信息安全管理措施匯編課件

第三講信息安全管理措施信息安全管理措施匯編第三講信息安全管理措施信息安全管理措施匯編1主題一12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題一12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的2信息安全管理體系（ISMS）：27001-2013版的“高要求”

1

是一組過(guò)程

3

組織管理框架的一部分：兩個(gè)重要

2

戰(zhàn)略性決策

4

用途采用ISMS是組織的一項(xiàng)戰(zhàn)略性決策受到組織的需要和目標(biāo)、安全要求、組織過(guò)程以及組織的結(jié)構(gòu)和規(guī)模的影響采用風(fēng)險(xiǎn)管理過(guò)程來(lái)確保信息的CIA-誰(shuí)的信息？目的：給予相關(guān)方信心-風(fēng)險(xiǎn)已被充分管控是組織過(guò)程和整體框架的一部分組織的過(guò)程、信息系統(tǒng)和控制的設(shè)計(jì)需考慮安全內(nèi)外組織使用-評(píng)估某組織的能力能力：滿足自身安全要求的能力分析起點(diǎn)和定位高：戰(zhàn)略和管理框架客戶交付：信心能力：滿足自身安全要求-非滿足客戶安全要求可操作性：不夠細(xì)戰(zhàn)略因素？與ISMS和風(fēng)險(xiǎn)評(píng)估的銜接？如何體現(xiàn)定位的“高度”27001-13版的高要求和高定位信息安全管理措施匯編信息安全管理體系（ISMS）：27001-2013版的“高要3高定位的解讀1、是組織的一項(xiàng)戰(zhàn)略性決策2、在組織的過(guò)程、IS和控制的設(shè)計(jì)中3、風(fēng)險(xiǎn)已被管控的信心信息安全管理體系戰(zhàn)略性決策：需要領(lǐng)導(dǎo)力和承諾——安全方針、安全目標(biāo)與組織的戰(zhàn)略方向一致需要了解業(yè)務(wù)模式、產(chǎn)品、用戶和市場(chǎng)（內(nèi)外環(huán)境識(shí)別）需要了解信息對(duì)它們的作用（信息的價(jià)值）需要明確信息價(jià)值可能的損失明確信息安全方針和安全目標(biāo)業(yè)務(wù)設(shè)計(jì)：過(guò)程、IS和控制設(shè)計(jì)中考慮信息安全——企業(yè)運(yùn)行于流程之上，信息在流程中的作用戰(zhàn)略方向中，信息價(jià)值在流程中體現(xiàn)業(yè)務(wù)流程設(shè)計(jì)與優(yōu)化，信息的作用？需要明確信息價(jià)值可能的損失設(shè)計(jì)業(yè)務(wù)流程和支撐系統(tǒng)中的信息安全需要考慮內(nèi)控等中的信息安全給予相關(guān)利益方風(fēng)險(xiǎn)已被管控的信心——誰(shuí)擁有業(yè)務(wù)，誰(shuí)就是業(yè)務(wù)風(fēng)險(xiǎn)的責(zé)任人相關(guān)利益方：內(nèi)外人員-組織環(huán)境識(shí)別中獲取誰(shuí)是風(fēng)險(xiǎn)責(zé)任人：業(yè)務(wù)擁有者信心：內(nèi)外人員，業(yè)務(wù)是安全的手段：信息安全管理體系ISMS是一種滿足自身安全要求的能力-安全要求指風(fēng)險(xiǎn)被管控決策執(zhí)行績(jī)效-監(jiān)督信息安全管理措施匯編高定位的解讀1、是組織的一項(xiàng)戰(zhàn)略性決策2、在組織的過(guò)程、IS41、戰(zhàn)略性決策決定了高層如何看待信息安全？如何建立與之匹配的安全方針和目標(biāo)？高層執(zhí)行團(tuán)隊(duì)?wèi)?zhàn)略期望行為關(guān)鍵資產(chǎn)人力資產(chǎn)金融資產(chǎn)實(shí)物資產(chǎn)知識(shí)產(chǎn)權(quán)資產(chǎn)信息和IT資產(chǎn)關(guān)系資產(chǎn)財(cái)務(wù)治理機(jī)制（委員會(huì)、預(yù)算等）IT治理機(jī)制（委員會(huì)、預(yù)算等）董事會(huì)股東監(jiān)控利益相關(guān)者披露公司治理關(guān)鍵資產(chǎn)治理需要理解組織內(nèi)外環(huán)境需要了解業(yè)務(wù)模式、產(chǎn)品、用戶和市場(chǎng)需要理解信息在戰(zhàn)略發(fā)展中的價(jià)值需要理解降低信息價(jià)值的風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)是其中的風(fēng)險(xiǎn)之一信息安全管理措施匯編1、戰(zhàn)略性決策決定了高層如何看待信息安全？