【正文】 ISO/IEC 27000系列標(biāo)準(zhǔn)簡(jiǎn)介 企業(yè)信息安全管理與 ISO / IEC 27000系列標(biāo)準(zhǔn) 建立完善的信息安全管理體系是企事業(yè)單位進(jìn)行科學(xué)信息安全管理的客觀要求。 第 15章 企事業(yè)單位信息安全管理 應(yīng)急事件處理流程：準(zhǔn)備工作 → 事件認(rèn)定 → 控制事態(tài)發(fā)展 → 事件消除 → 事件恢復(fù) → 事件追蹤。 第 15章 企事業(yè)單位信息安全管理 《突發(fā)事件應(yīng)對(duì)法》是應(yīng)對(duì)嚴(yán)峻公共安全形勢(shì)的法寶。 第 15章 企事業(yè)單位信息安全管理 2. 三制 三制指加強(qiáng)應(yīng)急機(jī)制建設(shè)、建立健全應(yīng)急體制、依據(jù)相關(guān)法制。應(yīng)急預(yù)案的完整框架包括： 第 15章 企事業(yè)單位信息安全管理 (1) 目的、工作原則、法律法規(guī)依據(jù)、適用范圍； (2) 應(yīng)急處置指揮機(jī)構(gòu)的組成和相關(guān)部門(mén)的職責(zé)及權(quán)限，包括各類(lèi)應(yīng)急組織機(jī)構(gòu)與職責(zé)、組織體系的框架等； (3) 信息安全事件監(jiān)測(cè)與預(yù)警，包括預(yù)測(cè)與預(yù)警系統(tǒng)、預(yù)警級(jí)別、預(yù)警行動(dòng)、預(yù)警支持系統(tǒng)等； (4) 信息安全事件信息的收集；包括信息收集、分析、報(bào)告、通報(bào)和新聞發(fā)布的制度； 第 15章 企事業(yè)單位信息安全管理 (5) 信息安全事件的應(yīng)急響應(yīng)，包括事件的分級(jí)、分級(jí)負(fù)責(zé)、指揮協(xié)調(diào)、先期處置、控制等； (6) 信息安全事件應(yīng)急保障，包括人力資源、財(cái)力、通訊、應(yīng)急技術(shù)、應(yīng)急設(shè)施設(shè)備的保障； (7) 信息安全事件后的恢復(fù)與重建等； (8) 應(yīng)急預(yù)案的管理，包括預(yù)案演練、培訓(xùn)教育、責(zé)任與獎(jiǎng)勵(lì)、預(yù)案更新等。這些計(jì)劃和步驟是快速響應(yīng)和有效防護(hù)的基本保證。 第 15章 企事業(yè)單位信息安全管理 1. 一案 一案指信息安全應(yīng)急響應(yīng)預(yù)案。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全應(yīng)急管理 所謂的應(yīng)急管理，就是指一旦危機(jī)爆發(fā)，如何用最小的成本、以最快的速度把損失降到最低。 (3) 加強(qiáng)值班制度，確保信息聯(lián)系渠道暢通。 第 15章 企事業(yè)單位信息安全管理 (2) 分級(jí)控制，責(zé)任到人。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息系統(tǒng)的安全運(yùn)行管理 為確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，企事業(yè)單位的相關(guān)業(yè)務(wù)部門(mén)應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)，對(duì)信息系統(tǒng)安全生產(chǎn)運(yùn)行提前做出安排，確保信息系統(tǒng)平穩(wěn)安全運(yùn)行。 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程如圖 152所示。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成相當(dāng)?shù)奈：?，必須提出有針?duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息的安全。一般來(lái)講，通過(guò)綜合考慮每項(xiàng)資產(chǎn)所面臨的威脅、自身的弱點(diǎn)、威脅造成的潛在影響和發(fā)生的可能性等因素，組織可以分析并確定具體的安全需求。 第 15章 企事業(yè)單位信息安全管理 (3) 風(fēng)險(xiǎn)評(píng)估的結(jié)果。 第 15章 企事業(yè)單位信息安全管理 (2) 組織的原則、目標(biāo)和規(guī)定。 第 15章 企事業(yè)單位信息安全管理 企事業(yè)單位信息安全管理中的 關(guān)鍵環(huán)節(jié) 企業(yè)信息安全管理策略的制訂 企業(yè)信息安全管理策略的制訂依據(jù)來(lái)源于如下三個(gè)方面： (1) 法律法規(guī)與合同條約的要求。