信息安全治理和風(fēng)險(xiǎn)管理課件

1、信息安全治理和風(fēng)險(xiǎn)管理Information Security Governance and Risk ManagementCISSP第六版培訓(xùn)課件之一關(guān)鍵知識(shí)領(lǐng)域A. Understand and align security function to goals, mission and objectives of the organization理解安全功能并將其與機(jī)構(gòu)目標(biāo)、使命和宗旨相結(jié)合B. Understand and apply security governance理解并運(yùn)用安全治理B.1 Organizational processes (e.g., acquisitions,

2、 divestitures, governance committees)組織過(guò)程（如收購(gòu)、分拆、治理委員會(huì)）B.2 Security roles and responsibilities安全角色與職責(zé)B.3 Legislative and regulatory compliance法律和監(jiān)管的合規(guī)B.4 Privacy requirements compliance隱私要求的合規(guī)B.5 Control frameworks控制框架B.6 Due care盡職關(guān)注B.7 Due diligence盡職調(diào)查關(guān)鍵知識(shí)領(lǐng)域C. Understand and apply concepts of con

3、fidentiality, integrity and availability理解并運(yùn)用保密性、完整性與可用性的概念D. Develop and implement security policy制定并施行安全政策D.1 Security policies安全政策D.2 Standards/baselines標(biāo)準(zhǔn)/基準(zhǔn)D.3 Procedures程序D.4 Guidelines方針D.5 Documentation文件編制E. Manage the information life cycle (e.g., classification, categorization, and owners

4、hip)管理信息的生命周期（如分類、歸類與所有權(quán)）F. Manage third-party governance (e.g., on-site assessment, document exchange and review, process/policy review)管理第三方治理（如現(xiàn)場(chǎng)評(píng)估、文件交換及審查，過(guò)程/政策審查）關(guān)鍵知識(shí)領(lǐng)域G. Understand and apply risk management concepts理解并運(yùn)用風(fēng)險(xiǎn)管理的概念G.1 Identify threats and vulnerabilities身份識(shí)別的威脅與漏洞G.2 Risk assessme

5、nt/analysis (qualitative, quantitative, hybrid)風(fēng)險(xiǎn)評(píng)估/分析（定性型、定量型、混合型）G.3 Risk assignment/acceptance風(fēng)險(xiǎn)分配/接納G.4 Countermeasure selection對(duì)策選擇G.5 Tangible and intangible asset valuation對(duì)有形資產(chǎn)和無(wú)形資產(chǎn)的評(píng)估H. Manage personnel security管理人員安全H.1 Employment candidate screening (e.g., reference checks, education veri

6、fication)求職者甄選（如證明人核實(shí)、教育背景查證）H.2 Employment agreements and policies雇傭協(xié)議與政策H.3 Employee termination processes員工解雇流程H.4 Vendor, consultant and contractor controls銷售方、顧問(wèn)與承包商控制關(guān)鍵知識(shí)領(lǐng)域I. Develop and manage security education, training and awareness發(fā)展并管理安全教育、安全培訓(xùn)與安全意識(shí)J. Manage the Security Function管理安全功能J.

7、1 Budget預(yù)算J.2 Metrics衡量標(biāo)準(zhǔn)J.3 Resources資源J.4 Develop and implement information security strategies開(kāi)發(fā)并實(shí)施信息安全策略J.5 Assess the completeness and effectiveness of the security program評(píng)估安全項(xiàng)目的完整性與有效性目錄安全基本原則（Fundamental Principles of Security）安全定義（Security Definitions）控制類型（Security Definitions）安全架構(gòu)（Security

8、 Frameworks）安全管理（Security Management）風(fēng)險(xiǎn)管理（Risk Management）風(fēng)險(xiǎn)評(píng)估和分析（Risk Assessment and Analysis ）策略、標(biāo)準(zhǔn)、基線、指南和流程（Policies, Standards, Baselines, Guidelines, and Procedures）信息分級(jí)（Information Classification ）責(zé)任分層（Layers of Responsibility）安全指導(dǎo)委員會(huì)（Security Steering Committee ）安全治理（Security Governance ）安全基本

9、原則Fundamental Principles of Security保密性（Confidentiality） 確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity） 確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔ⅲ３中畔?nèi)部和外部的一致性?？捎眯裕ˋvailability） 確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源。CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：DisclosureAlterationDestruction泄漏破壞篡改安全基本原則

10、可用性（Availability ）確保授權(quán)的用戶能夠及時(shí)、可靠地訪問(wèn)數(shù)據(jù)和資源完整性（Integrity）保證信息和系統(tǒng)的準(zhǔn)確性和可靠性，并禁止對(duì)數(shù)據(jù)的非授權(quán)更改 保密性（Confidentiality）強(qiáng)制實(shí)施了必要的保密級(jí)別，防止為經(jīng)授權(quán)的信息披露肩窺（Shoulder surfing）通過(guò)穿過(guò)別人的肩膀獲取未經(jīng)授權(quán)的信息的一種方法社會(huì)工程（Social engineering）通過(guò)欺騙他人獲取未經(jīng)授權(quán)訪問(wèn)的信息安全基本原則平衡的安全安全定義Security Definitions威脅因素（Threat agent）威脅（Threat ）脆弱性（vulnerability ）風(fēng)險(xiǎn)（Ris

