【正文】 制定策略和 手段把風(fēng)險(xiǎn)降減或轉(zhuǎn)移 輸出控制手段之理論報(bào)表和確定實(shí)施日期 安全改善 Security Control 將風(fēng)險(xiǎn)評(píng)估報(bào)告內(nèi)確定的控制手段轉(zhuǎn)化為具體行動(dòng)，例如安裝設(shè)備、更改流程、意識(shí)培訓(xùn)等 控制實(shí)施進(jìn)度和資源 適用聲明 Statement of Applicability 編制 SoA文檔 審閱認(rèn)證必需的相關(guān)文檔 ISMS運(yùn)行 ISMS 建立階段 +60 工作 日 ISMS評(píng)審 復(fù)查 amp。包括香港中文大學(xué)、香港警署、香港地鐵公司，以及 IBM、 HP、 AIA（友邦保險(xiǎn)）、富士通、ASL等眾多跨國(guó)企業(yè)的香港分支機(jī)構(gòu)都是 Ibas香港的重要客戶。 案例之二：在 IBAS公司內(nèi)建立信息安全管理體系 一、 企業(yè)背景 Ibas公司成立于 1978年，是世界公認(rèn)的數(shù)據(jù)修復(fù)、銷毀和計(jì)算機(jī)犯罪取證領(lǐng) 域的領(lǐng)導(dǎo)者。 三、實(shí)施 BS7799帶來(lái)的效益 通過(guò)參照 BS7799定義的安全管理活動(dòng)中的目標(biāo)和措施，天威誠(chéng)信針對(duì) PKI/CA認(rèn)證中心的安全管理制定了完善的策略和措施，策略和措施涉及信息系統(tǒng)安全、數(shù)據(jù)通 信安全、密鑰管理安全、證書管理、安全審計(jì)、物理安全和人員安全等等各個(gè)方面，并嚴(yán)格按照策略和措施執(zhí)行，使得天威誠(chéng)信 PKI/CA 認(rèn)證中心成為國(guó)內(nèi)首屈一指的、真正安全可靠的認(rèn)證中心?！跋到y(tǒng)審核考慮”的目標(biāo)是將系統(tǒng)審計(jì)程序的效力提升到最高，將其對(duì)系統(tǒng)的影響降到最低。 4， 定期、不定期的評(píng)審、評(píng)定業(yè)務(wù)連續(xù)性計(jì)劃的有效性 5， 對(duì)重大危險(xiǎn)源采用消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、與相應(yīng)機(jī)構(gòu)共同承擔(dān)風(fēng)險(xiǎn)的原則，另外對(duì)于重要業(yè)務(wù)購(gòu)買相應(yīng)的保險(xiǎn)以降低風(fēng)險(xiǎn)帶來(lái)的損失。然后充分考慮了用戶級(jí)和主要 /安全管理級(jí)（ D/SO）秘密分管者的指定、秘密分管者聯(lián)系策略、秘密共享的調(diào)動(dòng)和調(diào)用過(guò)程、特殊區(qū)域可進(jìn)出人員的指定 、特殊區(qū)域可進(jìn)出人員的聯(lián)系策略、特殊區(qū)域可進(jìn)出人員職責(zé)的調(diào)動(dòng)和調(diào)用過(guò)程、激活與恢復(fù)、 CSU/加密卡安全管理尺度、運(yùn)送、存儲(chǔ)等過(guò)程?！伴_(kāi)發(fā)和支持過(guò)程中的安全”要求在軟件工程生命周期的各個(gè)環(huán)節(jié)的活動(dòng)中都考慮到安全因素，在變更控制的程序、操作系統(tǒng)變更評(píng)審、軟件包變更控制、隱蔽通道和后門、以及軟件開(kāi)發(fā)外包等方面采取安全控制?！跋到y(tǒng)的安全要求”是指保證在開(kāi)發(fā)的信息系統(tǒng)中已經(jīng)建立 了安全機(jī)制。 6， 在應(yīng)用層面，我們采用專用的中間件產(chǎn)品進(jìn)行安全及邏輯控制； 7， 在數(shù)據(jù)庫(kù)方面一方面采用專用訪問(wèn)控制產(chǎn)品來(lái)嚴(yán)格限制訪問(wèn)邊界，另一方面嚴(yán)格限制了數(shù)據(jù)庫(kù)中各對(duì)象的訪 問(wèn)權(quán)限?！耙苿?dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全?！坝脩粼L問(wèn)管理” 則要求建立用戶身份注冊(cè)、權(quán)限管理、口令管理以及訪問(wèn)控制審查手段。 5， 另外，考慮到安全的動(dòng)態(tài)性，我方采用定期的、持續(xù)性的專業(yè)風(fēng)險(xiǎn)評(píng)估服務(wù)對(duì)系統(tǒng)進(jìn)行定期評(píng)估以便及時(shí)發(fā)現(xiàn)新的安全風(fēng)險(xiǎn)。 3， 專用安全管理平臺(tái)模塊的采用很好解決了多種安全產(chǎn)品的有機(jī)結(jié)合的問(wèn)題，為風(fēng)險(xiǎn)管理提供了有效的技術(shù)機(jī)制。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。“內(nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措 施包括信息備份、操作日志和錯(cuò)誤日志。 通信和運(yùn)行管理 【通訊和操作管理的建設(shè)要點(diǎn)】：通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和接收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流。 