第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件

第4章安全規(guī)劃學(xué)習(xí)目標(biāo)：管理人員在信息安全政策、標(biāo)準(zhǔn)、實(shí)踐、過(guò)程及方針的發(fā)展、維護(hù)和實(shí)施中的作用。英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂的《信息安全管理標(biāo)準(zhǔn)》（BS7799）。安全管理策略的制定與實(shí)施以及制定和實(shí)施安全策略時(shí)要注意的問(wèn)題。機(jī)構(gòu)如何通過(guò)教育、培訓(xùn)和意識(shí)提升計(jì)劃，使它的政策、標(biāo)準(zhǔn)和實(shí)踐制度化。什么是意外事故計(jì)劃，它與事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)持續(xù)性計(jì)劃有什么關(guān)系。

第4章安全規(guī)劃1

4.1引言

要建立信息安全計(jì)劃，應(yīng)首先建立和檢查機(jī)構(gòu)的信息安全政策和程序，然后，選擇或建立信息安全體系結(jié)構(gòu)，開(kāi)發(fā)和使用詳細(xì)的信息安全藍(lán)本，為將來(lái)的成功制定計(jì)劃。機(jī)構(gòu)的信息安全藍(lán)本只有與信息安全政策相互配合，才能起作用。沒(méi)有政策、藍(lán)本和計(jì)劃，機(jī)構(gòu)就不能滿(mǎn)足各個(gè)利益團(tuán)體的信息安全需求。在現(xiàn)代機(jī)構(gòu)中，計(jì)劃的作用無(wú)論怎樣強(qiáng)調(diào)都不過(guò)分。除了最小的機(jī)構(gòu)之外，其他機(jī)構(gòu)都承擔(dān)著制定計(jì)劃的任務(wù)：管理資源分配的策略計(jì)劃和為商業(yè)環(huán)境的不確定做準(zhǔn)備的意外事故計(jì)劃。

4.1引言2

4.2信息安全政策與程序4.2.1為什么要制定安全政策與程序在當(dāng)今快速發(fā)展的信息社會(huì)中，由信息技術(shù)支持的業(yè)務(wù)活動(dòng)在技術(shù)、環(huán)境、管理等方面的脆弱性在不斷增加，組織業(yè)務(wù)信息的安全性與業(yè)務(wù)持續(xù)性面臨著各種各樣的威脅，在保障組織正常運(yùn)營(yíng)的過(guò)程中，信息安全充當(dāng)著極其重要的角色。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件3

在國(guó)內(nèi)，大部分企業(yè)對(duì)信息安全的理解還只停留在技術(shù)層面上，以為企業(yè)外部網(wǎng)建立了防火墻能防黑客，內(nèi)部網(wǎng)能殺病毒就達(dá)到安全要求了。最近國(guó)內(nèi)的幾次安全事件，如亞信的電信方案被盜版，華為與美國(guó)思科及上海滬科的知識(shí)產(chǎn)權(quán)訴訟案都生動(dòng)地告訴我們，在信息安全中最活躍的因素是人，人的因素比技術(shù)因素更重要。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件4為更有效地實(shí)施信息安全政策，需要制定詳細(xì)的執(zhí)行程序。例如，防范惡意軟件的安全政策就需要建立一套完整的防范惡意軟件的控制程序。安全程序是保障信息安全政策能有效實(shí)施的、具體化的、過(guò)程性的措施，是信息安全政策從抽象到具體，從宏觀(guān)管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。為更有效地實(shí)施信息安全政策，需要制定詳細(xì)的執(zhí)行程序。例如，防5

4.2.2什么是信息安全政策與程序1．安全政策的內(nèi)容信息安全政策從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目的就是對(duì)組織中的成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶(hù)在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任，詳細(xì)描述對(duì)員工的安全意識(shí)與技能要求，列出被組織禁止的行為。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件6

建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)信息系統(tǒng)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。（1）安全政策涉及的問(wèn)題制定政策是規(guī)范各種保護(hù)組織信息資源的安全活動(dòng)的重要一步，安全政策可以由組織中的安全負(fù)責(zé)人、業(yè)務(wù)人員、信息系統(tǒng)專(zhuān)家等制訂，但最終都必須由組織的高級(jí)管理人員批準(zhǔn)和發(fā)布。一個(gè)好的安全政策應(yīng)當(dāng)能解決如下所示問(wèn)題：敏感信息如何被處理?如何正確地維護(hù)用戶(hù)身份與口令，以及其他賬號(hào)信息?如何對(duì)潛在的安全事件、入侵企圖進(jìn)行響應(yīng)?怎樣以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?怎樣正確使用電子郵件系統(tǒng)?第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件7

（2）信息安全政策的層次信息安全政策可以分為兩個(gè)層次，一個(gè)是信息安全方針，另一個(gè)是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，但至少應(yīng)包括以下內(nèi)容：信息安全的定義，總體目標(biāo)、范圍，安全對(duì)信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律、法規(guī)要求對(duì)組織的重要性；信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故。具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，為保證控制措施的有效執(zhí)行而制定的明確具體的信息安全實(shí)施規(guī)則。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件8

信息安全中一般有3種政策：企業(yè)信息安全政策（Enterpriseinformationsecuritypolicy,EISP）特定問(wèn)題安全政策（Anissue-specificsecuritypolicy,ISSP）特定系統(tǒng)政策（System-specificpolicies,SysSP）下面將具體介紹一下每種政策。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件9

企業(yè)信息安全政策（EISP）。企業(yè)信息安全政策（EISP）也稱(chēng)為一般安全政策、IT安全政策和信息安全政策。EISP基于機(jī)構(gòu)的任務(wù)、構(gòu)想和方向，并直接支持它們。EISP為所有的安全工作制定戰(zhàn)略方向、范圍以及基調(diào)。它是一個(gè)行政級(jí)別的文件，通常由機(jī)構(gòu)的首席信息官來(lái)起草，并由首席信息官協(xié)調(diào)。

EISP指導(dǎo)安全計(jì)劃的發(fā)展、實(shí)施和管理。EISP一般遵循以下兩個(gè)范圍：確保滿(mǎn)足建立計(jì)劃的要求，并給機(jī)構(gòu)的各個(gè)部門(mén)分配職責(zé)；使用特定的處罰以及采取處罰性措施。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件10

特定問(wèn)題安全政策（ISSP）：在使用特定的技術(shù)時(shí)（如電子郵件、因特網(wǎng)）所定義的可被接受的行為規(guī)則。一般而言，特定問(wèn)題安全政策涉及下面的特定技術(shù)領(lǐng)域：電子郵件因特網(wǎng)的使用防御蠕蟲(chóng)和病毒時(shí)計(jì)算機(jī)的最低配置禁止攻擊或者測(cè)試機(jī)構(gòu)的安全控制在家中使用公司的計(jì)算機(jī)設(shè)備在公司網(wǎng)絡(luò)上使用個(gè)人設(shè)備電訊技術(shù)的使用（傳真和電話(huà)）影印設(shè)備的使用在機(jī)構(gòu)內(nèi)部制定和管理ISSP時(shí)，可以采用許多方法。最常見(jiàn)的是建立下列3種ISSP文件：獨(dú)立的ISSP文件，每份文件針對(duì)一個(gè)特定問(wèn)題。一個(gè)包括所有問(wèn)題的全面的ISSP文件。一個(gè)模塊化ISSP文檔，它統(tǒng)一了政策的制定和管理，并考慮了每個(gè)特定問(wèn)題的需求。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件11

圖4-1一個(gè)ISSP例子提綱有效電訊使用政策的思考1．政策綜述范圍和適用性使用技術(shù)的定義責(zé)任2．設(shè)備的授權(quán)訪(fǎng)問(wèn)和使用用戶(hù)訪(fǎng)問(wèn)合理并負(fù)責(zé)的使用隱私的保護(hù)3．設(shè)備的禁止使用破壞性的使用或者濫用與犯罪有關(guān)的使用攻擊性和擾亂性材料版權(quán)、許可，或者其他知識(shí)產(chǎn)權(quán)

圖4-1一個(gè)ISSP例子提綱12

4．系統(tǒng)管理（1）存儲(chǔ)資料的管理（2）雇主監(jiān)視（3）病毒防護(hù)（4）加密5．政策的違反（1）報(bào)告違反行為的過(guò)程（2）違反行為的懲罰6．政策檢查及修改（1）政策預(yù)定的檢查以及修改的步驟7．責(zé)任限制（1）責(zé)任或者拒絕的聲明第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件13

特定系統(tǒng)政策（SysSP）：它實(shí)際上是采用技術(shù)或管理措施來(lái)控制設(shè)備的配置。例如，訪(fǎng)問(wèn)控制列表就是這種政策，它定義了對(duì)某個(gè)特殊設(shè)備的訪(fǎng)問(wèn)權(quán)限。特定系統(tǒng)政策可以分成兩個(gè)普通的類(lèi)別：訪(fǎng)問(wèn)控制列表（ACL）。配置規(guī)則。配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行?；谝?guī)則的策略比ACL規(guī)定得更為詳細(xì)，并且他們可以和用戶(hù)直接交涉，也可以不和用戶(hù)直接交涉。一些安全系統(tǒng)要求特定的配置腳本，這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。例如，防火墻、入侵監(jiān)測(cè)系統(tǒng)（IDSs）和代理服務(wù)器。