11、k ）資產(chǎn)（Asset ）暴露（exposure）安全措施（Safeguard）Gives rise to引起Exploits利用leads to導(dǎo)致Can damage可以破壺And causes an并且引起Can be counter measured by a能夠被預(yù)防Directly affects直接作用到安全定義脆弱性（vulnerability ）一種軟件、硬件或者過(guò)程缺陷。并可以給攻擊者提供便利，產(chǎn)生未授權(quán)的訪問(wèn)。威脅（ threat ）任何對(duì)信息或系統(tǒng)潛在的威脅風(fēng)險(xiǎn)（risk ）威脅因素利用脆弱性所造成的損失的潛在的可能性。暴露（exposure ）因威脅因素而遭受損失的一

12、個(gè)案例對(duì)策（countermeasure, or safeguard ）可以減輕潛在風(fēng)險(xiǎn)的策略或者安全措施威脅 threat 暴露exposure 脆弱性vulnerability 對(duì)策countermeasure風(fēng)險(xiǎn)risk 控制類型Security Definitions控制類型Control types ：管理控制、技術(shù)控制和物理控制控制功能Control functionalities：威懾Deterrent 挫敗潛在攻擊者。預(yù)防Preventive 防止意外事件發(fā)生。糾正Corrective 事件發(fā)生后修復(fù)。恢復(fù)Recovery 恢復(fù)必要的組件到正常的操作狀態(tài)。檢測(cè)Detective

13、 事件發(fā)生后識(shí)別其行為。補(bǔ)償Compensating 向原來(lái)的控制措施那樣提供類似保護(hù)要。深度防御Defense-in-depth 為使成功滲透和威脅更難實(shí)現(xiàn)而采用多種控制措施。安全架構(gòu)（Security Frameworks）安全框架COSO反舞弊財(cái)務(wù)報(bào)告委員會(huì)發(fā)起組織委員會(huì)（COSO）-成立于1985年，負(fù)責(zé)主持全美反虛假報(bào)告委員會(huì)工作，根據(jù)研究結(jié)果向上市公司及其審計(jì)師、證劵交易委員會(huì)以及其他監(jiān)管機(jī)構(gòu)提出建議。COBITCOBIT 是由IT治理協(xié)會(huì)發(fā)布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT 5框架的支持模塊，使用術(shù)語(yǔ)“管理過(guò)程”代替了原來(lái)的“控制措施”。ITIL信

14、息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ITIL）第3版包括五本書(shū)，涵蓋了服務(wù)管理的整個(gè)生命周期。ISO/IEC 27000ISO/IEC 27000系列標(biāo)準(zhǔn)提供了整個(gè)信息安全管理體系環(huán)境下的信息安全管理、風(fēng)險(xiǎn)和控制的最佳實(shí)踐推薦。ISF信息安全論壇（ISF）-最佳實(shí)踐標(biāo)準(zhǔn)給出了實(shí)踐指南和解決方案來(lái)處理目前影響業(yè)務(wù)信息的大范圍安全挑戰(zhàn)。安全管理（Security Management）信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性。 信息安全管理（Information Security Management

15、）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，其主要活動(dòng)包括：識(shí)別信息資產(chǎn)及相關(guān)風(fēng)險(xiǎn)，采取恰當(dāng)?shù)牟呗院涂刂拼胧┮韵麥p風(fēng)險(xiǎn)，監(jiān)督控制措施有效性，提升人員安全意識(shí)等。 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施。 實(shí)施所選的安全控制措施。提升人員安全意識(shí)。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。信息安全管理模型風(fēng)險(xiǎn)管理（Risk Management）在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受到損壞并給企業(yè)帶來(lái)負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)管理（Risk Management）就是識(shí)別風(fēng)險(xiǎn)、評(píng)

16、估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過(guò)程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。風(fēng)險(xiǎn)管理相關(guān)要素資產(chǎn)（Asset）對(duì)組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識(shí)別出威脅源（Threst source）或威脅代理（Threst agent）。弱點(diǎn)（Vulnerability）也被稱作漏洞或脆弱性，及資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)

17、組帶來(lái)?yè)p害的潛在可能性。可能性（Likelihood）對(duì)威脅發(fā)生幾率（Probability）或頻率（Freqiency）的定性描述。影響（Impact）后果（Consequence），意外事件發(fā)生給組織帶來(lái)的直接或間接的損失或傷害。安全措施（Safeguard）控制（control）或?qū)Σ撸╟ountermeasure），即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（Residl Risk）在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。匹配以下的術(shù)語(yǔ)和定義暴露可能性威脅防護(hù)措施對(duì)策資產(chǎn)攻擊/利用總風(fēng)險(xiǎn)脆弱性威脅來(lái)源/威脅源控制對(duì)組織實(shí)現(xiàn)方向和目標(biāo)有價(jià)值的東西

18、。有可能對(duì)IT系統(tǒng)產(chǎn)生損害的任何環(huán)境或事件。信息或信息系統(tǒng)的潛在危險(xiǎn)。某個(gè)威脅導(dǎo)致?lián)p失的負(fù)面事件的影響，或某次攻擊所導(dǎo)致?lián)p失的數(shù)量。在系統(tǒng)安全程序、設(shè)計(jì)、實(shí)施或內(nèi)部控制方面的缺陷或弱項(xiàng)，可能被執(zhí)行（無(wú)意的或有意的）導(dǎo)致安全違規(guī)或違反系統(tǒng)的安全策略。潛在脆弱性在相關(guān)威脅環(huán)境中利用的概率或幾率。企圖導(dǎo)致?lián)p害的活動(dòng)。威脅源利用信息系統(tǒng)的脆弱性實(shí)現(xiàn)猥褻的行為。保護(hù)系統(tǒng)的行政的、技術(shù)的或物理的措施和活動(dòng)。包括對(duì)策和防護(hù)措施。事后應(yīng)用的控制措施，被動(dòng)性的。事前應(yīng)用的控制措施，主動(dòng)性的。包括威脅、脆弱性和資產(chǎn)價(jià)值的所有因素。風(fēng)險(xiǎn)管理各要素相互關(guān)系Safeguards安全措施Security requirem

