信息系統(tǒng)安全集成第章3

1信息系統(tǒng)安全集成確定安全需求與目標(biāo)2本章摘要

本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務(wù)特征、法律法規(guī)及合同要求，在充分考慮風(fēng)險的基礎(chǔ)上，確定組織的安全需求和目標(biāo)，形成各方認(rèn)可的安全需求文件。摘要主要內(nèi)容一、概述二、組織IT戰(zhàn)略與安全需求三、組織業(yè)務(wù)與安全需求四、符合性的安全需求五、基于風(fēng)險的安全要求六、確定組織的安全需求七、確定信息安全目標(biāo)4一、概述1.組織與信息安全需求從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷?shí)現(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)合而成的集體或團(tuán)體，如黨團(tuán)組織、工會組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運(yùn)用于社會管理之中。組織概述5一、概述1.組織與信息安全需求現(xiàn)代社會組織定義在現(xiàn)代社會生活中．組織是人們按照一定的目的、任務(wù)和形式編制起來的社會集團(tuán)。組織是體現(xiàn)一定社會關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實(shí)現(xiàn)其目標(biāo)的集合體。組織概述6一、概述1.組織與信息安全需求組織安全需求--組織需要保護(hù)什么？信息安全的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個組織業(yè)務(wù)并符合法律法規(guī)、安全監(jiān)管要求、合同業(yè)務(wù)要求等，提出復(fù)合組織的基于風(fēng)險管理的安全需求。組織應(yīng)該將信息安全集成到業(yè)務(wù)運(yùn)作的每一個層面。7一、概述1.組織與信息安全需求組織安全需求分析的層次需求分析的層次：目標(biāo)性需求，定義了整個系統(tǒng)需要達(dá)到的目標(biāo)；功能性需求，定義了整個系統(tǒng)必須完成的任務(wù)；操作性需求，定義了完成每個任務(wù)的具體的人機(jī)交互.8一、概述1.組織與信息安全需求組織安全需求挖掘的方法挖掘需求的方法：分析特定客戶的業(yè)務(wù)流程和模型;與特定客戶進(jìn)行討論與交流(或聯(lián)合成立需求組)，包括：需求討論會,與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等.9一、概述1.組織與信息安全需求組織安全需求分析的方法—風(fēng)險評估法安全需求分析的方法：資產(chǎn)清冊風(fēng)險評估確定風(fēng)險形成需求10一、概述2.組織安全風(fēng)險安全威脅--引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的安全威脅和攻擊破壞。由于組織越來越依靠信息資源，安全事件不斷增長，而安全事件造成的損失以及用于事件處理的財力、人力以及IT資源的投入需要不斷增長。11一、、概概述述2.組織織安安全全風(fēng)風(fēng)險險風(fēng)險險是是指指一一個個事事件件產(chǎn)產(chǎn)生生我我們們所所不不希希望望的的后后果果可可能能性性。。組織織的的風(fēng)風(fēng)險險是是指指組組織織未未來來發(fā)發(fā)生生損損失失的的不不確確定定性性。。這這些些安安全全風(fēng)風(fēng)險險主主要要包包括括了了業(yè)業(yè)務(wù)務(wù)的的連連續(xù)續(xù)性性、、業(yè)業(yè)務(wù)務(wù)流流程程安安全全、、法法律律安安全全要要求求、、合合同同安安全全、、隱隱私私保保護(hù)護(hù)要要求求等等。。組織織的的風(fēng)風(fēng)險險12一、、概概述述3.組織織信信息息安安全全目目標(biāo)標(biāo)根據(jù)據(jù)國國際際信信息息安安全全管管理理標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的描描述述，，信信息息安安全全的的目目標(biāo)標(biāo)是是““通通過過防防止止和和減減小小安安全全事事故故的的影影響響，，保保證證業(yè)業(yè)務(wù)務(wù)連連續(xù)續(xù)性性，，使使業(yè)業(yè)務(wù)務(wù)損損失失最最小小化化。?！薄毙枰M(jìn)進(jìn)行行IT規(guī)劃劃和和費(fèi)費(fèi)用用調(diào)調(diào)整整以以保保證證適適當(dāng)當(dāng)?shù)牡陌舶踩锻度肴耄?，部部署署有有效效的的工工具具，，來來解解決決緊緊迫迫的的安安全全問問題題，，實(shí)實(shí)現(xiàn)現(xiàn)組組織織的的安安全全目目標(biāo)標(biāo)。。信息息安安全全的的目目標(biāo)標(biāo)13二、組織織IT戰(zhàn)略略與與安安全全需需求求1.組織織IT戰(zhàn)略略組織織戰(zhàn)戰(zhàn)略略組織織戰(zhàn)戰(zhàn)略略是是指指組組織織對對有有關(guān)關(guān)全全局局性性,長遠(yuǎn)遠(yuǎn)性性,綱領(lǐng)領(lǐng)性性目目標(biāo)標(biāo)的的謀謀劃劃和和決決策策.14二、組織織IT戰(zhàn)略略與與安安全全需需求求1.