信息安全管理措施汇编ppt课件

第三讲信息安全管理措施信息安全管理措施汇编第三讲 信息安全管理措施信息安全管理措施汇编1主题一12345关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编主题一12345关于信息安全的定位安全管理措施信息安全风险的2信息安全管理体系（ISMS）：27001-2013版的“高要求”1是一组过程3组织管理框架的一部分：两个重要2战略性决策4用途采用ISMS是组织的一项战略性决策受到组织的需要和目标、安全要求、组织过程以及组织的结构和规模的影响采用风险管理过程来确保信息的CIA-谁的信息？目的：给予相关方信心-风险已被充分管控是组织过程和整体框架的一部分组织的过程、信息系统和控制的设计需考虑安全内外组织使用-评估某组织的能力能力：满足自身安全要求的能力分析起点和定位高：战略和管理框架客户交付：信心能力：满足自身安全要求-非满足客户安全要求可操作性：不够细战略因素？与ISMS和风险评估的衔接？如何体现定位的“高度”27001-13版的高要求和高定位信息安全管理措施汇编信息安全管理体系（ISMS）：27001-2013版的“高要3高定位的解读1、是组织的一项战略性决策2、在组织的过程、IS和控制的设计中3、风险已被管控的信心信息安全管理体系战略性决策：需要领导力和承诺安全方安全方针、安全目、安全目标与与组织的的战略方向略方向一致一致需要了解业务模式、产品、用户和市场（内外环境识别）需要了解信息对它们的作用（信息的价值）需要明确信息价值可能的损失明确信息安全方针和安全目标业务设计：过程、IS和控制设计中考虑信息安全企企业运行于流程之上，信息在流程中的作用运行于流程之上，信息在流程中的作用战略方向中，信息价值在流程中体现业务流程设计与优化，信息的作用？需要明确信息价值可能的损失设计业务流程和支撑系统中的信息安全需要考虑内控等中的信息安全给予相关利益方风险已被管控的信心谁拥有有业务，谁就是就是业务风险的的责任人任人相关利益方：内外人员-组织环境识别中获取谁是风险责任人：业务拥有者信心：内外人员，业务是安全的手段：信息安全管理体系ISMS是一种满足自身安全要求的能力-安全要求指风险被管控决策执行绩效-监督信息安全管理措施汇编高定位的解读1、是组织的一项战略性决策2、在组织的过程、IS41、战略性决策决定了高层如何看待信息安全？如何建立与之匹配的安全方针和目标？高层执行团队战略期望行为关键资产人力资产金融资产实物资产知识产权资产信息和IT资产关系资产财务治理机制（委员会、预算等）IT治理机制（委员会、预算等）董事会股东监控利益相关者披露公司治理关键资产治理需要理解组织内外环境需要了解业务模式、产品、用户和市场需要理解信息在战略发展中的价值需要理解降低信息价值的风险信息安全风险是其中的风险之一信息安全管理措施汇编1、战略性决策决定了高层如何看待信息安全？如何建立与之匹配的5物理层面网络层面系统层面安全人员应该主动了解信息安全管理体系的内外环境-内部环境，决定了信息安全的推动力物理环境物理设备存储介质通信设施网络边界网络区域网络设备安全设备服务器DB主机存储系统中间件决策支持管理系统数据处理智能应用应用层面商业智能搜素信息内容管理数据管理统一消息管理客户交易与业务价值虚拟化IT战略符合IT治理-COBIT信息安全风险ITIL运维IT审计合规：20000/27001人员-组织-岗位-绩效业务战略符合企业治理风险管理企业运营审计内控与合规企业管理管理层：IT管理程序PDCAIT资源和IT能力信息准则-IT服务或能力业务过程和IT系统IT管理企业管理信息安全管理措施汇编物理层面网络层面系统层面安全人员应该主动了解信息安全管理体系6战略明道（示例）：信息安全方针和目标与组织的战略方向一致某组织业务某组织业务的例子的例子产品的战略方向质量成本响应效率业务模式改进人员服务前置，质量为本尽可能降低沟通和交易成本及时响应客户强大的后台能力与客户共享信息与IT要素信息处理或决策支持快速准确持续性降低交易成本应变和灵活性强；对IT依赖高CRM-客户理财与组织能力更密切的结合IT基础设施（容量、可用性）大规模用户远程并发响应一定人员规模下，交易量大增，单位人交易成本低IT技术革新（云计算）更安全批量，交易成本降低更多方式响应用户需求IT展示技术更立体，更直观多维度的宣传，降低市场成本吸引客户市场效果更佳VIP级的可视化技术信息在产品发展的价值人员数量和服务能力信息的准确性和及时性至关重要信息价值损失潜在因素信息不准确：完整性被破坏信息不及时：可用性被破坏其余：保守客户秘密-保密性信息安全方针高层负责，为新业务改进保驾护航信息安全目标新建IS部分可用性99.9客户服务数据完整性措施覆盖率100%信息安全管理措施汇编战略明道（示例）：信息安全方针和目标与组织的战略方向一致某组72、协同工作，在业务流程设计中考虑信息安全宗旨、定位战略目标愿景与愿景与愿景与使命使命使命业务与职能战略业务线财务人力资源关键目标指标（KGI）财务角度客户角度内部流程角度学习与发展角度战略方向：明确重点略方向：明确重点发展的展的产品和品和业务板板块，确定信息安全方，确定信息安全方针和目和目标覆盖哪些流程，流程覆盖哪些流程，流程优化方案，确定化方案，确定信息信息贯穿的穿的场景和安全需求，景和安全需求，选择安安全措施全措施业务的整体性信息流转拒绝孤岛安全目安全目标分解到相关部分解到相关部门，有效性度，有效性度量；安全措施在量；安全措施在IS和非和非IS中中实现职责划分是关键；要有分工和独立职责，更要有整体性信息安全管理措施汇编2、协同工作，在业务流程设计中考虑信息安全宗旨、定位愿景与使8关键ISMS需要顶层设计，互相协作，承担不同职责 高层业务层IT层职能部门战略-组织环境战术-业务设计操作-业务运营领导和组织制定战略规划：产品、客户、目标、阶段影响ISMS的内外因素参与业务板块的PEST负责的产品面向的客户指导和审核业务板块的PEST组织与负责确定客户与相关方设计业务流程负责业务操作业务绩效度量指导和监督参与IT层面的PESTIT服务的用户组织与负责IT服务的用户与相关方IT架构与应用系统实现设计信息安全支撑业务操作支持信息安全操作参与职能管理层面的PEST内部人员管理组织与负责内部服务与管理流程设计内部控制流程设计支撑-负责职能操作职能绩效度量部署实现安全需求顶层设计：内外环境和风险业务价值链：信息流转和价值、需求提供资源支持信息安全管理措施汇编关键ISMS需要顶层设计，互相协作，承担不同职责 9整体业务价值链：从信息视角看，是一个通过信息流程实现控制与决策的过程管理者视角：业务环节8 8-13-13管理支持流程管理支持流程2.