第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件14

2．安全程序的內(nèi)容程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法。程序可以形成文件，也可以不形成文件，為確保信息安全管理活動(dòng)的有效性，信息安全管理體系程序通常要求形成文件。（1）安全程序的組成信息安全管理程序包括兩部分：一是實(shí)施控制目標(biāo)與控制方式的安全控制程序（例如信息處置與儲(chǔ)存程序），另一部分是為覆蓋信息安全管理體系的管理與運(yùn)作的程序（例如：風(fēng)險(xiǎn)評(píng)估與管理程序。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件15

（2）安全程序涉及的問(wèn)題程序文件的內(nèi)容通常包括：活動(dòng)的目的與范圍（Why）、做什么（What）、誰(shuí)來(lái)做（Who）、何時(shí)（When）、何地（Where）、如何做（How），應(yīng)使用什么樣的材料、設(shè)備和文件，如何對(duì)活動(dòng)進(jìn)行控制和記錄，即人們常說(shuō)的“5W1H”。在編寫(xiě)程序文件時(shí)，應(yīng)遵循下列原則：程序文件一般不涉及純技術(shù)性的細(xì)節(jié)，細(xì)節(jié)通常在工作指令或作業(yè)指導(dǎo)書(shū)中規(guī)定。程序文件應(yīng)簡(jiǎn)練、明確和易懂，使其具有可操作性和可檢查性。程序文件應(yīng)具有統(tǒng)一的結(jié)構(gòu)與格式編排，便于文件的理解與使用。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件16第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件17

4.2.3安全政策與程序的格式1．安全方針的格式安全方針屬于高層管理文件，簡(jiǎn)要陳述信息安全宏觀(guān)需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。例如：一個(gè)通用的方針格式，如表4-1所示。

2．安全策略的格式信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)，安全策略的格式如表4-2所示。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件18

3．程序文件的內(nèi)容與格式格式示例見(jiàn)表4-3。4.3信息安全管理標(biāo)準(zhǔn)信息安全管理正在逐步受到安全界的重視，加強(qiáng)信息安全管理被普遍認(rèn)為是解決信息安全問(wèn)題的重要途徑。但由于管理的復(fù)雜性與多樣性，信息安全管理制度的制定和實(shí)施往往與決策者的個(gè)人思路有很大關(guān)系，隨意性較強(qiáng)。信息安全管理也同樣需要一定的標(biāo)準(zhǔn)來(lái)指導(dǎo)。這就是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂并于1999年修訂的《信息安全管理標(biāo)準(zhǔn)》（BS7799）受到空前重視的原因。如今BS7799的一部分已經(jīng)在2000末被采納為國(guó)際標(biāo)準(zhǔn)，以標(biāo)準(zhǔn)號(hào)ISO/IEC17799發(fā)布，全名為《信息安全管理實(shí)施細(xì)則》。我國(guó)很多行業(yè)已經(jīng)在參照BS7799或ISO/IEC17799制定自己的行業(yè)信息安全管理法規(guī)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件19

1．信息安全標(biāo)準(zhǔn)簡(jiǎn)介BS7799主要提供了有效地實(shí)施IT安全管理的建議，介紹了安全管理的方法和程序。用戶(hù)可以參照這個(gè)完整的標(biāo)準(zhǔn)制訂出自己的安全管理計(jì)劃和實(shí)施步驟，為公司發(fā)展、實(shí)施和估量有效的安全管理實(shí)踐提供參考依據(jù)。該標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，是目前英國(guó)最暢銷(xiāo)的標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)包括如下兩部分：BS7799-1：1999《信息安全管理實(shí)施細(xì)則》BS7799-2：1999《信息安全管理體系規(guī)范》其中BS7799-1：1999于2000年12月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO／IEC17799：2000信息技術(shù)信息安全管理實(shí)施細(xì)則。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件20

2．標(biāo)準(zhǔn)的適用范圍BS7799-1-1在該標(biāo)準(zhǔn)中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡(jiǎn)單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀(guān)念。信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。信息安全的涵義主要體現(xiàn)在以下三個(gè)方面：

安全性：確保信息僅可讓授權(quán)獲取的人士訪(fǎng)問(wèn)；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。雖然，實(shí)施細(xì)則中的指南內(nèi)容盡可能趨于全面，并提供一套國(guó)際現(xiàn)行的最佳慣例的安全控制，但是實(shí)施細(xì)則中的控制方法并非適合于每一種情況，也不能將當(dāng)?shù)鼗蚣夹g(shù)方面的限制考慮在內(nèi)，因此它還需指南文件加以補(bǔ)充。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件21BS7799-2：1999《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)組織的需要應(yīng)實(shí)施安全控制的要求。即本標(biāo)準(zhǔn)適用以下情況：組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展。作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。BS7799-2：1999明確提出安全控制要求，BS7799-1：1999對(duì)應(yīng)給出了通用的控制方法（措施），因此可以說(shuō)，BS7799-1：1999為BS7799-2：1999的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，一個(gè)組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件22

3．標(biāo)準(zhǔn)的主要內(nèi)容下面主要以BS7799：1999為例介紹標(biāo)準(zhǔn)的主要內(nèi)容。該標(biāo)準(zhǔn)主要由兩大部分組成：BS7799-1：1999，以及BS7799-2：1999。

（1）第一部分（BS7799-1）簡(jiǎn)介

信息安全管理實(shí)施細(xì)則，是作為國(guó)際信息安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC17799基礎(chǔ)的指導(dǎo)性文件，主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。這一部分包括十大管理要項(xiàng)，三十六個(gè)執(zhí)行目標(biāo)，一百二十七種控制方法，如圖4-2所示。其詳細(xì)內(nèi)容如表4-4所示。

第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件23

（2）第二部分（BS7799-2）簡(jiǎn)介信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤１静糠痔岢隽藨?yīng)該如何建立信息安全管理體系的步驟，如圖4-3所示：

定義信息安全策略信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門(mén)、員工；而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。

24

定義ISMS的范圍ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域構(gòu)架ISMS。進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件25

信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件26

然而，BS7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個(gè)組織單位自身的實(shí)際情況相結(jié)合，構(gòu)架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS7799在標(biāo)準(zhǔn)里描述的所有控制方式并非都適合于每種情況，它不可能將當(dāng)?shù)叵到y(tǒng)、環(huán)境和技術(shù)限制考慮在內(nèi)，也不可能適合一個(gè)組織中的每個(gè)潛在的用戶(hù)，因此，這個(gè)標(biāo)準(zhǔn)還需結(jié)合實(shí)際情況進(jìn)一步加以補(bǔ)充。此外，信息安全管理建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，而風(fēng)險(xiǎn)評(píng)估本身是一個(gè)復(fù)雜的過(guò)程，不同組織面臨不同程度和不同類(lèi)型的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的測(cè)度需要有效的方法支持，因此按照該標(biāo)準(zhǔn)衡量一個(gè)系統(tǒng)還需要一些相關(guān)技術(shù)的配合。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件27

4.4安全管理策略的制定與實(shí)施4.4.1安全管理策略的制定1．理解組織業(yè)務(wù)特征和企業(yè)文化充分了解組織業(yè)務(wù)特征是設(shè)計(jì)安全管理策略的前提，只有了解組織業(yè)務(wù)特征，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出合理的、與組織業(yè)務(wù)目標(biāo)相一致的安全保障措施，定義出技術(shù)與管理相結(jié)合的控制方法，從而制定有效的的安全管理策略和程序。對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中，業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來(lái)，它包括信息／數(shù)據(jù)、軟／硬件、無(wú)形資產(chǎn)、人員及其能力等。安全風(fēng)險(xiǎn)管理理論認(rèn)為，對(duì)業(yè)務(wù)資產(chǎn)的適度保護(hù)對(duì)業(yè)務(wù)的成功至關(guān)重要。要實(shí)現(xiàn)對(duì)業(yè)務(wù)資產(chǎn)的有效保護(hù)，必須要對(duì)資產(chǎn)有很清晰的了解。對(duì)組織文化及員工狀況的了解有助于知道組織中員工的安全意識(shí)、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件28

2．得到管理層的明確支持與承諾要制定一套好的安全管理策略，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個(gè)作用，一是制定的安全管理策略與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全策略時(shí)必要的資金與人力資源的支持，及跨部門(mén)之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件29

3．組建一個(gè)安全策略制定小組安全策略制定小組應(yīng)當(dāng)由以下人員組成：高級(jí)管理人員；信息安全管理人員；負(fù)責(zé)安全政策執(zhí)行的管理人員；熟悉法律事務(wù)的人員；用戶(hù)部門(mén)的人員。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件30

4．確定信息安全整體目標(biāo)描述信息安全宏觀(guān)需求和預(yù)期達(dá)到的目標(biāo)。一個(gè)典型的目標(biāo)是；通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè)的實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供保障。5．確定范圍確定安全管理策略要涉及的范圍，組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域制定安全管理策略，這需要與組織的實(shí)施的信息安全管理體系范圍結(jié)合起來(lái)考慮。

