培训课件-第四天-等保 27001.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * 某大型通信企业等级化安全体系咨询项目 * * * * 安全工作总体思路： 根据一般工作的思路，信息安全同样延用了目标管理，系统框架管理等相关的管理思路。我们的信息安全工作首先要确定信息安全发展的方向，确保我们的发展方向和发展轨道与公司业务发展方向保持一致，形成信息安全目标和信息安全工作使命。根据信息安全工作目标和使命，我们致力于建立一套完善、准确以及适用公司的信息安全框架和体系，确保公司的信息安全能够持续稳定地运行下去，持续确保业务的稳定发展。根据公司目前的安全现状，结合体系中的相关要求，我们会选择关键的举措和重点工作，逐步实现信息安全体系化的建设过程，并在体系的建设和发展过程中实现安全运营和持续改进。因此我们可以把信息安全总体思路汇集成三个主要步骤： 1、首先确定我们的方向； 2、然后根据方向确定我们的信息安全工作做什么？做成什么样子？ 3、最后根据公司现状和需求判断我们怎么样做。 * * * * * * 公司安全体系是建立一个持续改进的安全保障过程体系，构成著名的戴明环（PDCA=PLAN，计划；Do实施；Check检查；Action反馈） P：计划， 1、各保护对象的 安全目标要求 减去 安全现状，就是其安全需求，也是各安全项目建设及运行维护保障计划的目标 D：实施 实施主要包括： 1、安全项目的建设 2、安全维护作业 3、可控安全环境：将公司的安全风险设置在可控的环境下，安全风险不可能完全消除，但是我们要知道安全风险在哪里？是哪些？以及我们是否可以承担？ 这样的环境，就是我们要实现的可控环境，在2004年评估时，发现公司没有一个人能够知道公司所有的资产状况及风险状况，这里我们通过开发的安全管理平台系统中的资产管理（2004年项目）；风险管理（本次项目）；安全事件管理（本次项目）三个模块；同时需要公司各部门安全管理员和系统管理员作如下工作： 1、安全管理员及时更新资产的各种信息，如：补丁；服务端口；网络拓扑 2、对安全事件及时通报 3、及时安全加固及汇报 4、实施了安全项目及各安全措施后，更新安全规划和安全目标要求的差距 5、其他 Check：检查 我们知道了安全目标，设计了安全计划，并且实施了！但是实施得好坏是多少哪？需要检查，核实 检查包括： 1、日常安全检查，公司各项安全工作，日常随时检查及抽查 2、周期性安全评估，是公司重要的安全检查工作，主要针对Do（实施）工作内容及结果的检查 主要有：1、检查各保护对象安全目标要求的完成情况 2、对公司全局资产状况及安全风险作评估，及时获知安全风险 3、对公司可视的可控安全环境是否与实际符合，进行检查 A：反馈 对Check检查发现的结果，需要作如下反馈 1、检查出安全目标要求和现状的差距的变化，以此判断是否要调整安全目标要求，实现持续性目标改进 2、根据安全风险结果及目标变化，重新规划公司安全 3、根据检查结果，得出各部门、各安全管理员安全工作落实情况是否与其在系统中一致，据此判断其安全工作绩效。以此建立客观公正的安全绩效考核机制 * 体系中一个通过软件实现的特点，我们可以根据系统安全目标和安全现状之间的差距判断安全需求，确定安全管理和建设工作。 * * * * * * * * * * * * * * * * * * * * * * * 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 * * * * * * * * 在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的必威体育官网网址性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到