资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信息安全管理体系,培训大纲,一、信息安全面临的风险,二、保护信息安全的方法,三、 完善信息安全治理结构,四、审视业务进行风险评估,五、进行信息安全控制规划,六、建立信息安全管理体系,七、建立完备的,“,技术防火墙,”,八、建立有效的,“,人力防火墙,”,九、对信息安全的检查与审计,信息系统固有的脆弱性,信息本身易传播、易毁损、易伪造,信息技术平台(如硬件、网络、系统)的复杂性与脆弱性,行动的远程化使安全管理面临挑战,信息具有的重要价值,信息社会对信息高度依赖,信息的风险加大,信息的高附加值会引发盗窃、滥用等威胁,一、 信息安全面临的风险,企业对信息的依赖程度:,美国明尼苏达大学,Bush-Kugel,的研究报告指出,企业在没有信息资料可用的情况下,金融业至多只能运行,2,天,商业则为,3.3,天,工业则为,5,天,保险业为,5.6,天。而以经济情况来看,有,25%,的企业,因为的毁损可能立即破产,,40%,会在两年内宣布破产,只有,7%,不到的企业在,5,年后能够继续存活。,层出不穷网络安全事件,全球平均,20,秒就发生一次计算机病毒入侵,互联网上的防火墙大约,25%,被攻破,;,窃取商业信息的事件每月,260%,的速度增加。,公安部公共信息网络安全监察局,2006,年,8,月,25,日发布的一项调查报告显示,,54,的被调查单位发生过信息网络安全事件,比去年上升,5,,其中发生过,3,次以上的占,22,,比去年上升,7,。,73,的安全事件是由于未修补或防范软件漏洞所导致。,据统计,2006,年产生的电脑病毒和木马的数量达到,23,万个,其中,90%,以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。,据统计,,2008,年初全球产生的电脑病毒和木马的数量达到,50,万个,其中,90%,以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。,Baidu,灰鸽子吧,商业间谍无孔不入,在走向现代市场经济的过程中,由于利益多元化格局的形成和利益驱动机制的强化,侵犯企业商业秘密的事件正在迅速增加。,根据美国对本国,1500,家公司的调查,有,1300,家公司承认,它们对国外的竞争对手进行了间谍活动。据估计,美国企业每年投资在经济、科技情报方面的费用高达,300,亿美元。,许多大公司设立专门的竞争情报部门,建立企业竞争情报系统,进入世界,500,强的美国公司中,90%,设有竞争情报部。如,IBM,、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化,而且具有对环境的“早期预警”功能。,向对手的商业机密说“不”,商业机密泄露使企业遭受损失,2004,年的一项调查显示,名列,财富,杂志前,1000,名的公司每年因泄露商业机密而出现的损失高达,450,亿美元,平均 每家公司每年发生,2.45,次泄密事件,损失超过,50,万美元。,景泰蓝、宣纸、青蒿素 、维生素,C,生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失,造成了无可挽回的影响。,思科诉华为,华为诉沪科等知识产权案,使企业和人员都蒙受了损失。,华为诉前员工窃密案,触目惊心的泄密事件,信息安全损失的,“,冰山,”,理论,信息安全直接损失只是冰由之一角,,间接损失是直接损失是,6,53,倍,间接损失包括:,时间被延误,修复的成本,可能造成的法律诉讼的成本,组织声誉受到的影响,商业机会的损失,对生产率的破坏,$10,000,$60,000,$530,000,我国当前信息安全普遍存在的问题,忽略了信息化的治理机制与控制体系的建立,和信息化,“,游戏规则,”,的建立;,厂商主导的技术型解决方案为主,用户跟着厂商的步子走;,安全只重视边界安全,没有在应用层面和内容层面考虑业务安全问题;,重视安全技术,轻视安全管理,信息安全可靠性没有保证;,信息安全建设缺乏绩效评估机制,信息安全成了,“,投资黑洞,”,;,信息安全人员变成,“,救火队员,”,如何实现信息安全?,信息安全反病毒软件防火墙入侵检测系统?,管理制度?人的因素?环境因素?,Ernst & Young,及国内安全机构的分析:,国家政府和军队信息受到的攻击,70%,来自外部,银行和企业信息受到的攻击,70%,来自于内部。,75%,的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有,35%,的组织有持续的安全意识教育与培训计划,66%,的组织认为信息系统没有遵守必要的信息安全规则,56%,的组织认为在信息安全的投入上不足,,60%,从不计算信息安全的,ROI,,,83%,的组织认为在技术安全产品与技术上投入最多,。,在整个系统安全工作中,管理,(,包括管理和法律法规方面,),所占比重应该达到,70%,而技术,(,包括技术和实体,),应占,30%,。,二、 保护信息安全的方法,信息安全体系模型的演变,ISO 7498-2(GB/T 9387.2,1995),PDR,模型,PDRR,安全模型,(P2DR2),IATF,信息保障技术框架,信息安全管理体系,ISMS,人们逐渐认识到安全管理的重要性,作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。