【正文】 務(wù)使命 ? 貫穿整個(gè)生命周期 25 什么是信息安全風(fēng)險(xiǎn) ?外在威脅利用信息系統(tǒng)存在的脆弱性，致其損失或破壞對(duì)系統(tǒng)價(jià)值造成損害的可能性 信息系統(tǒng) 威脅 防護(hù)措施 脆弱性 風(fēng)險(xiǎn) 利用 對(duì)抗 導(dǎo)致 增加 減少 作用于 26 信息系統(tǒng)為什么需要安全保障 ?組織機(jī)構(gòu)的使命 /業(yè)務(wù)目標(biāo)實(shí)現(xiàn)越來(lái)越依賴于信息系統(tǒng) ?信息系統(tǒng)成為組織機(jī)構(gòu)生存和發(fā)展的關(guān)鍵因素 ?信息系統(tǒng)的安全風(fēng)險(xiǎn)也成為組織風(fēng)險(xiǎn)的一部分 ?為了保障組織機(jī)構(gòu)完成其使命，必須加強(qiáng)信息安全保障，抵抗這些 風(fēng)險(xiǎn) 27 信息系統(tǒng)安全 保障定義 信息系統(tǒng)安全保障是在信息系統(tǒng)的 整個(gè)生命周期 中，通過(guò)對(duì)信息系統(tǒng)的 風(fēng)險(xiǎn)分析 ，制定并執(zhí)行相應(yīng)的安全保障策略，從 技術(shù)、管理、工程和人員 等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性 ，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn) 組織機(jī)構(gòu)的使命 。 28 技術(shù)工程管理人員保障要素開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期《 信息 安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第一部分：簡(jiǎn)介和一般模型 》 (GB/T ) 信息系統(tǒng)安全保障模 型 保障評(píng)估框架 29 信息系統(tǒng)安全保障 模型 特點(diǎn) ?安全特征 ? 保證 其所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性。 ?生命周期 ? 應(yīng) 貫穿信息系統(tǒng)的整個(gè)生命周期， 包括 計(jì)劃 組織 、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè) 階段 ?保障要素 ? 由合格 的信息安全專業(yè)人員，使用合格的信息安全技術(shù)和產(chǎn)品，通過(guò)規(guī)范、可持續(xù)性改進(jìn)的工程過(guò)程能力和管理能力進(jìn)行建設(shè)和運(yùn)行維護(hù)，保障信息系統(tǒng) 安全 30 2023/1/23 信息系統(tǒng)安全保障 含義 解釋（ 1） ?出發(fā)點(diǎn)和核心 ? 在信息系統(tǒng)所處的運(yùn)行環(huán)境里，以 風(fēng)險(xiǎn)和策略為出發(fā)點(diǎn)，即從信息系統(tǒng)所面臨的風(fēng)險(xiǎn)出發(fā)制定組織機(jī)構(gòu)信息系統(tǒng)安全保障 策略 ? 動(dòng)態(tài)安全，綜合保障 ?信息系統(tǒng) 生命周期 ? 通過(guò)在信息系統(tǒng) 生命周期 中從技術(shù)、管理、工程和人員等方面提出安全保障 要求 31 信息系統(tǒng)安全保障 含義 解釋 （ 2） ?確保 信息的安全特征 ? 確保信息的保密性、完整性和可用性特征，從而實(shí)現(xiàn)和貫徹組織機(jī)構(gòu)策略并將風(fēng)險(xiǎn)降低到可接受的 程度 ?保護(hù)資產(chǎn) ? 達(dá)到保護(hù)組織機(jī)構(gòu)信息和信息系統(tǒng) 資產(chǎn) ?最終保障使命 ? 從而保障組織機(jī)構(gòu)實(shí)現(xiàn)其使命的最終 目的 32 如何保障 信息系統(tǒng)安全 ？ 