CISM信息安全管理体系_VXXXX年

《CISM信息安全管理体系_VXXXX年》由会员分享，可在线阅读，更多相关《CISM信息安全管理体系_VXXXX年（98页珍藏版）》请在装配图网上搜索。

1、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,‹#›,,单击此处编辑母版标题样式,信息安全管理体系,,中国信息安全测评中心,版本：,3.0,课程内容,2,,信息,安全,管理,,,信息安全,管理体系,,,,,,信息安全管理控制措施,,,,,信息安全管理体系概念,信息安全,管理基础,知识,体,：信息安全管理,体系,知识,域：信息安全管理,体系概念,理解信息安全管理体系（,ISMS,）的概念和核心过程,了解信息安全管理体系文档要求,了解,ISO/IEC 27000,标准族,,3,管理体系相关概念,,4,体系,相,互关

2、联和相互作用的一组,要素,,（,--,,ISO9000:200,5,质量管理体系 基础和术语）,管理体系：,建立方针和目标并达到目标的,体系,,,（,--,,ISO9000:200,5,质量管理体系 基础和术语）,为达到组织目标的策略、程序、指南和相关资源的,框架,,（,--,,ISO,/IEC 27000:2009,信息技术 安全技术 信息安全管理体系 概述和术语）,,管理体系,,5,ISO9000,质量管理体系,ISO14000,环境管理体系,OHSAS,职业健康安全管理体系,ISO/IEC27000,信息安全管理体系,ISO/IEC20000,服务管理体系,ISO22000,食品安全管理

3、体系,,管理体系,Management,System,信息安全管理体系,什么是信息安全管理,体系,Information Security Management System,，,ISMS,是,管理体系方法在信息安全领域的运用,,6,,,,,信息安全,管理,体系,,,,,,,,,,,,,,,,ISMS,信息安全管理体系,信息安全管理体系,是,整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的,体系,一般,地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，,这些要素

4、既,相互关联，又相互作用,7,,信息安全管理体系的作用,对内,形成,单位,可,自我持续,改进的,信息安全管理,机制,使,信息安全的角色和职责清晰，并落实到,人,确保,实现,动态的、系统,的、制度化,的,信息安全管理,有利于,根本上,保证业务的连续性，提高市场,竞争力,对外,能够,使客户、业务,伙伴对单位信息安全,充满,信心,有助于,界定,外包双方的信息安全,责任,可以,使单位更好地,满足审计要求,和,符合,法律,法规,保证,和外部,数据,交换中的信息安全,,8,,作用解释,ISMS,是,一,个通用的信息安全管理,指南,不是,说明“怎么做”,的,详细,细节,而是,具有,普遍意义的安全操作规则,指

5、南,指导,单位,在信息安全管理方面要做什么,，,如何,选择,适宜的安全管理控制,措施,ISMS,过程,信息安全管理体系标准要求建立,ISMS,过程,制定信息安全策略，确定体系范围，明确管理职责,单位应该实施、维护和持续,改进,该体系，保持其有效性,9,,ISMS,过程,10,,,,,,,,相关方,受控的,信息安全,,信息安全,要求和期望,相关方,,,,,检查,Check,建立,ISMS,实施和,运行,ISMS,保持和,改进,ISMS,监视和,评审,ISMS,规划,Plan,,,实施,Do,改进,Act,,,,,建立,ISMS,建立,ISMS,，,PLAN,主要,工,工作,定义,ISMS,范围,

6、和,和边界,《,ISMS,范围,说,说明,书,书》,：组,织,织结,构,构范,围,围、,业,业务,范,范围,、,、信,息,息系,统,统范,围,围和,物,物理,范,范围,制定,ISMS,方针,和,和策,略,略,实施,风,风险评估,识别风险,、,、分,析,析和,评,评价,风,风险,11,,实施,和,和运,行,行,ISMS,实施,和,和运,行,行,ISMS,，,DO,主要,工,工作,制定,风,风险,处,处理,计,计划,实施,风,风险,处,处理,计,计划,制定有效,性,性测,量,量程,序,序,管理,ISMS,的运,行,行,12,,监视,和,和评,审,审,ISMS,监视,和,和评,审,审,ISMS,，,

7、CHECK,主要工作,日常,监,监视,和,和检查,有效,性,性测,量,量,内部,审,审核,风险再评估,管理,评,评审,13,,保持,和,和改,进,进,ISMS,保持,和,和改,进,进,ISMS,，,ACT,主要工作,实施,纠,纠正,和,和预,防,防措施,持续改进,ISMS,沟通措施,改,改进,情,情况,14,,ISMS,的核心,过,过程,可,可以概括,为,为4,句,句话,规定,你,你应,该,该做,什,什么,并,并形,成,成文,件,件,：,：P,做文,件,件已,规,规定,的,的事,情,情,：,：D,评审,你,你所,做,做的,事,事情,的,的符,合,合性,：,：C,采取,纠,纠正,和,和预,防,防

8、措,施,施，,持,持续,改,改进,：,：A,,用,PDCA,来理,解,解什,么,么是,信,信息,安,安全,管,管理,体,体系,15,16,一级,文,文档,：,：宏,观,观方针,性,性文,档,档,二级,文,文档：管,控,控程序,及,及管理,制,制度,性,性文,档,档,三级,文,文档,：,：操,作,作指,南,南及,作,作业,指,指导,书,书类,四级,文,文档：体,系,系运,行,行的各,种,种记录,下级,文,文件,应,应支,持,持上,级,级文,件,件。,信息,安,安全,管,管理,体,体系,文,文档,要,要求,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T

9、22080,、,GB/T22081,的历,史,史沿,革,革,1990,年代,初,初,——,英国,贸,贸工,部,部（,DTI,）成,立,立工,作,作组,，,，立,项,项开,发,发一,套,套可,供,供开,发,发、,实,实施,和,和测,量,量有,效,效安,全,全管,理,理惯,例,例并,提,提供,贸,贸易,伙,伙伴,间,间信,任,任的,通,通用框架,1993,年,9,月,——,颁布,《,信息,安,安全,管,管理,实,实施,细,细则,》,，形,成,成,BS7799,的基础,1995,年,2,月,——,首次,出,出版,BS7799-1:1995,《,《,信息,安,安全,管,管理,实,实用,规,规则,》,1