19、ent安全需求Protect against防范Met by采取Indicate提出Reduce減少threats威脅vulnerabilities脆弱性Exploit利用Increase導(dǎo)致Increase導(dǎo)致Expose暴露Increase增加Have具有Risk風(fēng)險(xiǎn)Assets資產(chǎn)Assets value資產(chǎn)價(jià)值風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅弱點(diǎn)資產(chǎn)威脅弱點(diǎn)風(fēng)險(xiǎn)管理過(guò)程的邏輯方式Risk風(fēng)險(xiǎn)Threat威脅Vulnerability脆弱性Asset Value資產(chǎn)價(jià)值=Residual Risk殘余風(fēng)險(xiǎn)Threat威脅Vuln

20、erability脆弱性Asset Value資產(chǎn)價(jià)值=（）Control Gap控制差距風(fēng)險(xiǎn)評(píng)估和分析Risk Assessment and Analysis風(fēng)險(xiǎn)評(píng)估（Risk Assessment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的大小或水平的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。主要任務(wù)包括：識(shí)別機(jī)構(gòu)風(fēng)險(xiǎn)的各種因素評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或大小確定組織承受風(fēng)險(xiǎn)的能力確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施包括風(fēng)險(xiǎn)分析（Risk

21、Analysis）和風(fēng)險(xiǎn)評(píng)價(jià)（Risk Evaluation）兩部分，但一般來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析同義。風(fēng)險(xiǎn)評(píng)估一般過(guò)程定量評(píng)估和定性評(píng)估定量風(fēng)險(xiǎn)評(píng)估：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)及其構(gòu)成因素進(jìn)行分析評(píng)估的一種方法。定性風(fēng)險(xiǎn)評(píng)估：憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)。定性風(fēng)險(xiǎn)分析優(yōu)點(diǎn)計(jì)算方式簡(jiǎn)單，易于理解和執(zhí)行不必精確算出資產(chǎn)價(jià)值和威脅頻率不必精確計(jì)算推薦的安全措施的成本流程和報(bào)告形式比較有彈性缺點(diǎn)本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評(píng)估者的經(jīng)驗(yàn)和能力，較難客觀地跟蹤風(fēng)險(xiǎn)管理的效果對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)估參考性較低并不能為安全措施的成本效益分析提供客

22、觀依據(jù)定量風(fēng)險(xiǎn)分析優(yōu)點(diǎn)評(píng)估結(jié)果是建立在獨(dú)立客觀的程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價(jià)值和預(yù)期損失易理解可利用自動(dòng)化工具幫助分析缺點(diǎn)輸入數(shù)據(jù)的可靠性和精確性難以保證沒(méi)有一種標(biāo)準(zhǔn)化的知識(shí)庫(kù)，依賴于提供工具或?qū)嵤┱{(diào)查的廠商信息計(jì)算量大，方法復(fù)雜，費(fèi)時(shí)費(fèi)力定量風(fēng)險(xiǎn)評(píng)估概述對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額。當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化。定量分析有兩個(gè)關(guān)鍵指標(biāo)：事件發(fā)生的頻率（用ARO來(lái)表示）和威脅事件可能引起的損失（用EF來(lái)表示）。理論上講，通

23、過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)，但這有個(gè)前提，那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的。定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過(guò)程又極易出錯(cuò)，這就給分析的細(xì)化帶來(lái)了很大困難。實(shí)際風(fēng)險(xiǎn)分析時(shí)，采用定量分析或者純定量分析方法比較少定量分析基本概念暴露因子（Exposure Factor，EF）特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說(shuō)損失的程度。單一損失期望（Single Loss Expectancy，SLE）或者稱作SOC（Single Occurance Costs），即特定威脅單次發(fā)生可能造成的潛在損失量。年度發(fā)生率（Annualized Rate of O

24、ccurrence，ARO）即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的次數(shù)。年度損失期望（Annualized Loss Expectancy，ALE）或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。定量分析基本過(guò)程識(shí)別資產(chǎn)并為資產(chǎn)賦值；評(píng)估威脅和弱點(diǎn)，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間）；計(jì)算特定威脅發(fā)生的次數(shù)（頻率），即ARO；計(jì)算資產(chǎn)的SLE；計(jì)算資產(chǎn)的ALE。資產(chǎn)價(jià)值（AV）暴露因子（EF）=單一損失期望（SLE）單一損失期望（SLE）年發(fā)生比率（ARO）=ALE（年度損失期望）定量分析舉例假定某公司投資500,0

25、00美元建了一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運(yùn)營(yíng)中心的估計(jì)損失程度是45%。根據(jù)消防部門(mén)推斷，該網(wǎng)絡(luò)運(yùn)營(yíng)中心所在的地區(qū)每5年會(huì)發(fā)生一次火災(zāi)，于是我們得出了ARO為0.20的結(jié)果。基于以上數(shù)據(jù)，該公司網(wǎng)絡(luò)運(yùn)營(yíng)中心的ALE將是45,000美元。AssetThreatAsset ValueEFSLEAROALE網(wǎng)絡(luò)運(yùn)營(yíng)中心火災(zāi)$500,0000.45225,0000.20$45,000Web服務(wù)器電源故障$25,0000.25$6,2500.50$3,125Web數(shù)據(jù)病毒%150,0000.33$50,0002.00$1000,000客戶數(shù)據(jù)泄漏$250,0000.75$18