制定愿景和战略1.了解市场和客户3.设计产品和服务4.市场营销5.生产和配送产品及提供服务6.服务性机构提供服务7.向客户开票收款及提供服务信息视角：业务环节客户信息-订单发展战略功能设计策划书配送监测信息回款信息通过信息实现业务支撑信息安全管理措施汇编整体业务价值链：从信息视角看，是一个通过信息流程实现控制与决10信息安全设计的基本过程：目标匹配，整体业务和信息，安全架构业务目标信息安全目标安全架构支持业务安全需求信息服务安全要求安全属性准则安全过程信息-安全目标部署安全控制整个系统业务目标-安全准则安全架构交付运行闭环：度量-偏差-控制安全架构来之不易管理层与业务部门业务与IT部门IT部门信息安全管理措施汇编信息安全设计的基本过程：目标匹配，整体业务和信息，安全架构业11业务过程对数据的依赖或数据对业务流程的作用业务过程输入输出信息流能量流物流资金流信息流能量流物流资金流业务过程的结构信息的作用通过应用系统体现，不同应用系统支持不同业务功能（业务过程类型）经营决策生产过程（研发、软件开发、制造过程、IT服务、金融服务等）管理过程（财务管理、人力资源管理等）信息的作用（通常是控制）确定：-需明确产品（输出）是什么？可能就是数据，当然也有控制数据过程控制（制造业-自动生产线，按指令自动执行）-实时性强，完全控制生产线，与生产线同步，决定生产效率过程管理（软件开发项目管理，过程执行的提示、判断，人根据判断结果执行下面的步骤）-非同步，提高效率、质量，降低成本-辅助决策支持（BI等）知识查询/辅助过程记录产品（流程单元）-决定流程绩效和质量、成本等信息安全管理措施汇编业务过程对数据的依赖或数据对业务流程的作用业务过程输入输出信12信息的价值与业务过程和时效性密切相关在不同业务环节（岗位）使用在生命周期内使用同样信息不同时间段在不同的应用中使用信息价值决策执行监督时间敏感性业务高峰业务低谷需求规格设计归档核心业务一般业务与业务处理环节相关：关键环节-组织自定义关键路径上的环节产能瓶颈环节-决定运营绩效时效性：业务峰值-决定保护强度起作用的时间周期-通常业务数据使用后价值大大降低（过业务操作期限-实时业务）业务相关：业务自身的重要程度综合考虑赋值：重要的业务、处于业务高峰、在使用周期内、关键环节上的数据赋值最高信息价信息价值的依据的依据信息安全管理措施汇编信息的价值与业务过程和时效性密切相关在不同业务环节（岗位）使13支持性资产识别：从业务过程入手，层次推进，识别资产及依赖关系录入检查交易业务过程管理数据依赖程度凭证完全依赖（价值）应用软件：支付清算、开发、帐号管理等基础软件：OS、DB业务过程数据应用软件基础软件硬件上下依赖关系：被依赖的对象的价值取决于依赖对象，如硬件价值取决于软件有些依赖程度与组织具体情况相关这里的价值主要是业务生产（产品或服务）方面的价值，其余的维护维修价值不在此列人是核心，是特别的“资产”人的工作依赖于应用软件依赖于IT硬件信息安全管理措施汇编支持性资产识别：从业务过程入手，层次推进，识别资产及依赖关系14物理层面网络层面系统层面信息安全的层次：数据安全是根本，系统安全是基础，业务安全是目标物理环境物理设备存储介质通信设施网络边界网络区域网络设备安全设备服务器DB主机存储系统中间件决策支持管理系统数据处理智能应用应用层面客户交易与业务价值：业务安全虚拟化信息准则-IT服务或能力应用安全主机安全网络安全物理安全数据安全系统安全信息安全大部分安全措施不属于IS的四个层面投入分布导致任务信息安全就是系统安全侧重系统安全，导致忽视信息在整个业务中的贯穿作用，信息孤岛之外出现“安全孤岛-安全缺乏整体性”-随一个服务器或应用部署安全措施不怎么理解业务过程，对信息安全在组织的本质理解不足，信息安全风险是无源之水业务运营和信息安全管理脱节太多信息安全管理措施汇编物理层面网络层面系统层面信息安全的层次：数据安全是根本，系统15信息安全的误读：认为系统安全是全部！执行过程业务部门提出安全需求，侧重数据保密、应用系统帐号与权限、性能需求整体网络环境的安全需求由IT部门自主把握缺失之处IT部门极少研究组织整体的业务流程、数据资源及流转情况（需要数据资源规划）、业务对数据的依赖程度等业务是分割的，信息是孤立的，安全也是孤立的（或者说整体性-体系性）不足结果业务和安全条块分割的结果是，一种安全状态（无论怎么实施，一定时间内的信息安全状况是固定的）由不同的人，采用不同的描述方式（目标、语法、语义等）描述，整体性和关联性不足信息安全是“系统安全”，是IT部门的工作，实践中是自下而上的工作，IT部门疲于奔命信息安全管理措施汇编信息安全的误读：认为系统安全是全部！