4．確定信息安全整體目標(biāo)31

6．風(fēng)險(xiǎn)評(píng)估與選擇安全控制組織信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估工作是建立安全管理策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個(gè)過(guò)程中，風(fēng)險(xiǎn)評(píng)估工作占了很大的比例，風(fēng)險(xiǎn)評(píng)估的工作質(zhì)量直接影響安全控制的合理選擇和安全政策的完備制定；根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在BS7799-2附錄A中選擇適合組織的控制目標(biāo)與控制方式。組織選擇出適合自己安全需求的控制目標(biāo)與控制方式后，安全策略的制定才有了最直接的依據(jù)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件32

7．起草擬訂安全策略根據(jù)前面風(fēng)險(xiǎn)評(píng)估與選擇安全控制的結(jié)果，起草擬訂安全策略，安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有涉及的內(nèi)容要說(shuō)明原因，根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的策略，表4-5給出了一些常用信息安全策略的示例。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件33

8．評(píng)估安全策略安全策略被制訂出來(lái)后，要進(jìn)行充分的專(zhuān)家評(píng)估和用戶(hù)測(cè)試，以評(píng)審安全策略的完備性、易用性，確定安全策略能否達(dá)到組織所需的安全目標(biāo)?？梢蕴岢鋈缦滤镜膯?wèn)題：安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求？管理層是否己批準(zhǔn)了安全策略，并明確承諾支持策略的實(shí)施？安全策略是否損害了組織、員工及第三方的利益？安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施？安全策略是否滿(mǎn)足組織在各個(gè)方面的安全要求？安全策略是否已傳達(dá)給組織中的員工與相關(guān)利益方，并得到了他們的同意？第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件34

4.4.2安全管理策略的實(shí)施1．安全策略的實(shí)施安全策略通過(guò)測(cè)試評(píng)估后，需要由管理層正式批準(zhǔn)實(shí)施?？梢园寻踩结樑c具體安全策略編制成組織信息安全策略手冊(cè)，然后發(fā)布到組織中的每個(gè)員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。2．策略的持續(xù)改進(jìn)安全策略制定實(shí)施后，并不能“高枕無(wú)憂(yōu)”，組織要定期評(píng)審安全策略，并進(jìn)行持續(xù)改進(jìn)，因?yàn)榻M織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)，組織中的人的思想、觀(guān)念也在不斷的變化，組織要想把風(fēng)險(xiǎn)控制在一個(gè)可以接受的范圍內(nèi)，使之在理論上、標(biāo)準(zhǔn)上及方法上與時(shí)俱進(jìn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件35

4.4.3制定和實(shí)施安全策略時(shí)要注意的問(wèn)題1．控制成本制定與實(shí)施信息安全策略會(huì)有一定的潛在成本，這些成本是由于在起草、評(píng)審、發(fā)布、宣傳過(guò)程中舉辦大量行政與管理活動(dòng)形成的；2．在安全可靠性與業(yè)務(wù)靈活性之間進(jìn)行平衡實(shí)施安全控制在大多數(shù)情況下是對(duì)員工安全行為進(jìn)行約束，對(duì)員工活動(dòng)進(jìn)行限制，但安全策略的執(zhí)行不能影響的業(yè)務(wù)的正常運(yùn)行。因?yàn)檫^(guò)于嚴(yán)格的策略或要求，只會(huì)阻礙安全策略的執(zhí)行，最后大家只好敷衍了事，在安全可靠性與業(yè)務(wù)靈活性之間取得平衡。3．制定合適的人力資源政策通過(guò)人力資源政策，加強(qiáng)對(duì)員工的安全管理，這是執(zhí)行安全策略的有效控制手段。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件36

4．注重企業(yè)安全文化的建設(shè)企業(yè)實(shí)施安全策略目的主要是用管理的強(qiáng)制手段約束被管理者的個(gè)性行為，使其符合管理者的需要。企業(yè)信息安全管理是通過(guò)制定法律、規(guī)范、制度、標(biāo)準(zhǔn)等，約束員工的不安全行為，同時(shí)通過(guò)宣傳教育等手段，使員工學(xué)會(huì)安全的行為，以保證組織信息資產(chǎn)目標(biāo)的實(shí)現(xiàn)。在企業(yè)中開(kāi)展信息安全文化建設(shè)，不應(yīng)該把信息安全文化看作特立獨(dú)行的事務(wù)，。在企業(yè)中也許看不見(jiàn)聽(tīng)不到“安全文化”的詞語(yǔ)，但在各項(xiàng)工作中處處、事事體現(xiàn)安全文化，這才是安全文化建設(shè)的實(shí)質(zhì)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件37

4.5安全教育、培訓(xùn)和意識(shí)提升來(lái)自人員的信息安全威脅，通常是由于安全意識(shí)淡薄、對(duì)信息安全方針不理解或?qū)I(yè)技能不足等原因。為確保人員意識(shí)到信息安全的威脅和隱患，并在他們正常工作時(shí)遵守組織的信息安全方針，需要組織提供必要的信息安全教育與培訓(xùn)。這種教育和培訓(xùn)有時(shí)候要擴(kuò)大到有關(guān)的第三方用戶(hù)。

第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件38

4.5.1安全教育信息安全部的一些員工可能預(yù)先并沒(méi)有信息安全的相關(guān)背景或經(jīng)驗(yàn)，當(dāng)環(huán)境允許并根據(jù)需要，可以鼓勵(lì)他們參加脫產(chǎn)的正式培訓(xùn)。信息安全培訓(xùn)項(xiàng)目必須包括：所有安全專(zhuān)業(yè)人員的信息安全教育需求所有信息技術(shù)專(zhuān)業(yè)人員的必備知識(shí)教育大量的高等教育機(jī)構(gòu)提供了信息安全的正式學(xué)習(xí)課程。不幸的是，最近一次對(duì)這些機(jī)構(gòu)的調(diào)研發(fā)現(xiàn)，大多數(shù)授予學(xué)位（博士或碩士）的高等院校中，計(jì)算機(jī)科學(xué)或信息系統(tǒng)專(zhuān)業(yè)實(shí)際上只包括了少量信息安全方面的課程。雖然一些學(xué)位確實(shí)提供了深入和廣泛的信息安全教育，但是，將來(lái)有志于從事信息安全工作的學(xué)生必須仔細(xì)審核這些高校所提供的課程數(shù)量和課程內(nèi)容。

39

4.5.2安全培訓(xùn)1.培訓(xùn)范圍應(yīng)定期對(duì)從事操作和維護(hù)信息系統(tǒng)的工作人員進(jìn)行培訓(xùn)，包括信息系統(tǒng)安全培訓(xùn)、政策法規(guī)的培訓(xùn)等。人員培訓(xùn)一般可分3個(gè)層次：領(lǐng)導(dǎo)層的計(jì)算機(jī)應(yīng)用管理培訓(xùn)，軟件、硬件技術(shù)人員和應(yīng)用系統(tǒng)管理人員的技術(shù)培訓(xùn)，計(jì)算機(jī)操作員的上崗培訓(xùn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件40

2.培訓(xùn)內(nèi)容（1）法律、制度和道德培訓(xùn)

（2）規(guī)章制度的培訓(xùn)

3.培訓(xùn)技術(shù)對(duì)于一個(gè)成功的培訓(xùn)項(xiàng)目而言，良好的培訓(xùn)方法與培訓(xùn)內(nèi)容同等重要。

（1）傳授方式培訓(xùn)過(guò)程中傳授方式的選擇并不總是以最好的培訓(xùn)效果為唯一標(biāo)準(zhǔn)。通常應(yīng)首先考慮其他因素——最常見(jiàn)的預(yù)算、進(jìn)度表以及組織的需要，表4-6列出了最常見(jiàn)的傳授方式。

（2）挑選培訓(xùn)人員機(jī)構(gòu)為員工提供培訓(xùn)時(shí)，可以利用當(dāng)?shù)氐呐嘤?xùn)項(xiàng)目、繼續(xù)教育部門(mén)或者另外的對(duì)外培訓(xùn)機(jī)構(gòu)。教授有5個(gè)或更多學(xué)生的班級(jí)與給同事們提供友好忠告完全不同，前者需要雇傭有培訓(xùn)經(jīng)驗(yàn)的專(zhuān)家。

2.培訓(xùn)內(nèi)容41

（3）實(shí)施培訓(xùn)根據(jù)上面討論的技術(shù)來(lái)開(kāi)發(fā)自身戰(zhàn)略時(shí)，普遍采用以下7步論：第1步：確定項(xiàng)目的范圍、目的和目標(biāo)；第2步：確定培訓(xùn)；第3步：確定培訓(xùn)對(duì)象；第4步：激發(fā)管理層和員工；第5步：管理項(xiàng)目；第6步：維護(hù)項(xiàng)目；第7步：評(píng)估項(xiàng)目；確定項(xiàng)目范圍、目的和目標(biāo)。培訓(xùn)項(xiàng)目的范圍應(yīng)該是所有與計(jì)算機(jī)系統(tǒng)相關(guān)的人員；除了內(nèi)容廣泛的培訓(xùn)項(xiàng)目外，還應(yīng)制定有針對(duì)性的培訓(xùn)項(xiàng)目；安全培訓(xùn)的目標(biāo)是通過(guò)提高員工的保護(hù)意識(shí)、執(zhí)行能力，增強(qiáng)對(duì)計(jì)算機(jī)的安全責(zé)任感來(lái)加強(qiáng)對(duì)計(jì)算機(jī)資源的保護(hù)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件42