如何建立與之匹配的5物理層面網(wǎng)絡(luò)層面系統(tǒng)層面安全人員應(yīng)該主動(dòng)了解信息安全管理體系的內(nèi)外環(huán)境-內(nèi)部環(huán)境，決定了信息安全的推動(dòng)力物理環(huán)境物理設(shè)備存儲(chǔ)介質(zhì)通信設(shè)施網(wǎng)絡(luò)邊界網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)設(shè)備安全設(shè)備服務(wù)器DB主機(jī)存儲(chǔ)系統(tǒng)中間件決策支持管理系統(tǒng)數(shù)據(jù)處理智能應(yīng)用應(yīng)用層面商業(yè)智能搜素信息內(nèi)容管理數(shù)據(jù)管理統(tǒng)一消息管理客戶交易與業(yè)務(wù)價(jià)值虛擬化IT戰(zhàn)略符合IT治理-COBIT信息安全風(fēng)險(xiǎn)ITIL運(yùn)維IT審計(jì)合規(guī)：20000/27001人員-組織-崗位-績(jī)效業(yè)務(wù)戰(zhàn)略符合企業(yè)治理風(fēng)險(xiǎn)管理企業(yè)運(yùn)營(yíng)審計(jì)內(nèi)控與合規(guī)企業(yè)管理管理層：IT管理程序PDCAIT資源和IT能力信息準(zhǔn)則-IT服務(wù)或能力業(yè)務(wù)過(guò)程和IT系統(tǒng)IT管理企業(yè)管理信息安全管理措施匯編物理層面網(wǎng)絡(luò)層面系統(tǒng)層面安全人員應(yīng)該主動(dòng)了解信息安全管理體系6戰(zhàn)略明道（示例）：信息安全方針和目標(biāo)與組織的戰(zhàn)略方向一致某組織業(yè)務(wù)的例子產(chǎn)品的戰(zhàn)略方向質(zhì)量成本響應(yīng)效率業(yè)務(wù)模式改進(jìn)人員服務(wù)前置，質(zhì)量為本盡可能降低溝通和交易成本及時(shí)響應(yīng)客戶強(qiáng)大的后臺(tái)能力與客戶共享信息與IT要素信息處理或決策支持快速準(zhǔn)確持續(xù)性降低交易成本應(yīng)變和靈活性強(qiáng)；對(duì)IT依賴高CRM-客戶理財(cái)與組織能力更密切的結(jié)合IT基礎(chǔ)設(shè)施（容量、可用性）大規(guī)模用戶遠(yuǎn)程并發(fā)響應(yīng)一定人員規(guī)模下，交易量大增，單位人交易成本低IT技術(shù)革新（云計(jì)算）更安全批量，交易成本降低更多方式響應(yīng)用戶需求IT展示技術(shù)更立體，更直觀多維度的宣傳，降低市場(chǎng)成本吸引客戶市場(chǎng)效果更佳VIP級(jí)的可視化技術(shù)信息在產(chǎn)品發(fā)展的價(jià)值人員數(shù)量和服務(wù)能力信息的準(zhǔn)確性和及時(shí)性至關(guān)重要信息價(jià)值損失潛在因素信息不準(zhǔn)確：完整性被破壞信息不及時(shí)：可用性被破壞其余：保守客戶秘密-保密性信息安全方針高層負(fù)責(zé)，為新業(yè)務(wù)改進(jìn)保駕護(hù)航信息安全目標(biāo)新建IS部分可用性99.9客戶服務(wù)數(shù)據(jù)完整性措施覆蓋率100%信息安全管理措施匯編戰(zhàn)略明道（示例）：信息安全方針和目標(biāo)與組織的戰(zhàn)略方向一致某組72、協(xié)同工作，在業(yè)務(wù)流程設(shè)計(jì)中考慮信息安全宗旨、定位戰(zhàn)略目標(biāo)愿景與使命業(yè)務(wù)與職能戰(zhàn)略業(yè)務(wù)線財(cái)務(wù)人力資源……關(guān)鍵目標(biāo)指標(biāo)（KGI）財(cái)務(wù)角度客戶角度內(nèi)部流程角度學(xué)習(xí)與發(fā)展角度戰(zhàn)略方向：明確重點(diǎn)發(fā)展的產(chǎn)品和業(yè)務(wù)板塊，確定信息安全方針和目標(biāo)覆蓋哪些流程，流程優(yōu)化方案，確定信息貫穿的場(chǎng)景和安全需求，選擇安全措施業(yè)務(wù)的整體性信息流轉(zhuǎn)拒絕孤島安全目標(biāo)分解到相關(guān)部門，有效性度量；安全措施在IS和非IS中實(shí)現(xiàn)職責(zé)劃分是關(guān)鍵；要有分工和獨(dú)立職責(zé)，更要有整體性信息安全管理措施匯編2、協(xié)同工作，在業(yè)務(wù)流程設(shè)計(jì)中考慮信息安全宗旨、定位愿景與使8關(guān)鍵ISMS需要頂層設(shè)計(jì)，互相協(xié)作，承擔(dān)不同職責(zé)

