《服务外包中的信息安全保护》由会员分享,可在线阅读,更多相关《服务外包中的信息安全保护(11页珍藏版)》请在装配图网上搜索。
1、服务外包中的信息安全保护-打造全方位的信息安全管理郭晓英10 June 2008 日程n目前的处境n如何应对发包方的安全要求n对于安全应该考虑那些方面n建立安全的信息安全管理机制07/07/20232 Det Norske Veritas AS.All rights reserved服务外包n服务外包是指企业将IT系统开发和架构、应用管理、业务流程优化等自身业务需求通过外包由第三方(即服务外包提供商)来完成,以专注企业核心业务,更好实现企业经营目标的经济活动。07/07/20233 Det Norske Veritas AS.All rights reserved服务外包-发包方的风险nCos
2、t-Reduction Expectations 成本成本nData Security/Protection 数据保护nProcess Discipline(CMM)过程管理过程管理nLoss of Business Knowledge 业务知识丧失业务知识丧失nVendor Failure to Deliver 不能按时提供服务不能按时提供服务nScope Creep 范围延伸范围延伸nGovernment Oversight/Regulation 合规性合规性nCulture 文化文化nTurnover of Key Personnel 关键人员的流失关键人员的流失nKnowledge T
3、ransfer 知识传递知识传递07/07/20234 Det Norske Veritas AS.All rights reserved多数想接包企业当前的处境n频繁应对第二方审核n组织临时救火队n缺乏有经验的安全管理人员n遗漏关键信息安全控制点n没有明确的信息安全方针和指南n.07/07/20235 Det Norske Veritas AS.All rights reserved外包企业的信息安全对策n建立信息安全管理体系-采用最佳国际实践 ISO 27001 n全面识别外包服务中的安全要求n明确公司的信息安全政策n风险评估与管理n文件化管理体系n投入资源、培训、执行体系n持续改进信息安
4、全管理07/07/20236 Det Norske Veritas AS.All rights reserved外包服务安全风险(Paladion Network)nUnrestricted use of paper and electronic devices with memorynUnauthorized access to data stored in CMSnImproper user provisioning and de-provisioningnInsecure system and network configurationnNo clear responsibility f
5、or securitynLack of top management supportnLack of security awarenessnUnrestricted third party accessnLack of readiness for handling security incidentsnAbsence of periodic security audit07/07/20237 Det Norske Veritas AS.All rights reserved建立安全管理机制要考虑的重点n深入全面考虑安全风险n领导要为企业建立明确的安全方针和安全组织n针对业务性质,建立关键的安全
6、管理流程n周期性执行内部审核n第三方审核与认证07/07/20238 Det Norske Veritas AS.All rights reserved外包企业信息安全管理重点流程n识别安全要求-全面考虑来自客户、政府、法规等的安全要求n人力资源安全流程n物理安全流程n开发过程安全流程(软件外包)n业务过程安全流程(其他业务外包)n知识产权保护流程n网络安全和上网行为管控流程 n系统与数据管控流程n客户端和移动设备管理流程07/07/20239 Det Norske Veritas AS.All rights reserved提问07/07/202310 Det Norske Veritas AS.All rights reserved07/07/202311 Det Norske Veritas AS.All rights reserved
服务外包中的信息安全保护