4.5.3安全意識(shí)安全意識(shí)指通過(guò)改變組織的觀(guān)點(diǎn)，讓他們意識(shí)到安全的重要性和沒(méi)有保證安全所帶來(lái)的不利后果，并提醒后繼者。當(dāng)開(kāi)展一個(gè)新的意識(shí)提升項(xiàng)目時(shí)，有一些重要的觀(guān)念要記?。喝思饶苤圃靻?wèn)題又能解決問(wèn)題；盡量少使用技術(shù)術(shù)語(yǔ)，講用戶(hù)理解的語(yǔ)言；至少確定一個(gè)關(guān)鍵學(xué)習(xí)目標(biāo)，清楚地說(shuō)明它，提供充分的細(xì)節(jié)和報(bào)道來(lái)加強(qiáng)學(xué)習(xí)；盡量使事情簡(jiǎn)單，不要喋喋不休地向員工進(jìn)行宣傳；不要用海量信息淹沒(méi)用戶(hù)；幫助用戶(hù)明白他們?cè)谛畔踩械娜蝿?wù)和破壞安全將如何影響他們的工作；利用內(nèi)部通訊介質(zhì)來(lái)傳送消息；使意識(shí)提升項(xiàng)目正規(guī)化，策劃和記錄全部活動(dòng)；盡快提供好的信息。好的安全意識(shí)提升項(xiàng)目應(yīng)該是管理者以身作則，簡(jiǎn)單易懂并且為之付出持續(xù)努力。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件43

（1）員工的行為和意識(shí)

安全意識(shí)培訓(xùn)可以糾正員工所有危害機(jī)構(gòu)信息安全的行為。通過(guò)教導(dǎo)員工怎樣正確地處理信息、應(yīng)用信息，能夠降低偶然損害或者信息破壞的風(fēng)險(xiǎn)性；懲罰性策略主要是想達(dá)到以下效果：?jiǎn)T工害怕懲罰；員工認(rèn)為他們可能被抓??；員工認(rèn)為如果被抓住，他們將被懲罰。如果管理者不樹(shù)立一個(gè)好榜樣，安全意識(shí)培訓(xùn)活動(dòng)可能被破壞。管理者特別是上層管理者沒(méi)有遵循組織的策略將很快被所有員工的行為和活動(dòng)反映出來(lái)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件44

舉個(gè)例子，假設(shè)一個(gè)策略就是所有員工任何時(shí)間在顯眼的位置佩帶統(tǒng)一的徽章。如果一段時(shí)候后員工發(fā)現(xiàn)高級(jí)主管沒(méi)有佩戴徽章，那么逐漸就沒(méi)有人佩戴徽章，而懲罰沒(méi)有佩戴徽章員工的事也會(huì)不了了之。上層管理者對(duì)策略的破壞總是被認(rèn)為缺乏對(duì)策略的支持，因此，如果管理者期望整個(gè)組織都遵循策略，他們就必須做好榜樣。

舉個(gè)例子，假設(shè)一個(gè)策略就是所有員工任何時(shí)間45

（2）員工的責(zé)任有效的意識(shí)培訓(xùn)使得員工能為他們的行為負(fù)責(zé)。在法庭上，“不知者不罪”的辯護(hù)對(duì)觸犯法律的人沒(méi)有什么幫助。全面而適當(dāng)?shù)膫鞑ゲ呗阅軌蚴箚T工順從。適當(dāng)?shù)囊庾R(shí)培訓(xùn)可使策略的傳播和實(shí)施變得更容易。明確地警告員工信息資源的處理不當(dāng)、濫用和誤用將不能被容忍，一個(gè)機(jī)構(gòu)不會(huì)保護(hù)這樣的員工——從而對(duì)薄公堂時(shí)使機(jī)構(gòu)能防止被犯法的員工反咬一口。（3）安全意識(shí)策略安全意識(shí)策略的本質(zhì)是：安全意識(shí)針對(duì)不同的對(duì)象能夠呈現(xiàn)出不同的形式。管理者適當(dāng)?shù)陌踩庾R(shí)能夠在建立組織安全觀(guān)念時(shí)起到關(guān)鍵的作用。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件46

（4）提高安全意識(shí)的方式許多安全意識(shí)用較低的成本就可以獲得，除了時(shí)間和精力之外，并不花費(fèi)資金，安全意識(shí)表現(xiàn)手法包括以下項(xiàng)目：通訊廣告畫(huà)和旗幟演講和會(huì)議基于電腦的培訓(xùn)錄像小冊(cè)子和飛行物小飾物（咖啡杯、鋼筆、鉛筆、T恤衫）布告牌第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件47

4.6持續(xù)性策略管理者的一個(gè)重要任務(wù)是計(jì)劃。IT和信息安全團(tuán)體的管理者通常需要提供策略計(jì)劃，以確保信息系統(tǒng)的持續(xù)可用。但對(duì)于管理者來(lái)說(shuō)，發(fā)生某種形式的攻擊的可能性非常高，無(wú)論是來(lái)自?xún)?nèi)部還是外部，蓄意還是無(wú)意，人為還是非人為，令人討厭還是造成災(zāi)難。因此，機(jī)構(gòu)內(nèi)每個(gè)利益團(tuán)體的管理者都必須準(zhǔn)備好在發(fā)生成功的攻擊時(shí)采取行動(dòng)。對(duì)此類(lèi)事件有許多不同的計(jì)劃：業(yè)務(wù)持續(xù)性計(jì)劃（BCP）、災(zāi)難恢復(fù)計(jì)劃（DRP）、事故響應(yīng)計(jì)劃（IRP）和應(yīng)急計(jì)劃（CP）。在某些機(jī)構(gòu)里，這些計(jì)劃也可看做一個(gè)計(jì)劃。在大型、復(fù)雜的機(jī)構(gòu)里，這些計(jì)劃表示獨(dú)立但相關(guān)的計(jì)劃功能，在范圍、應(yīng)用性和設(shè)計(jì)上不同。

48

應(yīng)急計(jì)劃項(xiàng)目小組所執(zhí)行的主要項(xiàng)目工作模塊如圖4-4所示。下面將對(duì)每一部分具體闡述。威脅和攻擊的識(shí)別業(yè)務(wù)單元分析成功攻擊的場(chǎng)景從屬計(jì)劃分類(lèi)潛在破壞的評(píng)估事故計(jì)劃事故檢測(cè)事故反應(yīng)事故恢復(fù)災(zāi)難恢復(fù)計(jì)劃危機(jī)管理恢復(fù)操作建立持續(xù)性策略操作的持續(xù)性計(jì)劃持續(xù)性管理

應(yīng)急計(jì)劃項(xiàng)目小組所執(zhí)行的主要項(xiàng)目49

圖4-4應(yīng)急計(jì)劃的主要步驟4.6.1業(yè)務(wù)影響分析應(yīng)急計(jì)劃過(guò)程開(kāi)發(fā)的第一階段是業(yè)務(wù)影響分析（BIA）。BIA研究和評(píng)估各種攻擊對(duì)機(jī)構(gòu)產(chǎn)生的影響。BIA在風(fēng)險(xiǎn)評(píng)估過(guò)程停止時(shí)開(kāi)始。它是最初計(jì)劃階段的重要組成部分，因?yàn)樗峁┝嗣總€(gè)攻擊可能對(duì)機(jī)構(gòu)產(chǎn)生的潛在影響的詳細(xì)結(jié)果，可設(shè)計(jì)機(jī)構(gòu)為響應(yīng)攻擊而必須采取的措施，使攻擊所造成的損失達(dá)到最小，并從攻擊結(jié)果中恢復(fù)，返回到正常的操作。

圖4-4應(yīng)急計(jì)劃的主要步驟50

應(yīng)急計(jì)劃小組在下列階段進(jìn)行BIA，這些階段如圖4-4所示：威脅攻擊的識(shí)別和分級(jí)業(yè)務(wù)單元分析攻擊成功場(chǎng)景的開(kāi)發(fā)潛在損壞的評(píng)估從屬計(jì)劃分類(lèi)第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件51

4.6.2事故響應(yīng)計(jì)劃事故響應(yīng)計(jì)劃（IRP）是對(duì)事故的識(shí)別、分類(lèi)和響應(yīng)。事故響應(yīng)計(jì)劃由識(shí)別事故后進(jìn)行的一系列活動(dòng)組成。在制定這樣一個(gè)計(jì)劃前，應(yīng)理解什么是事故。如前所述，事故是對(duì)信息資產(chǎn)的一個(gè)攻擊，它明顯威脅著信息資源的機(jī)密性、完整性和可用性。如果發(fā)生了威脅信息的行為并且已完成，則該行為就界定為一個(gè)事故。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件52

