信息系统的安全策略教材

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/2/8,#,第,10,章信息系统的安全策略,10.1,信息系统安全策略的内涵,10.2,信息系统安全策略的方案,10.3,信息系统安全管理的实施,10.4,系统备份和恢复,10.5,审计与评估,10.1,信息系统安全策略的内涵,安全策略是安全管理的指导原则,安全策略的目的与内容,安全策略的基本流程,安全策略的特征,与信息安全策略有关的名词简介,10.1,信息系统安全策略的内涵,信息安全策略（,Information Security Policies,）是对信息安全管理系统（,information security management system ISMS,）的目的和意图的高层次描述。,安全策略应符合业务需求和相关法律、法规，应能提供管理的方向和支持。安全策略形成的文件应获得管理层的批准，应与内外部相关的团体、部门沟通并向所有员工发布，应按计划或变化进行评审和改进，确保策略的持续性、稳定性、充分性与有效性。,概括地讲，安全策略为确保,ISMS,的“安全”，提供,ISMS,“资源与现状”的“需求”、提出,ISMS,“目标与原则”的“要求”。,实际上的安全管理都是分级、分层次的，所以可以有各级、各层次的安全策略。,安全策略是安全管理的指导原则,信息安全策略是组织对信息系统安全进行管理、保护的指导原则。在安全策略的指导下开展安全技术项目、订立安全管理制度、组织协调实施、监督、检查与改进，并形成为对系统安全的要求和目标进行详细描述的高层的管理文档。信息安全策略陈述信息安全系统应该做什么以及如何去做。信息系统的安全策略是信息安全管理的重要组成部分。没有一个好的安全策略，就可能对信息安全的指挥发生漏洞与混乱，对安全造成极大的危害，对社会与经济带来极大的损失。,10,1,2,安全策略的目的与内容,安全策略的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（,ISMS,）的规范，实现信息安全的机密性、完整性和可用性。,制定安全策略的目的，是为了保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容主要是确定所保护的对象是什么、要防范的对象是什么、在安全防范上能投入多少等。,10,1,3,安全策略的基本流程,1,、进行安全需求分析,2,、对网络系统资源进行评估、,3,、对可能存在的风险进行分析,4,、确定内部信息对外开放的种类,5,、明确网络系统管理人员的责任与义务,6,、确定针对潜在风险才去的安全保护措施的主要构成方面,10,1,4,安全策略的特征,网络的安全问题不是单纯的技术问题，安全管理在整个网络安全保护工作中的地位十分重要。任何先进的网络安全技术都必须在有效、正确的管理控制下才能得到较好的实施。,安全策略具有下列一些基本特征：,1.,全面性：安全策略的全面性是指它能够适用于系统的所有情况，具有不用修改就可以适用于出现的新情况。,2.,持久性：安全策略的持久性是指它能够较长时间地适用于系统不断发展变化的情况。为了保持持久性，在制定安全策略时可将可能发生变化的部分单列，允许有权限的人员在将来系统变化时修改。,10,1,4,安全策略的特征,3.,现实性：安全策略的现实性是指它能够适用于系统所采用的现有技术实现。,4.,预见性：安全策略的预见性是指它能够适用于系统的,5.,有效性：安全策略的有效性是指对于系统的有关人员都是可用的。,10,1,5,与信息安全策略有关的名词简介,1.,资产,(asset),：具有价值的信息与相关财产；,2.,保密性,(confidentiality,),：资产不能被未授权的个人、实体、流程访问披露。,3.,完整性,(integrity,),：资产的真实、可靠、准确、可确认和不可否认性。,4.,可用性,(availability,),：信息与相关资产可保证被授权的使用者访问。,5.,信息安全,(information security,),：信息的保密性、完整性、可用性及其他属性受到安全保护；,6.,管理系统,(management system),：包括组织结构、策略、指导、职责、实践、程序、流程和资源的整体。,7.,信息安全管理系统（,information security management system ISMS,）：建立在信息安全的基础上，以开发、实施、运行、评审、维护和改进信息安全的管理系统。,8.,风险分析,(risk analysis,),：系统化地使用信息识别来源和估计风险。,10,2,信息系统安全策略的方案,制定信息系统安全策略方案的参考标准,信息系统安全策略需要考虑的范围,制定信息系统安全策略方案的重点和原则,信息系统安全策略的文档格式,电子商务安全策略方案设计模拟,制,定,定,信,信,息,息,系,系,统,统,安,安,全,全,策,策,略,略,方,方,案,案,的,的,参,参,考,考,标,标,准,准,1.ISO/IEC27000,系,列,列,标,标,准,准,：,：,国,际,际,标,标,准,准,化,化,组,组,织,织,（,（,ISO,）,与,与,国,国,际,际,电,电,工,工,委,委,员,员,会,会,（,（,IEC,）,从,从,2005,年,起,起,，,，,陆,陆,续,续,修,修,订,订,出,出,信,信,息,息,安,安,全,全,管,管,理,理,系,系,统,统,的,的,ISO/IEC27000,标,准,准,族,族,，,，,成,成,为,为,国,国,际,际,信,信,息,息,安,安,全,全,领,领,域,域,的,的,重,重,要,要,标,标,准,准,，,，,目,目,前,前,已,已,发,发,布,布,和,和,待,待,发,发,布,布,的,的,部,部,分,分,标,标,准,准,简,简,介,介,如,如,下,下,：,：,ISO/IEC27000,：,概,概,述,述,信,信,息,息,安,安,全,全,管,管,理,理,系,系,统,统,的,的,原,原,测,测,与,与,术,术,语,语,。