《制定安全计划》PPT课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,2,章 制定安全计划,内容提要,计划的组成部分,制定机构计划,计划分级,信息安全实施计划,安全系统开发生命周期,2.1,计划的组成部分,为了有效地推行一个计划，机构的领导者必须首先制定文档，清楚地说明机构的道德观念、企业理念和哲学理念。,任务,前景,价值声明,战略,2.1,计划的组成部分,任务（,mission,）,一个机构的任务声明（,mission statement,）就是明确地界定机构的业务及其操作范围。从某种意义上说，它就是机构的身份证。例如：,xxx,公司为行业用户提供信息化整体解决方案。,对于信息安全部门而言，它们可以承诺保证信息的机密性、完整性、可用性或者像下面那样，提供一份更加详细的信息安全部门职能的描述。这个任务声明应该出现在机构整体计划的,“,信息安全角色及其相关责任,”,这一部分当中。,2.1,计划的组成部分,信息安全部门负责识别、评估和恰当地管理,X,公司的信息和信息系统所面临的风险。,它评价应对风险的各种方案，和全公司的其他部门一起商定解决方案，并采用恰当的方式主动地响应同样的风险。,信息安全部门还负责制定适用于整个机构和外部信息系统（例如外部网）的安全要求，（这些要求包括策略、标准、过程）。,最重要的是，该部门全权负责对,X,公司的信息系统带来潜在威胁的所有事务，包括设法避免、阻止、检测各种威胁或恢复系统。,2.1,计划的组成部分,这些威胁包括（但不局限于）以下几条：,非授权存取信息,非授权使用信息,非授权暴露信息,非授权分割信息,非授权更改信息,非授权破坏信息,非授权复制信息,无效信息,2.1,计划的组成部分,前景,计划的第,2,个组成部分是前景声明（,vision statement,）。和任务声明相比，后者解释机构是什么，而前者解释机构希望成为什么。因此，前景声明应该是雄心勃勃的。毕竟，它们代表一个机构的志向，并展现了机构的未来。换句话说，前景声明描述的是公司的美好未来。一些机构往往混淆了前景声明和任务声明之间的区别，,xxx,的前景声明如下：,让,xxx,公司成为,xx,行业需求用户的首选，让每一个需要,xx,解决方案的用户都使用,xxx,的产品。,这是非常醒目、且雄心勃勃的前景声明。即使它看起来不太现实，但前景声明并不意味着可行，而仅仅是可能。,2.1,计划的组成部分,价值声明,计划的第,3,个组成部分是价值声明。股东和公众的信任、信心对任何机构来说都是很重要的因素。通过在价值声明中确立一套正式的机构原则、标准、品质以及评估行为的基准，机构就能让员工和公众清楚地把握其经营和业绩状况。,正直、诚实、激情和尊重别人是微软的企业哲学，,xxx,的价值声明如下：,“,xxx,重视承诺、向员工强调正直、诚实和具有社会责任感，努力使其服务与公司、社会、法律以及自然环境相协调。,”,任务、前景和价值声明三者合一，共同构成了计划的哲学基础，并指导战略计划的制定。,2.1,计划的组成部分,战略,战略或战略计划是机构确定长期发展方向的基础，战略计划一般用于指导机构的活动，并着眼于在复杂多变的环境中根据具体明确的目标来管理资源。,简言之，,战略计划是一种有序的活动，它提供基本的决策并采取行动，以长远目光形成和指导一个机构是什么、做什么和为何要做。,战略计划在机构的最高阶层形成，并转换到中间管理层更具体的战略计划之中，然后这些计划又转换成高级管理者的战术性计划，并最终为机构的一般员工执行的可具体实施计划提供方向。这种多层次的方法包含两个关键目标：综合战略计划和总体战略计划。首先，综合战略计划转换到具体战略计划之中；其次，总体战略计划转换成下一级战术性计划和操作,。,2.1,计划的组成部分,2.2,制定机构计划,机构开发出一个综合战略计划之后，必须根据已有的数据制定一个总体战略计划，把综合战略计划转化成各主要部门的具体战略计划。