信息安全管理體系教材

信息安全管理體系

信息安全管理體系教材第1頁(yè)培訓(xùn)綱領(lǐng)一、信息安全方面臨風(fēng)險(xiǎn)二、保護(hù)信息安全方法三、完善信息安全治理結(jié)構(gòu)四、審閱業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)定五、進(jìn)行信息安全控制規(guī)劃六、建立信息安全管理體系七、建立完備“技術(shù)防火墻”八、建立有效“人力防火墻”九、對(duì)信息安全檢驗(yàn)與審計(jì)信息安全管理體系教材第2頁(yè)信息系統(tǒng)固有脆弱性信息本身易傳輸、易毀損、易偽造信息技術(shù)平臺(tái)（如硬件、網(wǎng)絡(luò)、系統(tǒng)）復(fù)雜性與脆弱性行動(dòng)遠(yuǎn)程化使安全管理面臨挑戰(zhàn)信息含有主要價(jià)值信息社會(huì)對(duì)信息高度依賴，信息風(fēng)險(xiǎn)加大信息高附加值會(huì)引發(fā)偷竊、濫用等威脅一、信息安全方面臨風(fēng)險(xiǎn)企業(yè)對(duì)信息依賴程度：美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel研究匯報(bào)指出，企業(yè)在沒(méi)有信息資料可用情況下，金融業(yè)至多只能運(yùn)行2天，商業(yè)則為3.3天，工業(yè)則為5天，保險(xiǎn)業(yè)為5.6天。而以經(jīng)濟(jì)情況來(lái)看，有25%企業(yè)，因?yàn)闅p可能馬上破產(chǎn)，40%會(huì)在兩年內(nèi)宣告破產(chǎn)，只有7%不到企業(yè)在5年后能夠繼續(xù)存活。信息安全管理體系教材第3頁(yè)層出不窮網(wǎng)絡(luò)安全事件全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵,互聯(lián)網(wǎng)上防火墻大約25%被攻破;竊取商業(yè)信息事件每個(gè)月260%速度增加。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局8月25日公布一項(xiàng)調(diào)查匯報(bào)顯示，54％被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，比去年上升5％，其中發(fā)生過(guò)3次以上占22％，比去年上升7％。73％安全事件是因?yàn)槲葱扪a(bǔ)或防范軟件漏洞所造成。據(jù)統(tǒng)計(jì)產(chǎn)生電腦病毒和木馬數(shù)量到達(dá)23萬(wàn)個(gè)，其中90%以上帶有顯著利益特征，有竊取個(gè)人資料、各種賬號(hào)密碼等行為，嚴(yán)重威脅著互聯(lián)網(wǎng)安全。第一毒王“熊貓燒香”病毒己造成超出一千萬(wàn)個(gè)人及企業(yè)用戶中毒，直接及間接經(jīng)濟(jì)損失高達(dá)億元以上。據(jù)統(tǒng)計(jì)，年初全球產(chǎn)生電腦病毒和木馬數(shù)量到達(dá)50萬(wàn)個(gè)，其中90%以上帶有顯著利益特征，有竊取個(gè)人資料、各種賬號(hào)密碼等行為，嚴(yán)重威脅著互聯(lián)網(wǎng)安全。Baidu灰鴿子吧信息安全管理體系教材第4頁(yè)商業(yè)間諜無(wú)孔不入在走向當(dāng)代市場(chǎng)經(jīng)濟(jì)過(guò)程中，因?yàn)槔娑嘣窬中纬珊屠骝?qū)動(dòng)機(jī)制強(qiáng)化，侵犯企業(yè)商業(yè)秘密事件正在快速增加。依據(jù)美國(guó)對(duì)本國(guó)1500家企業(yè)調(diào)查，有1300家企業(yè)認(rèn)可，它們對(duì)國(guó)外競(jìng)爭(zhēng)對(duì)手進(jìn)行了間諜活動(dòng)。據(jù)預(yù)計(jì)，美國(guó)企業(yè)每年投資在經(jīng)濟(jì)、科技情報(bào)方面費(fèi)用高達(dá)300億美元。許多大企業(yè)設(shè)置專門競(jìng)爭(zhēng)情報(bào)部門，建立企業(yè)競(jìng)爭(zhēng)情報(bào)系統(tǒng)，進(jìn)入世界500強(qiáng)美國(guó)企業(yè)中90%設(shè)有競(jìng)爭(zhēng)情報(bào)部。如IBM、微軟、陶氏科寧、可口可樂(lè)等企業(yè)競(jìng)爭(zhēng)情報(bào)系統(tǒng)不但能夠時(shí)刻監(jiān)視競(jìng)爭(zhēng)對(duì)手動(dòng)向和環(huán)境改變，而且含有對(duì)環(huán)境“早期預(yù)警”功效。向?qū)κ稚虡I(yè)機(jī)密說(shuō)“不”信息安全管理體系教材第5頁(yè)商業(yè)機(jī)密泄露使企業(yè)遭受損失一項(xiàng)調(diào)查顯示，名列《財(cái)富》雜志前1000名企業(yè)每年因泄露商業(yè)機(jī)密而出現(xiàn)損失高達(dá)450億美元，平均每家企業(yè)每年發(fā)生2.45次泄密事件，損失超出50萬(wàn)美元。景泰藍(lán)、宣紙、青蒿素、維生素C生產(chǎn)技術(shù)泄密和銣鐵硼專利被封殺都給我國(guó)企業(yè)和國(guó)家?guī)?lái)了重大經(jīng)濟(jì)損失，造成了無(wú)可挽回影響。思科訴華為，華為訴滬科等知識(shí)產(chǎn)權(quán)案，使企業(yè)和人員都蒙受了損失。華為訴前員工竊密案觸目驚心泄密事件信息安全管理體系教材第6頁(yè)信息安全損失“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包含：時(shí)間被延誤修復(fù)成本可能造成法律訴訟成本組織聲譽(yù)受到影響商業(yè)機(jī)會(huì)損失對(duì)生產(chǎn)率破壞$10,000$60,000－$530,000信息安全管理體系教材第7頁(yè)我國(guó)當(dāng)前信息安全普遍存在問(wèn)題忽略了信息化治理機(jī)制與控制體系建立，和信息化“游戲規(guī)則”建立；廠商主導(dǎo)技術(shù)型處理方案為主，用戶跟著廠商步子走；安全只重視邊界安全，沒(méi)有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問(wèn)題；重視安全技術(shù)，輕視安全管理，信息安全可靠性沒(méi)有確保；信息安全建設(shè)缺乏績(jī)效評(píng)定機(jī)制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊(duì)員”