高層業(yè)務(wù)層IT層職能部門戰(zhàn)略-組織環(huán)境戰(zhàn)術(shù)-業(yè)務(wù)設(shè)計(jì)操作-業(yè)務(wù)運(yùn)營(yíng)領(lǐng)導(dǎo)和組織制定戰(zhàn)略規(guī)劃：產(chǎn)品、客戶、目標(biāo)、階段影響ISMS的內(nèi)外因素參與業(yè)務(wù)板塊的PEST負(fù)責(zé)的產(chǎn)品面向的客戶指導(dǎo)和審核業(yè)務(wù)板塊的PEST組織與負(fù)責(zé)確定客戶與相關(guān)方設(shè)計(jì)業(yè)務(wù)流程負(fù)責(zé)業(yè)務(wù)操作業(yè)務(wù)績(jī)效度量指導(dǎo)和監(jiān)督參與IT層面的PESTIT服務(wù)的用戶組織與負(fù)責(zé)IT服務(wù)的用戶與相關(guān)方IT架構(gòu)與應(yīng)用系統(tǒng)實(shí)現(xiàn)設(shè)計(jì)信息安全支撐業(yè)務(wù)操作支持信息安全操作參與職能管理層面的PEST內(nèi)部人員管理組織與負(fù)責(zé)內(nèi)部服務(wù)與管理流程設(shè)計(jì)內(nèi)部控制流程設(shè)計(jì)支撐-負(fù)責(zé)職能操作職能績(jī)效度量部署實(shí)現(xiàn)安全需求頂層設(shè)計(jì)：內(nèi)外環(huán)境和風(fēng)險(xiǎn)業(yè)務(wù)價(jià)值鏈：信息流轉(zhuǎn)和價(jià)值、需求提供資源支持信息安全管理措施匯編關(guān)鍵ISMS需要頂層設(shè)計(jì)，互相協(xié)作，承擔(dān)不同職責(zé)9整體業(yè)務(wù)價(jià)值鏈：從信息視角看，是一個(gè)通過(guò)信息流程實(shí)現(xiàn)控制與決策的過(guò)程管理者視角：業(yè)務(wù)環(huán)節(jié)8-13管理支持流程2.制定

愿景和戰(zhàn)略1.了解

市場(chǎng)和客戶3.設(shè)計(jì)產(chǎn)品和服務(wù)4.市場(chǎng)

