信息系统安全集成确定安全需求与目标概述.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现代社会组织定义 在现代社会生活中.组织是人们按照一定的目的、任务和形式 编制起来的社会集团。组织是体现一定社会关系、具有一定结 构形式并且不断从外部汲取资源以实现其目标的集合体。
5
一、概述
1.组织与信息安全需求
组织安全需求--组织需要保护什么?
信息安全的需求,是由于本身或类似组织经历了信息损失之后 才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织 业务并符合法律法规、安全监管要求、合同业务要求等,提出 复合组织的基于风险管理的安全需求。 组织应该将信息安全集成到业务运作的每一个层面。
12
二、组织IT战略与安全需求
1.组织IT战略 组织战略
组织战略是指组织对有关全局性,长远性,纲领性目标 的谋划和决策.
13
二、组织IT战略与安全需求
1.组织IT战略
组织战略
组织战略是表明组织如何达到目标,完成使命的整体谋划,是 提出详细行动计划的起点,但它又凌驾于任何特定计划的各种 细节之上. 战略反映了管理者对于行动,环境和业绩之间关键联系的理解, 用以确保已确定的使命,愿景,价值观的实现。
8
一、概述
1.组织与信息安全需求
组织安全需求分析的方法—风险评估法
安全需求分析的方法:
✓资产清册
✓风险评估
✓确定风险
✓形成需求
9
一、概述
2.组织安全风险 安全威胁--引入相关数据图表介绍
组织正在遭受越来越多的安全威胁和攻击破坏。 由于组织越来越依靠信息资源,安全事件不断增长,而安全事 件造成的损失以及用于事件处理的财力、人力以及IT资源的投 入需要不断增长。
6
一、概述
1.组织与信息安全需求
组织安全需求分析的层次
需求分析的层次: ✓目标性需求,定义了整个系统需要达到的目标; ✓功能性需求,定义了整个系统必须完成的任务; ✓操作性需求,定义了完成每个任务的具体的人机交互.
7
一、概述
1.组织与信息安全需求
组织安全需求挖掘的方法
挖掘需求的方法: ✓分析特定客户的业务流程和模型; ✓与特定客户进行讨论与交流(或联合成立需求组),包括:需求 讨论会,与专家或代表讨论. ✓通过调查获取需求,常见需求调查方式有:与用户交谈,向 用户提问题等.
安全风险评估的目的在于定义核心信息资产,并且分析应用环境 中可能存在的风险。 安全风险评估是定义安全需求、选择相应对策以及设计安全系统 的基础。
22
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
安全风险的评估
简易风险评估模型: 从风险性质上,风险=威胁+弱点+影响 考虑风险的影线,风险=威胁*弱点*影响
一、概述
1.组织与信息安全需求
组织概述
从广义上说,组织是指由诸多要素按照一定方式相互联系起来 的系统。 从狭义上说,组织就是指人们为实现一定的目标,互相协作结 合而成的集体或团体,如党团组织、工会组织、企业、军事组 织等等。狭义的组织专门指人群而言,运用于社会管理之中。
4
一、概述
1.组织与信息安全需求 组织概述
信息系统安全集成 确定安全需求与目标
1
本章摘要
摘要
本章从组织IT战略出发,根据业务特征、法 律法规及合同要求,在充分考虑风险的基 础上,确定组织的安全需求和目标,形成 各方认可的安全需求文件 。
2
主要内容
一、概述 二、组织IT战略与安全需求 三、组织业务与安全需求 四、符合性的安全需求 五、基于风险的安全要求 六、确定组织的安全需求 七、确定信息安全目标
14
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略
IT战略即信息技术战略(ITStrategy)是组织经营战略的有机组 成部分,和财务战略、人力资源战略、运作战略等一样,是公司 的职能战略。 IT战是关于企业信息技术职能的目标及其实现的总体谋划。 对于大的组织公司而言,子公司或大的业务单元也会有其相对独 立的信息技术战略。
16
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略的要点
战略要点:是实现上述中长期目标的途径或路线。 组织IT战略的规划主要围绕信息技术内涵的四个方面展开: ✓硬件与组建 ✓网络与通信 ✓应用与数据 ✓组织与人员
17