組織織IT戰(zhàn)略略組織織戰(zhàn)戰(zhàn)略略組織織戰(zhàn)戰(zhàn)略略是是表表明明組組織織如如何何達(dá)達(dá)到到目目標(biāo)標(biāo)，，完完成成使使命命的的整整體體謀謀劃劃,是提提出出詳詳細(xì)細(xì)行行動動計計劃劃的的起起點(diǎn)點(diǎn),但它它又又凌凌駕駕于于任任何何特特定定計計劃劃的的各各種種細(xì)細(xì)節(jié)節(jié)之之上上.戰(zhàn)略略反反映映了了管管理理者者對對于于行行動動,環(huán)境境和和業(yè)業(yè)績績之之間間關(guān)關(guān)鍵鍵聯(lián)聯(lián)系系的的理理解解,用以以確確保保已已確確定定的的使使命命,愿景景,價值值觀觀的的實(shí)實(shí)現(xiàn)現(xiàn)。。15二、組織織IT戰(zhàn)略略與與安安全全需需求求1.組織織IT戰(zhàn)略略組織織IT戰(zhàn)略略IT戰(zhàn)略略即即信信息息技技術(shù)術(shù)戰(zhàn)戰(zhàn)略略（（ITStrategy）是是組組織織經(jīng)經(jīng)營營戰(zhàn)戰(zhàn)略略的的有有機(jī)機(jī)組組成成部部分分，，和和財財務(wù)務(wù)戰(zhàn)戰(zhàn)略略、、人人力力資資源源戰(zhàn)戰(zhàn)略略、、運(yùn)運(yùn)作作戰(zhàn)戰(zhàn)略略等等一一樣樣，，是是公公司司的的職職能能戰(zhàn)戰(zhàn)略略。。IT戰(zhàn)是是關(guān)關(guān)于于企企業(yè)業(yè)信信息息技技術(shù)術(shù)職職能能的的目目標(biāo)標(biāo)及及其其實(shí)實(shí)現(xiàn)現(xiàn)的的總總體體謀謀劃劃。。對于于大大的的組組織織公公司司而而言言，，子子公公司司或或大大的的業(yè)業(yè)務(wù)務(wù)單單元元也也會會有有其其相相對對獨(dú)獨(dú)立立的的信信息息技技術(shù)術(shù)戰(zhàn)戰(zhàn)略略。。16二、組織織IT戰(zhàn)略略與與安安全全需需求求1.組織織IT戰(zhàn)略略組織織IT戰(zhàn)略略的的部部分分組組成成使命命（（Mission）：：闡闡述述信信息息技技術(shù)術(shù)存存在在的的理理由由、、目目的的以以及及在在企企業(yè)業(yè)中中的的作作用用。。遠(yuǎn)景景目目標(biāo)標(biāo)（（Vision）：：信信息息技技術(shù)術(shù)的的發(fā)發(fā)展展方方向向和和結(jié)結(jié)果果。。中長長期期目目標(biāo)標(biāo)（（MediumtoLong-termObjectives）：：遠(yuǎn)遠(yuǎn)景景目目標(biāo)標(biāo)的的具具體體化化，，即即企企業(yè)業(yè)未未來來2~3年信信息息技技術(shù)術(shù)發(fā)發(fā)展展的的具具體體目目標(biāo)標(biāo)。。17二、組織織IT戰(zhàn)略略與與安安全全需需求求1.組織織IT戰(zhàn)略略組織織IT戰(zhàn)略略的的要要點(diǎn)點(diǎn)戰(zhàn)略略要要點(diǎn)點(diǎn)：：是是實(shí)實(shí)現(xiàn)現(xiàn)上上述述中中長長期期目目標(biāo)標(biāo)的的途途徑徑或或路路線線。。組織織IT戰(zhàn)略略的的規(guī)規(guī)劃劃主主要要圍圍繞繞信信息息技技術(shù)術(shù)內(nèi)內(nèi)涵涵的的四四個個方方面面展展開開：：硬件件與與組組建建網(wǎng)絡(luò)絡(luò)與與通通信信應(yīng)用用與與數(shù)數(shù)據(jù)據(jù)組織織與與人人員員18二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求組織織信信息息資資產(chǎn)產(chǎn)要進(jìn)進(jìn)行行信信息息安安全全建建設(shè)設(shè)，，首首先先明明確確安安全全保保護(hù)護(hù)的的對對象象---組織織信信息息資資產(chǎn)產(chǎn)。。19二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求組織織信信息息資資產(chǎn)產(chǎn)明確確安安全全保保護(hù)護(hù)的的對對象象，，即即明明確確組組織織信信息息資資產(chǎn)產(chǎn)。。分析析業(yè)業(yè)務(wù)務(wù)流流程程識別別關(guān)關(guān)鍵鍵的的業(yè)業(yè)務(wù)務(wù)資資產(chǎn)產(chǎn)確定定業(yè)業(yè)務(wù)務(wù)資資產(chǎn)產(chǎn)的的安安全全所所有有人人和和責(zé)責(zé)任任人人明確確安安全全保保護(hù)護(hù)責(zé)責(zé)任任20二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求組織織信信息息資資產(chǎn)產(chǎn)建立立組組織織信信息息資資產(chǎn)產(chǎn)目目錄錄并并進(jìn)進(jìn)行行維維護(hù)護(hù)，，幫幫助助組組織織實(shí)實(shí)施施有有效效的的信信息息資資產(chǎn)產(chǎn)安安全全保保護(hù)護(hù)，，實(shí)實(shí)現(xiàn)現(xiàn)業(yè)業(yè)務(wù)務(wù)連連續(xù)續(xù)性性和和災(zāi)災(zāi)難難恢恢復(fù)復(fù)。。