【正文】 ? 根據(jù)業(yè)務(wù)連續(xù)性戰(zhàn)略制定并文檔化業(yè)務(wù)連續(xù)性計(jì)劃。 開發(fā)和支持過程的安全 變更控制程序 運(yùn)營系統(tǒng)變更后對應(yīng)用做技術(shù) 評審 限制對軟件包的變更 信息泄漏 外包的軟件開發(fā) 技術(shù)漏洞管理 控制技術(shù)漏洞 目標(biāo)： 防止因?yàn)槔靡寻l(fā)布漏洞而實(shí)施的破壞。如果需要，還要驗(yàn)證每個合法用戶的終端節(jié)點(diǎn)或位置 ? 記錄成功和失敗的系統(tǒng)訪問 ? 提供適當(dāng)?shù)纳矸蒡?yàn)證方法。應(yīng)該根據(jù)業(yè)務(wù)和安全需求對信息、系統(tǒng)和業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)信息和信息處理設(shè)施的完整性及可用性。 ? 通過背景檢查，可以防止： ? 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 ? 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 ? 雇用不合格的人員 ? 喪失商業(yè)秘密 ? 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對其進(jìn)行檢查，對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。 ? 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。也應(yīng)定期復(fù)查安全策略。 ISO17799:2023 ? 安全策略 ? 組織信息安全 ? 資產(chǎn)管理 ? 人力資源安全 ? 物理和環(huán)境安全 ? 通信和操作管理 ? 訪問控制 ? 信息系統(tǒng)獲取、開發(fā)和維護(hù) ? 信息安全事件管理 ? 業(yè)務(wù)連續(xù)性管理 ? 符合性 17799:2023 信息安全管理實(shí)施細(xì)則 11個方面 39個目標(biāo) 133個控制措施 10個方面 36個目標(biāo) 127個控制措施 對比 17799:2023老版 …… 17799:2023 信息安全管理實(shí)施細(xì)則 “ . , . a . . a , , a .” 并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。 風(fēng)險評估與管理 安全措施 安全需求 防范 采取 提出 減少 威脅 弱點(diǎn) 資產(chǎn) 資產(chǎn)價值 利用 導(dǎo)致 導(dǎo)致 暴露 增加 具有 風(fēng)險 風(fēng)險要素關(guān)系模型 風(fēng)險評估與管理 風(fēng)險管理概念的公式化描述 Risk = Asset Value Threat Vulnerability Residual Risk = Asset Value Threat Vulnerability Control Gap （ ） 風(fēng)險評估與管理 風(fēng)險管理過程 識別并評價資產(chǎn) 識別并評估威脅 識別并評估弱點(diǎn) 現(xiàn)有控制確認(rèn) 評估風(fēng)險（測量與等級劃分） 接受 保持現(xiàn)有控制 選擇控制目標(biāo)和控制方式 制定 /修訂適用性聲明 實(shí)施選定的控制 Yes No 確認(rèn)并評估殘留風(fēng)險 定期評估 風(fēng)險評估 風(fēng)險消減 風(fēng)險接受 風(fēng)險管理 風(fēng)險評估與管理 定量與定性風(fēng)險評估方法 定性風(fēng)險分析 優(yōu)點(diǎn) 計(jì)算方式簡單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價值和威脅頻率 不必精確計(jì)算推薦的安全措施的成本 流程和報(bào)告形式比較有彈性 缺點(diǎn) 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗(yàn)和能力，很難客觀地跟蹤風(fēng)險管理的效果 對關(guān)鍵資產(chǎn)財(cái)務(wù)價值評估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風(fēng)險分析 優(yōu)點(diǎn) 評估結(jié)果是建立在獨(dú)立客觀地程序或量化指標(biāo)之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價值和預(yù)期損失易理解 可利用自動化工具幫助分析 缺點(diǎn) 信息量大，計(jì)算量大，方法復(fù)雜 沒有一種標(biāo)準(zhǔn)化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 投入大，費(fèi)時費(fèi)力 定量風(fēng)險評估：試圖從數(shù)字上對安全風(fēng)險進(jìn)行分析評估的一種方法。 風(fēng)險評估與管理 關(guān)鍵是實(shí)現(xiàn)成本利益的平衡 安全控制的成本 安全事件的損失 最小化的總成本 低 高 高 安全成本/損失 所提供的安全水平 風(fēng)險評估與管理 與風(fēng)險管理相關(guān)的概念 ? 