【正文】 信息 安全控制措施 內容組織 結構 ?每個主要 安全控制措施類別 ，包括： ? 一個或多個控制目標，聲明要實現(xiàn) 什么 ? 對于每個控制目標，包含 一項或多項控制 措施，可被用于實現(xiàn)該控制 目標 不是所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術限制，也不可能對一個組織中所有人都 適用 2 11個 類別 39個目標 133個控制措施 課程內容 3 知識體 知識域 知識子域 信息安全 管理 體系 信息安全 管理體系建設 人力資源安全 信息安全組織 安全方針 物理和環(huán)境安全 信息安全 管理體系基礎 資產管理 信息安全 控制措施 通信和操作管理 訪問控制 信息系統(tǒng)獲取、開發(fā)和維護 符合性 知識域：信息安全控制措施 知識子域： 安全方針 ?理解 信息安全方針控制目標的含義 ?掌握信息安全方針文件和信息安全方針評審兩項措施的常規(guī)控制方法 4 Why? ?有沒有遇到過這樣的事情？ ? 案例 1 有單位領導說：“聽說信息安全工作很重要，可是我不知道對于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護的。 ” 5 安全方針 ?控制目標 （ 1）信息安全方針 6 信息安全方針 ?控制目標 :組織的安全方針能夠依據業(yè)務要求和相關法律法規(guī)提供信息安全管理指導并支持信息 安全 ?控制 措施 ? 信息安全方針文件 信息 安全方針文件應由管理者批準、發(fā)布并傳達給所有員工和外部相關 方 ? 信息安全方針評審 應按計劃的時間間隔或當重大變化發(fā)生時進行信息安全方針評審，以 確保 其 持續(xù) 的適宜性、充分性和 有效性 7 信息 安全 方針 應 符合實際情況，切實可行。 對方針的落實尤為重要 信息安全方針文件 ?信息安全 方針 是陳述管理者的管理意圖，說明信息安全工作目標和原則的文件 信息 安全 方針 應當 說明 以下 內容 ： ? 本單位信息安全的整體目標、范圍以及 重要性 ? 信息安全工作的 基本原則 ? 風險評估和風險控制措施的 架構 ? 需要遵守的法規(guī)和 制度 ? 信息安全責任 分配 ? 對支持方針的文件的引用 8 信息 安全 方針 主要 闡述信息安全工作的原則，具體的技術實現(xiàn)問題，如設備的選型，系統(tǒng)的安全技術方案一般不寫在 安全 方針 中 知識域：信息安全控制措施 知識子域： 信息安全組織 ?理解 內部組織控制目標的含義，掌握信息安全協(xié)調等實現(xiàn)這一目標的控制措施的常規(guī)實施方法 ?理解外部各方控制目標的含義，掌握與外部各方相關風險的識別等控制措施的實施方法 9 Why? ?有沒有遇到過這樣的事情？ ? 案例 1 我是一名網絡管理員，發(fā)現(xiàn)最近來自外部的病毒攻擊很猖獗，要是有 15萬買個防毒墻就解決問題了，找誰要這筆錢，誰來采購？ ? 案例 2 我是一名普通工作人員，我的內網計算機上不了外網沒辦法打補丁，我該找誰獲得幫助？ 應該有一群人，至少包括單位領導、技術部門和行政部門的人組織在一起，專門負責信息安全的事 10 信息安全組織 ?控制目標 （ 1）內部組織 （ 2）外部各方 11 (1)內部組織 ?控制目標 ： 實現(xiàn)對組織內部的信息安全管理 ?控制措施 ： 信息安全的管理承諾 12 信息安全協(xié)調 信息安全職責的分配 信息處理設施的授權過程 保密性協(xié)議 與政府部門的聯(lián)系 與特定利益集團的聯(lián)系 信息安全的獨立評審 信息安全的管理承諾 ?高層管理者參與信息安全建設，負責重大決策，提供資源，并對工作方向、職責分配給出清晰的說明 高層管理者就是說了算的，可以給人、給錢、給設備，提出工作要求還給與資源保障的 人 13 信息安全協(xié)調 ?不僅僅由信息化技術部門參與，與信息安全相關的部門（如行政、人事、安保、采購、外聯(lián)）都應參與到組織體系中各司其責，協(xié)調配合。因此需要協(xié)調 ? 信息安全工作和其他工作一樣不是某個 個人 、 某個 部門就可以完成 的 ? 信息技術 部門是信息安全組織中的重要執(zhí)行機構，但不是 全部 14 ? 機構內部 達成共識 ? 避免 流于形式或作假 信息安全職責的分配 ?為有效實施信息安全管理，保障和實施系統(tǒng)的信息安全，應在機構內部建立信息安全組織，明確角色和職責 ?信息安全責任的重要性 在一個機構中，安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步 15 與政府部門的聯(lián)系、 與特定利益集團的聯(lián)系 ?要注意充分利用外部資源，與上級主管單位、國家職能部門、設備和基礎設施提供商、安全服務商、有關專家保持良好的溝通和合作關系 例如與電力部門建立良好的協(xié)作關系，停電了， UPS的電也要用光了，電力部門可以開個發(fā)電車來解決關鍵信息系統(tǒng)臨時電力供應 16 (2)外部各方 ?控制目標 ： 保持組織被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全 ?控制措施 ： 與外部各方相關風險 的識別 17 處理外部各方協(xié)議中的安全問題 訪問風險： ? 維護 軟件設備的承包商 ? 清潔 、送餐人員 ? 外部 咨詢 人員 ? 審核人員 知識域：信息安全控制措施 知識子域： 資產管理 ?理解 對資產負責控制目標的含義，掌握資產清單、資產責任人等控制措施的實施方法 ?理解信息分類控制目標的含義，掌握分類指南、信息的標記和處理等控制措施的實施方法 18 Why？ ?那些曾經發(fā)生過的事： ? 案例 1：某單位欲安裝一臺網絡防火墻，卻發(fā)現(xiàn)沒有人可以說清楚當前的真實網絡拓撲情況，也沒有人能說清楚系統(tǒng)中有哪些服務器，這些服務器運行了哪些應用系統(tǒng)。 ? 案例 2：某單位信息安全評估，發(fā)現(xiàn)大部分服務器安全狀況良好，只有一臺服務器存在嚴重安全漏洞。研究整改措施時，發(fā)現(xiàn)平時沒有人對該服務器的安全負責。 19 資產管理 ?控制目標