,建,立,立,信,信,息,息,安,安,全,全,管,管,理,理,体,体,系,系,对,信,信,息,息,安,安,全,全,建,建,立,立,系,系,统,统,工,工,程,程,的,的,观,观,念,念,用,制,制,度,度,来,来,保,保,证,证,组,组,织,织,的,的,信,信,息,息,安,安,全,全,更,更,有,有,效,效,信,息,息,安,安,全,全,遵,遵,循,循,木,木,桶,桶,原,原,理,理,对,信,信,息,息,系,系,统,统,的,的,各,各,个,个,环,环,节,节,进,进,行,行,统,统,一,一,的,的,综,综,合,合,考,考,虑,虑,、,、,规,规,划,划,和,和,构,构,架,架,并,要,要,时,时,时,时,兼,兼,顾,顾,组,组,织,织,内,内,不,不,断,断,发,发,生,生,的,的,变,变,化,化,,,,,任,任,何,何,环,环,节,节,上,上,的,的,安,安,全,全,缺,缺,陷,陷,都,都,会,会,对,对,系,系,统,统,构,构,成,成,威,威,胁,胁,。,。,需,要,要,对,对,信,信,息,息,安,安,全,全,进,进,行,行,有,有,效,效,管,管,理,理,BHTP,一,一,种,种,实,实,施,施,ISMS,的,有,有,效,效,方,方,法,法,业,务,务,与,与,策,策,略,略,(BusinessandPolicy),人,员,员,与,与,管,管,理,理,(Humanandmanagement),技,术,术,与,与,产,产,品,品,(Technologyandproducts),流,程,程,与,与,体,体,系,系,(ProcessandFramework),治,理,理,与,与,控,控,制,制,环,环,境,境,BHTP,模,型,型,的,的,关,关,键,键,要,要,素,素,业,务,务,与,与,策,策,略,略,根,据,据,业,业,务,务,需,需,要,要,在,在,组,组,织,织,中,中,建,建,立,立,信,信,息,息,安,安,全,全,策,策,略,略,,,,,以,以,指,指,导,导,对,对,信,信,息,息,资,资,产,产,进,进,行,行,管,管,理,理,、,、,保,保,护,护,和,和,分,分,配,配,。,。,确,确,定,定,并,并,实,实,施,施,信,信,息,息,安,安,全,全,策,策,略,略,是,是,组,组,织,织,的,的,一,一,项,项,重,重,要,要,使,使,命,命,,,,,也,也,是,是,组,组,织,织,进,进,行,行,有,有,效,效,安,安,全,全,管,管,理,理,的,的,基,基,础,础,和,和,依,依,据,据,。,。,“,保,护,护,业,业,务,务,,,,,为,为,业,业,务,务,创,创,造,造,价,价,值,值,”,应,当,当,是,是,一,一,切,切,安,安,全,全,工,工,作,作,的,的,出,出,发,发,点,点,与,与,归,归,宿,宿,,,,,最,最,有,有,效,效,的,的,方,方,式,式,不,不,是,是,从,从,现,现,有,有,的,的,工,工,作,作,方,方,式,式,开,开,始,始,应,应,用,用,信,信,息,息,安,安,全,全,技,技,术,术,,,,,而,而,是,是,在,在,针,针,对,对,工,工,作,作,任,任,务,务,与,与,工,工,作,作,流,流,程,程,重,重,新,新,设,设,计,计,信,信,息,息,系,系,统,统,时,时,,,,,发,发,挥,挥,信,信,息,息,安,安,全,全,技,技,术,术,手,手,段,段,支,支,持,持,新,新,的,的,工,工,作,作,方,方,式,式,的,的,能,能,力,力,。,。,人,员,员,与,与,管,管,理,理,人,是,是,信,信,息,息,安,安,全,全,最,最,活,活,跃,跃,的,的,因,因,素,素,,,,,人,人,的,的,行,行,为,为,是,是,信,信,息,息,安,安,全,全,保,保,障,障,最,最,主,主,要,要,的,的,方,方,面,面,。,。,从,国,国,家,家,的,的,角,角,度,度,考,考,虑,虑,有,有,法,法,律,律,、,、,法,法,规,规,、,、,政,政,策,策,问,问,题,题,;,;,从,从,组,组,织,织,角,角,度,度,考,考,虑,虑,有,有,安,安,全,全,方,方,针,针,政,政,策,策,程,程,序,序,、,、,安,安,全,全,管,管,理,理,、,、,安,安,全,全,教,教,育,育,与,与,培,培,训,训,、,、,组,组,织,织,文,文,化,化,、,、,应,应,急,急,计,计,划,划,和,和,业,业,务,务,持,持,续,续,性,性,管,管,理,理,等,等,问,问,题,题,;,;,从,从,个,个,人,人,角,角,度,度,来,来,看,看,有,有,职,职,业,业,要,要,求,求,、,、,个,个,人,人,隐,隐,私,私,、,、,行,行,为,为,学,学,、,、,心,心,理,理,学,学,等,等,问,问,题,题,。,。,技,术,术,与,与,产,产,品,品,可,以,以,综,综,合,合,采,采,用,用,商,商,用,用,密,密,码,码,、,、,防,防,火,火,墙,墙,、,、,防,防,病,病,毒,毒,、,、,身,身,份,份,识,识,别,别,、,、,网,网,络,络,隔,隔,离,离,、,、,可,可,信,信,服,服,务,务,、,、,安,安,全,全,服,服,务,务,、,、,备,备,份,份,恢,恢,复,复,、,、,PKI,服,务,务,、,、,取,取,证,证,、,、,网,网,络,络,入,入,侵,侵,陷,陷,阱,阱,、,、,主,主,动,动,反,反,击,击,等,等,多,多,种,种,技,技,术,术,与,与,产,产,品,品,来,来,保,保,护,护,信,信,息,息,系,系,统,统,安,安,全,全,考,虑,虑,安,安,全,全,的,的,成,成,本,本,与,与,效,效,益,益,,,,,采,采,用,用,“,适,度,度,防,防,范,范,”,(Rightsizing),的原,则,则,流程,与,与体,系,系,建立,良,良好,的,的,IT,治理,机,机制,是,是实,施,施信,息,息安,全,全的,基,基础,与,与重,要,要保,证,证。