【文章內(nèi)容簡介】 息安全管理周期的起點(diǎn)，作為安全管理的準(zhǔn)備階段，為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。 第 15章 企事業(yè)單位信息安全管理 Do (執(zhí)行 )。實(shí)施階段是實(shí)現(xiàn)計(jì)劃階段確定目標(biāo)的過程，包括安全策略、所選擇的安全措施或控制、安全意識和培訓(xùn)程序等。 Check(檢查 )。信息安全實(shí)施過程的效果如何，需要通過監(jiān)視、審計(jì)、復(fù)查、評估等手段來進(jìn)行檢查，檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。 第 15章 企事業(yè)單位信息安全管理 Action(改進(jìn) )。如果檢查發(fā)現(xiàn)安全實(shí)施的效果不能滿足計(jì)劃階段建立的需求，或者有意外事件發(fā)生和由某些因素引起了新的變化，可經(jīng)過管理層認(rèn)可，采取相應(yīng)的措施進(jìn)行改進(jìn)，并按照已經(jīng)建立的響應(yīng)機(jī)制來行事，必要時(shí)進(jìn)入新一輪的信息安全管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。 第 15章 企事業(yè)單位信息安全管理 上述每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活動(dòng)的螺旋式提升。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全管理中的 關(guān)鍵環(huán)節(jié) 企業(yè)信息安全管理策略的制訂 企業(yè)信息安全管理策略的制訂依據(jù)來源于如下三個(gè)方面： (1) 法律法規(guī)與合同條約的要求。與信息安全相關(guān)的法律法規(guī)是對組織的強(qiáng)制性要求。 第 15章 企事業(yè)單位信息安全管理 (2) 組織的原則、目標(biāo)和規(guī)定。組織從自身業(yè)務(wù)和經(jīng)營管理的需求出發(fā)，必然會在信息技術(shù)方面提出一些方針、目標(biāo)、原則和要求，據(jù)此明確自己的信息安全要求，確保支持業(yè)務(wù)運(yùn)作的信息處理活動(dòng)的安全性。 第 15章 企事業(yè)單位信息安全管理 (3) 風(fēng)險(xiǎn)評估的結(jié)果。組織對信息資產(chǎn)的保護(hù)程度和控制方式的確定都應(yīng)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)之上。一般來講，通過綜合考慮每項(xiàng)資產(chǎn)所面臨的威脅、自身的弱點(diǎn)、威脅造成的潛在影響和發(fā)生的可能性等因素，組織可以分析并確定具體的安全需求。風(fēng)險(xiǎn)評估是信息安全管理的基礎(chǔ)。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全風(fēng)險(xiǎn)評估 信息安全風(fēng)險(xiǎn)評估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成相當(dāng)?shù)奈：?，必須提出有針對性的抵御威脅的防護(hù)對策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息的安全。 第 15章 企事業(yè)單位信息安全管理 信息安全風(fēng)險(xiǎn)評估過程是依據(jù)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的安全屬性進(jìn)行評價(jià)的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對組織造成的影響。 第 15章 企事業(yè)單位信息安全管理 信息安全風(fēng)險(xiǎn)評估的實(shí)施步驟如下： (1) 風(fēng)險(xiǎn)評估的準(zhǔn)備； (2) 資產(chǎn)識別； (3) 威脅識別； (4) 脆弱性識別； 第 15章 企事業(yè)單位信息安全管理 (5) 已有安全措施的確認(rèn)； (6) 風(fēng)險(xiǎn)分析； (7) 風(fēng)險(xiǎn)評估文件記錄。 風(fēng)險(xiǎn)評估的實(shí)施流程如圖 152所示。 