為討論方便，具有下列特征的攻擊才界定為事故：直接面向信息資產(chǎn)具有成功的現(xiàn)實(shí)可能性可威脅信息資源的機(jī)密性、完整性或可用性因此，事故響應(yīng)（IR）是為計(jì)劃、檢測(cè)和改正事故對(duì)信息資產(chǎn)的影響而采取的一系列行動(dòng)。防御措施是有意忽略的，因?yàn)檫@些措施是信息安全的功能，而不是事故響應(yīng)的措施。換言之，事故響應(yīng)主要是事后響應(yīng)，而不是提前防御，除非是為事故響應(yīng)小組準(zhǔn)備響應(yīng)事故而制定的計(jì)劃。事故響應(yīng)由4個(gè)階段組成，這些階段如圖4-4所示：計(jì)劃?rùn)z測(cè)反應(yīng)恢復(fù)

為討論方便，具有下列特征的攻擊才界定53

4.6.3災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃（DRP）是為災(zāi)難（自然或人為）做準(zhǔn)備和從災(zāi)難中恢復(fù)的計(jì)劃。應(yīng)急計(jì)劃小組必須區(qū)分災(zāi)難和事故，但在攻擊發(fā)生前，這是不可能區(qū)分出來(lái)的。一個(gè)事件最初歸類(lèi)為事故，但后來(lái)常常判定為一個(gè)災(zāi)難。此時(shí)，機(jī)構(gòu)可以改變事故的響應(yīng)方式，采取行動(dòng)，確保價(jià)值最高的資產(chǎn)的安全，即使在短期內(nèi)被破壞的風(fēng)險(xiǎn)較大，但仍在較長(zhǎng)時(shí)間內(nèi)保有價(jià)值。另外，災(zāi)難恢復(fù)計(jì)劃的關(guān)鍵一點(diǎn)是恢復(fù)主站點(diǎn)上的操作，使機(jī)構(gòu)運(yùn)轉(zhuǎn)起來(lái)。目標(biāo)是恢復(fù)到災(zāi)難前的狀態(tài)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件54

1．災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃類(lèi)似于事故響應(yīng)計(jì)劃的結(jié)構(gòu)，對(duì)災(zāi)難事件提供詳細(xì)的指導(dǎo)。它按災(zāi)難的類(lèi)型或特性進(jìn)行組織，指定了災(zāi)難期間和之后的恢復(fù)規(guī)程。它也提供參與災(zāi)難恢復(fù)工作的各類(lèi)人員的具體工作和責(zé)任，指出必須通知的人員和部門(mén)。災(zāi)難恢復(fù)計(jì)劃和事故響應(yīng)計(jì)劃一樣必須進(jìn)行測(cè)試，測(cè)試的機(jī)制也相同。

事故響應(yīng)中的許多措施也可應(yīng)用于災(zāi)難的恢復(fù)：必須建立清晰的優(yōu)先次序。必須清晰地指派工作和責(zé)任。必須有人啟動(dòng)警告人員過(guò)程，通知重要人員。要必須有人對(duì)災(zāi)難進(jìn)行歸檔。盡可能減輕災(zāi)難對(duì)機(jī)構(gòu)運(yùn)轉(zhuǎn)的影響。如果每個(gè)人都安全，也通知了所有需要通知的人，就應(yīng)開(kāi)始保護(hù)物理資產(chǎn)。一些人負(fù)責(zé)確保所有的系統(tǒng)都安全地切斷，以免數(shù)據(jù)進(jìn)一步受損。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件55

2．危機(jī)管理災(zāi)難當(dāng)然比事故的規(guī)模更大，更難以處理，但它們的計(jì)劃過(guò)程是一樣的，在許多情況下，計(jì)劃的實(shí)施方式也類(lèi)似。響應(yīng)小組應(yīng)把事故和災(zāi)難區(qū)分開(kāi)。事故響應(yīng)小組一般是從辦公室或家里趕到事故現(xiàn)場(chǎng)，第一步是實(shí)施事故響應(yīng)計(jì)劃，準(zhǔn)備做出反應(yīng)。而災(zāi)難恢復(fù)小組不必翻看標(biāo)記段，就知道他們必須要做的工作。災(zāi)難恢復(fù)人員必須在沒(méi)有任何文檔支持的情況下知道自己應(yīng)做出什么響應(yīng)。這是準(zhǔn)備、培訓(xùn)和預(yù)演才能產(chǎn)生的功效。因此，災(zāi)難恢復(fù)計(jì)劃預(yù)演現(xiàn)在和過(guò)去一樣重要。災(zāi)難期間和之后采取的行動(dòng)稱(chēng)為危機(jī)管理。危機(jī)管理與事故響應(yīng)差別很大。因?yàn)樗紫汝P(guān)注的是所涉及的人，之后才是商務(wù)。災(zāi)難恢復(fù)小組和危機(jī)管理小組必須密切合作。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件56

3．恢復(fù)操作人們對(duì)災(zāi)難的反應(yīng)可能互不相同，所以不可能準(zhǔn)確描述該過(guò)程。因此，每個(gè)機(jī)構(gòu)必須在制定應(yīng)急計(jì)劃之前，研究各種方案，確定如何響應(yīng)。如果災(zāi)難之后物理設(shè)施未受到損害，災(zāi)難恢復(fù)小組就應(yīng)開(kāi)始恢復(fù)系統(tǒng)和數(shù)據(jù)，重建全部操作功能。如果機(jī)構(gòu)的設(shè)備被損壞，必須采取替代措施，直到購(gòu)置了新的設(shè)備為止。當(dāng)災(zāi)難威脅到機(jī)構(gòu)的正常運(yùn)轉(zhuǎn)時(shí)，災(zāi)難恢復(fù)過(guò)程就轉(zhuǎn)化成業(yè)務(wù)持續(xù)性計(jì)劃過(guò)程。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件57

4.6.4業(yè)務(wù)持續(xù)性計(jì)劃當(dāng)災(zāi)難影響到機(jī)構(gòu)的正常運(yùn)轉(zhuǎn)時(shí)，業(yè)務(wù)持續(xù)性計(jì)劃可以重建重要的業(yè)務(wù)功能。如果災(zāi)難致使業(yè)務(wù)在當(dāng)前情況下不能繼續(xù)運(yùn)轉(zhuǎn)，則必須有一個(gè)使業(yè)務(wù)繼續(xù)運(yùn)轉(zhuǎn)的計(jì)劃。不是每項(xiàng)業(yè)務(wù)都需要這樣的計(jì)劃或設(shè)備。一些公司或財(cái)政健全的機(jī)構(gòu)只是停止運(yùn)轉(zhuǎn)，直到恢復(fù)物理設(shè)備為止。但生產(chǎn)和零售等機(jī)構(gòu)不能這樣，因?yàn)樗麄円蕾?lài)于具體的商品，沒(méi)有它們就不能重新運(yùn)轉(zhuǎn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件58

1．開(kāi)發(fā)持續(xù)性程序（BCP）一旦事故響應(yīng)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃準(zhǔn)備就緒，機(jī)構(gòu)就需要購(gòu)置暫時(shí)設(shè)備，在災(zāi)難發(fā)生時(shí)，支持業(yè)務(wù)的持續(xù)運(yùn)轉(zhuǎn)。持續(xù)性程序的開(kāi)發(fā)比事故響應(yīng)計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃要簡(jiǎn)單，因?yàn)樗饕沁x擇持續(xù)性策略，把站外的數(shù)據(jù)存儲(chǔ)和恢復(fù)功能集成到這個(gè)策略中。開(kāi)發(fā)持續(xù)性程序的某些元素已經(jīng)是機(jī)構(gòu)正常運(yùn)轉(zhuǎn)的一部分，如站外備份服務(wù)。其他則需要特別的考慮和協(xié)商。業(yè)務(wù)持續(xù)性計(jì)劃的第一部分在“災(zāi)難恢復(fù)計(jì)劃／開(kāi)發(fā)持續(xù)性程序”聯(lián)合計(jì)劃時(shí)執(zhí)行。確定重要的業(yè)務(wù)功能以及支持這些功能所需要的資源是開(kāi)發(fā)持續(xù)性程序的基礎(chǔ)。當(dāng)災(zāi)難發(fā)生時(shí)，這些功能是第一個(gè)在預(yù)備站點(diǎn)重建的。應(yīng)急計(jì)劃小組需要任命一組人，來(lái)評(píng)估和比較各種可用的預(yù)備站點(diǎn)，推薦應(yīng)選擇和實(shí)行的策略。選中的策略通常涉及某種形式的站外設(shè)備，并定期檢查、配置、保護(hù)和測(cè)試它。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件59

2．持續(xù)性戰(zhàn)略制定業(yè)務(wù)持續(xù)性計(jì)劃時(shí)，有許多策略可供機(jī)構(gòu)選擇。在這些選項(xiàng)中，決定性因素通常是成本。通常有三種互不相同的選項(xiàng)：熱站點(diǎn)、暖站點(diǎn)和冷站點(diǎn)，以及三種共享功能：時(shí)間共享、服務(wù)臺(tái)和共有協(xié)議。

