第十四章安全管理與評(píng)估(2015).

1、1第十四章 信息安全管理與評(píng)估一、安全管理概述二、信息安全管理策略三、信息安全管理標(biāo)準(zhǔn)四、信息安全工程方法（SSE-CMM）五、基于等級(jí)保護(hù)的信息安全管理體系六、安全風(fēng)險(xiǎn)管理七、本章小結(jié)2一、安全管理概述1.1 安全管理的概念管理是指為提高群體實(shí)現(xiàn)目標(biāo)的效率而采取的活動(dòng)和行為。包括制定計(jì)劃（規(guī)劃）、建立機(jī)構(gòu)（組織）、落實(shí)措施（部署）、開(kāi)展培訓(xùn)（提高能力）、檢查效果（評(píng)估）和實(shí)施改進(jìn)（改進(jìn)）等。收集信息評(píng)估組織部署 首先要明確管理策略，然后才是開(kāi)展管理活動(dòng)。3系統(tǒng)B安全管理是以管理對(duì)象的安全為任務(wù)和目標(biāo)的管理。安全管理的任務(wù)是保證管理對(duì)象的安全。安全管理的目標(biāo)是達(dá)到管理對(duì)象所需的安全級(jí)別，將風(fēng)險(xiǎn)

2、控制在可以接受的程度。信息安全管理是以信息及其載體即信息系統(tǒng)為對(duì)象的安全管理。信息安全管理的任務(wù)是保證信息的使用安全和信息載體的運(yùn)行安全。信息安全管理的目標(biāo)是達(dá)到信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可以接受的程度。41.2 安全管理的重要性在信息時(shí)代，信息是一種資產(chǎn)。隨著人們對(duì)信息資源利用價(jià)值的認(rèn)識(shí)不斷提高，信息資產(chǎn)的價(jià)值在不斷提升，信息安全的問(wèn)題越發(fā)受到重視。針對(duì)各種風(fēng)險(xiǎn)的安全技術(shù)和產(chǎn)品不斷涌現(xiàn)，如防火墻、入侵檢測(cè)、漏洞掃描、病毒防治、數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、安全審計(jì)等，這些都是信息安全控制的重要手段，并且還在不斷地豐富和完善。但是，卻容易給人們?cè)斐梢环N錯(cuò)覺(jué)，似乎足夠的安全技術(shù)和產(chǎn)

3、品就能夠完全確保一個(gè)組織的信息安全。其實(shí)不然，僅通過(guò)技術(shù)手段實(shí)現(xiàn)的安全能力是有限的，主要體現(xiàn)在以下三個(gè)方面。5u許多安全技術(shù)和產(chǎn)品遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到人們需要的水準(zhǔn)。例如，微軟的Windows NT、IBM的AIX等常見(jiàn)的企業(yè)級(jí)操作系統(tǒng)，大部分只達(dá)到了美國(guó)國(guó)防部TCSEC C2級(jí)安全認(rèn)證，而且核心技術(shù)和知識(shí)產(chǎn)權(quán)都是國(guó)外的，不能滿足國(guó)家涉密信息系統(tǒng)或商業(yè)敏感信息系統(tǒng)的需求。u在計(jì)算機(jī)病毒與病毒防治軟件的對(duì)抗過(guò)程中，經(jīng)常是在一種新的計(jì)算機(jī)病毒出現(xiàn)并已經(jīng)造成大量損失后，才能開(kāi)發(fā)出查殺該病毒的軟件，也就是說(shuō)，技術(shù)往往落后于新風(fēng)險(xiǎn)的出現(xiàn)。u即使某些安全技術(shù)和產(chǎn)品在指標(biāo)上達(dá)到了實(shí)際應(yīng)用的某些安全需求，如果配置和管

4、理不當(dāng)，還是不能真正地實(shí)現(xiàn)這些安全需求。例如，雖然在網(wǎng)絡(luò)邊界設(shè)置了防火墻，但出于風(fēng)險(xiǎn)分析欠缺、安全策略不明或是系統(tǒng)管理人員培訓(xùn)不足等原因，防火墻的配置出現(xiàn)嚴(yán)重漏洞，其安全功效將大打折扣。再如，雖然引入了身份認(rèn)證機(jī)制，但由于用戶安全意識(shí)薄弱，再加上管理不嚴(yán)，使得口令設(shè)置或保存不當(dāng)，造成口令泄漏，那么依靠口令檢查的身份認(rèn)證機(jī)制會(huì)完全失效。6僅靠技術(shù)不能獲得整體的信息安全，需要有效的安全管理來(lái)支持和補(bǔ)充，才能確保技術(shù)發(fā)揮其應(yīng)有的安全作用，真正實(shí)現(xiàn)整體的信息安全?！叭旨夹g(shù)、七分管理”，在安全領(lǐng)域更是如此。1.3 安全管理模型 安全管理的最終目標(biāo)是將系統(tǒng)（即管理對(duì)象）的安全風(fēng)險(xiǎn)降低到用戶可接受的程度，

5、保證系統(tǒng)的安全運(yùn)行和使用。風(fēng)險(xiǎn)的識(shí)別與評(píng)估是安全管理的基礎(chǔ)，風(fēng)險(xiǎn)的控制是安全管理的目的，安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過(guò)程。由此可見(jiàn)，安全管理策略的制定依據(jù)就是系統(tǒng)的風(fēng)險(xiǎn)分析和安全要求。新的風(fēng)險(xiǎn)在不斷出現(xiàn)，系統(tǒng)的安全需求也在不斷變化，也就是說(shuō)，安全問(wèn)題是動(dòng)態(tài)的。因此，安全管理應(yīng)該是一個(gè)不斷改進(jìn)的持續(xù)發(fā)展過(guò)程。7安全管理模型遵循管理的一般循環(huán)模式，即計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動(dòng)（Action）的持續(xù)改進(jìn)模式，簡(jiǎn)稱PDCA模式。每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過(guò)檢查環(huán)節(jié)發(fā)現(xiàn)新的問(wèn)題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活

6、動(dòng)的螺旋式提升。8信息安全管理也遵循PDCA持續(xù)改進(jìn)模式。信息安全管理策略包括管理的任務(wù)、目標(biāo)、對(duì)象、原則、程序和方法；信息安全管理活動(dòng)包括制定計(jì)劃、建立機(jī)構(gòu)、落實(shí)措施、開(kāi)展培訓(xùn)、檢查效果和實(shí)施改進(jìn)等。u制定計(jì)劃制定信息安全管理的具體實(shí)施、運(yùn)行和維護(hù)計(jì)劃；u建立機(jī)構(gòu)建立相應(yīng)的安全管理機(jī)構(gòu)；u落實(shí)措施選擇適當(dāng)?shù)陌踩夹g(shù)和產(chǎn)品并實(shí)施；u開(kāi)展培訓(xùn)對(duì)所有相關(guān)人員進(jìn)行必要的安全教育和培訓(xùn)；u檢查效果對(duì)所構(gòu)建的信息安全管理體系進(jìn)行符合性檢查；u實(shí)施改進(jìn)對(duì)檢查結(jié)果進(jìn)行評(píng)審，評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性，針對(duì)存在的問(wèn)題采取改進(jìn)措施。9二、信息安全管理策略信息安全管理策略應(yīng)包括信息安全管理的任務(wù)、目標(biāo)、對(duì)象