營(yíng)銷5.生產(chǎn)和配送產(chǎn)品及提供服務(wù)6.服務(wù)性機(jī)構(gòu)提供服務(wù)7.向客戶開(kāi)票收款及提供服務(wù)信息視角：業(yè)務(wù)環(huán)節(jié)客戶信息-訂單發(fā)展戰(zhàn)略功能設(shè)計(jì)策劃書配送監(jiān)測(cè)信息回款信息通過(guò)信息實(shí)現(xiàn)業(yè)務(wù)支撐信息安全管理措施匯編整體業(yè)務(wù)價(jià)值鏈：從信息視角看，是一個(gè)通過(guò)信息流程實(shí)現(xiàn)控制與決10信息安全設(shè)計(jì)的基本過(guò)程：目標(biāo)匹配，整體業(yè)務(wù)和信息，安全架構(gòu)業(yè)務(wù)目標(biāo)信息安全目標(biāo)安全架構(gòu)支持業(yè)務(wù)安全需求信息服務(wù)安全要求安全屬性準(zhǔn)則安全過(guò)程信息-安全目標(biāo)部署安全控制整個(gè)系統(tǒng)業(yè)務(wù)目標(biāo)-安全準(zhǔn)則安全架構(gòu)交付運(yùn)行閉環(huán)：度量-偏差-控制安全架構(gòu)來(lái)之不易管理層與業(yè)務(wù)部門業(yè)務(wù)與IT部門IT部門信息安全管理措施匯編信息安全設(shè)計(jì)的基本過(guò)程：目標(biāo)匹配，整體業(yè)務(wù)和信息，安全架構(gòu)業(yè)11業(yè)務(wù)過(guò)程對(duì)數(shù)據(jù)的依賴或數(shù)據(jù)對(duì)業(yè)務(wù)流程的作用業(yè)務(wù)過(guò)程輸入輸出信息流能量流物流資金流信息流能量流物流資金流<角色、流程單元、工序結(jié)構(gòu)、資源、信息>業(yè)務(wù)過(guò)程的結(jié)構(gòu)信息的作用通過(guò)應(yīng)用系統(tǒng)體現(xiàn)，不同應(yīng)用系統(tǒng)支持不同業(yè)務(wù)功能（業(yè)務(wù)過(guò)程類型）經(jīng)營(yíng)決策生產(chǎn)過(guò)程（研發(fā)、軟件開(kāi)發(fā)、制造過(guò)程、IT服務(wù)、金融服務(wù)等）管理過(guò)程（財(cái)務(wù)管理、人力資源管理等）信息的作用（通常是控制）確定：-需明確產(chǎn)品（輸出）是什么？可能就是數(shù)據(jù)，當(dāng)然也有控制數(shù)據(jù)過(guò)程控制（制造業(yè)-自動(dòng)生產(chǎn)線，按指令自動(dòng)執(zhí)行）-實(shí)時(shí)性強(qiáng)，完全控制生產(chǎn)線，與生產(chǎn)線同步，決定生產(chǎn)效率過(guò)程管理（軟件開(kāi)發(fā)項(xiàng)目管理，過(guò)程執(zhí)行的提示、判斷，人根據(jù)判斷結(jié)果執(zhí)行下面的步驟）-非同步，提高效率、質(zhì)量，降低成本-輔助決策支持（BI等）知識(shí)查詢/輔助過(guò)程記錄產(chǎn)品（流程單元）-決定流程績(jī)效和質(zhì)量、成本等信息安全管理措施匯編業(yè)務(wù)過(guò)程對(duì)數(shù)據(jù)的依賴或數(shù)據(jù)對(duì)業(yè)務(wù)流程的作用業(yè)務(wù)過(guò)程輸入輸出信12信息的價(jià)值與業(yè)務(wù)過(guò)程和時(shí)效性密切相關(guān)在不同業(yè)務(wù)環(huán)節(jié)（崗位）使用在生命周期內(nèi)使用同樣信息不同時(shí)間段在不同的應(yīng)用中使用信息價(jià)值決策執(zhí)行監(jiān)督時(shí)間敏感性業(yè)務(wù)高峰業(yè)務(wù)低谷需求規(guī)格設(shè)計(jì)歸檔核心業(yè)務(wù)一般業(yè)務(wù)與業(yè)務(wù)處理環(huán)節(jié)相關(guān)：關(guān)鍵環(huán)節(jié)-組織自定義關(guān)鍵路徑上的環(huán)節(jié)產(chǎn)能瓶頸環(huán)節(jié)-決定運(yùn)營(yíng)績(jī)效時(shí)效性：業(yè)務(wù)峰值-決定保護(hù)強(qiáng)度起作用的時(shí)間周期-通常業(yè)務(wù)數(shù)據(jù)使用后價(jià)值大大降低（過(guò)業(yè)務(wù)操作期限-實(shí)時(shí)業(yè)務(wù)）業(yè)務(wù)相關(guān)：業(yè)務(wù)自身的重要程度綜合考慮賦值：重要的業(yè)務(wù)、處于業(yè)務(wù)高峰、在使用周期內(nèi)、關(guān)鍵環(huán)節(jié)上的數(shù)據(jù)賦值最高信息價(jià)值的依據(jù)信息安全管理措施匯編信息的價(jià)值與業(yè)務(wù)過(guò)程和時(shí)效性密切相關(guān)在不同業(yè)務(wù)環(huán)節(jié)（崗位）使13支持性資產(chǎn)識(shí)別：從業(yè)務(wù)過(guò)程入手，層次推進(jìn)，識(shí)別資產(chǎn)及依賴關(guān)系錄入檢查交易業(yè)務(wù)過(guò)程管理數(shù)據(jù)依賴程度憑證完全依賴（價(jià)值）應(yīng)用軟件：支付清算、開(kāi)發(fā)、帳號(hào)管理等基礎(chǔ)軟件：OS、DB業(yè)務(wù)過(guò)程數(shù)據(jù)應(yīng)用軟件基礎(chǔ)軟件硬件上下依賴關(guān)系：被依賴的對(duì)象的價(jià)值取決于依賴對(duì)象，如硬件價(jià)值取決于軟件有些依賴程度與組織具體情況相關(guān)這里的價(jià)值主要是業(yè)務(wù)生產(chǎn)（產(chǎn)品或服務(wù)）方面的價(jià)值，其余的維護(hù)維修價(jià)值不在此列人是核心，是特別的“資產(chǎn)”人的工作依賴于應(yīng)用軟件<操作員>依賴于IT硬件信息安全管理措施匯編支持性資產(chǎn)識(shí)別：從業(yè)務(wù)過(guò)程入手，層次推進(jìn)，識(shí)別資產(chǎn)及依賴關(guān)系14物理層面網(wǎng)絡(luò)層面系統(tǒng)層面信息安全的層次：數(shù)據(jù)安全是根本，系統(tǒng)安全是基礎(chǔ)，業(yè)務(wù)安全是目標(biāo)物理環(huán)境物理設(shè)備存儲(chǔ)介質(zhì)通信設(shè)施網(wǎng)絡(luò)邊界網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)設(shè)備安全設(shè)備服務(wù)器DB主機(jī)存儲(chǔ)系統(tǒng)中間件決策支持管理系統(tǒng)數(shù)據(jù)處理智能應(yīng)用應(yīng)用層面客戶交易與業(yè)務(wù)價(jià)值：業(yè)務(wù)安全虛擬化信息準(zhǔn)則-IT服務(wù)或能力應(yīng)用安全主機(jī)安全網(wǎng)絡(luò)安全物理安全數(shù)據(jù)安全系統(tǒng)安全信息安全大部分安全措施不屬于IS的四個(gè)層面投入分布導(dǎo)致任務(wù)信息安全就是系統(tǒng)安全側(cè)重系統(tǒng)安全，導(dǎo)致忽視信息在整個(gè)業(yè)務(wù)中的貫穿作用，信息孤島之外出現(xiàn)“安全孤島-安全缺乏整體性”-隨一個(gè)服務(wù)器或應(yīng)用部署安全措施不怎么理解業(yè)務(wù)過(guò)程，對(duì)信息安全在組織的本質(zhì)理解不足，信息安全風(fēng)險(xiǎn)是無(wú)源之水業(yè)務(wù)運(yùn)營(yíng)和信息安全管理脫節(jié)太多信息安全管理措施匯編物理層面網(wǎng)絡(luò)層面系統(tǒng)層面信息安全的層次：數(shù)據(jù)安全是根本，系統(tǒng)15信息安全的誤讀：認(rèn)為系統(tǒng)安全是全部！執(zhí)行過(guò)程業(yè)務(wù)部門提出安全需求，側(cè)重?cái)?shù)據(jù)保密、應(yīng)用系統(tǒng)帳號(hào)與權(quán)限、性能需求整體網(wǎng)絡(luò)環(huán)境的安全需求由IT部門自主把握缺失之處IT部門極少研究組織整體的業(yè)務(wù)流程、數(shù)據(jù)資源及流轉(zhuǎn)情況（需要數(shù)據(jù)資源規(guī)劃）、業(yè)務(wù)對(duì)數(shù)據(jù)的依賴程度等業(yè)務(wù)是分割的，信息是孤立的，安全也是孤立的（或者說(shuō)整體性-體系性）不足結(jié)果業(yè)務(wù)和安全條塊分割的結(jié)果是，一種安全狀態(tài)（無(wú)論怎么實(shí)施，一定時(shí)間內(nèi)的信息安全狀況是固定的）由不同的人，采用不同的描述方式（目標(biāo)、語(yǔ)法、語(yǔ)義等）描述，整體性和關(guān)聯(lián)性不足信息安全是“系統(tǒng)安全”，是IT部門的工作，實(shí)踐中是自下而上的工作，IT部門疲于奔命信息安全管理措施匯編信息安全的誤讀：認(rèn)為系統(tǒng)安全是全部！執(zhí)行過(guò)程信息安全管理措施163、信息安全實(shí)施效果，從業(yè)務(wù)安全需求入手，度量效果是否滿足需求明確保護(hù)對(duì)象選擇適度控制安全部署集成安全效果度量CIA不是籠統(tǒng)的，不同業(yè)務(wù)的不同數(shù)據(jù)CIA不同數(shù)據(jù)的差異性應(yīng)該體現(xiàn)出來(lái)-通過(guò)分級(jí)根據(jù)差異性選擇對(duì)應(yīng)的控制措施控制措施的選擇考慮數(shù)據(jù)價(jià)值和投入成本的均衡技術(shù)措施：部署不同系統(tǒng)層面管理措施：確保技術(shù)措施的有效利用技術(shù)和管理措施的有效性安全強(qiáng)度-抗攻擊能力-偏差以業(yè)務(wù)績(jī)效滿足與否為目標(biāo)控制業(yè)務(wù)中的信息安全風(fēng)險(xiǎn)信息安全管理措施匯編3、信息安全實(shí)施效果，從業(yè)務(wù)安全需求入手，度量效果是否滿足需17業(yè)務(wù)中的風(fēng)險(xiǎn)因素：信息和IT資產(chǎn)與其他資源因素一樣，是業(yè)務(wù)風(fēng)險(xiǎn)的可能來(lái)源業(yè)務(wù)過(guò)程輸入輸出信息流能量流物流資金流信息流能量流物流資金流<角色、流程單元、工序結(jié)構(gòu)、資源、信息>業(yè)務(wù)過(guò)程的結(jié)構(gòu)支持業(yè)務(wù)過(guò)程的關(guān)鍵資產(chǎn)（資源）人力資產(chǎn)金融資產(chǎn)實(shí)物資產(chǎn)知識(shí)產(chǎn)權(quán)資產(chǎn)信息和IT資產(chǎn)關(guān)系資產(chǎn)對(duì)待IT和信息是完成業(yè)務(wù)過(guò)程的資源之一，與其他的資源一樣是資源就有產(chǎn)能是否足以支持理論產(chǎn)能空閑產(chǎn)能？是否過(guò)大一樣的作用，就一樣的分?jǐn)偝杀竞凸蚕順I(yè)務(wù)價(jià)值根據(jù)業(yè)務(wù)產(chǎn)能等指標(biāo)賦值信息安全管理措施匯編業(yè)務(wù)中的風(fēng)險(xiǎn)因素：信息和IT資產(chǎn)與其他資源因素一樣，是業(yè)務(wù)風(fēng)18ISMS是企業(yè)風(fēng)險(xiǎn)管理的一部分（PDCA持續(xù)改進(jìn)的風(fēng)險(xiǎn)管理）美國(guó)內(nèi)控研究委員會(huì)——企業(yè)風(fēng)險(xiǎn)管理是一套由企業(yè)董事會(huì)與管理層共同設(shè)立、與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識(shí)別那些會(huì)影響企業(yè)運(yùn)作的潛在事件和把相關(guān)的風(fēng)險(xiǎn)管理到一個(gè)企業(yè)可接受的水平，從而幫助企業(yè)達(dá)至它的目標(biāo)。企業(yè)風(fēng)險(xiǎn)管理整合框架——風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，受企業(yè)董事會(huì)、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個(gè)公司的應(yīng)用，旨在為實(shí)現(xiàn)經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及法律法規(guī)的遵循提供合理保證。

