信息安全体系概述27001

广东计安信息网络培训中心广东计安信息网络培训中心信息平安体系概述目 录 信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台如硬件、网络、系统的复杂性与脆弱性 行动的远程化使平安管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁信息平安面临的风险信息平安面临的风险企业对信息的依赖程度：企业对信息的依赖程度：美国明尼苏达大学美国明尼苏达大学Bush-Kugel的研究报告指的研究报告指出，企业在没有信息资料可用的情况下，金融出，企业在没有信息资料可用的情况下，金融业至多只能运行业至多只能运行2天，商业那么为天，工业那么天，商业那么为天，工业那么为为5天，保险业为天。而以经济情况来看，有天，保险业为天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有会在两年内宣布破产，只有7%不到的企不到的企业在业在5年后能够继续存活。年后能够继续存活。硬件架构：系统与设备数量越来越多系统互连关系越来越繁杂软件架构：统架构越来越复杂网络连接与划分混乱互联网接口抗攻击性较弱工程管理：规划期缺乏平安评审建立与工程割接缺乏平安管理遗留策略与帐号形成平安漏洞程序开发：开发阶段缺乏平安监管源代码缺乏平安检查，可能留下后门1.系统数量众多，硬件架构多样，系统间交互与接口繁多，相互关系复杂；2.系统软件架构复杂，网络连接与划分较混乱，互联网接口抗攻击性较弱；3.系统规划期缺乏平安评审，工程割接缺少平安管理，工程遗留策略与帐号易形成平安漏洞；4.程序开发阶段缺乏监管，程序源代码缺乏平安检查，可能留下后门或被攻击。常见的信息平安问题常见的信息平安问题 信息平安损失的“冰山理论 信息平安直接损失只是冰由之一角，间接损失是直接损失是653倍 间接损失包括：时间被延误 修复的本钱 可能造成的法律诉讼的本钱 组织声誉受到的影响 商业时机的损失 对生产率的破坏$60,000$530,000保障信息平安的途径？亡羊补牢?还是打打补丁?系统地全面整改?8 我国当前信息平安普遍存在的问题 忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规那么的建立；厂商主导的技术型解决方案为主，用户跟着厂商的步子走；平安只重视边界平安，没有在应用层面和内容层面考虑业务平安问题；重视平安技术，轻视平安管理，信息平安可靠性没有保证；信息平安建立缺乏绩效评估机制，信息平安成了“投资黑洞；信息平安人员变成“救火队员 如何实现信息平安？信息平安反病毒软件防火墙入侵检测系统？管理制度？人的因素？环境因素？Ernst&Young及国内平安机构的分析：国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息平安策略和程序的不够了解是实现信息平安的障碍之一,只有35%的组织有持续的平安意识教育与培训方案 66%的组织认为信息系统没有遵守必要的信息平安规那么 56%的组织认为在信息平安的投入上缺乏，60%从不计算信息平安的ROI，83%的组织认为在技术平安产品与技术上投入最多。在整个系统平安工作中,管理(包括管理和法律法规方面)所占比重应该到达70%,而技术(包括技术和实体)应占30%。保护信息平安的方法 建立完善的信息平安体系 对信息平安建立系统工程的观念 用管理、技术、人员、流程来保证组织的信息平安 信息平安遵循木桶原理 对信息系统的各个环节进展统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的平安缺陷都会对系统构成威胁。需要对信息平安进展有效管理建立统一平安规划体系改变以往零敲碎打、因人而起、因事而起的平安管理，形成统一的平安体系，指导平安管改变以往零敲碎打、因人而起、因事而起的平安管理，形成统一的平安体系，指导平安管理和建立工作。理和建立工作。转变门户网站防火墙升级信息防泄露DLP维护区域扩容项目RSA令牌扩容项目应用漏洞扫描工具项目系统漏洞扫描工具网站页面防篡改项目。零敲碎打零敲碎打引人而起引人而起因事而起因事而起总体思路：以防为主，防治结合防治结合：自下而上的风险反响以防为主：自上而下的策略管理n坚持“以防为主，防治结合的平安工作措施，形成成熟的、立体的信息平安运行管控体系。以防为主，即以完善的平安策略为指导，使平安策略能自上而下得到落实；防治结合，即以风险管理为核心，使风险能自下而上得到反响和整治。