执行过程信息安全管理措施163、信息安全实施效果，从业务安全需求入手，度量效果是否满足需求明确保护对象选择适度控制安全部署集成安全效果度量CIA不是笼统的，不同业务的不同数据CIA不同数据的差异性应该体现出来-通过分级根据差异性选择对应的控制措施控制措施的选择考虑数据价值和投入成本的均衡技术措施：部署不同系统层面管理措施：确保技术措施的有效利用技术和管理措施的有效性安全强度-抗攻击能力-偏差以业务绩效满足与否为目标控制业务中的信息安全风险信息安全管理措施汇编3、信息安全实施效果，从业务安全需求入手，度量效果是否满足需17业务中的风险因素：信息和IT资产与其他资源因素一样，是业务风险的可能来源业务过程输入输出信息流能量流物流资金流信息流能量流物流资金流业务过程的结构支持业务过程的关键资产（资源）人力资产金融资产实物资产知识产权资产信息和IT资产关系资产对待IT和信息是完成业务过程的资源之一，与其他的资源一样是资源就有产能是否足以支持理论产能空闲产能？是否过大一样的作用，就一样的分摊成本和共享业务价值根据业务产能等指标赋值信息安全管理措施汇编业务中的风险因素：信息和IT资产与其他资源因素一样，是业务风18ISMS是企业风险管理的一部分（PDCA持续改进的风险管理）美国内控研究委美国内控研究委员员会会企业风险管理是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。企企业风险管理整合框架管理整合框架风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法律法规的遵循提供合理保证。结论：从业务风险的整体视角看，没有所谓的信息安全风险，它是组织业务风险的一部分信息安全风险管理本质上是将信息对业务的风险控制到可容忍的程度内，不了解业务就无法界定可容忍程度信息安全风险因素（威胁、脆弱性等）是业务风险识别中的潜在原因（cause甚至reason）信息安全风险的影响值必须基于业务绩效（损失）来度量信息安全管理措施汇编ISMS是企业风险管理的一部分（PDCA持续改进的风险管理）19风险与业务场景：风险识别需要关注内外环境，依据业务理顺原因和责任链财务报表欺骗产品需求错误战略决策信息不准产品设计不当业务终端DoS管理员口令破解缓冲区溢出攻击客户订单失准业务人员误操作工单众多风险：看似散乱内部环境外部环境政策社会技术客户经济1234567891283其余的是内部环境284791356风险是什么风险分布风险程度（范围和深度）信息安全管理措施汇编风险与业务场景：风险识别需要关注内外环境，依据业务理顺原因和20小结：构建ISMS中的四个关键点从顶层识别安全需求，自上而下进行风险管理通过风险管理保障业务安全1234组织环境识别关键业务和相关方相关方安全的期望确定ISMS范围。明确协作要求从相关方及期望入手-首先是经营管理范围其次才是信息及处理设施的范围风险-机会与应对识别宏观层面的风险和机会-应对它们的活动-纳入ISMS中风险分类：经营管理视角层面的分类-四个目标（战略、财务、经营与合规）通过度量和管理评审，明确安全价值ISMS有效执行风险处置措施的价值：需归结到宏观层面的分类上-对应四个目标顶层设计协作范围风险趋向价值度量信息安全管理措施汇编小结：构建ISMS中的四个关键点从顶层识别安全需求，自上而下21软件开发与信息安全管理：既自成体系，又相互融合项目获取需求开发设计与实现测试安装部署验收需求说明书设计书测试用例、报告上线报告效率过程确认评审验证确认保障过程现有软件开发过程安全风险控制过程相对完整的软件开发过程安全功能确认安全设计安全功能测试、测试用例保护验收性测试（独立性）外包安全需要基本安全开发环境访问权限知识产权交付管理需要支撑安全“信息安全管理”融入到现有软件开发过程中信息安全管理措施汇编软件开发与信息安全管理：既自成体系，又相互融合项目获取需求开22主题二12345关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编主题二12345关于信息安全的定位安全管理措施信息安全风险的23关于安全的说法很多，是否有一个衔接这些说法的综合概念？24综合概念：安全风险业务层面：企业风险业务风险风险可接受程度IT系统层面：物理、网络、系统、应用、数据纵深防御不被破坏：威胁和脆弱性不同的人对被破坏的看法和程度不一致越有序越安全风险度量基准？用业务绩效安全价值：安全投入：没有绝对安全，投入适度安全产出：功能强度适度-抗攻击能力适度威胁和脆弱性资产和安全措施安全等级部署安全措施，获得抗攻击能力或更有序对业务的抗攻击或有序安全结构对业务的保护需要有明确的判断结果安全价值不满足，产生新安全需求信息安全管理措施汇编关于安全的说法很多，是否有一个衔接这些说法的综合概念？24综信息安全风险基本概念：生活中的？25资产=100块钱 弱点=打瞌睡影响=钱损失，晚上没饭吃威胁=小偷偷钱风险、风险评估、风险管理？情景假设：口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。某证券公司的数据库服务器因为存在RPC DCOM的漏洞，遭到入侵者攻击，被迫中断3天。威胁 RPC DCOM漏洞资产 服务器遭到入侵影响 数据库服务器弱点 中断三天风险、风险评估、风险管理？信息安全管理措施汇编信息安全风险基本概念：生活中的？