26、7,5000.66$123,750定性風(fēng)險(xiǎn)評(píng)估概述定性分析方法目前采用最為廣泛，它帶有很強(qiáng)的主觀性，往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)，例如“高”、“中”、“低”三級(jí)。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問(wèn)卷（Questionnaire）、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來(lái)相對(duì)容易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反定性分析沒(méi)有定量分析那樣繁多的計(jì)算

27、負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。識(shí)別信息資產(chǎn)對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全的直接目標(biāo)。劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來(lái)識(shí)別信息資產(chǎn)。信息資產(chǎn)的存在形式多種，物理的、邏輯的、無(wú)形的。 電子數(shù)據(jù)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊(cè)，培訓(xùn)資料，計(jì)劃等。 書(shū)面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開(kāi)發(fā)工具，工具程序。 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施。 人員：承擔(dān)特定職能和責(zé)任的人員或角色。 服務(wù)：計(jì)算和通信服務(wù)，外包服

28、務(wù)，其他技術(shù)性服務(wù)。 組織形象與聲譽(yù)：無(wú)形資產(chǎn)。評(píng)價(jià)信息資產(chǎn)資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮：信息資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成的直接損失信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力組織公眾形象和名譽(yù)上的損失，因業(yè)務(wù)受損導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)降級(jí)而引發(fā)的間接損失其他損失，例如保險(xiǎn)費(fèi)用的增加定性分析時(shí)，我們關(guān)心的是資產(chǎn)對(duì)組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或成果。可以根據(jù)資產(chǎn)的重要性（影響或后果）來(lái)為資產(chǎn)劃分等級(jí)，例如：災(zāi)難性、較大、中等、較小、可忽略應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。識(shí)別并評(píng)估威脅識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨

29、多個(gè)威脅，一個(gè)威脅也可能對(duì)不同資產(chǎn)造成影響。識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，Threat Agent）。威脅通常包括（來(lái)源）： 人員威脅：故意破壞和無(wú)意失誤 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等評(píng)估威脅可能性時(shí)要考慮到威脅源的動(dòng)機(jī)和能力因素（內(nèi)因）。威脅發(fā)生的可能性可以用“高”、“中”、“低”三級(jí)來(lái)衡量。識(shí)別并評(píng)估弱點(diǎn)針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到到可被威脅利用的弱點(diǎn)，包括：技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人的不良習(xí)慣、操作過(guò)程的漏

30、洞管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足弱點(diǎn)的識(shí)別途徑：審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測(cè)試和評(píng)估報(bào)告專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息自動(dòng)化的漏洞掃描工具和滲透測(cè)試評(píng)估弱點(diǎn)時(shí)需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級(jí)來(lái)衡量。資產(chǎn)、威脅及弱點(diǎn)關(guān)系弱點(diǎn)威脅影響的資產(chǎn)沒(méi)有邏輯訪問(wèn)控制蓄意破壞軟件軟件，信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)沒(méi)有應(yīng)急計(jì)劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲(chǔ)介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)風(fēng)險(xiǎn)評(píng)價(jià)之前需要確定兩個(gè)指標(biāo)風(fēng)險(xiǎn)影響： 可以通過(guò)資產(chǎn)的價(jià)值評(píng)估來(lái)確定 分級(jí)方式根據(jù)需要來(lái)定，例如： （1，2，3

31、，4，5），即： （可忽略，較小，中等，較大，災(zāi)難性）風(fēng)險(xiǎn)可能性： 可以通過(guò)威脅可能性、弱點(diǎn)暴露度的評(píng)價(jià)來(lái)綜合得出 需要考慮到現(xiàn)有控制措施的效力（控制措施會(huì)影響對(duì)威脅及弱點(diǎn)的判斷） 分級(jí)方式根據(jù)需要來(lái)定（取決于威脅和弱點(diǎn)的評(píng)價(jià)標(biāo)準(zhǔn)），例如： （1，2，3，4，5），即： （幾乎肯定，很可能，有可能，不太可能，很罕見(jiàn)）對(duì)現(xiàn)有控制措施的考慮從針對(duì)性和實(shí)施方式來(lái)看，控制措施包括三類：管理性（Administrative）：對(duì)系統(tǒng)開(kāi)發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來(lái)保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員

32、職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識(shí)別與認(rèn)證、邏輯訪問(wèn)控制、日志審計(jì)、加密等。從功能來(lái)看，控制措施類型包括：威懾性（Deterrent）預(yù)防性（Preventive）檢測(cè)性（Detective）糾正性（Corrective）風(fēng)險(xiǎn)評(píng)估矩陣可能性影響可忽略 1較小 2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（

33、L）3（L）4（L）5（L）等級(jí)取值范圍名稱描述H25,20High，高風(fēng)險(xiǎn)最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。S12,15,16Significant，嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意。不可接受M6,8,9,10Moderate，中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險(xiǎn)可以通過(guò)例行程序來(lái)處理?？山邮?。定性風(fēng)險(xiǎn)評(píng)估舉例風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問(wèn)題的公司職員有權(quán)獨(dú)立訪問(wèn)高敏感度的信息，他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手。確定風(fēng)險(xiǎn)因子：影響為3（中等）可能性為4（很可能）評(píng)估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為S級(jí)（嚴(yán)重風(fēng)險(xiǎn)）應(yīng)對(duì)風(fēng)險(xiǎn)：根據(jù)公司

34、確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取措施予以消減?？赡苄杂绊懣珊雎?1較小 2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）12（S）確定風(fēng)險(xiǎn)消減策略Risk Mitigation降低風(fēng)險(xiǎn)（Reduce Risk）實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來(lái)的影響，包括：減少威脅：例如，實(shí)施惡意軟件控制程序，減少信