平安管理的几个阶段当前目标信息平安体系的内容 业务与策略 根据业务需要在组织中建立信息平安策略，以指导对信息资产进展管理、保护和分配。确定并实施信息平安策略是组织的一项重要使命，也是组织进展有效平安管理的根底和依据。“保护业务，为业务创造价值应当是一切平安工作的出发点与归宿，最有效的方式不是从现有的工作方式开场应用信息平安技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息平安技术手段支持新的工作方式的能力。人员与管理 人是信息平安最活泼的因素，人的行为是信息平安保障最主要的方面。从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有平安方针政策程序、平安管理、平安教育与培训、组织文化、应急方案和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。信息平安体系的关注点 技术与产品 可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信效劳、平安效劳、备份恢复、PKI效劳、取证、网络入侵陷阱、主动还击等多种技术与产品来保护信息系统平安 考虑平安的本钱与效益，采用“适度防范(Rightsizing)的原那么 流程与体系 建立良好的IT治理机制是实施信息平安的根底与重要保证。在风险分析的根本上引入恰当控制，建立PDCA的平安管理体系，从而保证组织赖以生存的信息资产的平安性、完整性和可用性 平安体系统还应当随着组织环境的变化、业务开展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要建立完整的控制体系来保证平安的持续完善。信息平安体系的建立流程审视业务，确定IT原那么和信息平安方针在进展信息平安规划与实施平安控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原那么，这是实施建立有效的信息平安保障体系的前提。组织的业务目标和IT原那么将直接影响到平安需求，只有从业务开展的需要出发，确定适宜的IT原那么，才能指导信息平安方针的制定。信息平安方针就是组织的信息平安委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进展管理、保护和分配的规那么和指示。在平安方针的指导下，通过了解组织业务所处的环境，对IT根底设施及应用系统可能存在的薄弱点进展风险评估，制定出适宜的平安控制措施、平安策略程序及平安投资方案。确定确定IT原那么与平安方针原那么与平安方针进展风险评估进展风险评估风险评估的常用方法目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件?信息平安风险评估指南?，这些标准把重点放在信息资产上。缺点：风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产，而对平安来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，由于不能方便地定义为信息资产，而往往被视而不见。因此，风险评估经常出现“捡了芝麻、丢了西瓜，“只见树木，不见森林的情况。完备的风险评估方法 信息平安涉及的内容决不仅仅是信息平安、技术平安的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。通过“现状调查获得对组织信息平安现状和控制措施的根本了解；通过“基线风险评估了解组织与具体的信息平安标准的差距，得到粗粒度的平安评价。通过“资产风险评估和“流程风险评估进展详细风险评估，根据三方面的评估得到最终的风险评估报告。现状调查的主要内容 文档收集与分析 组织的根本信息、组织构造图 组织人员名单、机构设置、岗位职责说明书 业务特征或效劳介绍 与信息平安管理相关的政策、制度和标准 现场访谈 安排与相关人员的面谈 对员工工作现场的观察 加强工程组对企业文化的感知 技术评估 工具扫描、渗透测试1 2 3 人工分析 系统平安配置完全检测、网络效劳平安配置完全检测 包括用户平安、操作系统平安、网络效劳平安、系统程序平安n问卷调研问卷调研n平安日常运维现状调研问卷：平安日常运维现状调研问卷：针对组织中实际的应用、系统、针对组织中实际的应用、系统、网络状况，从日常的管理、维网络状况，从日常的管理、维护、系统审计、权限管理等方护、系统审计、权限管理等方面全面了解组织在信息系统平面全面了解组织在信息系统平安管理和维护上的现实状况。