資產(chǎn)（） —— 任何對組織具有價值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。工具包，體現(xiàn)了三分技術(shù)七分管理的思想 ? 27001：源自 77992。（可查詢） ? 目前大陸地區(qū)通過信息安全管理體系認(rèn)證的有近 30家。 ? 2023年 12月 —— 國際標(biāo)準(zhǔn)組織 127工作組認(rèn)可通過 77991，頒布 17799:2023《信息技術(shù) ——信息安全管理實(shí)施細(xì)則》。 ? 信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實(shí)施情況進(jìn)行符合性檢查。 ? 控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險評估的基礎(chǔ)上。 ? 審計(jì)（） —— 對系統(tǒng)記錄和活動進(jìn)行獨(dú)立復(fù)查和審核，確保遵守性 信息安全概述 信息安全的重要性 ? 信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價值，因而要妥善保護(hù) ? 信息安全是國家安全的需要 ? 信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一 ? 信息安全是保護(hù)個人隱私與財(cái)產(chǎn)的需要 ? 許多組織都曾面臨過嚴(yán)重的威脅，包括基于計(jì)算機(jī)的欺詐和蓄意破壞 ? 現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計(jì)算機(jī)病毒、黑客和拒絕服務(wù)攻擊 ? 網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對計(jì)算機(jī)系統(tǒng)未授權(quán)訪問的機(jī)會 ? 組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難 ? 許多信息系統(tǒng)的設(shè)計(jì)本身就不安全 ? 通過技術(shù)手段獲得的安全是有限的，還應(yīng)該通過恰當(dāng)?shù)墓芾砗统绦騺碇С? 信息安全概述 法律法規(guī)與 合同要求 組織原則目標(biāo)和業(yè)務(wù)需要 風(fēng)險評估的結(jié)果 從什么方面考慮信息安全？ 信息安全概述 常規(guī)的技術(shù)措施 ? 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 ? 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 ? 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、入侵檢測、掃描評估 ? 應(yīng)用安全技術(shù)：安全、訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 ? 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的特性 ? 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、認(rèn)證（例如）、證書認(rèn)證等 ? 訪問控制技術(shù)：防火墻、訪問控制列表等 ? 審計(jì)跟蹤技術(shù)：入侵檢測、日志審計(jì)、辨析取證 ? 防病毒技術(shù)：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 ? 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份 信息安全概述 防火墻 網(wǎng)絡(luò)入侵檢測 病毒防護(hù) 主機(jī)入侵檢測 漏洞掃描評估 VPN通道 訪問控制 信息安全概述 有沒有更好的途徑？ 信息安全概述 信息安全管理 ? 信息安全的成敗取決于兩個因素：技術(shù)和管理。 完整性（） —— 確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。 關(guān)于課程內(nèi)容及授課效果的意見和建議，請及時反饋給我們，以便我們改進(jìn)自身工作。 ? 授權(quán)（） —— 為用戶分配并校驗(yàn)資源訪問權(quán)限的過程。 ? 信息安全管理的核心就是風(fēng)險管理。 信息安全概述 安全管理模型 —— 根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。 ? 的目的和宗旨是：在世界范圍內(nèi)促進(jìn)標(biāo)準(zhǔn)化工作的發(fā)展， 以利于國際物資交流和互助，并擴(kuò)大在知識、科學(xué)、技術(shù)和經(jīng)濟(jì) 方面的合作。 ? 1995年 2月 —— 首次出版 77991:1995《信息安全管理實(shí)施細(xì)則》。 ? 我國的臺灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。 ? 如果通過體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度。 ? 定義認(rèn)證范圍時，組織應(yīng)該考慮： ? 文檔化的適用性聲明 ? 組織的相關(guān)活動 ? 要包括在內(nèi)的組織范圍 ? 地理位置 ? 信息系統(tǒng)邊界、平臺和應(yīng)用 ? 包括在內(nèi)的支持活動 ? 排除在外的因素 ? 認(rèn)證機(jī)構(gòu)在展開認(rèn)證過程之前將與組織在認(rèn)證范圍上達(dá)成一致意見。 風(fēng)險評估與管理 風(fēng)險 RISK RISK RISK 風(fēng)險 基本的風(fēng)險 采取措施后剩余的風(fēng)險 資產(chǎn) 威脅 漏洞 資產(chǎn) 威脅 漏洞 風(fēng)險管理目標(biāo)更形象的描述 風(fēng)險評估與管理 ? 絕對的零風(fēng)險是不存在的，要想實(shí)現(xiàn)零風(fēng)險，也是不現(xiàn)實(shí)的； ? 計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 弱點(diǎn)嚴(yán)重性評估標(biāo)準(zhǔn) 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風(fēng)險評估與管理 人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報(bào)告安全事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 風(fēng)險評估與管理 ? 風(fēng)險場景：一個個人經(jīng)濟(jì)上存在問題的公司職員（公司并不了解這一點(diǎn)）有權(quán)獨(dú)立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。 策略方針的目的和意義 ? 為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo) ? 確保信息安全管理體系被充分理解和貫徹實(shí)施 ? 統(tǒng)領(lǐng)整個信息安全管理體系 方針文件的內(nèi)容 ? 信息安全的定義、整體目標(biāo)和范圍； ? 對管理層支持信息安全目標(biāo)和原則的意圖的聲明和承諾； ? 建立控制目標(biāo)和控制的框架，包括風(fēng)險評估和風(fēng)險管理的框架； ? 對安全策略、原則、標(biāo)準(zhǔn)以及符合性需求的簡單說明； ? 信息安全管理責(zé)任，包括報(bào)告安全事件； ? 對策略支持文檔的引用參考； ? 由管理者批準(zhǔn)，正式發(fā)布，并得到全員貫徹。應(yīng)該考慮到是物理訪問，還是邏輯訪問，是現(xiàn)場訪問還是非現(xiàn)場訪問。 ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。 17799:2023 信息安全管理實(shí)施細(xì)則 人員安全重要提示 ? 人員和組織安全是信息安全管理的難點(diǎn)，因?yàn)椋? ? 人本身就是一個最復(fù)雜的因素 ? 信息安全的 ―潛在性 ‖使得安全組織和人才培養(yǎng)不容易獲得認(rèn)可 ? 信息安全人才的培養(yǎng)是一個高難的過程 ? 信息安全組織需要和企業(yè)文化進(jìn)行磨合 ? 避免信息安全組織和業(yè)務(wù)組織對立 17799:2023 信息安全管理實(shí)施細(xì)則 人員篩選時做背景檢查 ? 背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。 10 通信和操作管理 操作程序和責(zé)任 操作程序的文檔化 變更管理 職責(zé)分離 開發(fā)、測試和運(yùn)營設(shè)施的分離 系統(tǒng)規(guī)劃及驗(yàn)收 容量管理 系統(tǒng)驗(yàn)收 目標(biāo)： 減少系統(tǒng)故障帶來的風(fēng)險。 電子商務(wù)服務(wù) 電子商務(wù) 在線交易 公共可用信息 監(jiān)視 審計(jì)日志 監(jiān)視系統(tǒng)使用 保護(hù)日志信息 管理員和操作日志 故障日志 時鐘同步 目標(biāo)： 發(fā)現(xiàn)非授權(quán)活動。 17799:2023 信息安全管理實(shí)施細(xì)則 應(yīng)用和信息訪問控制 信息訪問限制 敏感系統(tǒng)的隔離 目標(biāo)： 防止非授權(quán)訪問信息系統(tǒng)中的信息。 系統(tǒng)文件安全 控制運(yùn)營系統(tǒng)上的軟件 保護(hù)系統(tǒng)測試數(shù)據(jù) 對源代碼的訪問控制 目標(biāo)： 控制對系統(tǒng)文件和程序源代碼的訪問，使 IT項(xiàng)目及其支持活動安全進(jìn)行，確保系統(tǒng)文件的安全性。 ? 確認(rèn)可能對業(yè)務(wù)造成影響的中斷。 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于的重要提示 ? 有效的業(yè)務(wù)連續(xù)性計(jì)劃必須包括業(yè)務(wù)與技術(shù)兩部分： ? 業(yè)務(wù)觀點(diǎn)：行政主管必須定義和規(guī)劃他們的可用性需求，以及達(dá)到這些需求所需動用的資源 ? 技術(shù)觀點(diǎn)：管理者必須定義、規(guī)劃及設(shè)計(jì)一份業(yè)務(wù)