7、、原則、程序和方法這些內(nèi)容。1. 信息安全管理的任務(wù)信息安全管理的任務(wù)是保證信息的使用安全和信息載體的運(yùn)行安全。v信息的使用安全是通過(guò)實(shí)現(xiàn)信息的機(jī)密性、完整性和可用性這些安全屬性來(lái)保證的。v信息載體包括處理載體、傳輸載體、存儲(chǔ)載體和入出載體，其運(yùn)行安全就是指計(jì)算系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)系統(tǒng)和外設(shè)系統(tǒng)能夠安全地運(yùn)行。102. 信息安全管理的目標(biāo)達(dá)到信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可以接受的程度。3. 信息安全管理的對(duì)象從內(nèi)涵上講是指信息及其載體信息系統(tǒng)，從外延上說(shuō)其范圍由實(shí)際應(yīng)用環(huán)境來(lái)界定。4. 信息安全管理的原則信息安全管理遵循如下基本原則：（1） 策略指導(dǎo)原則所有的信息安全管理活動(dòng)都應(yīng)該

8、在統(tǒng)一的策略指導(dǎo)下進(jìn)行。11（2） 風(fēng)險(xiǎn)評(píng)估原則信息安全管理策略的制定要依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果。（3） 預(yù)防為主原則在信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、采購(gòu)、集成和安裝中要同步考慮信息安全問(wèn)題，不可心存僥幸或事后彌補(bǔ)。（4） 適度安全原則要平衡安全控制的費(fèi)用與風(fēng)險(xiǎn)危害的損失，注重實(shí)效，將風(fēng)險(xiǎn)降至用戶可接受的程度即可，沒(méi)有必要追求絕對(duì)的、高昂代價(jià)的安全，實(shí)際上也沒(méi)有絕對(duì)的安全。（5） 立足國(guó)內(nèi)原則考慮到國(guó)家安全和經(jīng)濟(jì)利益，安全技術(shù)和產(chǎn)品首先要立足國(guó)內(nèi)，不能未經(jīng)許可，未能消化改造直接使用境外的安全保密技術(shù)和產(chǎn)品設(shè)備，特別是信息安全方面的關(guān)鍵技術(shù)和核心技術(shù)尤其如此。12（6） 成熟技術(shù)原則盡量選用成熟的技術(shù)，以得到

9、可靠的安全保證。采用新技術(shù)時(shí)要慎重，要重視其成熟的程度。（7） 規(guī)范標(biāo)準(zhǔn)原則安全系統(tǒng)要遵循統(tǒng)一的操作規(guī)范和技術(shù)標(biāo)準(zhǔn)，以保證互連通和互操作，否則，就會(huì)形成一個(gè)個(gè)安全孤島，沒(méi)有統(tǒng)一的整體安全可言。（8） 均衡防護(hù)原則安全防護(hù)如同木桶裝水，一是，只要木桶的木板有一塊壞板，水就會(huì)從里面泄漏出來(lái)；二是，木桶中的水只和最低一塊木板看齊，其他木板再高也無(wú)用。所以，安全防護(hù)措施要注意均衡性，注意是否存在薄弱環(huán)節(jié)或漏洞。（9） 分權(quán)制衡原則要害部位的管理權(quán)限不應(yīng)交給一個(gè)人管理，否則，一旦出現(xiàn)問(wèn)題將全線崩潰。分權(quán)可以相互制約，提高安全性。13（10） 全體參與原則安全問(wèn)題不只是安全管理人員的事情，全體相關(guān)人員都有

10、責(zé)任。如果安全管理人員制定的安全制度和措施得不到相關(guān)人員的切實(shí)執(zhí)行，安全隱患依然存在，安全問(wèn)題就不會(huì)得到真正解決。（11） 應(yīng)急恢復(fù)原則安全防護(hù)不怕一萬(wàn)就怕萬(wàn)一，因此安全管理要有應(yīng)急響應(yīng)預(yù)案，并且要進(jìn)行必要的演練，一旦出現(xiàn)問(wèn)題就能夠馬上采取應(yīng)急措施，阻止風(fēng)險(xiǎn)的蔓延和惡化，將損失減少到最低程度。天災(zāi)人禍在所難免，因此在災(zāi)難不能同時(shí)波及的地區(qū)設(shè)立備份中心，保持備份中心與主系統(tǒng)數(shù)據(jù)的一致性。一旦主系統(tǒng)遇到災(zāi)難而癱瘓，便可立即啟動(dòng)備份系統(tǒng)，使系統(tǒng)從災(zāi)難中得以恢復(fù)，保證系統(tǒng)的連續(xù)工作。（12） 持續(xù)發(fā)展原則為了應(yīng)對(duì)新的風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)要實(shí)施動(dòng)態(tài)管理。因此，要求安全系統(tǒng)具有延續(xù)性、可擴(kuò)展性，能夠持續(xù)改進(jìn)，始終

11、將風(fēng)險(xiǎn)控制在可接受的水平。145. 信息安全管理的程序信息安全管理的程序遵循PDCA循環(huán)模式的4大基本步驟： 計(jì)劃（Plan）。制定工作計(jì)劃，明確責(zé)任分工，安排工作進(jìn)度，突出工作重點(diǎn)，形成工作文件。 執(zhí)行（Do）。按照計(jì)劃展開(kāi)各項(xiàng)工作，包括建立權(quán)威的安全機(jī)構(gòu)，落實(shí)必要的安全措施，開(kāi)展全員的安全培訓(xùn)等。v定義和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃v選擇適當(dāng)?shù)目刂拼胧﹙定義如何衡量控制措施的有效性v實(shí)施培訓(xùn)和意識(shí)宣傳計(jì)劃 v管理信息安全管理體系的運(yùn)作v管理信息安全管理體系運(yùn)作資源v部署安全事件檢測(cè)和響應(yīng)流程15165. 信息安全管理的程序 檢查（Check）。對(duì)上述工作所構(gòu)建的信息安全管理體系進(jìn)行符合性檢查，包括是否

12、符合法律法規(guī)的要求，是否符合安全管理的原則，是否符合安全技術(shù)的標(biāo)準(zhǔn)，是否符合風(fēng)險(xiǎn)控制的指標(biāo)等，并報(bào)告結(jié)果。執(zhí)行監(jiān)控和審查程序測(cè)量控制措施的有效性評(píng)審風(fēng)險(xiǎn)評(píng)估和殘余風(fēng)險(xiǎn)內(nèi)部信息安全管理體系審核信息安全管理體系的管理評(píng)審在審核和調(diào)查結(jié)果的基礎(chǔ)上更新安全計(jì)劃記錄可能會(huì)影響到信息安全管理體系效能的行動(dòng)和事件 行動(dòng)（Action）。依據(jù)上述檢查結(jié)果，對(duì)現(xiàn)有信息安全管理策略的適宜性進(jìn)行評(píng)審與評(píng)估，評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性，采取改進(jìn)措施。實(shí)施已確定的信息安全管理體系的改進(jìn)采取適當(dāng)?shù)募m正措施和預(yù)防措施同有關(guān)各方溝通行動(dòng)及改進(jìn)點(diǎn)確保達(dá)到預(yù)期的改善目標(biāo)166. 信息安全管理的方法信息安全管理根據(jù)具體管理對(duì)