安管理和维护上的现实状况。n从平安日常运维角度出发，更从平安日常运维角度出发，更贴近实际运维环境。贴近实际运维环境。基线风险评估 所谓基线风险评估，就是确定一个信息平安的根本底线，信息平安不仅仅是资产的平安，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个根本的要求，在此根底之上，再选择信息资产进展详细风险分析，这样才能在兼顾信息平安风险的方方面面的同时，对重点信息平安风险进展管理与控制。ISO27001确立了组织机构内启动、实施、维护和改进信息平安管理的指导方针和通用原那么，以标准组织机构信息平安管理建立的内容，因此，风险评估时，可以把ISO27001作为平安基线，与组织当前的信息平安现状进展比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏 n信息资产风险评估信息资产风险评估n针对重要的信息资产进展平安影响、威胁、漏洞及可能性分析，针对重要的信息资产进展平安影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进从而估计对业务产生的影响，最终可以选择适当的方法对风险进展有效管理。展有效管理。资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估平安控制措施的识别与选择降低风险风险管理过程承受风险 IT流程风险评估 信息平安不仅仅要看IT资产本身是否平安可靠，而且还应当在其所运行的环境和经历的流程中保证平安。没有可靠的IT流程的保证，静态的平安是不可靠的，而且IT的风险也不仅仅是信息平安的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。a a d d 一一 般般 流流 程程 描描 述述 业业 务务 流流 程程流流 程程 涉涉 众众输输 入入开 始 业 务 活 动 一 业 务 活 动 二 业 务 活 动 三条 件结 束输输 出出目目 标标规规 则则 确定风险控制策略信息平安控制规划信息平安控制规划 选择平安控制措施防止商业活动中断和灾难事故的影响。防止商业活动中断和灾难事故的影响。业务持续性管理业务持续性管理信息平安事件管理信息平安事件管理保证系统开发与维护的平安保证系统开发与维护的平安系统开发与维护系统开发与维护控制对业务信息的访问。控制对业务信息的访问。访问控制访问控制保证通讯和操作设备的正确和平安维护。保证通讯和操作设备的正确和平安维护。通信与运营管理通信与运营管理防止对关于防止对关于ITIT效劳的未经许可的介入，损伤和干扰效劳。效劳的未经许可的介入，损伤和干扰效劳。物理与环境平安物理与环境平安减少人为造成的风险。减少人为造成的风险。人员平安人员平安维护组织资产的适当保护系统。维护组织资产的适当保护系统。资产管理资产管理建立组织内的管理体系以便平安管理。建立组织内的管理体系以便平安管理。平安组织平安组织为信息平安提供管理方向和支持。为信息平安提供管理方向和支持。平安方针平安方针目的目的ISO27001ISO27001十一个域十一个域防止任何违反法令、法规、合同约定及其他平安要求的防止任何违反法令、法规、合同约定及其他平安要求的行为。行为。符合性符合性确保与信息系统有关的平安事件和弱点的沟通能够确保与信息系统有关的平安事件和弱点的沟通能够及时采取纠正措施及时采取纠正措施 进展平安控制规划 平安规划针对组织面临的主要平安风险，在平安管理控制框架和平安技术控制框架方面进展较为详尽的规划。平安规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的平安，进展设计、改进和加强，是进展平安建立的总体指导。序序号号项目内容项目内容紧迫紧迫性性可实可实施性施性难易难易程度程度效果效果分析分析综合综合分析分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14n平安规划方法n平安预算方案平安预算方案n所以平安预算方案是一项具有挑战性的工作，要采用所以平安预算方案是一项具有挑战性的工作，要采用“适度防范适度防范的原那么，把有限的资金用在刀刃上。的原那么，把有限的资金用在刀刃上。