10、998,年,2,月,——,英国,公,公布,BS7799-2:,《,《,信息,安,安全,管,管理,体,体系,要,要求,》,1999,年,4,月修,订,订,2000,年,12,月,——,国际,标,标准,组,组织,ISO/IECJTC1/SC27,工作,组,组认,可,可通,过,过,BS7799-1,，颁,布,布,ISO/IEC17799:2000,《,《,信息,安,安全,管,管理,实,实用,规,规则,》,2002,年,9,月,——BSI,对,BS7799-2,进行了改版,2005,年,6,月,—— ISO 17799:2000,改版，成为,ISO/IEC17799:2005,2005,年,10,月,

11、—— ISO,正式采用,BS 7799-2:2002,，命名为,ISO/IEC27001:2005,2007,年,7,月,—— ISO 17799:2005,归入,ISO27000,系列，命,名,名为,ISO/IEC27002:2005,2008,年,6,月,-,中国等同采用,ISO27001:2005,,命名为,GB/T22080-2008,中国等同采用,ISO27002:2005,,命名为,GB/T22081-2008,2013,年,10,月,—,—,—ISO,正,式,式,发,发,布,布,ISO/IEC27001:2013,和,ISO/IEC27002:2013,ISO/IEC27000,

12、标,准,准,簇,簇,介,介,绍,绍,17,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,BS7799,BS7799-1,BS7799-2,,,,,,,,,,,,,,,,,,,,,,,,,ISO17799,ISO27002,GB/T22081,ISO27001,GB/T22080,ISO/IEC27000,标,准,准,簇,簇,介,介,绍,绍,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T22080,、,GB/T22081,的,对,对,应,应,关,关,系,系,18,19,,ISO/IEC27000,系,列,列,已,经,经,制,制

13、,定,定,标,标,准,准,：,：,>21,个,正,在,在,制,制,定,定,标,标,准,准,：,：,>11,个,ISO/IEC27000,标,准,准,簇,簇,介,介,绍,绍,ISMS,标,准,准,我,我,国,国,采,采,标,标,情,情,况,况,各,国,国,等,等,同,同,采,采,标,标,我,国,国,采,采,标,标,情,情,况,况,20,,序号,国际标准,采标形式,国家标准,1,ISO/IEC 27000:2009,等同采用,《,信息安全管理体系概述和词汇,》,（,GB/T 29246-2012,）,2,ISO/IEC 27001:2005,等同采用,《,信息安全管理体系 要求,》,（,GBT 2

14、2080-2008,）,3,ISO/IEC,,27002:2005,等同采用,《,信息安全管理实用规则,》,（,GB/T 22081-2008,）,4,ISO/IEC 27006:2007,等同采用,《,信息安全管理体系审核认证机构的要求,》,（,GB/T 25067-2010,）,知,识,识,体,体,：,：,信,信,息,息安,全,全,管,管,理,理体,系,系,知,识,识,域,域,：,：,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,了,解,解,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,的,的,作,作,用,用,理,解,解,

15、安,安,全,全,方,方,针,针,、,、,信,信,息,息,安,安,全,全,组,组,织,织,、,、,资,资,产,产,管,管,理,理,、,、,人,人,力,力,资,资,源,源,管,管,理,理,、,、,物,物,理,理,和,和,环,环,境,境,安,安,全,全,等,等管,理,理,域,域,的,的,控,控,制,制,目,目,标,标,和,和,主,主,要,要,控,控,制,制,措,措,施,施,了,解,解,通,信,信,和,和,操,操,作,作,管,管,理,理,、,访,问,问,控,控,制,制,、,信,息,息,系,系,统,统获,取,取,开,开,发,发和,维,维,护,护,、,信,息,息,安,安,全,全,事,事,件,件,管,管,理

16、,理,、,业,务,务,连,连,续,续,性,性,管,管,理,理,等管,理,理,域,域,的,的,控,控,制,制,目,目,标,标和,控,控,制,制措,施,施,,21,,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,控,制,制措,施,施,是实,施,施,信,信,息,息,安,安,全,全,管,管,理,理,的,的,方,方,法,法,和,和手,段,段,单,位,位通,过,过,实,实,施,施,一,一,组,组,适,适,当,当,的,的,安,安,全,全,控,控,制,制,措,措,施,施,，,，,保,保,护,护,信,信,息,息,资,资,产,产,，,，,抵,抵,御,御,威,威,胁,胁,并,并,减,减,少,少,系,系

17、,统,统,脆,脆,弱,弱,性,性,，,，,降,降,低,低,安,安,全,全,风,风,险,险,，,，,达,达,到,到,信,信,息,息,安,安,全,全目,标,标,控,制,制措,施,施,涉,涉,及,及,行,行,政,政,、,、,技,技,术,术,和,和,管,管,理,理,等,等方,面,面,如,何,何,制,制,定,定,信,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,自己制定,本,本单,位,位的,信,信息安全,管,管理,控,控制措施,学习,别,别人,实,实践,经,经验,，,，参,考,考国,际,际,/,国家,标,标准,《,信息,安,安全,管,管理,实,实用,规,规则,》,（,ISO27002,）,

18、《信,息,息安,全,全管,理,理实,用,用规,则,则》,（,（,GB/T22081,）,22,,ISMS,信息安全,管,管理,域,域,23,,《信,息,息安,全,全管,理,理实,用,用规,则,则》,（,（,ISO27002:2005,）,《信,息,息安,全,全管,理,理实,用,用规,则,则》（,GB/T22081-2008,）,信息,安,安全,管,管理,实,实用,规,规则,（,（,GB/T22081-2008,）,11,个域,39,个目标,133,个控制,措施,,,24,信息,安,安全,管,管理,实,实用,规,规则,每个,主,主要安全,域,域，包括,：,：,控制目标,，,，声,明,明要,实,实