在信信息息資資產(chǎn)產(chǎn)目目錄錄中中應(yīng)應(yīng)該該定定義義資資產(chǎn)產(chǎn)的的安安全全等等級級和和安安全全責(zé)責(zé)任任人人。。21二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求組織織信信息息資資產(chǎn)產(chǎn)在以以業(yè)業(yè)務(wù)務(wù)為為核核心心的的組組織織內(nèi)內(nèi)部部，，信信息息資資產(chǎn)產(chǎn)包包括括：：業(yè)務(wù)務(wù)應(yīng)應(yīng)用用軟軟件件IT基礎(chǔ)礎(chǔ)設(shè)設(shè)施施（（硬硬件件、、組組件件、、網(wǎng)網(wǎng)絡(luò)絡(luò)通通訊訊等等））相關(guān)關(guān)的的數(shù)數(shù)據(jù)據(jù)和和信信息息關(guān)鍵鍵業(yè)業(yè)務(wù)務(wù)流流程程和和人人員員其他他信信息息資資產(chǎn)產(chǎn)。。22二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求安全全風(fēng)風(fēng)險險的的評評估估安全全風(fēng)風(fēng)險險評評估估的的目目的的在在于于定定義義核核心心信信息息資資產(chǎn)產(chǎn)，，并并且且分分析析應(yīng)應(yīng)用用環(huán)環(huán)境境中中可可能能存存在在的的風(fēng)風(fēng)險險。。安全全風(fēng)風(fēng)險險評評估估是是定定義義安安全全需需求求、、選選擇擇相相應(yīng)應(yīng)對對策策以以及及設(shè)設(shè)計計安安全全系系統(tǒng)統(tǒng)的的基基礎(chǔ)礎(chǔ)。。23二、組織織IT戰(zhàn)略略與與安安全全需需求求2.基于于戰(zhàn)戰(zhàn)略略的的組組織織信息息安全全需需求求安全全風(fēng)風(fēng)險險的的評評估估簡易易風(fēng)風(fēng)險險評評估估模模型型：：從風(fēng)風(fēng)險險性性質(zhì)質(zhì)上上,風(fēng)險險=威脅脅+弱點(diǎn)點(diǎn)+影響響考慮慮風(fēng)風(fēng)險險的的影影線線,風(fēng)險險=威脅脅*弱弱點(diǎn)點(diǎn)*影影響響風(fēng)險險三三個個要要素素：：威脅脅--事件件或或行行為為,一般般來來自自系系統(tǒng)統(tǒng)外外部部,可能能在在某某些些地地方方會會影影響響固固有有的的弱弱點(diǎn)點(diǎn),造成影響.弱點(diǎn)--系統(tǒng)內(nèi)部考考慮之中的的弱點(diǎn),可能在某些些地方受到到威脅所利利用。影響--短期與長期期組織影響響,威脅碰巧利利用弱點(diǎn)。。24二、組織IT戰(zhàn)略與安全全需求2.基于戰(zhàn)略的的組織信息安全需求安全風(fēng)險的的評估通過安全風(fēng)風(fēng)險評估，，識別關(guān)鍵鍵業(yè)務(wù)資產(chǎn)產(chǎn)的安全威威脅和風(fēng)險險，了解企企業(yè)的安全全現(xiàn)狀和風(fēng)風(fēng)險水平，，分析安全全需求和安安全改進(jìn)方方向。安全需求必必須基于風(fēng)風(fēng)險評估，，并且應(yīng)該該在設(shè)計階階段開始前前確定。25二、組織IT戰(zhàn)略與安全全需求2.基于戰(zhàn)略的的組織信息安全需求基于戰(zhàn)略的的信息安全全需求的確確定組織需要制制定與業(yè)務(wù)務(wù)戰(zhàn)略和IT戰(zhàn)略一致的的安全戰(zhàn)略略，明確企企業(yè)的安全全建設(shè)目標(biāo)標(biāo)和安全建建設(shè)原則。。通過風(fēng)險評評估了解了了組織的安安全現(xiàn)狀和和風(fēng)險水平平，企業(yè)明明確了各個個層次的安安全需求和和改進(jìn)方向向。信息安全戰(zhàn)戰(zhàn)略是組織織在一定時時期內(nèi)的一一整套安全全決策，這這一決策決決定了企業(yè)業(yè)的安全策策略和制度度、流程、、行為和技技術(shù)的建設(shè)設(shè)。26二、組織IT戰(zhàn)略與安全全需求2.基于戰(zhàn)略的的組織信息安全需求基于戰(zhàn)略的的信息安全全需求的確確定制定組織信信息安全戰(zhàn)戰(zhàn)略的目標(biāo)標(biāo)：支持組織戰(zhàn)戰(zhàn)略。平衡的信息息安全風(fēng)險險。謹(jǐn)慎而有效效的信息安安全投資。。信息安全建建設(shè)能夠與與業(yè)務(wù)發(fā)展展和IT能力建設(shè)同同步。促使信息安安全成為業(yè)業(yè)務(wù)發(fā)展的的有力驅(qū)動動。27二、組織IT戰(zhàn)略與安全全需求2.基于戰(zhàn)略的的組織信息安全需求基于戰(zhàn)略的的信息安全全需求的確確定基于戰(zhàn)略的的信息安全全需求的內(nèi)內(nèi)容：范圍需求安全的目標(biāo)標(biāo)需求（可可用性、完完整性、保保密性、不不可地耐性性等要求））安全的組織織需求安全的資源源需求安全的管理理流程需求求（突發(fā)事事件與持續(xù)續(xù)改進(jìn)）后續(xù)展開這這些需求。。。。。28三、組織業(yè)務(wù)與與安全需求求1.