25资产=100块钱信息安全风险：综合安全相关因素的概念业务战略脆弱性IT资产威胁风险业务价值安全需求IT安全控制残余风险安全事件依赖具有被满足成本意图保障暴露利用演变诱发为有价值的未完全削减导出增加未被满足控制防御修补业务是根本技术保障决策过程和内容过去现在未来26信息安全管理措施汇编信息安全风险：综合安全相关因素的概念业务战略脆弱性IT资产威脆弱性释义：不足之处Bug：软件实现中存在的问题，包括功能不当、代码结构不当、代码错误等，安全问题是bug集合的子集，是安全视角看bug但安全问题不局限于软件bug，硬件问题、安全管理问题等均是“问题”错误：安全实现不当隐患：潜藏的不安全、不稳定因素，可能被诱发识别能力要求强弱点和薄弱之处：没有按照既定要求实现，或者实现过程不当导致的强度问题脆弱性：强度不足，可能是弱点，可能是威胁者太强27期望或标准比较、识别潜伏期Bug需求期望弱点和薄弱之处标准、结果明显脆弱性标准、模糊隐患模糊信息安全管理措施汇编脆弱性释义：不足之处27期望或标准Bug需求期望后门、罩实践中的脆弱性 系系统结构构 系系统配置配置Bug、错误、漏洞软件件材料质量、结构、老化硬件硬件 安全功能配置的粒度，如主客体粒度不足安全功能安全功能 密码等算法的强度安全功能安全功能信息安全管理措施汇编实践中的脆弱性 系统结构 系统配置Bug、错误、漏洞软件材料28脆弱性的类型错误弱点威胁者能力要求不当，或信任过度很容易弱点隐患脆弱性威胁者能力要求强度问题需要一定爬墙能力：小孩被屏蔽无口令；部署错误口令弱信息安全管理措施汇编脆弱性的类型错误威胁者能力要求弱点威胁者能力要求无口令；部署29脆弱性的类型30弱点脆弱性威胁者能力要求强度不足需要有较强的挖墙能力隐患脆弱性威胁者能力要求强度的相对性问题防君子不防小人对能力很强的人鉴别机制存在问题，失败阈值业务和安全强度策划不当信息安全管理措施汇编脆弱性的类型30弱点威胁者能力要求隐患威胁者能力要求鉴别机制脆弱性类型31对常人来说，不算脆弱性对军队而言，古代不算现代火箭炮来说可能是脆弱性没有绝对的安全信息安全管理措施汇编脆弱性类型31对常人来说，不算脆弱性没有绝对的安全信息安全管威胁者行为，从识别脆弱性开始互联网常见网络应用：邮件、Web浏览等存储备份OS、应用软件：CVE漏洞安全策略配置不当，如口令简单网络协议：协议软件漏洞协议自身安全问题，如协议信息明文传输安全功能配置不当抗DoS攻击能力不足漏报和误报新攻击模式识别能力不足安全管理人员人员安全意识淡漠人员能力不足人员职能关联不足安全投资决策失误弱点来源设计中实现中运维管理中信息安全管理措施汇编威胁者行为，从识别脆弱性开始互联网常见网络应用：邮件、Web32防御措施：漏洞扫描，预先识别脆弱性主动发现漏洞并修补之信息安全管理措施汇编防御措施：漏洞扫描，预先识别脆弱性主动发现漏洞并修补之信息安33补丁公告已有设备：补丁操作系统补丁信息安全管理措施汇编补丁公告已有设备：补丁操作系统补丁信息安全管理措施汇编34脆弱性：出现的阶段产品周期内351）需求不当2）设计不当3）实现不当架构问题模块问题程序逻辑问题输入输出问题信息安全管理措施汇编脆弱性：出现的阶段产品周期内351）需求不当2）设计不当3脆弱性：出现的阶段产品周期内需求不当责任：需求分析规划和管理层识别：在后期很难发现，需要综合分析，甚至客户检验影响：作为开发标准，影响最大由客户检验是最糟糕的成本：若后期发现，修改成本大设计不当责任：设计人员识别：可逻辑推理，亦可测试检验；客户需求得到确认影响：作为实现标准，影响“中”成本：后期发现，成本中实现不当责任：具体技术人员识别：测试影响：低成本：修补成本低36信息安全管理措施汇编脆弱性：出现的阶段产品周期内需求不当36信息安全管理措施汇脆弱性：小结视角37脆弱性标准发生阶段类型与影响寄生体修补与成本威胁者强度标准：自身相对性：威胁者架构模块程序逻辑输入输出开发团队公司客户成本生命周期影响程度修补与否？措施选择：适度主动方不确定性能力与相对性信息安全管理措施汇编脆弱性：小结视角37脆弱性标准发生阶段类型与影响寄生体修关于威胁攻击方人的行为目的、动机个人或团队地点：互联网的任何处对象：有价值、有脆弱性的IT资产或设备、有结构的路线手段：专家分析操作方式工具影响：对防御的破坏设备到业务应用成本：时间、工具、被抓获38信息安全管理措施汇编关于威胁攻击方人的行为38信息安全管理措施汇编威胁轮廓：威胁分类的依据攻击者攻击方法非授权入侵攻击目的黑客间谍恐怖分子故意破坏者职业犯罪设计脆弱性结构脆弱性实现脆弱性脆弱性行为授权欺骗复制修改试探扫描洪水旁路读取窃取删除目标账户数据计算机互联网方法要素网络增进入侵信息泄漏信息破坏拒绝服务资源窃取地位政治经济破坏物理攻击信息交换用户命令脚本程序自动代理工具包分布式工具数据分流信息安全管理措施汇编威胁轮廓：威胁分类的依据攻击者攻击方法非授权入侵攻击目的黑客39威胁轮廓威胁轮廓目标威胁者具体威胁方法脆弱性集合威胁路线集威胁路线路线构成物理和逻辑结合路线重要性脆弱性可利用程度威胁是否能够发生将资产、脆弱性和威胁贯穿起来信息安全管理措施汇编威胁轮廓威胁轮廓信息安全管理措施汇编40威胁分类：直接目标权限提升型包括权限提升信息泄漏欺骗攻击不可否认破坏性包括恶意代码拒绝服务数据篡改41信息安全管理措施汇编威胁分类：直接目标权限提升型包括41信息安全管理措施汇编威胁或攻击路线，脆弱性的利用不是一件容易的事情物理路线逻辑路线：物理路线上漏洞间的关联关系信息安全管理措施汇编威胁或攻击路线，脆弱性的利用不是一件容易的事情物理路线逻辑路42面对威胁的应对措施分析示例：遏制威胁，修补漏洞应对措施应对措施针对性针对性应对者的态度应对者的态度进程查看进程查看可能恶意进程查看可能恶意进程查看主动主动补丁补丁漏洞漏洞被动被动防火墙防火墙非法网络访问非法网络访问被动：威胁被动：威胁防病毒防病毒数据内容数据内容威胁：主动威胁：主动IDSIDS网络数据流中可能的恶意行网络数据流中可能的恶意行为为威胁：主动威胁：主动漏洞扫描漏洞扫描漏洞识别漏洞识别主动主动备份与恢复备份与恢复预防与应对可能的损害预防与应对可能的损害主动主动信息安全管理措施汇编面对威胁的应对措施分析示例：遏制威胁，修补漏洞应对措施针对性43已有设备：防火墙启动开启防火墙信息安全管理措施汇编已有设备：防火墙启动开启防火墙信息安全管理措施汇编44已有设备：防病毒启用和自定义信息安全管理措施汇编已有设备：防病毒启用和自定义信息安全管理措施汇编45增加设备：部署IDS信息安全管理措施汇编增加设备：部署IDS干防火墙不能干的事情信息安全管理措施汇编46要重视社会工程，威胁和脆弱性合一团队和谐愿景运营管理奖惩（赏罚分明）文化有人有私心堡垒最易从内部攻破CEO：发展与保障的态度快速发展：安全通常难以兼顾稳打稳扎：安全通常有好的基础信息安全管理措施汇编要重视社会工程，威胁和脆弱性合一团队和谐有人有私心CEO：发47信息安全攻击，也应从上兵伐谋开始信息情报：信息情报：价值价值分类分类分级分级目标目标目标目标行为行为行为行为ITIT系系系系统统统统时间时间时间时间人员人员人员人员纲举目张核心竞争力相关的信息目标：胜敌、战斗达到怎样的程度？