,在风,险,险分,析,析的,基,基本,上,上引,入,入恰,当,当控,制,制,,建,建立,PDCA,的安,全,全管,理,理体,系,系,,从,从而,保,保证,组,组织,赖,赖以,生,生存,的,的信,息,息资,产,产的,安,安全,性,性、,完,完整,性,性和,可,可用,性,性,安全,体,体系,统,统还,应,应当,随,随着,组,组织,环,环境,的,的变,化,化、,业,业务,发,发展,和,和信,息,息技,术,术提,高,高而,不,不断,改,改进,,,,不,能,能一,劳,劳永,逸,逸,,一,一成,不,不变,,,,需,要,要建,立,立完,整,整的,控,控制,体,体系,来,来保,证,证安,全,全的,持,持续,完,完善,。,。,BHTP,的方,法,法论,决策,层,层对,信,信息,安,安全,看,看法,建立,跨,跨部,门,门的,信,信息,安,安全,委,委员,会,会,良好,的,的治,理,理结,构,构要,求,求主,体,体单,位,位的,IT,决策,必,必须,由,由最,了,了解,组,组织,整,整体,目,目标,与,与价,值,值的,权,权威,部,部门,来,来决,定,定。,三、,完,完,善,善信,息,息安,全,全治,理,理结,构,构,信息,安,安全,组,组织,结,结构,示,示例,安全,工,工作,小,小组,流,流程,示,示例,审视,业,业务,,,,确,定,定,IT,原则,和,和信,息,息安,全,全方,针,针,在进,行,行信,息,息安,全,全规,划,划与,实,实施,安,安全,控,控制,措,措施,前,前,,首,首先,要,要充,分,分了,解,解组,织,织的,业,业务,目,目标,和,和,IT,目标,,,,建,立,立,IT,原则,,,,这,是,是实,施,施建,立,立有,效,效的,信,信息,安,安全,保,保障,体,体系,的,的前,提,提。,组织,的,的业,务,务目,标,标和,IT,原则,将,将直,接,接影,响,响到,安,安全,需,需求,,,,只,有,有从,业,业务,发,发展,的,的需,要,要出,发,发,,确,确定,适,适宜,的,的,IT,原则,,,,才,能,能指,导,导信,息,息安,全,全方,针,针的,制,制定,。,。,信息,安,安全,方,方针,就,就是,组,组织,的,的信,息,息安,全,全委,员,员会,或,或管,理,理当,局,局制,定,定的,一,一个,高,高层,文,文件,,,,用,于,于指,导,导组,织,织如,何,何对,资,资产,,,,包,括,括敏,感,感性,信,信息,进,进行,管,管理,、,、保,护,护和,分,分配,的,的规,则,则和,指,指示,。,在安,全,全方,针,针的,指,指导,下,下,,通,通过,了,了解,组,组织,业,业务,所,所处,的,的环,境,境,,对,对,IT,基础,设,设施,及,及应,用,用系,统,统可,能,能存,在,在的,薄,薄弱,点,点进,行,行风,险,险评,估,估,,制,制定,出,出适,宜,宜的,安,安全,控,控制,措,措施,、,、安,全,全策,略,略程,序,序及,安,安全,投,投资,计,计划,。,。,IT,原则,示,示例,信息,安,安全,方,方针,示,示例,四、,确,确,定,定,IT,原则,与,与安,全,全方,针,针,五、,进,进,行,行风,险,险评,估,估,风险,评,评估,的,的常,用,用方,法,法,目前,国,国内,ISMS,风险,评,评估,的,的方,法,法主,要,要参,照,照,ISO13335,的有,关,关定,义,义及,国,国信,办,办,9,号文,件,件,信息,安,安全,风,风险,评,评估,指,指南,,这,些,些标,准,准把,重,重点,放,放在,信,信息,资,资产,上,上,。,。,缺点,:,:风,险,险评,估,估人,员,员一,般,般最,容,容易,找,找到,的,的资,产,产无,非,非就,是,是硬,件,件类,、,、软,件,件类,的,的资,产,产,,而,而对,安,安全,来,来说,至,至关,重,重要,的,的,IT,治理,、,、组,织,织政,策,策、,人,人员,管,管理,、,、职,责,责分,配,配、,业,业务,流,流程,、,、教,育,育培,训,训等,问,问题,,,,由,于,于不,能,能方,便,便地,定,定义,为,为信,息,息资,产,产,,而,而往,往,往被,视,视而,不,不见,。,。,因此,,,,风,险,险评,估,估经,常,常出,现,现“,捡,捡了,芝,芝麻,、,、丢,了,了西,瓜,瓜”,,,,“,只,只见,树,树木,,,,不,见,见森,林,林”,的,的情,况,况。,完备,的,的风,险,险评,估,估方,法,法,信息,安,安全,涉,涉及,的,的内,容,容决,不,不仅,仅,仅是,信,信息,安,安全,、,、技,术,术安,全,全的,问,问题,,,,它,还,还会,涉,涉及,到,到治,理,理机,制,制、,业,业务,流,流程,、,、人,员,员管,理,理、,企,企业,文,文化,等,等内,容,容。,通过,“,“现,状,状调,查,查”,获,获得,对,对组,织,织信,息,息安,全,全现,状,状和,控,控制,措,措施,的,的基,本,本了,解,解;,通,通过,“,“基,线,线风,险,险评,估,估”,了,了解,组,组织,与,与具,体,体的,信,信息,安,安全,标,标准,的,的差,距,距,,得,得到,粗,粗粒,度,度的,安,安全,评,评价,。,。通,过,过“,资,资产,风,风险,评,评估,”,”和,“,“流,程,程风,险,险评,估,估”,进,进行,详,详细,风,风险,评,评估,,,,根,据,据三,方,方面,的,的评,估,估得,到,到最,终,终的,风,风险,评,评估,报,报告,。,。