【正文】 政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問題，由于不能方便地定義為信息資產(chǎn)，而往往被視而不見。 火龍果 ? 整理 . ? 技術(shù)與產(chǎn)品 ? 可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全 ? 考慮安全的成本與效益，采用 “ 適度防范 ” (Rightsizing)的原則 ? 流程與體系 ? 建立良好的 IT治理機(jī)制是實(shí)施信息安全的基礎(chǔ)與重要保證。 在整個(gè)系統(tǒng)安全工作中 ,管理 (包括管理和法律法規(guī)方面 )所占比重應(yīng)該達(dá)到 70%,而技術(shù) (包括技術(shù)和實(shí)體 )應(yīng)占 30%。據(jù)估計(jì)，美國企業(yè)每年投資在經(jīng)濟(jì)、科技情報(bào)方面的費(fèi)用高達(dá) 300億美元。竊取商業(yè)信息的事件每月 260%的速度增加。 ? 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局 2023年 8月 25日發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示， 54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，比去年上升 5％，其中發(fā)生過 3次以上的占 22％，比去年上升 7％。 ? 許多大公司設(shè)立專門的競爭情報(bào)部門，建立企業(yè)競爭情報(bào)系統(tǒng)，進(jìn)入世界 500強(qiáng)的美國公司中 90%設(shè)有競爭情報(bào)部。 二、 保護(hù)信息安全的方法 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 人們逐漸認(rèn)識到安全管理的重要性，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 ? 在風(fēng)險(xiǎn)分析的基本上引入恰當(dāng)控制，建立 PDCA的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性 ? 安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變，需要建立完整的控制體系來保證安全的持續(xù)完善。 ? 因此，風(fēng)險(xiǎn)評估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。 《安全風(fēng)險(xiǎn)評估與處置建議報(bào)告》 安全風(fēng)險(xiǎn)評估 表示例 資產(chǎn)定義及估值 確定現(xiàn)有控制 威脅評估 確定風(fēng)險(xiǎn)水平 風(fēng)險(xiǎn)評估過程 脆弱性評估 安全控制措施的識別與選擇 降低風(fēng)險(xiǎn) 風(fēng)險(xiǎn)管理過程 接受風(fēng)險(xiǎn) 電子政務(wù)風(fēng)險(xiǎn)評估案例 火龍果 ? 整理 . ? IT流程風(fēng)險(xiǎn)評估 ? 信息安全不僅僅要看 IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。 資產(chǎn)管理 建立組織內(nèi)的管理體系以便安全管理。 火龍果 ? 整理 . ? 信息安全管理體系的定義 ? 信息安全管理體系（ ISMS： Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。 體系運(yùn)行 體系審核 管理評審 體系認(rèn)證 第七步 第八步 第九步 第十步 運(yùn)行說明 內(nèi)審報(bào)告 外審報(bào)告 認(rèn)證證書 火龍果 ? 整理 . ? ISMS體系文件編寫 ? 對 ISMS體系的設(shè)計(jì)首先是以 規(guī)范化的 ISMS體系文件的形式表現(xiàn)出來。 ? 集中管理方面 ：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。 防火墻：防止來自總部內(nèi)部的攻擊。 ? 構(gòu)造網(wǎng)絡(luò)安全邊界 火龍果 ? 整理 . 入侵檢測 組織中心 備份中心 二級部門 三級部門 四級部門 線路密碼機(jī) 防火墻 防病毒網(wǎng)關(guān) 防非法外聯(lián) 網(wǎng)絡(luò)行為審計(jì) 操作系統(tǒng)加固 高安全區(qū)域 ? 安全防護(hù)系統(tǒng)的層次 火龍果 ? 整理 . ? 終端安全控制 ? 由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識，通過瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運(yùn)行，打開郵件中不明來歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來的極大的危害，終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè) IT安全問題的主要原因。 ? 安全運(yùn)維管理系統(tǒng)通過建立安全運(yùn)維管理中心（ SOC）對組織的安全技術(shù)與流程進(jìn)行集中式的管理。 ? 預(yù)算計(jì)劃一定要合理，過高的安全預(yù)算會使安全失去意義，最好是結(jié)合投資回報(bào)分析。 信息安全教育內(nèi)容 ISO27001培訓(xùn)計(jì)劃舉例 火龍果 ? 整理 . ? 制定安全事件響應(yīng)機(jī)制 ? 