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 组织信息资产 要进行信息安全建设,首先明确安全保护的对象---组 织信息资产。
20
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
组织信息资产
在以业务为核心的组织内部,信息资产包括: ✓业务应用软件 ✓IT基础设施(硬件、组件、网络通讯等) ✓相关的数据和信息 ✓关键业务流程和人员 ✓其他信息资产。
21
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 安全风险的评估
15
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略的部分组成
使命(Mission):阐述信息技术存在的理由、目的以及在企业 中的作用。 远景目标(Vision):信息技术的发展方向和结果。 中长期目标(MediumtoLong-termObjectives):远景目标的 具体化,即企业未来2~3年信息技术发展的具体目标。
10
一、概述
2.组织安全风险 组织的风险
风险是指一个事件产生我们所不希望的后果可能性。 组织的风险是指组织未来发生损失的不确定性。这些安全风险 主要包括了业务的连续性、业务流程安全、法律安全要求、合 同安全、隐私保护要求等。
11
一、概述
3.组织信息安全目标
信息安全的目标
根据国际信息安全管理标准的描述,信息安全的目标是“通过防 止和减小安全事故的影响,保证业务连续性,使业务损失最小 化。” 需要进行IT规划和费用调整以保证适当的安全投入,部署有效的 工具,来解决紧迫的安全问题,实现组织的安全目标。
18
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
组织信息资产
明确安全保护的对象,即Leabharlann Baidu确组织信息资产。
✓分析业务流程 ✓识别关键的业务资产 ✓确定业务资产的安全所有人和责任人 ✓明确安全保护责任
19
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 组织信息资产
建立组织信息资产目录并进行维护,帮助组织实施有效的信息资 产安全保护,实现业务连续性和灾难恢复。 在信息资产目录中应该定义资产的安全等级和安全责任人。
5
一、概述
1.组织与信息安全需求
组织安全需求--组织需要保护什么?
信息安全的需求,是由于本身或类似组织经历了信息损失之后 才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织 业务并符合法律法规、安全监管要求、合同业务要求等,提出 复合组织的基于风险管理的安全需求。 组织应该将信息安全集成到业务运作的每一个层面。
12
二、组织IT战略与安全需求
1.组织IT战略 组织战略
组织战略是指组织对有关全局性,长远性,纲领性目标 的谋划和决策.
13
二、组织IT战略与安全需求
1.组织IT战略
组织战略
组织战略是表明组织如何达到目标,完成使命的整体谋划,是 提出详细行动计划的起点,但它又凌驾于任何特定计划的各种 细节之上. 战略反映了管理者对于行动,环境和业绩之间关键联系的理解, 用以确保已确定的使命,愿景,价值观的实现。
8
一、概述
1.组织与信息安全需求
组织安全需求分析的方法—风险评估法
安全需求分析的方法:
✓资产清册
✓风险评估
✓确定风险
✓形成需求
9
一、概述
2.组织安全风险 安全威胁--引入相关数据图表介绍
组织正在遭受越来越多的安全威胁和攻击破坏。 由于组织越来越依靠信息资源,安全事件不断增长,而安全事 件造成的损失以及用于事件处理的财力、人力以及IT资源的投 入需要不断增长。
6
一、概述
1.组织与信息安全需求
组织安全需求分析的层次
需求分析的层次: ✓目标性需求,定义了整个系统需要达到的目标; ✓功能性需求,定义了整个系统必须完成的任务; ✓操作性需求,定义了完成每个任务的具体的人机交互.
7
一、概述
1.组织与信息安全需求
组织安全需求挖掘的方法
挖掘需求的方法: ✓分析特定客户的业务流程和模型; ✓与特定客户进行讨论与交流(或联合成立需求组),包括:需求 讨论会,与专家或代表讨论. ✓通过调查获取需求,常见需求调查方式有:与用户交谈,向 用户提问题等.