,现状,调,调查,的,的主,要,要内,容,容,文档,收,收集,与,与分,析,析,组织,的,的基,本,本信,息,息、,组,组织,结,结构,图,图,组织,人,人员,名,名单,、,、机,构,构设,置,置、,岗,岗位,职,职责,说,说明,书,书,业务,特,特征,或,或服,务,务介,绍,绍,与信,息,息安,全,全管,理,理相,关,关的,政,政策,、,、制,度,度和,规,规范,现场,访,访谈,安排,与,与相,关,关人,员,员的,面,面谈,对员,工,工工,作,作现,场,场的,观,观察,加强,项,项目,组,组对,企,企业,文,文化,的,的感,知,知,访谈,提,提纲,:,:管理,层,层、部门,经,经理、员工,,某员,工,工的,访,访问,示,示例,技术,评,评估,工具,扫,扫描、,渗透,测,测试,123,人工,分,分析,系统,安,安全,配,配置,完,完全,检,检测,、,、网,络,络服,务,务安,全,全配,置,置完,全,全检,测,测,包括,用,用户,安,安全,、,、操,作,作系,统,统安,全,全、网络,服,服务,安,安全,、,、系,统,统程,序,序安,全,全,人工,评,评估,记,记录,示,示例,技术,评,评估,综,综述,问卷,调,调研,安全,日,日常,运,运维,现,现状,调,调研,问,问卷,:,:针,对,对组,织,织中,实,实际,的,的应,用,用、,系,系统,、,、网,络,络状,况,况,,从,从日,常,常的,管,管理,、,、维,护,护、,系,系统,审,审计,、,、权,限,限管,理,理等,方,方面,全,全面,了,了解,组,组织,在,在信,息,息系,统,统安,全,全管,理,理和,维,维护,上,上的,现,现实,状,状况,。,。,从安,全,全日,常,常运,维,维角,度,度出,发,发,,更,更贴,近,近实,际,际运,维,维环,境,境。,安全,日,日常,运,运维,现,现状,调,调研,问,问卷,信息安全,现,现状分析,报,报告,基线风险,评,评估,所谓基线,风,风险评估,,,,就是确,定,定一个信,息,息安全的,基,基本底线,,,,信息安,全,全不仅仅,是,是资产的,安,安全,应,当,当从组织,、,、人员、,物,物理、逻,辑,辑、开发,、,、业务持,续,续等各个,方,方面来确,定,定一个基,本,本的要求,,,,在此基,础,础之上,,再,再选择信,息,息资产进,行,行详细风,险,险分析,,这,这样才能,在,在兼顾信,息,息安全风,险,险的方方,面,面面的同,时,时,对重,点,点信息安,全,全风险进,行,行管理与,控,控制。,ISO27001,确立了组,织,织机构内,启,启动、实,施,施、维护,和,和改进信,息,息安全管,理,理的指导,方,方针和通,用,用原则,,以,以规范组,织,织机构信,息,息安全管,理,理建设的,内,内容,因,此,此,风险,评,评估时,,可,可以把,ISO27001,作为安全,基,基线,与,组,组织当前,的,的信息安,全,全现状进,行,行比对,,发,发现组织,存,存在的差,距,距,这样,一,一方面操,作,作较方便,,,,更重要,的,的是不会,有,有遗漏,ISO27001,调查问卷,示,示例,信息安全,管,管理体系,风,风险评估,与,与处置建,议,议报告,信息资产,风,风险评估,针对重要,的,的信息资,产,产进行安,全,全影响、,威,威胁、漏,洞,洞及可能,性,性分析,,从,从而估计,对,对业务产,生,生的影响,,,,最终可,以,以选择适,当,当的方法,对,对风险进,行,行有效管,理,理。,安全风,险,险评估与,处,处置建议,报,报告,安全风险,评,评估,表示例,资产定义,及,及估值,确定现有,控,控制,威胁评估,确定风险,水,水平,风险评估,过,过程,脆弱性评,估,估,安全控制,措,措施的识,别,别与选择,降低风险,风险管理,过,过程,接受风险,电子政务,风,风险评估,案,案例,IT,流程风险,评,评估,信息安全,不,不仅仅要,看,看,IT,资产本身,是,是否安全,可,可靠,而,且,且还应当,在,在其所运,行,行的环境,和,和经历的,流,流程中保,证,证安全。,没有可靠,的,的,IT,流程的保,证,证,静态,的,的安全是,不,不可靠的,,,,而且,IT,的风险也,不,不仅仅是,信,信息安全,的,的问题,,IT,的效率与,效,效果也同,样,样是需要,考,考虑的问,题,题,因此,评,评估,IT,流程的绩,效,效特性并,加,加以完善,是,是风险控,制,制中必不,可,可少的内,容,容。,IT,相关业务,流,流程风险,评,评估与处,置,置建议报,告,告,确定风险,控,控制策略,风险控制,策,策略举例,六、信息,安,安全控制,规,规划,选择安全,控,控制措施,风险控制,措,措施,防止商业,活,活动中断,和,和灾难事,故,故的影响,。,。,业务持续,性,性管理,信息安全,事,事件管理,保证系统,开,开发与维,护,护的安全,系统开发,与,与维护,控制对业,务,务信息的,访,访问。,访问控制,保证通讯,和,和操作设,备,备的正确,和,和安全维,护,护。,通信与运,营,营管理,防止对关,于,于,IT,服务的未,经,经许可的,介,介入,损,伤,伤和干扰,服,服务。,物理与环,境,境安全,减少人为,造,造成的风,险,险。,人员安全,维护组织,资,资产的适,当,当保护系,统,统。,资产管理,建立组织,内,内的管理,体,体系以便,安,安全管理,。,。,安全组织,为信息安,全,全提供管,理,理方向和,支,支持。,安全方针,目的,ISO27001,十一个域,避免任何,违,违反法令,、,、法规、,合,合同约定,及,及其他安,全,全要求的,行,行为。,符合性,确保与信,息,息系统有,关,关的安全,事,事件和弱,点,点的沟通,能,能够及时,采,采取纠正,措,措施,进行安全,控,控制规划,安全规划,针,针对组织,面,面临的主,要,要安全风,险,险,在安,全,全管理控,制,制框架和,安,安全技术,控,控制框架,方,方面进行,较,较为详尽,的,的规划。,安全规划,对,对组织未,来,来几年的,网,网络架构,、,、威胁防,护,护、策略,、,、组织、,运,运行等方,面,面的安全,,,,进行设,计,计、改进,和,和加强,,是,是进行安,全,全建设的,总,总体指导,。,。