組織應(yīng)明確出現(xiàn)事故、故障和薄弱點(diǎn)的有關(guān)部門的責(zé)任，并根據(jù)安全事故與故障的反應(yīng)過程建立一個(gè)報(bào)告、反應(yīng)、評價(jià)和懲戒的機(jī)制，這也可稱為人力防火墻的反應(yīng)機(jī)制。利用審核機(jī)制進(jìn)行獨(dú)立的體系審核是一種強(qiáng)有力的監(jiān)督機(jī)制。 ? 《 內(nèi)部審計(jì)方案 》 經(jīng)批準(zhǔn)后，至少提前二周通知被審計(jì)部門，以便被審計(jì)部門有充分時(shí)間進(jìn)行內(nèi)審，若被審計(jì)部門對時(shí)間等安排有異議時(shí)，應(yīng)在三天內(nèi)通知內(nèi)審小組協(xié)商調(diào)整具體安排； ? 內(nèi)審小組在完成了全部的審計(jì)準(zhǔn)備工作后，就可按預(yù)先約定的日期和時(shí)間實(shí)施審計(jì)。 23:15:0423:15:0423:153/8/2023 11:15:04 PM ? 1以我獨(dú)沈久，愧君相見頻。 下午 11時(shí) 15分 4秒 下午 11時(shí) 15分 23:15: ? 沒有失敗，只有暫時(shí)停止成功！。 2023年 3月 下午 11時(shí) 15分 :15March 8, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 :15:0423:15:04March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 11時(shí) 15分 :15March 8, 2023 ? 1業(yè)余生活要有意義，不要越軌。 下午 11時(shí) 15分 4秒 下午 11時(shí) 15分 23:15: ? 楊柳散和風(fēng)，青山澹吾慮。 23:15:0423:15:0423:153/8/2023 11:15:04 PM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 23:15:0423:15:0423:15Wednesday, March 8, 2023 ? 1乍見翻疑夢，相悲各問年。 火龍果 ? 整理 . Any Question? 火龍果 ? 整理 . ? 陳偉， CIOtimes高級咨詢顧問，國際注冊信息系統(tǒng)審計(jì)師 (CISA)，BS7799主任審核員，國際信息系統(tǒng)審計(jì)與控制協(xié)會會員，管理信息系統(tǒng)碩士。 九、對安全的檢查與審計(jì) 火龍果 ? 整理 . ? 檢查的步驟 ? 信息安全管理部門根據(jù)檢查的需要組成信息安全檢查小組，定期或不定期地對組織的信息安全管理措施、技術(shù)措施的落實(shí)情況進(jìn)行檢查。 安全事件報(bào)告程序 火龍果 ? 整理 . ? 營造組織信息安全文化 ? 信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識和價(jià)值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動，實(shí)現(xiàn)組織信息安全目標(biāo)。 ? 信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個(gè)員工所理解和執(zhí)行，這是實(shí)施信息安全的重要環(huán)節(jié)，是建立人力防火墻的政策依據(jù)。組織相關(guān)人員特別是內(nèi)部員工既可以是對信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。 安全客戶端安 全W E B門 戶應(yīng) 用 支 撐 系 統(tǒng)安 全 F P T服 務(wù)接 入 認(rèn) 證網(wǎng) 關(guān)安 全 電 子郵 件安 全 中 間 件 火龍果 ? 整理 . ? 應(yīng)用系統(tǒng)常見安全方案 ? 業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實(shí)身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。 防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。 八、建立 “ 技術(shù)防火墻 ” 火龍果 ? 整理 . ? “技術(shù)防火墻”的實(shí)現(xiàn)框架 ? 信息安全框架可通過基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全。 ? ISMS體系文件是實(shí)施信息安全管理所必需的結(jié)構(gòu)、規(guī)則、過程和資源等因素所組成的有機(jī)總體，有效的信息安全管理需要明確管理的具體目標(biāo)與范圍、流程與活動、人員與職責(zé)、資源與條件等內(nèi)容 ? ISMS體系文件的作用 ? 保護(hù)信息安全的指南 ? 對信息安全進(jìn)行審核的依據(jù) ? 安全管理水平不斷改進(jìn)的保障 ? 促進(jìn)安全培訓(xùn)工作的開展 火龍果 ? 整理 . ? ISMS體系文檔的組成 四級文件 三級文件 二級文件 一級 方針、策略文件 ISMS體系文件 規(guī)范、程序 作業(yè)指導(dǎo)書、記錄、表單 火龍果 ? 整理 . ? ISMS的正式運(yùn)行 ? ISMS體系文件編制完成后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段 ? 在試運(yùn)行的基礎(chǔ)上，總結(jié)經(jīng)驗(yàn)，進(jìn)行認(rèn)真的部署，選擇恰當(dāng)?shù)臅r(shí)機(jī)進(jìn)行 ISMS體系的正