如何实现企业信息安全管理与业务流程的融合和实施(编辑修改稿)内容摘要:
缺乏持续改进机制等 企业的信息安全风险分布区域,忽略信息安全的危害 风险分布及危害 案例 19家企业信息安全问题总结: 信息化基础设施建设水平差,缺乏基本的安全保障 仅有 21%的企业信息化组织结构和基础设施的建设较好;有 79%的企业信息化组织结构和职责不明确,信息化制度缺失或制度不完善;机房简陋,在防尘、防火、防水、温湿度、电力等方面不符合要求,个别企业没有建立机房;网络系统为二层结构,没有部署防火墙等安全设备; 风险分布及危害 风险分布及危害 风险分布及危害 案例 有 89%的企业在信息安全管理和技术上存在较严重的安全隐患 网络架构不合理,没有划分安全区域,没有部署防火墙等安全设备 员工信息安全意识薄弱,没有及时有效查杀病毒,病毒和木马感染事件频发 重要计算机存在弱口令甚至没有设置登录口令 重要应用系统和服务器存在较严重的安全漏洞,易遭到攻击或信息泄露 重要技术机密文件没有被有效保护,个别企业已经发生过技术机密信息泄露事件,造成了损失 风险分布及危害 风险分布 分布在信息生命周期的各个环节,即业务过程中: 组织安全 人员安全 基础环境安全 设施的安全(通信线路、网络设备、主机设备、存储等) 应用安全(系统软件、应用软件) 访问控制 备份及业务连续性 风险分布及危害 危害 企业有哪些重要信息 知识产权; 技术秘密; 重要的合同; 客户资料; 软件产品的源代码; 财务数据; 内部文件等 危害 侵权; 重要信息泄密; 经济损失; 业务中断; 企业倒闭 基于 ISO27001的信息安全风险的认识与评估流程:资产、风险因素、风险评价、风险控制和处理 风险认识及评估 基于 ISO 27001信息安全风险的认识 “组织应根据整体业务活动和风险,建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系” “考虑业务和法律法规的要求,及合同中的安全义务” “选择适当和相宜的安全控制措施” 制定风险评估准则和接受准则。阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。