熱站點(diǎn)：熱站點(diǎn)是一個(gè)完全配置好的計(jì)算機(jī)設(shè)備，帶有所有的服務(wù)、通信鏈接和物理設(shè)備操作，包括暖氣和空調(diào)。熱站點(diǎn)復(fù)制計(jì)算資源、外圍設(shè)備、電話(huà)系統(tǒng)、應(yīng)用程序和工作站。暖站點(diǎn)：比熱站點(diǎn)低一級(jí)的是暖站點(diǎn)。暖站點(diǎn)提供與熱站點(diǎn)相同的許多服務(wù)和選項(xiàng)。但它一般不包括公司需要的實(shí)際應(yīng)用程序。冷站點(diǎn)：最后一個(gè)站點(diǎn)選項(xiàng)是冷站點(diǎn)。冷站點(diǎn)只提供初步的服務(wù)和功能，不提供計(jì)算機(jī)硬件或外圍設(shè)備。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件60

時(shí)間共享：三個(gè)共享選項(xiàng)的第一個(gè)是時(shí)間共享。顧名思義，時(shí)間共享是與商務(wù)伙伴或兄弟機(jī)構(gòu)合租的熱站點(diǎn)、暖站點(diǎn)或冷站點(diǎn)。時(shí)間共享允許機(jī)構(gòu)提供災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性選項(xiàng)，同時(shí)降低了整體成本。其優(yōu)點(diǎn)與所選的站點(diǎn)類(lèi)型相同（熱站點(diǎn)、暖站點(diǎn)或冷站點(diǎn)）。主要的缺點(diǎn)是時(shí)間共享中所涉及的多個(gè)機(jī)構(gòu)可能同時(shí)需要某個(gè)設(shè)備。其他缺點(diǎn)包括需要裝備所有相關(guān)機(jī)構(gòu)的設(shè)備和數(shù)據(jù)，協(xié)商時(shí)間共享的安排，如果一方或多方?jīng)Q定取消協(xié)議，或轉(zhuǎn)租其設(shè)備，還要就相關(guān)協(xié)議進(jìn)行協(xié)商。這有些類(lèi)似于一群朋友為合租一套公寓達(dá)成協(xié)議。機(jī)構(gòu)之間最好能保持友好的態(tài)度，因?yàn)樗麄兌加袑?duì)彼此數(shù)據(jù)的物理訪(fǎng)問(wèn)權(quán)。服務(wù)臺(tái)：服務(wù)臺(tái)是一個(gè)提供收費(fèi)服務(wù)的代理。共有協(xié)議：共有協(xié)議是兩個(gè)或多個(gè)機(jī)構(gòu)之間的一個(gè)合同，指定發(fā)生災(zāi)難時(shí)彼此互助的方式。它規(guī)定，每個(gè)機(jī)構(gòu)都有義務(wù)提供必要的設(shè)備、資源和服務(wù)，直到機(jī)構(gòu)可以從災(zāi)難中恢復(fù)為止。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件61

站外災(zāi)難數(shù)據(jù)存儲(chǔ)：為使此類(lèi)站點(diǎn)快速啟動(dòng)和運(yùn)轉(zhuǎn)，機(jī)構(gòu)必須把數(shù)據(jù)移到新站點(diǎn)的系統(tǒng)上。操作的快速啟動(dòng)和運(yùn)轉(zhuǎn)有許多選項(xiàng)可供選擇。有些選項(xiàng)可用于恢復(fù)持續(xù)性之外的其他意圖。其中包括電子拱橋、遠(yuǎn)程日志和數(shù)據(jù)庫(kù)鏡像。電子拱橋：把大批數(shù)據(jù)轉(zhuǎn)移到站外設(shè)備上，稱(chēng)為電子拱橋。這種轉(zhuǎn)移一般通過(guò)租借的線(xiàn)路或收費(fèi)的服務(wù)來(lái)進(jìn)行。接收服務(wù)器在接收到下一個(gè)電子拱橋過(guò)程之前歸檔數(shù)據(jù)。一些災(zāi)難恢復(fù)公司專(zhuān)門(mén)從事電子拱橋服務(wù)。遠(yuǎn)程日志：把實(shí)時(shí)交易轉(zhuǎn)移到站外設(shè)備上，稱(chēng)為遠(yuǎn)程日志。它與電子拱橋的區(qū)別是：只傳輸交易，不傳輸歸檔的數(shù)據(jù)。傳輸是實(shí)時(shí)的。電子拱橋類(lèi)似于傳統(tǒng)的備份，把大量數(shù)據(jù)轉(zhuǎn)移到站外存儲(chǔ)，而遠(yuǎn)程日志包含系統(tǒng)級(jí)的行為，如服務(wù)器容錯(cuò)，把數(shù)據(jù)同時(shí)寫(xiě)入兩個(gè)位置。數(shù)據(jù)庫(kù)鏡像：它改進(jìn)了遠(yuǎn)程日志過(guò)程，不只處理完全相同的實(shí)時(shí)數(shù)據(jù)存儲(chǔ)，而且把遠(yuǎn)程站點(diǎn)的數(shù)據(jù)庫(kù)復(fù)制到多個(gè)服務(wù)器上。它把前面提到的服務(wù)器容錯(cuò)和遠(yuǎn)程日志結(jié)合起來(lái)，同時(shí)寫(xiě)入數(shù)據(jù)庫(kù)的3個(gè)或更多副本。

站外災(zāi)難數(shù)據(jù)存儲(chǔ)：為使此類(lèi)站62

第4章安全規(guī)劃學(xué)習(xí)目標(biāo)：管理人員在信息安全政策、標(biāo)準(zhǔn)、實(shí)踐、過(guò)程及方針的發(fā)展、維護(hù)和實(shí)施中的作用。英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂的《信息安全管理標(biāo)準(zhǔn)》（BS7799）。安全管理策略的制定與實(shí)施以及制定和實(shí)施安全策略時(shí)要注意的問(wèn)題。機(jī)構(gòu)如何通過(guò)教育、培訓(xùn)和意識(shí)提升計(jì)劃，使它的政策、標(biāo)準(zhǔn)和實(shí)踐制度化。什么是意外事故計(jì)劃，它與事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)持續(xù)性計(jì)劃有什么關(guān)系。

第4章安全規(guī)劃63

4.1引言

要建立信息安全計(jì)劃，應(yīng)首先建立和檢查機(jī)構(gòu)的信息安全政策和程序，然后，選擇或建立信息安全體系結(jié)構(gòu)，開(kāi)發(fā)和使用詳細(xì)的信息安全藍(lán)本，為將來(lái)的成功制定計(jì)劃。機(jī)構(gòu)的信息安全藍(lán)本只有與信息安全政策相互配合，才能起作用。沒(méi)有政策、藍(lán)本和計(jì)劃，機(jī)構(gòu)就不能滿(mǎn)足各個(gè)利益團(tuán)體的信息安全需求。在現(xiàn)代機(jī)構(gòu)中，計(jì)劃的作用無(wú)論怎樣強(qiáng)調(diào)都不過(guò)分。除了最小的機(jī)構(gòu)之外，其他機(jī)構(gòu)都承擔(dān)著制定計(jì)劃的任務(wù)：管理資源分配的策略計(jì)劃和為商業(yè)環(huán)境的不確定做準(zhǔn)備的意外事故計(jì)劃。

4.1引言64

4.2信息安全政策與程序4.2.1為什么要制定安全政策與程序在當(dāng)今快速發(fā)展的信息社會(huì)中，由信息技術(shù)支持的業(yè)務(wù)活動(dòng)在技術(shù)、環(huán)境、管理等方面的脆弱性在不斷增加，組織業(yè)務(wù)信息的安全性與業(yè)務(wù)持續(xù)性面臨著各種各樣的威脅，在保障組織正常運(yùn)營(yíng)的過(guò)程中，信息安全充當(dāng)著極其重要的角色。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件65

在國(guó)內(nèi)，大部分企業(yè)對(duì)信息安全的理解還只停留在技術(shù)層面上，以為企業(yè)外部網(wǎng)建立了防火墻能防黑客，內(nèi)部網(wǎng)能殺病毒就達(dá)到安全要求了。最近國(guó)內(nèi)的幾次安全事件，如亞信的電信方案被盜版，華為與美國(guó)思科及上海滬科的知識(shí)產(chǎn)權(quán)訴訟案都生動(dòng)地告訴我們，在信息安全中最活躍的因素是人，人的因素比技術(shù)因素更重要。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件66為更有效地實(shí)施信息安全政策，需要制定詳細(xì)的執(zhí)行程序。例如，防范惡意軟件的安全政策就需要建立一套完整的防范惡意軟件的控制程序。安全程序是保障信息安全政策能有效實(shí)施的、具體化的、過(guò)程性的措施，是信息安全政策從抽象到具體，從宏觀(guān)管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。為更有效地實(shí)施信息安全政策，需要制定詳細(xì)的執(zhí)行程序。例如，防67

4.2.2什么是信息安全政策與程序1．安全政策的內(nèi)容信息安全政策從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目的就是對(duì)組織中的成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶(hù)在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任，詳細(xì)描述對(duì)員工的安全意識(shí)與技能要求，列出被組織禁止的行為。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件68

