourcessecurity,）,物理和环境安全,（,Physical andenvironmentalsecurity,）,通信和操作安全,（,Communicationsand operations,Management,）,信息系统获取,开发和维护,（,Information systemacquisition,developmentand maintenance,）,资产管理,（,Asset management,）,信息安全组织,（,Organizing information security,）,安全策略,（,Security Policy,）,ISO27001,系列,ISO27002,（,ISO17799,）,ISO27001,Code of Practice,作业规范,Requirement,认证要求,包含经过实证的信息安全程序和信息安全措施的综合列表,包含对,ISMS,的要求，构成,PDCA,循环（条款,4-8,中叙述）,涵盖,11,个领域,包含,11,个,安全领域,，,39,个,控制目标,，构成,133,个,控制措施,（附录,A,中叙述）,可作为了解,ISO/IEC27001,中要求的基础,着重于,预防性,而非,纠正性,措施,不适合作为认证的判定标准,适用于,ISMS,体系认证的判定标准,ISO27002-基于风险分析的平安管理方法,信息平安管理是指导和控制组织的关于信息平安风险的相互协调的活动。,制定信息平安策略方针,风险评估和管理,控制目标和方式选择,风险控制和处理,平安保证,信息平安策略方针为信息平安管理提供导向和支持。,控制目标与控制方式的选择应该建立在风险评估的根底上。,考虑控制本钱与风险平衡的原那么，将风险降低到组织可接受的水平。,需要全员参与。,遵循管理的PDCA模型。,ISO27001,系列,ISO27005以风险为核心的平安模型,风险,安全措施,信息资产,威胁,漏洞,安全需求,降低,增加,增加,利用,暴露,价值,拥有,抗击,增加,引出,被满足,ISO27001,系列,ISO27001,系列,信息平安管理模型,ISO27001,系列,管理体系核心,持续改进,建立ISMS,实施与运作ISMS,监视与评审ISMS,保持与改进ISMS,ISO27001,系列,根据 ISO/IEC 27001 实施 ISMS并 进行认证，,充分证明您的组织风险已得到正确的识别、评估和管理，同时使信息平安流程、程序和文档得到正式化,证明您在信息维护、信息平安管理方面所作的承诺,定期评估过程有助于您持续监控您的绩效与改进,证明您可以独立保证内部控制，同时符合公司治理和业务连续性要求,充分证明您遵守适用的法律法规,通过符合合同要求，并向客户证明它们的信息平安是您的头等大事，从而带来竞争优势,建制,ISMS,的收益,开展背景,国家,地区,证书数目,UK,405,日本,3378,大陆,250,台湾,344,印度,483,美国,95,全球,6037,截止,09,年,12,月,ISO27001,证书数目统计：,开展背景,ISO27001 IN CHINA:大陆2502021.12,银行业：交通银行,大连银行信息科技部,上海银行信息科技部,建设银行山东省分行,光大银行信息卡中心,.,更多行业企业已进行体系建设工作。,概述,第一局部 公司介绍,第二局部 信息平安的标准和模型,第三局部 工程实施过程,第四局部 成功案例,整体概述,建制实施工作,整体概述,信息平安三分技术七分管理，有效的信息平安管理体系是全面提升企业信息平安管理水平的治本之道。上讯信息在信息平安管理体系PDCA循环整个生命周期为客户提供全方位的咨询效劳，确保客户建置符合业务需求的信息平安管理体系并顺利合规，获得ISO27001证书。,差距分析,风险评估,技术风险处置,文档化体系建制,落地实施指导,内审支持,认证审核支持,持续改进 体系优化,整体概述,多级,培训,团队建设,建制实施工作,风,险,管,理,风险评估,风险分析,参考ISO/IEC27001:2005 4.2.1aj,建制实施工作,识别风险,监控风险,处置风险,提升平安,建制实施工作,识别并评价资产,识别并评估威胁,识别并评估弱点,现有控制确认,评估风险（测量与等级划分）,接受,保持现有控制,选择控制目标和控制方式,制定,/修订适用性声明,实施选定的控制,Yes,No,确认并评估残留风险,定期评估,风险评估,风险消减,风险接受,风险管理,建制实施工作,参照国际风险评估平安要素提取惯例和标准，调查分析用户的已有策略，从管理、制度、落实情况、物理平安、人员平安、第三方平安等等各方面来评估分析。调查业务流程，并对信息资产进行赋值和等级划分；结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行平安性评估，最终完成信息平安风险报告。具体内容包括：,策略制度调查分析 平安需求分析,资产调查分析 业务流程分析,网络架构分析 工具扫描分析,人工评估分析 数据库平安审计,渗透测试 分析 平安等级划分,风险评估量化方法,脆弱级别,严重,风险系数,3,普通,风险系数,2,一般,风险系数,1,被利用的可能性,完全可能风险系数,3,几乎不可能,风险系数,2,不可能,风险系数,1,信息资产的价值,非常重要风险系数,3,一般重要,风险系数,2,不重要,风险系数,1,如上所示通过简单的定义，我们就能精确的量化风险值。,Risk=Asset x Threat x Vulnerability,风险值,=,资产价值,X,威胁的可能性,X,资产脆弱级别,建制实施工作,建制实施工作,风险,RISK,RISK,RISK,RISK,风险,根本的风险,采取措施后剩余的风险,资产,威胁,漏洞,资产,威胁,漏洞,风险控制措施,?-,分层式风险消除,管理层,操作层,物理层,应用层,系统层,数据层,网络层,防静电、防雷击、灾难备份、冗余,身份认证、权限控制等,管理标准、技术标准、平安策略等,应用系统、业务系统、数据库、效劳,主机操作系统WinLinuxUnix,数据备份、数据存储、数据加密等,网络传输协议、,网络设备、,VPN,等,建制实施工作,概述,第一局部 公司介绍,第二局部 信息平安的标准和模型,第三局部 工程实施过程,第四局部 成功案例,成功案例,成功案例,成功案例,深圳供电局 ISO27001认证咨询工程,覆盖深圳供电局信息部门 包括负责其大局部开发、运维效劳的康拓普公司相关人员、流程,建置符合ISO27001标准的信息平安管理体系，并与ISO20000IT效劳管理体系进行整合，标准化日常管理流程，完善技术控制实施方案，搭建内控内审机制并与绩效考评相整合。,最终顺利通过BSI认证 取得ISO27001ISO20000证书。,成功案例,云南电网信息平安管理咨询工程,工程涉及云南电网信息通信网络全部,从平安体系的高度出发，从政策、制度、管理、技术的不同层次和网络、效劳器、PC、应用系统、备份系统、邮件系统等方面来对其信息平安进行全面评估和规划,工程建立起符合等级保护要求的主机、终端、应用与网络的平安技术基线,工程建立起云南电网信息平安管理体系，并编写其相应管理制度与标准,工程针对云南电网的未来信息平安工作提供五年的信息平安规划,成功案例,国家开发银行 信息平安合规审计、体系实施工程,覆盖总行主要业务部门和职能部门以及所辖分行所拥有的信息资产，不含控股子公司相关信息资产。,覆盖用于信贷业务、资金交易、会计核算的业务生产类系统;用于企业绩效、经营分析、风险管理的管理分析类系统;用于财务、采购、资产、人力资源、协同办公的业务支持类系统;以及其它相关辅助系统。,基于ISO27001的平安管理审计、基于等保的平安技术审计、建立信息平安内部审计机制，完善信息平安管理体系。,选择上讯,Thank you,Thank You!,