【正文】 的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。 信息安全概述 信息安全管理面臨的一些問題 ? 國家的信息安全法律法規(guī)體系建設(shè)還不是很完善 ? 組織缺乏信息安全意識(shí)和明確的信息安全策略 ? 對信息安全還持有傳統(tǒng)的認(rèn)識(shí)，即重技術(shù)，輕管理 ? 安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理 信息安全概述 調(diào)查顯示有 8成企業(yè)安全管理不理想 信息安全概述 各行業(yè)安全管理狀況都不容樂觀 信息安全概述 安全管理各方面能力都很低下 信息安全概述 信息安全管理應(yīng)該是體系化的 ? 信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子 ? 這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營管理體系的一部分 務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作 信息安全概述 怎樣實(shí)現(xiàn)信息安全？ 信息安全概述 通常的信息安全建設(shè)方法 ? 采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案： ? 防病毒，防火墻，等 ? 通常由部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒有日常維護(hù) ? 這是一種以產(chǎn)品為核心的信息安全解決方案 ? 這種方法存在眾多不足： ? 難以確定真正的需求：保護(hù)什么？保護(hù)對象的邊界？保護(hù)到什么程度？ ? 管理和服務(wù)跟不上，對采購產(chǎn)品運(yùn)行的效率和效果缺乏評價(jià) ? 通常用漏洞掃描代替風(fēng)險(xiǎn)評估，對風(fēng)險(xiǎn)的認(rèn)識(shí)很不全面 ? 這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全 ? 不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 信息安全概述 真正有效的方法 ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵 ? 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用 ? 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 ? 先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要 ? 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全 ? 根本上說，信息安全是個(gè)管理過程，而不是技術(shù)過程 信息安全概述 對信息安全的正確認(rèn)識(shí) 安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程 信息安全概述 基于風(fēng)險(xiǎn)分析的安全管理方法 ? 信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。 ? 控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上。 ? 對風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理。 ? 遵循管理的一般模式 ——模型。 實(shí)施所選的安全控制措施。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實(shí)施情況進(jìn)行符合性檢查。 不斷發(fā)展自己的工作隊(duì)伍，完善自己的工作機(jī)構(gòu)和體制， 把標(biāo)準(zhǔn)化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作 ? 的宗旨： ? 1. 為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進(jìn)生產(chǎn)， 達(dá)到標(biāo)準(zhǔn)化（包括簡化） ? 2. 制定和修訂英國標(biāo)準(zhǔn)，并促進(jìn)其貫徹執(zhí)行 ? 3. 以學(xué)會(huì)名義，對各種標(biāo)志進(jìn)行登記，并頒發(fā)許可證 ? 4. 必要時(shí)采取各種行動(dòng)，保護(hù)學(xué)會(huì)利益 7799簡介 國際標(biāo)準(zhǔn)化組織（） ? 國際標(biāo)準(zhǔn)化組織（ ，） ? 國際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專門機(jī)構(gòu)， 它在國際標(biāo)準(zhǔn)化中占主導(dǎo)地位。 ? 隨著國際貿(mào)易的發(fā)展，對國際標(biāo)準(zhǔn)的要求日益提高，的作用也日趨擴(kuò)大，世界上許多國家對也越加重視。 7799簡介 什么是 7799？ ? 英國標(biāo)準(zhǔn)協(xié)會(huì)（ ，）制定的信息安全標(biāo)準(zhǔn)。 ? 信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)。它旨在為一個(gè)機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信 。 ? 1993年 9月 —— 頒布《信息安全管理實(shí)施細(xì)則》，形成 7799的基礎(chǔ)。 ? 1998年 2月 —— 英國公布 77992:《信息安全管理體系規(guī)范》。 ? 