最活跃的因素管理层业务人员研发人员市场和销售人员财务人员攻与防博弈的场所信息处理、存储、传输安全措施约束人的操作行为无时或忘上班：信息处理、传输和存储下班：移动设备的保护、商业敏感性安全技术、智慧、过程控制研发与对外合作发表文章演讲商业谈判控制、监督与跟踪信息安全管理措施汇编信息安全攻击，也应从上兵伐谋开始信息情报：目标行为IT系统时48小结：安全风险因素技术视角：设备或平台隐患导致的风险物理安全风险：UPS、盗窃等隐患网络安全风险：VLAN混乱、交换机弱口令主机安全风险：Windows漏洞、弱口令应用安全风险：数据未加密、弱口令、代码错误数据安全风险：数据备份强度不足终端安全风险：未安装防病毒软件、未打补丁当然，人的安全不可或缺！业务视角：操作风险、影响的结果：业务过程中的信息安全风险：数据价值、追求效率忽视安全脆弱性威胁源或隐患特性视角：自然灾害或人为故障黑客攻击风险（如缓冲区溢出攻击、SQL攻击等）恶意代码风险（如病毒、木马、网络钓鱼）运维计划12根本系统安全主动风险因素信息安全管理措施汇编小结：安全风险因素技术视角：设备或平台隐患导致的风险业务视角49主题三12345关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编主题三12345关于信息安全的定位安全管理措施信息安全风险的50安全的基本原则和工作过程信息安全，预防为主，技术为辅颁布标准执行检查督促整改持续运转制度、策略检查指标执行不当隐患明确改进措施复查PDCA的递进过程等级保护27001审计风险评估针对威胁、脆弱性年审报告信息安全管理措施汇编安全的基本原则和工作过程信息安全，预防为主，技术为辅颁布标准51安全管理人员的工作：日常工作之外，需要注意管理闭环信息安全原则：预防为主，适度安全！运行安全项目建设监测/检测巡检报警处理评估报告问题分析风险接受策略需求与立项选型-方案集成部署严重风险根本原因运行效果安全目标绩效度量信息安全管理措施汇编安全管理人员的工作：日常工作之外，需要注意管理闭环信息安全原52管理措施分类，从一个简单的例子入手口令破解被盗用1）口令简单12345，这是直观的技术原因2）深入的：有没有关于口令的策略要求？规定不得全是数字构成？3）再深入：有没有人根据策略定期检查？4）更深入：有没有人对检查过程和结果进行监督？5）最后：有没有回顾当初购买口令产品时投资决策的合理性？考虑其灵活性、长远性？决策失误24）都是管理的原因，涵盖：策略要求按章执行监督检查决策科学技术是表象和直接因素，管理才是背后深层次的原因安全效果如何最终取决于管理水平，技术易做，管理难行信息安全管理措施汇编管理措施分类，从一个简单的例子入手口令破解1）口令简单12353安全管理措施分类，考虑风险背后的原因了解程度使用少缺乏文档知识积累深层次原因分析深层次原因分析一定是管理问题一定是管理问题有效利用程度功能配置率低资源利用率低运维管理程度缺乏系统性的文档体系，如流程文档、操作手册等业务支持程度非重要业务设备，忽视配置与管理合规程度缺乏标准作为依据缺乏标准化工作方法提高意识和认识提高意识和认识讲究价值指标讲究价值指标:功能功能/成本成本关注对业务支持关注对业务支持及关联关系及关联关系提高执行力提高执行力降低对人的依赖降低对人的依赖更高程度的更高程度的安全管理模式安全管理模式信息安全管理措施汇编安全管理措施分类，考虑风险背后的原因了解程度深层次原因分析有54风险背后的原因：总是意识、运维、业务与合规-内外环境设备使用率设备使用率1）配置率）配置率2）文档规范）文档规范和完整程度和完整程度1）文档规范）文档规范和完整程度和完整程度2）执行状况）执行状况业务支持率业务支持率对标准符对标准符合程度合程度功能使用频率功能使用频率说明手册、记录说明手册、记录正确使用的功能正确使用的功能策略的完备性策略的完备性功能有效程度功能有效程度事件发生或对目标事件发生或对目标的符合程度的符合程度制度要求的一致性制度要求的一致性人员关系的协调人员关系的协调每人的操作程序每人的操作程序第三方监督记录第三方监督记录方法和技术的适用范围方法和技术的适用范围依据的适用范围依据的适用范围法律法规法律法规业务的需求程度：业务的需求程度：成本、有效利用、成本、有效利用、市场适应灵活性、市场适应灵活性、资源约束资源约束信息安全管理措施汇编风险背后的原因：总是意识、运维、业务与合规-内外环境设备使用55安全管理措施分类，自上而下，全局分析IT部门工作规范化项目管理组织与岗位制度与流程技术标准化知识管理工作绩效评价IT工作内容和技能要求软件开发管理需求和方案、设备部署、功能和性能配置、测试和上线软件需求、软件设计、代码编程和测试、代码保护等重大变更、审核和测试、风险控制、实施与报告巡检、事件请求和报告、协调、处理、用户满意度关注IT部署与集成IT运维管理重点项目实施信息资源归档、分类、分级；信息安全保障体系建设信息安全保障面向管理层的IT管理工作年度工作计划IT投资预算IT价值和绩效IT部门工作报告重大IT事项报告信息安全发展报告决策与计划标准化、体系化：策略、监督与检查执行：部署与实现信息安全管理措施汇编安全管理措施分类，自上而下，全局分析IT部门工作规范化项目管56安全事件：如何防患于未然携程网被爆出重大安全漏洞安全支付日志可遍历下载和源代码包可直接下载。