【正文】 業(yè)務(wù)持續(xù)性管理等問題；從個人角度來看有職業(yè)要求、個人隱私、行為學(xué)、心理學(xué)等問題。 ? “ 保護業(yè)務(wù)，為業(yè)務(wù)創(chuàng)造價值 ” 應(yīng)當(dāng)是一切安全工作的出發(fā)點與歸宿，最有效的方式不是從現(xiàn)有的工作方式開始應(yīng)用信息安全技術(shù)，而是在針對工作任務(wù)與工作流程重新設(shè)計信息系統(tǒng)時，發(fā)揮信息安全技術(shù)手段支持新的工作方式的能力。 需要對信息安全進行有效管理 火龍果 ? 整理 . ? BHTP－一種實施 ISMS的有效方法 ? 業(yè)務(wù)與策略 (Business and Policy) ? 人員與管理 (Human and management) ? 技術(shù)與產(chǎn)品 (Technology and products) ? 流程與體系 (Process and Framework) 治理與控制環(huán)境 火龍果 ? 整理 . ? BHTP模型的關(guān)鍵要素 ? 業(yè)務(wù)與策略 ? 根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導(dǎo)對信息資產(chǎn)進行管理、保護和分配。 二、 保護信息安全的方法 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 人們逐漸認識到安全管理的重要性，作為信息安全建設(shè)藍圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 ? 75%的被調(diào)查者認為員工對信息安全策略和程序的不夠了解是實現(xiàn)信息安全的障礙之一 ,只有 35%的組織有持續(xù)的安全意識教育與培訓(xùn)計劃 ? 66%的組織認為信息系統(tǒng)沒有遵守必要的信息安全規(guī)則 ? 56%的組織認為在信息安全的投入上不足， 60%從不計算信息安全的 ROI， 83%的組織認為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多 。 ? 思科訴華為，華為訴滬科等知識產(chǎn)權(quán)案，使企業(yè)和人員都蒙受了損失。 向?qū)κ值纳虡I(yè)機密說“不” 火龍果 ? 整理 . ? 商業(yè)機密泄露使企業(yè)遭受損失 ? 2023年的一項調(diào)查顯示，名列 《 財富 》 雜志前 1000名的公司每年因泄露商業(yè)機密而出現(xiàn)的損失高達 450億美元，平均 每家公司每年發(fā)生 ，損失超過 50萬美元。 ? 許多大公司設(shè)立專門的競爭情報部門，建立企業(yè)競爭情報系統(tǒng)，進入世界 500強的美國公司中 90%設(shè)有競爭情報部。 ? 根據(jù)美國對本國 1500家公司的調(diào)查，有 1300家公司承認，它們對國外的競爭對手進行了間諜活動。 ? 據(jù)統(tǒng)計， 2023年初全球產(chǎn)生的電腦病毒和木馬的數(shù)量達到 50萬個，其中 90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)的安全。 ? 據(jù)統(tǒng)計 2023年產(chǎn)生的電腦病毒和木馬的數(shù)量達到 23萬個，其中 90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)的安全。 ? 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局 2023年 8月 25日發(fā)布的一項調(diào)查報告顯示， 54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，比去年上升 5％，其中發(fā)生過 3次以上的占 22％，比去年上升 7％。 火龍果 ? 整理 . ? 層出不窮網(wǎng)絡(luò)安全事件 ? 全球平均 20秒就發(fā)生一次計算機病毒入侵 ,互聯(lián)網(wǎng)上的防火墻大約 25%被攻破 。 火龍果 ? 整理 . 信息安全管理體系 火龍果 ? 整理 . 培訓(xùn)大綱 一、信息安全面臨的風(fēng)險 二、保護信息安全的方法 三、 完善信息安全治理結(jié)構(gòu) 四、審視業(yè)務(wù)進行風(fēng)險評估 五、進行信息安全控制規(guī)劃 六、建立信息安全管理體系 七、建立完備的 “ 技術(shù)防火墻 ” 八、建立有效的 “ 人力防火墻 ” 九、對信息安全的檢查與審計 火龍果 ? 整理 . ? 信息系統(tǒng)固有的脆弱性 ? 信息本身易傳播、易毀損、易偽造 ? 信息技術(shù)平臺（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性與脆弱性 ? 行動的遠程化使安全管理面臨挑戰(zhàn) ? 信息具有的重要價值 ? 信息社會對信息高度依賴，信息的風(fēng)險加大 ? 信息的高附加值會引發(fā)盜竊、濫用等威脅 一、 信息安全面臨的風(fēng)險 企業(yè)對信息的依賴程度： 美國明尼蘇達大學(xué) BushKugel的研究報告指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運行 2天，商業(yè)則為 ，工業(yè)則為 5天，保險業(yè)為 。