【正文】 sis 文檔審查 進(jìn)行安全狀況調(diào)查 進(jìn)行差距分析 輸出報(bào)告，列出明差異處并計(jì)劃實(shí)際資源投放 風(fēng)險(xiǎn)評(píng)估 Risk Assessment 識(shí)別信息資產(chǎn)，評(píng)估資產(chǎn)價(jià)值 確認(rèn)漏洞和威脅并加分析 輸出風(fēng)險(xiǎn)評(píng)估報(bào)告 制定策略和 手段把風(fēng)險(xiǎn)降減或轉(zhuǎn)移 輸出控制手段之理論報(bào)表和確定實(shí)施日期 安全改善 Security Control 將風(fēng)險(xiǎn)評(píng)估報(bào)告內(nèi)確定的控制手段轉(zhuǎn)化為具體行動(dòng)，例如安裝設(shè)備、更改流程、意識(shí)培訓(xùn)等 控制實(shí)施進(jìn)度和資源 適用聲明 Statement of Applicability 編制 SoA文檔 審閱認(rèn)證必需的相關(guān)文檔 ISMS運(yùn)行 ISMS 建立階段 +60 工作 日 ISMS評(píng)審 復(fù)查 amp。就我們的體會(huì)來(lái)說(shuō)： （ 1）風(fēng)險(xiǎn)評(píng)估成功與否的關(guān)鍵首先不在于技術(shù)問(wèn)題，而在于良好的客戶溝通和會(huì)議組織技巧，包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評(píng)估的重要性、方法，予以必要的配合、支持，并通過(guò)高效的會(huì)議組織，獲得較全面的和客觀的調(diào)查反饋信息。此外，完整的風(fēng)險(xiǎn)評(píng)估應(yīng)涵蓋物理和邏輯兩方面的因素。在此情況下，基于特定的指標(biāo)進(jìn)行范圍分級(jí)往往是值得推薦的評(píng)估方法。這些成果，最終通過(guò)高層批準(zhǔn)成為企業(yè)制度的一部分。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn) (1) 一、引言 近年來(lái)， BS7799 獲得了 越來(lái)越多的關(guān)注，越來(lái)越多的企業(yè)采用 BS7799作為安全管理方面的最佳實(shí)踐參考，使用它來(lái)進(jìn)行安全審計(jì)和風(fēng)險(xiǎn)評(píng)估，進(jìn)而建立自己的信息安全管理系統(tǒng)（ ISMS），最終通過(guò) BS7799認(rèn)證?？梢钥吹剑@十個(gè)領(lǐng)域覆蓋了安全管理活動(dòng)中的大部分內(nèi)容，從物理安全到人員組織，從運(yùn)行維護(hù)到系統(tǒng)開(kāi)發(fā)，從安全策略到各種具體的控制措施。 1 第四，一般情況下，安全方針需要若干支持性文檔和配套規(guī)范。 1 CA eTrust Identity amp?！奥氊?zé)分工和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。 物理和環(huán)境安全 物理和環(huán)境安全包括三個(gè)控制目標(biāo)：安全區(qū)域、設(shè)備安全和一般控制措施。 1 CA Unicenter Argis 則提供了 IT 系統(tǒng)的全面財(cái)務(wù)管理，在 IT系統(tǒng)的整個(gè)生命周期上進(jìn)行跟蹤、控制投資回報(bào)?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過(guò)程中丟失、被修改或者被誤用?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護(hù)支持性的基礎(chǔ)架構(gòu)。 1 CA Unicener NSM 可以幫助監(jiān)視 IT 系統(tǒng)的電力供應(yīng)等，并將事件報(bào)告給響應(yīng)中心（可能是幫助臺(tái)系統(tǒng)）。 1 CA eTrust Security Command Center可以提供集 中統(tǒng)一的安全事件收集、過(guò)濾、相關(guān)、監(jiān)視、報(bào)表等管理服務(wù)。 