,序号,项目内容,紧迫性,可实施性,难易程度,效果分析,综合分析,1,安全体系建设,2,安全策略管理,3,安全组织管理,4,安全运行管理,5,物理安全管理,6,网络访问控制,7,认证与授权,8,监控与审计,9,系统管理,10,响应和恢复,11,信息安全,12,系统开发管理,13,物理安全,14,安全规划,方,方法,信息安全,实,实施总体,规,规划报告,信息安全,实,实施总体,规,规划图表,安全预算,计,计划,所以安全,预,预算计划,是,是一项具,有,有挑战性,的,的工作,,要,要采用“,适,适度防范,”,”的原则,,,,把有限,的,的资金用,在,在刀刃上,。,。,一般来说,,,,没有特,别,别的需要,,,,为信息,安,安全的投,入,入不应超,过,过信息化,建,建设总投,资,资额的,20%,,过高的,安,安全成本,将,将使安全,失,失去意义,。,。,投资回报,计,计划,信息安全,投,投资回报,计,计划就是,要,要研究信,息,息安全的,成,成本效益,,,,其成本,效,效益组成,如,如下:,从系统生,命,命周期看,信,信息安全,的,的成本:,获,获取成本,和,和运行成,本,本,从安全防,护,护手段看,信,信息安全,的,的成本:,技,技术成本,和,和管理成,本,本,信息安全,的,的价值效,益,益:减少,信,信息安全,事,事故的经,济,济损失,信息安全,的,的非价值,效,效益:增,加,加声誉、,提,提升品牌,价,价值,信息安全,体,体系模型,的,的演变,ISO7498-2(GB/T9387.2,1995),PDR,模型,PDRR,安全模型,(P2DR2),IATF,信息保障,技,技术框架,信息安全,管,管理体系,ISMS,七、建立,信,信息安全,管,管理体系,人们逐渐,认,认识到安,全,全管理的,重,重要性,,作,作为信息,安,安全建设,蓝,蓝图的安,全,全体系就,应,应该顾及,安,安全管理,的,的内容。,信息安全,管,管理体系,的,的定义,信息安全,管,管理体系,(,(,ISMS,:,InformationSecurityManagementSystem,)是组织,在,在整体或,特,特定范围,内,内建立的,信,信息安全,方,方针和目,标,标,以及,完,完成这些,目,目标所用,的,的方法和,体,体系。,ISMS,相对应的,BS 7799,标准在国,际,际上得到,了,了广泛的,应,应用,目,前,前引标准,已,已被采纳,为,为国际标,准,准,ISO17799:2005 ISO27001:2005,。,在,ISO17799,中 信息,安,安全主要,指,指信息的,机,机密性,(Confidentiality),、完整性,(Integrity),和可用性,(Availability),的保持。,用木桶原,理,理说明,ISMS,ISMS,“,木桶,”,由哪些,“,板,”,组成?,类似于质,量,量管理体,系,系的,ISO9000,标准,,ISMS,也有相应,的,的国际标,准,准,ISO27001,,它确定,了,了,ISMS,的,11,个安全领,域,域及,133,个相应的,控,控制措施,。,。,ISO17799,及,ISO27001,的内容,ISO17799:2005,信息安全,管,管理实施,规,规范,主,要,要是给负,责,责开发的,人,人员作为,参,参考文档,使,使用,从,而,而在组织,中,中实施和,维,维护信息,安,安全;,ISO27001:2005,信息安全,管,管理体系,规,规范,详,细,细说明了,建,建立、实,施,施和维护,信,信息安全,管,管理系统,的,的要求,,指,指出实施,组,组织需要,通,通过风险,评,评估来鉴,定,定最适宜,的,的控制对,象,象,并对,自,自己的需,求,求采取适,当,当的控制,。,。,获得,BS7799,和,ISO27001,认证的组,织,织,ISO17799,信息安全,BS15000,IT,服务管理,职业安全,健,健康管理,体,体系指导,意,意见,OHSAS18000,财务管理,体,体系,BS8600,客户满意,管理体系,Finance,财务管理,质量管理,业务管理,IT,信息管理,人力资源,环境管理,ISO100015,培训体系,人力资源管,理,理体系,ISO9000,市场/客户,满,满,意管理,ISO14001,综合管理体,系,系,职业,安全,战略和投资,管,管理,战略和投资,管,管理体系,行业强制性,管,管理体系及,产,产品认证如,QS9000,,,ISMC,,,党务管理,ISO17799,与其他标准,对,对比,ISO27001,与其他标准,的,的融合,ISMS,体系设计,在组织中要,实,实现信息安,全,全,比较切,实,实可行的第,一,一步的是按,照,照,PDCA,的原则建立,信,信息安全管,理,理体系。,如果没有一,个,个完整的管,理,理体系和有,效,效的过程来,保,保证组织中,的,的人员能理,解,解他们的安,全,全责任与义,务,务,并建立,基,基本的有效,的,的控制措施,,,,那么再好,的,的安全技术,也,也不能保证,组,组织的信息,安,安全。,ISMS,建设过程:,建立,ISMS,首先要建立,一,一个合理的,信,信息安全管,理,理框架,要,从,从整体和全,局,局的视角,,从,从信息系统,的,的所有层面,进,进行整体安,全,全建设,从信息系统,本,本身出发,,通,通过建立资,产,产清单,进,行,行风险分析,和,和需求分析,和,和选择安全,控,控制等步骤,,,,建立安全,体,体系并提出,安,安全解决方,案,案。,体系运行,体系审核,管理评审,体系认证,第七步,第八步,第九步,第十步,运行说明,内审报告,外审报告,认证证书,ISMS,体系文件编,写,写,对,ISMS,体系的设计,首,首先是以,规范化的,ISMS,体系文件的,形,形式表现出,来,来。