結(jié)論：從業(yè)務(wù)風(fēng)險(xiǎn)的整體視角看，沒(méi)有所謂的信息安全風(fēng)險(xiǎn)，它是組織業(yè)務(wù)風(fēng)險(xiǎn)的一部分信息安全風(fēng)險(xiǎn)管理本質(zhì)上是將信息對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)控制到可容忍的程度內(nèi)，不了解業(yè)務(wù)就無(wú)法界定可容忍程度信息安全風(fēng)險(xiǎn)因素（威脅、脆弱性等）是業(yè)務(wù)風(fēng)險(xiǎn)識(shí)別中的潛在原因（cause甚至reason）信息安全風(fēng)險(xiǎn)的影響值必須基于業(yè)務(wù)績(jī)效（損失）來(lái)度量信息安全管理措施匯編ISMS是企業(yè)風(fēng)險(xiǎn)管理的一部分（PDCA持續(xù)改進(jìn)的風(fēng)險(xiǎn)管理）19風(fēng)險(xiǎn)與業(yè)務(wù)場(chǎng)景：風(fēng)險(xiǎn)識(shí)別需要關(guān)注內(nèi)外環(huán)境，依據(jù)業(yè)務(wù)理順原因和責(zé)任鏈

財(cái)務(wù)報(bào)表欺騙

產(chǎn)品需求錯(cuò)誤戰(zhàn)略決策信息不準(zhǔn)

產(chǎn)品設(shè)計(jì)不當(dāng)

業(yè)務(wù)終端DoS管理員口令破解

緩沖區(qū)溢出攻擊

客戶訂單失準(zhǔn)

