【正文】 第 10章 信息安全管理 主要內(nèi)容 概述 信息安全風(fēng)險(xiǎn)管理 (風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制 ) 信息安全標(biāo)準(zhǔn) (CC標(biāo)準(zhǔn)、 BS7799標(biāo)準(zhǔn) ) 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當(dāng)今社會已經(jīng)進(jìn)入到信息化社會，其信息安全是建立在信息社會的基礎(chǔ)設(shè)施及信息服務(wù)系統(tǒng)之間的互聯(lián)、互通、互操作意義上的安全需求上。 ? 安全需求 可以分為 安全技術(shù)需求 和 安全管理需求兩個(gè)方面。 ? 管理在信息安全中的重要性高于安全技術(shù)層面，“ 三分技術(shù)，七分管理 ”的理念在業(yè)界中已經(jīng)得到共識。 絡(luò) 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS是從管理學(xué)慣用的 過程模型PDCA（ Plan、 Do、 Check、 Act）發(fā)展演化而來。 管理學(xué)中的一個(gè)通用模型，被廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程中，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。 規(guī)劃 ：通過風(fēng)險(xiǎn)評估了解安全需求，根據(jù)需求制定解決方案。 實(shí)施 ：具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容 檢查 ：監(jiān)視評審解決方案的有效性，發(fā)現(xiàn)問題在下一個(gè)階段予以解決。 處置 ：對總結(jié)檢查的結(jié)果進(jìn)行處理，沒有解決的問題，應(yīng)提給下一個(gè)PDCA循環(huán)中去解決。 PDCA模型 國際標(biāo)準(zhǔn)化組織 (ISO)和國際電工學(xué)會 (IEC)聯(lián)合將相關(guān)工作轉(zhuǎn)化為ISMS國際標(biāo)準(zhǔn) (ISO/IEC 27001:2022) ISMS— 信息安全管理體系 ? ISMS是一個(gè) 系統(tǒng)化、過程化 的管理體系，體系的建立需要全面、系統(tǒng)、科學(xué)的風(fēng)險(xiǎn)評估、制度保證和有效監(jiān)督機(jī)制。 ? ISMS應(yīng)該體現(xiàn) 預(yù)防控制 為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過程的動態(tài)調(diào)整，從而確保整個(gè)安全體系在有效管理控制下，不斷改進(jìn)完善以適應(yīng)新的安全需求。 ? 在信息安全管理體系的各環(huán)節(jié)中，安全需求是 前提 ，運(yùn)作實(shí)施、監(jiān)視評審和維護(hù)改進(jìn)是 重要步驟 ，而可管理的信息安全是 最終的目標(biāo) 。 ? 在各環(huán)節(jié)中，風(fēng)險(xiǎn)評估管理、標(biāo)準(zhǔn)規(guī)范管理以及制度法規(guī)管理這三項(xiàng)工作直接影到響整個(gè)信息安全管理體系是否能夠有效實(shí)行。 信息安全管理體系的架構(gòu) 信息安全管理體系的目的和特點(diǎn) 信息安全管理涉及的領(lǐng)域 A 風(fēng)險(xiǎn)評估 ? 風(fēng)險(xiǎn)評估 （ Risk Assessment）是指對信息資產(chǎn)所 面臨的威脅 、 存在的弱點(diǎn) 、可能導(dǎo)致的 安全事件 以及三者 綜合作用 所帶來的風(fēng)險(xiǎn)進(jìn)行評估。 ? 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評估是組織確定信息安全需求的一個(gè)重要手段。 ? 風(fēng)險(xiǎn)評估管理： 在信息安全管理體系的各環(huán)節(jié)中，合理地利用風(fēng)險(xiǎn)評估技術(shù)對信息系統(tǒng)及資產(chǎn)進(jìn)行安全性分析及風(fēng)險(xiǎn)管理，為規(guī)劃設(shè)計(jì)完善信息安全解決方案提供基礎(chǔ)資料，屬于信息安全管理體系的 規(guī)劃環(huán)節(jié) 。 標(biāo)準(zhǔn)規(guī)范管理 ? 在規(guī)劃實(shí)施信息安全解決方案時(shí)，各項(xiàng)工作遵循國際或國家相關(guān)標(biāo)準(zhǔn)規(guī)范，有完善的檢查機(jī)制。 ? 國際標(biāo)準(zhǔn)可以分為 互操作標(biāo)準(zhǔn) 、 技術(shù)與工程標(biāo)準(zhǔn) 、 信息安全管理與控制標(biāo)準(zhǔn) 三類。 ? 互操作標(biāo)準(zhǔn) ：非標(biāo)準(zhǔn)組織研發(fā)的算法和協(xié)議經(jīng)過自發(fā)的選擇過程，成為了所謂的事實(shí)標(biāo)準(zhǔn)，如 AES、 RSA、 SSL以及 CVE等。 ? 