【正文】 m m u n ic a t io n sa n d o p e r a t io n sM a n a g e m e n t ）信息系統(tǒng)采集開發(fā)和維護(hù)（ I n f o r m a t io n s y s t e ma c q u is it io n , d e v e lo p m e n ta n d m a in t e n a n c e ）資產(chǎn)管理 （ A s s e t m a n a g e m e n t ）信息安全的組織 （ Or g a n izi n g i n f o r m a t io n s e c u r it y ）安全策略 （ S e c u r it y P o li c y ）? ISMS “木桶”由哪些“板”組成？ ? 類似于質(zhì)量管理體系的 ISO9000標(biāo)準(zhǔn)， ISMS也有相應(yīng)的國際標(biāo)準(zhǔn)ISO27001，它確定了 ISMS的 11個安全領(lǐng)域及 133個相應(yīng)的控制措施。 如果一個組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。 完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。 信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個員工所理解和執(zhí)行，這是實施信息安全的重要環(huán)節(jié)。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運(yùn)行成本 ? 從安全防護(hù)手段看信息安全的成本：技術(shù)成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經(jīng)濟(jì)損失 ? 信息安全的非價值效益：增加聲譽(yù)、提升品牌價值 二、信息安全組織體系 建立信息安全組織，明確角色與責(zé)任 安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責(zé)任是實施信息安全管理的第一步。 符合性 確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施 進(jìn)行安全控制規(guī)劃 安全規(guī)劃針對組織面臨的主要安全風(fēng)險，在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡的規(guī)劃。 人員安全 維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。 業(yè)務(wù)持續(xù)性管理 信息安全事件管理 保證系統(tǒng)開發(fā)與維護(hù)的安全 系統(tǒng)開發(fā)與維護(hù) 控制對業(yè)務(wù)信息的訪問。 ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動、實施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險評估時，可以把ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏 0%64%40%67% 62%81%56%81%60% 60%70% 67%%%%%%%%%%%安全政策信息安全的組織資產(chǎn)管理人力資源安全實體與環(huán)境安全 通訊與操作管理訪問控制信息系統(tǒng)取得、開發(fā)及維護(hù)信息安全事故管理營運(yùn)持續(xù)管理符合性合計系列1? 信息資產(chǎn)風(fēng)險評估 ? 針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計對業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進(jìn)行有效管理。通過“資產(chǎn)風(fēng)險評估”和“流程風(fēng)險評估”進(jìn)行詳細(xì)風(fēng)險評估，根據(jù)三方面的評估得到最終的風(fēng)險評估報告。 缺點：風(fēng)險評估人員一般最容易找到的資產(chǎn)無非就是硬件類、軟件類的資產(chǎn)，而對安全來說至關(guān)重要的 IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問題，由于不能方便地定義為信息資產(chǎn)，而往往被視而不見。 組織的業(yè)務(wù)目標(biāo)和 IT原則將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展的需要出發(fā)，確定適宜的 IT原則，才能指導(dǎo)信息安全方針的制定。 從國家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計劃和業(yè)務(wù)持續(xù)性管理等問題；從個人角度來看有職業(yè)要求、個人隱私、行為學(xué)、心理學(xué)等問題。 安全管理的幾個階段 當(dāng)前 目標(biāo) 安全管理的幾個階段 信息安全體系的內(nèi)容 業(yè)務(wù)與策略 根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導(dǎo)對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。 初級 沒有形成體系，只有零散的安全技術(shù)措施 沒有專職安全管理員 中級 嘗試構(gòu)建安全體系框架，具備較多的安全技術(shù)措施，開始有意識朝著有體系的安全建設(shè)發(fā)展。 轉(zhuǎn)變 門戶網(wǎng)站防火墻升級 信息防泄露 DLP 維護(hù)區(qū)域擴(kuò)容項目 RSA令牌擴(kuò)容項目 應(yīng)用漏洞掃描工具項目 系統(tǒng)漏洞掃描工具 網(wǎng)站頁面防篡改項目 。 75%的被調(diào)查者認(rèn)為員工對信息安全策略和程序的不夠了解是實現(xiàn)信息安全的障礙之一 ,只有 35%的組織有持續(xù)的安全意識教育與培訓(xùn)計劃 66%的組織認(rèn)為信息系統(tǒng)沒有遵守必要的信息安全規(guī)則 56%的組織認(rèn)為在信息安全的投入上不足， 60%從不計算信息安全的 ROI， 83%的組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多 。信息安全體系概述 馮真凱 northking Page 2 目錄 ?信息安全體系概述 ?信息安全組織體系 ?信息安全管理體系 ?信息安全技術(shù)體系 ?信息安全執(zhí)行體系 northking 一、信息安全體系概述 信息系統(tǒng)固有的脆弱性 信息本身易傳播、易毀損、易偽造 信息技術(shù)平臺（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性與脆弱性 行動的遠(yuǎn)程化使安全管理面臨挑戰(zhàn) 信息具有的重要價值 信息社會對信息高度依賴，信息的風(fēng)險加大 信息的高附加值會引發(fā)盜竊、濫用等威脅 信息安全面臨的風(fēng)險 企業(yè)對信息的依賴程度： 美國明尼蘇達(dá)大學(xué) BushKugel的研究報告指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運(yùn)行 2天，商業(yè)則為 ，工業(yè)則為 5天，保險業(yè)為 。 常見的信息安全問題 常見的信息安全問題 信息安全損失的 “ 冰山 ” 理論 信息安全直接損失只是冰由之一角， 間接損失是直接損失是 6－ 53倍 間接損失包括： 時間被延誤 修復(fù)的成本 可能造成的法律訴訟的成本 組織聲譽(yù)受到的影響 商業(yè)機(jī)會的損失 對生產(chǎn)率的破壞 $10,000 $60,000－ $530,000 9 保障信息安全的途徑？ 亡羊補(bǔ)牢 ? 還是打打補(bǔ)丁 ? 系統(tǒng)地全面整改 ? 忽略了信息化的治理機(jī)制與控制體系的建立，和信息化 “ 游戲規(guī)則 ” 的建立； 廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走； 安全只重視邊界安全，沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題； 重視安全技術(shù)，輕視安全管理，信息安全可靠性沒有保證； 信息安全建設(shè)缺乏績效評估機(jī)制，信息安全成了 “ 投資黑洞 ” ； 信息安全人員變成 “ 救火隊員 ” ? 我國當(dāng)前信息安全普遍存在的問題 信息安全＝反病毒軟件＋防火墻＋入