资本本部21楼、23楼哪里存在信息 安全隐患？
1
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项控制措
施列表
1) 安全方针
7) 访问控制
2) 信息安全组织
包括，建立长效的卫生机制，如划定公司卫生范围，购买各种卫生用具， 专门领导负责，成立专门团队，聘请专业保洁公司，组织内部检查，内部 互查等等。
Page 11
信息安全意识培训
主要内容
1
什么是信息安全？
2
怎样搞好信息安全？
3
信息安全基本概念
4
信息产业发展现状
13
引言
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
8) 信息系统获取、开发和维护
3) 资产管理
9) 信息安全事故管理
4) 人力资源安全
10) 业务连续性管理
5) 物理和环境安全
11) 符合性
6) 通信和操作管理
ISMS(信息安全管理系统)
ISO/IEC 27001:2005版通篇就在讲一件事，ISMS(信息安全管理系统)。
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系 （InformationSecurity Management System，简称ISMS）提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需 要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及 其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例 如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。
因为据Delphi公司统计，公司价值的26%体现 在固定资产和一些文档上，而高达42%的价值是存 储在员工的脑子里，而这些信息的保护没有任何 一款产品可以做得到，所以需要我们建立信息安 全管理体系，也就是常说的ISMS！
17
信息在哪里？
小问题：公司的信息都在哪里？
纸质文档 电子文档 员工 其他信息介质
Page 5
PDCA特点
大环套小环，小环保大环，推动大循环
PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和 企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的 PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体 和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方 向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相 促进。以上特点。
（引用自ISO/IEC 27001:2005中 “0.1 总则” ）
PDCA（戴明环）
PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（ WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣 传并运用于持续改善产品质量的过程当中。 1、P（Plan）--计划，确定方针和目标，确定活动计划； 2、D（Do）--执行，实地去做，实现计划中的内容； 3、C（Check）--检查，总结执行计划的结果，注意效 果，找出问题； 4、A（Action）--行动，对总结检查的结果进行处理， 成功的经验加以肯定并适当推广、标准化；失败的教 训加以总结，以免重现，未解决的问题放到下一个 PDCA循环。
这就是意识缺乏的两大 结症！
1 不看重大公司，更看重小家庭。
公司
家
2 钞票更顺眼，信息无所谓。
〉
21
思想上的转变（一）
公司的钱，就是我的钱， 只是先放在, 老板那里~~~
22
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
23
思想上的转变（二）
桌面审核（文件审核）的结果作为现场审核输入。 现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报
告审核结果等。 审核内容
验证第一阶段的审核发现是否获得纠正。 证实受审核组织是否按照其方针、目标和程序，执行工作。 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求
谈笑间，风险灰飞烟灭。
14
什么是信息安全？
• 不止有产品、技术才是信息安全
15
信息安全无处不在
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理人员 安全源自网络 安全物理 安全
16
怎样搞好信息安全？
一个软件公司的老总，等他所有的员工下班之 后，他在那里想：我的企业到底值多少钱呢？假 如它的企业市值1亿，那么此时此刻，他的企业就 值2600万。
18
小测试：
➢ 您离开家每次都关门吗？ ➢ 您离开公司每次都关门吗？ ➢ 您的保险箱设密码吗？ ➢ 您的电脑设密码吗？
19
答案解释：
如果您记得关家里的门，而不记得关公司的门， 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码，而不记得给电脑设密码， 说明您可能对信息资产安全认识不够。
20
Page 6
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步， 然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋 式上升的过程。
质量水平
P
D
A
C
螺旋上升的PDCA
Page 7
PDCA和ISMS的结合
Page 8
认证审核－现场审核
信息比钞票更重要， 更脆弱，我们更应该保护 它。
24
WHY???
装有100万的 保险箱
需要 3个悍匪、
Page 9
认证审核－获得证书
所有审核工作结束并达到要求后，用户会得到证书。 半年或者一年，用户需要进行复审 三年时，证书期满，需要重新审核。
Page 10
举例
为了方便大家理解，举个例子来进行说明： 华赛公司要参加上地地区的一个卫生评比，评比通过发放《上地地区高科
技企业卫生红旗》。 该次评比有个评比要求《上地地区高科技企业卫生评比要求》，要求内容