2023年 12月 —— 國際標(biāo)準(zhǔn)組織 127工作組認(rèn)可通過 77991，頒布 17799:2023《信息技術(shù) ——信息安全管理實(shí)施細(xì)則》。 ? 2023年 6月 —— 17799:2023改版，成為 17799:2023。 7799簡介 7799的發(fā)展現(xiàn)狀 ? 7799技術(shù)委員會(huì)是 2，成員包括： ? 金融服務(wù)：英國保險(xiǎn)協(xié)會(huì)，渣打會(huì)計(jì)協(xié)會(huì)，匯豐銀行等 ? 通信行業(yè)：大英電訊公司等 ? 零售業(yè)： ? 國際組織：殼牌，聯(lián)合利華，畢馬威（）等 ? 目前除英國之外，國際上已有荷蘭（ 20233）、丹麥和瑞典（ 627799）、挪威、芬蘭、澳大利亞和新西蘭（ 4444）、南非、巴西、日本（ X 5080）等國采用 7799。 ? 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在 7799認(rèn)證方面表現(xiàn)積極。（可查詢） ? 目前大陸地區(qū)通過信息安全管理體系認(rèn)證的有近 30家。 ? 對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。 ? 向貿(mào)易伙伴證明對信息安全的承諾，使貿(mào)易伙伴和客戶對組織充滿信心。 ? 促使管理層堅(jiān)持貫徹信息安全保障體系。工具包，體現(xiàn)了三分技術(shù)七分管理的思想 ? 27001：源自 77992。的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價(jià)標(biāo)準(zhǔn) ? （ 21827） ? 美國國家安全局（）于 1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于領(lǐng)域，并不用于審計(jì)和認(rèn)證 7799簡介 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理體系認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 選擇認(rèn)證機(jī)構(gòu) 信息安全管理體系認(rèn)證 明確認(rèn)證的范圍 ? 定義認(rèn)證范圍是讓認(rèn)證機(jī)構(gòu)和審核員確定評估程序的基礎(chǔ)。 信息安全管理體系認(rèn)證 認(rèn)證之前做好準(zhǔn)備 進(jìn)行 27001認(rèn)證之前，組織可以參照以下檢查列表來做準(zhǔn)備： 董事會(huì)和管理層的簽署承諾 已簽署并發(fā)布的安全策略文檔 已識(shí)別的資產(chǎn) 風(fēng)險(xiǎn)評估的結(jié)果文檔 已作出的風(fēng)險(xiǎn)管理決策 已識(shí)別的可用控制 文檔化的適用性聲明 文檔化的業(yè)務(wù)連續(xù)性計(jì)劃，并得到了實(shí)施和測試 文檔化的程序，并且發(fā)布和實(shí)施 確定有效性的內(nèi)部復(fù)審 信息安全管理體系認(rèn)證 認(rèn)證過程 選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) Phase1：文檔審核 Phase2：現(xiàn)場審查 維持認(rèn)證 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 ? 復(fù)審風(fēng)險(xiǎn)評估文檔、安全策略和適用性聲明 ? 復(fù)審 ISMS的其他文檔 ? ISMS的實(shí)施情況，符合性審查 ? 風(fēng)險(xiǎn)管理決策的基礎(chǔ) 組織被授予證書后，審核組每年都會(huì)對其 ISMS符合性進(jìn)行檢查。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。 在信息安全領(lǐng)域，風(fēng)險(xiǎn)（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。 風(fēng)險(xiǎn)評估與管理 風(fēng)險(xiǎn)評估和管理的目標(biāo) 低影響 高可能性 高影響 高可能性 高影響 低可能性 低影響 低可能性 威脅帶來的影響 威脅發(fā)生的可能性 采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險(xiǎn)消減到可接受的水平。 絕對的安全是不存在的！ 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。 風(fēng)險(xiǎn)評估與管理 關(guān)鍵是實(shí)現(xiàn)成本利益的平衡 安全控制的成本 安全事件的損失 最小化的總成本 低 高 高 安全成本/損失 所提供的安全水平 風(fēng)險(xiǎn)評估與管理 與風(fēng)險(xiǎn)管理相關(guān)的概念 ? 資產(chǎn)（） —— 任何對組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 ? 弱點(diǎn)（） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。 ? 可能性（） —— 對威脅發(fā)生幾率（）或頻率（）的定性描述。 ? 安全措施（） —— 控制措施（）或?qū)Σ撸ǎ?