6， 關(guān)于設(shè)備其他保護(hù)，天威誠(chéng)信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 2， 天威誠(chéng)信針對(duì) CA運(yùn)營(yíng)的實(shí)際風(fēng)險(xiǎn)，建設(shè)了 7個(gè)物理安全層次來(lái)保護(hù) CA 中心特定的信息資產(chǎn)。 【實(shí)施方法與形式】：物理和環(huán)境安全是認(rèn)證中心最基礎(chǔ)的安全保障。 物理和環(huán)境安全 【物理和環(huán)境安全的建設(shè)要點(diǎn)】物理和環(huán)境安全包括三個(gè)控制目標(biāo)： 安全區(qū)域、設(shè)備安全和一般控制措施 。 6， 對(duì)于運(yùn)營(yíng)中出現(xiàn)的安全事件、安全事故，天威誠(chéng)信進(jìn)行了明確的界定。并配合物理區(qū)域設(shè)定及訪問(wèn)控制系統(tǒng)來(lái)共同管理天威誠(chéng)信認(rèn)證中心中的各種職能的成員。所有有權(quán)訪問(wèn)天威誠(chéng)信敏感 CA操作的人員必須是值得信任的?！皩?duì)安全事件和故障的響應(yīng)”要求 采取措施將安全事件和故障造成的損害降低到最低水平，對(duì)此類事件進(jìn)行監(jiān)控并從中汲取知識(shí)和吸取經(jīng)驗(yàn)。 人員安全 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】人員安全包括三個(gè)控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。 【實(shí)施方法與形式】：天威誠(chéng)信作為專業(yè)的認(rèn)證中心，除了針對(duì)資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對(duì)可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對(duì)其重要性也進(jìn)行了判斷分類，并配合物理方面安全保護(hù)措施，對(duì)各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)。 4， 采用合理技術(shù)手段及管理措施來(lái)控制第三方對(duì)公司物理及邏輯方面的訪問(wèn)，并采用不同形式與第三方進(jìn)行保密要求的約定。 在實(shí)際運(yùn)行管理中，天威誠(chéng)信參照 BS7799 建議的控制措施對(duì)于三個(gè)控制目標(biāo)進(jìn)行多方面的管理控制： 1， 定期、不定期的組織信息安全專題會(huì)議來(lái)改進(jìn)、批準(zhǔn)企業(yè)內(nèi)部各種安全計(jì)劃，監(jiān)視、評(píng)審企業(yè)內(nèi)部信息安全活動(dòng)及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)等等。 安全組織 【安全組織的建設(shè)要點(diǎn)】：安全組織包含三個(gè)控制目標(biāo)： 企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問(wèn)安全以及外包 。 安全策略 【信息安全策略的建設(shè)要點(diǎn)】： BS7799 定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。 在當(dāng)前環(huán)境下，為了讓用戶切實(shí)感到天威誠(chéng)信所提供的服務(wù)是安全可信的，從而推動(dòng)電子政務(wù)、電子商務(wù)等對(duì)信任機(jī)制要求較高的網(wǎng)上業(yè)務(wù)的發(fā)展，天威誠(chéng)信只有從加強(qiáng)信息安全管理并向用戶展示安全管理水平方面才能切實(shí)獲得用戶的信任，消除用戶殘余的安全憂慮。 一、為什么要依據(jù) BS7799 建設(shè) PKI/CA認(rèn)證中心 安全對(duì)于今天數(shù)字環(huán)境下的每一種經(jīng)營(yíng)業(yè)務(wù)來(lái)說(shuō)都是至關(guān)重要的，而對(duì)于 PKI/CA認(rèn)證中心來(lái)說(shuō)，安全則是其對(duì)外提供數(shù)字信任服務(wù)的基石。 第十章 BS7799 實(shí)施案例 案例之一：依據(jù) BS7799建設(shè) PKI/CA 認(rèn)證中心 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司是經(jīng)信息產(chǎn)業(yè) 部批準(zhǔn)的全國(guó)性 PKI/CA 企業(yè)，是專門從事數(shù)字信任服務(wù)、 PKI/CA 建設(shè)服務(wù)、 PKI/CA應(yīng)用服務(wù)、 PKI/CA 運(yùn)營(yíng)管理咨詢服務(wù)和 PKI/CA體系整體規(guī)劃服務(wù)的專業(yè)化信息安全技術(shù)與服務(wù)公司。