企業(yè)信息安全風(fēng)險分析與控制研究研究報告

企業(yè)信息安全

風(fēng)險分析與控制研究工商管理王欣欣目錄洞析企業(yè)信息安全企業(yè)信息安全風(fēng)險分析企業(yè)信息安全風(fēng)險控制一、洞析企業(yè)信息安全1、企業(yè)信息安全：防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄漏、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。

3、企業(yè)信息系統(tǒng)安全發(fā)展歷程通信安全階段信息安全階段信息保障階段4、信息安全國際標準信息安全管理標準信息和通信技術(shù)安全管理（ISO/IEC）澳新風(fēng)險管理標準（AS/NZS4360）信息安全管理體系（ISO/IEC27001）信息安全管理實施細則（ISO/IEC27002）信息安全產(chǎn)品標準美國可信計算機安全評價標準（TCSEC）國際通用準則（CC）二、企業(yè)信息安全風(fēng)險分析1、信息安全風(fēng)險分類

管理：信息安全組織不完善

來自人員的威脅

政策、措施的不完善

技術(shù)：物理上面對的威脅 系統(tǒng)面臨的威脅 應(yīng)用面臨的威脅 數(shù)據(jù)面臨的威脅2、企業(yè)信息安全風(fēng)險需求上市公司監(jiān)管：sox法案行業(yè)規(guī)范：銀監(jiān)會風(fēng)險管理指引，電子銀行PCI等政府機構(gòu)：公安部等級保護第二方審計：ISAS70/CobiT/PC證書要求：ISO27001/ISO20000研發(fā)、知識產(chǎn)權(quán)和客戶資料保護的要求業(yè)務(wù)連續(xù)的要求企業(yè)發(fā)展戰(zhàn)略對IT內(nèi)控的要求企業(yè)信譽和形象的要求合規(guī)要求

客戶要求自身需求客戶/合作伙伴行業(yè)大環(huán)境企業(yè)自身環(huán)境三、企業(yè)信息安全風(fēng)險控制1、企業(yè)制定信息安全框架

安全原則：描述信息安全的業(yè)務(wù)需求價值安全政策：描述信息安全的目的、方向、愿景及責任安全標準：信息安全實施規(guī)則安全流程：于跨部門實施政策標準的活動、工作及程序安全作業(yè)指南：描述個人在流程上的詳細工作安全架構(gòu)：信息安全技術(shù)如何結(jié)合的細節(jié)安全產(chǎn)品：信息安全解決方案所選的產(chǎn)品及工具2、企業(yè)信息安全建設(shè)思路由面到點提升層次由點到面在體系框架內(nèi)，將控制深入到與業(yè)務(wù)結(jié)合更緊密的IT領(lǐng)域基礎(chǔ)設(shè)施安全控制IT安全運行和維護業(yè)務(wù)連續(xù)性管理信息安全管理體系軟件開發(fā)安全控制信息企業(yè)安全治理框架由點到面將基本控制做到全面、系統(tǒng)和完整，形成風(fēng)險驅(qū)動的體系最終上升到直接的業(yè)務(wù)層面，形成信息安全戰(zhàn)略3、管理控制組織安全信息安全決策層信息安全管理層信息安全操作層信息安全審計業(yè)務(wù)安全需求信息安全風(fēng)險人員安全人員來源的保證人員職責的明確法規(guī)約束安全培訓(xùn)人員本身的安全安全政策4、技術(shù)控制防護技術(shù)人員認證體系網(wǎng)絡(luò)認證體系防火墻體系應(yīng)用網(wǎng)關(guān)開發(fā)工程過程VLAN病毒