組織業(yè)務(wù)描描述模型組織的分類類方法有多多種，這里里講的組織織按組織的的目標(biāo)分類類，可以把把組織分為為：互益組織：：如工會、、俱樂部、、政黨等。。工商組織：：如工廠、、商店、銀銀行等。服務(wù)組織：：如醫(yī)院、、學(xué)校、社社會機(jī)構(gòu)等等。公益組織：：如政府機(jī)機(jī)構(gòu)、研究究機(jī)構(gòu)、消消防隊等。。組織的分類類29三、組織業(yè)務(wù)與與安全需求求1.組織業(yè)務(wù)描描述模型組織的業(yè)務(wù)務(wù)描述模型型業(yè)務(wù)模型是是描述業(yè)務(wù)務(wù)用例實(shí)現(xiàn)現(xiàn)的對象模模型，它是是對業(yè)務(wù)角角色和業(yè)務(wù)務(wù)實(shí)體之間間如何聯(lián)系系和協(xié)作以以執(zhí)行業(yè)務(wù)務(wù)的一種抽抽象。30三、組織業(yè)務(wù)與與安全需求求1.組織業(yè)務(wù)描描述模型組織的業(yè)務(wù)務(wù)描述模型型業(yè)務(wù)流程描描述模型刻刻畫以業(yè)務(wù)務(wù)表單為中中心的應(yīng)用用系統(tǒng)業(yè)務(wù)務(wù)流程，解解決其業(yè)務(wù)務(wù)流程建模模中的問題題,包括:各類約束的的嚴(yán)格描述述、權(quán)限表表示、流程程關(guān)系、流流程推進(jìn)過過程以及業(yè)業(yè)務(wù)對象被被調(diào)度和執(zhí)執(zhí)行的全過過程描述。。采用業(yè)務(wù)流流程描述模模型的業(yè)務(wù)務(wù)系統(tǒng)更容容易擴(kuò)展和和維護(hù),能較好地滿滿足用戶的的需求。31三、組織業(yè)務(wù)與與安全需求求1.組織業(yè)務(wù)描描述模型業(yè)務(wù)描述模模型例子---銀行業(yè)務(wù)模模型業(yè)務(wù)事件[UML信號事件-指定的激勵勵表格或文文檔]和過程(UML用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

32三、組織業(yè)務(wù)與與安全需求求1.組織業(yè)務(wù)描描述模型業(yè)務(wù)描述模模型例子---銀行業(yè)務(wù)模模型Customer：客戶；Teller：出納員；；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)據(jù)庫33三、組織業(yè)務(wù)與與安全需求求2.基于業(yè)務(wù)的的組織安全全需求業(yè)務(wù)信息資資產(chǎn)是企業(yè)業(yè)信息安全全保護(hù)的核核心目標(biāo)，，因此要進(jìn)進(jìn)行信息安安全建設(shè)，，首先明確確安全保護(hù)護(hù)的對象。。組織需要要通過分析析業(yè)務(wù)流程程，識別關(guān)關(guān)鍵的業(yè)務(wù)務(wù)資產(chǎn)，確確定業(yè)務(wù)資資產(chǎn)的安全全所有人和和認(rèn)責(zé)人，，明確安全全保護(hù)責(zé)任任。業(yè)務(wù)信息資資產(chǎn)安全是是組織信息息安全保護(hù)護(hù)的核心34三、組織業(yè)務(wù)與與安全需求求2.基于業(yè)務(wù)的的組織安全全需求組織業(yè)務(wù)信信息資產(chǎn)保保護(hù)內(nèi)容在以業(yè)務(wù)為為核心的組組織內(nèi)部，，信息資產(chǎn)產(chǎn)包括業(yè)務(wù)務(wù)硬件與組組件、系統(tǒng)統(tǒng)與網(wǎng)絡(luò)通通信、應(yīng)用用軟件、相相關(guān)的數(shù)據(jù)據(jù)和信息，，還包括相相關(guān)的關(guān)鍵鍵業(yè)務(wù)流程程和人員。。35三、組織業(yè)務(wù)與與安全需求求2.基于業(yè)務(wù)的的組織安全全需求基于業(yè)務(wù)的的組織安全全需求對業(yè)務(wù)相關(guān)關(guān)信息資產(chǎn)產(chǎn)清冊，包包括硬件與與組件、系系統(tǒng)與網(wǎng)絡(luò)絡(luò)通信、應(yīng)應(yīng)用軟件、、相關(guān)的數(shù)數(shù)據(jù)和信息息，關(guān)鍵業(yè)業(yè)務(wù)流程和和人員。建立組織信信息資產(chǎn)目目錄并進(jìn)行行維護(hù)，可可以幫助企企業(yè)實(shí)施有有效的信息息資產(chǎn)安全全保護(hù)，業(yè)業(yè)務(wù)連續(xù)性性和災(zāi)難恢恢復(fù)。在信信息資產(chǎn)目目錄中應(yīng)該該定義資產(chǎn)產(chǎn)的安全等等級和安全全責(zé)任人。。36三、組織業(yè)務(wù)與與安全需求求2.基于業(yè)務(wù)的的組織安全全需求基于業(yè)務(wù)的的組織安全全需求通過安全風(fēng)風(fēng)險評估，，識別關(guān)鍵鍵業(yè)務(wù)信息息資產(chǎn)的安安全威脅和和風(fēng)險，將將安全需求求列表并排排出優(yōu)先級級。確定基于業(yè)業(yè)務(wù)的組織織安全需求求和安全改改進(jìn)方向。。37四、符合性的安安全需求1.符合性概述述符合性需求求的意義為了避免任任何違反法法律、法令令、法定的的或者合同同的義務(wù)，，使信息系系統(tǒng)安全集集成和運(yùn)行行置于法律律、法規(guī)或或者合同的的約定的要要求之下，，以避免或或減少安全全風(fēng)險。