13、象的不同，采用不同的具體管理方法。信息安全管理的具體對(duì)象包括機(jī)構(gòu)、人員、軟件、設(shè)備、介質(zhì)、涉密信息、技術(shù)文檔、網(wǎng)絡(luò)連接、門戶網(wǎng)站、應(yīng)急恢復(fù)、安全審計(jì)、場(chǎng)地設(shè)施等。17三、 信息安全管理標(biāo)準(zhǔn)BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括以下兩部分：BS7799-1:1999信息安全管理實(shí)施規(guī)則；BS7799-2:1999信息安全管理體系規(guī)范。其中，BS7799-1:1999于2000年12月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC19799:2000信息技術(shù)信息安全管理實(shí)施規(guī)則。181992年，英

14、國(guó)貿(mào)易和工業(yè)部出版“信息安全管理實(shí)用準(zhǔn)則”1995年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)對(duì)它進(jìn)行修改，并以BS7799標(biāo)準(zhǔn)出版2000年，BS7799認(rèn)證為ISO17799標(biāo)準(zhǔn)2002年，BS7799第二部分出版2005年，新的ISO17799標(biāo)準(zhǔn)出版，BS7799第二部分成為ISO270012007年，ISO17799/IEC2005標(biāo)準(zhǔn)直接更改標(biāo)準(zhǔn)編號(hào)為ISO/IEC2700219ISO 27001標(biāo)準(zhǔn)系列27000 信息安全管理體系原理和術(shù)語(yǔ)27001信息安全管理體系要求27002信息安全管理實(shí)踐規(guī)則27003信息安全管理體系實(shí)施指南27004信息安全管理測(cè)量與指標(biāo)27005信息安全風(fēng)險(xiǎn)管理27006信息安全

15、管理體系審核認(rèn)證機(jī)構(gòu)要求27011適用于電信組織27031電信就緒之業(yè)務(wù)持續(xù)性指南20預(yù)備中27007信息安全管理體系審核指南27008信息安全管理體系審核指南（控管措施）27010用于行業(yè)間溝通27013將ISO/IEC20000-1與27001整合27014信息安全治理框架27015金融和保險(xiǎn)服務(wù)業(yè)27032互聯(lián)網(wǎng)安全指南27033網(wǎng)絡(luò)安全指南27034應(yīng)用安全指南27035安全事件管理27036安全外包指南27037數(shù)據(jù)證據(jù)的鑒定、收集和保持213.1 標(biāo)準(zhǔn)的組成與結(jié)構(gòu)BS7799共分兩部分：第一部分為BS7799-1:1999信息安全管理實(shí)施規(guī)則，即ISO/IEC19799:2000信

16、息技術(shù)信息安全管理實(shí)施規(guī)則，是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性準(zhǔn)則，主要是為組織實(shí)施有效的信息安全管理所需的控制提供通用的最佳實(shí)施規(guī)則。第二部分為BS7799-2:1999信息安全管理體系規(guī)范，規(guī)定了建立、實(shí)施和維護(hù)信息安全管理體系（Information Security Management System，ISMS）的要求，指出組織需通過(guò)風(fēng)險(xiǎn)評(píng)估和自身需求來(lái)確定最適宜的安全控制對(duì)象，采取最適當(dāng)?shù)陌踩刂拼胧?。BS7799-2:1999明確提出安全控制要求，BS7799-1:1999對(duì)應(yīng)給出了通用的安全控制方法，因此可以說(shuō)，BS7799-1:1999為BS7799-2:1999的具

17、體實(shí)施提供了指南。22BS7799由4個(gè)主要段落組成，即范圍、術(shù)語(yǔ)和定義、體系要求和控制細(xì)則。其中控制細(xì)則包括11大控制方面、36個(gè)控制目標(biāo)、134種控制方式，涉及與信息安全有關(guān)的方方面面。關(guān)于控制細(xì)則的使用，一方面，組織可以根據(jù)自己的實(shí)際需要進(jìn)行選用；另一方面，標(biāo)準(zhǔn)中的控制目標(biāo)和控制方式并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。23BS7799 詳細(xì)內(nèi)容列表目的內(nèi)容范圍、術(shù)語(yǔ)和定義、信息安全體系要求、控制細(xì)則安全方針提供管理方向和支持建立安全方針文檔安全組織建立組織內(nèi)的安全管理體系框架內(nèi)部信息安全責(zé)任、信息采集設(shè)施安全、可被第三方利用的信息資產(chǎn)安全，外部信息安全評(píng)

18、審、外包合同安全資產(chǎn)分類與控制建立維護(hù)資 產(chǎn)安全的保護(hù)系統(tǒng)基礎(chǔ) 利用資產(chǎn)清單、分類處理、信息標(biāo)簽等對(duì)信息資產(chǎn)進(jìn)行保護(hù)人員安全減少人為造成的風(fēng)險(xiǎn)減少錯(cuò)誤、偷竊、欺騙或資源誤用等人為風(fēng)險(xiǎn)；保密協(xié)議；安全教育培訓(xùn)、安全事故與教訓(xùn)總結(jié)、懲罰措施物理與環(huán)境安全防止對(duì)IT服務(wù)的未經(jīng)許可的介入，防止損害和干擾服務(wù)阻止對(duì)工作區(qū)與物理設(shè)備的非法進(jìn)入；防止業(yè)務(wù)機(jī)密和信息的非法訪問(wèn)、損壞、干擾；磁泄漏等24BS7799 詳細(xì)內(nèi)容列表目的內(nèi)容通信與運(yùn)營(yíng)管理訪問(wèn)控制控制對(duì)業(yè)務(wù)信息的訪問(wèn)系統(tǒng)開(kāi)發(fā)與維護(hù)保證系統(tǒng)開(kāi)發(fā)維護(hù)安全確保信息安全保護(hù)深入到OS中；阻止應(yīng)用系統(tǒng)中的用戶 數(shù)據(jù)的丟失、修改或誤用；確保信息機(jī)密性、可靠性和完

19、整性、確保IT項(xiàng)目工程及其支持活動(dòng)在安全的方式下進(jìn)行，維護(hù)應(yīng)用程序軟件和數(shù)據(jù)的安全。信息安全事故管理保證信息安全事故的用時(shí)報(bào)告和處理確保與信息系統(tǒng)有關(guān)的信息安全事故和弱點(diǎn)能夠以某種方式傳達(dá)，以及時(shí)采取糾正措施；確保采用一致的和有效的方法對(duì)信息安全事故進(jìn)行管理商務(wù)持續(xù)性管理防業(yè)務(wù)中斷和災(zāi)難事故影響保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程受到重大失誤或?yàn)?zāi)難的影響依從符合法律、法規(guī)和合同253.2 信息安全管理體系要求1.總則總則（general）是標(biāo)準(zhǔn)對(duì)信息安全管理體系的總體要求。信息安全管理體系是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風(fēng)險(xiǎn)管理，確保組織的信息安全，包括為制定、實(shí)施、評(píng)審和保持信息安全方針?biāo)枰慕M

20、織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過(guò)程和資源。26 標(biāo)準(zhǔn)要求組織通過(guò)制定信息安全方針、確定體系范圍、明確管理職責(zé)，通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系。 信息安全管理體系一旦建立，組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保證體系運(yùn)作的有效性。 信息安全管理體系應(yīng)形成一定的文件，如方針、適用性聲明文件和實(shí)施安全控制所必須的程序文件。 綜上所述，組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。272.建立管理構(gòu)架建立管理構(gòu)架（Establishing Management Frame）屬于對(duì)信息安全管理體系策劃的一個(gè)