被泄露的支付日志的信息包括了：持卡人姓名、身份证、银行卡类别、银行卡号、CVV码和银行卡6位Bin等，这些信息可被用于盗刷卡。其后携程确认了漏洞，称已经在漏洞发布两小时内修复该问题，没有发生盗刷的情况。目前已有大量用户对相关信用卡进行了挂失处理，而专家也建议用户拨打对应银行的客服电话申请停卡，或直接办理挂失。乌云漏洞前已经通过该漏洞获取安全日志，由于日志采用的是明文记录，黑客无需破解就可以拿到支付数据目录遍历。违规：根据中国银联风险管理委员会2008年发布的银联卡收单机构账户信息安全管理标准中命令禁止本地保存银行卡信息:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”安全配置不当：保存日志的服务器未做严格的安全配置，支付过程中的调试数据可被黑客获取。对这一行为，此前携程在接受媒体采访时的回答是：携程网采用的信用卡支付方式符合国际惯例。事件描述漏洞描述原因分析信息安全管理措施汇编安全事件：如何防患于未然携程网被爆出重大安全漏洞事件描述漏洞57安全事件发生及解决之道：PDCA示例现状描述问题分析解决方法方案实施解决效果事件现状抓图的组织逻辑（技术便于诊断分析）技术分析应对措施过程和组织流程职能部门技术方案产品/措施选型投入-产出估算实施路径部署集成效果测试技术度量标准：标准现状检测和对比结果人员继续度量事件解决过程-事后事前的工作？安全预防为主信息安全管理措施汇编安全事件发生及解决之道：PDCA示例现状描述问题分析解决方法58理解IT人员的工作：任务众多的IT运维管理工作灾备管理灾备策略灾备切换应急流程资产识别与管理数据文档计算环境软件管理系统软件应用软件专用设备机房设备网络管理介质管理网络区域网络地址文档管理访问管理变更操作技术操作安装部署自动分发系统软件系统变更应用变更用户管理网络访问数据变更补丁管理操作变更数据访问机房访问应用软件VPN访问维修变更网络变更监测故障监测网络监测虚拟化监测应用监测机房监测主机监测网络设备安全设备存储设备负载均衡物理设施服务器中间件监测性能监测-恶意软件防护-备份-日志和监控-运行软件控制（补丁管理等）-脆弱性管理-审计与控制信息安全管理措施汇编理解IT人员的工作：任务众多的IT运维管理工作灾备管理灾备策59安全管理人员一天的工作，解决问题，治标和治本并行日常运维管理项目工作巡检资产-配置操作请求-事件处理记录与报告需求确定供应商选择产品-服务实施验收风险评估处置计划安全管理人员访问控制-通信系统获取-开发定期计划记录记录岗位计划记录实施计划大的安全事件;需求驱动信息安全管理措施汇编安全管理人员一天的工作，解决问题，治标和治本并行日常运维管理60示例：服务器安全巡检基准：明确的策略要求方法：人工核查，渗透测试结果：与策略的符合性判断整改：达到的标准-方案疑问：策略中应该包括哪些要求信息安全管理措施汇编示例：服务器安全巡检基准：明确的策略要求方法：人工核查，渗透61发现问题，如何加固问题发现缺乏制度或策略规定口令简单整改意见给出判断依据银监会计算机安全规定达到的目标：口令12个字符限期：1月报告或复评：提交给科技风险管理部被检查方的疑惑直接配置修改？需要走怎样的流程？监督、复审？信息安全管理措施汇编发现问题，如何加固问题发现信息安全管理措施汇编62口令修改操作引发的思考，常见的情景-牛人的世界和程序控制的世界口令简单修改执行规模小或技术高明IT人员直观的工作方法口令简单口令修改操作程序细心的IT人员的工作方法修改执行口令简单制定修改方案方案审核和测试修改执行过程严格的IT人员工作方法分界线的标准？分界线的标准？情景一情景二情景三含策略信息安全管理措施汇编口令修改操作引发的思考，常见的情景-牛人的世界和程序控制的世63三种情景的对比，效率、成本和风险的均衡任务和责任明确、风险分担严谨、工作成熟度高知识积累完善逐步降低对人的依赖人员分工细化正面变化显得繁琐初始降低效率参与人员增多增加管理人员工作量负面变化作业程序：为什么需要作业程序，适用场景？审核测试：为什么需要它，适用场景？程序越来越复杂效率可能降低风险呢？信息安全管理措施汇编三种情景的对比，效率、成本和风险的均衡任务和责任明确、风险分64牛人的困惑，用得着这么复杂；程序控制将技术问题复杂化，将技术问题变化为管理问题口令强度：密码算法、配置口令加固：本地安全策略账号配置信任什么：如何确保加固工作可控？信人，还是相信程序？风险控制：加固工作存在什么风险？有应对措施吗，应对措施可靠吗？绩效度量：加固工作进展和效果如何，量化指标和度量方法？牛人的技术自信管理层的考量：共性、可重复、绩效-闭环技术问题管理问题信息安全管理措施汇编牛人的困惑，用得着这么复杂；程序控制将技术问题复杂化，将技术65“情景一、二”的安全管理工作的分析工作过程识别安全隐患针对安全隐患给出改进措施改进措施的执行由“牛人”负责执行与PDCA的对比：P：通过安全风险评估（只是隐患识别一部分）确定安全需求，提出处置建议D：有专人执行处置措施C、A：可能有检查安全状况的活动，可能有定期安全汇报实时性不足文件情况：一级文件：可能没有明确的、全企业范围内的安全目标，很可能有基于可用性的风险接受准则二级文件：可能有口令安全策略文件，内含基本的检查和策略性要求三级文件：看供应商是否提供配置指南四级文件：工作记录由牛人自主现状剖析与改进优势：改进快，短期内效率高安全策略在牛人的记忆中，反应快安全人员少，一岗多人，牛人利用程度高（人员利用不均衡）检查和执行任务安排灵活，适用于小规模系统不足：缺乏规程和记录，成熟度不足依赖于牛人，不同人执行的效果相差大缺乏统筹的发布计划缺乏全局安全目标和方法，安全职责上下层人员关联不足体系文件缺乏主动完善力量适用环境：1）牛人的工作方法适合于怎样的环境；2）情景一、二的适用环境；3）管理层的考量是否有道理，适用环境。