…

信息安全管理體系教材第8頁(yè)怎樣實(shí)現(xiàn)信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測(cè)系統(tǒng)？管理制度？人原因？環(huán)境原因？Ernst&Young及國(guó)內(nèi)安全機(jī)構(gòu)分析：國(guó)家政府和軍隊(duì)信息受到攻擊70%來(lái)自外部，銀行和企業(yè)信息受到攻擊70%來(lái)自于內(nèi)部。75%被調(diào)查者認(rèn)為員工對(duì)信息安全策略和程序不夠了解是實(shí)現(xiàn)信息安全障礙之一,只有35%組織有連續(xù)安全意識(shí)教育與培訓(xùn)計(jì)劃66%組織認(rèn)為信息系統(tǒng)沒(méi)有恪守必要信息安全規(guī)則56%組織認(rèn)為在信息安全投入上不足，60%從不計(jì)算信息安全ROI，83%組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個(gè)系統(tǒng)安全工作中,管理(包含管理和法律法規(guī)方面)所占比重應(yīng)該到達(dá)70%,而技術(shù)(包含技術(shù)和實(shí)體)應(yīng)占30%。二、保護(hù)信息安全方法信息安全管理體系教材第9頁(yè)信息安全體系模型演變ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技術(shù)框架信息安全管理體系ISMS人們逐步認(rèn)識(shí)到安全管理主要性，作為信息安全建設(shè)藍(lán)圖安全體系就應(yīng)該顧及安全管理內(nèi)容。信息安全管理體系教材第10頁(yè)建立信息安全管理體系對(duì)信息安全建立系統(tǒng)工程觀念用制度來(lái)確保組織信息安全更有效信息安全遵照木桶原理對(duì)信息系統(tǒng)各個(gè)步驟進(jìn)行統(tǒng)一綜合考慮、規(guī)劃和構(gòu)架并要時(shí)時(shí)兼顧組織內(nèi)不停發(fā)生改變，任何步驟上安全缺點(diǎn)都會(huì)對(duì)系統(tǒng)組成威脅。需要對(duì)信息安全進(jìn)行有效管理信息安全管理體系教材第11頁(yè)BHTP－一個(gè)實(shí)施ISMS有效方法業(yè)務(wù)與策略(BusinessandPolicy)人員與管理(Humanandmanagement)技術(shù)與產(chǎn)品(Technologyandproducts)流程與體系(ProcessandFramework)治理與控制環(huán)境信息安全管理體系教材第12頁(yè)BHTP模型關(guān)鍵要素業(yè)務(wù)與策略依據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導(dǎo)對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。確定并實(shí)施信息安全策略是組織一項(xiàng)主要使命，也是組織進(jìn)行有效安全管理基礎(chǔ)和依據(jù)?！氨Ｗo(hù)業(yè)務(wù)，為業(yè)務(wù)創(chuàng)造價(jià)值”應(yīng)該是一切安全工作出發(fā)點(diǎn)與歸宿，最有效方式不是從現(xiàn)有工作方式開(kāi)始應(yīng)用信息安全技術(shù)，而是在針對(duì)工作任務(wù)與工作流程重新設(shè)計(jì)信息系統(tǒng)時(shí)，發(fā)揮信息安全技術(shù)伎倆支持新工作方式能力。人員與管理人是信息安全最活躍原因，人行為是信息安全保障最主要方面。從國(guó)家角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)連續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。信息安全管理體系教材第13頁(yè)技術(shù)與產(chǎn)品能夠綜合采取商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)還擊等各種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全考慮安全成本與效益，采取“適度防范”(Rightsizing)標(biāo)準(zhǔn)