業(yè)務(wù)人員誤操作工單眾多風(fēng)險(xiǎn)：看似散亂內(nèi)部環(huán)境外部環(huán)境政策社會(huì)技術(shù)客戶經(jīng)濟(jì)1234567891283其余的是內(nèi)部環(huán)境284791356風(fēng)險(xiǎn)是什么風(fēng)險(xiǎn)分布風(fēng)險(xiǎn)程度（范圍和深度）信息安全管理措施匯編風(fēng)險(xiǎn)與業(yè)務(wù)場(chǎng)景：風(fēng)險(xiǎn)識(shí)別需要關(guān)注內(nèi)外環(huán)境，依據(jù)業(yè)務(wù)理順原因和20小結(jié)：構(gòu)建ISMS中的四個(gè)關(guān)鍵點(diǎn)從頂層識(shí)別安全需求，自上而下進(jìn)行風(fēng)險(xiǎn)管理通過(guò)風(fēng)險(xiǎn)管理保障業(yè)務(wù)安全1234組織環(huán)境識(shí)別關(guān)鍵業(yè)務(wù)和相關(guān)方相關(guān)方安全的期望確定ISMS范圍。明確協(xié)作要求從相關(guān)方及期望入手-首先是經(jīng)營(yíng)管理范圍其次才是信息及處理設(shè)施的范圍風(fēng)險(xiǎn)-機(jī)會(huì)與應(yīng)對(duì)識(shí)別宏觀層面的風(fēng)險(xiǎn)和機(jī)會(huì)-應(yīng)對(duì)它們的活動(dòng)-納入ISMS中風(fēng)險(xiǎn)分類：經(jīng)營(yíng)管理視角層面的分類-四個(gè)目標(biāo)（戰(zhàn)略、財(cái)務(wù)、經(jīng)營(yíng)與合規(guī)）通過(guò)度量和管理評(píng)審，明確安全價(jià)值ISMS有效執(zhí)行風(fēng)險(xiǎn)處置措施的價(jià)值：需歸結(jié)到宏觀層面的分類上-對(duì)應(yīng)四個(gè)目標(biāo)頂層設(shè)計(jì)協(xié)作范圍風(fēng)險(xiǎn)趨向價(jià)值度量信息安全管理措施匯編小結(jié)：構(gòu)建ISMS中的四個(gè)關(guān)鍵點(diǎn)從頂層識(shí)別安全需求，自上而下21軟件開(kāi)發(fā)與信息安全管理：既自成體系，又相互融合項(xiàng)目獲取需求開(kāi)發(fā)設(shè)計(jì)與實(shí)現(xiàn)測(cè)試安裝部署驗(yàn)收需求說(shuō)明書設(shè)計(jì)書測(cè)試用例、報(bào)告上線報(bào)告效率過(guò)程確認(rèn)評(píng)審驗(yàn)證確認(rèn)保障過(guò)程現(xiàn)有軟件開(kāi)發(fā)過(guò)程安全風(fēng)險(xiǎn)控制過(guò)程相對(duì)完整的軟件開(kāi)發(fā)過(guò)程安全功能確認(rèn)安全設(shè)計(jì)安全功能測(cè)試、測(cè)試用例保護(hù)驗(yàn)收性測(cè)試（獨(dú)立性）外包安全需要基本安全開(kāi)發(fā)環(huán)境訪問(wèn)權(quán)限知識(shí)產(chǎn)權(quán)交付管理需要支撐安全“信息安全管理”融入到現(xiàn)有軟件開(kāi)發(fā)過(guò)程中信息安全管理措施匯編軟件開(kāi)發(fā)與信息安全管理：既自成體系，又相互融合項(xiàng)目獲取需求開(kāi)22主題二12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題二12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的23關(guān)于安全的說(shuō)法很多，是否有一個(gè)銜接這些說(shuō)法的綜合概念？24綜合概念：安全風(fēng)險(xiǎn)業(yè)務(wù)層面：企業(yè)風(fēng)險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)風(fēng)險(xiǎn)可接受程度IT系統(tǒng)層面：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)縱深防御不被破壞：威脅和脆弱性不同的人對(duì)被破壞的看法和程度不一致越有序越安全風(fēng)險(xiǎn)度量基準(zhǔn)？用業(yè)務(wù)績(jī)效安全價(jià)值：安全投入：沒(méi)有絕對(duì)安全，投入適度安全產(chǎn)出：功能強(qiáng)度適度-抗攻擊能力適度威脅和脆弱性資產(chǎn)和安全措施安全等級(jí)部署安全措施，獲得抗攻擊能力或更有序?qū)I(yè)務(wù)的抗攻擊或有序安全結(jié)構(gòu)對(duì)業(yè)務(wù)的保護(hù)需要有明確的判斷結(jié)果安全價(jià)值不滿足，產(chǎn)生新安全需求信息安全管理措施匯編關(guān)于安全的說(shuō)法很多，是否有一個(gè)銜接這些說(shuō)法的綜合概念？24綜信息安全風(fēng)險(xiǎn)基本概念：生活中的？25資產(chǎn)=100塊錢 弱點(diǎn)=打瞌睡影響=錢損失，晚上沒(méi)飯吃 威脅=小偷偷錢風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理＝？？情景假設(shè)：口袋里有100塊錢，因?yàn)榇蝾?，被小偷偷走了，搞得晚上沒(méi)飯吃。