如果檢查發(fā)現(xiàn)安全實(shí)施的效果不能滿(mǎn)足計(jì)劃階段建立的需求，或者有意外事件發(fā)生和由某些因素引起了新的變化，可經(jīng)過(guò)管理層認(rèn)可，采取相應(yīng)的措施進(jìn)行改進(jìn)，并按照已經(jīng)建立的響應(yīng)機(jī)制來(lái)行事，必要時(shí)進(jìn)入新一輪的信息安全管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。信息安全實(shí)施過(guò)程的效果如何，需要通過(guò)監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段來(lái)進(jìn)行檢查，檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。實(shí)施階段是實(shí)現(xiàn)計(jì)劃階段確定目標(biāo)的過(guò)程，包括安全策略、所選擇的安全措施或控制、安全意識(shí)和培訓(xùn)程序等。規(guī)劃是信息安全管理周期的起點(diǎn)，作為安全管理的準(zhǔn)備階段，為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。 第 15章 企事業(yè)單位信息安全管理 圖 151 企事業(yè)單位信息安全管理 PDCA模型 相 關(guān) 方信 息 安全 需 求和 目 標(biāo)相 關(guān) 方可 管 理 的信 息 安 全建 立 信 息 安 全 管 理 體 系實(shí) 施 和 動(dòng) 作維 持 和 改 進(jìn)維 持 和 改 進(jìn)規(guī) 劃執(zhí) 行改 進(jìn)控 制第 15章 企事業(yè)單位信息安全管理 Plan(規(guī)劃 )。逐漸的管理實(shí)踐表明， PDCA循環(huán)管理模式是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的一種合乎邏輯的工作程序，是管理學(xué)中的一個(gè)通用模型。由于新的風(fēng)險(xiǎn)在不斷出現(xiàn)，系統(tǒng)的安全需求也在不斷變化，因此，企事業(yè)單位的信息安全管理應(yīng)該是一個(gè)動(dòng)態(tài)的不斷改進(jìn)的持續(xù)發(fā)展過(guò)程。信息安全國(guó)際合作的內(nèi)容包括參加國(guó)際性的安全會(huì)議、加入國(guó)際安全組織、把中國(guó)的信息安全技術(shù)和理念推向世界等。 第 15章 企事業(yè)單位信息安全管理 (12) 信息安全國(guó)際合作。 第 15章 企事業(yè)單位信息安全管理 通過(guò)信息網(wǎng)絡(luò)安全文化建設(shè)，能夠?qū)崿F(xiàn)安全認(rèn)識(shí)的導(dǎo)向功能、安全思想的凝聚功能、安全行為的規(guī)范功能。安全文化作為組織文化的一個(gè)子概念，具有無(wú)形管理、全面管理、能動(dòng)管理的特點(diǎn)。 第 15章 企事業(yè)單位信息安全管理 (11) 信息安全文化培育。 安全問(wèn)題必定涉及到危機(jī)與應(yīng)急問(wèn)題，因此危機(jī)與應(yīng)急管理是信息安全管理必然具備的基本內(nèi)容。信息安全風(fēng)險(xiǎn)管理與信息安全標(biāo)準(zhǔn)關(guān)系尤為密切，往往以標(biāo)準(zhǔn)為依據(jù)，實(shí)施針對(duì)性的管理。它以風(fēng)險(xiǎn)為主線(xiàn)，通過(guò)風(fēng)險(xiǎn)戰(zhàn)略規(guī)劃、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)防范等基本環(huán)節(jié)，對(duì)信息、信息載體、信息環(huán)境進(jìn)行安全管理以達(dá)到安全目標(biāo)。 第 15章 企事業(yè)單位信息安全管理 (9) 信息安全風(fēng)險(xiǎn)管理。它是整個(gè)安全管理體系的起始點(diǎn)和基本原則，是實(shí)現(xiàn)信息系統(tǒng)安全目標(biāo)的根本保證。 第 15章 企事業(yè)單位信息安全管理 (8) 信息安全策略。 信息安全治理就是落實(shí)“綜合防范”的方針，即綜合運(yùn)用行政、法律、技術(shù)等多種手段，強(qiáng)調(diào)國(guó)家、企業(yè)和個(gè)人共同的責(zé)任，各個(gè)部門(mén)齊抓共管，用系統(tǒng)工程和體系建設(shè)的思路來(lái)抓信息安全。 信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的一項(xiàng)基本制度，主要是指有關(guān)方面對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)分級(jí)，并加以貫徹落實(shí)、監(jiān)控