【正文】 整理 . ? 安全防護(hù)系統(tǒng) ? 網(wǎng)絡(luò)安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)（ VPN）等成熟技術(shù)，利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段，通過對網(wǎng)絡(luò)的安全防護(hù)的統(tǒng)一設(shè)計(jì)和統(tǒng)一配置，實(shí)現(xiàn)全系統(tǒng)統(tǒng)一、高效、可靠的網(wǎng)絡(luò)安全防護(hù)。 ? 使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。 八、建立 “ 技術(shù)防火墻 ” 火龍果 ? 整理 . ? “技術(shù)防火墻”的實(shí)現(xiàn)框架 ? 信息安全框架可通過基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全。 ? 集中管理方面 ：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。實(shí)現(xiàn) ISO74982所定義的鑒別，訪問控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功能。 ? 只有保證 ISMS持續(xù)運(yùn)行，才能使 ISMS的制度真正落到實(shí)處，使組織的安全狀況得到改觀。 ? ISMS體系文件是實(shí)施信息安全管理所必需的結(jié)構(gòu)、規(guī)則、過程和資源等因素所組成的有機(jī)總體，有效的信息安全管理需要明確管理的具體目標(biāo)與范圍、流程與活動、人員與職責(zé)、資源與條件等內(nèi)容 ? ISMS體系文件的作用 ? 保護(hù)信息安全的指南 ? 對信息安全進(jìn)行審核的依據(jù) ? 安全管理水平不斷改進(jìn)的保障 ? 促進(jìn)安全培訓(xùn)工作的開展 火龍果 ? 整理 . ? ISMS體系文檔的組成 四級文件 三級文件 二級文件 一級 方針、策略文件 ISMS體系文件 規(guī)范、程序 作業(yè)指導(dǎo)書、記錄、表單 火龍果 ? 整理 . ? ISMS的正式運(yùn)行 ? ISMS體系文件編制完成后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段 ? 在試運(yùn)行的基礎(chǔ)上，總結(jié)經(jīng)驗(yàn)，進(jìn)行認(rèn)真的部署，選擇恰當(dāng)?shù)臅r機(jī)進(jìn)行 ISMS體系的正式運(yùn)行。 體系運(yùn)行 體系審核 管理評審 體系認(rèn)證 第七步 第八步 第九步 第十步 運(yùn)行說明 內(nèi)審報告 外審報告 認(rèn)證證書 火龍果 ? 整理 . ? ISMS體系文件編寫 ? 對 ISMS體系的設(shè)計(jì)首先是以 規(guī)范化的 ISMS體系文件的形式表現(xiàn)出來。 ? 如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責(zé)任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。 火龍果 ? 整理 . ? ISO17799及 ISO27001的內(nèi)容 ? ISO17799:2023 信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全； ? ISO27001:2023 信息安全管理體系規(guī)范，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤? ? 在 ISO17799中 信息安全主要指信息的機(jī)密性 (Confidentiality)、完整性(Integrity)和可用性 (Availability)的保持。 火龍果 ? 整理 . ? 信息安全管理體系的定義 ? 信息安全管理體系（ ISMS： Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。 ? 一般來說，沒有特別的需要，為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的 20%，過高的安全成本將使安全失去意義。 ? 安全規(guī)劃對組織未來幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運(yùn)行等方面的安全，進(jìn)行設(shè)計(jì)、改進(jìn)和加強(qiáng)，是進(jìn)行安全建設(shè)的總體指導(dǎo)。 安全方針 目的 ISO27001十一個域 避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。 資產(chǎn)管理 建立組織內(nèi)的管理體系以便安全管理。 物理與環(huán)境安全 減少人為造成的風(fēng)險。 訪問控制 保證通訊和操作設(shè)備的正確和安全維護(hù)。 ad 一般流程描述業(yè)務(wù)流程流程涉眾輸入開始業(yè)務(wù)活動一 業(yè)務(wù)活動二業(yè)務(wù)活動三條件結(jié)束輸出目標(biāo)規(guī)則《 IT相關(guān)業(yè)務(wù)流程風(fēng)險評估與處置建議報告 》 火龍果 ? 整理 . ? 