【文章內(nèi)容簡介】 現(xiàn)階段 運行階段 認證階段 后續(xù)培訓 業(yè)務(wù)分析 發(fā)布實施 管理評審 信息安全管理體系認證 成功的關(guān)鍵因素 ? 安全策略、目標和活動應(yīng)該反映業(yè)務(wù)目標 ? 實施信息安全的方法應(yīng)該與組織的文化保持一致 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風險評估和風險管理 ? 向所有管理者和員工有效地推廣安全意識 信息安全管理體系認證 成功的關(guān)鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標準 ? 為信息安全管理活動提供資金支持 ? 提供適當?shù)呐嘤柡徒逃? ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進 信息安全管理體系認證 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 風險 風險管理（ ）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。 在信息安全領(lǐng)域，風險（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響的潛在可能性。 風險評估 風險管理 風險評估（ ）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。 風險評估與管理 風險評估和管理的目標 低影響 高可能性 高影響 高可能性 高影響 低可能性 低影響 低可能性 威脅帶來的影響 威脅發(fā)生的可能性 采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風險消減到可接受的水平。 風險評估與管理 風險 RISK RISK RISK 風險 基本的風險 采取措施后剩余的風險 資產(chǎn) 威脅 漏洞 資產(chǎn) 威脅 漏洞 風險管理目標更形象的描述 風險評估與管理 ? 絕對的零風險是不存在的，要想實現(xiàn)零風險，也是不現(xiàn)實的； ? 計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 絕對的安全是不存在的！ 在計算機安全領(lǐng)域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！? 顯然，這樣的計算機是無法使用的。 風險評估與管理 關(guān)鍵是實現(xiàn)成本利益的平衡 安全控制的成本 安全事件的損失 最小化的總成本 低 高 高 安全成本/損失 所提供的安全水平 風險評估與管理 與風險管理相關(guān)的概念 ? 資產(chǎn)（） —— 任何對組織具有價值的東西，包括計算機硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。 ? 威脅（） —— 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）。 ? 弱點（） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。 ? 風險（） —— 特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 ? 可能性（） —— 對威脅發(fā)生幾率（）或頻率（）的定性描述。 ? 影響（） —— 后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ赐ㄟ^防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。 ? 殘留風險（ ） —— 在實施安全措施之后仍然存在的風險。 風險評估與管理 安全措施 安全需求 防范 采取 提出 減少 威脅 弱點 資產(chǎn) 資產(chǎn)價值 利用 導致 導致 暴露 增加 具有 風險 風險要素關(guān)系模型 風險評估與管理 風險管理概念的公式化描述 Risk = Asset Value Threat Vulnerability Residual Risk = Asset Value Threat Vulnerability Control Gap （ ） 風險評估與管理 風險管理過程 識別并評價資產(chǎn) 識別并評估威脅 識別并評估弱點 現(xiàn)有控制確認 評估風險（測量與等級劃分） 接受 保持現(xiàn)有控制 選擇控制目標和控制方式 制定 /修訂適用性聲明 實施選定的控制 Yes No 確認并評估殘留風險 定期評估 風險評估 風險消減 風險接受 風險管理 風險評估與管理 定量與定性風險評估方法 定性風險分析 優(yōu)點 計算方式簡單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價值和威脅頻率 不必精確計算推薦的安全措施的成本 流程和報告形式比較有彈性 缺點 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，很難客觀地跟蹤風險管理的效果 對關(guān)鍵資產(chǎn)財務(wù)價值評估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風險分析 優(yōu)點 評估結(jié)果是建立在獨立客觀地程序或量化指標之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價值和預(yù)期損失易理解 可利用自動化工具幫助分析 缺點 信息量大，計算量大，方法復(fù)雜 沒有一種標準化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 投入大，費時費力 定量風險評估：試圖從數(shù)字上對安全風險進行分析評估的一種方法。 定性風險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或 高低程度定性分級。 風險評估與管理 識別并評估信息資產(chǎn) ? 數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等 ? 書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序 ? 