1 CA Unicenter Asset Management 可以幫助 IT 管理者收集、展示、實(shí)時(shí)監(jiān)視企業(yè)范圍內(nèi)的信息資產(chǎn)，并進(jìn)行配置管理 人員安全 人員安全包括三個(gè)控制目標(biāo)：職責(zé)分工和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。安全組織要求定義企業(yè)機(jī)構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過(guò)程，同時(shí)，要求管理者能夠識(shí)別第三方合作和外包過(guò)程中的風(fēng)險(xiǎn)，并通過(guò)相關(guān)的合同控制安全風(fēng)險(xiǎn)。 同時(shí)，安全方針的建設(shè)和維護(hù)還有以下若干個(gè)特點(diǎn)： 1 首先，該安全方針應(yīng)該在企業(yè)范圍內(nèi)為廣大用戶所了解和接受； 1 其次，安全方針應(yīng)該納入正式的變更、配置和發(fā)布管理過(guò)程中，定期的、持續(xù)性的評(píng)審和檢查非常重要。 二、 BS7799控制目標(biāo)與措施 BS7799 定義了安全管理的十個(gè)主要領(lǐng)域，它們分別是：安全方針、安全組織、資產(chǎn)分類及控制、人員安全、物理和環(huán)境安全、通信和運(yùn)行管理、系統(tǒng)訪問(wèn)控制、系統(tǒng)開(kāi)發(fā) 與維護(hù)、業(yè)務(wù)持續(xù)性管理和符合性。 五、 經(jīng)驗(yàn)總結(jié) BS7799 信息安全管理體系的實(shí)施，最大意義不在于顯著改善企業(yè)的安全風(fēng)險(xiǎn)水平，而在于讓企業(yè)擁有可控的風(fēng)險(xiǎn)管理架構(gòu)、方法和保障落實(shí)機(jī)制。如果在安全手冊(cè)的扉頁(yè)有 CEO對(duì)安全的評(píng)論和簽名，顯然增加了該文檔的權(quán)威性。 （ 5）風(fēng)險(xiǎn)評(píng)估的好壞不局限于采用定性或定量的風(fēng)險(xiǎn)評(píng)估方法，而在于能否為安全控制提供足夠的決策參考依據(jù)。 （ 4）成功的風(fēng)險(xiǎn)評(píng)估還要避免片面性、主觀性，避免與漏洞掃描或穿透測(cè)試混為一談。在本項(xiàng)目中，最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認(rèn)證的范圍，其 ISMS 邊界包括數(shù)據(jù)安全實(shí)驗(yàn)室及所有與“數(shù)據(jù)銷毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn)，從而確保了 BS7799 實(shí)施與預(yù)期目標(biāo)的一致性。 Ibas 香港希望通過(guò) BS7799項(xiàng)目的實(shí)施，建立起符合安全管理國(guó)際標(biāo)準(zhǔn)和業(yè)務(wù)運(yùn)作要求的信息安全管理體系，獲得權(quán)威機(jī)構(gòu)的資質(zhì)認(rèn)證，從而在提高業(yè)務(wù)安全管理水平的同時(shí)，增強(qiáng)客戶對(duì)Ibas專業(yè)安全服務(wù)的信心和品牌知名度。 依據(jù) BS7799建設(shè)安全可靠的 PKI/CA認(rèn)證中心，不僅僅提高了認(rèn)證中心的安全性，還為天威誠(chéng)信贏得了客戶的信賴，國(guó)內(nèi)很多大的企業(yè)都認(rèn)可天威誠(chéng)信 PKI/CA 認(rèn)證中心的安全管理，承認(rèn)天威誠(chéng)信 PKI/CA 認(rèn)證中心的確是安全的認(rèn)證中心，包括微軟（中國(guó)）、新浪、聯(lián)想、華為、 TCL 等等國(guó)內(nèi)知名企業(yè)都購(gòu)買(mǎi)天威誠(chéng)信 PKI/CA 認(rèn)證中心提供的數(shù)字信任服務(wù)，依托于天威誠(chéng)信 PKI/CA認(rèn)證中心提供的安全可靠的數(shù)字信任服務(wù)，構(gòu)建企業(yè)安全的應(yīng)用系統(tǒng)。