【文章內(nèi)容簡(jiǎn)介】 對(duì)工作方向、職責(zé)分配給出清晰的說(shuō)明 ?不僅僅由信息化技術(shù)部門參與，與信息安全相關(guān)的部門（如行政、人事、安保、采購(gòu)、外聯(lián)）都應(yīng)參與到組織體系中各司其責(zé)，協(xié)調(diào)配合 39 劃分 內(nèi)部組織舉例 40 信息安全領(lǐng)導(dǎo)小組 信息技術(shù)部門 業(yè)務(wù)應(yīng)用部門 安全保衛(wèi)部門 人事行政部門 其他有關(guān)部門 信息 安全工作和其他工作 一樣 ， 不是 某個(gè) 個(gè)人 、 某個(gè) 部門就可以完成的。信息技術(shù)部門是信息安全組織中的重要執(zhí)行機(jī)構(gòu)，但不是全部。 信息安全領(lǐng)導(dǎo)小組 ?信息安全領(lǐng)導(dǎo)小組 ? 信息安全領(lǐng)導(dǎo)小組是各級(jí)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu) ? 不隸屬于任何部門，直接對(duì)本單位最高領(lǐng)導(dǎo)負(fù)責(zé) ? 是一個(gè)常設(shè)機(jī)構(gòu) ?領(lǐng)導(dǎo)小組成員一般由各級(jí)系統(tǒng)的高層領(lǐng)導(dǎo)掛帥，并結(jié)合與信息安全相關(guān)各職能部門的主要負(fù)責(zé)人參加 41 領(lǐng)導(dǎo)小組責(zé)任 ?領(lǐng)導(dǎo)小組責(zé)任 ? 落實(shí) XX系統(tǒng)安全建設(shè)的總體規(guī)劃 ? 制定本單位安全規(guī)劃并監(jiān)督落實(shí) ? 負(fù)責(zé)組織細(xì)化上級(jí)規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實(shí)規(guī)章制度 ? 負(fù)責(zé)本單位信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作 ? 審閱本單位信息安全報(bào)告 ? 組織重大安全事故查處與匯報(bào)工作 42 責(zé)任劃分 ?信息技術(shù)部門 ? 對(duì)信息系統(tǒng)及信息系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持 ?業(yè)務(wù)應(yīng)用部門 ? 對(duì)信息系統(tǒng)的業(yè)務(wù)處理以及業(yè)務(wù)流程的安全承擔(dān)管理責(zé)任 ?安全保衛(wèi)部門 ? 對(duì)場(chǎng)地以及系統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔(dān)管理責(zé)任 ?人事行政部門 ? 從人事、行政上對(duì)信息安全保障執(zhí)行管理工作 ?其他有關(guān)部門 ? 應(yīng)與上述部門協(xié)作，共同對(duì)信息系統(tǒng)的建設(shè)和運(yùn)行維護(hù)承擔(dān)管理責(zé)任 43 控制措施 —— 外部各方 ?外部各方 ? 目標(biāo)：保持組織的被外部各方訪問(wèn)、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全 ?三個(gè)控制措施 ? 識(shí)別外部各方風(fēng)險(xiǎn) ? 處理與顧客有關(guān)的安全問(wèn)題 ? 處理第三方協(xié)議中的安全問(wèn)題 訪問(wèn)風(fēng)險(xiǎn)： 、送餐人員 44 關(guān)鍵點(diǎn) ?要注意充分理由外部資源，與上級(jí)主管單位、國(guó)家職能部門、設(shè)備和基礎(chǔ)設(shè)施提供商、安全服務(wù)商、有關(guān)專家保持良好的溝通和合作關(guān)系 ?要注意外來(lái)風(fēng)險(xiǎn)，如與第三方機(jī)構(gòu)簽訂保密協(xié)議，監(jiān)督和限制其活動(dòng)等 例如 與電力部門建立良好的協(xié)作關(guān)系，停電了， UPS的電也要用光了，電力部門可以開個(gè)發(fā)電車來(lái)解決關(guān)鍵信息系統(tǒng)臨時(shí)電力供應(yīng) 45 資產(chǎn)管理 46 Why？ ?那些曾經(jīng)發(fā)生過(guò)的事 ? 案例 1 ? 單位欲安裝一臺(tái)網(wǎng)絡(luò)防火墻，卻發(fā)現(xiàn)沒(méi)有人可以說(shuō)清楚當(dāng)前的真實(shí)網(wǎng)絡(luò)拓?fù)淝闆r，也沒(méi)有人能說(shuō)清楚系統(tǒng)中有哪些服務(wù)器，這些服務(wù)器運(yùn)行了哪些應(yīng)用系統(tǒng) ? 案例 2 ? 單位信息安全評(píng)估，發(fā)現(xiàn)大部分服務(wù)器安全狀況良好，只有一臺(tái)服務(wù)器存在嚴(yán)重安全漏洞。研究整改措施時(shí)，發(fā)現(xiàn)平時(shí)沒(méi)有人對(duì)該服務(wù)器的安全負(fù)責(zé) 47 資產(chǎn)管理目標(biāo) ?目標(biāo) ? 對(duì) 資產(chǎn) 負(fù)責(zé) —— 實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù) ? 信息分類 —— 確保對(duì)信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃? ?包含的 內(nèi)容 ? 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別信息資產(chǎn) ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任 ? 信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級(jí)和保護(hù)程度 ? 