流程與體系建立良好IT治理機(jī)制是實(shí)施信息安全基礎(chǔ)與主要確保。在風(fēng)險(xiǎn)分析基本上引入恰當(dāng)控制，建立PDCA安全管理體系，從而確保組織賴以生存信息資產(chǎn)安全性、完整性和可用性安全體系統(tǒng)還應(yīng)該伴隨組織環(huán)境改變、業(yè)務(wù)發(fā)展和信息技術(shù)提升而不停改進(jìn)，不能一勞永逸，一成不變，需要建立完整控制體系來(lái)確保安全連續(xù)完善。信息安全管理體系教材第14頁(yè)BHTP方法論決議層對(duì)信息安全看法信息安全管理體系教材第15頁(yè)建立跨部門信息安全委員會(huì)良好治理結(jié)構(gòu)要求主體單位IT決議必須由最了解組織整體目標(biāo)與價(jià)值權(quán)威部門來(lái)決定。三、完善信息安全治理結(jié)構(gòu)信息安全組織結(jié)構(gòu)示例安全工作小組流程示例信息安全管理體系教材第16頁(yè)審閱業(yè)務(wù)，確定IT標(biāo)準(zhǔn)和信息安全方針在進(jìn)行信息安全規(guī)劃與實(shí)施安全控制辦法前，首先要充分了解組織業(yè)務(wù)目標(biāo)和IT目標(biāo)，建立IT標(biāo)準(zhǔn)，這是實(shí)施建立有效信息安全保障體系前提。組織業(yè)務(wù)目標(biāo)和IT標(biāo)準(zhǔn)將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展需要出發(fā)，確定適宜IT標(biāo)準(zhǔn)，才能指導(dǎo)信息安全方針制訂。信息安全方針就是組織信息安全委員會(huì)或管理當(dāng)局制訂一個(gè)高層文件，用于指導(dǎo)組織怎樣對(duì)資產(chǎn)，包含敏感性信息進(jìn)行管理、保護(hù)和分配規(guī)則和指示。在安全方針指導(dǎo)下，經(jīng)過(guò)了解組織業(yè)務(wù)所處環(huán)境，對(duì)IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在微弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)定，制訂出適宜安全控制辦法、安全策略程序及安全投資計(jì)劃。IT標(biāo)準(zhǔn)示例信息安全方針示例四、確定IT標(biāo)準(zhǔn)與安全方針信息安全管理體系教材第17頁(yè)五、進(jìn)行風(fēng)險(xiǎn)評(píng)定風(fēng)險(xiǎn)評(píng)定慣用方法當(dāng)前國(guó)內(nèi)ISMS風(fēng)險(xiǎn)評(píng)定方法主要參考ISO13335相關(guān)定義及國(guó)信辦9號(hào)文件《信息安全風(fēng)險(xiǎn)評(píng)定指南》，這些標(biāo)準(zhǔn)把重點(diǎn)放在信息資產(chǎn)上。缺點(diǎn)：風(fēng)險(xiǎn)評(píng)定人員普通最輕易找到資產(chǎn)無(wú)非就是硬件類、軟件類資產(chǎn)，而對(duì)安全來(lái)說(shuō)至關(guān)主要IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問(wèn)題，因?yàn)椴荒芊奖愕囟x為信息資產(chǎn)，而往往被視而不見(jiàn)。所以，風(fēng)險(xiǎn)評(píng)定經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見(jiàn)樹(shù)木，不見(jiàn)森林”情況。信息安全管理體系教材第18頁(yè)完備風(fēng)險(xiǎn)評(píng)定方法信息安全包括內(nèi)容決不但僅是信息安全、技術(shù)安全問(wèn)題，它還會(huì)包括到治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。經(jīng)過(guò)“現(xiàn)實(shí)狀況調(diào)查”取得對(duì)組織信息安全現(xiàn)實(shí)狀況和控制辦法基本了解；經(jīng)過(guò)“基線風(fēng)險(xiǎn)評(píng)定”了解組織與詳細(xì)信息安全標(biāo)準(zhǔn)差距，得到粗粒度安全評(píng)價(jià)。經(jīng)過(guò)“資產(chǎn)風(fēng)險(xiǎn)評(píng)定”和“流程風(fēng)險(xiǎn)評(píng)定”進(jìn)行詳細(xì)風(fēng)險(xiǎn)評(píng)定，依據(jù)三方面評(píng)定得到最終風(fēng)險(xiǎn)評(píng)定匯報(bào)。信息安全管理體系教材第19頁(yè)現(xiàn)實(shí)狀況調(diào)查主要內(nèi)容文檔搜集與分析組織基本信息、組織結(jié)構(gòu)圖組織人員名單、機(jī)構(gòu)設(shè)置、崗位職責(zé)說(shuō)明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)政策、制度和規(guī)范現(xiàn)場(chǎng)訪談安排與相關(guān)人員面談對(duì)員工工作現(xiàn)場(chǎng)觀察加強(qiáng)項(xiàng)目組對(duì)企業(yè)文化感知訪談提要：管理層、部門經(jīng)理、員工，某員工訪問(wèn)示例信息安全管理體系教材第20頁(yè)技術(shù)評(píng)定工具掃描、滲透測(cè)試1