,把有关,ISMS,的重要内容,用,用文件的形,式,式表述出来,,,,就形成了,组,组织的,ISMS,体系文件。,ISMS,体系文件是,实,实施信息安,全,全管理所必,需,需的结构、,规,规则、过程,和,和资源等因,素,素所组成的,有,有机总体,,有,有效的信息,安,安全管理需,要,要明确管理,的,的具体目标,与,与范围、流,程,程与活动、,人,人员与职责,、,、资源与条,件,件等内容,ISMS,体系文件的,作,作用,保护信息安,全,全的指南,对信息安全,进,进行审核的,依,依据,安全管理水,平,平不断改进,的,的保障,促进安全培,训,训工作的开,展,展,ISMS,体系文档的,组,组成,四级文件,三级文件,二级文件,一级,方针、策略,文,文件,ISMS,体系文件,规范、程序,作业指导书,、,、记录、表,单,单,ISMS,的正式运行,ISMS,体系文件编,制,制完成后,,组,组织应按照,文,文件的控制,要,要求进行审,核,核与批准并,发,发布实施,,至,至此,信息,安,安全管理体,系,系将进入运,行,行阶段,在试运行的,基,基础上,总,结,结经验,进,行,行认真的部,署,署,选择恰,当,当的时机进,行,行,ISMS,体系的正式,运,运行。,正式运行前,,,,需要领导,层,层进行动员,,,,并进行全,员,员培训,签,定,定相关协议,,,,方针策略,、,、规章制度,正,正式起用。,只有保证,ISMS,持续运行,,才,才能使,ISMS,的制度真正,落,落到实处,,使,使组织的安,全,全状况得到,改,改观。,ISMS,体系建设案,例,例,“技术防火,墙,墙”的总体,要,要求,技术结构方,面,面,:完备的安,全,全技术防御,系,系统应该具,备,备评估,保,护,护,检测,,反,反应和恢复,的,的五种技术,能,能力。实现,ISO7498-2,所定义的鉴,别,别,访问控,制,制,数据完,整,整性,数据,保,保密性,抗,抵,抵赖五类安,全,全功能。,技术产品方,面,面,:综合利用,商,商用密码、,防,防火墙、防,病,病毒、身份,识,识别、网络,隔,隔离、可信,服,服务、安全,服,服务、备份,恢,恢复、,PKI,服务、取证,、,、网络入侵,陷,陷阱、主动,反,反击等多种,技,技术与产品,来,来保证企业,的,的信息系统,的,的机密性、,完,完整性和可,靠,靠性。,集中管理方,面,面,:实现集成,化,化安全管理,和,和安全信息,共,共享机制,,以,以集中管理,安,安全控制、,安,安全策略、,安,安全配置、,安,安全事件审,计,计、安全事,故,故应急响应,,,,可管理的,安,安全才是真,正,正意义上的,安,安全。,灾难恢复与,业,业务持续性,方,方面,:对于突发,性,性的重大灾,难,难,日常安,全,全控制措施,不,不再起作用,,,,此时要采,取,取适当和有,效,效的措施来,减,减轻相关威,胁,胁实际发生,时,时所带来的,破,破坏后果,,这,这是组织信,息,息安全的最,后,后一道防线,。,。,八、建立,“,技术防火墙,”,“技术防火,墙,墙”的实现,框,框架,信息安全框,架,架可通过基,础,础技术系统,、,、安全运维,管,管理系统、,应,应用支撑系,统,统来实现,,其,其最终目的,是,是保证应用,系,系统和数据,的,的安全。,基础技术系,统,统,安全防护系,统,统,应用支撑系,统,统,安全,运维,管理,系统,基础技术系,统,统,纵深防御架,构,构,可信网和不,可,可信网要物,理,理层隔断,,网,网络逻辑连,接,接要割断,,应,应用数据要,净,净化,不可,信,信网络上的,计,计算机不能,直,直接到达可,信,信网络。,使用“应用,分,分层、服务,分,分区、安全,分,分级”的思,路,路,指导网,络,络结构化建,设,设,根据应,用,用类型、物,理,理位置、逻,辑,辑位置等的,不,不同,划分,不,不同的网络,安,安全区域和,边,边界。,IATF,安全域,安全基础设,施,施,一个为整个,安,安全体系提,供,供安全服务,的,的基础性平,台,台,为应用,系,系统和安全,支,支撑平台提,供,供包括数据,完,完整性、真,实,实性、可用,性,性、不可抵,赖,赖性和机密,性,性在内的安,全,全服务。包,括,括:,数字证书认,证,证体系(,CA/PKI,),密钥管理基,础,础设施(,KMI,),授权管理基,础,础设施(,AA/PMI,),灾难恢复及,业,业务连续性,基,基础设施(,DRI/BCP,),CA,RA,证书认证中,心,心,注册授权机,构,构,Internet,或专网,申请证书,应用系统,用户终端,使用证书,访问,鉴别,证书鉴别与,访问控制系,统,统,LDAP,数字证书,证书查询服,务,务,利用,PKI,数字证书进,行,行访问控制,用户,CA,系统,AA,系统,数据库,服务,访问,他是谁?,有什么权限,?,?,认证系统,授权系统,用户认证证书,用户权限证书,设备认证证书,设备认证证书,软件认证证书,PKI,与,PMI,的应用:安,全,全认证与授,权,权,安全防护系,统,统,网络安全控,制,制采用入侵,检,检测、漏洞,扫,扫描、病毒,防,防治、防火,墙,墙、网络隔,离,离、安全虚,拟,拟专网(,VPN,)等成熟技,术,术,利用物,理,理环境保护,、,、边界保护,、,、系统加固,、,、节点数据,保,保护、数据,传,传输保护等,手,手段,通过,对,对网络的安,全,全防护的统,一,一设计和统,一,一配置,实,现,现全系统统,一,一、高效、,可,可靠的网络,安,安全防护。,省级局域网,上级接口,下级接口,横,向,接,口,互,联,网,接,口,加密机,:,:保护,离,离开局,域,域网的,信,信息安,全,全,同,时,时防止,非,非法接,入,入。,防火墙,:,:防止,来,来自总,部,部内部,的,的攻击,。,。,防火墙,:,:防止,来,来自外,部,部的攻,击,击。