35、息系統(tǒng)惡意軟件攻擊的機(jī)會(huì)減少弱點(diǎn)：例如，通過(guò)安全意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力降低影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份規(guī)避風(fēng)險(xiǎn)（Avoid Risk）或者Rejecting Risk。有時(shí)候，組織可以選擇放棄某些可能引來(lái)風(fēng)險(xiǎn)業(yè)務(wù)或資產(chǎn)，以此來(lái)規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來(lái)自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險(xiǎn)（Transfer Risk）也稱作RiSk Assignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（Accept Risk）在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于 殘留的風(fēng)險(xiǎn)，組織可以選擇接受。選擇控制措施以降低風(fēng)

36、險(xiǎn)選擇安全措施時(shí)首先關(guān)注的是其基本功能，其次還有效力。選擇安全措施（對(duì)策）時(shí)需要進(jìn)行成本效益分析：基本原則：實(shí)施安全措施的代價(jià)不應(yīng)該大于所要保護(hù)資產(chǎn)的價(jià)值對(duì)策成本：購(gòu)買費(fèi)用，對(duì)業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價(jià)值=實(shí)施控制之前的ALE-控制的年成本-實(shí)施控制之后的ALE除了成本效益，還應(yīng)該考慮到以下約束條件：時(shí)間約束，技術(shù)約束，環(huán)境約束法律約束，社會(huì)約束確定所選安全措施的效力，是看實(shí)施新措施之后還有什么殘留風(fēng)險(xiǎn)評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（Residual Risk）。為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘

37、留風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)R0-控制效力R殘留風(fēng)險(xiǎn)Rr可接受的風(fēng)險(xiǎn)Rt對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程其實(shí)就是風(fēng)險(xiǎn)接受的成果。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。殘留風(fēng)險(xiǎn)計(jì)算舉例風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上那個(gè)存在問(wèn)題的公司職員有權(quán)獨(dú)立訪問(wèn)某類高敏感度的信息，他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手。實(shí)施控制之前：影響為3（中等），可能性為4（很可能），風(fēng)險(xiǎn)為12（S級(jí)）。實(shí)施控制之后：影響為3不變，可能性降為1，殘留風(fēng)險(xiǎn)為3（L級(jí)）。應(yīng)對(duì)殘留風(fēng)險(xiǎn)：殘留風(fēng)險(xiǎn)在可接受范圍內(nèi)，說(shuō)明控制措施的應(yīng)用是成功的。可能性影響可忽略 1較小 2中等3較大4災(zāi)難性55，幾乎肯定5（L

38、）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）3（L）策略、標(biāo)準(zhǔn)、基線、指南和流程Policies, Standards, Baselines, Guidelines, and Procedures方針 Policy程序 Procedure標(biāo)準(zhǔn) Standard強(qiáng)制性指南 Guideline建議性基線 Baseline最低標(biāo)準(zhǔn)目標(biāo)要求具體步驟實(shí)現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次策略、標(biāo)準(zhǔn)、基線、指南

39、和流程Policies, Standards, Baselines, Guidelines, and Procedures方針處于策略鏈的最高層次，它是由組織的高級(jí)管理層發(fā)布的、關(guān)于信息安全最一般性的聲明。方針應(yīng)該代表著高級(jí)管理層對(duì)信息安全承擔(dān)責(zé)任的一種承諾。一旦發(fā)布，要求組織成員必須遵守。方針的實(shí)施要依靠標(biāo)準(zhǔn)、指南和程序。標(biāo)準(zhǔn)標(biāo)準(zhǔn)規(guī)定了在組織范圍內(nèi)強(qiáng)制執(zhí)行的對(duì)特定技術(shù)和方法的使用。標(biāo)準(zhǔn)起著驅(qū)動(dòng)方針的作用，標(biāo)準(zhǔn)可以用來(lái)建立方針執(zhí)行的強(qiáng)制機(jī)制。指南類似于標(biāo)準(zhǔn)，也是關(guān)于加強(qiáng)系統(tǒng)安全的方法，但它是建議性的。指南比標(biāo)準(zhǔn)更靈活，考慮到了不同信息系統(tǒng)的特點(diǎn)。指南也可用來(lái)規(guī)定標(biāo)準(zhǔn)的的開(kāi)發(fā)方式，或者保證對(duì)一般

40、性安全原則的遵守。彩虹系列、CC、BS7799等，都可以看作是此類?；€基線建立的是滿足方針要求的最低級(jí)別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的開(kāi)發(fā)通常都是以基線為基礎(chǔ)的，基線可以看作是抽象的簡(jiǎn)單化的標(biāo)準(zhǔn)。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配置。程序是執(zhí)行特定任務(wù)的詳細(xì)步驟。位于策略鏈的最低層次，是實(shí)現(xiàn)方針、標(biāo)準(zhǔn)和指南的詳細(xì)步驟策略的種類規(guī)章性策略用于確保組織機(jī)構(gòu)遵守特定的行業(yè)規(guī)章建立的標(biāo)準(zhǔn)建議性策略強(qiáng)烈推薦雇員在組織機(jī)構(gòu)中應(yīng)該采取的某些行為和活動(dòng)指示性策略告知雇員相關(guān)信息信息分級(jí)（Information Classification ）并