33 信息是 依賴于承載 它的信息技術(shù)系統(tǒng)存在的 需要在技術(shù)層面部署完善的控制措施 信息系統(tǒng)需要規(guī)劃、建設(shè)、使用 和 維護(hù) 需要通過(guò)有效的管理 手段來(lái)約束和保證 今天系統(tǒng)安全了明天未必安全 需要貫穿系統(tǒng)生命周期的工程過(guò)程 信息安全的對(duì)抗，歸根結(jié)底是 人員的對(duì)抗 需要 建設(shè)高素質(zhì)的人才隊(duì)伍 信息安全保障體系構(gòu)成的要素 ?信息安全 技術(shù) 體系 ?信息安全 管理 體系 ?信息安全 工程 過(guò)程 ?高素質(zhì)的 人員 隊(duì)伍 34 信息系統(tǒng)安全 保障 技術(shù)要素 ?安全技術(shù)體系 架構(gòu) ? 根據(jù)系統(tǒng)安全 風(fēng)險(xiǎn)評(píng)估的結(jié)果和系統(tǒng)安全策略的要求，并參考 相關(guān)標(biāo)準(zhǔn) 和最佳 實(shí)踐，建立 的符合組織機(jī)構(gòu)信息技術(shù)系統(tǒng)安全發(fā)展規(guī)劃的整體安全技術(shù)體系 框架 ?主要內(nèi)容 ? 密碼技術(shù) ? 訪問控制技術(shù) ? 審計(jì) 和監(jiān)控 技術(shù) ? 網(wǎng)絡(luò) 安全 技術(shù) ? … 35 36 舉例： 信息 安全技術(shù)體系 數(shù)據(jù)安全 應(yīng)用安全 主機(jī)安全 網(wǎng)絡(luò)安全 物理安全 信息 系統(tǒng) 安全保障管理 要素 ?覆蓋整個(gè)生命周期 ?以風(fēng)險(xiǎn)和策略為 核心 ?五方面的管理內(nèi)容 相關(guān)方 信息安全需求 期待 實(shí)施和運(yùn)行 ISMS 保持和改進(jìn) ISMS Plan計(jì)劃 Do 實(shí)施 Act改進(jìn) Check檢查 開發(fā)、維護(hù) 改進(jìn)循環(huán) 相關(guān)方 受控 的 信息安全 Plan計(jì)劃（建立 ISMS環(huán)境） 根據(jù)組織機(jī)構(gòu)的整體策略和目標(biāo)，建立同控制風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的安全策略、目的、目標(biāo)、過(guò)程和流程以交付結(jié)果。 Do做（設(shè)計(jì) 實(shí)施） 實(shí)施和操作策略（過(guò)程和流程） Check檢查（監(jiān)控 審核） 通過(guò)策略、目的和實(shí)踐經(jīng)驗(yàn)測(cè)量和評(píng)估過(guò)程執(zhí)行，并將結(jié)果匯報(bào)給決策人。 Act行動(dòng)（改進(jìn)） 建立糾正和預(yù)防行動(dòng)以進(jìn)一步改進(jìn)過(guò)程的執(zhí)行 建立 ISMS 監(jiān)視 評(píng)審ISMS 信息安全管理體系建設(shè) 38 信息系統(tǒng) 安全 保障工程 要素 ?將 信息安全手段動(dòng)態(tài)作用于信息系統(tǒng)的 工作過(guò)程 ?基于 信息系統(tǒng) 生命周期建立 信息系統(tǒng)安全工程 生命周期 ?在 生命周期每個(gè)階段融入安全措施， 從而有效、科學(xué)的實(shí)現(xiàn)信息系統(tǒng)安全保障 目標(biāo) 39 計(jì)劃 組織 開發(fā) 采購(gòu) 實(shí)施 交付 運(yùn)行 維護(hù) 廢棄 將安全措施融入信息系統(tǒng)生命周期 科學(xué)的信息安全工程過(guò)程 40 挖掘安全需求定義安全要求設(shè)計(jì)體系結(jié)構(gòu)開展詳細(xì)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)安全有效性 評(píng)估高素質(zhì)的人員隊(duì)伍 ? 