,防火墙,:,:即防,止,止来自,外,外部的,攻,攻击,,也,也要防,止,止来自,地,地市局,的,的内部,攻,攻击。,入侵检,测,测:发,现,现非法,入,入侵行,为,为 。,防病毒,网,网关:,防,防止外,部,部病毒,入,入侵。,防非法,外,外联:,堵,堵住非,法,法网络,接,接口。,系统加,固,固:设,置,置运行,环,环境的,最,最后一,道,道防线,。,。(网,络,络及主,机,机操作,系,系统、,数,数据库,、,、应用,平,平台的,加,加固),安,全,边,界,网络行,为,为审计,:,:加强,网,网络安,全,全管理,,,,追查,安,安全事,件,件。,构造网,络,络安全,边,边界,入侵检,测,测,组织中,心,心,备份中,心,心,二级部,门,门,三级部,门,门,四级部,门,门,线路密,码,码机,防火墙,防病毒,网,网关,防非法,外,外联,网络行,为,为审计,操作系,统,统加固,高安全,区,区域,安全防,护,护系统,的,的层次,终端安,全,全控制,由于普,通,通用户,缺,缺乏应,有,有的网,络,络安全,常,常识,,通,通过浏,览,览隐藏,恶,恶意代,码,码的网,站,站,下,载,载有木,马,马的软,件,件到内,部,部网运,行,行,打,开,开邮件,中,中不明,来,来历的,附,附件等,给,给组织,的,的内部,网,网络带,来,来的极,大,大的危,害,害,终,端,端用户,触,触发产,生,生的安,全,全事件,逐,逐渐成,为,为企业,IT,安全问,题,题的主,要,要原因,。,。,应用支,撑,撑系统,应用支,撑,撑系统,构,构建在,基,基础技,术,术系统,的,的基础,上,上,利,用,用安全,基,基础设,施,施提供,的,的基于,PKI/PMI/KMI,技术的,安,安全服,务,务;,采用安,全,全中间,件,件及一,站,站式服,务,务理论,和,和技术,,,,实现,包,包括安,全,全门户,、,、安全,认,认证和,访,访问控,制,制、数,据,据安全,传,传输、,数,数据保,密,密、完,整,整性保,护,护、真,实,实性保,护,护等应,用,用安全,功,功能和,服,服务,,支,支持面,向,向组织,和,和各类,专,专网和,互,互连网,的,的各类,安,安全应,用,用,是,安,安全应,用,用系统,所,所依托,的,的主要,安,安全平,台,台。,应用系,统,统常见,安,安全方,案,案,业务系,统,统本身,必,必须能,够,够准确,地,地识别,使,使用者,的,的真实,身,身份,,防,防止与,业,业务无,关,关的人,员,员非法,使,使用系,统,统。,解决方,案,案,:,使用统,一,一的身,份,份认证,证,证书,业务系,统,统本身,必,必须能,够,够对自,己,己的资,源,源进行,控,控制,,能,能够,动,动态地,分,分配权,限,限,控,制,制使用,者,者的操,作,作行为,,,,防止,越,越岗位,操,操作或,越,越权限,操,操作。,解决方,案,案,:,基于角,色,色的访,问,问控制,业务系,统,统本身,必,必须能,够,够对数,据,据或文,件,件进行,保,保护,,防,防止由,于,于数据,的,的安全,得,得不到,保,保证而,失,失去业,务,务系统,本,本身的,可,可用性,。,。,解决方,案,案,:,基于密,码,码,业务系,统,统本身,必,必须能,够,够对操,作,作者行,为,为进行,跟,跟踪、,记,记录、,统,统计和,审,审计,,及,及时发,现,现工作,中,中出现,的,的问题,,,,使系,统,统可管,理,理,事,件,件可追,查,查。,解决方,案,案,:,日志与,安,安全事,件,件审计,在电子,商,商务或,电,电子政,务,务环境,下,下,需,要,要利用,身,身份证,书,书对主,要,要核心,业,业务与,交,交易的,凭,凭证进,行,行数字,签,签名,,以,以保证,重,重要对,已,已完成,的,的业务,与,与交易,的,的无否,定,定性。,解决方,案,案,:,基于数,字,字签名,安全运,维,维系统,安全运,维,维管理,系,系统对,整,整个安,全,全系统,起,起管理,、,、监控,、,、调度,和,和应急,报,报警等,作,作用,,负,负责对,全,全网络,安,安全防,护,护设备,进,进行管,理,理,为,各,各个应,用,用系统,提,提供安,全,全管理,接,接口,,对,对需要,特,特别关,注,注的应,用,用系统,进,进行应,用,用审计,。,。,安全运,维,维管理,系,系统通,过,过建立,安,安全运,维,维管理,中,中心(,SOC,)对组,织,织的安,全,全技术,与,与流程,进,进行集,中,中式的,管,管理。,什么是,人,人力防,火,火墙,在信息,安,安全的,所,所有相,关,关因素,中,中,人,是,是最活,跃,跃的因,素,素,人,的,的行为,是,是信息,安,安全保,障,障最主,要,要的方,面,面。组,织,织相关,人,人员特,别,别是内,部,部员工,既,既可以,是,是对信,息,息系统,的,的最大,潜,潜在威,胁,胁,也,可,可以是,最,最可靠,的,的安全,防,防线。,我,我们把,信,信息安,全,全中对,人,人的有,效,效管理,称,称为“,人,人力防,火,火墙”,。,。,通过建,立,立“人,力,力防火,墙,墙”,,不,不仅建,立,立起一,套,套有效,的,的管理,体,体系,,而,而且还,能,能形成,“,“信息,安,安全,,人,人人有,责,责”的,企,企业文,化,化氛围,,,,从而,使,使员工,成,成为企,业,业信息,安,安全的,一,一道“,最,最可靠,防,防线”,,,,实现,组,组织信,息,息系统,的,的长治,久,久安。