2

3人工分析系統(tǒng)安全配置完全檢測(cè)、網(wǎng)絡(luò)服務(wù)安全配置完全檢測(cè)包含用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全人工評(píng)定統(tǒng)計(jì)示例技術(shù)評(píng)定綜述問(wèn)卷調(diào)研安全日常運(yùn)維現(xiàn)實(shí)狀況調(diào)研問(wèn)卷：針對(duì)組織中實(shí)際應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)情況，從日常管理、維護(hù)、系統(tǒng)審計(jì)、權(quán)限管理等方面全方面了解組織在信息系統(tǒng)安全管理和維護(hù)上現(xiàn)實(shí)情況。從安全日常運(yùn)維角度出發(fā)，更貼近實(shí)際運(yùn)維環(huán)境。安全日常運(yùn)維現(xiàn)實(shí)狀況調(diào)研問(wèn)卷《信息安全現(xiàn)實(shí)狀況分析匯報(bào)》信息安全管理體系教材第21頁(yè)基線風(fēng)險(xiǎn)評(píng)定所謂基線風(fēng)險(xiǎn)評(píng)定，就是確定一個(gè)信息安全基本底線，信息安全不但僅是資產(chǎn)安全，應(yīng)該從組織、人員、物理、邏輯、開(kāi)發(fā)、業(yè)務(wù)連續(xù)等各個(gè)方面來(lái)確定一個(gè)基本要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析，這么才能在兼顧信息安全風(fēng)險(xiǎn)方方面面同時(shí)，對(duì)重點(diǎn)信息安全風(fēng)險(xiǎn)進(jìn)行管理與控制。ISO27001確立了組織機(jī)構(gòu)內(nèi)開(kāi)啟、實(shí)施、維護(hù)和改進(jìn)信息安全管理指導(dǎo)方針和通用標(biāo)準(zhǔn)，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)內(nèi)容，所以，風(fēng)險(xiǎn)評(píng)定時(shí)，能夠把ISO27001作為安全基線，與組織當(dāng)前信息安全現(xiàn)實(shí)狀況進(jìn)行比對(duì)，發(fā)覺(jué)組織存在差距，這么首先操作較方便，更主要是不會(huì)有遺漏

ISO27001調(diào)查問(wèn)卷示例《信息安全管理體系風(fēng)險(xiǎn)評(píng)定與處置提議匯報(bào)》信息安全管理體系教材第22頁(yè)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)定針對(duì)主要信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而預(yù)計(jì)對(duì)業(yè)務(wù)產(chǎn)生影響，最終能夠選擇適當(dāng)方法對(duì)風(fēng)險(xiǎn)進(jìn)行有效管理。《安全風(fēng)險(xiǎn)評(píng)定與處置提議匯報(bào)》安全風(fēng)險(xiǎn)評(píng)定表示例資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)定確定風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)評(píng)定過(guò)程脆弱性評(píng)定安全控制辦法識(shí)別與選擇降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理過(guò)程接收風(fēng)險(xiǎn)電子政務(wù)風(fēng)險(xiǎn)評(píng)定案例信息安全管理體系教材第23頁(yè)IT流程風(fēng)險(xiǎn)評(píng)定信息安全不但僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)該在其所運(yùn)行環(huán)境和經(jīng)歷流程中確保安全。沒(méi)有可靠IT流程確保，靜態(tài)安全是不可靠，而且IT風(fēng)險(xiǎn)也不但僅是信息安全問(wèn)題，IT效率與效果也一樣是需要考慮問(wèn)題，所以評(píng)定IT流程績(jī)效特征并加以完善是風(fēng)險(xiǎn)控制中必不可少內(nèi)容。《IT相關(guān)業(yè)務(wù)流程風(fēng)險(xiǎn)評(píng)定與處置提議匯報(bào)》信息安全管理體系教材第24頁(yè)確定風(fēng)險(xiǎn)控制策略風(fēng)險(xiǎn)控制策略舉例六、信息安全控制規(guī)劃信息安全管理體系教材第25頁(yè)選擇安全控制辦法風(fēng)險(xiǎn)控制辦法預(yù)防商業(yè)活動(dòng)中止和災(zāi)難事故影響。業(yè)務(wù)連續(xù)性管理信息安全事件管理確保系統(tǒng)開(kāi)發(fā)與維護(hù)安全系統(tǒng)開(kāi)發(fā)與維護(hù)控制對(duì)業(yè)務(wù)信息訪問(wèn)。訪問(wèn)控制確保通訊和操作設(shè)備正確和安全維護(hù)。通信與運(yùn)行管理預(yù)防對(duì)關(guān)于IT服務(wù)未經(jīng)許可介入，損傷和干擾服務(wù)。物理與環(huán)境安全降低人為造成風(fēng)險(xiǎn)。人員安全維護(hù)組織資產(chǎn)適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)管理體系方便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目ISO27001十一個(gè)域防止任何違反法令、法規(guī)、協(xié)議約定及其它安全要求行為。符合性確保與信息系統(tǒng)相關(guān)安全事件和弱點(diǎn)溝通能夠及時(shí)采取糾正辦法信息安全管理體系教材第26頁(yè)進(jìn)行安全控制規(guī)劃安全規(guī)劃針對(duì)組織面臨主要安全風(fēng)險(xiǎn)，在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡規(guī)劃。安全規(guī)劃對(duì)組織未來(lái)幾年網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運(yùn)行等方面安全，進(jìn)行設(shè)計(jì)、改進(jìn)和加強(qiáng)，是進(jìn)行安全建設(shè)總體指導(dǎo)。序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運(yùn)行管理5物理安全管理6網(wǎng)絡(luò)訪問(wèn)控制7認(rèn)證與授權(quán)8監(jiān)控與審計(jì)9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開(kāi)發(fā)管理13物理安全14……安全規(guī)劃方法《信息安全實(shí)施總體規(guī)劃匯報(bào)》《信息安全實(shí)施總體規(guī)劃圖表》信息安全管理體系教材第27頁(yè)安全預(yù)算計(jì)劃所以安全預(yù)算計(jì)劃是一項(xiàng)含有挑戰(zhàn)性工作，要采取“適度防范”標(biāo)準(zhǔn)，把有限資金用在刀刃上。普通來(lái)說(shuō)，沒(méi)有尤其需要，為信息安全投入不應(yīng)超出信息化建設(shè)總投資額20%，過(guò)高安全成本將使安全失去意義。

