【文章內(nèi)容簡介】 ? 一般來說，沒有特別的需要，為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的 20%，過高的安全成本將使安全失去意義。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 ? 從安全防護手段看信息安全的成本：技術(shù)成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經(jīng)濟損失 ? 信息安全的非價值效益：增加聲譽、提升品牌價值 二、信息安全組織體系 建立信息安全組織，明確角色與責任 安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步。 信息安全領(lǐng)導(dǎo)小組 信息安全主管為核心的、專業(yè)的信息安全管理的隊伍 把相應(yīng)的安全責任落實到每一個員工身上 建立跨部門的信息安全委員會 良好的治理結(jié)構(gòu)要求主體單位的 IT 決策必須由最了解組織整體目標與價值的權(quán)威部門來決定。 ? 得到組織最高管理層的支持 得到高層管理人員的認同和承諾有兩個作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹； 二是可以得到有效的資源保證，比如實施有效安全過程的必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。 安全組織架構(gòu) 決策層為業(yè)務(wù)安全的決策機構(gòu)，為業(yè)務(wù)安全工作保駕護航； 管理層工作小組為業(yè)務(wù)安全工作的協(xié)調(diào)管理機構(gòu)，為業(yè)務(wù)安全工作提供支持監(jiān)督； 管理層監(jiān)督審計工作組，定期監(jiān)督審核工作小組和執(zhí)行小組對信息安全政策的執(zhí)行情況，并且向領(lǐng)導(dǎo)小組進行匯報； 執(zhí)行層面業(yè)務(wù)安全保障工作組是業(yè)務(wù)安全政策的執(zhí)行落地和相關(guān)安全流程手冊文檔的參與制定和維護，并且接受工作小組的管理指導(dǎo)和安全審計機構(gòu)的監(jiān)督審核； 信息安全組織架構(gòu) 信息安全體系的內(nèi)容 ?組織體系：整個公司層面的安全管理組織，要從上到下貫穿到底 ?體現(xiàn)三權(quán)分立的原則 制定信息系統(tǒng)安全政策 信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲存信息的各個方面，并符合對信息系統(tǒng)安全的要求。 信息安全政策要符合組織的業(yè)務(wù)目標及特定的環(huán)境要求，并使之被每個員工所理解和執(zhí)行，這是實施信息安全的重要環(huán)節(jié)。 人力資源政策 因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。 人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務(wù)資源管理人員密切合作，協(xié)同作戰(zhàn)，才能實現(xiàn)信息安全中對“人”的有效管理。 實施安全教育計劃 要制定各種不同范圍、不同層次的安全教育計劃。 完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態(tài)度，使他們具有一定的安全保護技能，以更好地保護組織的信息資產(chǎn)。 好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關(guān)。 營造組織信息安全文化 信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團隊共同的態(tài)度、認識和價值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動，實現(xiàn)組織信息安全目標。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。 如果一個組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。 三、信息安全管理體系 信息安全管理體系的定義 信息安全管理體系（ ISMS： Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。 ISMS相對應(yīng)的 BS 7799 標準在國際上得到了廣泛的應(yīng)用，目前引標準已被采納為國際標準 ISO17799:2023 ISO27001:2023。 在 ISO17799中 信息安全主要指信息的機密性(Confidentiality)、完整性 (Integrity)和可用性 (Availability)的保持。 符合性 （ Co m p li a n c e ）業(yè)務(wù)連續(xù)性管理 （ Bu s in e s s c o n t in u it y m a n a g e m e n t ）信息安全事故管理 （ I n f o r m a t io n s e c u r it y i n c id e n t m a n a g e m e n t ）訪問控制 （ A c c e s s c o n t r o l ）人力資源安全（ Hu m a n r e s o u r c e ss e c u r it y ）物理和環(huán)境安全（ P h y s ic a l a n de n v ir o n m e n t a ls e c u r it y ）通信和操作安全（ Co m m u n ic a t io n sa n d o p e r a t io n sM a n a g e m e n t ）信息系統(tǒng)采集開發(fā)和維護（ I n f o r m a t io n s y s t e ma c q u is it io n , d e v e lo p m e n ta n d m a in t e n a n c e ）資產(chǎn)管理 （ A s s e t m a n a g e m e n t ）信息安全的組織 （ Or g a n izi n g i n f o r m a t io n s e c u r it y ）安全策略 （ S e c u r it y P o li c y ）? ISMS “木桶”由哪些“板”組成？ ? 類似于質(zhì)量管理體系的 ISO9000標準， ISMS也有相應(yīng)的國際標準ISO27001，它確定了 ISMS的 11個安全領(lǐng)域及 133個相應(yīng)的控制措施。 ISO17799及 ISO27001的內(nèi)容 ISO17799:2023 信息安全管理實施規(guī)范，主要是給負責開發(fā)的人員作為參考文檔使用，從而在組織中實施和維護信息安全； ISO27001:2023 信息安全管理體系規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂啤? 獲得 BS7799和 ISO27001認證的組織 ISMS體系設(shè)計 在組織中要實現(xiàn)信息安全，比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。 如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。 定 義 安 全 方 針定 義 I S M S的 范 圍實 施 風 險 評 估風 險 管 理選 擇 控 制 目 標和 實 施 控 制準 備 適 用 性聲 明第 一 步第 二 步第 三 步第