21、要求，即按照以下步驟確定控制目標(biāo)與控制方式： 制定組織的信息安全方針（組織安全管理要求，方向性的指導(dǎo)）。 界定信息安全管理體系的適用范圍。 對(duì)組織可能遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)地評(píng)估。 根據(jù)方針和風(fēng)險(xiǎn)程度，決定風(fēng)險(xiǎn)管理內(nèi)容。 選擇適合組織商務(wù)運(yùn)作的控制目標(biāo)和控制方式，包括從BS7799-1:1999中選出的控制和識(shí)別出的其他控制。 準(zhǔn)備適用性聲明，它是對(duì)組織選擇的控制目標(biāo)和控制方式的評(píng)論性文件，并經(jīng)過(guò)管理層的批準(zhǔn)。28因?yàn)榻M織本身結(jié)構(gòu)、信息資產(chǎn)所處的環(huán)境、商業(yè)流程、安全控制技術(shù)、法律法規(guī)等方面均有可能發(fā)生變化，因而會(huì)有新的安全威脅和薄弱點(diǎn)出現(xiàn)，導(dǎo)致新的風(fēng)險(xiǎn)。因此，為保持對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)控制，確保組織信息

22、安全的持續(xù)，要求組織定期對(duì)上述過(guò)程進(jìn)行評(píng)審，不斷改進(jìn)和完善控制目標(biāo)和控制方式，在此基礎(chǔ)上對(duì)適用性聲明進(jìn)行評(píng)價(jià)或修訂。值得強(qiáng)調(diào)的是，信息安全管理體系的成功建立與實(shí)施，及它對(duì)組織的價(jià)值很大程度上取決于風(fēng)險(xiǎn)評(píng)估的質(zhì)量。293.實(shí)施 組織要按照所選擇的控制目標(biāo)和控制方式進(jìn)行有效的安全控制，即按照方針、程序等要求開(kāi)展信息處理、安全管理各項(xiàng)活動(dòng)。 實(shí)施（implementation）的有效性包括以下兩方面的含義：u控制活動(dòng)應(yīng)嚴(yán)格按照要求執(zhí)行u活動(dòng)的結(jié)果應(yīng)達(dá)到預(yù)期的目標(biāo)要求，即風(fēng)險(xiǎn)控制的結(jié)果是可以接受的。304.文件化 信息安全管理體系文件（documentation）是按標(biāo)準(zhǔn)要求建立管理框架的證據(jù)，它一般

23、包括方針、適用性聲明、方針手冊(cè)、管理及實(shí)施程序、作業(yè)指導(dǎo)書(shū)和記錄等。315.文件控制組織應(yīng)建立一個(gè)文件控制（Document Control）程序，對(duì)信息安全管理體系文件進(jìn)行以下方面的控制：u明確文件控制活動(dòng)的各項(xiàng)職責(zé)；u文件發(fā)布前應(yīng)履行審批手續(xù)；u進(jìn)行發(fā)放管理，確保授權(quán)的人員隨時(shí)獲得；u定期評(píng)審，必要時(shí)予以修訂，以符合組織的安全方針；u進(jìn)行版本控制，保證現(xiàn)場(chǎng)使用的文件為最新有效版本；u當(dāng)文件廢止且有法律或知識(shí)保護(hù)目的要求時(shí)，應(yīng)保存并標(biāo)識(shí)，防止誤用；u文件應(yīng)易讀，標(biāo)明日期（包括修訂日期）；u按規(guī)定方式對(duì)文件進(jìn)行標(biāo)識(shí)（文件編號(hào)）；u按規(guī)定時(shí)間保存；u體系文件本身也屬于信息資產(chǎn)，其中含有敏感信息，

24、應(yīng)確定其密級(jí)并進(jìn)行密級(jí)標(biāo)識(shí)。326.記錄組織應(yīng)建立記錄（record）程序，對(duì)具有符合性的記錄進(jìn)行標(biāo)識(shí)、維護(hù)、保留和處置方面的控制。組織應(yīng)按照規(guī)定的保存期限保存信息安全記錄，以證明活動(dòng)符合本規(guī)定要求及適合體系和組織的要求。如來(lái)訪者登記、審核記錄和訪問(wèn)授權(quán)等。對(duì)記錄的管理要求和控制如下：v記錄應(yīng)清晰易讀，對(duì)相關(guān)活動(dòng)具有標(biāo)識(shí)和可追溯性；v記錄應(yīng)以便于檢索的方式保存。v記錄的保存應(yīng)符合有關(guān)的法律法規(guī)要求；須長(zhǎng)期保存的記錄應(yīng)存放于一個(gè)適宜的環(huán)境，防止損壞、變質(zhì)和丟失；電子媒體的記錄應(yīng)進(jìn)行備份等；v記錄也屬于信息資產(chǎn)，對(duì)于含有敏感信息的記錄應(yīng)進(jìn)行密級(jí)標(biāo)識(shí)并進(jìn)行適當(dāng)?shù)目刂啤?33.3 控制細(xì)則 控制細(xì)則包

25、括安全方針、安全組織、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運(yùn)作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、商務(wù)持續(xù)性管理、依從共11大控制方面、36個(gè)控制目標(biāo)、134種控制方式，涉及與信息安全有關(guān)的方方面面。 組織應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果從中選定適宜的控制目標(biāo)和控制方式，對(duì)于不適宜的條款應(yīng)在適用性聲明中給予說(shuō)明。3435u安全方針：v目標(biāo)：制定指導(dǎo)方針，通過(guò)在組織內(nèi)對(duì)信息安全方針的發(fā)布和保證來(lái)證明對(duì)信息安全支持和承諾。v信息安全方針包括：信息安全定義、總體目標(biāo)與范圍以及信息共享的安全機(jī)制；為達(dá)到此目的的管理意向；對(duì)組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性的簡(jiǎn)要說(shuō)明；對(duì)信息安全管理的總體和具體責(zé)任

26、的規(guī)定；制定用戶應(yīng)該遵守的安全規(guī)定支持安全方針的文件。36u安全組織：v目標(biāo)：建立組織內(nèi)的管理體系以便安全管理。v信息安全組織內(nèi)容包括：組織信安委和專家組，信安委批準(zhǔn)安全方案、分配安全職責(zé)和協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。專家組提出有效的安全建議。加強(qiáng)與外專家聯(lián)系，跟蹤行業(yè)趨勢(shì)，監(jiān)督執(zhí)行安全標(biāo)準(zhǔn)和安全評(píng)估，在處理安全事件時(shí)提供必要聯(lián)系渠道。鼓勵(lì)多學(xué)科的信息安全方法的發(fā)展，如經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計(jì)者、審計(jì)人員和保安人員以及行業(yè)專家之間的協(xié)作?？刂频谌綄?duì)本組織的信息處理設(shè)備的訪問(wèn)。如果業(yè)務(wù)上需要第三方的訪問(wèn)，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定安全隱患和控制要求外包合同中表明信息系統(tǒng)、網(wǎng)絡(luò)和桌面環(huán)境