技術(shù)與工程標(biāo)準(zhǔn) ：由標(biāo)準(zhǔn)化組織制定的用于規(guī)范信息安全產(chǎn)品、技術(shù)和工程的標(biāo)準(zhǔn)，如信息產(chǎn)品通用評測準(zhǔn)則、安全系統(tǒng)工程能力成熟度模型等。 ? 信息安全管理與控制標(biāo)準(zhǔn) ：由標(biāo)準(zhǔn)化組織制定的用于指導(dǎo)和管理信息安全解決方案實(shí)施過程的標(biāo)準(zhǔn)規(guī)范，如信息安全管理體系標(biāo)準(zhǔn)（ BS7799）、信息和相關(guān)技術(shù)控制目標(biāo)（ COBIT）等。 制度法規(guī)管理 ? 指宣傳國家及各部門制定的相關(guān)制度法規(guī)，并監(jiān)督有關(guān)人員是否遵守這些制度法規(guī)。 ? 每個(gè)組織部門（如企事業(yè)單位、公司等）都有信息安全規(guī)章制度，有關(guān)人員嚴(yán)格遵守這些規(guī)章制度對于一個(gè)組織部門的信息安全來說十分重要，而 完善的規(guī)章制度 和 建全的監(jiān)管機(jī)制 更是必不可少。 ? 除了有關(guān)的組織部門自己制定的相關(guān)規(guī)章制度之外，國家的有關(guān)信息安全法律法規(guī)更是有關(guān)人員需要遵守的。 ? 目前在計(jì)算機(jī)系統(tǒng)、互聯(lián)網(wǎng)以及其它信息領(lǐng)域中，國家均制定了相關(guān)法律法規(guī)進(jìn)行約束管理，如果觸犯，勢必受到相應(yīng)的懲罰。 立法現(xiàn)狀 ? 根據(jù)英國學(xué)者巴雷特的歸納，各國對計(jì)算機(jī)犯罪的立法，主要采取了兩種方案 ? 一種是制定計(jì)算機(jī)犯罪的 專項(xiàng)立法 ，如美國、英國等； ? 一種是通過修訂法典， 增加規(guī)定 有關(guān)計(jì)算機(jī)犯罪的內(nèi)容，如法國、俄羅斯等。 ? 目前我國現(xiàn)行法律法規(guī)中，與信息安全有關(guān)的已有近百部 ? 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域，初步形成了我國信息安全的法律體系。 道德規(guī)范 ? 道德規(guī)范也是信息領(lǐng)域從業(yè)人員及廣大用戶應(yīng)該遵守的。 ? 包括計(jì)算機(jī)從業(yè)人員道德規(guī)范、網(wǎng)絡(luò)用戶道德規(guī)范以及服務(wù)商道德規(guī)范等。 ? 信息安全道德規(guī)范的 基本出發(fā)點(diǎn) ? 一切個(gè)人信息行為必須服從于信息社會的整體利益，即個(gè)體利益服從整體利益； ? 對于運(yùn)營商來說，信息網(wǎng)絡(luò)的規(guī)劃和運(yùn)行應(yīng)以服務(wù)于社會成員整體為目的。 信息安全風(fēng)險(xiǎn)管理 ? 信息安全風(fēng)險(xiǎn)管理 是信息安全管理的重要部分 ? 是規(guī)劃、建設(shè)、實(shí)施及完善信息安全管理體系的基礎(chǔ)和主要目標(biāo)。 ? 其核心內(nèi)容包括 風(fēng)險(xiǎn)評估 和 風(fēng)險(xiǎn)控制 兩個(gè)部分。 ? 風(fēng)險(xiǎn)管理的 概念來源于商業(yè)領(lǐng)域 ，主要指對商業(yè)行為或目的投資的風(fēng)險(xiǎn)進(jìn)行分析、評估與管理，力求以最小的風(fēng)險(xiǎn)獲得最大的收益。 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)評估主要包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià) ?風(fēng)險(xiǎn)分析： 全面地識別風(fēng)險(xiǎn)來源及類型； ?風(fēng)險(xiǎn)評價(jià)： 依據(jù)風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平 ,確定風(fēng)險(xiǎn)的嚴(yán)重性。 ?與信息安全風(fēng)險(xiǎn)有關(guān)的因素： ? 資產(chǎn)： 是指對組織具有價(jià)值的信息資源，是安全策略保護(hù)的對象。 ? 威脅： 主要指可能導(dǎo)致資產(chǎn)或組織受到損害的安全事件的潛在因素。 ? 脆弱性： 一般指資產(chǎn)中存在的可能被潛在威脅所利用的缺陷或薄弱點(diǎn)，如操作系統(tǒng)漏洞等。 ? 安全控制： 是指用于消除或減低安全風(fēng)險(xiǎn)所采取的某種安全行為，包括措施、程序及機(jī)制等。 風(fēng)險(xiǎn)評估的目的和意義 ? 認(rèn)識現(xiàn)有的資產(chǎn)及其 價(jià)值 ? 對信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的 評估 ? 通過安全評估，能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的 安全現(xiàn)狀 ? 明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的 差距 ? 為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀和詳實(shí)的 依據(jù) 信息安全風(fēng)險(xiǎn)因素及相互關(guān)系 風(fēng)險(xiǎn)計(jì)算