n一般来说，没有特别的需要，为信息平安的投入不应超过信息化建一般来说，没有特别的需要，为信息平安的投入不应超过信息化建立总投资额的立总投资额的20%，过高的平安本钱将使平安失去意义。，过高的平安本钱将使平安失去意义。n投资回报方案投资回报方案n信息平安投资回报方案就是要研究信息平安的本钱效益，其本钱效信息平安投资回报方案就是要研究信息平安的本钱效益，其本钱效益组成如下：益组成如下：n从系统生命周期看信息平安的本钱：获取本钱和运行本钱从系统生命周期看信息平安的本钱：获取本钱和运行本钱n从平安防护手段看信息平安的本钱：技术本钱和管理本钱从平安防护手段看信息平安的本钱：技术本钱和管理本钱n信息平安的价值效益：减少信息平安事故的经济损失信息平安的价值效益：减少信息平安事故的经济损失n信息平安的非价值效益：增加声誉、提升品牌价值信息平安的非价值效益：增加声誉、提升品牌价值目 录 建立信息平安组织，明确角色与责任 平安角色与责任的不明确是实施信息平安过程中的最大障碍，建立平安组织与落实责任是实施信息平安管理的第一步。信息平安领导小组 信息平安主管为核心的、专业的信息平安管理的队伍 把相应的平安责任落实到每一个员工身上 建立跨部门的信息平安委员会 良好的治理构造要求主体单位的IT 决策必须由最了解组织整体目标与价值的权威部门来决定。得到组织最高管理层的支持 得到高层管理人员的认同和承诺有两个作用一是相应的平安方针政策、控制措施可以在组织的上上下下得到有效的贯彻；二是可以得到有效的资源保证，比方实施有效平安过程的必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。平安组织架构平安组织架构信息平安体系的内容组织体系：整个公司层面的平安管理组织，要从上到下贯穿到底表达三权分立的原那么 制定信息系统平安政策 信息系统平安政策就是为防止信息资产意外损失及被有意滥用而制订的规那么，这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面，并符合对信息系统平安的要求。信息平安政策要符合组织的业务目标及特定的环境要求，并使之被每个员工所理解和执行，这是实施信息平安的重要环节。人力资源政策 因此除了技术的控制手段外，要制定适宜的人力资源政策，加强对“人的管理，对潜在的平安入侵者也是一种威慑及惩戒措施，这是建立人力防火墙的有效控制手段。人力资源管理在信息平安的管理中充分十分重要的作用，信息平安管理人员要与人务资源管理人员密切合作，协同作战，才能实现信息平安中对“人的有效管理。实施平安教育方案 要制定各种不同范围、不同层次的平安教育方案。完备的平安教育方案可以提高员工的平安意识与技能，改变他们对待平安事件的态度，使他们具有一定的平安保护技能，以更好地保护组织的信息资产。好的平安教育方案应该让员工知道组织的信息平安面临的威胁及信息平安事件带来的后果，使员工切身感觉到平安事件与自己息息相关。营造组织信息平安文化 信息平安文化附属于组织文化，倡导良好的组织信息平安文化就是要在组织中形成团队共同的态度、认识和价值观，形成标准的思维和行为模式，最终转化为行动，实现组织信息平安目标。人的这种对平安价值的认识以及使自己的一举一动符合平安的行为标准的表现，正是所谓的“平安修养。如果一个组织建立起浓厚的平安文化环境，不管决策层、管理层还是一般员工，都会在平安文化的约束下标准自己的行为，平安文化就像一支看不见的手，但凡不平安的行为都会被这支手拉回到平安操作的轨道上来。目 录 信息平安管理体系的定义 信息平安管理体系ISMS：Information Security Management System是组织在整体或特定范围内建立的信息平安方针和目标，以及完成这些目标所用的方法和体系。ISMS相对应的BS 7799 标准在国际上得到了广泛的应用，目前引标准已被采纳为国际标准ISO17799:2005 ISO27001:2005。在ISO17799中 信息平安主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。nISMS“木桶由哪些木桶由哪些“板组成？板组成？n类似于质量管理体系的类似于质量管理体系的ISO9000标准，标准，ISMS也有相应的国际也有相应的国际标准标准ISO27001，它确定了，它确定了ISMS的的11个平安领域及个平安领域及133个相应个相应的控制措施。的控制措施。