建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)信息系統(tǒng)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。（1）安全政策涉及的問(wèn)題制定政策是規(guī)范各種保護(hù)組織信息資源的安全活動(dòng)的重要一步，安全政策可以由組織中的安全負(fù)責(zé)人、業(yè)務(wù)人員、信息系統(tǒng)專(zhuān)家等制訂，但最終都必須由組織的高級(jí)管理人員批準(zhǔn)和發(fā)布。一個(gè)好的安全政策應(yīng)當(dāng)能解決如下所示問(wèn)題：敏感信息如何被處理?如何正確地維護(hù)用戶(hù)身份與口令，以及其他賬號(hào)信息?如何對(duì)潛在的安全事件、入侵企圖進(jìn)行響應(yīng)?怎樣以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?怎樣正確使用電子郵件系統(tǒng)?第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件69

（2）信息安全政策的層次信息安全政策可以分為兩個(gè)層次，一個(gè)是信息安全方針，另一個(gè)是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，但至少應(yīng)包括以下內(nèi)容：信息安全的定義，總體目標(biāo)、范圍，安全對(duì)信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律、法規(guī)要求對(duì)組織的重要性；信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故。具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，為保證控制措施的有效執(zhí)行而制定的明確具體的信息安全實(shí)施規(guī)則。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件70

信息安全中一般有3種政策：企業(yè)信息安全政策（Enterpriseinformationsecuritypolicy,EISP）特定問(wèn)題安全政策（Anissue-specificsecuritypolicy,ISSP）特定系統(tǒng)政策（System-specificpolicies,SysSP）下面將具體介紹一下每種政策。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件71

企業(yè)信息安全政策（EISP）。企業(yè)信息安全政策（EISP）也稱(chēng)為一般安全政策、IT安全政策和信息安全政策。EISP基于機(jī)構(gòu)的任務(wù)、構(gòu)想和方向，并直接支持它們。EISP為所有的安全工作制定戰(zhàn)略方向、范圍以及基調(diào)。它是一個(gè)行政級(jí)別的文件，通常由機(jī)構(gòu)的首席信息官來(lái)起草，并由首席信息官協(xié)調(diào)。

EISP指導(dǎo)安全計(jì)劃的發(fā)展、實(shí)施和管理。EISP一般遵循以下兩個(gè)范圍：確保滿(mǎn)足建立計(jì)劃的要求，并給機(jī)構(gòu)的各個(gè)部門(mén)分配職責(zé)；使用特定的處罰以及采取處罰性措施。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件72

特定問(wèn)題安全政策（ISSP）：在使用特定的技術(shù)時(shí)（如電子郵件、因特網(wǎng)）所定義的可被接受的行為規(guī)則。一般而言，特定問(wèn)題安全政策涉及下面的特定技術(shù)領(lǐng)域：電子郵件因特網(wǎng)的使用防御蠕蟲(chóng)和病毒時(shí)計(jì)算機(jī)的最低配置禁止攻擊或者測(cè)試機(jī)構(gòu)的安全控制在家中使用公司的計(jì)算機(jī)設(shè)備在公司網(wǎng)絡(luò)上使用個(gè)人設(shè)備電訊技術(shù)的使用（傳真和電話(huà)）影印設(shè)備的使用在機(jī)構(gòu)內(nèi)部制定和管理ISSP時(shí)，可以采用許多方法。最常見(jiàn)的是建立下列3種ISSP文件：獨(dú)立的ISSP文件，每份文件針對(duì)一個(gè)特定問(wèn)題。一個(gè)包括所有問(wèn)題的全面的ISSP文件。一個(gè)模塊化ISSP文檔，它統(tǒng)一了政策的制定和管理，并考慮了每個(gè)特定問(wèn)題的需求。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件73

圖4-1一個(gè)ISSP例子提綱有效電訊使用政策的思考1．政策綜述范圍和適用性使用技術(shù)的定義責(zé)任2．設(shè)備的授權(quán)訪(fǎng)問(wèn)和使用用戶(hù)訪(fǎng)問(wèn)合理并負(fù)責(zé)的使用隱私的保護(hù)3．設(shè)備的禁止使用破壞性的使用或者濫用與犯罪有關(guān)的使用攻擊性和擾亂性材料版權(quán)、許可，或者其他知識(shí)產(chǎn)權(quán)

圖4-1一個(gè)ISSP例子提綱74

4．系統(tǒng)管理（1）存儲(chǔ)資料的管理（2）雇主監(jiān)視（3）病毒防護(hù)（4）加密5．政策的違反（1）報(bào)告違反行為的過(guò)程（2）違反行為的懲罰6．政策檢查及修改（1）政策預(yù)定的檢查以及修改的步驟7．責(zé)任限制（1）責(zé)任或者拒絕的聲明第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件75

特定系統(tǒng)政策（SysSP）：它實(shí)際上是采用技術(shù)或管理措施來(lái)控制設(shè)備的配置。例如，訪(fǎng)問(wèn)控制列表就是這種政策，它定義了對(duì)某個(gè)特殊設(shè)備的訪(fǎng)問(wèn)權(quán)限。特定系統(tǒng)政策可以分成兩個(gè)普通的類(lèi)別：訪(fǎng)問(wèn)控制列表（ACL）。配置規(guī)則。配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行。基于規(guī)則的策略比ACL規(guī)定得更為詳細(xì)，并且他們可以和用戶(hù)直接交涉，也可以不和用戶(hù)直接交涉。一些安全系統(tǒng)要求特定的配置腳本，這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。例如，防火墻、入侵監(jiān)測(cè)系統(tǒng)（IDSs）和代理服務(wù)器。

第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件76

2．安全程序的內(nèi)容程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法。程序可以形成文件，也可以不形成文件，為確保信息安全管理活動(dòng)的有效性，信息安全管理體系程序通常要求形成文件。（1）安全程序的組成信息安全管理程序包括兩部分：一是實(shí)施控制目標(biāo)與控制方式的安全控制程序（例如信息處置與儲(chǔ)存程序），另一部分是為覆蓋信息安全管理體系的管理與運(yùn)作的程序（例如：風(fēng)險(xiǎn)評(píng)估與管理程序。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件77

（2）安全程序涉及的問(wèn)題程序文件的內(nèi)容通常包括：活動(dòng)的目的與范圍（Why）、做什么（What）、誰(shuí)來(lái)做（Who）、何時(shí)（When）、何地（Where）、如何做（How），應(yīng)使用什么樣的材料、設(shè)備和文件，如何對(duì)活動(dòng)進(jìn)行控制和記錄，即人們常說(shuō)的“5W1H”。在編寫(xiě)程序文件時(shí)，應(yīng)遵循下列原則：程序文件一般不涉及純技術(shù)性的細(xì)節(jié)，細(xì)節(jié)通常在工作指令或作業(yè)指導(dǎo)書(shū)中規(guī)定。程序文件應(yīng)簡(jiǎn)練、明確和易懂，使其具有可操作性和可檢查性。程序文件應(yīng)具有統(tǒng)一的結(jié)構(gòu)與格式編排，便于文件的理解與使用。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件78第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件79

4.2.3安全政策與程序的格式1．安全方針的格式安全方針屬于高層管理文件，簡(jiǎn)要陳述信息安全宏觀(guān)需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。例如：一個(gè)通用的方針格式，如表4-1所示。

2．安全策略的格式信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)，安全策略的格式如表4-2所示。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件80

3．程序文件的內(nèi)容與格式格式示例見(jiàn)表4-3。4.3信息安全管理標(biāo)準(zhǔn)信息安全管理正在逐步受到安全界的重視，加強(qiáng)信息安全管理被普遍認(rèn)為是解決信息安全問(wèn)題的重要途徑。但由于管理的復(fù)雜性與多樣性，信息安全管理制度的制定和實(shí)施往往與決策者的個(gè)人思路有很大關(guān)系，隨意性較強(qiáng)。信息安全管理也同樣需要一定的標(biāo)準(zhǔn)來(lái)指導(dǎo)。這就是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂并于1999年修訂的《信息安全管理標(biāo)準(zhǔn)》（BS7799）受到空前重視的原因。如今BS7799的一部分已經(jīng)在2000末被采納為國(guó)際標(biāo)準(zhǔn)，以標(biāo)準(zhǔn)號(hào)ISO/IEC17799發(fā)布，全名為《信息安全管理實(shí)施細(xì)則》。我國(guó)很多行業(yè)已經(jīng)在參照BS7799或ISO/IEC17799制定自己的行業(yè)信息安全管理法規(guī)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件81

1．信息安全標(biāo)準(zhǔn)簡(jiǎn)介BS7799主要提供了有效地實(shí)施IT安全管理的建議，介紹了安全管理的方法和程序。用戶(hù)可以參照這個(gè)完整的標(biāo)準(zhǔn)制訂出自己的安全管理計(jì)劃和實(shí)施步驟，為公司發(fā)展、實(shí)施和估量有效的安全管理實(shí)踐提供參考依據(jù)。該標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，是目前英國(guó)最暢銷(xiāo)的標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)包括如下兩部分：BS7799-1：1999《信息安全管理實(shí)施細(xì)則》BS7799-2：1999《信息安全管理體系規(guī)范》其中BS7799-1：1999于2000年12月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO／IEC17799：2000信息技術(shù)信息安全管理實(shí)施細(xì)則。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件82

