【文章內容簡介】 對工作方向、職責分配給出清晰的說明 ?不僅僅由信息化技術部門參與，與信息安全相關的部門（如行政、人事、安保、采購、外聯(lián)）都應參與到組織體系中各司其責，協(xié)調配合 39 劃分 內部組織舉例 40 信息安全領導小組 信息技術部門 業(yè)務應用部門 安全保衛(wèi)部門 人事行政部門 其他有關部門 信息 安全工作和其他工作 一樣 ， 不是 某個 個人 、 某個 部門就可以完成的。信息技術部門是信息安全組織中的重要執(zhí)行機構，但不是全部。 信息安全領導小組 ?信息安全領導小組 ? 信息安全領導小組是各級系統(tǒng)網絡與信息安全工作的最高領導決策機構 ? 不隸屬于任何部門，直接對本單位最高領導負責 ? 是一個常設機構 ?領導小組成員一般由各級系統(tǒng)的高層領導掛帥，并結合與信息安全相關各職能部門的主要負責人參加 41 領導小組責任 ?領導小組責任 ? 落實 XX系統(tǒng)安全建設的總體規(guī)劃 ? 制定本單位安全規(guī)劃并監(jiān)督落實 ? 負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度 ? 負責本單位信息系統(tǒng)安全管理層以上的人員權限授予工作 ? 審閱本單位信息安全報告 ? 組織重大安全事故查處與匯報工作 42 責任劃分 ?信息技術部門 ? 對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術決策和技術支持 ?業(yè)務應用部門 ? 對信息系統(tǒng)的業(yè)務處理以及業(yè)務流程的安全承擔管理責任 ?安全保衛(wèi)部門 ? 對場地以及系統(tǒng)資產的防災、防盜、防破壞等承擔管理責任 ?人事行政部門 ? 從人事、行政上對信息安全保障執(zhí)行管理工作 ?其他有關部門 ? 應與上述部門協(xié)作，共同對信息系統(tǒng)的建設和運行維護承擔管理責任 43 控制措施 —— 外部各方 ?外部各方 ? 目標：保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全 ?三個控制措施 ? 識別外部各方風險 ? 處理與顧客有關的安全問題 ? 處理第三方協(xié)議中的安全問題 訪問風險： 、送餐人員 44 關鍵點 ?要注意充分理由外部資源，與上級主管單位、國家職能部門、設備和基礎設施提供商、安全服務商、有關專家保持良好的溝通和合作關系 ?要注意外來風險，如與第三方機構簽訂保密協(xié)議，監(jiān)督和限制其活動等 例如 與電力部門建立良好的協(xié)作關系，停電了， UPS的電也要用光了，電力部門可以開個發(fā)電車來解決關鍵信息系統(tǒng)臨時電力供應 45 資產管理 46 Why？ ?那些曾經發(fā)生過的事 ? 案例 1 ? 單位欲安裝一臺網絡防火墻，卻發(fā)現沒有人可以說清楚當前的真實網絡拓撲情況，也沒有人能說清楚系統(tǒng)中有哪些服務器，這些服務器運行了哪些應用系統(tǒng) ? 案例 2 ? 單位信息安全評估，發(fā)現大部分服務器安全狀況良好，只有一臺服務器存在嚴重安全漏洞。研究整改措施時，發(fā)現平時沒有人對該服務器的安全負責 47 資產管理目標 ?目標 ? 對 資產 負責 —— 實現并保持組織資產的適當保護 ? 信息分類 —— 確保對信息資產的保護達到恰當的水平 ?包含的 內容 ? 組織可以根據業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別信息資產 ? 按照信息資產所屬系統(tǒng)或所在部門列出資產清單 ? 所有的信息資產都應該具有指定的屬主并且可以被追溯責任 ? 信息應該被分類，以標明其需求、優(yōu)先級和保護程度 ? 根據組織采用的分類方案，為信息標注和處理定義一套合適的程序 48 資產管理 ?信息安全管理工作的根本目的是保護系統(tǒng)中的資產 ?