【正文】 “系統(tǒng)計(jì)劃和驗(yàn)收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險(xiǎn)降低到最低水平。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量。 1 CA eTrust Security Command Center 可以幫助建立完備的安全信息平臺(tái)，實(shí)現(xiàn)安全策略及其支持性文檔的發(fā)布、共享、查詢和評(píng)論等。 1 第 2 部分提供了可以作為風(fēng)險(xiǎn)管理評(píng)估結(jié)果使用的安全控制規(guī)范，可以作為 IT 企業(yè)正 式通過 BS7799標(biāo)準(zhǔn)認(rèn)證的依據(jù)。安全管理體系的良好運(yùn)作，依賴于制度和組織機(jī)制，更依賴于各種角色人員的安全意識(shí)，和對(duì)安全方針的理解與遵守程度。因此，在一開始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評(píng)估小組，通過培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評(píng)估的目的、組織流程和方法。 IBAS香港是 Ibas在亞洲較早成立的分支機(jī)構(gòu)，擁有先進(jìn)的數(shù)據(jù)恢復(fù)中心和安全實(shí)驗(yàn)室。 【實(shí)施方法與形式】：天威誠信為維護(hù)整個(gè)組織的業(yè)務(wù)連續(xù)性，結(jié)合 BS7799的控制目標(biāo)制定《應(yīng)急管理程序》、《災(zāi)難恢復(fù)計(jì) 劃》、《備份計(jì)劃》等安全策略、規(guī)定，并參照 BS7799的控制措施進(jìn)行日常運(yùn)行管理： 1， 天威誠信根據(jù)業(yè)務(wù)特點(diǎn)，對(duì)可能發(fā)生故障、災(zāi)難及其他影響運(yùn)營的環(huán)節(jié)進(jìn)行了標(biāo)示，并進(jìn)行相應(yīng)的風(fēng)險(xiǎn)分析 2， 編制、執(zhí)行了“應(yīng)急管理程序”、“災(zāi)難恢復(fù)計(jì)劃”、“備份計(jì)劃”等管理程序 3， 落實(shí)各種應(yīng)急措施的責(zé)任人，并明確其在業(yè)務(wù)連續(xù)性計(jì)劃中的職責(zé)。 5， 在用戶責(zé)任方面我們在安全策略中明確了不同主體在使用客體時(shí)的責(zé)任。 2， 專用網(wǎng)管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題。 5， 電源方面，天威誠信采用雙路供電、配合 UPS電源組、以及多臺(tái)大功率發(fā)電機(jī)。 5， 所有新員工都必須經(jīng)過相應(yīng)的安全培訓(xùn)，涉及到安全管理、技術(shù)、實(shí)施的員工還必須經(jīng)過相應(yīng)考核。對(duì)于內(nèi)部信息的傳輸，天威誠信更是利用自身的技術(shù)、管理優(yōu)勢進(jìn)行了證書管理機(jī)制。 在實(shí)際運(yùn)營建設(shè)中，天威誠信參照 BS7799 建議的控制措施，對(duì)安全策略進(jìn)行文檔化控制，在企業(yè)范圍內(nèi)最大化的為廣大用戶及內(nèi)部員工所了解和接受，并指導(dǎo)各種規(guī)定制度、操作程序的制定及實(shí)施，并定期進(jìn)行評(píng)審和評(píng)估 。在以后的章節(jié)中，我們將從的標(biāo)準(zhǔn)介紹、理解實(shí)施與案例分析來全面剖析企業(yè)信息安全管理體系 (BS7799)的建制。在 1998年，第二版在增加了控制目標(biāo)和實(shí)施工具集后出版。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。 0～ 5等級(jí)是基于一個(gè)簡單的成熟性量度，體現(xiàn)出一個(gè)處理如何從不存在級(jí)發(fā)展到優(yōu)化級(jí)的管理過程，增加成熟度意味著增強(qiáng)風(fēng)險(xiǎn)管理與提高管理效率 。 組織范圍內(nèi)的風(fēng)險(xiǎn)管理策略定義了怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)評(píng)估遵循一個(gè)已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應(yīng)培訓(xùn)的員工 全面遵循最低安全要求，或者記錄違背最低安全要求的行為； 相反，就不可能得到一個(gè)真正意義上的安全防護(hù)體系。中共中央政治局常委、國務(wù)院副總理黃菊出席會(huì)議并作重要講話。 11 后企業(yè)依然沒有提高警惕，這一點(diǎn)從 Gartner 研究主管 Donna Scott 進(jìn)行的調(diào)查中就可以明顯地反映出來，這次調(diào)查是 Scott在 2020年關(guān)于保持業(yè)務(wù)持續(xù)性發(fā)展問題的陳述報(bào)告的一部分。