19、现,什,什么,一个,或,或多个控,制,制措施，用,于,于实现,该,该控,制,制目标,每个,（,（安,全,全）,控,控制,措,措施,的,的描,述,述内,容,容,控制,措,措施,：,：,是对,该,该控,制,制措,施,施的,定,定义,实施,指,指南,：,：,是对,实,实施,该,该控,制,制措,施,施的,指,指导,性,性说,明,明,其它,信,信息,：,：,其它,需,需要,说,说明,的,的补,充,充信,息,息，,如,如法,律,律考,虑,虑,25,什么,是,是控,制,制措,施,施,什么,是,是控,制,制措,施,施,管理,风,风险,的,的方,法,法。,为,为达,成,成企,业,业目,标,标提,供,供合,理,理

20、保,证,证，,并,并能,预,预防,、,、检,查,查和,纠,纠正,风,风险,。,。,它们,可,可以,是,是行,政,政、,技,技术,、,、管,理,理、,法,法律,等,等方,面,面的,措,措施,。,。,控制,措,措施,的,的分,类,类：,预防,性,性控,制,制,检查,性,性控,制,制,纠正,性,性控,制,制,,,26,不是,所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都,适用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,1.,安全方针,27,Why?,有没,有,有遇,到,到过,这,这样,的,的事,情,情？,案例,1,有单,位,

21、位领,导,导说,：,：“,听,听说,信,信息,安,安全,工,工作,很,很重,要,要，,可,可是,我,我不,知,知道,对,对于,我,我们,单,单位,来,来说,到,到底,有,有多,重,重要,，,，也,不,不知,道,道究,竟,竟有,哪,哪些,信,信息,是,是需,要,要保,护,护的,。,。,”,案例,2,据说,作,作为,管,管理,人,人员,要,要把,个,个人,计,计算,机,机的,登,登录,口,口令,设,设置,好,好，,怎,怎么,设,设置,才,才符,合,合要,求,求呢,？,？,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,这些,问,问题需要,先,在“,安全,方,方针,”中寻,找,找

22、答,案,案,28,安全,方,方针,控,控制,目,目标,控制目标,制定,信,信息,安,安全,方,方针,评审,信,信息,安,安全,方,方针,信息,安,安全,方,方针,应,应该,做,做到,对信,息,息安,全,全加,以,以定,义,义,陈述,管,管理,层,层的,意,意图,分派,责,责任,约定,信,信息,安,安全,管,管理,的,的范,围,围,对特,定,定的,原,原则,、,、标,准,准和,遵,遵守,要,要求,进,进行,说,说明,对报,告,告可,疑,疑安,全,全事,件,件的,过,过程,进,进行,说,说明,定义,用,用以,维,维护,策,策略,的,的复,查,查过,程,程,,,,,,,,,,,,,,,,,,,,,,

23、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,29,具体,解,解释,信息,安,安全,方,方针,是,是陈,述,述管,理,理者,的,的管,理,理意,图,图，,说,说明,信,信息,安,安全,工,工作,目,目标,和,和原,则,则的,文,文件,信息,安,安全,方,方针,文,文件,的,的作,用,用是,说,说明,业,业务,要,要求,和,和法,律,律法,规,规对,于,于信,息,息安,全,全的,要,要求,，,，为,安,安全,管,管理,工,工作,提,提供,

24、指,指导,和,和支,持,持,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方针,应,应当说明,以,以下,问,问题,：,：,本单,位,位信,息,息安,全,全的,整,整体,目,目标,、,、范,围,围以,及,及重,要,要性,；,；,信息,安,安全,工,工作,的,的基,本,本原,则,则；,风险,评,评估,和,和风,险,险控,制,制措,施,施的,架,架构,；,；,需要,遵,遵守,的,的法,规,规和,制,制度,；,；,信息,安,安全,责,责任,分,分配,；,；,信息,系,系统,用,用户,和,和运,行,行维,护,护人,员,员应,该,该遵,守,守的,规,规则,30,关键,

25、点,点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,主要,内,内容,一,一般,包,包括,信,信息,安,安全,的,的整,体,体目,标,标、,范,范围,、,、原,则,则、,控,控制,措,措施,的,的框,架,架、,重,重要,安,安全,策,策略,和,和需,要,要遵,守,守的,各,各项,规,规定,等,等,信息,安,安全,方,方针,文,文件,应,应由,高,高层,管,管理,者,者审,批,批后,，,，作,为,为正,式,式文,件,件发,布,布，,并,并有,效,效传,达,达给,所,所有,员,员工,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方针,不,不是

26、一成,不,不变,的,的，,要,要根,据,据安,全,全环,境,境的,变,变化,以,以及,执,执行,过,过程,中,中发,现,现的,策,策略,本,本身,的,的问,题,题及,时,时进,行,行更,新,新调,整,整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,31,举例,——,《XX,系统,信,信息,安,安全,总,总体,策,策略,》,安全,方,方针,概,概述,XX,系统,相,相关,信,信息,和,和支,撑,撑系,统,统、,程,程序,等,等，,不,不论,它,它们,以,以何,种,种形,式,式存,在,在，,均,均是,XX,系统,的,的关,键,键资,产,产,信息,的,的可,用,用性,、,、完,整

27、,整性,和,和保,密,密性,是,是信,息,息安,全,全的,基,基本,要,要素,，,，关,系,系到,XX,机关,的,的形,象,象和,业,业务,的,的持,续,续运,行,行。,必须,保,保护,这,这些,资,资产,不,不受,威,威胁,侵,侵害,定义,和,和监,督,督执,行,行,XX,系统,网,网络,与,与信,息,息安,全,全总,体,体策,略,略是,XX,部门,的,的责,任,任,32,举例,——,《XX,系统,信,信息,安,安全,总,总体,策,策略,》,安全,方,方针,概,概述,资产,分,分类,和,和控,制,制,信息,分,分类,资产,分,分类,：,：信,息,息资,产,产，,包,包括,计,计算,机,机和,