38四、符合性的安安全需求1.符合性概述述符合性是指指符合現(xiàn)行行法規(guī)、規(guī)規(guī)章、制度度，技術(shù)規(guī)規(guī)范等。符合性要求求組織所有有行為必須須合法，符符合相關(guān)的的規(guī)章制度度及規(guī)則。。就是不但但要遵守法法律，而且且也要符合合組織內(nèi)部部、行業(yè)等等的規(guī)章制制度。符合性與遵遵守組織適適用的法律律和法規(guī)有有關(guān)。它們們依賴于外外部因素，，如環(huán)境法法規(guī)，在某某些方面對對于整個組組織、或整整個行業(yè)是是類似的。。什么是符合合性39四、符合性的安安全需求2.法律法規(guī)要要求法律法規(guī)的的識別識別收集與安全全集成有關(guān)關(guān)的法律法法規(guī)并對適適應(yīng)性進(jìn)行行評價，確確定其適用用范圍和具具體適應(yīng)條條款，形成成適應(yīng)的法法律法規(guī)清清單。40四、符合性的安安全需求2.法律法規(guī)要要求法律法規(guī)的的識別評估法律法規(guī)復(fù)復(fù)合性的需需要定期評評估，保持持適應(yīng)的法法律、法規(guī)規(guī)的有效最最新版本。。法律法規(guī)復(fù)復(fù)合性的需需要定期評評價，保持持適應(yīng)的法法律、法規(guī)規(guī)的符合性性。41四、符合性的安安全需求2.法律法規(guī)要要求知識產(chǎn)權(quán)保保護(hù)需求嚴(yán)格執(zhí)行國國家有關(guān)知知識產(chǎn)權(quán)方方面的法律律法規(guī)，保保證使用合合法的正版版地軟件。。這些需要要，確定合法獲獲得軟件的的途徑合法法；審查軟件資資產(chǎn)清單，，確保使用用的軟件已已經(jīng)被授權(quán)權(quán)；列出需要的的軟件或未未被授權(quán)軟軟件清單；；確保用戶數(shù)數(shù)不超出允允許的上限限；嚴(yán)禁員工私私自安裝任任何軟件。。42四、符合性的安安全需求2.法律法規(guī)要要求記錄的保護(hù)護(hù)需求應(yīng)按照法律律法規(guī)要求求和組織規(guī)規(guī)定，明確確重要記錄錄的保存期期限并適當(dāng)當(dāng)保護(hù)，防防止丟失、、損壞和偽偽造；處理與個人人數(shù)據(jù)與信信息應(yīng)按照照國家法律律法規(guī)的規(guī)規(guī)定和相關(guān)關(guān)合同約束束，對個人人信息進(jìn)行行妥善管理理與保護(hù)，，防止丟失失或泄漏個個人信息；；將需要保護(hù)護(hù)記錄和個個數(shù)據(jù)與人人信息列出出清單，并并明確保護(hù)護(hù)要求。43四、符合性的安安全需求3.安全監(jiān)管要要求安全監(jiān)管是為預(yù)防和和遏制組織織內(nèi)信息系系統(tǒng)缺陷、、或用戶濫濫權(quán)、或管管理不善導(dǎo)導(dǎo)致信息安安全事件的的發(fā)生，并并保證及時時處理由此此引起的各各類安全事事件，減輕輕或消除信信息安全事事件造成的的經(jīng)濟(jì)損失失或信譽(yù)損損失，確保保組織業(yè)務(wù)務(wù)的連續(xù)性性。44四、符合性的安安全需求3.安全監(jiān)管要要求安全監(jiān)管的的要求主要要分為：國家要求；；行業(yè)要求；；組織內(nèi)部；；其他監(jiān)管要要求。45四、符合性的安安全需求3.安全監(jiān)管要要求信息安全等等級保護(hù)管管理的要求求什么是信息息安全等級級保護(hù)信息安全等等級保護(hù)是是指國家秘秘密信息、、法人和其其他組織及及公民的專專有信息以以及公開信信息和存儲儲、傳輸、、處理這些些信息的信信息系統(tǒng)分分等級實(shí)行行安全保護(hù)護(hù)，對信息息系統(tǒng)中使使用的信息息安全產(chǎn)品品實(shí)行按等等級管理，，對信息系系統(tǒng)中發(fā)生生的信息安安全事件分分等級響應(yīng)應(yīng)、處置。。46四、符合性的安安全需求3.安全監(jiān)管要要求信息安全等等級保護(hù)管管理的要求求組織對信息息和信息系系統(tǒng)分等級級進(jìn)行保護(hù)護(hù)的需求：：信息安全等等級保護(hù)管管理要求信信息和信息息系統(tǒng)分等等級進(jìn)行保保護(hù)，按組組織的利益益，社會公公眾利益，，對國家安安全的影響響一共分為為五級，第第一級是最最低的，第第五級是最最高。確定組織是是否強(qiáng)制或或自愿納入入信息安全全等級保護(hù)護(hù)管理，明明確納入分分級保護(hù)的的級別。47四、符合性的安安全需求3.安全監(jiān)管要要求信息安全等等級保護(hù)管管理的要求求組織對信息息系統(tǒng)安全全專用產(chǎn)品品分等級的的需求：信息安全等等級保護(hù)管管理要求對對信息系統(tǒng)統(tǒng)安全專用用產(chǎn)品分等等級進(jìn)行管管理，根據(jù)據(jù)可控性、、可靠性、、安全性和和可監(jiān)督性性這四個屬屬性確定信信息系統(tǒng)使使用的安全全產(chǎn)品等級級，各個單單位使用的的安全產(chǎn)品品應(yīng)該是分分等級的。。定了三級級的系統(tǒng)不不能使用二二級以下的的安全產(chǎn)品品；確定組織納納入分級保保護(hù)的級別別，明確使使用信息安安全產(chǎn)品的的等級需求求。48四、符合性的安安全需求3.