投資回報(bào)計(jì)劃信息安全投資回報(bào)計(jì)劃就是要研究信息安全成本效益，其成本效益組成以下：從系統(tǒng)生命周期看信息安全成本：獲取成本和運(yùn)行成本從安全防護(hù)伎倆看信息安全成本：技術(shù)成本和管理成本信息安全價(jià)值效益：降低信息安全事故經(jīng)濟(jì)損失信息安全非價(jià)值效益：增加聲譽(yù)、提升品牌價(jià)值信息安全管理體系教材第28頁(yè)信息安全體系模型演變ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技術(shù)框架信息安全管理體系ISMS七、建立信息安全管理體系人們逐步認(rèn)識(shí)到安全管理主要性，作為信息安全建設(shè)藍(lán)圖安全體系就應(yīng)該顧及安全管理內(nèi)容。信息安全管理體系教材第29頁(yè)信息安全管理體系定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法和體系。ISMS相對(duì)應(yīng)BS7799標(biāo)準(zhǔn)在國(guó)際上得到了廣泛應(yīng)用，當(dāng)前引標(biāo)準(zhǔn)已被采納為國(guó)際標(biāo)準(zhǔn)ISO17799:ISO27001:。在ISO17799中信息安全主要指信息機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)保持。用木桶原理說(shuō)明ISMS信息安全管理體系教材第30頁(yè)ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系ISO9000標(biāo)準(zhǔn)，ISMS也有對(duì)應(yīng)國(guó)際標(biāo)準(zhǔn)ISO27001，它確定了ISMS11個(gè)安全領(lǐng)域及133個(gè)對(duì)應(yīng)控制辦法。信息安全管理體系教材第31頁(yè)ISO17799及ISO27001內(nèi)容ISO17799:

信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開(kāi)發(fā)人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全；ISO27001:

信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)要求，指出實(shí)施組織需要經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)定來(lái)判定最適宜控制對(duì)象，并對(duì)自己需求采取適當(dāng)控制。取得BS7799和ISO27001認(rèn)證組織信息安全管理體系教材第32頁(yè)ISO17799信息安全BS15000IT服務(wù)管理職業(yè)安全健康管理體系指導(dǎo)意見(jiàn)OHSAS18000財(cái)務(wù)管理體系BS8600客戶滿意管理體系Finance財(cái)務(wù)管理質(zhì)量管理業(yè)務(wù)管理IT信息管理人力資源環(huán)境管理ISO100015培訓(xùn)體系人力資源管理體系ISO9000市場(chǎng)/客戶滿意管理ISO14001

綜合管理體系職業(yè)安全戰(zhàn)略和投資管理

戰(zhàn)略和投資管理體系行業(yè)強(qiáng)制性管理體系及產(chǎn)品認(rèn)證如QS9000，ISMC，黨務(wù)管理ISO17799與其它標(biāo)準(zhǔn)對(duì)比ISO27001與其它標(biāo)準(zhǔn)融合信息安全管理體系教材第33頁(yè)ISMS體系設(shè)計(jì)在組織中要實(shí)現(xiàn)信息安全，比較切實(shí)可行第一步是按照PDCA標(biāo)準(zhǔn)建立信息安全管理體系。假如沒(méi)有一個(gè)完整管理體系和有效過(guò)程來(lái)確保組織中人員能了解他們安全責(zé)任與義務(wù)，并建立基本有效控制辦法，那么再好安全技術(shù)也不能確保組織信息安全。