，即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 風(fēng)險(xiǎn)評估與管理 安全措施 安全需求 防范 采取 提出 減少 威脅 弱點(diǎn) 資產(chǎn) 資產(chǎn)價(jià)值 利用 導(dǎo)致 導(dǎo)致 暴露 增加 具有 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)要素關(guān)系模型 風(fēng)險(xiǎn)評估與管理 風(fēng)險(xiǎn)管理概念的公式化描述 Risk = Asset Value Threat Vulnerability Residual Risk = Asset Value Threat Vulnerability Control Gap （ ） 風(fēng)險(xiǎn)評估與管理 風(fēng)險(xiǎn)管理過程 識(shí)別并評價(jià)資產(chǎn) 識(shí)別并評估威脅 識(shí)別并評估弱點(diǎn) 現(xiàn)有控制確認(rèn) 評估風(fēng)險(xiǎn)（測量與等級劃分） 接受 保持現(xiàn)有控制 選擇控制目標(biāo)和控制方式 制定 /修訂適用性聲明 實(shí)施選定的控制 Yes No 確認(rèn)并評估殘留風(fēng)險(xiǎn) 定期評估 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)消減 風(fēng)險(xiǎn)接受 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評估與管理 定量與定性風(fēng)險(xiǎn)評估方法 定性風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 計(jì)算方式簡單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價(jià)值和威脅頻率 不必精確計(jì)算推薦的安全措施的成本 流程和報(bào)告形式比較有彈性 缺點(diǎn) 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗(yàn)和能力，很難客觀地跟蹤風(fēng)險(xiǎn)管理的效果 對關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 評估結(jié)果是建立在獨(dú)立客觀地程序或量化指標(biāo)之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價(jià)值和預(yù)期損失易理解 可利用自動(dòng)化工具幫助分析 缺點(diǎn) 信息量大，計(jì)算量大，方法復(fù)雜 沒有一種標(biāo)準(zhǔn)化的知識(shí)庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 投入大，費(fèi)時(shí)費(fèi)力 定量風(fēng)險(xiǎn)評估：試圖從數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行分析評估的一種方法。 風(fēng)險(xiǎn)評估與管理 識(shí)別并評估信息資產(chǎn) ? 數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等 ? 書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序 ? 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所 ? 人員：承擔(dān)特定職能和責(zé)任的人員 ? 服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電、等 ? 組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn) 信息資產(chǎn)價(jià)值評估標(biāo)準(zhǔn) 高（ 3）：非常重要，缺了這個(gè)資產(chǎn)（的喪失），業(yè)務(wù)活動(dòng)將中斷并且遭受不可挽回的損失 中（ 2）：比較重要，缺了這個(gè)資產(chǎn)（的喪失或受損），業(yè)務(wù)活動(dòng)將被迫延緩，造成明顯損失 低（ 1）：不太重要，缺了這個(gè)資產(chǎn)，業(yè)務(wù)活動(dòng)基本上不受影響 風(fēng)險(xiǎn)評估與管理 識(shí)別并評估威脅 ? 人員威脅：故意破壞和無意失誤 ? 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等 威脅可能性評估標(biāo)準(zhǔn) 高（ 3）：非常可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，時(shí)刻都有可能出現(xiàn) 中（ 2）：比較可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，有可能多次出現(xiàn) 低（ 1）：不太可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，不大可能出現(xiàn) 風(fēng)險(xiǎn)評估與管理 識(shí)別并評估弱點(diǎn) ? 技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 ? 管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 ? 確定風(fēng)險(xiǎn)因子：后果為 2，弱點(diǎn)值為 3，威脅值為 3 ? 評估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為高風(fēng)險(xiǎn)（ 18） ? 應(yīng)對風(fēng)險(xiǎn)：根據(jù)公司風(fēng)險(xiǎn)評估計(jì)劃中確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對該風(fēng)險(xiǎn)采取措施予以消減。 ISO17799:2023 ? 安全策略 ? 組織信息安全 ? 資產(chǎn)管理 ? 人力資源安全 ? 物理和環(huán)境安全 ? 通信和操作管理 ? 訪問控制 ? 信息系統(tǒng)獲取、開發(fā)和維護(hù) ? 信息安全事件管理 ?