“符合法律要求”要求的內(nèi)容覆蓋了明確適用的法律、知識(shí)產(chǎn)權(quán)保護(hù)、企業(yè)記錄保護(hù)、個(gè)人隱私和數(shù)據(jù)保護(hù)、防止信息設(shè)施濫用、證據(jù)收集等。另外對(duì)密鑰生產(chǎn)過(guò)程的每個(gè)過(guò)程中可能隱藏的安全因素均進(jìn)行了全面的考慮并嚴(yán)格控制每個(gè)過(guò)程。 9， 最后，我們對(duì)各項(xiàng)訪問(wèn)控制措施采用了集中審計(jì)機(jī)制，以便對(duì)違規(guī)行為及時(shí)發(fā)現(xiàn)和分析?！熬W(wǎng)絡(luò)訪問(wèn)控制”、“操作系統(tǒng)訪問(wèn)控制”、“應(yīng)用訪問(wèn)控制”包括非常多的內(nèi)容，分別從網(wǎng)絡(luò)層、操作系統(tǒng)層和應(yīng)用層，提出要求，目標(biāo)是在不同層面建立身份與口令管理、隔離、訪問(wèn)控制、認(rèn)證、超時(shí)、敏感信息保護(hù)、審計(jì)、以及路由、執(zhí)行路徑等安全保護(hù)手段。 4， 對(duì)于惡意軟 件防護(hù)方面，我們?cè)谙到y(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。“介質(zhì)處理與安全”對(duì)于目前移動(dòng)性越來(lái)越高的企業(yè) IT環(huán)境來(lái)說(shuō)具有特殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動(dòng)受到干擾。 8， 另外，天威誠(chéng)信對(duì)于水災(zāi)害、化學(xué)效應(yīng)等威脅因素進(jìn)行實(shí)時(shí)的運(yùn)營(yíng)控制與防護(hù)。天威誠(chéng)信針對(duì)認(rèn)證（ CA）中心制定了完善的物理安全系統(tǒng)。 7， 天威誠(chéng)信對(duì)于所有影響業(yè)務(wù)運(yùn)行的事件、事故都進(jìn)行了存檔工作，并定期整理、學(xué)習(xí)，納入到新的安全策略制定討論中?？尚湃藛T是指所有參與 CA中心工作的人員 —— CA中心工作員和非 CA中心工作員 2， 根據(jù)可信雇員政策，天威誠(chéng)信制定了相應(yīng)的可信人員調(diào)查評(píng)估標(biāo)準(zhǔn)與審查標(biāo)準(zhǔn)，以及調(diào)查、審查程序。“工作定義和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。 資產(chǎn)分類及控制 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】：資產(chǎn)分類及控制包括兩個(gè)控制目標(biāo)：資產(chǎn)責(zé)任和信息 分類。 【實(shí)施方法與形式】：天威誠(chéng)信設(shè)定了專職安全組織－安全管理部，并任命該部門(mén)的負(fù)責(zé)人安全經(jīng)理來(lái)負(fù)責(zé)及協(xié)調(diào)與安全相關(guān)的所有活動(dòng)。因此，為了保證認(rèn)證中心的建設(shè)能夠在有效的、成熟的標(biāo)準(zhǔn)指導(dǎo)下進(jìn)行，同時(shí)有可通過(guò)該國(guó)際公認(rèn)的標(biāo)準(zhǔn)進(jìn)行檢驗(yàn)并獲得認(rèn)證，從而實(shí)現(xiàn)向用戶展示公認(rèn)的安全管理水平的目標(biāo)，天威誠(chéng)信決定依據(jù) BS7799定義的安全管理活動(dòng)中的目標(biāo)和措施來(lái)制定了天威誠(chéng)信 PKI/CA 認(rèn)證中心的各項(xiàng)安全管理策略并具體措施，在實(shí)施后的長(zhǎng)期運(yùn)行過(guò)程中取得了良好的效果，現(xiàn)已形成了可持續(xù)改進(jìn)的良性運(yùn)轉(zhuǎn)的安全管理體系。