2．標(biāo)準(zhǔn)的適用范圍BS7799-1-1在該標(biāo)準(zhǔn)中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡(jiǎn)單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀(guān)念。信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。信息安全的涵義主要體現(xiàn)在以下三個(gè)方面：

安全性：確保信息僅可讓授權(quán)獲取的人士訪(fǎng)問(wèn)；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。雖然，實(shí)施細(xì)則中的指南內(nèi)容盡可能趨于全面，并提供一套國(guó)際現(xiàn)行的最佳慣例的安全控制，但是實(shí)施細(xì)則中的控制方法并非適合于每一種情況，也不能將當(dāng)?shù)鼗蚣夹g(shù)方面的限制考慮在內(nèi)，因此它還需指南文件加以補(bǔ)充。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件83BS7799-2：1999《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)組織的需要應(yīng)實(shí)施安全控制的要求。即本標(biāo)準(zhǔn)適用以下情況：組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展。作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。BS7799-2：1999明確提出安全控制要求，BS7799-1：1999對(duì)應(yīng)給出了通用的控制方法（措施），因此可以說(shuō)，BS7799-1：1999為BS7799-2：1999的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，一個(gè)組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件84

3．標(biāo)準(zhǔn)的主要內(nèi)容下面主要以BS7799：1999為例介紹標(biāo)準(zhǔn)的主要內(nèi)容。該標(biāo)準(zhǔn)主要由兩大部分組成：BS7799-1：1999，以及BS7799-2：1999。

（1）第一部分（BS7799-1）簡(jiǎn)介

信息安全管理實(shí)施細(xì)則，是作為國(guó)際信息安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC17799基礎(chǔ)的指導(dǎo)性文件，主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。這一部分包括十大管理要項(xiàng)，三十六個(gè)執(zhí)行目標(biāo)，一百二十七種控制方法，如圖4-2所示。其詳細(xì)內(nèi)容如表4-4所示。

第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件85

（2）第二部分（BS7799-2）簡(jiǎn)介信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂?。本部分提出了?yīng)該如何建立信息安全管理體系的步驟，如圖4-3所示：

定義信息安全策略信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門(mén)、員工；而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。

86

定義ISMS的范圍ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域構(gòu)架ISMS。進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件87

信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件88

然而，BS7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個(gè)組織單位自身的實(shí)際情況相結(jié)合，構(gòu)架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS7799在標(biāo)準(zhǔn)里描述的所有控制方式并非都適合于每種情況，它不可能將當(dāng)?shù)叵到y(tǒng)、環(huán)境和技術(shù)限制考慮在內(nèi)，也不可能適合一個(gè)組織中的每個(gè)潛在的用戶(hù)，因此，這個(gè)標(biāo)準(zhǔn)還需結(jié)合實(shí)際情況進(jìn)一步加以補(bǔ)充。此外，信息安全管理建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，而風(fēng)險(xiǎn)評(píng)估本身是一個(gè)復(fù)雜的過(guò)程，不同組織面臨不同程度和不同類(lèi)型的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的測(cè)度需要有效的方法支持，因此按照該標(biāo)準(zhǔn)衡量一個(gè)系統(tǒng)還需要一些相關(guān)技術(shù)的配合。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件89

4.4安全管理策略的制定與實(shí)施4.4.1安全管理策略的制定1．理解組織業(yè)務(wù)特征和企業(yè)文化充分了解組織業(yè)務(wù)特征是設(shè)計(jì)安全管理策略的前提，只有了解組織業(yè)務(wù)特征，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出合理的、與組織業(yè)務(wù)目標(biāo)相一致的安全保障措施，定義出技術(shù)與管理相結(jié)合的控制方法，從而制定有效的的安全管理策略和程序。對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中，業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來(lái)，它包括信息／數(shù)據(jù)、軟／硬件、無(wú)形資產(chǎn)、人員及其能力等。安全風(fēng)險(xiǎn)管理理論認(rèn)為，對(duì)業(yè)務(wù)資產(chǎn)的適度保護(hù)對(duì)業(yè)務(wù)的成功至關(guān)重要。要實(shí)現(xiàn)對(duì)業(yè)務(wù)資產(chǎn)的有效保護(hù)，必須要對(duì)資產(chǎn)有很清晰的了解。對(duì)組織文化及員工狀況的了解有助于知道組織中員工的安全意識(shí)、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件90

2．得到管理層的明確支持與承諾要制定一套好的安全管理策略，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個(gè)作用，一是制定的安全管理策略與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全策略時(shí)必要的資金與人力資源的支持，及跨部門(mén)之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件91

3．組建一個(gè)安全策略制定小組安全策略制定小組應(yīng)當(dāng)由以下人員組成：高級(jí)管理人員；信息安全管理人員；負(fù)責(zé)安全政策執(zhí)行的管理人員；熟悉法律事務(wù)的人員；用戶(hù)部門(mén)的人員。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件92

4．確定信息安全整體目標(biāo)描述信息安全宏觀(guān)需求和預(yù)期達(dá)到的目標(biāo)。一個(gè)典型的目標(biāo)是；通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè)的實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供保障。5．確定范圍確定安全管理策略要涉及的范圍，組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域制定安全管理策略，這需要與組織的實(shí)施的信息安全管理體系范圍結(jié)合起來(lái)考慮。

4．確定信息安全整體目標(biāo)93

6．風(fēng)險(xiǎn)評(píng)估與選擇安全控制組織信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估工作是建立安全管理策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個(gè)過(guò)程中，風(fēng)險(xiǎn)評(píng)估工作占了很大的比例，風(fēng)險(xiǎn)評(píng)估的工作質(zhì)量直接影響安全控制的合理選擇和安全政策的完備制定；根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在BS7799-2附錄A中選擇適合組織的控制目標(biāo)與控制方式。組織選擇出適合自己安全需求的控制目標(biāo)與控制方式后，安全策略的制定才有了最直接的依據(jù)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件94

7．起草擬訂安全策略根據(jù)前面風(fēng)險(xiǎn)評(píng)估與選擇安全控制的結(jié)果，起草擬訂安全策略，安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有涉及的內(nèi)容要說(shuō)明原因，根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的策略，表4-5給出了一些常用信息安全策略的示例。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件95

8．評(píng)估安全策略安全策略被制訂出來(lái)后，要進(jìn)行充分的專(zhuān)家評(píng)估和用戶(hù)測(cè)試，以評(píng)審安全策略的完備性、易用性，確定安全策略能否達(dá)到組織所需的安全目標(biāo)?？梢蕴岢鋈缦滤镜膯?wèn)題：安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求？管理層是否己批準(zhǔn)了安全策略，并明確承諾支持策略的實(shí)施？安全策略是否損害了組織、員工及第三方的利益？安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施？安全策略是否滿(mǎn)足組織在各個(gè)方面的安全要求？安全策略是否已傳達(dá)給組織中的員工與相關(guān)利益方，并得到了他們的同意？第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件96

4.4.2安全管理策略的實(shí)施1．安全策略的實(shí)施安全策略通過(guò)測(cè)試評(píng)估后，需要由管理層正式批準(zhǔn)實(shí)施?？梢园寻踩结樑c具體安全策略編制成組織信息安全策略手冊(cè)，然后發(fā)布到組織中的每個(gè)員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。2．策略的持續(xù)改進(jìn)安全策略制定實(shí)施后，并不能“高枕無(wú)憂(yōu)”，組織要定期評(píng)審安全策略，并進(jìn)行持續(xù)改進(jìn)，因?yàn)榻M織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)，組織中的人的思想、觀(guān)念也在不斷的變化，組織要想把風(fēng)險(xiǎn)控制在一個(gè)可以接受的范圍內(nèi)，使之在理論上、標(biāo)準(zhǔn)上及方法上與時(shí)俱進(jìn)。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件97

4.4.3制定和實(shí)施安全策略時(shí)要注意的問(wèn)題1．控制成本制定與實(shí)施信息安全策略會(huì)有一定的潛在成本，這些成本是由于在起草、評(píng)審、發(fā)布、宣傳過(guò)程中舉辦大量行政與管理活動(dòng)形成的；2．在安全可靠性與業(yè)務(wù)靈活性之間進(jìn)行平衡實(shí)施安全控制在大多數(shù)情況下是對(duì)員工安全行為進(jìn)行約束，對(duì)員工活動(dòng)進(jìn)行限制，但安全策略的執(zhí)行不能影響的業(yè)務(wù)的正常運(yùn)行。因?yàn)檫^(guò)于嚴(yán)格的策略或要求，只會(huì)阻礙安全策略的執(zhí)行，最后大家只好敷衍了事，在安全可靠性與業(yè)務(wù)靈活性之間取得平衡。3．制定合適的人力資源政策通過(guò)人力資源政策，加強(qiáng)對(duì)員工的安全管理，這是執(zhí)行安全策略的有效控制手段。第4章安全規(guī)劃信息安全管理王春東武漢大學(xué)出版社課件98

4．注重企業(yè)安全文化的建設(shè)企業(yè)實(shí)施安全策略目的主要是用管理的強(qiáng)制手段約束被管理者