,八、建,立,立,“,人力防,火,火墙,”,建立人,力,力防火,墙,墙的过,程,程,得到组,织,织最高,管,管理层,的,的支持,得到高,层,层管理,人,人员的,认,认同和,承,承诺有,两,两个作,用,用一是,相,相应的,安,安全方,针,针政策,、,、控制,措,措施可,以,以在组,织,织的上,上,上下下,得,得到有,效,效的贯,彻,彻;,二是可,以,以得到,有,有效的,资,资源保,证,证,比,如,如实施,有,有效安,全,全过程,的,的必要,的,的资金,与,与人力,资,资源的,支,支持,,及,及跨部,门,门之间,的,的协调,问,问题都,必,必须由,高,高层管,理,理人员,来,来推动,。,。,建立信,息,息安全,组,组织,,明,明确角,色,色与责,任,任,安全角,色,色与责,任,任的不,明,明确是,实,实施信,息,息安全,过,过程中,的,的最大,障,障碍,,建,建立安,全,全组织,与,与落实,责,责任是,实,实施信,息,息安全,管,管理的,第,第一步,。,。,信息安,全,全指导,委,委员会,信息安,全,全主管,为,为核心,的,的、专,业,业的信,息,息安全,管,管理的,队,队伍,把相应,的,的安全,责,责任落,实,实到每,一,一个员,工,工身上,员工,ISMS,职责表,ISMS,文件与,工,工作人,员,员矩阵,信息安全管,理,理员职责矩,阵,阵、工作流程,制定计划,行动计划主,要,要有,:,信息安全政,策,策制订与实,施,施,与信息安全,相,相关的人力,资,资源政策的,制,制订,安全事件响,应,应计划,监控日常安,全,全事务及员,工,工对安全政,策,策的遵循,业务连续性,计,计划及灾难,恢,恢复计划,安全教育计,划,划,建设企业安,全,全文化,预算计划,有足够资金,支,支持的计划,才,才是切实可,行,行的计划,,才,才能有效地,落,落实信息安,全,全所需要的,人,人、财、物,等,等资源的配,置,置。,预算计划一,定,定要合理,,过,过高的安全,预,预算会使安,全,全失去意义,,,,最好是结,合,合投资回报,分,分析。,制定信息系,统,统安全政策,信息系统安,全,全政策就是,为,为防止信息,资,资产意外损,失,失及被有意,滥,滥用而制订,的,的规则,这,些,些政策是应,该,该涵盖组织,中,中生成、加,工,工、使用、,储,储存信息的,各,各个方面,,并,并符合,ISO27001,对信息系统,安,安全的要求,。,。,信息安全政,策,策要符合组,织,织的业务目,标,标及特定的,环,环境要求,,并,并使之被每,个,个员工所理,解,解和执行,,这,这是实施信,息,息安全的重,要,要环节,是,建,建立人力防,火,火墙的政策,依,依据。,人力资源政,策,策,因此除了技,术,术的控制手,段,段外,要制,定,定合适的人,力,力资源政策,,,,加强对“,人,人”的管理,,,,对潜在的,安,安全入侵者,也,也是一种威,慑,慑及惩戒措,施,施,这是建,立,立人力防火,墙,墙的有效控,制,制手段。,人力资源管,理,理在信息安,全,全的管理中,充,充分十分重,要,要的作用,,信,信息安全管,理,理人员要与,人,人务资源管,理,理人员密切,合,合作,协同,作,作战,才能,实,实现信息安,全,全中对“人,”,”的有效管,理,理。,人力资源政,策,策举例,实施安全教,育,育计划,要制定各种,不,不同范围、,不,不同层次的,安,安全教育计,划,划。,完备的安全,教,教育计划可,以,以提高员工,的,的安全意识,与,与技能,改,变,变他们对待,安,安全事件的,态,态度,使他,们,们具有一定,的,的安全保护,技,技能,以更,好,好地保护组,织,织的信息资,产,产。,好的安全教,育,育计划应该,让,让员工知道,组,组织的信息,安,安全面临的,威,威胁及信息,安,安全事件带,来,来的后果,,使,使员工切身,感,感觉到安全,事,事件与自己,息,息息相关。,信息安全教,育,育内容,ISO27001,培训计划举,例,例,制定安全事,件,件响应机制,组织应明确,出,出现事故、,故,故障和薄弱,点,点的有关部,门,门的责任,,并,并根据安全,事,事故与故障,的,的反应过程,建,建立一个报,告,告、反应、,评,评价和惩戒,的,的机制,这,也,也可称为人,力,力防火墙的,反,反应机制。,目的是把安,全,全事件的损,害,害降到最低,的,的程度,追,踪,踪并从事件,中,中吸取教训,。,。,安全事件报,告,告程序,营造组织信,息,息安全文化,信息安全文,化,化从属于组,织,织文化,倡,导,导良好的组,织,织信息安全,文,文化就是要,在,在组织中形,成,成团队共同,的,的态度、认,识,识和价值观,,,,形成规范,的,的思维和行,为,为模式,最,终,终转化为行,动,动,实现组,织,织信息安全,目,目标。人的,这,这种对安全,价,价值的认识,以,以及使自己,的,的一举一动,符,符合安全的,行,行为规范的,表,表现,正是,所,所谓的“安,全,全修养”。,如果一个组,织,织建立起浓,厚,厚的安全文,化,化环境,不,论,论决策层、,管,管理层还是,一,一般员工,,都,都会在安全,文,文化的约束,下,下规范自己,的,的行为,安,全,全文化就像,一,一支看不见,的,的手,凡是,不,不安全的行,为,为都会被这,支,支手拉回到,安,安全操作的,轨,轨道上来。,信息安全文,化,化的三个阶,段,段,检查与审计,的,的内容,对于安全框,架,架是否已有,效,效的建立起,来,来,技术防,火,火墙、人力,防,防火墙及,IT,流程控制框,架,架能否起到,了,了应有的作,用,用,,组织可以,通,通过定期的,自,自我检查或,独,独立的审核,来,来验证安全,控,控制措施的,有,有效性,并,对,对发现的问,题,题采取有效,的,的纠正措施,并,并实施,对,纠,纠正措施实,施,施的结果进,行,行验证。,安全检查工,作,作一般由信,息,息安全管理,部,部门来负责,实,实施,经常,性,性的检查,,有,有利于落实,信,信息安全方,针,针与策略,,及,及时发现信,息,息安全在技,术,术、人员及,流,流程方面存,在,在的隐患,,也,也有利于提,高,高员工安全,意,意识,保
展开阅读全文