【文章內(nèi)容簡介】 現(xiàn)階段 運(yùn)行階段 認(rèn)證階段 后續(xù)培訓(xùn) 業(yè)務(wù)分析 發(fā)布實(shí)施 管理評(píng)審 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素 ? 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo) ? 實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致 ? 來自高級(jí)管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 ? 向所有管理者和員工有效地推廣安全意識(shí) 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動(dòng)提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評(píng)估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全管理體系認(rèn)證 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)管理（ ）就是以可接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。 在信息安全領(lǐng)域，風(fēng)險(xiǎn)（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估（ ）就是對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)評(píng)估和管理的目標(biāo) 低影響 高可能性 高影響 高可能性 高影響 低可能性 低影響 低可能性 威脅帶來的影響 威脅發(fā)生的可能性 采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險(xiǎn)消減到可接受的水平。 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn) RISK RISK RISK 風(fēng)險(xiǎn) 基本的風(fēng)險(xiǎn) 采取措施后剩余的風(fēng)險(xiǎn) 資產(chǎn) 威脅 漏洞 資產(chǎn) 威脅 漏洞 風(fēng)險(xiǎn)管理目標(biāo)更形象的描述 風(fēng)險(xiǎn)評(píng)估與管理 ? 絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的； ? 計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 絕對(duì)的安全是不存在的！ 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。” 顯然，這樣的計(jì)算機(jī)是無法使用的。 風(fēng)險(xiǎn)評(píng)估與管理 關(guān)鍵是實(shí)現(xiàn)成本利益的平衡 安全控制的成本 安全事件的損失 最小化的總成本 低 高 高 安全成本/損失 所提供的安全水平 風(fēng)險(xiǎn)評(píng)估與管理 與風(fēng)險(xiǎn)管理相關(guān)的概念 ? 資產(chǎn)（） —— 任何對(duì)組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 ? 威脅（） —— 可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（ ）或威脅代理（ ）。 ? 弱點(diǎn)（） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。 ? 風(fēng)險(xiǎn)（） —— 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 ? 可能性（） —— 對(duì)威脅發(fā)生幾率（）或頻率（）的定性描述。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ?，即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 ? 殘留風(fēng)險(xiǎn)（ ） —— 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)評(píng)估與管理 安全措施 安全需求 防范 采取 提出 減少 威脅 弱點(diǎn) 資產(chǎn) 資產(chǎn)價(jià)值 利用 導(dǎo)致 導(dǎo)致 暴露 增加 具有 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)要素關(guān)系模型 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)管理概念的公式化描述 Risk = Asset Value Threat Vulnerability Residual Risk = Asset Value Threat Vulnerability Control Gap （ ） 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)管理過程 識(shí)別并評(píng)價(jià)資產(chǎn) 識(shí)別并評(píng)估威脅 識(shí)別并評(píng)估弱點(diǎn) 現(xiàn)有控制確認(rèn) 評(píng)估風(fēng)險(xiǎn)（測量與等級(jí)劃分） 接受 保持現(xiàn)有控制 選擇控制目標(biāo)和控制方式 制定 /修訂適用性聲明 實(shí)施選定的控制 Yes No 確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn) 定期評(píng)估 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)消減 風(fēng)險(xiǎn)接受 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估與管理 定量與定性風(fēng)險(xiǎn)評(píng)估方法 定性風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 計(jì)算方式簡單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價(jià)值和威脅頻率 不必精確計(jì)算推薦的安全措施的成本 流程和報(bào)告形式比較有彈性 缺點(diǎn) 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評(píng)估者的經(jīng)驗(yàn)和能力，很難客觀地跟蹤風(fēng)險(xiǎn)管理的效果 對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 評(píng)估結(jié)果是建立在獨(dú)立客觀地程序或量化指標(biāo)之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價(jià)值和預(yù)期損失易理解 可利用自動(dòng)化工具幫助分析 缺點(diǎn) 信息量大，計(jì)算量大，方法復(fù)雜 沒有一種標(biāo)準(zhǔn)化的知識(shí)庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 投入大，費(fèi)時(shí)費(fèi)力 定量風(fēng)險(xiǎn)評(píng)估：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。 定性風(fēng)險(xiǎn)評(píng)估：憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或 高低程度定性分級(jí)。 風(fēng)險(xiǎn)評(píng)估與管理 識(shí)別并評(píng)估信息資產(chǎn) ? 數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等 ? 書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序 ? 