確定風(fēng)險控制策略 風(fēng)險控制策略舉例 六、信息安全控制規(guī)劃 火龍果 ? 整理 . ? 選擇安全控制措施 風(fēng)險控制措施 確 定 安 全 需 求所 有 安 全 需 求 與控 制 目 標(biāo) 己 滿 足 ？檢 查 控 制 目 標(biāo)與 控 制 措 施確 定 控 制 目 標(biāo)與 控 制 措 施否是從 B S 7 7 9 9 的 十 個 域 選 擇控 制 目 標(biāo) 與 控 制 措 施檢 查 業(yè) 務(wù) 因 素與 約 束 條 件防止商業(yè)活動中斷和災(zāi)難事故的影響。 《安全風(fēng)險評估與處置建議報告》 安全風(fēng)險評估 表示例 資產(chǎn)定義及估值 確定現(xiàn)有控制 威脅評估 確定風(fēng)險水平 風(fēng)險評估過程 脆弱性評估 安全控制措施的識別與選擇 降低風(fēng)險 風(fēng)險管理過程 接受風(fēng)險 電子政務(wù)風(fēng)險評估案例 火龍果 ? 整理 . ? IT流程風(fēng)險評估 ? 信息安全不僅僅要看 IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。 安全日常運(yùn)維現(xiàn)狀調(diào)研問卷 《 信息安全現(xiàn)狀分析報告 》 火龍果 ? 整理 . ? 基線風(fēng)險評估 ? 所謂基線風(fēng)險評估，就是確定一個信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險分析，這樣才能在兼顧信息安全風(fēng)險的方方面面的同時，對重點(diǎn)信息安全風(fēng)險進(jìn)行管理與控制。 現(xiàn) 狀 調(diào) 查基 線 風(fēng) 險 評 估資 產(chǎn) 風(fēng) 險 評 估 流 程 風(fēng) 險 評 估詳 細(xì) 風(fēng) 險 評 估風(fēng) 險 評 估 報 告 火龍果 ? 整理 . ? 現(xiàn)狀調(diào)查的主要內(nèi)容 ? 文檔收集與分析 ? 組織的基本信息、組織結(jié)構(gòu)圖 ? 組織人員名單、機(jī)構(gòu)設(shè)置、崗位職責(zé)說明書 ? 業(yè)務(wù)特征或服務(wù)介紹 ? 與信息安全管理相關(guān)的政策、制度和規(guī)范 ? 現(xiàn)場訪談 ? 安排與相關(guān)人員的面談 ? 對員工工作現(xiàn)場的觀察 ? 加強(qiáng)項(xiàng)目組對企業(yè)文化的感知 訪談提綱： 管理層 、 部門經(jīng)理 、 員工 ， 某員工的訪問示例 火龍果 ? 整理 . ? 技術(shù)評估 ? 工具掃描 、 滲透測試 1 2 3 ? 人工分析 ? 系統(tǒng)安全配置完全檢測、網(wǎng)絡(luò)服務(wù)安全配置完全檢測 ? 包括用戶安全、操作系統(tǒng)安全、 網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全 人工評估記錄示例 技術(shù)評估綜述 ? 問卷調(diào)研 ? 安全日常運(yùn)維現(xiàn)狀調(diào)研問卷：針對組織中實(shí)際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護(hù)、系統(tǒng)審計(jì)、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實(shí)狀況。 ? 通過“現(xiàn)狀調(diào)查”獲得對組織信息安全現(xiàn)狀和控制措施的基本了解；通過“基線風(fēng)險評估”了解組織與具體的信息安全標(biāo)準(zhǔn)的差距，得到粗粒度的安全評價。 ? 因此，風(fēng)險評估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。 IT原則示例 信息安全方針示例 四、 確定 IT原則與安全方針 火龍果 ? 整理 . 五、 進(jìn)行風(fēng)險評估 ? 風(fēng)險評估的常用方法 ? 目前國內(nèi) ISMS風(fēng)險評估的方法主要參照 ISO13335的有關(guān)定義及國信辦 9號文件 《 信息安全風(fēng)險評估指南 》 ，這些標(biāo)準(zhǔn)把重點(diǎn)放在信息資產(chǎn)上 。 ? 信息安全方針就是組織的信息安全委員會或管理當(dāng)局制定的一個高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示 。 三、 完善信息安全治理結(jié)構(gòu) 信息安全組織結(jié)構(gòu)示例 安全工作小組流程示例 火龍果 ? 整理 . ? 審視業(yè)務(wù)，確定 IT原則和信息安全方針 ? 在進(jìn)行信息安全規(guī)劃與實(shí)施安全控制措施前，首先要充分了解組織的業(yè)務(wù)目標(biāo)和 IT目標(biāo)，建立 IT原則，這是實(shí)施建立有效的信息安全保障體系的前提。 ? 在風(fēng)險分析的基本上引入恰當(dāng)控制，建立 PDCA的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性 ? 安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變，需要建立完整的控制體系來保證安全的持續(xù)完善。 ? 從國家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和