41、不是所有的數(shù)據(jù)都有相同的價(jià)值，不同數(shù)據(jù)的敏感程度也不同，組織需要判斷應(yīng)該投入多少資金和資源去保護(hù)不同的數(shù)據(jù)為此，通過(guò)數(shù)據(jù)分類，識(shí)別最敏感最關(guān)鍵的數(shù)據(jù)，從而對(duì)應(yīng)選擇保護(hù)措施，確保對(duì)cel各類數(shù)據(jù)的保護(hù)達(dá)到合適的水平數(shù)據(jù)分類能夠宣示組織在信息安全保護(hù)方面所做的承諾通過(guò)數(shù)據(jù)分類和實(shí)施恰當(dāng)?shù)谋Ｗo(hù)，可以保證信息資產(chǎn)的CIA政府機(jī)構(gòu)沿用數(shù)據(jù)分類已經(jīng)很久，但主要強(qiáng)調(diào)保密性，側(cè)重于防泄密數(shù)據(jù)分類也是符合隱私或數(shù)據(jù)保護(hù)相關(guān)法律的必要活動(dòng)識(shí)別信息對(duì)篡改的敏感度：以便將注意力集中在完整性控制上識(shí)別需要保護(hù)的機(jī)密性信息的敏感度：理解信息的價(jià)值滿足法律要求信息分級(jí) 根據(jù)信息的用途、價(jià)值、敏感程度等屬性的不同，將信息分為

42、不同的級(jí)別和類別，制定針對(duì)不同級(jí)別和類別的信息安全保護(hù)辦法，這樣在工作中只要正確標(biāo)定和執(zhí)行相關(guān)的保護(hù)措施，就可以比較方便、有效地保障信息的安全傳統(tǒng)上，政府和軍方比較關(guān)注信息的保密性，通常把信息分為絕密（Top Secret）、機(jī)密（Secret）、保密（Confidential）、敏感非保密（Sensitive But Unclassified）、非保密（Unclassified）民間機(jī)構(gòu)對(duì)隱私保護(hù)、完整性、可用性要求比較突出，可以把信息分為保密（Confidential）、私密（Private）、敏感（Sensitive）、公開(kāi)（Public）信息資產(chǎn)應(yīng)由其擁有者（Owner）負(fù)責(zé)確定其保護(hù)

43、級(jí)別，由保管者（Custodian）和使用者（User）應(yīng)遵循與級(jí)別相關(guān)的保護(hù)要求和措施政府機(jī)構(gòu)數(shù)據(jù)分類方案示例類別描述絕密（Top Secret）絕密信息的泄漏會(huì)對(duì)國(guó)家安全造成極大的破壞。在美國(guó)，此等級(jí)對(duì)應(yīng)的只有總統(tǒng)。秘密（Secret）泄漏秘密的數(shù)據(jù)會(huì)給國(guó)家安全造成嚴(yán)重?fù)p害，只是這些信息的敏感程度不如絕密數(shù)據(jù)那么大。機(jī)密（Confidential）通常指那些受法律保護(hù)不得泄漏的數(shù)據(jù)，例如美國(guó)的信息自由法，但此類數(shù)據(jù)并不屬國(guó)家安全數(shù)據(jù)。敏感但非常（Sensitive But Unclassified，SBU）SBU數(shù)據(jù)對(duì)國(guó)家安全并不重要，但泄漏這些數(shù)據(jù)可能會(huì)帶來(lái)某些危害。許多機(jī)構(gòu)將其得到的公

44、民數(shù)據(jù)歸類為SBU，例如保健信息。非密（Unclassified）沒(méi)有進(jìn)行分類或并不敏感的數(shù)據(jù)。此類數(shù)據(jù)的公開(kāi)發(fā)布并不影響保密性。商業(yè)機(jī)構(gòu)數(shù)據(jù)分類方案示例類別描述機(jī)密（Confidential）非常敏感，只應(yīng)內(nèi)部使用。未授權(quán)泄漏將對(duì)公司造成嚴(yán)重的、負(fù)面的影響。例如，有關(guān)新產(chǎn)品開(kāi)發(fā)的信息，商業(yè)秘密，合并談判等。私秘（Private）與個(gè)人相關(guān)的信息，只應(yīng)被公司使用。其泄漏可能對(duì)公司或其職員造成消極影響。例如，薪資和醫(yī)療信息。敏感（Sensitive）此類信息要求比正常數(shù)據(jù)具有更高的分類等級(jí)。要求具有高度的完整性和保密性。公共（Public）類似未分類信息。所有并不適合上述類別的公司信息都?xì)w為此類

45、。公共數(shù)據(jù)是最不敏感的數(shù)據(jù)，如果泄漏，不會(huì)對(duì)公司造成嚴(yán)重或者消極影響。三級(jí)數(shù)據(jù)分類方案示例類別描述（強(qiáng)調(diào)保密性）機(jī)密（Confidential）最敏感的，應(yīng)遵循need-to-know原則內(nèi)部使用（Internal use only）在內(nèi)部傳播是安全的，但不能對(duì)外泄漏公共（Public）公開(kāi)泄漏也沒(méi)關(guān)系類別描述（強(qiáng)調(diào)完整性和可用性）高（High）如果信息遭受破壞，可能帶來(lái)人身傷亡、嚴(yán)重的經(jīng)濟(jì)損失或刑罰中（Medium）如果信息遭受破壞，會(huì)帶來(lái)顯著地經(jīng)濟(jì)損失低（Low）如果信息遭受破壞，只會(huì)造成輕微的損失，需要最少的管理措施來(lái)予以糾正數(shù)據(jù)分類標(biāo)準(zhǔn)價(jià)值（Value）：價(jià)值是最通常的數(shù)據(jù)分類標(biāo)準(zhǔn)，如