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所 ? 人員：承擔(dān)特定職能和責(zé)任的人員 ? 服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電、等 ? 組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn) 信息資產(chǎn)價(jià)值評(píng)估標(biāo)準(zhǔn) 高（ 3）：非常重要，缺了這個(gè)資產(chǎn)（的喪失），業(yè)務(wù)活動(dòng)將中斷并且遭受不可挽回的損失 中（ 2）：比較重要，缺了這個(gè)資產(chǎn)（的喪失或受損），業(yè)務(wù)活動(dòng)將被迫延緩，造成明顯損失 低（ 1）：不太重要，缺了這個(gè)資產(chǎn)，業(yè)務(wù)活動(dòng)基本上不受影響 風(fēng)險(xiǎn)評(píng)估與管理 識(shí)別并評(píng)估威脅 ? 人員威脅：故意破壞和無意失誤 ? 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等 威脅可能性評(píng)估標(biāo)準(zhǔn) 高（ 3）：非常可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，時(shí)刻都有可能出現(xiàn) 中（ 2）：比較可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，有可能多次出現(xiàn) 低（ 1）：不太可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，不大可能出現(xiàn) 風(fēng)險(xiǎn)評(píng)估與管理 識(shí)別并評(píng)估弱點(diǎn) ? 技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 ? 操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份中的漏洞。 ? 管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 弱點(diǎn)嚴(yán)重性評(píng)估標(biāo)準(zhǔn) 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風(fēng)險(xiǎn)評(píng)估與管理 人最常犯的一些錯(cuò)誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報(bào)告安全事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 風(fēng)險(xiǎn)評(píng)估與管理 ? 風(fēng)險(xiǎn)場景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員（公司并不了解這一點(diǎn)）有權(quán)獨(dú)立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對(duì)手。 ? 確定風(fēng)險(xiǎn)因子：后果為 2，弱點(diǎn)值為 3，威脅值為 3 ? 評(píng)估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為高風(fēng)險(xiǎn)（ 18） ? 應(yīng)對(duì)風(fēng)險(xiǎn)：根據(jù)公司風(fēng)險(xiǎn)評(píng)估計(jì)劃中確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取措施予以消減。 風(fēng)險(xiǎn)評(píng)價(jià)示例 風(fēng)險(xiǎn)可能性 威脅值 1 2 3 弱點(diǎn)值 1 2 3 1 2 3 1 2 3 風(fēng)險(xiǎn)影響 /資產(chǎn)價(jià)值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 風(fēng)險(xiǎn)評(píng)估與管理 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及 11個(gè)方面，包括 39個(gè)控制目標(biāo)和 133項(xiàng)控制措施 ,可作為參考文件使用，但并不是認(rèn)證評(píng)審的依據(jù)。 ISO17799:2023 ? 安全策略 ? 組織信息安全 ? 資產(chǎn)管理 ? 人力資源安全 ? 物理和環(huán)境安全 ? 通信和操作管理 ? 訪問控制 ? 信息系統(tǒng)獲取、開發(fā)和維護(hù) ? 信息安全事件管理 ? 業(yè)務(wù)連續(xù)性管理 ? 符合性 17799:2023 信息安全管理實(shí)施細(xì)則 11個(gè)方面 39個(gè)目標(biāo) 133個(gè)控制措施 10個(gè)方面 36個(gè)目標(biāo) 127個(gè)控制措施 對(duì)比 17799:2023老版 …… 17799:2023 信息安全管理實(shí)施細(xì)則 “ . , . a . . a , , a .” 并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。因此，還需要通過進(jìn)一步的指導(dǎo)方針來補(bǔ)充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 17799:2023 信息安全管理實(shí)施細(xì)則 法律要求和最佳實(shí)踐控制措施 ? 與法律相關(guān)的控制措施： ? 知識(shí)產(chǎn)權(quán)（ ）：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律（ ） ? 保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞和偽造（ ） ? 數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國的數(shù)據(jù)保護(hù)法律（ ） ? 與最佳實(shí)踐相關(guān)的控制措施： ? 信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知（ ） ? 信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任（ ） ? 信息安全意識(shí)、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R(shí)培訓(xùn)（ ） ? 正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、損壞或被非授權(quán)篡改及誤用（ ） ? 漏洞管理：防止利用已發(fā)布的漏洞信息來實(shí)施破壞（ ） ? 管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來管理信息安全事件（ ） ? 業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事件或?yàn)?zāi)難影響（ 14） ? 盡管選擇以上控制是信息安全很好的起點(diǎn)，但還是不能代替基于風(fēng)險(xiǎn)評(píng)估選擇合適的安全控制。 17799:2023 信息安全管理實(shí)施細(xì)則 5 安全策略 信息安全策略 信息安全策略文件 信息安全策略復(fù)查 目標(biāo)：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。 17799:2023 信息安全管理實(shí)施細(xì)則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。 策略方針的目的和意義 ? 為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo) ? 確保信息安全管理體系被充分理解和貫徹實(shí)施 ? 統(tǒng)領(lǐng)整個(gè)信息安全管理體系 方針文件的內(nèi)容 ? 信息安全的定義、