ISO17799及ISO27001的内容 ISO17799:2005 信息平安管理实施标准，主要是给负责开发的人员作为参考文档使用，从而在组织中实施和维护信息平安；ISO27001:2005 信息平安管理体系标准，详细说明了建立、实施和维护信息平安管理系统的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。获得BS7799和ISO27001认证的组织 ISMS体系设计 在组织中要实现信息平安，比较切实可行的第一步的是按照PDCA的原那么建立信息平安管理体系。如果没有一个完整的管理体系和有效的过程来保证组织中的人员能理解他们的平安责任与义务，并建立根本的有效的控制措施，那么再好的平安技术也不能保证组织的信息平安。定义安全方针定义ISMS的范围实施风险评估风险管理选择控制目标和实施控制准备适用性声明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 针 文 档ISMS范 围 文 档风 险 评 估 文 档结 果 与 结 论选 择 控 制适 用 性 声 明识 别 资 产风 险 管 理 策 略控 制 概 要威 胁、脆 弱 点资 产 影 响组 织 风 险 管 理 方 法需 要 保 护 的 程 度BS7799中 的 控 制其 他 控 制 措 施 ISMS建立过程：建立ISMS首先要建立一个合理的信息平安管理框架，要从整体和全局的视角，从信息系统的所有层面进展整体平安建立 从信息系统本身出发，通过建立资产清单，进展风险分析和需求分析和选择平安控制等步骤，建立平安体系并提出平安解决方案。体系运行体系审核管理评审体系认证第七步第七步第八步第八步第九步第九步第十步第十步运行说明运行说明内审报告内审报告外审报告外审报告认证证书认证证书信息平安体系的内容管理体系：平安方针、策略文件，程序文件、操作指导管理体系：平安方针、策略文件，程序文件、操作指导书、记录表格等。书、记录表格等。目 录“技术防火墙的总体要求技术构造方面：完备的平安技术防御系统应该具备评估，保护，检测，反响和恢复的五种技术能力。实现ISO7498-2所定义的鉴别，访问控制，数据完整性，数据保密性，抗抵赖五类平安功能。技术产品方面：综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信效劳、平安效劳、备份恢复、PKI效劳、取证、网络入侵陷阱、主动还击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。集中管理方面：实现集成化平安管理和平安信息共享机制，以集中管理平安控制、平安策略、平安配置、平安事件审计、平安事故应急响应，可管理的平安才是真正意义上的平安。灾难恢复与业务持续性方面：对于突发性的重大灾难，日常平安控制措施不再起作用，此时要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果，这是组织信息平安的最后一道防线。八、建立八、建立“技术防火墙技术防火墙 技术体系的实现框架 信息平安框架可通过根底技术系统、平安运维管理系统、应用支撑系统来实现，其最终目的是保证应用系统和数据的平安。根底技术系统平安防护系统应用支撑系统平安运维管理系统 纵深防御架构 可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上的计算机不能直接到达可信网络。使用“应用分层、效劳分区、平安分级的思路，指导网络构造化建立，根据应用类型、物理位置、逻辑位置等的不同，划分不同的网络平安区域和边界。IATF平安域平安域根底技术系统 一个为整个平安体系提供平安效劳的根底性平台，为应用系统和平安支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的平安效劳。包括：数字证书认证体系CA/PKI 密钥管理根底设施KMI 授权管理根底设施AA/PMI 灾难恢复及业务连续性根底设施DRI/BCP平安根底设施数据库效劳访问他是谁？他是谁？有什么权限？有什么权限？用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书nPKI与与PMI的应用：平安认证与授权的应用：平安认证与授权 网络平安控制采用入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、平安虚拟专网VPN等成熟技术，利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段，通过对网络的平安防护的统一设计和统一配置，实现全系统统一、高效、可靠的网络平安防护。