27、方面的風(fēng)險(xiǎn)、安全控制和流程?？刂萍?xì)則資產(chǎn)分類與控制：目標(biāo)：維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。內(nèi)容包括：利用資產(chǎn)清單、分類處理、信息標(biāo)簽等對(duì)信息資產(chǎn)進(jìn)行保護(hù)。以所有重要的信息資產(chǎn)都要進(jìn)行說(shuō)明并指定責(zé)任者，以確定適當(dāng)?shù)木S護(hù)控制措施。信息分類可以確認(rèn)信息的保護(hù)等級(jí)，并采取適當(dāng)?shù)谋Ｗo(hù)手段。37控制細(xì)則人員安全：目標(biāo)：減少人為造成的風(fēng)險(xiǎn)。內(nèi)容包括：崗位安全職責(zé)和人員作用條款。減少人為錯(cuò)誤、盜竊和設(shè)施誤用造成的風(fēng)險(xiǎn)。設(shè)置用戶培訓(xùn)條款，確保用戶清楚知道信息安全的危險(xiǎn)性和相關(guān)事項(xiàng)，以便在工作中支持組織的方針。設(shè)置安全事件及故障處理?xiàng)l款（應(yīng)急響應(yīng)）38控制細(xì)則物理和環(huán)境安全：目標(biāo)：防止對(duì)關(guān)于IT服務(wù)的未經(jīng)許可的介入、

28、損傷和干擾服務(wù)。內(nèi)容包括：確定安全區(qū)域，防止非授權(quán)訪問(wèn)、破壞、干擾商務(wù)場(chǎng)所和信息通過(guò)保障設(shè)備安全，防止資產(chǎn)丟失、破壞、資產(chǎn)危害及商務(wù)活動(dòng)中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竅。3940u通信與操作方式管理：v目標(biāo)：保證通訊和操作設(shè)備的正確和安全維護(hù)v內(nèi)容包括： 將系統(tǒng)發(fā)生故障的風(fēng)險(xiǎn)降到最低（事先規(guī)劃與準(zhǔn)備、在接收和使用新系統(tǒng)之前，規(guī)定相應(yīng)的操作要求）。 保護(hù)軟件與信息完整性。設(shè)置預(yù)防措施來(lái)防止和檢測(cè)惡意軟件的引入。 維護(hù)信息處理和通訊服務(wù)的完整性和可用性。建立常規(guī)程序，按規(guī)定的備份策略，對(duì)數(shù)據(jù)進(jìn)行備份，執(zhí)行及時(shí)的恢復(fù)工作、登錄事件和失敗事件以及監(jiān)視設(shè)備的環(huán)境。 確保對(duì)網(wǎng)絡(luò)信

29、息和基礎(chǔ)設(shè)施的保護(hù)，對(duì)跨組織邊界的網(wǎng)絡(luò)的格外關(guān)注；對(duì)于通過(guò)公共網(wǎng)絡(luò)的敏感信息要有額外的控制措施。 防止資產(chǎn)損失和商業(yè)活動(dòng)的中斷。對(duì)各種媒體都應(yīng)該加以管理，并且給與物理上保護(hù)。 防止丟失、修改或誤用組織之間交換的信息，對(duì)組織之間信息和軟件的交換進(jìn)行控制，并建立流程和標(biāo)準(zhǔn)來(lái)保護(hù)傳輸中的信息和媒體?？刂萍?xì)則訪問(wèn)控制：目標(biāo)：控制對(duì)信息的訪問(wèn)內(nèi)容包括：按訪問(wèn)控制的商務(wù)要求，控制信息訪問(wèn)加強(qiáng)用戶訪問(wèn)管理，防非授權(quán)訪問(wèn)明確用戶職責(zé)，防非授權(quán)的用戶訪問(wèn)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，保護(hù)網(wǎng)絡(luò)服務(wù)程序加強(qiáng)OS訪問(wèn)控制，防非授權(quán)計(jì)算機(jī)訪問(wèn)加強(qiáng)應(yīng)用訪問(wèn)控制，防非授權(quán)訪問(wèn)系統(tǒng)中的信息通過(guò)監(jiān)控系統(tǒng)的訪問(wèn)與使用，監(jiān)測(cè)非授權(quán)行為在移動(dòng)式

30、計(jì)算和電傳工作方面，確保使用移動(dòng)式計(jì)算和電傳工作設(shè)施的信息安全。41控制細(xì)則系統(tǒng)開(kāi)發(fā)與維護(hù)：目標(biāo)：保證系統(tǒng)開(kāi)發(fā)與維護(hù)的安全內(nèi)容包括：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部分加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性、可靠性或完整性加強(qiáng)系統(tǒng)文件的安全，確保IT方案及其支持活動(dòng)以安全的方式進(jìn)行；加強(qiáng)開(kāi)發(fā)與支持過(guò)程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全。42控制細(xì)則商務(wù)連續(xù)性管理：目標(biāo)：防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響內(nèi)容包括：通過(guò)預(yù)防與恢復(fù)的控制性措施可以使可能受到的災(zāi)難或安全故障所產(chǎn)生的破壞減少到可以接受的程度。分析災(zāi)難、安全事故和服

31、務(wù)丟失產(chǎn)生的后果，制定和實(shí)施偶然事故計(jì)劃、確保業(yè)務(wù)過(guò)程在要求的時(shí)間內(nèi)恢復(fù)。識(shí)別和減少風(fēng)險(xiǎn)，限制破壞性事件的后果，確保主要操作的及時(shí)迅速恢復(fù)，以及保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程遭到主要故障或?yàn)?zāi)難的影響。43控制細(xì)則符合性目標(biāo)：防止任何違反法令、法規(guī)、合同約定及其他安全要求的行為。內(nèi)容包括：對(duì)信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理應(yīng)該符合法律、法規(guī)和合同的安全要求。確保系統(tǒng)符合組織的安全策略和標(biāo)準(zhǔn)，定期檢查信息系統(tǒng)的安全性。將系統(tǒng)審核過(guò)程的利益最大化，將干擾最小化。44四、基于等級(jí)保護(hù)的信息安全管理體系中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例1994年2月18日，國(guó)務(wù)院令147號(hào)。提出了等級(jí)保護(hù)思想，“計(jì)算機(jī)信息系統(tǒng)

32、實(shí)行等級(jí)保護(hù)”國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）（2003年8月26日）“綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”454.1 等級(jí)保護(hù)概述等級(jí)保護(hù)含義指根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)的安全保護(hù)要求和成本開(kāi)銷等因素，將其劃分成不同的安全保護(hù)等級(jí)，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。等級(jí)保護(hù)基本原則重點(diǎn)保護(hù)原則“誰(shuí)主管、誰(shuí)負(fù)責(zé)”原則分區(qū)域保護(hù)原則根據(jù)各地區(qū)、各行業(yè)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平，

33、分類、分級(jí)、分階段進(jìn)行實(shí)施，通過(guò)劃分不同安全保護(hù)等級(jí)的區(qū)域，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。同步建設(shè)、動(dòng)態(tài)調(diào)整46安全等級(jí)劃分關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）規(guī)定，按5個(gè)安全等級(jí)管理第一級(jí)自主保護(hù)級(jí)適用于一般，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益產(chǎn)生一定的影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。第二級(jí)指導(dǎo)保護(hù)級(jí)適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息與信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。第三級(jí)監(jiān)督保護(hù)級(jí)適用涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息與信息系統(tǒng)，其受到破壞后，會(huì)對(duì)

34、國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。第四級(jí)強(qiáng)制保護(hù)級(jí)適用涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息與信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。第五級(jí)?？乇Ｗo(hù)級(jí)適用涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息與信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。474.2 等級(jí)保護(hù)的實(shí)施方法與過(guò)程實(shí)施方法安全定級(jí)基本安全要求分析：對(duì)應(yīng)標(biāo)準(zhǔn)，分析檢查系統(tǒng)的基本安全要求系統(tǒng)特定安全要求分析風(fēng)險(xiǎn)評(píng)估改進(jìn)和選擇安全措施實(shí)施安全保護(hù)措施48等級(jí)保護(hù)實(shí)施過(guò)程定級(jí)階段總體定級(jí)與子系統(tǒng)定級(jí)規(guī)劃與設(shè)