第 15章 企事業(yè)單位信息安全管理 圖 152 風(fēng)險(xiǎn)評估的實(shí)施流程 風(fēng) 險(xiǎn) 評 估 準(zhǔn) 備保 持 已 有 的 安 全 措 施威 脅 識 別已 有 安 全 措 施 的 確 認(rèn)風(fēng) 險(xiǎn) 計(jì) 算制 定 和 實(shí) 施 風(fēng) 險(xiǎn) 處 理計(jì) 劃 并 評 估 殘 余 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn) 是 否 接 受是 否 接 受 殘 余 風(fēng) 險(xiǎn)實(shí) 施 風(fēng) 險(xiǎn) 管 理資 產(chǎn) 識 別 脆 弱 性 識 別評 估 過 程 文 檔評 估 過 程 文 檔評 估 過 程 文 檔否否是是風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評 估 文 檔 記 錄?第 15章 企事業(yè)單位信息安全管理 信息安全風(fēng)險(xiǎn)評估的具體方法可參見國家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評估指南》。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息系統(tǒng)的安全運(yùn)行管理 為確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，企事業(yè)單位的相關(guān)業(yè)務(wù)部門應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)，對信息系統(tǒng)安全生產(chǎn)運(yùn)行提前做出安排，確保信息系統(tǒng)平穩(wěn)安全運(yùn)行。具體做法應(yīng)強(qiáng)調(diào)如下幾點(diǎn)： (1) 加強(qiáng)信息運(yùn)作隊(duì)伍建設(shè)，努力提升信息運(yùn)行人員的業(yè)務(wù)能力。 第 15章 企事業(yè)單位信息安全管理 (2) 分級控制，責(zé)任到人。組織管理和運(yùn)行維護(hù)管理應(yīng)按不同層次分別負(fù)責(zé)。 (3) 加強(qiáng)值班制度，確保信息聯(lián)系渠道暢通。 (4) 加強(qiáng)網(wǎng)絡(luò)系統(tǒng)監(jiān)控，及時(shí)發(fā)現(xiàn)問題并及時(shí)排除。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全應(yīng)急管理 所謂的應(yīng)急管理，就是指一旦危機(jī)爆發(fā)，如何用最小的成本、以最快的速度把損失降到最低。以“一案三制”為核心內(nèi)容的應(yīng)急管理體系建設(shè)是做好信息安全應(yīng)急管理工作的基礎(chǔ)。 第 15章 企事業(yè)單位信息安全管理 1. 一案 一案指信息安全應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)預(yù)案實(shí)際上是一個(gè)透明和標(biāo)準(zhǔn)化的反應(yīng)程序 ,使應(yīng)急響應(yīng)活動(dòng)能按照預(yù)先周密的計(jì)劃和最有效的實(shí)施步驟有條不紊地進(jìn)行。這些計(jì)劃和步驟是快速響應(yīng)和有效防護(hù)的基本保證。制訂、修訂應(yīng)急預(yù)案是加強(qiáng)應(yīng)急體系建設(shè)的基礎(chǔ)性工作和首要任務(wù)。應(yīng)急預(yù)案的完整框架包括： 第 15章 企事業(yè)單位信息安全管理 (1) 目的、工作原則、法律法規(guī)依據(jù)、適用范圍； (2) 應(yīng)急處置指揮機(jī)構(gòu)的組成和相關(guān)部門的職責(zé)及權(quán)限，包括各類應(yīng)急組織機(jī)構(gòu)與職責(zé)、組織體系的框架等； (3) 信息安全事件監(jiān)測與預(yù)警，包括預(yù)測與預(yù)警系統(tǒng)、預(yù)警級別、預(yù)警行動(dòng)、預(yù)警支持系統(tǒng)等； (4) 信息安全事件信息的收集；包括信息收集、分析、報(bào)告、通報(bào)和新聞發(fā)布的制度； 第 15章 企事業(yè)單位信息安全管理 (5) 信息安全事件的應(yīng)急響應(yīng)，包括事件的分級、分級負(fù)責(zé)、指揮協(xié)調(diào)、先期處置、控制等； (6) 信息安全事件應(yīng)急保障，包括人力資源、財(cái)力、通訊、應(yīng)急技術(shù)、應(yīng)急設(shè)施設(shè)備的保障； (7) 信息安全事件后的恢復(fù)與重建等； (8) 應(yīng)急預(yù)案的管理，包括預(yù)案演練、培訓(xùn)教育、責(zé)任與獎(jiǎng)勵(lì)、預(yù)案更新等。 第 15章 企事業(yè)單位信息安全管理 制訂和修訂信息安全應(yīng)急預(yù)案的過程是一個(gè)不斷總結(jié)經(jīng)驗(yàn)教訓(xùn)的過程，一個(gè)查找薄弱環(huán)節(jié)的過程，一個(gè)改進(jìn)工作的過程，一個(gè)拓寬視野不斷學(xué)習(xí)的過程，一個(gè)與時(shí)俱進(jìn)的過程。 第 15章 企事業(yè)單位信息安全管理