【正文】 跨部門的信息安全委員會 ? 良好的治理結(jié)構(gòu)要求主體單位的 IT 決策必須由最了解組織整體目標與價值的權(quán)威部門來決定。 三、 完善信息安全治理結(jié)構(gòu) 信息安全組織結(jié)構(gòu)示例 安全工作小組流程示例 火龍果 ? 整理 . ? 審視業(yè)務(wù)，確定 IT原則和信息安全方針 ? 在進行信息安全規(guī)劃與實施安全控制措施前，首先要充分了解組織的業(yè)務(wù)目標和 IT目標，建立 IT原則，這是實施建立有效的信息安全保障體系的前提。 ? 組織的業(yè)務(wù)目標和 IT原則將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展的需要出發(fā)，確定適宜的 IT原則，才能指導信息安全方針的制定。 ? 信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示 。 ? 在安全方針的指導下，通過了解組織業(yè)務(wù)所處的環(huán)境，對 IT基礎(chǔ)設(shè)施及應用系統(tǒng)可能存在的薄弱點進行風險評估，制定出適宜的安全控制措施、安全策略程序及安全投資計劃。 IT原則示例 信息安全方針示例 四、 確定 IT原則與安全方針 火龍果 ? 整理 . 五、 進行風險評估 ? 風險評估的常用方法 ? 目前國內(nèi) ISMS風險評估的方法主要參照 ISO13335的有關(guān)定義及國信辦 9號文件 《 信息安全風險評估指南 》 ，這些標準把重點放在信息資產(chǎn)上 。 ? 缺點：風險評估人員一般最容易找到的資產(chǎn)無非就是硬件類、軟件類的資產(chǎn)，而對安全來說至關(guān)重要的 IT治理、組織政策、人員管理、職責分配、業(yè)務(wù)流程、教育培訓等問題，由于不能方便地定義為信息資產(chǎn)，而往往被視而不見。 ? 因此，風險評估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。 火龍果 ? 整理 . ? 完備的風險評估方法 ? 信息安全涉及的內(nèi)容決不僅僅是信息安全、技術(shù)安全的問題，它還會涉及到治理機制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。 ? 通過“現(xiàn)狀調(diào)查”獲得對組織信息安全現(xiàn)狀和控制措施的基本了解；通過“基線風險評估”了解組織與具體的信息安全標準的差距，得到粗粒度的安全評價。通過“資產(chǎn)風險評估”和“流程風險評估”進行詳細風險評估，根據(jù)三方面的評估得到最終的風險評估報告。 現(xiàn) 狀 調(diào) 查基 線 風 險 評 估資 產(chǎn) 風 險 評 估 流 程 風 險 評 估詳 細 風 險 評 估風 險 評 估 報 告 火龍果 ? 整理 . ? 現(xiàn)狀調(diào)查的主要內(nèi)容 ? 文檔收集與分析 ? 組織的基本信息、組織結(jié)構(gòu)圖 ? 組織人員名單、機構(gòu)設(shè)置、崗位職責說明書 ? 業(yè)務(wù)特征或服務(wù)介紹 ? 與信息安全管理相關(guān)的政策、制度和規(guī)范 ? 現(xiàn)場訪談 ? 安排與相關(guān)人員的面談 ? 對員工工作現(xiàn)場的觀察 ? 加強項目組對企業(yè)文化的感知 訪談提綱： 管理層 、 部門經(jīng)理 、 員工 ， 某員工的訪問示例 火龍果 ? 整理 . ? 技術(shù)評估 ? 工具掃描 、 滲透測試 1 2 3 ? 人工分析 ? 系統(tǒng)安全配置完全檢測、網(wǎng)絡(luò)服務(wù)安全配置完全檢測 ? 包括用戶安全、操作系統(tǒng)安全、 網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全 人工評估記錄示例 技術(shù)評估綜述 ? 問卷調(diào)研 ? 安全日常運維現(xiàn)狀調(diào)研問卷：針對組織中實際的應用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護、系統(tǒng)審計、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護上的現(xiàn)實狀況。 ? 從安全日常運維角度出發(fā)，更貼近實際運維環(huán)境。 安全日常運維現(xiàn)狀調(diào)研問卷 《 信息安全現(xiàn)狀分析報告 》 火龍果 ? 整理 . ? 基線風險評估 ? 所謂基線風險評估，就是確定一個信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應當從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進行詳細風險分析，這樣才能在兼顧信息安全風險的方方面面的同時，對重點信息安全風險進行管理與控制。 ? ISO27001確立了組織機構(gòu)內(nèi)啟動、實施、維護和改進信息安全管理的指導方針和通用原則，以規(guī)范組織機構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風險評估時，可以把 ISO27001作為安全基線，與組織當前的信息安全現(xiàn)狀進行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏 ISO27001調(diào)查問卷示例 0%64%40%67% 62%81%56%81%60% 60%70% 67%%%%%%%%%%%安全政策信息安全的組織資產(chǎn)管理人力資源安全實體與環(huán)境安全 通訊與操作管理訪問控制信息系統(tǒng)取得、開發(fā)及維護信息安全事故管理營運持續(xù)管理符合性合計系列1《 信息安全管理體系風險評估與處置建議報告 》 火龍果 ? 整理 . ? 信息資產(chǎn)風險評估 ? 針對重要的信息資產(chǎn)進行安全影響、威脅、漏洞及可能性分析，從而估計對業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當?shù)姆椒▽︼L險進行有效管理。 《安全風險評估與處置建議報告》 安全風險評估 表示例 資產(chǎn)定義及估值 確定現(xiàn)有控制 威脅評估 確定風險水平 風險評估過程 脆弱性評估 安全控制措施的識別與選擇 降低風險 風險管理過程 接受風險 電子政務(wù)風險評估案例 火龍果 ? 整理 . ? IT流程風險評估 ? 信息安全不僅僅要看 IT資產(chǎn)本身是否安全可靠，而且還應當在其所運行的環(huán)境和經(jīng)歷的流程中保證安全。 ? 沒有可靠的 IT流程的保證，靜態(tài)的安全是不可靠的，而且 IT的風險也不僅僅是信息安全的問題， IT的效率與效果也同樣是需要考慮的問題，因此評估 IT流程的績效特性并加以完善是風險控制中必不可少的內(nèi)容。 ad 一般流程描述業(yè)務(wù)流程流程涉眾輸入開始業(yè)務(wù)活動一 業(yè)務(wù)活動二業(yè)務(wù)活動三條件結(jié)束輸出目標規(guī)則《 IT相關(guān)業(yè)務(wù)流程風險評估與處置建議報告 》 火龍果 ? 整理 . ? 確定風險控制策略 風險控制策略舉例 六、信息安全控制規(guī)劃 火龍果 ? 整理 . ? 選擇安全控制措施 風險控制措施 確 定 安 全 需 求所 有 安 全 需 求 與控 制 目 標 己 滿 足 ？檢 查 控 制 目 標與 控 制 措 施確 定 控 制 目 標與 控 制 措 施否是從 B S 7 7 9 9 的 十 個 域 選 擇控 制 目 標 與 控 制 措 施檢 查 業(yè) 務(wù) 因 素與 約 束 條 件防止商業(yè)活動中斷和災難事故的影響。 業(yè)務(wù)持續(xù)性管理 信息安全事件管理 保證系統(tǒng)開發(fā)與維護的安全 系統(tǒng)開發(fā)與維護 控制對業(yè)務(wù)信息的訪問。 訪問控制 保證通訊和操作設(shè)備的正確和安全維護。 通信與運營管理 防止對關(guān)于 IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。 物理與環(huán)境安全 減少人為造成的風險。 人員安全 維護組織資產(chǎn)的適當保護系統(tǒng)。 資產(chǎn)管理 建立組織內(nèi)的管理體系以便安全管理。 安全組織 為信息安全提供管理方向和支持。 安全方針 目的 ISO27001十一個域 避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。 符合性 確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施 火龍果 ? 整理 . ? 進行安全控制規(guī)劃 ? 安全規(guī)劃針對組織面臨的主要安全風險，在安全管理控制框架和安全技術(shù)控制框架方面進行較為詳盡的規(guī)劃。 ? 安全規(guī)劃對組織未來幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護、策略、組織、運行等方面的安全，進行設(shè)計、改進和加強，是進行安全建設(shè)的總體指導。 序號 項目內(nèi)容 緊迫性 可實施性 難易程度 效果分析 綜合分析 1 安全體系建設(shè) 2 安全策略管理 3 安全組織管理 4 安全運行管理 5 物理安全管理 6 網(wǎng)絡(luò)訪問控制 7 認證與授權(quán) 8 監(jiān)控與審計 9 系統(tǒng)管理 10 響應和恢復 11 信息安全 12 系統(tǒng)開發(fā)管理 13 物理安全 14 …… ? 安全規(guī)劃方法 《 信息安全實施總體規(guī)劃報告 》 《 信息安全實施總體規(guī)劃圖表 》 火龍果 ? 整理 . ? 安全預算計劃 ? 所以安全預算計劃是一項具有挑戰(zhàn)性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。 ? 一般來說，沒有特別的需要，為信息安全的投入不應超過信息化建設(shè)總投資額的 20%，過高的安全成本將使安全失去意義。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 ? 從安全防護手段看信息安全的成本：技術(shù)成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經(jīng)濟損失 ? 信息安全的非價值效益：增加聲譽、提升品牌價值 火龍果