35、計(jì)階段實(shí)施、等級(jí)評(píng)估與改進(jìn)階段49系統(tǒng)識(shí)別與描述等級(jí)確定系統(tǒng)分域保護(hù)框架建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計(jì)安全措施實(shí)施評(píng)審驗(yàn)收符合等級(jí)保護(hù)要求？運(yùn)行監(jiān)控與改進(jìn)符合等級(jí)保護(hù)要求？實(shí)施、評(píng)審與改進(jìn)規(guī)劃與設(shè)計(jì)定級(jí)否否是是監(jiān)控系統(tǒng)的變化和系統(tǒng)安全風(fēng)險(xiǎn)的變化，評(píng)估系統(tǒng)的安全狀況。如評(píng)估后發(fā)現(xiàn)系統(tǒng)及其風(fēng)險(xiǎn)環(huán)境已發(fā)生重大變化，新的安全保護(hù)要求與原有的安全等級(jí)已不相適應(yīng)，由應(yīng)進(jìn)行系統(tǒng)重新定級(jí)。如系統(tǒng)僅發(fā)生部分變化，而這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進(jìn)相應(yīng)的安全措施。五、安全風(fēng)險(xiǎn)管理5.1基本概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)：人們對(duì)未來(lái)行為的決策及客觀條件的不確定性而導(dǎo)致的實(shí)際結(jié)果與預(yù)期結(jié)果

36、的偏差的程度。風(fēng)險(xiǎn)具有如下特點(diǎn)：客觀性。不確定性（發(fā)生/程度/何時(shí)/何地）不利性。（對(duì)承擔(dān)者是不利的，做好對(duì)策）可變性。（在一定條件下可以轉(zhuǎn)化。性質(zhì)/大小/一定空間和時(shí)間內(nèi)可以消除/新風(fēng)險(xiǎn)產(chǎn)生等）相對(duì)性。505.1 基本概念風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理：降低風(fēng)險(xiǎn)發(fā)生的概率，或當(dāng)某種風(fēng)險(xiǎn)突然降臨時(shí)，減少損失的管理過(guò)程。風(fēng)險(xiǎn)管理承認(rèn)成功的攻擊將會(huì)存在，如非授權(quán)訪問(wèn)、侵入等。但發(fā)生的可能性和產(chǎn)生后果的嚴(yán)重程度將被限制和控制在最小值，這是風(fēng)險(xiǎn)管理的宗旨。風(fēng)險(xiǎn)管理包括為提供有效的損失預(yù)防方案而進(jìn)行的規(guī)劃、組織、領(lǐng)導(dǎo)、協(xié)調(diào)及控制活動(dòng)。風(fēng)險(xiǎn)管理的意義是使信息系統(tǒng)的主管者和運(yùn)營(yíng)者在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，并

37、最終通過(guò)對(duì)支持其使命的信息系統(tǒng)及數(shù)據(jù)進(jìn)行保護(hù)而提高其生命能力。515.1 基本概念風(fēng)險(xiǎn)管理的循環(huán)過(guò)程風(fēng)險(xiǎn)管理的循環(huán)過(guò)程52系統(tǒng)脆弱性檢查風(fēng)險(xiǎn)等級(jí)審查風(fēng)險(xiǎn)損失評(píng)估報(bào)告安全事件安全制定響應(yīng)計(jì)劃組成響應(yīng)小組事件結(jié)束下一風(fēng)險(xiǎn)風(fēng)險(xiǎn)總結(jié)經(jīng)驗(yàn)結(jié)累系統(tǒng)恢復(fù)正常運(yùn)行確定總體響應(yīng)方案制定補(bǔ)救措施消除或隔離威脅修補(bǔ)漏洞恢復(fù)數(shù)據(jù)向其他部門報(bào)警系統(tǒng)整體檢查5.1 基本概念53風(fēng)險(xiǎn)管理內(nèi)容風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理基于風(fēng)險(xiǎn)的決策評(píng)估信息系統(tǒng)資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件上發(fā)生的可能性以及可能的損失，從而確定信息風(fēng)險(xiǎn)，并判斷風(fēng)險(xiǎn)優(yōu)先級(jí)，建議處理風(fēng)險(xiǎn)的措施?？紤]信息安全措施的成本，選擇合適的方法處理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制

38、在可接受的程度。由信息系統(tǒng)的主管者或運(yùn)營(yíng)者判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)?；谶@一判斷，主管者或運(yùn)營(yíng)者將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。5.1 基本概念風(fēng)險(xiǎn)管理要素及相互關(guān)系基本要素包括：使命、資產(chǎn)、資產(chǎn)價(jià)值、威脅、脆弱性、事件、風(fēng)險(xiǎn)、殘余風(fēng)險(xiǎn)、安全需求、安全措施54使命資產(chǎn)資產(chǎn)價(jià)值安全需求安全措施風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)脆弱性威脅事件演變成殘留被滿足未控制可能誘發(fā)增加導(dǎo)出未被滿足增加暴露擁有增加利用成本抗擊降低依賴5.1 基本概念風(fēng)險(xiǎn)管理的角色與責(zé)任55角色角色責(zé)任責(zé)任國(guó)家信息安全主管機(jī)關(guān)制定信息安全政策、法規(guī)和標(biāo)準(zhǔn)督促檢查和指導(dǎo)各單位的風(fēng)險(xiǎn)管理工作業(yè)務(wù)主管機(jī)關(guān)提出、組織制定并批準(zhǔn)本單位的信息

39、安全風(fēng)險(xiǎn)管理策略領(lǐng)導(dǎo)和組織本單位信息系統(tǒng)安全評(píng)估工作判斷信息系統(tǒng)的殘余風(fēng)險(xiǎn)是否可接受，決定是否批準(zhǔn)信息系統(tǒng)投入運(yùn)行檢查信息系統(tǒng)運(yùn)行中產(chǎn)生的安全狀態(tài)報(bào)告定期或不定期開(kāi)展新的風(fēng)險(xiǎn)評(píng)估工作信息系統(tǒng)擁有者/運(yùn)營(yíng)者制定風(fēng)險(xiǎn)管理策略和安全計(jì)劃，報(bào)上級(jí)審批；組織實(shí)施自評(píng)估工作；配合檢查評(píng)估或委托評(píng)估工作，提供必要文檔資料。向主管機(jī)關(guān)提出風(fēng)險(xiǎn)評(píng)估建議、改善安全措施、處理安全風(fēng)險(xiǎn)5.1 基本概念風(fēng)險(xiǎn)管理的角色與責(zé)任56角色角色責(zé)任責(zé)任信息系統(tǒng)承建者將建設(shè)方案提交給有關(guān)方面進(jìn)行風(fēng)險(xiǎn)分析，并據(jù)結(jié)果修改完善方案；在方案中有效控制風(fēng)險(xiǎn)、規(guī)范建設(shè)，減少在建設(shè)階段引入新的風(fēng)險(xiǎn)。信息安全服務(wù)/集成機(jī)構(gòu)提供獨(dú)立的風(fēng)險(xiǎn)評(píng)估，提出