信息安全管理體系教材第34頁(yè)ISMS建設(shè)過(guò)程：建立ISMS首先要建立一個(gè)合理信息安全管理框架，要從整體和全局視角，從信息系統(tǒng)全部層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，經(jīng)過(guò)建立資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全處理方案。體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八步第九步第十步運(yùn)行說(shuō)明內(nèi)審匯報(bào)外審匯報(bào)認(rèn)證證書信息安全管理體系教材第35頁(yè)ISMS體系文件編寫對(duì)ISMS體系設(shè)計(jì)首先是以規(guī)范化ISMS體系文件形式表現(xiàn)出來(lái)。把相關(guān)ISMS主要內(nèi)容用文件形式表述出來(lái)，就形成了組織ISMS體系文件。ISMS體系文件是實(shí)施信息安全管理所必需結(jié)構(gòu)、規(guī)則、過(guò)程和資源等原因所組成有機(jī)總體，有效信息安全管理需要明確管理詳細(xì)目標(biāo)與范圍、流程與活動(dòng)、人員與職責(zé)、資源與條件等內(nèi)容ISMS體系文件作用保護(hù)信息安全指南對(duì)信息安全進(jìn)行審核依據(jù)安全管理水平不停改進(jìn)保障促進(jìn)安全培訓(xùn)工作開(kāi)展信息安全管理體系教材第36頁(yè)ISMS體系文檔組成四級(jí)文件三級(jí)文件二級(jí)文件一級(jí)方針、策略文件ISMS體系文件規(guī)范、程序作業(yè)指導(dǎo)書、統(tǒng)計(jì)、表單信息安全管理體系教材第37頁(yè)ISMS正式運(yùn)行ISMS體系文件編制完成后，組織應(yīng)按照文件控制要求進(jìn)行審核與同意并公布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段在試運(yùn)行基礎(chǔ)上，總結(jié)經(jīng)驗(yàn)，進(jìn)行認(rèn)真布署，選擇恰當(dāng)時(shí)機(jī)進(jìn)行ISMS體系正式運(yùn)行。正式運(yùn)行前，需要領(lǐng)導(dǎo)層進(jìn)行動(dòng)員，并進(jìn)行全員培訓(xùn)，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。只有確保ISMS連續(xù)運(yùn)行，才能使ISMS制度真正落到實(shí)處，使組織安全情況得到改觀。ISMS體系建設(shè)案例信息安全管理體系教材第38頁(yè)“技術(shù)防火墻”總體要求技術(shù)結(jié)構(gòu)方面：完備安全技術(shù)防御系統(tǒng)應(yīng)該具備評(píng)定，保護(hù)，檢測(cè)，反應(yīng)和恢復(fù)五種技術(shù)能力。實(shí)現(xiàn)ISO7498-2所定義判別，訪問(wèn)控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功效。技術(shù)產(chǎn)品方面：綜合利用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)還擊等各種技術(shù)與產(chǎn)品來(lái)確保企業(yè)信息系統(tǒng)機(jī)密性、完整性和可靠性。

集中管理方面：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理安全才是真正意義上安全。災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性方面：對(duì)于突發(fā)性重大災(zāi)難，日常安全控制辦法不再起作用，此時(shí)要采取適當(dāng)和有效辦法來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶來(lái)破壞后果，這是組織信息安全最終一道防線。

八、建立“技術(shù)防火墻”信息安全管理體系教材第39頁(yè)“技術(shù)防火墻”實(shí)現(xiàn)框架信息安全框架可經(jīng)過(guò)基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來(lái)實(shí)現(xiàn)，其最終目標(biāo)是確保應(yīng)用系統(tǒng)和數(shù)據(jù)安全。

基礎(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運(yùn)維管理系統(tǒng)信息安全管理體系教材第40頁(yè)基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上計(jì)算機(jī)不能直接抵達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級(jí)”思緒，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，依據(jù)應(yīng)用類型、物理位置、邏輯位置等不一樣，劃分不一樣網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域信息安全管理體系教材第41頁(yè)安全基礎(chǔ)設(shè)施一個(gè)為整個(gè)安全體系提供安全服務(wù)基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包含數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)安全服務(wù)。包含：數(shù)字證書認(rèn)證體系（CA/PKI）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施（DRI/BCP）信息安全管理體系教材第42頁(yè)CARA證書認(rèn)證中心注冊(cè)授權(quán)機(jī)構(gòu)Internet或?qū)＞W(wǎng)申請(qǐng)證書應(yīng)用系統(tǒng)用戶終端使用證書訪問(wèn)判別證書判別與訪問(wèn)控制系統(tǒng)LDAP數(shù)字證書證書查詢服務(wù)利用PKI數(shù)字證書進(jìn)行訪問(wèn)控制信息安全管理體系教材第43頁(yè)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI應(yīng)用：安全認(rèn)證與授權(quán)信息安全管理體系教材第44頁(yè)安全防護(hù)系統(tǒng)網(wǎng)絡(luò)安全控制采取入侵檢測(cè)、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)（VPN）等成熟技術(shù)，利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等伎倆，經(jīng)過(guò)對(duì)網(wǎng)絡(luò)安全防護(hù)統(tǒng)一設(shè)計(jì)和統(tǒng)一配置，實(shí)現(xiàn)全系統(tǒng)統(tǒng)一、高效、可靠網(wǎng)絡(luò)安全防護(hù)。信息安全管理體系教材第45頁(yè)省級(jí)局域網(wǎng)上級(jí)接口下級(jí)接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開(kāi)局域網(wǎng)信息安全，同時(shí)預(yù)防非法接入。防火墻：預(yù)防來(lái)自總部?jī)?nèi)部攻擊。防火墻：預(yù)防來(lái)自外部攻擊。防火墻：即預(yù)防來(lái)自外部攻擊，也要預(yù)防來(lái)自地市局內(nèi)部攻擊。入侵檢測(cè)：發(fā)覺(jué)非法入侵行為。防病毒網(wǎng)關(guān)：預(yù)防外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境最終一道防線。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用平臺(tái)加固）安全邊界網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。結(jié)構(gòu)網(wǎng)絡(luò)安全邊界信息安全管理體系教材第46頁(yè)入侵檢測(cè)組織中心備份中心二級(jí)部門三級(jí)部門四級(jí)部門線路密碼機(jī)防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計(jì)操作系統(tǒng)加固高安全區(qū)域安全防護(hù)系統(tǒng)層次信息安全管理體系教材第47頁(yè)終端安全控制因?yàn)槠胀ㄓ脩羧狈?yīng)有網(wǎng)絡(luò)安全常識(shí)，經(jīng)過(guò)瀏覽隱藏惡意代碼網(wǎng)站，下載有木馬軟件到內(nèi)部網(wǎng)運(yùn)行，打開(kāi)郵件中不明來(lái)歷附件等給組織內(nèi)部網(wǎng)絡(luò)帶來(lái)極大危害，終端用戶觸發(fā)產(chǎn)生安全事件逐步成為企業(yè)IT安全問(wèn)題主要原因。