信息安全管理措施汇编“情景一、二”的安全管理工作的分析工作过程现状剖析与改进优势66各自的适用场景改进方向：1）更复杂和重要的环境中的变更管理；2）具备共性、可操作的度量指标。情景一：1）依赖牛人的记忆，牛人的技能；2）其他人来做呢？3）万一失手，责任算谁的，管理层的？情景二：操作规程。1）其他人也可以实施；2）实施方案或操作的可靠程度？2）风险和责任归属？情景三：1）其他人可实施；2）管理层了解方案的风险和应对措施，管理层可为结果负责；3）可重复程度高资产重要性低规范性不足资产重要性低降低人员成本资产重要性高环境复杂企业规模小大信息安全管理措施汇编各自的适用场景改进方向：情景一：1）依赖牛人的记忆，牛人的技67情景三：影响程度和责任范围是一般设备还是关键设备（如数据库主机）1是否影响业务运行2操作方法是否可行（如经过测试）3是否需要购买新产品4影响和责任系统管理员业务主管IT主管项目管理口令简单制定修改方案方案审核和测试信息安全管理措施汇编情景三：影响程度和责任范围是一般设备还是关键设备（如数据库主68影响程度和责任范围现场操作是否需要业务人员配合1是否需要厂商支持2是否需要服务商（如制定专门运维制度）3是否需要通知可能被影响的其他人员4业务操作人员技术支持人员IT服务顾问其他人员方案审核和测试修改执行信息安全管理措施汇编影响程度和责任范围现场操作是否需要业务人员配合1是否需要厂商69问题的深入剖析：管理的要求比技术内容多强度和加固信任什么风险控制绩效度量口令强度：复杂程度长度登录阈值变更周期存储方式传输方式场景和系统-重要性，操作可能不同必要的程序：风险三道防线-纵深防御人的能力和精力有限人的立场、利益-制衡和职责分离变更管理：控制风险为目标-较大变更的控制方案-测试-风险-应对措施评审-风险分担绩效度量：实施成功率工作时间口令有效程度残余风险成本重要系统风险大信息安全管理措施汇编问题的深入剖析：管理的要求比技术内容多强度和加固信任什么风险70需要哪些管理程序或活动强度和加固口令强度：复杂程度长度登录阈值变更周期存储方式传输方式场景和系统-重要性，操作可能不同安全策略制定资产管理：资产分类资产分级资产责任组织环境：业务和IT规模物理环境信息安全管理措施汇编需要哪些管理程序或活动强度和加固口令强度：安全策略制定资产管71需要哪些管理程序或活动信任什么必要的程序：风险三道防线-纵深防御人的能力和精力有限人的立场、利益-制衡和职责分离风险管理：风险识别风险评价应对措施安全组织：组织结构角色职责分离人力资源安全：任用条件保密协议安全责任和纪律涉及的主要人员实施人员：服务台、系统管理员、测试人员决策人员：IT主管、业务主管、项目主管、高层的委员会之类的外部支持人员：厂商、服务商质量和监督人员：安全管理员信息安全管理措施汇编需要哪些管理程序或活动信任什么必要的程序：风险管理：安全组织72需要哪些管理程序或活动风险控制变更管理：控制风险为目标-较大变更的控制方案-测试-风险-应对措施评审-风险分担安全组织：变更管理组织角色和职责分离：制定、评审、测试运行安全：变更管理操作程序文件化变更执行：访问控制通信安全：网络隔离与控制供应商管理：供应商安全供应商交付若需要购买新产品信息安全管理措施汇编需要哪些管理程序或活动风险控制变更管理：安全组织：运行安全：73需要哪些管理程序或活动绩效度量绩效度量：实施成功率工作时间口令有效程度残余风险成本风险管理：风险识别风险评价应对措施符合性：安全策略的符合性技术符合性评审持续运行：安全事件管理业务持续性中的信息安全运行安全：日志、数据备份访问控制：鉴别信息管理、用户责任信息安全管理措施汇编需要哪些管理程序或活动绩效度量绩效度量：风险管理：符合性：持74口令检查中涉及哪些管理要素：且看27001的内容4.组织环境5.领导力6.体系策划7.支持8.运行与控制9.绩效度量10.持续改进PDCA的要求A.5安全策略A.6组织安全A.7人力资源安全A.8资产管理A.9访问控制A.10密码支持A.11物理与环境安全A.12运行安全A.13通信安全A.14系统获取、开发与维护A.15供应商管理A.16安全事件管理A.17业务持续中的信息安全A.18符合性14个控制域信息安全管理措施汇编口令检查中涉及哪些管理要素：且看27001的内容4.组织环境75涉及的非技术因素：总共12个要素服务器：资产分类和分级人力资源和安全组织访问控制-变更管理（运行安全）-通信安全操作约束和风险控制安全策略依据物理和环境安全：边界、安全区域支撑运行安全、安全事件、持续性、有效性现状-改进-持续运行A.9、12、13、16-17-18A.6-7A.5A.8A.11供应商管理新产品替换A.15信息安全管理措施汇编涉及的非技术因素：总共12个要素服务器：资产分类和分级人力资76口令检查和改进中涉及的技术和管理巡检问题与改进安全策略配置操作-技术差距-隐患安全策略-更新技术方案：访问控制、运行安全（文件化）、资产分级变更管理变更组织风险控制测试和审核执行：物理安全、访问控制、网络管理新产品：供应商管理持续改进？运行安全：安全状态安全事件持续性管理符合：技术有效性A.9、12A.6-7A.5A.8A.9、11、13A.15A.12、16-17-18密码支持是基础系统获取与开发暂时未涉及信息安全管理措施汇编口令检查和改进中涉及的技术和管理巡检问题与改进安全策略安全策77具体点：技术和管理的关系，偶然和必然的关系DB服务器常见安全工作：工具或人工识别漏洞：口令简单风险评估：优先级高加固P:有无识别的要求（目标、人、岗位）和程序风险分析-影响和变更级别控制目标和控制措施选择D:加固/补丁管理制度-程序C:运行效果评价D:管理者牵头的持续行动解决具体的漏洞问题其他设备？会重复？谁负责这项工作？如何持续检查和改进？两种方式的比较首先关注的不是这个问题的具体解决措施是一类如此问题的识别和措施选择的方法其他设备关注工作效果，关注是否重复发生？