,。,ISO/IEC27001,：,2005,信,息,息,安,安,全,全,管,管,理,理,系,系,统,统,-,规,范,范,与,与,实,实,用,用,指,指,南,南,。,。,ISO/IEC27002,：,2005-,信,息,息,安,安,全,全,实,实,践,践,规,规,则,则,。,。,（,（,ISO/IEC17799,),）,ISO/IEC27003,：,将,将,提,提,供,供,附,附,加,加,指,指,导,导,。,。,ISO/IEC27004,：,将,将,提,提,供,供,评,评,估,估,测,测,试,试,标,标,准,准,。,。,ISO/IEC27005,：,信,信,息,息,安,安,全,全,风,风,险,险,管,管,理,理,标,标,准,准,。,。,10,2,2,信,息,息,系,系,统,统,安,安,全,全,策,策,略,略,需,需,要,要,考,考,虑,虑,的,的,范,范,围,围,ISO/IEC27001:2005,附,录,录,A,（,引,引,用,用,自,自,ISO/IEC17799,）,中,中,列,列,举,举,了,了,信,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,的,的,控,控,制,制,目,目,标,标,和,和,控,控,制,制,措,措,施,施,，,，,主,主,要,要,涉,涉,及,及,11,个领域,的,的,39,个控制,目,目标,133,个控制,要,要点。,这,这些内,容,容涵盖,了,了制定,信,信息系,统,统安全,策,策略的,内,内容时,需,需要考,虑,虑的范,围,围。,信息安,全,全管理,系,系统（,ISMS,）的控,制,制目标,和,和控制,措,措施涉,及,及,11,个领域,简,简介如,下,下：,1.,安全策,略,略,(SecurityPolicy),2.,信息安,全,全的组,织,织,(Organization of information security),3.,资产管,理,理,(Assetmanagement),4.,人力资,源,源安全,(Humanresources security),5.,物理与,环,环境安,全,全,(Physicaland environmentalsecurity),6.,通信与,运,运作管,理,理,(Communicationsand operationsmanagement),10,2,2,信息系,统,统安全,策,策略需,要,要考虑,的,的范围,7.,访问控,制,制,(Access control),8.,信息系,统,统采集,、,、开发,与,与维护,(Informationsystemsacquisition,developmentand maintenance),9.,信息安,全,全事件,管,管理,(Informationsecurityincidentmanagement),10.,营运持,续,续性管,理,理,(Businesscontinuitymanagement),11.,符合性,(Compliance),10,2,3,制定信,息,息系统,安,安全策,略,略方案,的,的重点,和,和原则,1.,信息系,统,统安全,策,策略的,重,重点,在全面,考,考虑信,息,息系统,安,安全策,略,略需要,考,考虑的,范,范围的,基,基础上,，,，突出,重,重点：,（,1,）建立,信,信息系,统,统安全,的,的目标,框,框架、,整,整体的,方,方向和,原,原则。,（,2,）业务,及,及法律,法,法规的,要,要求，,承,承担合,同,同的安,全,全义务,。,。,（,3,）建立,组,组织战,略,略、风,险,险管理,和,和维护,信,信息安,全,全管理,体,体系。,（,4,）建立,风,风险评,价,价标准,。,。,（,5,）获取,管,管理层,的,的批准,。,。,10,2,3,制定信,息,息系统,安,安全策,略,略方案,的,的重点,和,和原则,2.,制定具,体,体方案,的,的原则,（,1,）以“,信,信息系,统,统安全,策,策略需,要,要考虑,的,的范围,”,”为参,考,考。,（,2,）以本,组,组织的,信,信息系,统,统的需,求,求、运,行,行实践,与,与风险,分,分析为,根,根据。,（,3,）权,衡,衡安,全,全投,资,资与,风,风险,损,损失,的,的利,弊,弊。,（,4,）兼,顾,顾有,关,关各,方,方的,权,权益,。,。,（,5,）考,虑,虑法,律,律、,规,规定,的,的要,求,求。,10,2,4,信息,系,系统,安,安全,策,策略,的,的文,档,档格,式,式,安全,策,策略,形,形成,的,的文,件,件是,一,一个,高,高层,的,的计,划,划方,案,案,是对,安,安全,策,策略,的,的全,面,面说,明,明与,部,部署,，,，信,息,息系,统,统安,全,全策,略,略的,文,文档,格,格式,如,如下,：,：,1.,企业,电,电子,商,商务,系,系统,概,概况,。,。,2.,企业,网,网络,架,架构,、,、设,备,备、,信,信息,资,资产,现,现状,，,，运,行,行实,践,践与,风,风险,分,分析,。,。,3.,提供,信,信息,安,安全,管,管理,系,系统,（,（,ISMS,）“,资,资源,与,与现,状,状”,的,的“,需,需求,”,”；,提出,ISMS,对各,项,项管,理,理的,“,“目,标,标与,原,原则,”,”的,“,“要,求,求”,。,。,4.ISMS,所要,求,求的,保,保存,在,在各,种,种介,质,质中,的,的记,录,录。,5.,文档,发,发布,、,、沟,通,通与,保,保管,的,的流,程,程安,排,排。,6.,申报,审,审批,等,等有,关,关说,明,明与,补,补充,。,。,10,2,5,电子,商,商务,安,安全,策,策略,方,方案,设,设计,模,模拟,通过,一,一个,模,模拟,的,的中,小,小企,业,业“,信,信控,电,电子,有,有限,责,责任,公,公司,”,”进,行,行综,述,述。,（一,）,