每一级部门再把那些目标转化成更具体的下一级目标。,例如，一个首席执行官可能制定出如下的综合战略：,为企业提供最高档次的医疗保健服务,。,为了执行这个大的战略并将具体细节付诸实施，执行组（有时称机构的,C,层）必须首先确定个人的责任，而责任的分配必须保持总体战略的完整性。例如：,2.2,制定机构计划,首席操作官（,COO,）可能得出一个不同的战略目标，更多的着眼于他或她的具体责任：,提供最高品质的医药服务,。,首席信息官可能将前面的概述转化成更具体的细节：,提供高级的医疗保健信息服务以支持企业最高品质的健康服务,。,对于首席信息安全官来说，他的职责包括：,确保安全地提供医疗健康信息服务，并符合美国各州和联邦的信息处理流程、信息安全、隐私权法令，特别是遵从,1996,健康保险便携性和责 任 法 案,（,HIPPA,）。,2.2,制定机构计划,从战略层到它的下一级的目标转化更富有艺术性而不是科学性，这有赖于执行官对整个机构的战略目标的了解和理解能力，有赖于他对机构内每个部门的战略和战术的了解和领会能力，以及和同级、上级、下级的磋商能力。,。,2.3,计划分级,一旦机构的总体战略计划转化成各个主要部门的战略目标（比如信息安全组），下一步就是把这些战略转化成具体的、可评估的、可达到的以及时间明确的任务。然后，战略计划就开始从综合的、全面的陈述朝着更具体的应用目标转化。战略计划用以制定战术计划，而战术计划用以开发操作计划。,2.3,计划分级,与战略计划相比，,战术计划着眼于更短的时期（通常,1 3,年），,它把每一个应用性的战略目标细分成一系列递增目标，每一目标必须是具体的并且最好在一年内有一个交代。,预算、资源分配和人力是战术性计划的关键部分，,战术计划经常包括,项目计划,和,资源获取计划,文档（如产品说明书）、项目预算、项目复审、月度和年度报告。,操作计划源于战术性计划,管理者和雇员运用它们来管理日常的事务。,一个操作计划包括跨部门的协调活动、需求交流、每周会议、总结、进度报告和合作任务。,例如，信息安全操作计划的目标包括防火墙的选择、配置和应用，或者包括,SETA,（安全的教育、培训和提升安全意识）项目的设计和实施。每项任务,（项目）,都需要一个有效的、贯穿整个任务开发过程的战术性计划。,2.4,信息安全实施计划,在总体战略计划转化成战术计划和操作计划的过程中，,CIO,和,CISO,（首席信息安全官）起着重要作用。,CIO,负责对,CISO,和其他的,IT,部门主管制定和实施的计划进行管理，这些计划支持机构的整体战略并与其保持一致。,CIO,也必须确保机构各个,IT,职能部门能对计划提供广泛的支持，而且没有一个部门被遗漏。,同,CIO,相 比，,CISO,在 详 细 计 划 制 定 中 将 起 到 更 积 极 的 作 用。,2.4,信息安全实施计划,通常，信息安全部门主管的工作：,为 X 公司未来的信息安全前景制定一份信息安全战略计划（利用不断改进的信息安全技术，该计划能满足一系列的目标，例如管理信用和法律责任、消费者对安全的现代商业活动的期望，以及有竞争力的市场需求）,。,理解 X 公司的基本商业行为，基于这种理解，提出合理的信息安全解决方案以保护好这些行为。,制定行动计划、进度表、预算、状态报告，以及其他的高层管理交流活动以提高信息安全在 X 公司的地位。,2.4,信息安全实施计划,一旦,CIO,将机构的整体战略计划转化成,IT,和信息安全部门的目标，并进一步由,CISO,转化成战术性和可操作性的计划，信息安全计划的实施就可以开始了。,信息安全计划的实施可以通过自下而上和自上而下两种途径来实现：,2.4,信息安全实施计划,自下而上方法,指系统管理员试图从系统的底层来增强系统的安全。,这种方法的主要优势在于它可以利用单个系统管理员的专业技术，这些管理员每天都在从事信息系统工作。系统和网络管理员所具备的高度的专业知识能在很大程度上改善一个机构的信息安全状况。