46、果信息對(duì)一個(gè)組織或者其競(jìng)爭(zhēng)對(duì)手有價(jià)值，就需要分類壽命（Age）：隨著時(shí)間的推移，信息價(jià)值會(huì)降低，其分類也會(huì)降低。例如，政府部門(mén)，某些分類檔案會(huì)在預(yù)定的時(shí)間期限過(guò)后自動(dòng)解除分類使用期（Useful Life）：如果由于新信息的替代、公司發(fā)生的真實(shí)變化或者其他原因，信息過(guò)時(shí)了，可以對(duì)其解除分類人員關(guān)聯(lián)（Personal Association）：如果信息與特定個(gè)人相關(guān)，或者是法律（比如隱私法）、規(guī)章和責(zé)任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類數(shù)據(jù)分類相關(guān)角色和責(zé)任屬主（Owner）：信息屬主可能是組織的某個(gè)決策者或者管理者，或者部門(mén)負(fù)責(zé)人，或者是信息的創(chuàng)建者，

47、對(duì)必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“due care”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。信息屬主的責(zé)任在于：基于業(yè)務(wù)需求，對(duì)信息分類等級(jí)作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任保管者（Custodian）:受信息屬主委托而負(fù)責(zé)保護(hù)信息，通常由IT系統(tǒng)人員來(lái)承擔(dān)，其職責(zé)包括：定期備份，測(cè)試備份數(shù)據(jù)的有效性；必要時(shí)對(duì)數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來(lái)的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息

48、安全的責(zé)任；用戶必須只將公司的計(jì)算資源用作公司目的，不能做個(gè)人使用分級(jí)控制數(shù)據(jù)分級(jí)措施定義分級(jí)級(jí)別指定確定如何分類數(shù)據(jù)的準(zhǔn)則由數(shù)據(jù)所有者指明負(fù)責(zé)的數(shù)據(jù)的分類任命負(fù)責(zé)維護(hù)數(shù)據(jù)及其安全級(jí)別的數(shù)據(jù)管理員制定每種分類級(jí)別所需的安全控制或保護(hù)機(jī)制記錄上述分類問(wèn)題的例外情況說(shuō)明可用于將信息保管轉(zhuǎn)交給其他數(shù)據(jù)所有者的方法建立一個(gè)定期審查信息分類和所有權(quán)的措施。向數(shù)據(jù)管理員通報(bào)任何變更指明信息解密措施將這些安全問(wèn)題綜合為安全意識(shí)計(jì)劃，讓所有員工都了解如何處理不同分類級(jí)別的數(shù)據(jù)分類數(shù)據(jù)對(duì)外分發(fā)分類信息往往需要對(duì)外分發(fā)，隨即帶來(lái)的隱患應(yīng)該引起注意。以下是一些需要對(duì)外分類信息進(jìn)行分發(fā)的例子：法律程序：為了遵守某些法

49、律程序，分類信息可能需要泄漏出來(lái)政府合同：政府訂約人可能需要根據(jù)與政府項(xiàng)目相關(guān)的采購(gòu)協(xié)議而泄漏分類信息高層批準(zhǔn)：高級(jí)決策層可能授權(quán)向外部實(shí)體或組織發(fā)布分類信息，此類發(fā)布可能要求外部伙伴簽署保密協(xié)議責(zé)任分層（Layers of Responsibility）董事會(huì)（Board of Directors）董事會(huì)由企業(yè)股東選出的一組人員組成，負(fù)責(zé)監(jiān)督企業(yè)憲章的執(zhí)行情況。成立董事會(huì)的是為了確保股東的利益得到保護(hù)，并且企業(yè)能夠平穩(wěn)運(yùn)行。董事會(huì)成員應(yīng)該是沒(méi)有偏見(jiàn)的獨(dú)立個(gè)人，他們負(fù)責(zé)監(jiān)督行政人員在管理公司方面的表現(xiàn)。執(zhí)行管理層（Executive Management）執(zhí)行管理層由頭銜以字母C開(kāi)頭的個(gè)人組成

50、CEO通常由董事會(huì)主席擔(dān)任，是公司內(nèi)地位最高的人。擔(dān)任這個(gè)角色的人負(fù)責(zé)從宏觀絕度監(jiān)督公司的財(cái)務(wù)、戰(zhàn)略規(guī)劃和運(yùn)營(yíng)。CFO（chief financial officer，首席財(cái)務(wù)官）負(fù)責(zé)公司的賬目和財(cái)務(wù)活動(dòng)以及組織機(jī)構(gòu)的總體財(cái)務(wù)結(jié)構(gòu)。他負(fù)責(zé)決定組織機(jī)構(gòu)的財(cái)務(wù)需求，以及如何為這些需求提供資金。執(zhí)行管理層CIO（Chief Information Officer，首席信息官）處于公司組織結(jié)構(gòu)的較低層。根據(jù)企業(yè)結(jié)構(gòu)，他們負(fù)責(zé)向CEO或CFO上報(bào)，并且負(fù)責(zé)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)和技術(shù)的戰(zhàn)略使用與管理。越來(lái)越多的組織機(jī)構(gòu)要求CIO進(jìn)入高級(jí)管理層。CIO的職責(zé)已經(jīng)擴(kuò)展到在業(yè)務(wù)流程管理、收入來(lái)源以及如何利用公司

51、的內(nèi)在技術(shù)實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略方面與CEO（和其他管理層）進(jìn)行合作CPO（Chief Privacy Officer，首席隱私官）是一個(gè)較新的職位，設(shè)立該職位主要是因?yàn)楣驹诒Ｗo(hù)各種類型數(shù)據(jù)方面面臨日益增長(zhǎng)的需求。這個(gè)角色負(fù)責(zé)確?？蛻?、公司和雇員數(shù)據(jù)的安全，避免公司陷入刑事和民事訴訟，并防止公司由于數(shù)據(jù)泄露而登上新聞?lì)^條。這個(gè)職位通常由律師擔(dān)任，并直接參與有關(guān)數(shù)據(jù)的收集、保護(hù)盒將數(shù)據(jù)交付給第三方的策略制訂。執(zhí)行管理層CSO（Chief Security Officer，首席安全官）了解公司面臨的風(fēng)險(xiǎn)和將這些風(fēng)險(xiǎn)緩解至可接受的級(jí)別。這個(gè)角色要了解組織機(jī)構(gòu)的業(yè)務(wù)推動(dòng)了，并為促進(jìn)這些推動(dòng)力而制訂和維護(hù)一個(gè)安