第一章 信息安全管理概論 引論 信息安全治理 一、信息安全治理的產(chǎn)生背景 在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在各類組織中得到了廣泛應(yīng)用。該報(bào)告顯示全球 2020強(qiáng)企業(yè)中只有不到 25%的企業(yè)在全面的 業(yè)務(wù)持續(xù)性計(jì)劃 上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有 50%對(duì)自己的持續(xù)性計(jì)劃進(jìn)行了全面的測試。他指出，必須充分認(rèn)識(shí)做好信息安全保障工作 的極端重要性，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化健康發(fā)展。所以，盡 管有些單位安裝了一些安全產(chǎn)品，但這不能稱其為實(shí)現(xiàn)了信息安全治理。 制定和確認(rèn)與 IT有關(guān)的規(guī)劃和策略，其內(nèi)容包含信息安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為準(zhǔn)則； 安全意識(shí)存在并得到管理層的促進(jìn)；安全簡報(bào)已標(biāo)準(zhǔn)化和正式化；定義信息安全程序并使其適合安全策略和程序結(jié)構(gòu)；確定信息安全職責(zé)但沒有始終如一地得到執(zhí)行；信息 安全報(bào)告面向 IT而不是面向管理；執(zhí)行了初步的入侵測試 信息安全治理成熟度是測量信息安全管理等級(jí)的一種方法，這些等級(jí)正是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典型模式，有助于組織將主要精力投入到關(guān)鍵的管理方面。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它?，F(xiàn)在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細(xì)的控制目標(biāo)。 第十章 BS7799 實(shí)施案例 案例之一：依據(jù) BS7799建設(shè) PKI/CA 認(rèn)證中心 北京天威誠信電子商務(wù)服務(wù)有限公司是經(jīng)信息產(chǎn)業(yè) 部批準(zhǔn)的全國性 PKI/CA 企業(yè)，是專門從事數(shù)字信任服務(wù)、 PKI/CA 建設(shè)服務(wù)、 PKI/CA應(yīng)用服務(wù)、 PKI/CA 運(yùn)營管理咨詢服務(wù)和 PKI/CA體系整體規(guī)劃服務(wù)的專業(yè)化信息安全技術(shù)與服務(wù)公司。 安全組織 【安全組織的建設(shè)要點(diǎn)】：安全組織包含三個(gè)控制目標(biāo)： 企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問安全以及外包 。 人員安全 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】人員安全包括三個(gè)控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。 6， 對(duì)于運(yùn)營中出現(xiàn)的安全事件、安全事故，天威誠信進(jìn)行了明確的界定。 6， 關(guān)于設(shè)備其他保護(hù)，天威誠信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 3， 專用安全管理平臺(tái)模塊的采用很好解決了多種安全產(chǎn)品的有機(jī)結(jié)合的問題，為風(fēng)險(xiǎn)管理提供了有效的技術(shù)機(jī)制。 6， 在應(yīng)用層面，我們采用專用的中間件產(chǎn)品進(jìn)行安全及邏輯控制； 7， 在數(shù)據(jù)庫方面一方面采用專用訪問控制產(chǎn)品來嚴(yán)格限制訪問邊界，另一方面嚴(yán)格限制了數(shù)據(jù)庫中各對(duì)象的訪 問權(quán)限。 4， 定期、不定期的評(píng)審、評(píng)定業(yè)務(wù)連續(xù)性計(jì)劃的有效性 5， 對(duì)重大危險(xiǎn)源采用消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、與相應(yīng)機(jī)構(gòu)共同承擔(dān)風(fēng)險(xiǎn)的原則，另外對(duì)于重要業(yè)務(wù)購買相應(yīng)的保險(xiǎn)以降低風(fēng)險(xiǎn)帶來的損失。包括香港中文大學(xué)、香港警署、香港地鐵公司，以及 IBM、 HP、 AIA（友邦保險(xiǎn)）、富士通、ASL等眾多跨國企業(yè)的香港分支機(jī)構(gòu)都是 Ibas香港的重要客戶。 （ 3）風(fēng)險(xiǎn)評(píng)估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行，比如說，在評(píng)估資產(chǎn)和威脅的影響時(shí)，都要做 BIA（業(yè)務(wù)影響分析），其中制定的參考指標(biāo)就應(yīng)依據(jù)企業(yè)安全目標(biāo)。