40、調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對(duì)抗安全威脅，處理風(fēng)險(xiǎn)。保護(hù)評(píng)估中的敏感信息，防止被無(wú)關(guān)人員和單位獲得。使用經(jīng)過(guò)安全測(cè)評(píng)認(rèn)證的產(chǎn)品協(xié)助制定風(fēng)險(xiǎn)管理策略和安全計(jì)劃根據(jù)系統(tǒng)擁有者/運(yùn)營(yíng)者的需求，對(duì)風(fēng)險(xiǎn)進(jìn)行處理信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu)遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風(fēng)險(xiǎn)協(xié)助風(fēng)險(xiǎn)管理工作確定安全邊界在風(fēng)險(xiǎn)評(píng)估中提供必要的資料和資源5.1 基本概念風(fēng)險(xiǎn)管理與其他安全保障的關(guān)系風(fēng)險(xiǎn)管理是信息系統(tǒng)安全保障工作的核心。信息系統(tǒng)的任何保障工作的目的就是處理信息安全風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)可接受。風(fēng)險(xiǎn)管理是一個(gè)在信息系統(tǒng)生命周期各主要階段實(shí)施的連續(xù)性過(guò)程。57生命周期階生命周

41、期階段段階段特征階段特征風(fēng)險(xiǎn)管理工作的支持風(fēng)險(xiǎn)管理工作的支持階段1：系統(tǒng)規(guī)劃與啟動(dòng)提出信息系統(tǒng)目的、需求、規(guī)模和安全要求確定信息系統(tǒng)的安全需求階段2：設(shè)計(jì)開(kāi)發(fā)與采購(gòu)信息系統(tǒng)的設(shè)計(jì)、購(gòu)買、開(kāi)發(fā)或建造對(duì)設(shè)計(jì)進(jìn)行風(fēng)險(xiǎn)評(píng)估，支持后續(xù)的安全分析；可能對(duì)系統(tǒng)體系和設(shè)計(jì)方案進(jìn)行更改階段3：集成實(shí)現(xiàn)實(shí)現(xiàn)信息系統(tǒng)的安全特性，并進(jìn)行測(cè)試與驗(yàn)證通過(guò)風(fēng)險(xiǎn)評(píng)估考察信息系統(tǒng)的安全效果，判斷是否滿足要求，做出相關(guān)決策。階段4：運(yùn)行與維護(hù)系統(tǒng)要不斷修改完善，增加硬軟件，或改變單位的運(yùn)行策略、流程等。在運(yùn)行過(guò)程中出現(xiàn)重大變更時(shí)（增加新功能/接口，外部環(huán)境發(fā)生變化等），要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，處理新產(chǎn)生的風(fēng)險(xiǎn)，并重新判斷是否允許信息

42、系統(tǒng)繼續(xù)運(yùn)行。階段5：廢棄對(duì)信息、硬軟件的廢棄。包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對(duì)軟硬件進(jìn)行的報(bào)廢處理在報(bào)廢或替換系統(tǒng)組件前，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保硬件和軟件的廢棄處置方式是恰當(dāng)?shù)?。此外。還要確保信息系統(tǒng)的升級(jí)換代過(guò)程能夠平穩(wěn)、可靠運(yùn)行。5.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是確定一個(gè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)級(jí)別的過(guò)程，是風(fēng)險(xiǎn)管理的基礎(chǔ)。通過(guò)風(fēng)險(xiǎn)評(píng)估確定系統(tǒng)中的剩余風(fēng)險(xiǎn)，并判斷該風(fēng)險(xiǎn)級(jí)別是否可以接受或需要實(shí)施附加措施來(lái)進(jìn)一步降低。風(fēng)險(xiǎn)取決于威脅發(fā)生的概率和相應(yīng)的影響。585.2 風(fēng)險(xiǎn)評(píng)估59風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別已有安全措施確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有安全措施選擇適當(dāng)?shù)陌踩胧┎⒃u(píng)估殘

43、余風(fēng)險(xiǎn)是否接受殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔否是否是風(fēng)險(xiǎn)分析5.2 風(fēng)險(xiǎn)評(píng)估60資產(chǎn)識(shí)別資產(chǎn)分類：根據(jù)評(píng)估對(duì)象和要求確定。根據(jù)資產(chǎn)表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、 軟件、硬件、文檔、服務(wù)、人員等類資產(chǎn)賦值機(jī)密性賦值完整性賦值可用性賦值極高高中等低可忽略重要性賦值（很高、高、中、低、很低）5.2 風(fēng)險(xiǎn)評(píng)估61威脅識(shí)別威脅分類威脅賦值判斷威脅出現(xiàn)的頻率是威脅識(shí)別的主要工作，評(píng)估者需要綜合考察以下三個(gè)方面，以形成各種威脅出現(xiàn)的頻率：1.以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率統(tǒng)計(jì)；2,通過(guò)測(cè)試工具及日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計(jì)3.近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅

44、及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。（很高、高、中、低、很低）來(lái)源分析：環(huán)境、人為（惡意、誤操作等）軟硬件故障、物理環(huán)境、無(wú)作為或誤操作、管理不到位、惡意代碼和病毒、越權(quán)或?yàn)E用、黑客攻擊、物理攻擊、泄密、篡改、抵賴5.2 風(fēng)險(xiǎn)評(píng)估62脆弱性識(shí)別脆弱性識(shí)別內(nèi)容脆弱性賦值根據(jù)對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)難易程度、脆弱性流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值： 很高被利用將對(duì)資產(chǎn)造成完全損害 高被利用將對(duì)資產(chǎn)造成重大損害 中被利用將對(duì)資產(chǎn)造成一般損害 低被利用將對(duì)資產(chǎn)造成較小損害 很低被利用將對(duì)資產(chǎn)造成的損害可忽略物理環(huán)境方面：GB/T93612000計(jì)算機(jī)場(chǎng)地安全要求OS/DB： GB

45、178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則管理方面：ISO/IEC17799標(biāo)準(zhǔn)類型類型識(shí)別對(duì)象識(shí)別對(duì)象識(shí)別內(nèi)容識(shí)別內(nèi)容技物理環(huán)境機(jī)房防火/供配電/靜電/接地與防雷/電磁防護(hù)/通信線路保護(hù)/機(jī)房區(qū)域防護(hù)/機(jī)房設(shè)備管理術(shù)服務(wù)器（含OS） 物理保護(hù)/用戶帳戶/口令策略/資源共享/事件審計(jì)/訪問(wèn)控制/新系統(tǒng)配置/注冊(cè)表加固/網(wǎng)絡(luò)安全/系統(tǒng)管理等方面進(jìn)行識(shí)別脆網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)/邊界保護(hù)/外部訪問(wèn)控制策略/內(nèi)部訪問(wèn)控制策略/網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別弱數(shù)據(jù)庫(kù)補(bǔ)丁安裝/鑒別機(jī)制/口令/訪問(wèn)控制/網(wǎng)絡(luò)和服務(wù)設(shè)置/備份恢復(fù)機(jī)制/審計(jì)機(jī)制等性應(yīng)用系統(tǒng)審計(jì)機(jī)制/審計(jì)存儲(chǔ)/訪問(wèn)控制策略/數(shù)據(jù)完整