这些专业人员懂得并理解他们系统可能受到的威胁以及成功保护系统所必须采用的机制。,遗憾的是，因为缺乏大量的关键信息和资源，诸如来自上层管理的调整计划、部门间的协调和充足的资源，这种方法很少能起到真正的作用。,2.4,信息安全实施计划,自上而下方法,高层管理者提供资源和指导，发布政策、措施以及处理步骤，指定项目的目标和预期效益，每个步骤都必须有专人负责。,自上而下方法要取得成功，通常有,强大的上层支持、,坚定的拥护者、,稳定的投资,、,清晰的计划和实施步骤,，还有,影响一个机构理念的能力,。这样的方法需要有一个理想的领导，即一个有足够影响力的执行者来推动项目前进，确保管理正确，并力求使这些方法为整个机构所接受。颇具代表性的是，首席信息安全官员或者其他高级管理者，比如信息技术副总经理可以作为一个长远的信息安全项目的倡导者。,终端用户的参与和支持也是该项工作成功的关键。因为自上而下工作的实施和结果直接影响着这些终端用户，所以他们必须被包括在信息安全计划之中。,2.5,安全系统开发生命周期,系统开发生命周期（,SDLC,）是一个机构设计并实施其信息系统的常用技术路线，是一种基于结构化过程的解决问题的方法。,所谓,SecSDLC,（安全系统开发生命周期）是该方法的一种变形，用于建立整体的安全状态。,传统的瀑布模型,SDLC,的,6,个阶段。瀑布模型这个术语表明每一阶段的终点都将作为下一阶段的起点。,这些威胁包括（但不局限于）以下几条：,调查阶段,分析阶段,逻辑设计阶段,物理设计阶段,实施阶段,维护阶段,2.5,安全系统开发生命周期,传统系统开发生命周期方法也适合支持一个安全系统项目，并演变成安全系统开发生命周期（,SecSDLC,）方法。安全系统开发生命周期的过程包括识别具体的威胁和风险，然后设计和实施特定的控制来解除这些威胁，同时，辅以风险管理手段。,如此，把信息安全变为一套连贯的策略计划，而不只是对单个威胁和攻击进行反应。,2.5,安全系统开发生命周期,调查阶段,安全系统开发生命周期的调查阶段以高层管理层的指示开始，指主要明确该项目的过程、结果、项目最终目标以及项目的预算成本和其他约束条件。,通常，该阶段首先确定或者设计安全策略，机构的安全计划方案将以此为基础。,相关的管理人员、员工、顾问共同分析各种问题，定义所涉及的范围，明确阶段目标和最终目标，找出企业安全策略中未顾及的附加约束条件。,最后，可行性分析将决定机构是否有资源和责任来进行成功的安全分析和设计。,2.5,安全系统开发生命周期,分析阶段,分析阶段将对调查阶段的文档进行研究。在调查阶段，开发小组对现存的系统安全策略或安全计划方案进行初步的分析，并记录了当前的威胁和相关的控制。该阶段也对有关的法规进行了分析，这些法规将影响安全解决方案的设计。,风险管理也在该阶段开始。风险管理过程主要是识别、评定、估计机构所面临的风险等级，特别是对机构安全和他所存储加工的信息的威胁。,为了更好地理解安全系统开发生命周期（,SecSDLC,）的分析阶段，应当了解相互联系的信息技术领域内机构所面对的各种威胁。在这种环境下，威胁可以是一个对象、一个人或其他的实体，它们都带给资产持续的危险。,2.5,安全系统开发生命周期,2.5,安全系统开发生命周期,以上列表中的威胁可能会表现为针对一个机构信息系统及其信息资产的攻击，包括技术攻击和非技术攻击。,技术攻击可能包括利用漏洞来达到危害一个系统的目的；反之，非技术攻击可能包括自发事件或不那么复杂的方法。,一些技术攻击的类型：,恶意代码（,maliciouscode,）：病毒、蠕虫、特洛伊木马的破坏以及企图破坏或窃取信息的活动网页脚本。,恶作剧（,hoaxes,）：一种对时间和资源的浪费，或是掩盖在看似合法信息面具下的攻击。,后门（,back doors,）：由系统设计者留下，或由恶意代码安装。,2.5,安全系统开发生命周期,口令破解（,password crack,）：试图反向计算