安全风险评估的目的在于定义核心信息资产,并且分析应用环境 中可能存在的风险。 安全风险评估是定义安全需求、选择相应对策以及设计安全系统 的基础。
22
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
安全风险的评估
简易风险评估模型: 从风险性质上,风险=威胁+弱点+影响 考虑风险的影线,风险=威胁*弱点*影响
一、概述
1.组织与信息安全需求
组织概述
从广义上说,组织是指由诸多要素按照一定方式相互联系起来 的系统。 从狭义上说,组织就是指人们为实现一定的目标,互相协作结 合而成的集体或团体,如党团组织、工会组织、企业、军事组 织等等。狭义的组织专门指人群而言,运用于社会管理之中。
4
一、概述
1.组织与信息安全需求 组织概述
信息系统安全集成 确定安全需求与目标
1
本章摘要
摘要
本章从组织IT战略出发,根据业务特征、法 律法规及合同要求,在充分考虑风险的基 础上,确定组织的安全需求和目标,形成 各方认可的安全需求文件 。
2
主要内容
一、概述 二、组织IT战略与安全需求 三、组织业务与安全需求 四、符合性的安全需求 五、基于风险的安全要求 六、确定组织的安全需求 七、确定信息安全目标
14
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略
IT战略即信息技术战略(ITStrategy)是组织经营战略的有机组 成部分,和财务战略、人力资源战略、运作战略等一样,是公司 的职能战略。 IT战是关于企业信息技术职能的目标及其实现的总体谋划。 对于大的组织公司而言,子公司或大的业务单元也会有其相对独 立的信息技术战略。
16
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略的要点
战略要点:是实现上述中长期目标的途径或路线。 组织IT战略的规划主要围绕信息技术内涵的四个方面展开: ✓硬件与组建 ✓网络与通信 ✓应用与数据 ✓组织与人员
17
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 组织信息资产 要进行信息安全建设,首先明确安全保护的对象---组 织信息资产。
20
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
组织信息资产
在以业务为核心的组织内部,信息资产包括: ✓业务应用软件 ✓IT基础设施(硬件、组件、网络通讯等) ✓相关的数据和信息 ✓关键业务流程和人员 ✓其他信息资产。
21
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 安全风险的评估
15
二、组织IT战略与安全需求
1.组织IT战略
组织IT战略的部分组成
使命(Mission):阐述信息技术存在的理由、目的以及在企业 中的作用。 远景目标(Vision):信息技术的发展方向和结果。 中长期目标(MediumtoLong-termObjectives):远景目标的 具体化,即企业未来2~3年信息技术发展的具体目标。
10
一、概述
2.组织安全风险 组织的风险
风险是指一个事件产生我们所不希望的后果可能性。 组织的风险是指组织未来发生损失的不确定性。这些安全风险 主要包括了业务的连续性、业务流程安全、法律安全要求、合 同安全、隐私保护要求等。
11
一、概述
3.组织信息安全目标
信息安全的目标
根据国际信息安全管理标准的描述,信息安全的目标是“通过防 止和减小安全事故的影响,保证业务连续性,使业务损失最小 化。” 需要进行IT规划和费用调整以保证适当的安全投入,部署有效的 工具,来解决紧迫的安全问题,实现组织的安全目标。
18
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求
组织信息资产
明确安全保护的对象,即Leabharlann Baidu确组织信息资产。
✓分析业务流程 ✓识别关键的业务资产 ✓确定业务资产的安全所有人和责任人 ✓明确安全保护责任
19
二、组织IT战略与安全需求
2.基于战略的组织信息安全需求 组织信息资产
建立组织信息资产目录并进行维护,帮助组织实施有效的信息资 产安全保护,实现业务连续性和灾难恢复。 在信息资产目录中应该定义资产的安全等级和安全责任人。