公司在開(kāi)展自身業(yè)務(wù)的同時(shí)，參與了國(guó)家有關(guān)PKI/CA 體系規(guī)劃、建設(shè)和運(yùn)營(yíng)管理等方面的工作，并積極參與中國(guó)電 子簽名法立法。企業(yè)應(yīng)該依據(jù)自己的業(yè)務(wù)需要制定相應(yīng)的信息安全管理體系并對(duì)此有效執(zhí)行。除了鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外， CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要，它提供了組織用于定義其對(duì) IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、機(jī)密性、可靠性和一致性。 SysTrust 的框架是可升級(jí)的，因此，企業(yè)能夠靈活選擇 SysTrust 標(biāo)準(zhǔn)的任何部分或全部來(lái)驗(yàn)證系統(tǒng)的可靠性。 信息安全保護(hù)信息不受廣泛威脅的損毀，確保業(yè)務(wù)連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。 信息安全因急速增長(zhǎng)的事故和風(fēng)險(xiǎn)種類而日益重要。 信息安全治理成熟度模型將有助于解決在 IT部門(mén)中普遍存在的以下問(wèn)題： 在競(jìng)爭(zhēng)如此激烈的市場(chǎng)環(huán)境中，你的公司或部門(mén)在信息安全上處于什么水平？ 如果你認(rèn)為有差距，究竟差在哪里？如 何去改進(jìn)？ 如果你覺(jué)得運(yùn)作善治，那么你能說(shuō)出好在哪里？好到何種程度？ 如何對(duì)信息安全管理進(jìn)行績(jī)效評(píng)估？ 四、信息 安全 治理的規(guī)范 目前已有的信息安全治理規(guī)范包括： 經(jīng)濟(jì)合作和發(fā)展組織，《信息系統(tǒng)安全指南》（ 1992） 經(jīng)濟(jì)合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國(guó)家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。 持續(xù)服務(wù)計(jì)劃和業(yè)務(wù)持續(xù)性計(jì)劃被集成，優(yōu)化，并得到日常的維護(hù)；購(gòu)買(mǎi)的持續(xù)服務(wù)必須得到廠商和主要提供商的安全保證。 清晰賦予、管理和執(zhí)行信息安全職責(zé)；持續(xù)分析信息安全風(fēng)險(xiǎn)及其影響；完整的基于特定安全基準(zhǔn)線的安全策略和實(shí)踐；標(biāo)準(zhǔn)化、流程化的用戶識(shí)別、驗(yàn)證 和授權(quán)程序；建立員工安全知識(shí)考試制度；入侵測(cè)試是標(biāo)準(zhǔn)的和正式的預(yù)防程序；越來(lái)越多利用成本 /收益分析，支持安全評(píng)測(cè)；信息安全流程與組織總體的安全戰(zhàn)略保持一致；信息安全報(bào)告與管理目標(biāo)相聯(lián)系。 組織認(rèn)識(shí)到信息安全的必要性，但是安全意識(shí)只依靠個(gè)人；被 動(dòng)考慮信息安全，沒(méi)有對(duì)信息安全進(jìn)行審計(jì)；由于職責(zé)不清，沒(méi)有人對(duì)發(fā)現(xiàn)的信息安全問(wèn)題負(fù)責(zé)；無(wú)法預(yù)知信息安全問(wèn)題的后續(xù)反應(yīng) 信息安全治理成熟度模型 最高管理層（董事會(huì)）和管理執(zhí)行層可以運(yùn)用信息安全治理成熟度模型建立組織的安全級(jí)別，見(jiàn)圖 1和表 1。 