安全監(jiān)管要要求信息安全等等級保護(hù)管管理的要求求組織對所發(fā)發(fā)生的信息息安全事件件分等級進(jìn)進(jìn)行響應(yīng)和和處置的需需求：信息安全等等級保護(hù)管管理要求，，對所發(fā)生生的信息安安全事件分分等級進(jìn)行行響應(yīng)和處處置，對不不同的信息息安全事件件，由監(jiān)管管部門牽頭頭組織全社社會的應(yīng)急急響應(yīng)和單單位的應(yīng)急急響應(yīng)相結(jié)結(jié)合，最大大限度的減減輕信息安安全事件造造成的損失失。確定組織納納入分級保保護(hù)的級別別，明確信信息安全事事件響應(yīng)的的等級需求求。49四、符合性的安安全需求3.安全監(jiān)管要要求組織內(nèi)部信信息安全監(jiān)監(jiān)管要求監(jiān)管范圍與與內(nèi)容：定義監(jiān)管范范圍，明確確定義組織織物理邊界界，信息系系統(tǒng)部署的的物理邊界界，應(yīng)用運(yùn)運(yùn)行的區(qū)域域；明確監(jiān)管設(shè)設(shè)備，包括括防火墻、、入侵檢測測系統(tǒng)、鑒鑒權(quán)系統(tǒng)、、服務(wù)器、、路由器、、交換機(jī)等等；50四、符合性的安安全需求3.安全監(jiān)管管要求組織內(nèi)部部信息安安全監(jiān)管管要求監(jiān)管范圍圍與內(nèi)容容：操作系統(tǒng)統(tǒng)與應(yīng)用用系統(tǒng)日日志，包包括操作作系統(tǒng)、、數(shù)據(jù)庫庫管理系系統(tǒng)、應(yīng)應(yīng)用系統(tǒng)統(tǒng)及設(shè)備備運(yùn)行域域操作日日志的監(jiān)監(jiān)管要求求；網(wǎng)站內(nèi)容容監(jiān)管，，網(wǎng)站內(nèi)內(nèi)容發(fā)布布的監(jiān)控控與審計計要求，，非法、、敏感類類信息以以及克訪訪問性的的適時監(jiān)監(jiān)管要求求。51四、符合性的的安全需需求3.安全監(jiān)管管要求組織內(nèi)部部信息安安全監(jiān)管管要求監(jiān)管職責(zé)責(zé)：內(nèi)部監(jiān)管管機(jī)構(gòu)的的指定與與監(jiān)管責(zé)責(zé)任的定定義，如如誰分管管，哪個個部門承承擔(dān)監(jiān)管管責(zé)任，，對監(jiān)管管對象、、安全事事件處理理，上下下協(xié)調(diào)等等責(zé)任的的定義；；監(jiān)管人員員的監(jiān)管管職責(zé)的的明確，，日常監(jiān)監(jiān)管要求求，問題題處理方方式與報報告流程程；事件分類類及事件件處理流流程定義義。52四、符合性的的安全需需求4.合同業(yè)務(wù)務(wù)要求合同受到到法律保保護(hù)：合同是當(dāng)當(dāng)事人之之間設(shè)立立、變更更、終止止民事關(guān)關(guān)系的協(xié)協(xié)議。依依法成立立的合同同，受法法律保護(hù)護(hù)。組織明確確雙方合合同協(xié)議議中對信信息安全全的要求求。組織在合合同業(yè)務(wù)務(wù)中對信信息安全全的要求求53四、符合性的的安全需需求4.合同業(yè)務(wù)務(wù)要求將雙方合合同協(xié)議議中對信信息安全全的要求求列出作作為安全全集成中中的需求求管理；；組織也需需要明確確提出第第三方機(jī)機(jī)構(gòu)及人人員的信信息安全全要求，，涉及第第三方接接觸本組組織的信信息處理理設(shè)備應(yīng)應(yīng)當(dāng)基于于正式的的合同提提出所有有的基于于信息安安全的要要求，以以便確保保符合組組織的安安全政策策和標(biāo)準(zhǔn)準(zhǔn)。組織在合合同業(yè)務(wù)務(wù)中對信信息安全全的要求求54五、基于風(fēng)險險的安全全要求1.風(fēng)險管理理綜述風(fēng)險的定定義風(fēng)險大致致有兩種種定義：：一種定定義強(qiáng)調(diào)調(diào)了風(fēng)險險表現(xiàn)為為不確定定性；而而另一種種定義則則強(qiáng)調(diào)風(fēng)風(fēng)險表現(xiàn)現(xiàn)為損失失的不確確定性。。學(xué)術(shù)界對對風(fēng)險的的內(nèi)涵還還沒有統(tǒng)統(tǒng)一的定定義，由由于對風(fēng)風(fēng)險的理理解和認(rèn)認(rèn)識程度度不同，，或?qū)︼L(fēng)風(fēng)險的研研究的角角度不同同，不同同的學(xué)者者對風(fēng)險險概念有有著不同同的解釋釋。55五、基于風(fēng)險險的安全全要求1.風(fēng)險管理理綜述信息安全全風(fēng)險在信息安安全領(lǐng)域域來講我我們這樣樣來定義義風(fēng)險：：風(fēng)險就是是發(fā)生損損失事件件的概率率，也可以說說是損失失發(fā)生的的不確定定性，即信息資資產(chǎn)遭受受破壞或或被非正正常利用用給組織織帶來損損失的可可能性。。56五、基于風(fēng)險險的安全全要求1.風(fēng)險管理理綜述風(fēng)險管理理風(fēng)險管理理是指通通過風(fēng)險險識別、、風(fēng)險評評估與分分析、風(fēng)風(fēng)險處置置、風(fēng)險險監(jiān)控等等一系列列活動來來消除或或減少風(fēng)風(fēng)險的管管理過程程。風(fēng)險識別別>>風(fēng)險評估估與分析析>>風(fēng)險處置置>>風(fēng)險監(jiān)控控57五、基于風(fēng)險險的安全全要求1.