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序 48 資產(chǎn)管理 ?信息安全管理工作的根本目的是保護(hù)系統(tǒng)中的資產(chǎn) ?資產(chǎn)包括 ? 信息 資產(chǎn) ： 業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊(cè)、系統(tǒng)配置、審計(jì)記錄、制度流程等 ? 軟件資產(chǎn)： 應(yīng)用軟件、系統(tǒng)軟件、開發(fā) 工具等 ? 物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、存儲(chǔ)介質(zhì)等 ? 服務(wù)：通信 服務(wù) 、公用設(shè)施（供暖 、照明、 能源）等 ? 人員：他們的資格、技能和經(jīng)驗(yàn) ? 無(wú)形 資產(chǎn)：品牌 、聲譽(yù)和形象 49 資產(chǎn)管理控制目標(biāo) ?控制目標(biāo) ? 對(duì)資產(chǎn)負(fù)責(zé) ? 信息分類 50 控制措施 —— 對(duì)資產(chǎn)負(fù)責(zé) ?對(duì)資產(chǎn)負(fù)責(zé) ? 列出資產(chǎn)清單，明確保護(hù)對(duì)象 ? 準(zhǔn)確 識(shí)別資產(chǎn) ， 編制清單，形成文件 ? 括 資產(chǎn)類型 、位置 、備份 信息和 業(yè)務(wù)價(jià)值等內(nèi)容 ? 為 資產(chǎn)指定 責(zé)任人，明確安全負(fù)責(zé) ? “ 責(zé)任人 ” 不一定是指具有資產(chǎn)所有權(quán)的人，而是指具有控制生產(chǎn)、開發(fā)、使用和保護(hù)資產(chǎn)權(quán)限的個(gè)人或?qū)嶓w ? 確定資產(chǎn)的使用限制 條件 ,合法使用 51 資產(chǎn)管理是信息安全管理的重要 內(nèi)容 控制措施 —— 信息分類 ?信息分類 ? 分類 指南 ? 根據(jù) 信息的價(jià)值 、 法律要求 和對(duì) 組織的敏感程度和關(guān)鍵性 進(jìn)行分類 ? 信息 標(biāo)記和 處理 ? 信息類別標(biāo)記， 設(shè)置合適的分類 說(shuō)明 ? 如 表明文件的密級(jí)、存儲(chǔ)介質(zhì)分類的標(biāo)簽 ? 規(guī)定重要敏感信息的安全處理、存儲(chǔ)、傳輸、刪除和銷毀的程序 52 對(duì) 信息分類是使信息受到適當(dāng)級(jí)別的保護(hù)，在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度 關(guān)鍵點(diǎn) 建議分類方法不宜復(fù)雜，否則容易造成混亂 每種分類應(yīng)唯一區(qū)別于其它分類，同時(shí)不能有任何重疊 分類過(guò)程還應(yīng)簡(jiǎn)單說(shuō)明如何在其生命周期內(nèi)控制并處理 53 舉例 —— 商業(yè)公司和軍事機(jī)構(gòu)信息分類 組織 分類類別 定義 實(shí)例 商業(yè)公司 公共 即使泄漏不會(huì)給公司或個(gè) 人造成不利影響 有多少人完成某個(gè)項(xiàng) 私有 可能給公司或個(gè)人帶來(lái)不 利影響 人事資源信息 軍事機(jī)構(gòu) 絕密 如果泄漏會(huì)給國(guó)家安全帶 來(lái)毀滅性破壞 新型戰(zhàn)時(shí)武器設(shè)計(jì)圖 秘密 給國(guó)家安全造成重大威脅 部隊(duì)分布及部署 不保密 非保密信息 計(jì)算機(jī)通用學(xué)習(xí)手冊(cè) 54 55 Why? ?那些曾經(jīng)發(fā)生過(guò)的事 ? 案例一 ? 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現(xiàn)有客戶。有鑒于此，匯豐銀行三年來(lái)共投放 1億瑞士法郎，用來(lái)將 IT系統(tǒng)升級(jí)并加強(qiáng)保安 ? 案例二 ? 《 論語(yǔ) 》 “ 吾恐季孫之憂，不在 顓臾，而 在蕭墻之內(nèi) 也” ? 蕭墻 之禍比喻災(zāi)禍、變亂由內(nèi)部原因所致 56 人力資源安全目標(biāo) ?目標(biāo) ： ? 任用 前 —— 確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色 ，降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn) ? 任用中 —— 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn) ? 任用終止及變更 —— 確保員工、合同方和第三方用戶離開組織或變更雇傭關(guān)系時(shí)以一種 規(guī)范 的方式進(jìn)行 57 控制措施 —— 任用前 ?任用 （上崗）前 ? 明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報(bào)告安全事件或潛在風(fēng)險(xiǎn)的責(zé)任 ? 對(duì)擔(dān)任敏感和重要崗位的人員要考察其身份、學(xué)歷和技術(shù)背景、工作履歷和以往的違法違規(guī)記錄 ? 要在合同或?qū)ｉT的協(xié)議中，明確其信息安全職責(zé) 58 控制措施 —— 任用中 ?任用 中 ? 保證其充分了解所在崗位的信息安全角色和職責(zé) ? 有針對(duì)性地進(jìn)行信息安全意識(shí)教育和技能培訓(xùn) ? 及時(shí)有效的 紀(jì)律處理（懲戒） 措施 59 控制措施 —— 任用終止及變更 ?離職人員存在的安全隱患 ? 未刪除的帳戶 ? 未收回的各種權(quán)限 ? VPN、遠(yuǎn)程主機(jī)、企業(yè)郵箱和 VoIP等應(yīng)用 ? 其它隱含信息 ? 網(wǎng)絡(luò)機(jī)構(gòu)、規(guī)劃，存在的