组织体系：管理层的职责漏洞和加固是偶然，还是必然？信息安全管理措施汇编具体点：技术和管理的关系，偶然和必然的关系DB服务器常见安全78技术和管理：管理明向，技术利器安全技术安全管理优势小组织、小系统技术自信效率高失误影响小作用直接对抗威胁需要管理活动明确方向-目标需要管理控制风险优势较大组织、大系统过程自信追求复杂工作环境下的高效率高失误影响大作用分配职责明确方向-目标控制风险技术和管理并重技术是神马？有哪些类型关键内容管理是神马？有哪些类型关键内容信息安全管理措施汇编技术和管理：管理明向，技术利器安全技术安全管理优势优势技术和79示例：技术和管理融合，才能确保信息安全安全组织与制度计划与目标人员组织岗位与流程配置一致风险管理制度要求监督检查服务台绩效指标操作程序安全技术运维管理域内容鉴别与访问控制审计弱口令改进信息安全管理措施汇编示例：技术和管理融合，才能确保信息安全安全组织与制度计划与人80安全技术和安全管理的关系：技术、管理、运维设备功用脆弱性面临的威胁风险安全控制目标安全控制措施发生可能性影响数据库主机存储、处理核心业务数据管理员弱口令猜测获得管理员口令高冒充管理员篡改业务数据确保威胁者无法猜测管理员口令1、增加口令复杂程度2、缩短口令变更周期（从3月到1月）管理要素具体要求计划与目标在发现问题后1天内，非业务高峰期完成人员组织信息安全管理员督促系统管理员完成此改进工作制度要求安全策略1、10个字母，含特殊字符2、口令变更周期：1月管理制度遵循计算机信息系统安全管理制度要求监督检查信息中心主任检查工作完成状况风险管理残余风险和是否引入新的风险运维管理要素具体描述服务台受理请求、分派请求、跟踪和反馈请求信息岗位与流程事件处理和方案评审操作程序遵循AIX主机操作手册配置一致变更跟踪、保持、通告绩效指标1、是否在预定时间内完成2、是否一次性完成，无返工3、正确率4、若操作失误，对系统的影响程度怎样？需要制度保障成熟的执行力风险要点完备信息安全管理措施汇编安全技术和安全管理的关系：技术、管理、运维设备功用脆弱性面临81小结-信息安全管理体系：通过PDCA选择、运行、监视和优化控制要素物理环境资产管理符合性通信与操作管理系统建设与维护安全方针：安全目标和策略人力资源安全信息安全组织安全事件管理业务持续性管理访问控制风险评估资产脆弱性威胁风险分析可容忍的风险管理控制PDCA：管理控制优化供应商管理密码管理组织环境信息安全管理措施汇编小结-信息安全管理体系：通过PDCA选择、运行、监视和优化控82主题四12345关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编主题四12345关于信息安全的定位安全管理措施信息安全风险的83等级保护是什么根据信息系统在国家安全、经济建设、社会生活中的重根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级划分为不同的安全保护等级并对其实施不同的并对其实施不同的保护保护和和监管监管。信息安全管理措施汇编等级保护是什么根据信息系统在国家安全、经济建设、社会生活中的84等级保护制度体现国家管理意志体现国家管理意志构建国家信息安全保障体系构建国家信息安全保障体系保障信息化发展和维护国家安全保障信息化发展和维护国家安全信息安全管理措施汇编等级保护制度体现国家管理意志信息安全管理措施汇编85解决什么信息安全等级保护是手段，是为了构建国家信息安全保障体系。信息安全等级保护是手段，是为了构建国家信息安全保障体系。信息安全保障体系也是手段，是为了业务应用发展。信息安全保障体系也是手段，是为了业务应用发展。信息安全等级保护是带有很强技术性的国家风险控制行为信息安全等级保护是带有很强技术性的国家风险控制行为信息安全管理措施汇编解决什么信息安全等级保护是手段，是为了构建国家信息安全保障体86第一级信息系统受到破坏后，会对公民、法人和其他组信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。和技术标准进行保护。信息安全管理措施汇编第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益87第二级信息系统受到破坏后，会对公民、法人和其他组织的合法信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害权益产生严重损害,或者对社会秩序和公共利益造成损害，但或者对社会秩序和公共利益造成损害，但不损害国家安全。不损害国家安全。信息系统运营、使用单位应当依据国家有关管理规范和技信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导息安全等级保护工作进行指导信息安全管理措施汇编第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益88第三级信息系统受到破坏后，会对社会秩序和公共利益造信息系统受到破坏后，会对社会秩序和公共利益造成严重损害成严重损害,或者对国家安全造成损害。或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。信息系统信息安全等级保护工作进行监督、检查。信息安全管理措施汇编第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害89第四级信息系统受到破坏后，会对社会秩序和公共利益造信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害成特别严重损害 ,或者对国家安全造成严重损害。或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进全监管部门对该级信息系统信息安全等