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IEC 13335（ GMITS）等等的標(biāo)準(zhǔn)都可以部分適用，但 ISO17799 相對(duì)來(lái)說(shuō)通用性最好，更能適應(yīng)大部分企業(yè)的情況進(jìn)行調(diào)節(jié)，所以基本還是以 ISO 17799 采用的較多，在安全行業(yè)的從業(yè)人員來(lái)說(shuō)，也能有較多的靈活度可以針對(duì)不同情況進(jìn)行修正，更有利于協(xié)助企業(yè)實(shí)現(xiàn)不同的自定制的安全管理的目的。它提供了通過(guò)一個(gè)范圍和過(guò)程框架的最佳慣例，以形成一個(gè)可控和邏輯結(jié)構(gòu)內(nèi)的活動(dòng)。其中 3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是： 計(jì)劃和組織流程 —— 評(píng)估風(fēng)險(xiǎn)； 交付和支持流程 —— 確保持續(xù)的服務(wù)； 監(jiān)控流程 —— 保證系統(tǒng)安全。現(xiàn)在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細(xì)的控制目標(biāo)。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。 SysTrust 定義在特定環(huán)境下及特定時(shí)期內(nèi)，沒(méi)有重大錯(cuò)誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。該控制措施由策略、實(shí)踐、程序、組織結(jié)構(gòu)和軟件組成。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問(wèn)或病毒。任何 組織在滿足下面 3條準(zhǔn)則時(shí)可以認(rèn)為達(dá)到信息安全目標(biāo)：數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機(jī)密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）；信息系統(tǒng)在需要時(shí)可用和有用（可用性）。該指南旨在： 提高信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)和安全措施； 提供一個(gè)一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實(shí)踐的 制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作； 促進(jìn)人們對(duì)信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)； 方便國(guó)家間和國(guó)際間信息系統(tǒng)的開(kāi)發(fā)、使用和安全防護(hù)。 信息安全治理成熟度是測(cè)量信息安全管理等級(jí)的一種方法，這些等級(jí)正是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典型模式，有助于組織將主要精力投入到關(guān)鍵的管理方面。 信息安全治理成熟度模型涉及信息安全和組織業(yè)務(wù)的各個(gè)方面，是一種進(jìn)行實(shí)用性比較的等級(jí)制，能以簡(jiǎn)單方式測(cè)定差異，有助于確定有關(guān)信息技術(shù)管理安全性方面的相對(duì)水平。 信息安全是業(yè)務(wù)管理者和 IT管理者的共同責(zé)任，它被統(tǒng)一到公司安全管理目標(biāo)中；信息安全需求被清晰定義，優(yōu)化并包括于經(jīng)核實(shí)的安全計(jì)劃中；安全職責(zé)在應(yīng)用軟件的設(shè)計(jì)階段就 被考慮，終端用戶負(fù)有更多管理安全的責(zé)任；信息安全審計(jì)報(bào)告提供變化的和風(fēng)險(xiǎn)早期預(yù)警告；自動(dòng)監(jiān)控關(guān)鍵的系統(tǒng)；利用由自動(dòng)化的工具支持的正式的事故響應(yīng)程序以快速處理事故；定期的安全評(píng)估，以評(píng)價(jià)安全計(jì)劃執(zhí)行效果；系統(tǒng)地收集和分析新的威脅和隱患信息，及時(shí)通知并實(shí)施恰當(dāng)?shù)难a(bǔ)救措施；入侵測(cè)試、安全事故的深層原因分析和預(yù)先發(fā)現(xiàn)風(fēng)險(xiǎn)是持續(xù)改進(jìn)的基礎(chǔ)；在組織范圍內(nèi)構(gòu)成人、制度和技術(shù)三維一體的安防體系。 強(qiáng)制執(zhí)行持續(xù)服務(wù)的職責(zé)和標(biāo)準(zhǔn)；關(guān)鍵系統(tǒng)使用冗余系統(tǒng)，包括使用高可靠設(shè)備。 