【正文】 :15:0423:15Mar238Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 。 ? 對(duì)檢查的內(nèi)容進(jìn)行分析與整理，編寫信息安全檢查報(bào)告。 人力資源政策舉例 火龍果 ? 整理 . ? 實(shí)施安全教育計(jì)劃 ? 要制定各種不同范圍、不同層次的安全教育計(jì)劃。 ? 解決方案 :基于密碼 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。 IATF 安全域 火龍果 ? 整理 . ? 安全基礎(chǔ)設(shè)施 ? 一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。 獲得 BS7799和 ISO27001認(rèn)證的組織 火龍果 ? 整理 . ISO17799 信息安全 BS15000 IT服務(wù)管理 職業(yè)安全健康管理體系指導(dǎo)意見 OHSAS18000 財(cái)務(wù)管理體系 BS8600 客戶滿意 管理體系 ISO100015培訓(xùn)體系 人力資源管理體系 ISO9000 ISO14001 綜合管理體系 戰(zhàn)略和投資管理 戰(zhàn)略和投資管理體系 行業(yè)強(qiáng)制性管理體系及產(chǎn)品認(rèn)證如 QS9000，ISMC， ISO17799與其他標(biāo)準(zhǔn)對(duì)比 ? ISO27001與其他標(biāo)準(zhǔn)的融合 火龍果 ? 整理 . ? ISMS體系設(shè)計(jì) ? 在組織中要實(shí)現(xiàn)信息安全，比較切實(shí)可行的第一步的是按照PDCA的原則建立信息安全管理體系。 通信與運(yùn)營(yíng)管理 防止對(duì)關(guān)于 IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。 ? 在安全方針的指導(dǎo)下，通過(guò)了解組織業(yè)務(wù)所處的環(huán)境，對(duì) IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定出適宜的安全控制措施、安全策略程序及安全投資計(jì)劃。 華為訴前員工竊密案 觸目驚心的泄密事件 火龍果 ? 整理 . ? 信息安全損失的 “ 冰山 ” 理論 ? 信息安全直接損失只是冰由之一角， 間接損失是直接損失是 6－ 53倍 ? 間接損失包括： ? 時(shí)間被延誤 ? 修復(fù)的成本 ? 可能造成的法律訴訟的成本 ? 組織聲譽(yù)受到的影響 ? 商業(yè)機(jī)會(huì)的損失 ? 對(duì)生產(chǎn)率的破壞 $10,000 $60,000－ $530,000 火龍果 ? 整理 . ? 我國(guó)當(dāng)前信息安全普遍存在的問題 ? 忽略了信息化的治理機(jī)制與控制體系的建立，和信息化 “ 游戲規(guī)則 ” 的建立； ? 廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走； ? 安全只重視邊界安全，沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題； ? 重視安全技術(shù)，輕視安全管理，信息安全可靠性沒有保證； ? 信息安全建設(shè)缺乏績(jī)效評(píng)估機(jī)制，信息安全成了 “ 投資黑洞 ” ； ? 信息安全人員變成 “ 救火隊(duì)員 ” … 火龍果 ? 整理 . ? 如何實(shí)現(xiàn)信息安全？ ? 信息安全＝反病毒軟件＋防火墻＋入侵檢測(cè)系統(tǒng)？ ? 管理制度？人的因素？環(huán)境因素？ ? Ernst Young及國(guó)內(nèi)安全機(jī)構(gòu)的分析： ? 國(guó)家政府和軍隊(duì)信息受到的攻擊 70%來(lái)自外部，銀行和企業(yè)信息受到的攻擊 70%來(lái)自于內(nèi)部。而以經(jīng)濟(jì)情況來(lái)看，有 25%的企業(yè)，因?yàn)榈臍p可能立即破產(chǎn)， 40%會(huì)在兩年內(nèi)宣布破產(chǎn)，只有 7%不到的企業(yè)在 5年后能夠繼續(xù)存活。 向?qū)κ值纳虡I(yè)機(jī)密說(shuō)“不” 火龍果 ? 整理 . ? 商業(yè)機(jī)密泄露使企業(yè)遭受損失 ? 2023年的一項(xiàng)調(diào)查顯示，名列 《 財(cái)富 》 雜志前 1000名的公司每年因泄露商業(yè)機(jī)密而出現(xiàn)的損失高達(dá) 450億美元，平均 每家公司每年發(fā)生 ，損失超過(guò) 50萬(wàn)美元。 三、 完善信息安全治理結(jié)構(gòu) 信息安全組織結(jié)構(gòu)示例 安全工作小組流程示例 火龍果 ? 整理 . ? 審視業(yè)務(wù)，確定 IT原則和信息安全方針 ? 在進(jìn)行信息安全規(guī)劃與實(shí)施安全控制措施前，首先要充分了解組織的業(yè)務(wù)目標(biāo)和 IT目標(biāo)，建立 IT原則，這是實(shí)施建立有效的信息安全保障體系的前提。 ad 一般流程描述業(yè)務(wù)流程流程涉眾輸入開始業(yè)務(wù)活動(dòng)一 業(yè)務(wù)活動(dòng)二業(yè)務(wù)活動(dòng)三條件結(jié)束輸出目標(biāo)規(guī)則《 IT相關(guān)業(yè)務(wù)流程風(fēng)險(xiǎn)評(píng)估與處置建議報(bào)告 》 火龍果 ? 整理 . ? 確定風(fēng)險(xiǎn)控制策略 風(fēng)險(xiǎn)控制策略舉例 六、信息安全控制規(guī)劃 火龍果 ? 整理 . ? 選擇安全控制措施 風(fēng)險(xiǎn)控制措施 確 定 安 全 需 求所 有 安 全 需 求 與控 制 目 標(biāo) 己 滿 足 ？