平安防护系统构造网络平安边界平安防护系统的层次 由于普通用户缺乏应有的网络平安常识，通过浏览隐藏恶意代码的网站，下载有木马的软件到内部网运行，翻开邮件中不明来历的附件等给组织的内部网络带来的极大的危害，终端用户触发产生的平安事件逐渐成为企业IT平安问题的主要原因。终端平安控制 应用支撑系统构建在根底技术系统的根底上，利用平安根底设施提供的基于PKI/PMI/KMI技术的平安效劳；采用平安中间件及一站式效劳理论和技术，实现包括平安门户、平安认证和访问控制、数据平安传输、数据保密、完整性保护、真实性保护等应用平安功能和效劳，支持面向组织和各类专网和互连网的各类平安应用，是平安应用系统所依托的主要平安平台。应用支撑系统 应用系统常见平安方案 业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无关的人员非法使用系统。解决方案:使用统一的身份认证证书 业务系统本身必须能够对自己的资源进展控制，能够动态地分配权限，控制使用者的操作行为，防止越岗位操作或越权限操作。解决方案:基于角色的访问控制 业务系统本身必须能够对数据或文件进展保护，防止由于数据的平安得不到保证而失去业务系统本身的可用性。解决方案:基于密码 业务系统本身必须能够对操作者行为进展跟踪、记录、统计和审计，及时发现工作中出现的问题，使系统可管理，事件可追查。解决方案:日志与平安事件审计 在电子商务或电子政务环境下，需要利用身份证书对主要核心业务与交易的凭证进展数字签名，以保证重要对已完成的业务与交易的无否认性。解决方案:基于数字签名 平安运维系统 平安运维管理系统对整个平安系统起管理、监控、调度和应急报警等作用，负责对全网络平安防护设备进展管理，为各个应用系统提供平安管理接口，对需要特别关注的应用系统进展应用审计。平安运维管理系统通过建立平安运维管理中心SOC对组织的平安技术与流程进展集中式的管理。目 录日常平安执行内容 多个多个PDCA循环循环平安日常运作过程就是一个大的平安日常运作过程就是一个大的PDCA循环循环风险评估与风险分析风险评估与风险分析PDCA循环循环文件体系的建立与维护文件体系的建立与维护PDCA循环循环 制定方案 行动方案主要有：信息平安政策制订与实施 与信息平安相关的人力资源政策的制订 平安事件响应方案 监控日常平安事务及员工对平安政策的遵循 业务连续性方案及灾难恢复方案 平安教育方案 建立企业平安文化 预算方案 有足够资金支持的方案才是切实可行的方案，才能有效地落实信息平安所需要的人、财、物等资源的配置。预算方案一定要合理，过高的平安预算会使平安失去意义，最好是结合投资回报分析。检查与审计的内容对于平安框架是否已有效的建立起来，技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用，组织可以通过定期的自我检查或独立的审核来验证平安控制措施的有效性，并对发现的问题采取有效的纠正措施并实施，对纠正措施实施的结果进展验证。平安检查工作一般由信息平安管理部门来负责实施，经常性的检查，有利于落实信息平安方针与策略，及时发现信息平安在技术、人员及流程方面存在的隐患，也有利于提高员工平安意识，保证业务的持续运行。审核工作是审计机构对组织的信息平安控制措施是否完备所做的鉴证过程。利用审核机制进展独立的体系审核是一种强有力的监视机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息平安审核工作，也可外聘的第三方审计机构对组织进展外部审计。对平安的检查与审计对平安的检查与审计审计的步骤信息平安在每次检查审计前，由管理层任命适当资质的适宜人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审组长。内审小组负责编写本次内审的?内部审计方案?，其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法；内审小组成员及其分工；审计活动日程安排。?内部审计方案?经批准后，至少提前二周通知被审计部门，以便被审计部门有充分时间进展内审，假设被审计部门对时间等安排有异议时，应在三天内通知内审小组协商调整具体安排；内审小组在完成了全部的审计准备工作后，就可按预先约定的日期和时间实施审计。内部审计实施可划分为首次会议、现场审计和末次会议三个阶段进展。祝您成功！