信息安全對(duì)抗歸根結(jié)底是人與人的對(duì)抗，保障信息安全不僅需要專業(yè)信息技術(shù)人員，還需要信息系統(tǒng)普通使用者提高安全意識(shí)，加強(qiáng)個(gè)人防范 能力 安全意識(shí)安全基礎(chǔ)和安全文化信息安全專業(yè)人員（信息安全相關(guān)的崗位和職責(zé)）計(jì)劃組織開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄信息安全從業(yè)人員（信息系統(tǒng)相關(guān)的崗位和職責(zé)）所有員工注冊(cè)信息安全員（ C I S M ）信息安全保障專家注冊(cè)信息安全專業(yè)人員（ C I S P ）培訓(xùn)意識(shí)41 基于 信息系統(tǒng)生命周期的信息安全保障 ?在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個(gè)生命周期抽象成計(jì)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段 42 變更應(yīng)用于系統(tǒng)計(jì)劃組織 開發(fā)采購(gòu) 實(shí)施交付 運(yùn)行維護(hù) 廢棄信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、工程和人員保障要素）保障要素信息系統(tǒng)生命周期信息系統(tǒng)安全保障模型理解 ? 綜合技術(shù)、管理、工程、人員 不僅僅是一門技術(shù)學(xué)科 ? 保障信息系統(tǒng)生命周期的全過(guò)程 不是某一個(gè)階段的暫時(shí)性行為 ? 為了保障信息系統(tǒng)業(yè)務(wù)使命 不是為了購(gòu)買安全設(shè)備而實(shí)施 ? 是一個(gè)需要多方參與的工作 不是孤立的自身的問題 ? 通過(guò)客觀工作 提升 主觀信心 不是為了達(dá)到絕對(duì)的安全 43 信息系統(tǒng)安全保障 A 計(jì)劃 實(shí)施 檢查 改進(jìn) P D C PDCA循環(huán) 44 按照 PDCA的順序依次進(jìn)行，一次完整的 PDCA可以看成組織在管理上的一個(gè)周期，每經(jīng)過(guò)一次 PDCA循環(huán)，組織的管理體系都會(huì)得到一定程度的 完善。 PDCA循環(huán) ?PDCA ? 也稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家戴明提出 ? P（ Plan）： 計(jì)劃 ? 確定 方針和目標(biāo)，確定活動(dòng)計(jì)劃 ? D（ Do）： 實(shí)施 ? 實(shí)際 去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容 ? C（ Check）： 檢查 ? 總結(jié) 執(zhí)行計(jì)劃的結(jié)果 ，找出 問題 ? A（ Act）： 改進(jìn) ? 采取 糾正和預(yù)防措施進(jìn)一步提高過(guò)程質(zhì)量 45 PDCA循環(huán)的特點(diǎn) ? 特點(diǎn)一 ? 循序漸進(jìn)，周而復(fù)始 ? 按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán) ? 特點(diǎn)二 ? 層層循環(huán)，環(huán)環(huán)相扣 ? 組織中的每個(gè)部分，甚至個(gè)人，均可以 PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題 ? 特點(diǎn)三 ? 不斷循環(huán)，不斷提高 ? 每通過(guò)一次 PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次 PDCA 循環(huán) 46 PDC APDC APDC APDC APDC APDC APDC APDC A在 原 有 水 平 循 環(huán)在 新 的 水 平 循 環(huán)向上提升向上提升 ? PDCA循環(huán)，能夠提供一種優(yōu)秀的過(guò)程方法，以實(shí)現(xiàn)持續(xù) 改進(jìn) ?遵循 PDCA循環(huán)， 能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行 PDCA循環(huán)的作用 47 信息保障技術(shù)框架 ?信息保障技術(shù) 框架（ IATF） ? Information Assurance T