企業(yè)信息安全風險分析與控制研究研究報告

企業(yè)信息安全

風險分析與控制研究工商管理王欣欣目錄洞析企業(yè)信息安全企業(yè)信息安全風險分析企業(yè)信息安全風險控制一、洞析企業(yè)信息安全1、企業(yè)信息安全：防止信息財產被故意的或偶然的非授權泄漏、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。

3、企業(yè)信息系統(tǒng)安全發(fā)展歷程通信安全階段信息安全階段信息保障階段4、信息安全國際標準信息安全管理標準信息和通信技術安全管理（ISO/IEC）澳新風險管理標準（AS/NZS4360）信息安全管理體系（ISO/IEC27001）信息安全管理實施細則（ISO/IEC27002）信息安全產品標準美國可信計算機安全評價標準（TCSEC）國際通用準則（CC）二、企業(yè)信息安全風險分析1、信息安全風險分類

管理：信息安全組織不完善

來自人員的威脅

政策、措施的不完善

技術：物理上面對的威脅 系統(tǒng)面臨的威脅 應用面臨的威脅 數據面臨的威脅2、企業(yè)信息安全風險需求上市公司監(jiān)管：sox法案行業(yè)規(guī)范：銀監(jiān)會風險管理指引，電子銀行PCI等政府機構：公安部等級保護第二方審計：ISAS70/CobiT/PC證書要求：ISO27001/ISO20000研發(fā)、知識產權和客戶資料保護的要求業(yè)務連續(xù)的要求企業(yè)發(fā)展戰(zhàn)略對IT內控的要求企業(yè)信譽和形象的要求合規(guī)要求

客戶要求自身需求客戶/合作伙伴行業(yè)大環(huán)境企業(yè)自身環(huán)境三、企業(yè)信息安全風險控制1、企業(yè)制定信息安全框架

安全原則：描述信息安全的業(yè)務需求價值安全政策：描述信息安全的目的、方向、愿景及責任安全標準：信息安全實施規(guī)則安全流程：于跨部門實施政策標準的活動、工作及程序安全作業(yè)指南：描述個人在流程上的詳細工作安全架構：信息安全技術如何結合的細節(jié)安全產品：信息安全解決方案所選的產品及工具2、企業(yè)信息安全建設思路由面到點提升層次由點到面在體系框架內，將控制深入到與業(yè)務結合更緊密的IT領域基礎設施安全控制IT安全運行和維護業(yè)務連續(xù)性管理信息安全管理體系軟件開發(fā)安全控制信息企業(yè)安全治理框架由點到面將基本控制做到全面、系統(tǒng)和完整，形成風險驅動的體系最終上升到直接的業(yè)務層面，形成信息安全戰(zhàn)略3、管理控制組織安全信息安全決策層信息安全管理層信息安全操作層信息安全審計業(yè)務安全需求信息安全風險人員安全人員來源的保證人員職責的明確法規(guī)約束安全培訓人員本身的安全安全政策4、技術控制防護技術人員認證體系網絡認證體系防火墻體系應用網關開發(fā)工程過程VLAN病毒