風(fēng)險管理理綜述風(fēng)險管理理風(fēng)險管理理必須識識別、分分析風(fēng)險險，風(fēng)險險識別是是確定何何種風(fēng)險險可能會會對組織織產(chǎn)生影影響，最最重要的的是量化化不確定定性的程程度和每每個風(fēng)險險可能造造成損失失的程度度。風(fēng)險管理理要著眼眼于風(fēng)險險控制，，組織通通常采用用積極的的措施來來控制風(fēng)風(fēng)險。通通過降低低其損失失發(fā)生的的概率，，縮小其其損失程程度來達(dá)達(dá)到控制制目的。。風(fēng)險管理理要學(xué)會會規(guī)避風(fēng)風(fēng)險，在在既定目目標(biāo)不變變的情況況下，改改變方案案的實(shí)施施路徑，，從根本本上消除除特定的的風(fēng)險因因素。58五、基于風(fēng)險險的安全全要求1.風(fēng)險管理理綜述風(fēng)險評估估對信息和和信息處處理設(shè)施施面臨的的威脅、、受到的的影響、、存在的的弱點(diǎn)以以及威脅脅發(fā)生的的可能性性的評估估。風(fēng)險評估估是確定定風(fēng)險優(yōu)優(yōu)先級的的方法。。大多數(shù)風(fēng)風(fēng)險評估估都基于于定量風(fēng)風(fēng)險評估估和定性性風(fēng)險評評估這兩兩種方法法或這兩兩種方法法的組合合。59五、基于風(fēng)險險的安全全要求2.風(fēng)險與安安全需求求組織需要要根據(jù)對對信息資資產(chǎn)風(fēng)險險評估的的結(jié)果，，結(jié)合業(yè)業(yè)務(wù)需求求來確定定組織安安全需求求。安全需求求中不僅僅包括具具體信息息資產(chǎn)對對安全的的要求，，還應(yīng)包包括軟件件功能方方面的安安全需求求，以及及物理安安全、管管理流程程、系統(tǒng)統(tǒng)管理等等非軟件件方面的的需求。。風(fēng)險評估估與安全全需求60五、基于風(fēng)險險的安全全要求2.風(fēng)險與安安全需求求組織根據(jù)據(jù)應(yīng)用以以及關(guān)鍵鍵數(shù)據(jù)的的重要程程度，確確定所需需要采用用的安全全機(jī)制。。通過安全全風(fēng)險評評估明確確存在風(fēng)風(fēng)險的關(guān)關(guān)鍵的業(yè)業(yè)務(wù)資產(chǎn)產(chǎn)和業(yè)務(wù)務(wù)流程，，識別其其安全需需求和安安全現(xiàn)狀狀。風(fēng)險評估估與安全全需求61五、基于風(fēng)險險的安全全要求2.風(fēng)險與安安全需求求安全風(fēng)險險的可接接受水平平以及安安全需求求的確認(rèn)認(rèn)，需要要業(yè)務(wù)人人員和管管理層來來確認(rèn)，，應(yīng)該將將實(shí)施控控制措施施的支出出與安全全故障可可能造成成的業(yè)務(wù)務(wù)損失進(jìn)進(jìn)行權(quán)衡衡考慮，，對安全全建設(shè)的的方向和和目標(biāo)進(jìn)進(jìn)行決策策。風(fēng)險評估估與安全全需求62六、確定組織織的安全全需求1.安全需求求的協(xié)商商協(xié)商協(xié)商是利利益關(guān)系系者共同同商量以以便取得得一致意意見。63六、確定組織織的安全全需求1.安全需求求的協(xié)商商安全需求求的協(xié)商商對于信息息安全的的需求，，在符合合國家法法律、行行業(yè)規(guī)定定、以及及上級主主管部門門、組織織內(nèi)部不不同機(jī)構(gòu)構(gòu)、以及及客戶等等的需求求重點(diǎn)不不一樣，，同時組組織建設(shè)設(shè)信息系系統(tǒng)，保保證信息息安全還還受投資資限制，，因此需需要對信信息安全全的需求求進(jìn)行商商量，以以最終求求得各方方一致認(rèn)認(rèn)同的適適合組織織建設(shè)的的安全需需求。需求平衡衡投資平衡64六、確定組織的的安全需求求1.安全需求的的協(xié)商整理需求有優(yōu)先順序序的安全需需求清單業(yè)務(wù)的組織織安全需求求符合性的安安全需求合同業(yè)務(wù)要要求風(fēng)險的安全全要求65六、確定組織的的安全需求求1.安全需求的的協(xié)商利益關(guān)系者者間溝通溝通是為了了一個設(shè)定定的目標(biāo)，，把信息、、思想和情情感在個人人或群體間間傳遞，并并且達(dá)成共共同協(xié)議的的過程。信息安全需需求的溝通通，是將將將組織業(yè)務(wù)務(wù)的組織安安全需求、、符合性的的安全需求求、合同業(yè)業(yè)務(wù)要求，，以及風(fēng)險險的安全要要求綜合處處理成有優(yōu)優(yōu)先順序的的安全需求求清單，用用這個清單單去向各利利益關(guān)系者者傳達(dá)，收收集意見和和建議，以以達(dá)成一致致意見。66六、確定組織的的安全需求求1.安全需求的的協(xié)商與利益關(guān)系系者溝通的的步驟：第一步事事前準(zhǔn)備備第一步闡闡述觀點(diǎn)點(diǎn)第一步收收集信息息第一步處處理異議議第一步達(dá)達(dá)成一致致67六、確定組織的的安全需求求1.安全需求的的協(xié)商與利益關(guān)系系者有效溝溝通的基本本技巧組織清晰語語言簡潔關(guān)注非語言言的暗示傾聽溝通對對象表達(dá)求同存異有有效反饋68六、確定組織的的安全需求求2.