信息安全管理體系教材第48頁(yè)應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)基礎(chǔ)上，利用安全基礎(chǔ)設(shè)施提供基于PKI/PMI/KMI技術(shù)安全服務(wù)；采取安全中間件及一站式服務(wù)理論和技術(shù)，實(shí)現(xiàn)包含安全門戶、安全認(rèn)證和訪問(wèn)控制、數(shù)據(jù)安全傳輸、數(shù)據(jù)保密、完整性保護(hù)、真實(shí)性保護(hù)等應(yīng)用安全功效和服務(wù)，支持面向組織和各類專網(wǎng)和互連網(wǎng)各類安全應(yīng)用，是安全應(yīng)用系統(tǒng)所依靠主要安全平臺(tái)。

信息安全管理體系教材第49頁(yè)應(yīng)用系統(tǒng)常見(jiàn)安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識(shí)別使用者真實(shí)身份，預(yù)防與業(yè)務(wù)無(wú)關(guān)人員非法使用系統(tǒng)。處理方案:使用統(tǒng)一身份認(rèn)證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约嘿Y源進(jìn)行控制，能夠動(dòng)態(tài)地分配權(quán)限，控制使用者操作行為，預(yù)防越崗位操作或越權(quán)限操作。處理方案:基于角色訪問(wèn)控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，預(yù)防因?yàn)閿?shù)據(jù)安全得不到確保而失去業(yè)務(wù)系統(tǒng)本身可用性。處理方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、統(tǒng)計(jì)、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)覺(jué)工作中出現(xiàn)問(wèn)題，使系統(tǒng)可管理，事件可追查。處理方案:日志與安全事件審計(jì)在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對(duì)主要關(guān)鍵業(yè)務(wù)與交易憑證進(jìn)行數(shù)字署名，以確保主要對(duì)已完成業(yè)務(wù)與交易無(wú)否定性。處理方案:基于數(shù)字署名信息安全管理體系教材第50頁(yè)安全運(yùn)維系統(tǒng)安全運(yùn)維管理系統(tǒng)對(duì)整個(gè)安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報(bào)警等作用，負(fù)責(zé)對(duì)全網(wǎng)絡(luò)安全防護(hù)設(shè)備進(jìn)行管理，為各個(gè)應(yīng)用系統(tǒng)提供安全管理接口，對(duì)需要尤其關(guān)注應(yīng)用系統(tǒng)進(jìn)行應(yīng)用審計(jì)。安全運(yùn)維管理系統(tǒng)經(jīng)過(guò)建立安全運(yùn)維管理中心（SOC）對(duì)組織安全技術(shù)與流程進(jìn)行集中式管理。信息安全管理體系教材第51頁(yè)什么是人力防火墻在信息安全全部相關(guān)原因中，人是最活躍原因，人行為是信息安全保障最主要方面。組織相關(guān)人員尤其是內(nèi)部員工既能夠是對(duì)信息系統(tǒng)最大潛在威脅，也能夠是最可靠安全防線。我們把信息安全中對(duì)人有效管理稱為“人力防火墻”。經(jīng)過(guò)建立“人力防火墻”，不但建立起一套有效管理體系，而且還能形成“信息安全，人人有責(zé)”企業(yè)文化氣氛，從而使員工成為企業(yè)信息安全一道“最可靠防線”，實(shí)現(xiàn)組織信息系統(tǒng)長(zhǎng)治久安。八、建立“人力防火墻”信息安全管理體系教材第52頁(yè)建立人力防火墻過(guò)程得到組織最高管理層支持得到高層管理人員認(rèn)同和承諾有兩個(gè)作用一是對(duì)應(yīng)安全方針政策、控制辦法能夠在組織上上下下得到有效落實(shí)；二是能夠得到有效資源確保，比如實(shí)施有效安全過(guò)程必要資金與人力資源支持，及跨部門之間協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推進(jìn)。