28、网,网络,，,，应,当,当依,据,据其,价,价值,和,和敏,感,感性,以,以及,保,保密,性,性、,完,完整,性,性和,可,可用,性,性原,则,则进,行,行分,类,类。,信,信息,安,安全,主,主管,部,部门,应,应当,根,根据,各,各自,部,部门,的,的业,务,务特,点,点制,定,定本,系,系统,内,内具,体,体的,资,资产,分,分类,与,与分,级,级方,法,法，,并,并根,据,据分,级,级和,分,分类,办,办法,制,制定,明,明晰,的,的资,产,产清,单,单,敏感,信,信息,、,、关,键,键信,息,息,资产,的,的可,审,审计,性,性,计算,机,机和,网,网络,的,的运,行,行管,理,理,

29、,,33,2.,信息,安,安全,组,组织,34,Why?,有没,有,有遇,到,到过,这,这样,的,的事,情,情？,案例,1,我是,一,一名,网,网络,管,管理,员,员，,发,发现,最,最近,来,来自,外,外部,的,的病,毒,毒攻,击,击很,猖,猖獗,，,，要,是,是有,15,万买,个,个防,毒,毒墙,就,就解,决,决问,题,题了,，,，找,谁,谁要,这,这笔,钱,钱，,谁,谁来,采,采购,？,？,案例,2,我是,一,一名,普,普通,工,工作,人,人员,，,，我,的,的内,网,网计,算,算机,上,上不,了,了外,网,网没,办,办法,打,打补,丁,丁，,我,我该,找,找谁,获,获得,帮,帮助,？,

30、？,,应该有一,群,群人,，,，至,少,少包,括,括单,位,位领,导,导、,技,技术,部,部门,和,和行,政,政部,门,门的人，组织在一,起,起，,专,专门,负,负责,信,信息,安,安全,的,的事,35,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,控制,目,目标,控制,目,目标,内部,组,组织,在组,织,织内,部,部建,立,立信,息,息安,全,全框,架,架,外部,组,组织,识别,和,和控,制,制外,部,部合,作,作过程,中,中的,风,风险，保,证,证单,位,位信,息,息和信息,系,系统,安,安全,性,性,,36,具体,解,解释,为有,效,效实,施,施信,息,息安,全,全管,

31、理,理，,保,保障,和,和实,施,施系,统,统的,信,信息,安,安全,，,，需,要,要建,立,立相,应,应的,组,组织,架,架构,信息,安,安全,责,责任,的,的重,要,要性,在一,个,个机,构,构中,，,，安,全,全角,色,色与,责,责任,的,的不,明,明确,是,是实,施,施信,息,息安,全,全过,程,程中,的,的最,大,大障,碍,碍，,建,建立,安,安全,组,组织,与,与落,实,实责,任,任是,实,实施,信,信息,安,安全,管,管理,的,的第,一,一步,37,控制,措,措施,——,内部,组,组织,内部,组,组织,目标,：,：在,组,组织,内,内管,理,理信,息,息安,全,全,八个控,制,制

32、措,施,施,管理,层,层重,视,视,协调,信,信息,安,安全,活,活动,分配,信,信息,安,安全,职,职责,新设,备,备和,系,系统,授,授权,保密,协,协议,与政,府,府部,门,门的,联,联系,与特,定,定组,织,织机,构,构的,联,联系,信息,安,安全,的,的独,立,立评,审,审,,,,,,38,关键,点,点,高层,管,管理,者,者参,与,与（,如,如本,单,单位,信,信息,化,化领,导,导小,组,组）,，,，负,责,责重,大,大决,策,策，,提,提供,资,资源,并,并对,工,工作,方,方向,、,、职,责,责分,配,配给,出,出清,晰,晰的,说,说明,不仅,仅,仅由,信,信息,化,化技,术

33、,术部,门,门参,与,与，,与,与信,息,息安,全,全相,关,关的,部,部门,（,（如,行,行政,、,、人,事,事、,安,安保,、,、采,购,购、,外,外联,）,）都,应,应参,与,与到,组,组织,体,体系,中,中各,司,司其,责,责，,协,协调,配,配合,,39,1.,企业,内,内部,达,达成,共,共识,2.,组织,的,的安,全,全建,立,立责,任,任分,工,工划分,3.,避免,流,流于,形,形式,或,或作,假,假,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,内部,组,组织,举,举例,40,,,,,信息安全领导小组,,,信息技术部门,,,,业务应用部门,,,,安全保卫部门

34、,,,,人事行政部门,,,,其他有关部门,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息安全,工,工作,和,和其,他,他工,作,作一样,，,不是某个个人,、,某个部门就可,以,以完成的,。,。信息技,术,术部门是,信,信息安全,组,组织中的,重,重要执行,机,机构，但,不,不是全部,。,。,信息安全,领,领导小组,信息安全,领,领导小组,信息安全,领,领导小组,是,是各级系,统,统网络与,信,信息安全,工,工作的最,高,高领导决,策,策机构,不隶属于,任,任何部门,，,，直接对,本,本单位最,高,高领导负,责,责,是一个常,设,设机构,领导小组,成,成员一般

35、,由,由各级系,统,统的高层,领,领导挂帅,，,，并结合,与,与信息安,全,全相关各,职,职能部门,的,的主要负,责,责人参加,41,领导小组,责,责任,领导小组,责,责任,落实,XX,系统安全,建,建设的总,体,体规划,制定本单,位,位安全规,划,划并监督,落,落实,负责组织,细,细化上级,规,规章制度,，,，制定相,应,应程序指,南,南，并监,督,督落实规,章,章制度,负责本单,位,位信息系,统,统安全管,理,理层以上,的,的人员权,限,限授予工,作,作,审阅本单,位,位信息安,全,全报告,组织重大,安,安全事故,查,查处与汇,报,报工作,,42,责任划分,信息技术,部,部门,对信息系,统