安全意識(shí)存在并得到管理層的促進(jìn)；安全簡(jiǎn)報(bào)已標(biāo)準(zhǔn)化和正式化；定義信息安全程序并使其適合安全策略和程序結(jié)構(gòu)；確定信息安全職責(zé)但沒(méi)有始終如一地得到執(zhí)行；信息 安全報(bào)告面向 IT而不是面向管理；執(zhí)行了初步的入侵測(cè)試 開(kāi)始認(rèn)識(shí)到信息系統(tǒng)風(fēng)險(xiǎn)的重要性和必要性；有某種風(fēng)險(xiǎn)評(píng)估方法，但這個(gè)過(guò)程雖然仍然不成熟，但在完善中 組織沒(méi)有認(rèn)識(shí)到信息安全的必要性；沒(méi)有確定保證安全的責(zé)任和義務(wù)；沒(méi)有實(shí)行支持信息安全管理的措施；沒(méi)有對(duì)信息安全問(wèn)題及時(shí)響應(yīng)的程序；完全沒(méi)有系統(tǒng)安全管理流程 不理解 IT運(yùn)作的風(fēng)險(xiǎn)、弱點(diǎn)和威脅，不理解 IT服務(wù)中斷對(duì)業(yè)務(wù)的影響；不認(rèn)為服務(wù)的持續(xù)性是管理層應(yīng)關(guān)心的問(wèn)題 1 初始的或混亂的 這個(gè)計(jì)劃是通過(guò)對(duì)當(dāng)前狀況和目標(biāo)差距分析來(lái)實(shí)施的； 一種確定項(xiàng)目?jī)?yōu)先次序的方法。 制定和確認(rèn)與 IT有關(guān)的規(guī)劃和策略，其內(nèi)容包含信息安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為準(zhǔn)則； 管理層必須明白信息安全對(duì)于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹(shù)立起安全意識(shí)的榜樣。該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作； (1) 清晰的職責(zé)分工 216。所以，盡 管有些單位安裝了一些安全產(chǎn)品，但這不能稱其為實(shí)現(xiàn)了信息安全治理。 安全是一種“買不到”的東西。 信息安全管理提供管理程序、技術(shù)和保證措施，使業(yè)務(wù)管理者確信業(yè)務(wù)交易的可信性；確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)胤烙徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中盡快恢復(fù)；確保拒絕未經(jīng)授權(quán)的訪問(wèn)。那么，我們?yōu)槭裁匆廊粵](méi)有安全感呢？到底需要什么樣的方法或機(jī)制來(lái)治理或管理信息安全呢？經(jīng)過(guò)近一年對(duì)國(guó)內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過(guò)建立和維護(hù)一個(gè)框架來(lái)保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。他指出，必須充分認(rèn)識(shí)做好信息安全保障工作 的極端重要性，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化健康發(fā)展。如果說(shuō)經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對(duì)網(wǎng)絡(luò)社會(huì)的誠(chéng)信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。 目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對(duì)的問(wèn)題?？吹缴厦娴臄?shù)字，你一定會(huì)認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長(zhǎng)，政府部門的計(jì)算機(jī)安全環(huán)境將會(huì)得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。該報(bào)告顯示全球 2020強(qiáng)企業(yè)中只有不到 25%的企業(yè)在全面的 業(yè)務(wù)持續(xù)性計(jì)劃 上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有 50%對(duì)自己的持續(xù)性計(jì)劃進(jìn)行了全面的測(cè)試。 11事件”后美國(guó)信息基礎(chǔ)設(shè)施保護(hù)委員會(huì)（ PCIPB）列出了 53個(gè)信息安全重點(diǎn)問(wèn)題，把信息安全列入國(guó)家戰(zhàn)略。更值得注意的是，這些攻擊中只有 400個(gè)被查明， 20個(gè)被報(bào)告。因此，不安全因素總是存在。第一章 信息安全管理概論 引論 信息安全治理 一、信息安全治理的產(chǎn)生背景 在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在各類組織中得到了廣泛應(yīng)用。 現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所 有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。早在 1996年，美國(guó)會(huì)計(jì)總署（ GAO）報(bào)告指出，美國(guó)國(guó)防部一年有 15 000 個(gè)系統(tǒng)遭到高達(dá) 2