安全需求的的確定根據(jù)溝通結(jié)結(jié)果重新整整理需求清清單意見建議需求清單經(jīng)多方協(xié)商商后的達(dá)成成基本一致致的需求清清單69六、確定組織的的安全需求求2.安全需求的的確定召開會議形形成多方認(rèn)認(rèn)可的需求求清單在與各方充充分溝通的的達(dá)成基本本一致的基基礎(chǔ)上，召召開關(guān)系者者代表全體體會議，傳傳達(dá)溝通結(jié)結(jié)果，形成成多方認(rèn)可可的需求清清單，并簽簽注確認(rèn)。。召開關(guān)系者代表會議經(jīng)多方認(rèn)可可的需求清單單簽字確認(rèn)70七、確定信息安安全目標(biāo)總體目標(biāo)的的起草與確確定組織定義信信息安全總總目標(biāo)：確保組織的信息資產(chǎn)產(chǎn)的機(jī)密性性、完整性性和可用性性（不同的組組織可能會會還有不可可抵賴性等等），為組織業(yè)務(wù)應(yīng)用提提供安全、、穩(wěn)定、連連續(xù)的IT支撐。起草總目標(biāo)形成經(jīng)確認(rèn)認(rèn)的總體目目標(biāo)高層會議確確認(rèn)71七、確定信息安安全目標(biāo)分目標(biāo)的起起草與確定定分目標(biāo)的起起草與確定定在確認(rèn)總目目標(biāo)的基礎(chǔ)礎(chǔ)上，分解解具體管理目目標(biāo)，可按照可用性性、完整性性和機(jī)密性性以及其他如如不可抵賴賴性等面定義安全目標(biāo)。組織安全總總體目標(biāo)可用性目標(biāo)完整性目標(biāo)機(jī)密性目標(biāo)其他安全目目標(biāo)72七、確定信息安安全目標(biāo)可用性目標(biāo)分目標(biāo)的起起草與確定定在多方認(rèn)可可的需求清清單形成組組織的可用用性目標(biāo)，，例如：序號目標(biāo)測量方式1互聯(lián)網(wǎng)系統(tǒng)需達(dá)到99.5%的可用性每月通過提交服務(wù)報告方式，統(tǒng)計的服務(wù)時間，來計算服務(wù)可用性。2內(nèi)聯(lián)網(wǎng)系統(tǒng)需達(dá)到99.5%的可用性每月通過提交服務(wù)報告方式，統(tǒng)計的服務(wù)時間，來計算服務(wù)可用性。3系統(tǒng)管理服務(wù)可用性的目標(biāo)：關(guān)鍵業(yè)務(wù)服務(wù)器系統(tǒng)每年故障不超過12次，其他系統(tǒng)每月故障不超過8次。每月通過提交服務(wù)報告方式，統(tǒng)計的服務(wù)時間，來計算服務(wù)可用性。73七、確定信息安安全目標(biāo)完整性目標(biāo)分目標(biāo)的起起草與確定定在多方認(rèn)可可的需求清清單形成組組織的完整整性目標(biāo)，，例如：序號目標(biāo)測量方式1保證收費(fèi)信息的完整。在內(nèi)審中進(jìn)行評審，評估信息的有效性。未經(jīng)授權(quán)的破壞或修改的件數(shù)少于10件/年。2保證重要文檔信息的完整。在內(nèi)審中進(jìn)行評審，評估信息的有效性。未經(jīng)授權(quán)的破壞或修改的件數(shù)少于10件/年。374七、確定信息安安全目標(biāo)機(jī)密性目標(biāo)分目標(biāo)的起起草與確定定序號目標(biāo)測量方式1不同密級的信息資產(chǎn)應(yīng)得到適當(dāng)程度的保護(hù),不會被非授權(quán)訪問。無信息泄密事件1）在控制措施有效性測量中完成。隨機(jī)抽查10個人的訪問權(quán)限，是否和訪問權(quán)限表里的一致。百分比參數(shù)取決于:達(dá)到要求的數(shù)量/抽查的數(shù)*100%2）信息泄密控制在5件/年以下。在多方認(rèn)可可的需求清清單形成組組織的機(jī)密密性目標(biāo)，，例如：75七、確定信息安安全目標(biāo)分目標(biāo)確定定分目標(biāo)的起起草與確定定分目標(biāo)與測量方法清單形成經(jīng)確認(rèn)認(rèn)的組織信信息安全具具體目標(biāo)高層會議確確認(rèn)76七、確定信息安安全目標(biāo)匯總組織具具體安全目目標(biāo)匯總安全目目標(biāo)組織信息安全總體目標(biāo)確定組織信信息安全目目標(biāo)分目標(biāo)與測量方法清單+77謝謝！9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃黃葉樹，，燈下白白頭人。。。03:49:1703:49:1703:4912/29/20223:49:17AM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2203:49:1703:49Dec-2229-Dec-2212、故人人江海海別，，幾度度隔山山川。。。03:49:1703:49:1703:49Thursday,December29,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2203:49:1703:49:17December29,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。29十十二月20223:49:17上午午03:49:1712月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、行動出成成果，工作作出財富。。。2022/12/293:49:1703:49:1729December20