實物資產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所 ? 人員：承擔特定職能和責任的人員 ? 服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電、等 ? 組織形象與聲譽：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn) 信息資產(chǎn)價值評估標準 高（ 3）：非常重要，缺了這個資產(chǎn)（的喪失），業(yè)務(wù)活動將中斷并且遭受不可挽回的損失 中（ 2）：比較重要，缺了這個資產(chǎn)（的喪失或受損），業(yè)務(wù)活動將被迫延緩，造成明顯損失 低（ 1）：不太重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上不受影響 風險評估與管理 識別并評估威脅 ? 人員威脅：故意破壞和無意失誤 ? 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅：洪水、地震、臺風、雷電等 威脅可能性評估標準 高（ 3）：非?？赡埽跇I(yè)務(wù)活動持續(xù)期間，時刻都有可能出現(xiàn) 中（ 2）：比較可能，在業(yè)務(wù)活動持續(xù)期間，有可能多次出現(xiàn) 低（ 1）：不太可能，在業(yè)務(wù)活動持續(xù)期間，不大可能出現(xiàn) 風險評估與管理 識別并評估弱點 ? 技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 ? 操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份中的漏洞。 ? 管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。 弱點嚴重性評估標準 高（ 3）：很容易被利用 中（ 2）：可被利用，但不是太容易 低（ 1）：基本上不可能被利用 風險評估與管理 人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，泄漏敏感信息 隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 風險評估與管理 ? 風險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。 ? 確定風險因子：后果為 2，弱點值為 3，威脅值為 3 ? 評估風險：套用風險分析矩陣，該風險被定為高風險（ 18） ? 應(yīng)對風險：根據(jù)公司風險評估計劃中確定的風險接受水平，應(yīng)該對該風險采取措施予以消減。 風險評價示例 風險可能性 威脅值 1 2 3 弱點值 1 2 3 1 2 3 1 2 3 風險影響 /資產(chǎn)價值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 風險評估與管理 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 提供了一套由最佳實踐構(gòu)成的控制目標和控制，涉及 11個方面，包括 39個控制目標和 133項控制措施 ,可作為參考文件使用，但并不是認證評審的依據(jù)。 ISO17799:2023 ? 安全策略 ? 組織信息安全 ? 資產(chǎn)管理 ? 人力資源安全 ? 物理和環(huán)境安全 ? 通信和操作管理 ? 訪問控制 ? 信息系統(tǒng)獲取、開發(fā)和維護 ? 信息安全事件管理 ? 業(yè)務(wù)連續(xù)性管理 ? 符合性 17799:2023 信息安全管理實施細則 11個方面 39個目標 133個控制措施 10個方面 36個目標 127個控制措施 對比 17799:2023老版 …… 17799:2023 信息安全管理實施細則 “ . , . a . . a , , a .” 并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。因此，還需要通過進一步的指導方針來補充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 17799:2023 信息安全管理實施細則 法律要求和最佳實踐控制措施 ? 與法律相關(guān)的控制措施： ? 知識產(chǎn)權(quán)（ ）：遵守知識產(chǎn)權(quán)保護和軟件產(chǎn)品保護的法律（ ） ? 保護組織的記錄：保護重要的記錄不丟失、破壞和偽造（ ） ? 數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律（ ） ? 與最佳實踐相關(guān)的控制措施： ? 信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知（ ） ? 信息安全責任的分配：清晰地定義所有的信息安全責任（ ） ? 信息安全意識、教育和培訓：全員員工及相關(guān)人員應(yīng)該接受恰當?shù)囊庾R培訓（ ） ? 正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、損壞或被非授權(quán)篡改及誤用（ ） ? 漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞（ ） ? 管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件（ ） ? 業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事件或災(zāi)難影響（ 14） ? 盡管選擇以上控制是信息安全很好的起點，但還是不能代替基于風險評估選擇合適的安全控制。 17799:2023 信息安全管理實施細則 5 安全策略 信息安全策略 信息安全策略文件 信息安全策略復(fù)查 目標：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。 17799:2023 信息安全管理實施細則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程。 策略方針的目的和意義 ? 為組織提供了關(guān)注的焦點，指明了方向，確定了目標 ? 確保信息安全管理體系被充分理解和貫徹實施 ? 統(tǒng)領(lǐng)整個信息安全管理體系 方針文件的內(nèi)容 ? 信息安全的定義、