執(zhí)行管理層應(yīng)該做到： 報(bào)告績(jī)效為基礎(chǔ)； 風(fēng)險(xiǎn)現(xiàn)狀評(píng)估結(jié)論，提出行動(dòng)建議，并用持續(xù)的行動(dòng)強(qiáng)化執(zhí)行效果； 這就是善治的安全治理； CERT），評(píng)估非法入侵造成的影響； 障時(shí) ； 建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反； (2) 分析關(guān)鍵成功因素 這一環(huán)節(jié)要確保： 認(rèn)識(shí)到好的安全方案需要持續(xù)完善； 組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報(bào)告并負(fù)責(zé)安全方案的執(zhí)行； 管理層和員工共同理解安全的重要性、必要性、弱點(diǎn)和威脅，理解并接受他們自己的安全責(zé) 任； 定期由第三方來(lái)評(píng)估安全策略和安全體系結(jié)構(gòu)； 安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過(guò)采取入侵測(cè)試和主動(dòng)監(jiān)控措施時(shí)，將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時(shí)，應(yīng)具備對(duì)事故偵查、記錄，分析其嚴(yán)重性，編寫(xiě)報(bào)告和采取行動(dòng)的能力； 清楚定義風(fēng)險(xiǎn)管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任； 定義可接受風(fēng)險(xiǎn)的界限及風(fēng)險(xiǎn)轉(zhuǎn)移、減少的策略； 定義風(fēng)險(xiǎn)管理改善行動(dòng)的職責(zé)和程序； 每隔一段時(shí)期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查； 識(shí)別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施； 使用服務(wù)水平協(xié)議，增加與 安全服務(wù)商、業(yè)務(wù)持續(xù)計(jì)劃服務(wù)商之間的合作； 在制定策略時(shí)就考慮和確定策略的執(zhí)行強(qiáng)度； 對(duì)員工進(jìn)行策略認(rèn)識(shí)、程序理解、是否遵循方面的測(cè)試； 保證部署前的應(yīng)用軟件的安全； 信息安全控制策略與業(yè)務(wù)整體戰(zhàn)略規(guī)劃相一致； 管理層確信和認(rèn)可信息安全、控制策略，強(qiáng)調(diào)溝通、理解和遵循這些策略的必要性； 風(fēng)險(xiǎn)控制與管理。 信息安全治理是一種基礎(chǔ)制度安排，如果缺乏健全 的制度安排，不可能有很好的信息安全管理；同樣，沒(méi)有有效的信息安全管理，單純的治理機(jī)制也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。會(huì)議結(jié)合當(dāng)前金融信息安全保障工作實(shí)際，研究部署了新時(shí)期金融信息安全保障工作。 中國(guó)工程院院長(zhǎng)徐匡迪曾指出：“沒(méi) 有安全的工程就是豆腐渣工程”。 ” 美國(guó)政府在 2020年投資 500多億美元，用于改造 IT基礎(chǔ)設(shè)施及其性能。許多國(guó)家的政府已經(jīng)認(rèn)識(shí)到安全的重要性，并積極采取措施提高信息安全，如根據(jù)敏感度隔開(kāi)信息基礎(chǔ)設(shè)施，投資于更好的認(rèn)證方法，以及使信息基礎(chǔ)設(shè)施使用者對(duì)其行為負(fù)責(zé)等。最高管理層（董事會(huì)）和執(zhí)行管理層需要確保 IT適應(yīng)企業(yè)戰(zhàn)略，同時(shí)企業(yè)戰(zhàn)略也恰當(dāng)利用 IT的優(yōu)勢(shì)。沒(méi)有一個(gè)系統(tǒng)是完美的，沒(méi)有一項(xiàng)技術(shù)是靈丹妙藥。在這個(gè)戰(zhàn)略中， 信息安全被分成 5個(gè)等級(jí) : 第 1級(jí)是家庭用戶和小型商業(yè)機(jī)構(gòu)， 第 2級(jí)是大型企業(yè)， 第 3級(jí)是高等教育、聯(lián)邦政府、州 與地方政府等關(guān)鍵部門(mén)， 第 4級(jí)是國(guó)家優(yōu)先任務(wù)， 第 5級(jí)是全