建立信息安全組織，明確角色與責(zé)任安全角色與責(zé)任不明確是實(shí)施信息安全過(guò)程中最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理第一步。信息安全指導(dǎo)委員會(huì)信息安全主管為關(guān)鍵、專業(yè)信息安全管理隊(duì)伍把對(duì)應(yīng)安全責(zé)任落實(shí)到每一個(gè)員工身上員工ISMS職責(zé)表ISMS文件與工作人員矩陣信息安全管理員職責(zé)矩陣、工作流程信息安全管理體系教材第53頁(yè)制訂計(jì)劃行動(dòng)計(jì)劃主要有：信息安全政策制訂與實(shí)施與信息安全相關(guān)人力資源政策制訂安全事件響應(yīng)計(jì)劃監(jiān)控日常安全事務(wù)及員工對(duì)安全政策遵照業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)計(jì)劃安全教育計(jì)劃建設(shè)企業(yè)安全文化預(yù)算計(jì)劃有足夠資金支持計(jì)劃才是切實(shí)可行計(jì)劃，才能有效地落實(shí)信息安全所需要人、財(cái)、物等資源配置。預(yù)算計(jì)劃一定要合理，過(guò)高安全預(yù)算會(huì)使安全失去意義，最好是結(jié)合投資回報(bào)分析。信息安全管理體系教材第54頁(yè)制訂信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為預(yù)防信息資產(chǎn)意外損失及被有意濫用而制訂規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲(chǔ)存信息各個(gè)方面，并符合ISO27001對(duì)信息系統(tǒng)安全要求。信息安全政策要符合組織業(yè)務(wù)目標(biāo)及特定環(huán)境要求，并使之被每個(gè)員工所了解和執(zhí)行，這是實(shí)施信息安全主要步驟，是建立人力防火墻政策依據(jù)。人力資源政策所以除了技術(shù)控制伎倆外，要制訂適當(dāng)人力資源政策，加強(qiáng)對(duì)“人”管理，對(duì)潛在安全入侵者也是一個(gè)威懾及懲戒辦法，這是建立人力防火墻有效控制伎倆。人力資源管理在信息安全管理中充分十分主要作用，信息安全管理人員要與人務(wù)資源管理人員親密合作，協(xié)同作戰(zhàn)，才能實(shí)現(xiàn)信息安全中對(duì)“人”有效管理。人力資源政策舉例信息安全管理體系教材第55頁(yè)實(shí)施安全教育計(jì)劃要制訂各種不一樣范圍、不一樣層次安全教育計(jì)劃。完備安全教育計(jì)劃能夠提升員工安全意識(shí)與技能，改變他們對(duì)待安全事件態(tài)度，使他們含有一定安全保護(hù)技能，以更加好地保護(hù)組織信息資產(chǎn)。好安全教育計(jì)劃應(yīng)該讓員工知道組織信息安全方面臨威脅及信息安全事件帶來(lái)后果，使員工切身感覺(jué)到安全事件與自己息息相關(guān)。信息安全教育內(nèi)容ISO27001培訓(xùn)計(jì)劃舉例信息安全管理體系教材第56頁(yè)制訂安全事件響應(yīng)機(jī)制組織應(yīng)明確出現(xiàn)事故、故障和微弱點(diǎn)相關(guān)部門責(zé)任，并依據(jù)安全事故與故障反應(yīng)過(guò)程建立一個(gè)匯報(bào)、反應(yīng)、評(píng)價(jià)和懲戒機(jī)制，這也可稱為人力防火墻反應(yīng)機(jī)制。目標(biāo)是把安全事件損害降到最低程度，追蹤并從事件中吸收教訓(xùn)。安全事件匯報(bào)程序信息安全管理體系教材第57頁(yè)營(yíng)造組織信息安全文化信息安全文化隸屬于組織文化，提倡良好組織信息安全文化就是要在組織中形成團(tuán)體共同態(tài)度、認(rèn)識(shí)和價(jià)值觀，形成規(guī)范思維和行為模式，最終轉(zhuǎn)化為行動(dòng)，實(shí)現(xiàn)組織信息安全目標(biāo)。人這種對(duì)安全價(jià)值認(rèn)識(shí)以及使自己一舉一動(dòng)符合安全行為規(guī)范表現(xiàn)，正是所謂“安全涵養(yǎng)”。假如一個(gè)組織建立起濃厚安全文化環(huán)境，不論決議層、管理層還是普通員工，都會(huì)在安全文化約束下規(guī)范自己行為，安全文化就像一支看不見(jiàn)手，凡是不安全行為都會(huì)被這支手拉回到安全操作軌道上來(lái)。信息安全文化三個(gè)階段信息安全管理體系教材第58頁(yè)檢驗(yàn)與審計(jì)內(nèi)容對(duì)