46、性/通信/鑒別機(jī)制/密碼保護(hù)等管理技術(shù)管理物理和環(huán)境安全/通信與操作管理/訪問(wèn)控制/系統(tǒng)開(kāi)發(fā)與維護(hù)/業(yè)務(wù)連續(xù)性脆弱性組織管理安全策略/組織安全/資產(chǎn)分類與控制/人員安全、符合性5.2 風(fēng)險(xiǎn)評(píng)估已有安全措施的確認(rèn)對(duì)有效的安全措施繼續(xù)保持，對(duì)確認(rèn)不合適的安全措施應(yīng)核實(shí)是否應(yīng)被取消，或用更合適的安全措施替代。 預(yù)防性安全措施：降低安全事件發(fā)生可能性安全措施 保護(hù)性安全措施：減少因安全事件發(fā)生對(duì)系統(tǒng)的影響635.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值R（安全事件發(fā)生的可能性，安全事件的損失） R(L(威脅出現(xiàn)頻率，脆弱性),F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度)計(jì)算方法： 矩陣法：安全事件發(fā)生可能性與安全

47、事件損失之間關(guān)系； 相乘法：將安全事件發(fā)生可能性與安全事件損失相乘得到風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)結(jié)果判定64等級(jí)等級(jí)標(biāo)識(shí)標(biāo)識(shí)描述描述5很高發(fā)生將使系統(tǒng)系統(tǒng)遭到非常嚴(yán)重破壞，組織利益非常嚴(yán)重?fù)p失4高發(fā)生將使系統(tǒng)系統(tǒng)遭到嚴(yán)重破壞，組織利益嚴(yán)重?fù)p失3中發(fā)生將使系統(tǒng)系統(tǒng)遭到較重破壞，組織利益受到損失2低發(fā)生將使系統(tǒng)系統(tǒng)遭到一般破壞，組織利益受到一般損失1很低發(fā)生只會(huì)使使系統(tǒng)系統(tǒng)遭到較小破壞5.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估記錄評(píng)估文件記錄要求確保文件發(fā)布前是得到批準(zhǔn)的；確保文件的更改和現(xiàn)行修改狀態(tài)是可識(shí)別的；確保使用時(shí)可獲得有關(guān)版本的適用文件；確保文件的分發(fā)得到適當(dāng)?shù)目刂疲环乐棺鲝U文件的非預(yù)期使用，若因任何目的需保留作廢文件

48、，應(yīng)對(duì)這些文件作適當(dāng)標(biāo)識(shí)；對(duì)于評(píng)估過(guò)程中產(chǎn)生的文件，應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。655.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估文件至少包括評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔。風(fēng)險(xiǎn)評(píng)估計(jì)劃：闡述風(fēng)險(xiǎn)評(píng)估目標(biāo)、范圍、團(tuán)隊(duì)、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等；風(fēng)險(xiǎn)評(píng)估程序：明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文件要求，并準(zhǔn)備實(shí)施評(píng)估需要的文檔；資產(chǎn)識(shí)別清單：清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；重要資產(chǎn)清單：根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；威脅列表：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅名稱、種類來(lái)源、動(dòng)機(jī)及出現(xiàn)的頻率等；665.2

49、風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估文件脆弱性列表：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴(yán)重程度；已有安全措施確認(rèn)表：包括措施名、類型、功能描述及實(shí)施效果；風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明被評(píng)估對(duì)象，風(fēng)險(xiǎn)評(píng)估方法，資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；風(fēng)險(xiǎn)處理計(jì)劃：對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)和措施，明確責(zé)任/進(jìn)度/資源，并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)確保所選擇的安全措施的有效性；風(fēng)險(xiǎn)評(píng)估記錄：記錄對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過(guò)程。675.3 風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理方式包括對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程中建議的安全措施進(jìn)行優(yōu)先級(jí)排序、評(píng)估和實(shí)施

50、。風(fēng)險(xiǎn)處理是一個(gè)系統(tǒng)工程可通過(guò)多種方式實(shí)現(xiàn)：風(fēng)險(xiǎn)承擔(dān)：接受潛在風(fēng)險(xiǎn)，繼續(xù)運(yùn)行系統(tǒng)，不處理風(fēng)險(xiǎn)；風(fēng)險(xiǎn)降低：實(shí)現(xiàn)措施，降低風(fēng)險(xiǎn)（如FW/漏洞掃描系統(tǒng)）風(fēng)險(xiǎn)規(guī)避：不介入風(fēng)險(xiǎn)（如放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）風(fēng)險(xiǎn)轉(zhuǎn)移:使用其它措施來(lái)補(bǔ)償損失，轉(zhuǎn)移風(fēng)險(xiǎn)（如購(gòu)買保險(xiǎn)）685.3 風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理針對(duì)性處理方式以及安全措施有很強(qiáng)的針對(duì)性，必須依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果確定風(fēng)險(xiǎn)處理方式以及具體的安全措施。威脅屬性：威脅主體、能力、資源、動(dòng)機(jī)、途徑、可能性和后果，安全措施可針對(duì)不同的屬性。如：威脅源：物理隔離，使攻擊者無(wú)法訪問(wèn)系統(tǒng)威脅者能力：采用強(qiáng)加密手段威脅者的資源：采用層次化保護(hù)和縱深防御措施，使攻擊者的資源難以支持

51、其突破信息系統(tǒng)的保護(hù)防線；威脅者的途徑：將通信線路和電源線置于墻內(nèi)或天花板內(nèi)其它。695.3 風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理過(guò)程在風(fēng)險(xiǎn)處理的目的是以最小的成本解決最大的風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平。705.3 風(fēng)險(xiǎn)處理711.對(duì)優(yōu)先級(jí)進(jìn)行排序?qū)?yōu)先級(jí)進(jìn)行排序3.實(shí)施成本效益分析實(shí)施成本效益分析2.評(píng)估所建議的安全措評(píng)估所建議的安全措施（可用性施（可用性/有效性）有效性）4.選擇安全措施選擇安全措施5.分配責(zé)任與任務(wù)分配責(zé)任與任務(wù)6.制定安全措施的實(shí)現(xiàn)計(jì)劃制定安全措施的實(shí)現(xiàn)計(jì)劃 風(fēng)險(xiǎn)及級(jí)別風(fēng)險(xiǎn)及級(jí)別 優(yōu)先級(jí)排序后的行動(dòng)優(yōu)先級(jí)排序后的行動(dòng) 建議的安全措施建議的安全措施/選擇的安全措施選擇的安全措施 責(zé)任人責(zé)任人/任務(wù)人員任務(wù)人員 開(kāi)始時(shí)間開(kāi)始時(shí)間/完成時(shí)間完成時(shí)間 維護(hù)要求維護(hù)要求7.實(shí)現(xiàn)所選安全措施實(shí)現(xiàn)所選安全措施來(lái)自風(fēng)險(xiǎn)評(píng)估報(bào)來(lái)自風(fēng)險(xiǎn)評(píng)估報(bào)告的風(fēng)險(xiǎn)級(jí)別告的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告由高到低的行由高到低的行動(dòng)優(yōu)先級(jí)動(dòng)優(yōu)先級(jí)可能的安全措可能的安全措施清單施清單成本效益分析成本效益分析所選擇的安全所選擇的安全措施措施責(zé)任和任務(wù)人責(zé)任和任務(wù)人員清單員清單安全措施實(shí)現(xiàn)安全措施實(shí)現(xiàn)計(jì)劃計(jì)劃殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)5.4 常用的風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)矩陣測(cè)量法事先建立資產(chǎn)價(jià)值/威脅等級(jí)/脆弱性等級(jí)的對(duì)應(yīng)矩陣，然后根據(jù)不同資產(chǎn)的賦值從