36、,统及信息,系,系统安全,保,保障提供,技,技术决策,和,和技术支,持,持,业务应用,部,部门,对信息系,统,统的业务,处,处理以及,业,业务流程,的,的安全承,担,担管理责,任,任,安全保卫,部,部门,对场地以,及,及系统资,产,产的防灾,、,、防盗、,防,防破坏等,承,承担管理,责,责任,人事行政,部,部门,从人事、,行,行政上对,信,信息安全,保,保障执行,管,管理工作,其他有关,部,部门,应与上述,部,部门协作,，,，共同对,信,信息系统,的,的建设和,运,运行维护,承,承担管理,责,责任,,43,控制措施,——,外部各方,外部各方,目标：保,持,持组织的,被,被外部各,方,方访问、,

37、处,处理、管,理,理或与外,部,部进行通,信,信的信息,和,和信息处,理,理设施的,安,安全,三个控制,措,措施,识别外部,各,各方风险,处理与顾,客,客有关的,安,安全问题,处理第三,方,方协议中,的,的安全问,题,题,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,访问风险,：,：,1.,维护软件,设,设备的承,包,包商,2.,清洁、送,餐,餐人员,3.,外部咨询,人,人员,44,关键点,要注意充,分,分理由外,部,部资源，,与,与上级主,管,管单位、,国,国家职能,部,部门、设,备,备和基础,设,设施提供,商,商、安全,服,服务商、,有,有关专家,保,保持良好,的

38、,的沟通和,合,合作关系,要注意外,来,来风险，,如,如与第三,方,方机构签,订,订保密协,议,议，监督,和,和限制其,活,活动等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,例如与电力部,门,门建立良,好,好的协作,关,关系，停,电,电了，UPS的电,也,也要用光,了,了，电力,部,部门可以,开,开个发电,车,车来解决,关,关键信息,系,系统临时,电,电力供应,45,3,、 资产,管,管理,46,Why,？,那些曾经,发,发生过的,事,事,案例,1,单位欲安,装,装一台网,络,络防火墙,，,，却发现,没,没有人可,以,以说清楚,当,当前的真,实,实网络拓,扑,扑情况

39、，,也,也没有人,能,能说清楚,系,系统中有,哪,哪些服务,器,器，这些,服,服务器运,行,行了哪些,应,应用系统,案例,2,单位信息,安,安全评估,，,，发现大,部,部分服务,器,器安全状,况,况良好，,只,只有一台,服,服务器存,在,在严重安,全,全漏洞。,研,研究整改,措,措施时，,发,发现平时,没,没有人对,该,该服务器,的,的安全负,责,责,47,资产管理,目,目标,目标,对,资产,负责,——,实现并保,持,持组织资,产,产的适当,保,保护,信息分类,——,确保对信,息,息资产的,保,保护达到,恰,恰当的水,平,平,包含的内容,组织可以,根,根据业务,运,运作流程,和,和信息系,统,

40、统拓扑结,构,构来识别,信,信息资产,按照信息,资,资产所属,系,系统或所,在,在部门列,出,出资产清,单,单,所有的信,息,息资产都,应,应该具有,指,指定的属,主,主并且可,以,以被追溯,责,责任,信息应该,被,被分类，,以,以标明其,需,需求、优,先,先级和保,护,护程度,根据组织,采,采用的分,类,类方案，,为,为信息标,注,注和处理,定,定义一套,合,合适的程,序,序,,48,资产管理,信息安全,管,管理工作,的,的根本目,的,的是保护,系,系统中的,资,资产,资产包括,信息资产：业务数据,、,、合同协,议,议、科研,材,材料、操,作,作手册、,系,系统配置,、,、审计记,录,录、制

41、度,流,流程等,软件资产,：,：应用软件,、,、系统软,件,件、开发工具等,物理资产,：,：计算机,设,设备、通,信,信设备、,存,存储介质,等,等,服务：通,信,信服务、公用设,施,施（供暖、照明、能源）等,人员：他,们,们的资格,、,、技能和,经,经验,无形资产：品,牌,牌、声誉和,形,形象,49,资产管理,控,控制目标,控制目标,对资产负,责,责,信息分类,,50,,控制措施,——,对资产负,责,责,对资产负,责,责,列出资产,清,清单，明,确,确保护对,象,象,准确识别资产，编制清单,，,，形成文,件,件,括资产类型、位置、备份信息和业务价值,等,等内容,为资产指定责任人，,明,明确安

42、全,负,负责,“,责任人,”,不一定是,指,指具有资,产,产所有权,的,的人，而,是,是指具有,控,控制生产,、,、开发、,使,使用和保,护,护资产权,限,限的个人,或,或实体,确定资产,的,的使用限,制,制条件,,,合法使用,,,51,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,资产管理,是,是信息安,全,全管理的,重,重要内容,控制措施,——,信息分类,信息分类,分类指南,根据信息的价,值,值、法律要求和对组织的敏,感,感程度和,关,关键性进行分类,信息标记和处理,信息类别,标,标记，,设置合适,的,的分类说明,如表明文件,的,的密级、,存,存储介质,分,分类的标,签,

43、签,规定重要,敏,敏感信息,的,的安全处,理,理、存储,、,、传输、,删,删除和销,毁,毁的程序,,,52,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,对信息分类,是,是使信息,受,受到适当,级,级别的保,护,护，在处,理,理信息时,指,指明保护,的,的需求、,优,优先级和,期,期望程度,关键点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,建议分类,方,方法不宜,复,复杂，否,则,则容易造,成,成混乱,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,每种分类,应,应唯一区,别,别于其它,分,分类，同,时,时不能有,任,任何重叠,,,,,,