52、全計(jì)劃，同時(shí)還負(fù)責(zé)提供安全、確保遵守大量法律法規(guī)以及滿足客戶需求或合約義務(wù)。安全指導(dǎo)委員會(huì)（Security Steering Committee ）審計(jì)委員會(huì)（Audit Committee）公司財(cái)務(wù)報(bào)表以及向股東和其他人提供的財(cái)務(wù)信息的完整性公司的內(nèi)部控制系統(tǒng)獨(dú)立審計(jì)員的雇傭和表現(xiàn) 內(nèi)部審計(jì)功能實(shí)現(xiàn)遵守與道德有關(guān)的法律要求和公司策略數(shù)據(jù)屬主（Data owners）確定數(shù)據(jù)的分類等級(jí)，確定訪問(wèn)特權(quán)，維護(hù)信息系統(tǒng)中數(shù)據(jù)的正確性和完整性數(shù)據(jù)保管（Data Custodian）負(fù)責(zé)保管系統(tǒng)/數(shù)據(jù)庫(kù)，通常就是網(wǎng)絡(luò)和系統(tǒng)管理人員系統(tǒng)所有者（System Owner）包括網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用等的系

53、統(tǒng)管理員根據(jù)安全管理的要求對(duì)自己所負(fù)責(zé)的系統(tǒng)進(jìn)行日常安全保障安全指導(dǎo)委員會(huì)（Security Steering Committee ）安全管理員（Security Administrator）負(fù)責(zé)實(shí)施、監(jiān)視并執(zhí)行安全規(guī)定和策略各部門(mén)可以設(shè)立自己的安全管理員，負(fù)責(zé)執(zhí)行本部門(mén)安全管理事務(wù)向安全委員會(huì)/信息安全主管報(bào)告安全分析員（Security Analyst）幫助制訂策略、標(biāo)準(zhǔn)和指南，并設(shè)立各種基準(zhǔn)應(yīng)用程序所有者（Application Owner）業(yè)務(wù)部門(mén)經(jīng)理，負(fù)責(zé)規(guī)定哪些人有權(quán)訪問(wèn)他們的應(yīng)用程序監(jiān)督員（Supervisor）也稱為用戶經(jīng)歷，主要負(fù)責(zé)所有用戶活動(dòng)以及由這些用戶建立并擁有的資產(chǎn)安

54、全指導(dǎo)委員會(huì)（Security Steering Committee ）變更控制分析員（Change Control Analyst）負(fù)責(zé)批準(zhǔn)或否決變更網(wǎng)絡(luò)、系統(tǒng)或軟件的請(qǐng)求數(shù)據(jù)分析員（Data Analyst）保證以最佳方式存儲(chǔ)數(shù)據(jù)，從而為需要訪問(wèn)和應(yīng)用數(shù)據(jù)的公司與個(gè)人提供最大的便利流程所有者（Process Owner）負(fù)責(zé)正確定義、改進(jìn)并監(jiān)控這些過(guò)程方案解決商（Solution Provider）用戶（User）具備應(yīng)有的安全意識(shí)遵守安全策略，恰當(dāng)使用信息和系統(tǒng)，通報(bào)安全事件安全指導(dǎo)委員會(huì)（Security Steering Committee ）生產(chǎn)線經(jīng)理（Product Line M

55、anager）審計(jì)員（Auditor）向安全目標(biāo)管理提供獨(dú)立保障檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效安全指導(dǎo)委員會(huì)（Security Steering Committee ）人員安全職責(zé)分離（Separation of duties）不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)。例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易。雙重控制：開(kāi)發(fā)/生產(chǎn)；安全管理/審計(jì)；加密密鑰管理/密鑰更改。知識(shí)分割：加密密鑰分成兩個(gè)組件，任何一個(gè)都不會(huì)泄漏另一個(gè)。工作輪換（Job rotation）不允許某人過(guò)長(zhǎng)時(shí)間地?fù)?dān)任某個(gè)固定的職位，其

56、目的是避免個(gè)人獲得過(guò)多的控制。設(shè)置人員備份，有利于交叉培訓(xùn)，有利于發(fā)現(xiàn)欺詐行為。強(qiáng)制度假（Mandatory vacation）要求擔(dān)任敏感職位的人員度假。讓某些職員離開(kāi)崗位一段時(shí)間，其他人就能介入并檢查其疏漏安全指導(dǎo)委員會(huì)（Security Steering Committee ）人員離職（Termination）人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí)解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前使用標(biāo)準(zhǔn)的檢查列表（Checklist）來(lái)實(shí)施離職訪談離職者需在陪同下清理個(gè)人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時(shí)，立即消除離職者的訪問(wèn)權(quán)限，包括：解除對(duì)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問(wèn)權(quán)解除電話，注銷電子郵箱，鎖定Internet賬號(hào) 通知外部伙伴或客戶，聲明此人已離職背景檢查（Background Check）背景檢查是工作申請(qǐng)過(guò)程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)人簡(jiǎn)歷中的基本信息?？梢酝ㄟ^(guò)Reference Check來(lái)了解其真實(shí)履歷。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過(guò)程中，組織可以請(qǐng)求訪問(wèn)申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)