檢 查 控 制 目 標(biāo)與 控 制 措 施確 定 控 制 目 標(biāo)與 控 制 措 施否是從 B S 7 7 9 9 的 十 個(gè) 域 選 擇控 制 目 標(biāo) 與 控 制 措 施檢 查 業(yè) 務(wù) 因 素與 約 束 條 件防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。 ? 在 ISO17799中 信息安全主要指信息的機(jī)密性 (Confidentiality)、完整性(Integrity)和可用性 (Availability)的保持。 八、建立 “ 技術(shù)防火墻 ” 火龍果 ? 整理 . ? “技術(shù)防火墻”的實(shí)現(xiàn)框架 ? 信息安全框架可通過(guò)基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來(lái)實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全。 安全客戶端安 全W E B門 戶應(yīng) 用 支 撐 系 統(tǒng)安 全 F P T服 務(wù)接 入 認(rèn) 證網(wǎng) 關(guān)安 全 電 子郵 件安 全 中 間 件 火龍果 ? 整理 . ? 應(yīng)用系統(tǒng)常見安全方案 ? 業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識(shí)別使用者的真實(shí)身份，防止與業(yè)務(wù)無(wú)關(guān)的人員非法使用系統(tǒng)。 ? 信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個(gè)員工所理解和執(zhí)行，這是實(shí)施信息安全的重要環(huán)節(jié)，是建立人力防火墻的政策依據(jù)。 九、對(duì)安全的檢查與審計(jì) 火龍果 ? 整理 . ? 檢查的步驟 ? 信息安全管理部門根據(jù)檢查的需要組成信息安全檢查小組，定期或不定期地對(duì)組織的信息安全管理措施、技術(shù)措施的落實(shí)情況進(jìn)行檢查。 23:15:0423:15:0423:15Wednesday, March 8, 2023 ? 1乍見翻疑夢(mèng)，相悲各問年。 下午 11時(shí) 15分 4秒 下午 11時(shí) 15分 23:15: ? 楊柳散和風(fēng)，青山澹吾慮。 :15:0423:15:04March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 11時(shí) 15分 4秒 下午 11時(shí) 15分 23:15: ? 沒有失敗，只有暫時(shí)停止成功！。 ? 《 內(nèi)部審計(jì)方案 》 經(jīng)批準(zhǔn)后，至少提前二周通知被審計(jì)部門，以便被審計(jì)部門有充分時(shí)間進(jìn)行內(nèi)審，若被審計(jì)部門對(duì)時(shí)間等安排有異議時(shí)，應(yīng)在三天內(nèi)通知內(nèi)審小組協(xié)商調(diào)整具體安排； ? 內(nèi)審小組在完成了全部的審計(jì)準(zhǔn)備工作后，就可按預(yù)先約定的日期和時(shí)間實(shí)施審計(jì)。 信息安全教育內(nèi)容 ISO27001培訓(xùn)計(jì)劃舉例 火龍果 ? 整理 . ? 制定安全事件響應(yīng)機(jī)制 ? 組織應(yīng)明確出現(xiàn)事故、故障和薄弱點(diǎn)的有關(guān)部門的責(zé)任，并根據(jù)安全事故與故障的反應(yīng)過(guò)程建立一個(gè)報(bào)告、反應(yīng)、評(píng)價(jià)和懲戒的機(jī)制，這也可稱為人力防火墻的反應(yīng)機(jī)制。 ? 安全運(yùn)維管理系統(tǒng)通過(guò)建立安全運(yùn)維管理中心（ SOC）對(duì)組織的安全技術(shù)與流程進(jìn)行集中式的管理。 防火墻：防止來(lái)自總部?jī)?nèi)部的攻擊。 體系運(yùn)行 體系審核 管理評(píng)審 體系認(rèn)證 第七步 第八步 第九步 第十步 運(yùn)行說(shuō)明 內(nèi)審報(bào)告 外審報(bào)告 認(rèn)證證書 火龍果 ? 整理 . ? ISMS體系文件編寫 ? 對(duì) ISMS體系的設(shè)計(jì)首先是以 規(guī)范化的 ISMS體系文件的形式表現(xiàn)出來(lái)。 資產(chǎn)管理 建立組織內(nèi)的管理體系以便安全管理。 ? 因此，風(fēng)險(xiǎn)評(píng)估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。 二、 保護(hù)信息安全的方法 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 人們逐漸認(rèn)識(shí)到安全管理的重要性，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 ? 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局 2023年 8月 25日發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示， 54％的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，比去年上升 5％，其中發(fā)生過(guò) 3次以上的占 22％，比去年上升 7％。據(jù)估計(jì)，美國(guó)企業(yè)每年投資在經(jīng)濟(jì)、科技情報(bào)方面的費(fèi)用高達(dá) 300億美元。 火龍果 ? 整理 . ? 技術(shù)與產(chǎn)品 ? 可以綜合采用