44、,,,,,,,,,,,,,,,,,,,,,,,,,,,分类过程,还,还应简单,说,说明如何,在,在其生命,周,周期内控,制,制并处理,53,举例,——,商业公司,和,和军事机,构,构信息分,类,类,组织,分类类别,定义,实例,商业公司,公共,即使泄漏不会给公司或个人造成不利影响,有多少人完成某个项,,私有,可能给公司或个人带来不利影响,人事资源信息,军事机构,绝密,如果泄漏会给国家安全带来毁灭性破坏,新型战时武器设计图,,秘密,给国家安全造成重大威胁,部队分布及部署,,不保密,非保密信息,计算机通用学习手册,54,4.,人力资源,安,安全,55,Why?,那些曾经,发,发生过的,事,事,案例一

45、,2010,年,3,月中旬，,汇,汇丰控股,发,发布公告,，,，其旗下,汇,汇丰私人,银,银行,(,瑞士,),的一名,IT,员工，曾,于,于三年前,窃,窃取了银,行,行客户的,资,资料，失,窃,窃的资料,涉,涉及,1.5,万名于,2006,年,10,月前在瑞,士,士开户的,现,现有客户,。,。有鉴于,此,此，汇丰,银,银行三年,来,来共投放,1,亿瑞士法,郎,郎，用来,将,将,IT,系统升级,并,并加强保,安,安,案例二,《,论语,》,“吾恐季孙,之,之忧，不,在,在颛臾，而在萧墙之,内,内也”,萧墙之祸比喻,灾,灾祸、变,乱,乱由内部,原,原因所致,56,人力资源,安,安全目标,目标,：,任

46、用,前,——,确保员工,、,、合同访,和,和第三方,用,用户了解,他,他们的责,任,任并适合,于,于他们所,考,考虑的角,色,色，降低设,施,施被窃、,欺,欺诈和误,用,用的风险,任用中,——,确保所有,的,的员工、,合,合同方和,第,第三方用,户,户了解信,息,息安全威,胁,胁和相关,事,事宜、他,们,们的责任,和,和义务，,并,并在他们,的,的日常工,作,作中支持,组,组织的信,息,息安全方,针,针，减少,人,人为错误,的,的风险,任用终止,及,及变更,——,确保员工,、,、合同方,和,和第三方,用,用户离开,组,组织或变,更,更雇佣关,系,系时以一,种,种,规范,的方式进,行,行,,57

47、,控制措施,——,任用前,任用,（上岗）,前,前,明确人员,遵,遵守安全,规,规章制度,、,、执行特,定,定的信息,安,安全工作,、,、报告安,全,全事件或,潜,潜在风险,的,的责任,对担任敏,感,感和重要,岗,岗位的人,员,员要考察,其,其身份、,学,学历和技,术,术背景、,工,工作履历,和,和以往的,违,违法违规,记,记录,要在合,同,同或专,门,门的协,议,议中，,明,明确其,信,信息安,全,全职责,58,控制措,施,施,——,任用中,任用,中,保证其,充,充分了,解,解所在,岗,岗位的,信,信息安,全,全角色,和,和职责,有针对,性,性地进,行,行信息,安,安全意,识,识教育,和,和技

48、能,培,培训,及时有,效,效的,纪律处,理,理（惩,戒,戒）,措施,,59,,控制措,施,施,——,任用终,止,止及变,更,更,离职人,员,员存在,的,的安全,隐,隐患,未删除,的,的帐户,未收回,的,的各种,权,权限,VPN,、远程,主,主机、,企,企业邮,箱,箱和,VoIP,等应用,其它隐,含,含信息,网络机,构,构、规,划,划，存,在,在的漏,洞,洞,同事的账户,、,、口令和,使,使用习,惯,惯等,,60,,这些信,息,息和权,限,限如果,被,被离职,的,的员工,和,和攻击,者,者们恶,意,意利用,，,，很容,易,易导致,信,信息安全,事件,,,,,,,,,,,,,,,,,,,,,,,,

49、,,,,,,,,,控制措,施,施,——,任用终,止,止及变,更,更,以,规范的方式,退,退出单,位,位或改,变,变其任,用,用关系,终止职,责,责,通知相,关,关人员,人,人事变,化,化，明,确,确离职,后,后仍需,遵,遵守的,责,责任规,定,定,归还资,产,产,保证离,职,职人员,归,归还软,件,件、电,脑,脑、存,储,储设备,、,、文件,和,和其他,设,设备,撤销访,问,问权限,撤销用,户,户名、,门,门禁卡、,密钥,、数字证,书,书等,,61,,举例,——,任用中,安,安全管,理,理,员工缺,乏,乏基本,的,的安全,意,意识，,特,特别是,一,一些业,务,务人员,等,等，没,有,有进行,

50、统,统一的,、,、系统,的,的安全,培,培训和,学,学习的机会,由于员,工,工对发,生,生安全,问,问题后,造,造成的,后,后果不,负,负任何,责,责任，,从,从而也,就,就不能,有,有效的,督,督促员,工,工提高,自,自己的,安,安全意,识,识，最,终,终形成,恶,恶性循,环,环、导,致,致员工,不,不能严,格,格遵循,公,公司的,安,安全管,理,理制度,个人电,脑,脑的密,码,码设置,为,为空或,者,者非常,脆,脆弱,系统默,认,认安装,，,，从不,进,进行补,丁,丁升级,拨号上,网,网，给,个,个人以,及,及整个,公,公司带,来,来后门,启动众,多,多不用,的,的服务,,62,,人员层次

51、不,同,同，流,动,动性大,，,，安全,意,意识薄,弱,弱而产,生,生病毒,泛,泛滥、,终,终端滥,用,用资源,、,、非授,权,权访问,、,、恶意,终,终端破,坏,坏、信,息,息泄露,等,等安全,事,事件不胜枚,举,举,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,5,、 物,理,理和环,境,境安全,63,Why,？,那些曾,经,经发生,过,过的事,案例,1,竞争对,手,手潜入,机,机房，,直,直接用,移,移动硬,盘,盘将服,务,务器中,的,的重要,数,数据拷,贝,贝走,案例,2,机房中,温,温度过,高,高，导,致,致计算,机,机无法,正,正常运,行,行，造,成,成业务,中,