所有這些，需要有效的培訓(xùn)和管理層的支持。 其中，第 1部分已經(jīng)于 2020年被批準(zhǔn)為 ISO標(biāo)準(zhǔn)，稱為 ISO/IEC17799： 2020。另外 eSCC 提供的各種報(bào)表、實(shí)時(shí)監(jiān)控等可以提供很好的安全策略審計(jì)和評(píng)估手段。 【 CA解決方案】 1 CA 專業(yè)咨詢可以提供企業(yè)在人員安全、保密協(xié)議、崗位職責(zé)、事件報(bào)告和身份管理等方面的經(jīng)驗(yàn)和業(yè)界最佳實(shí)踐?！皭阂廛浖雷o(hù)”的目標(biāo)是保護(hù)軟件和信息的完整性免受惡意軟件的傷害。“操作程序和責(zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施?！皩?duì)安全事件和故障的響應(yīng)”要求采取措施將安全事 件和故障造成的損害降低到最低水平，對(duì)此類事件進(jìn)行監(jiān)控并從中汲取知識(shí)和吸取經(jīng)驗(yàn)。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助識(shí)別安全方針方面的需求，提供業(yè)界的最佳實(shí)踐參考，幫助開發(fā)適合的安全方針。它由兩部分組成： 1 第 1部分規(guī)定了一系列需要滿足的關(guān)鍵安全目標(biāo)，并確定了一系列可以用來滿足這些目標(biāo)的安全控制措施。 如何發(fā)揮人的主觀能動(dòng)性？ 人是安全管理體系的靈魂，而不是沒有生命力的產(chǎn)品或文檔體系。風(fēng)險(xiǎn)評(píng)估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo)，就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門的支持，事實(shí)上，只有他們最理解需要保護(hù)什么，保護(hù)的 程度如何，擔(dān)心哪些安全問題，發(fā)生過什么安全事件，是否值得以特定成本實(shí)施安全控制而降低某項(xiàng)風(fēng)險(xiǎn)。 憑藉獨(dú)創(chuàng)的先進(jìn)科技，超過 20年的專業(yè)經(jīng)驗(yàn)和強(qiáng)大的研發(fā)能力， Ibas一直是政府、軍隊(duì)、警務(wù)、金融、保險(xiǎn)等高敏感應(yīng)用客戶的首選方案提供商，同時(shí)，在航空和海難事故、刑事案件、戰(zhàn)爭罪行等諸多知名案例調(diào)查過程中的出色表現(xiàn)，為 Ibas贏得了崇高的聲望和長期的市場領(lǐng)先地位。 業(yè)務(wù)連續(xù)性規(guī)劃 【業(yè)務(wù)連續(xù)性規(guī)劃的建設(shè)要點(diǎn)】：業(yè)務(wù)連續(xù)性管理只有一個(gè)控制目標(biāo)：“業(yè)務(wù)連續(xù)性管理的各個(gè)方面”，要求制定相應(yīng)策略和管理制度，消除商業(yè)活動(dòng)受到的干擾，保護(hù)關(guān)鍵的商業(yè)程序不受重大故障或者災(zāi)難的影響。 2， 在網(wǎng)絡(luò)訪問控制層面，我們采用防火墻在各安全域間建立安全的網(wǎng)絡(luò)邊界，同時(shí)對(duì)關(guān)鍵的業(yè)務(wù)進(jìn)行了更多層次的、不同級(jí)別的縱深防護(hù)； 3， 在系統(tǒng)訪問控制層面，我們對(duì)系統(tǒng)層面除了啟用系統(tǒng)自 身的訪問控制機(jī)制外，我們對(duì)關(guān)鍵業(yè)務(wù)主機(jī)部署了超越操作系統(tǒng)的、更為強(qiáng)大細(xì)化的專業(yè)訪問控制產(chǎn)品； 4， 在用戶訪問管理方面，一方面專門制度了《帳戶口令管理制度》，另一方面采用一次性口令認(rèn)證機(jī)制和雙因素認(rèn)證機(jī)制來實(shí)現(xiàn)系統(tǒng)及應(yīng)用的安全訪問，這一系列的訪問均有用戶訪問控制策略做指導(dǎo)。該平臺(tái)一方面實(shí)現(xiàn)了網(wǎng)絡(luò)管理，另一方面可基于角色地從網(wǎng)絡(luò)及安全兩個(gè)方面確保通信和運(yùn)行的安全。 3， 天威誠信配合物理層級(jí)的劃分，進(jìn)行了訪問系統(tǒng)及侵入檢測系統(tǒng)等安全措施的建設(shè)，將訪問控制系統(tǒng)是與控制各層門進(jìn)出的門禁系統(tǒng)相結(jié)合的 4， 設(shè)備方面結(jié)合前面所述資產(chǎn)等級(jí)的保護(hù)以及物理層級(jí)的劃分，天威誠信對(duì)于資產(chǎn)建立了明確的 保護(hù)機(jī)制。對(duì)于正式員工除了在勞動(dòng)合同中給與保密活動(dòng)特殊的約定外，還針對(duì)員工離職后在一段時(shí)間內(nèi)不允許就職于相同職位進(jìn)行了經(jīng)濟(jì)補(bǔ)償?shù)募s定。 