而以經(jīng)濟情況來看，有 25%的企業(yè)，因為的毀損可能立即破產(chǎn)， 40%會在兩年內(nèi)宣布破產(chǎn)，只有 7%不到的企業(yè)在 5年后能夠繼續(xù)存活。竊取商業(yè)信息的事件每月 260%的速度增加。 73％的安全事件是由于未修補或防范軟件漏洞所導(dǎo)致。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業(yè)用戶中毒，直接及間接經(jīng)濟損失高達億元以上。 Baidu灰鴿子吧 火龍果 ? 整理 . ? 商業(yè)間諜無孔不入 ? 在走向現(xiàn)代市場經(jīng)濟的過程中，由于利益多元化格局的形成和利益驅(qū)動機制的強化，侵犯企業(yè)商業(yè)秘密的事件正在迅速增加。據(jù)估計，美國企業(yè)每年投資在經(jīng)濟、科技情報方面的費用高達 300億美元。如IBM、微軟、陶氏科寧、可口可樂等公司的競爭情報系統(tǒng)不僅能夠時刻監(jiān)視競爭對手的動向和環(huán)境的變化，而且具有對環(huán)境的“早期預(yù)警”功能。 ? 景泰藍、宣紙、青蒿素 、維生素 C生產(chǎn)技術(shù)的泄密和銣鐵硼專利被封殺都給我國企業(yè)和國家?guī)砹酥卮蟮慕?jīng)濟損失，造成了無可挽回的影響。 華為訴前員工竊密案 觸目驚心的泄密事件 火龍果 ? 整理 . ? 信息安全損失的 “ 冰山 ” 理論 ? 信息安全直接損失只是冰由之一角， 間接損失是直接損失是 6－ 53倍 ? 間接損失包括： ? 時間被延誤 ? 修復(fù)的成本 ? 可能造成的法律訴訟的成本 ? 組織聲譽受到的影響 ? 商業(yè)機會的損失 ? 對生產(chǎn)率的破壞 $10,000 $60,000－ $530,000 火龍果 ? 整理 . ? 我國當(dāng)前信息安全普遍存在的問題 ? 忽略了信息化的治理機制與控制體系的建立，和信息化 “ 游戲規(guī)則 ” 的建立； ? 廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走； ? 安全只重視邊界安全，沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題； ? 重視安全技術(shù)，輕視安全管理，信息安全可靠性沒有保證； ? 信息安全建設(shè)缺乏績效評估機制，信息安全成了 “ 投資黑洞 ” ； ? 信息安全人員變成 “ 救火隊員 ” … 火龍果 ? 整理 . ? 如何實現(xiàn)信息安全？ ? 信息安全＝反病毒軟件＋防火墻＋入侵檢測系統(tǒng)？ ? 管理制度？人的因素？環(huán)境因素？ ? Ernst Young及國內(nèi)安全機構(gòu)的分析： ? 國家政府和軍隊信息受到的攻擊 70%來自外部，銀行和企業(yè)信息受到的攻擊 70%來自于內(nèi)部。 在整個系統(tǒng)安全工作中 ,管理 (包括管理和法律法規(guī)方面 )所占比重應(yīng)該達到 70%,而技術(shù) (包括技術(shù)和實體 )應(yīng)占 30%。 火龍果 ? 整理 . ? 建立信息安全管理體系 ? 對信息安全建立系統(tǒng)工程的觀念 ? 用制度來保證組織的信息安全更有效 ? 信息安全遵循木桶原理 ? 對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架 ? 并要時時兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅。確定并實施信息安全策略是組織的一項重要使命，也是組織進行有效安全管理的基礎(chǔ)和依據(jù)。 ? 人員與管理 ? 人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。 火龍果 ? 整理 . ? 技術(shù)與產(chǎn)品 ? 可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保護信息系統(tǒng)安全 ? 考慮安全的成本與效益，采用 “ 適度防范 ” (Rightsizing)的原則 ? 流程與體系 ? 建立良好的 IT治理機制是實施信息安全的基礎(chǔ)與重要保證。 火龍果 ? 整理 . ? BHTP的方法論 決策層對信息安全看法 完 善 信 息 安 全治 理 結(jié) 構(gòu)審 視 業(yè) 務(wù)風(fēng) 險 評 估確 定 政 策安 全 計 劃人 力 防 火 墻符 合 安 全控 制 標(biāo) 準(zhǔn) ？信 息 系 統(tǒng)審 計監(jiān) 控 業(yè) 務(wù) 與安 全 環(huán) 境技 術(shù) 防 火 墻建 立 信 息 安 全管 理 體 系持續(xù)改進調(diào)整 火龍果 ? 整理 . ? 建立跨部門的信息安全委員會 ? 良好的治理結(jié)構(gòu)要求主體單位的 IT 決策必須由最了解組織整體目標(biāo)與價值的權(quán)威部門來決定。 ? 組織的業(yè)務(wù)目標(biāo)和 IT原則將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展的需要出發(fā)，確定適宜的 IT原則，才能指導(dǎo)信息安全方針的制定。 ? 在安全方針的指導(dǎo)下，通過了解組織業(yè)務(wù)所處的環(huán)境，對 IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點進行風(fēng)險評估，制定出適宜的安全控