52、中断，,全,全国性,服,服务停,止,止超过,1,天,64,物理和环境,安,安全目标,目标：,安全区域,——,防止非授权,访,访问、破坏,和,和干扰业务,运,运行的前提,条,条件及信息,设备安全,——,预防资产的,丢,丢失、损坏,或,或被盗，以,及,及对组织业,务,务活动的干,扰,扰,包含的内容,：,：,应该建立带,有,有物理入口,控,控制的安全,区,区域,应该配备物,理,理保护的硬,件,件设备,应该防止网,络,络电缆被塔,线,线窃听,将设备搬离,场,场所，或者,准,准备报废时,，,，应考虑其,安,安全,,65,安全区域,-1,物理安全边,界,界,建立安全边,界,界，形成安,全,全区域,物理入口

53、控,制,制,必须弄清来,访,访者的身份,，,，并将其进,入,入与离开安,全,全区域的日,期,期与时间记,录,录起来,所有人员配,戴,戴识别证,66,安全区域,-2,房间和设施,的,的安全保护,关键设施,要坐落在可,避,避免公众访,问,问的场地,保护标识敏,感,感信息处理,设,设施位置的,目,目录和内部,电,电话簿不被,公,公众得到,外部和环境,威,威胁的安全防护,设计,物理保护措施,，防止火灾、洪水,、,、地震、爆,炸,炸、社会动,荡,荡和其他形,式,式自然或人,为,为灾难引起,的,的破坏,在合适的位,置,置提供灭火设备,加固设施，,防,防止,屋顶漏水或地下,室,室地板渗水,67,安全区域,-

54、3,安全区域工作,防护,未使用的安,全,全区域，应加锁以限制访问,并定期检查,避免写入,“,机房重地，,请,请勿进入,”,的字样,应限制授权,，,，一般不允,许,许携带摄影,、,、视频、声,频,频或其他记,录,录设备进入,公共访问和,交,交接区安全,访问点（例,如,如交接区）,和,和未授权人,员,员可进入办,公,公场所的地,点,点应加以控,制,制，避免未授权访问,除交接区外,，,，交货人员,无,无需获得对本建筑物,其,其他部分的访问权就能卸下物资,当内部门打开时，交,接,接区的外部,门,门应得到安,全,全保护,68,,设备安全,-1,设备安置和,保,保护,为不同设备,划,划分不同区,域,域进行

55、安置,和,和保护，尽,量,量限制对工,作,作区域不必,要,要的访问,通过楼房建,筑,筑和机房装,修,修要求，防,范,范偷窃、火,灾,灾、爆炸、烟雾、尘埃、震动,、,、电源干扰,支持性设施,保护设备使,其,其免于由支,持,持性设施失,效,效引起故障,定期检查并测试支持性设施,制定电源计,划,划，如,多回路供电,、,、,UPS,、发电机等,保障（空调,）,）用水,保障通信线,路,路,,,,69,设备安全,-2,布缆安全,保证传输数,据,据或支持信,息,息服务的电,源,源电缆和通,信,信电缆免受,窃,窃听或损坏,电力线路应,与,与通讯线路,隔,隔离，以避,免,免相互干扰,设备维护,正确维护单,位,位

56、设备，保,证,证其持续的,可,可用性和完整性,按照推荐的,服,服务间隔与,规,规范，对设,备,备进行维护,只有已授权,的,的维护人员,才,才能修理设备,删除敏感信,息,息或保证维,护,护人员可靠,性,性,70,设备安全,-3,组织场所外,的,的设备安全,在单位场所,外,外使用信息处,理,理设备,，必须经过授权,离开办公场,所,所的设备要,有,有合理的保,护,护措施,设备的安全,处,处置和再利,用,用,对于储存敏,感,感信息的储,存,存设备，必,须,须销毁或是,重,重写重灌数,据,据资料，不,可,可以只使用,简,简单的删除,功,功能。,资产的移动,设备、信息,或,或软件应根,据,据授权确定,是,

57、是否允许带,出,出单位场所,，,，并进行控,制,制和记录,设置设备允许离开的时间,，并作,符合性检查,和,和记录,71,举例,1,——,访问控制措,施,施,卡访问控制,或,或生物特征,系,系统,磁卡、非接,触,触卡等,指纹、视网,膜,膜扫描、签,名,名、声音识,别,别、手形等,等,等,,72,举例,2,——,物理监控措,施,施,周边入侵检,测,测系统,用来探测未,经,经授权而进,入,入的人，并,发,发出警报,现在最常用,的,的入侵监测,系,系统是机电式的，能够探,测,测到电路的,变,变化或断路,，,，例如：窗,户,户贴，绷紧,线,线等,一个常被忽,略,略的脆弱点,——,报警系统,监控系统,使用

58、照相机通过传输媒介将图片传送,到,到连接的显示器的电视传输,系,系统,与广播电视,是,是不同的，,监,监控系统的,信,信号不是公,开,开传输的,,,73,6,、通信和操,作,作管理,74,通信和操作,管,管理,信息系统日,常,常运行安全,是,是信息安全,管,管理的主要,组,组成部分,为减少人为,疏,疏忽或故意,误,误用信息系,统,统的几率和,风,风险，使信,息,息系统在运,行,行过程中的,安,安全性得到,保,保证，应当,确,确立信息处,理,理设施的管,理,理和操作责,任,任及程序,,75,,Why,？,案例,案例,1,2007,年,8,月,30,日，美国空,军,军一架,B-52,战略轰炸机,误

59、,误装,6,枚核弹后，,从,从北部的北,达,达科他州实弹飞往南部的路易,斯,斯安那州,案例,2,数据库管理,员,员由于疏忽,进,进行了误操,作,作,,,将重要的信,息,息删除了,案例,3,涉密计算机,出,出现故障硬,盘,盘数据丢失,，,，使用人员,将,将硬盘拿到,社,社会上的数,据,据恢复公司,进,进行恢复，,造,造成秘密泄,露,露,76,通信和操作,管,管理目标（,1,）,目标,：,操作程序和,责,责任,——,确保正确、,安,安全的操作,信,信息处理设,施,施,第三方服务,交,交付管理,——,核查协议实,施,施,，确保第三,方,方交付的服,务,务符合要求,系统规划与,验,验收,——,减少系统