資產包括 ? 信息 資產 ： 業(yè)務數據、合同協(xié)議、科研材料、操作手冊、系統(tǒng)配置、審計記錄、制度流程等 ? 軟件資產： 應用軟件、系統(tǒng)軟件、開發(fā) 工具等 ? 物理資產：計算機設備、通信設備、存儲介質等 ? 服務：通信 服務 、公用設施（供暖 、照明、 能源）等 ? 人員：他們的資格、技能和經驗 ? 無形 資產：品牌 、聲譽和形象 49 資產管理控制目標 ?控制目標 ? 對資產負責 ? 信息分類 50 控制措施 —— 對資產負責 ?對資產負責 ? 列出資產清單，明確保護對象 ? 準確 識別資產 ， 編制清單，形成文件 ? 括 資產類型 、位置 、備份 信息和 業(yè)務價值等內容 ? 為 資產指定 責任人，明確安全負責 ? “ 責任人 ” 不一定是指具有資產所有權的人，而是指具有控制生產、開發(fā)、使用和保護資產權限的個人或實體 ? 確定資產的使用限制 條件 ,合法使用 51 資產管理是信息安全管理的重要 內容 控制措施 —— 信息分類 ?信息分類 ? 分類 指南 ? 根據 信息的價值 、 法律要求 和對 組織的敏感程度和關鍵性 進行分類 ? 信息 標記和 處理 ? 信息類別標記， 設置合適的分類 說明 ? 如 表明文件的密級、存儲介質分類的標簽 ? 規(guī)定重要敏感信息的安全處理、存儲、傳輸、刪除和銷毀的程序 52 對 信息分類是使信息受到適當級別的保護，在處理信息時指明保護的需求、優(yōu)先級和期望程度 關鍵點 建議分類方法不宜復雜，否則容易造成混亂 每種分類應唯一區(qū)別于其它分類，同時不能有任何重疊 分類過程還應簡單說明如何在其生命周期內控制并處理 53 舉例 —— 商業(yè)公司和軍事機構信息分類 組織 分類類別 定義 實例 商業(yè)公司 公共 即使泄漏不會給公司或個 人造成不利影響 有多少人完成某個項 私有 可能給公司或個人帶來不 利影響 人事資源信息 軍事機構 絕密 如果泄漏會給國家安全帶 來毀滅性破壞 新型戰(zhàn)時武器設計圖 秘密 給國家安全造成重大威脅 部隊分布及部署 不保密 非保密信息 計算機通用學習手冊 54 55 Why? ?那些曾經發(fā)生過的事 ? 案例一 ? 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現有客戶。有鑒于此，匯豐銀行三年來共投放 1億瑞士法郎，用來將 IT系統(tǒng)升級并加強保安 ? 案例二 ? 《 論語 》 “ 吾恐季孫之憂，不在 顓臾，而 在蕭墻之內 也” ? 蕭墻 之禍比喻災禍、變亂由內部原因所致 56 人力資源安全目標 ?目標 ： ? 任用 前 —— 確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色 ，降低設施被竊、欺詐和誤用的風險 ? 任用中 —— 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險 ? 任用終止及變更 —— 確保員工、合同方和第三方用戶離開組織或變更雇傭關系時以一種 規(guī)范 的方式進行 57 控制措施 —— 任用前 ?任用 （上崗）前 ? 明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報告安全事件或潛在風險的責任 ? 對擔任敏感和重要崗位的人員要考察其身份、學歷和技術背景、工作履歷和以往的違法違規(guī)記錄 ? 要在合同或專門的協(xié)議中，明確其信息安全職責 58 控制措施 —— 任用中 ?任用 中 ? 保證其充分了解所在崗位的信息安全角色和職責 ? 有針對性地進行信息安全意識教育和技能培訓 ? 及時有效的 紀律處理（懲戒） 措施 59 控制措施 —— 任用終止及變更 ?離職人員存在的安全隱患 ? 未刪除的帳戶 ? 未收回的各種權限 ? VPN、遠程主機、企業(yè)郵箱和 VoIP等應用 ? 其它隱含信息 ? 網絡機構、規(guī)劃，存在的