另外，對(duì)于文件、信息資料等，天威誠信進(jìn)行四個(gè)保密等級(jí) （機(jī)密、秘密、敏感、公開四個(gè)等級(jí)）的標(biāo)示及管理控制。 【實(shí)施方法與形式】：天威誠信公司結(jié)合認(rèn)證機(jī)構(gòu)的建設(shè)特點(diǎn)，結(jié)合自身業(yè)務(wù)要求及運(yùn)營風(fēng)險(xiǎn)，依據(jù)認(rèn)證中心不同運(yùn)營控制域分別制定了六個(gè)方面的 安全策略 ，分別是人員安全策略、物理安全策略、邏輯安全策略、通訊安全策略密鑰安全策略以及安全與審計(jì)策略。不過，管理永遠(yuǎn)都是最主要和最先需要解決的問題，無論那方面的調(diào)查結(jié)果都顯示在所有的安全事件中，除病毒外最多的安全事件還是因?yàn)槿藶榈囊蛩兀ú磺‘?dāng)?shù)脑L問控制等）造成的，因此對(duì)于企業(yè)來說，最現(xiàn)實(shí)和投資回報(bào)最大的，還是要通過增強(qiáng)信息系統(tǒng)安全管理將人為的因素減到最低。 信息系統(tǒng)審計(jì)和控制協(xié)會(huì) (IT治理研究院 )，《信息和相關(guān)技術(shù)的控制目標(biāo)》（ CoBIT ） COBIT的第一版由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ ISACF） 于 1996年發(fā)行。 國際標(biāo)準(zhǔn)化組織，《 ISO 17799 國際標(biāo)準(zhǔn)》（ 2020） ISO17799（根據(jù) BS7799第一部分制定）作為確定控制范圍的單一參考點(diǎn)，在大多數(shù)情況下， 這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的。組織對(duì)自身進(jìn)行差距分析以確定需要做哪些工作來達(dá)到所選級(jí)別。 分配了持續(xù)服務(wù)的職責(zé)，但提供的服務(wù)不完整；系統(tǒng)可用性比較差，沒有考慮其對(duì)業(yè)務(wù)的影響 3 已定義的流程 通過以下方面確定信息安全治理 是否成功： 建立一個(gè)有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上，其次要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個(gè)架構(gòu)。 2020年１月９日至１０日，全國信息安全保障工作會(huì)議在北京召開。 但是，在 2020年 Gartner 舉辦的研討會(huì)上，與會(huì)人士普遍認(rèn)為 9許多組織對(duì)其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使 IT治理成為公司治理越來越關(guān)鍵的一部分。針對(duì)嚴(yán)峻的現(xiàn)狀， Scott警告說：“ 隨著實(shí)時(shí)企業(yè)觀念的推進(jìn)，即使是最小的中斷 —— 關(guān)鍵業(yè)務(wù)系統(tǒng)幾分鐘或是幾小時(shí)的儲(chǔ)運(yùn)損耗、關(guān)鍵供應(yīng)商或是外部服務(wù)供應(yīng)商服務(wù)的中斷對(duì)整個(gè)經(jīng)濟(jì)形勢可能引發(fā)的潛在業(yè)務(wù)沖擊及對(duì)客戶或供應(yīng)商所產(chǎn)生的影響 —— 都可能帶來極為嚴(yán)重的商業(yè)后果。 為了切實(shí)加強(qiáng)金融信息安全保障工作，認(rèn)真學(xué)習(xí)和貫徹落實(shí)全國信息安全保障工作會(huì)議精神，人民銀行、銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合組織的全國金融信息安全保障工作會(huì)議在于2020年 4月 21日在京召開。 善治的信息安全治理 善治的信息安全治理應(yīng)該能做到： (1) (2) (3) 產(chǎn)識(shí)別與估價(jià)； 所有相關(guān)方都了解信息安全戰(zhàn)略規(guī)劃和策略。 管理層不斷交流持續(xù)服務(wù)的必要性；局部采用了高可靠設(shè)備和冗余系統(tǒng)；嚴(yán)格維護(hù)重要的系統(tǒng)和設(shè)備 4 已管理的和可測量的 根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，不遵守此程序的將被 IT管理者通報(bào)； IT風(fēng)險(xiǎn)管理可能成為具有很高責(zé)任的管理職能；管理執(zhí)行層和 IT管理者已確定組織容忍的最大風(fēng)險(xiǎn)級(jí)別，并已有測量風(fēng)險(xiǎn) /投資回報(bào)率的測量標(biāo)準(zhǔn)。 信息安全治理成熟度模型等級(jí)有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把他們組織的控制慣例與最佳慣例對(duì)照起來，從而確定組織的未來發(fā)展目標(biāo)。 ISO17799 認(rèn)為信息安全有下列特征： 機(jī)密性 —— 確