60、失,效,效带来的风,险,险,防范恶意代,码,码和移动代,码,码,——,保护软件和,信,信息的完整,性,性,备份,——,保持信息和,信,信息处理设,施,施的完整性,和,和可用性,,,77,通信和操作,管,管理目标（,2,）,目标,：,网络安全管,理,理,——,确保对网络,中,中信息和支,持,持性基础设,施,施的安全保,护,护,介质处置,——,防止对资产,的,的未授权泄,漏,漏、修改、,移,移动或损坏,，,，及对业务,活,活动的干扰,信息的交换,——,应保持组织,内,内部或组织,与,与外部组织,之,之间交换信,息,息和软件的,安,安全,电子商务服,务,务,——,确保电子商,务,务的安全,及其,安全

61、使用,监视,——,检测未经授,权,权的信息处,理,理活动,，记录信息,安,安全事态,78,举例,介质的处置,要建立安全,处,处置介质的,正,正式规程,不再需要的,介,介质，要可,靠,靠并安全地,处,处置,物理破坏、,安,安全删除,79,,7,、访问控制,80,Why?,案例,1,：飞机登机,，,，旅客的身,份,份证号区别,了,了不同的人,，,，身份证证,明,明确实是这,名,名旅客来乘,机,机，安检人,员,员察看身份,证,证和登机牌,，,，扫描违禁,物,物品后允许,乘,乘客登上机,票,票中规定的,航,航班,,案例,2,：登录网站,，,，用户,ID,区别了不同,的,的用户，输,入,入登录密码,确,

62、确定是这位,用,用户，网络,防,防火墙和服,务,务器的权限,管,管理系统允,许,许用户使用,网,网站中可以,使,使用的功能,81,访问控制,访问控制是防止,对,对资源的未,授,授权访问，,保,保证资源在,授,授权范围内使用,访问控制是对主,体,体访问客体,权,权限或能力,的,的一种限制,，,，可从物理,层,层、主机层,、,、网络层以,及,及应用层设,置,置多种控制手段,来达到目标,82,,控制目标,业务需求,——,控制对信息,的,的访问,用户访问管,理,理,——,确保授权用,户,户的访问，防止非授权访问,用户职责,——,防止未授权用户的访问、损害,或,或窃取,网络访问控,制,制,——,防止对网

63、络,服,服务未经授,权,权的访问,操作系统访,问,问控制,——,防止对操作,系,系统的未授,权,权访问,应用与信息,访,访问控制,——,防止对应用,系,系统中信息,的,的未授权访问,移动计算和,远,远程工作,——,确保在使用,移,移动计算和,远,远程工作设,施,施时信息的,安,安全,83,,举例,系统和应用,程,程序,在登录未成,功,功前，不显,示,示系统的相,关,关信息，以,免,免为非法用,户,户提供方便,登录出错时,，,，系统不应,该,该说明哪一,部,部份数据正,确,确、哪一部,份,份数据出错,84,8,、信息系统,获,获取、开发,和,和维护,85,信息系统获,取,取、开发和,维,维护,目

64、的,通过科学严,谨,谨的软件开,发,发方法，减,少,少自开发软,件,件的漏洞，加强运行,维,维护,及时发现系统的,安,安全脆弱点,防止硬件故障可能使,信,信息系统无,法,法正常运行,防止因设备供应商的服,务,务能力不足而导致,使,使安全事件应,急,急响应不及,时,时,86,,控制目标,信息系统安全要求,确保安全是,信,信息系统的,有,有机组成部,分,分,应用,中的正确,处理,确保信息不,被,被遗失、未,授,授权的修改,或,或误用,使用密码技术,保护信息的,保,保密性、真,实,实性或完整,性,性,保护系统文件和源代码,控制文件和源代,码,码使用，确保,系,系统安全,建立变更控制规程,控制项目和,

65、支,支持环境，,维,维护软件信,息,息安全,技术脆弱性,管,管理,降低利用已,公,公布脆弱性,带,带来的风险,87,,9,、信息安全,事,事件管理,88,信息安全事,件,件管理,目的,及时发现安,全,全事件，并,在,在发生安全,事,事件时执行,预,预先设定的,处,处置流程，阻止和减,小,小安全事件,带,带来的影响,在事件处理完,成,成后通过分,析,析总结，评,估,估单位信息,安,安全工作的,薄,薄弱环节，,并,并提出改进,建,建议,,89,,控制目标,报告安全,事态和弱点,有正式报告,规,规程和流程,确保与信息,系,系统有关的,信,信息安全事,态,态和弱点能,及,及时上报和,传,传达,安全事件

66、,和改进的管,理,理,建立管理职,责,责和规程，,确,确保快速、,有,有效和有序,地,地响应信息,安,安全事件,建立量化和,监,监视信息安,全,全事件的类,型,型、数量和,代,代价的机制,收集和保留,证,证据，确保,符,符合法律要,求,求,,90,,10,、业务连续,性,性管理,91,业务连续性,管,管理,目的,业务连续性,管,管理是通过,制,制定和实施,一,一系列事先,的,的策略和规,划,划，确保单,位,位在面临突,发,发的灾难事,件,件时，关键,业,业务功能能,持,持续运作、,有,有效的发挥,作,作用，以保,证,证业务的正,常,常和连续,防止业务活,动,动中断，保,证,证重要业务,流,流程不受重,大,大故障与灾,难,难的影响,92,,控制措施,确保把业务,连,连续性的管,理,理包含在组,织,织的过程和,结,结构中，满,足,足组织的信,息,息安全需求,执行风险评,估,估，识别引,起,起业务过程,中,中断的因素,、,、发生的概,率,率和影响，,以,以及造成的,后,后果,制定业务连,续,续性计划，,满,满足业务中,断,断或失败后,能,能够在要求,的,的水平和时,间,间内确保信,息,息的可