某證券公司的數(shù)據(jù)庫(kù)服務(wù)器因?yàn)榇嬖赗PCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。

威脅 RPCDCOM漏洞資產(chǎn) 服務(wù)器遭到入侵影響 數(shù)據(jù)庫(kù)服務(wù)器弱點(diǎn) 中斷三天風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理＝？？信息安全管理措施匯編信息安全風(fēng)險(xiǎn)基本概念：生活中的？25資產(chǎn)=100塊錢 信息安全風(fēng)險(xiǎn)：綜合安全相關(guān)因素的概念業(yè)務(wù)戰(zhàn)略脆弱性IT資產(chǎn)威脅風(fēng)險(xiǎn)業(yè)務(wù)價(jià)值安全需求IT安全控制殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足成本意圖保障暴露利用演變誘發(fā)為有價(jià)值的未完全削減導(dǎo)出增加未被滿足控制防御修補(bǔ)業(yè)務(wù)是根本技術(shù)保障決策過(guò)程和內(nèi)容過(guò)去現(xiàn)在未來(lái)26信息安全管理措施匯編信息安全風(fēng)險(xiǎn)：綜合安全相關(guān)因素的概念業(yè)務(wù)戰(zhàn)略脆弱性IT資產(chǎn)威脆弱性釋義：不足之處Bug：軟件實(shí)現(xiàn)中存在的問(wèn)題，包括功能不當(dāng)、代碼結(jié)構(gòu)不當(dāng)、代碼錯(cuò)誤等，安全問(wèn)題是bug集合的子集，是安全視角看bug但安全問(wèn)題不局限于軟件bug，硬件問(wèn)題、安全管理問(wèn)題等均是“問(wèn)題”錯(cuò)誤：安全實(shí)現(xiàn)不當(dāng)隱患：潛藏的不安全、不穩(wěn)定因素，可能被誘發(fā)——識(shí)別能力要求強(qiáng)弱點(diǎn)和薄弱之處：沒(méi)有按照既定要求實(shí)現(xiàn)，或者實(shí)現(xiàn)過(guò)程不當(dāng)導(dǎo)致的強(qiáng)度問(wèn)題脆弱性：強(qiáng)度不足，可能是弱點(diǎn)，可能是威脅者太強(qiáng)27期望或標(biāo)準(zhǔn)比較、識(shí)別潛伏期Bug——需求期望弱點(diǎn)和薄弱之處——標(biāo)準(zhǔn)、結(jié)果明顯脆弱性——標(biāo)準(zhǔn)、模糊隱患——模糊后門、罩門信息安全管理措施匯編脆弱性釋義：不足之處27期望或標(biāo)準(zhǔn)Bug——需求期望后門、罩實(shí)踐中的脆弱性

系統(tǒng)結(jié)構(gòu)

系統(tǒng)配置Bug、錯(cuò)誤、漏洞軟件材料質(zhì)量、結(jié)構(gòu)、老化硬件

安全功能配置的粒度，如主客體粒度不足安全功能

密碼等算法的強(qiáng)度安全功能信息安全管理措施匯編實(shí)踐中的脆弱性系統(tǒng)結(jié)構(gòu)系統(tǒng)配置Bug、錯(cuò)誤、漏洞軟件材料28脆弱性的類型錯(cuò)誤弱點(diǎn)威脅者能力要求不當(dāng)，或信任過(guò)度很容易弱點(diǎn)隱患脆弱性威脅者能力要求強(qiáng)度問(wèn)題需要一定爬墻能力：小孩被屏蔽無(wú)口令；部署錯(cuò)誤口令弱信息安全管理措施匯編脆弱性的類型錯(cuò)誤威脅者能力要求弱點(diǎn)威脅者能力要求無(wú)口令；部署29脆弱性的類型30弱點(diǎn)脆弱性威脅者能力要求強(qiáng)度不足需要有較強(qiáng)的挖墻能力隱患脆弱性威脅者能力要求強(qiáng)度的相對(duì)性問(wèn)題防君子不防小人——對(duì)能力很強(qiáng)的人鑒別機(jī)制存在問(wèn)題，失敗閾值業(yè)務(wù)和安全強(qiáng)度策劃不當(dāng)信息安全管理措施匯編脆弱性的類型30弱點(diǎn)威脅者能力要求隱患威脅者能力要求鑒別機(jī)制脆弱性類型31對(duì)常人來(lái)說(shuō)，不算脆弱性對(duì)軍隊(duì)而言，古代不算——現(xiàn)代火箭炮來(lái)說(shuō)可能是脆弱性沒(méi)有絕對(duì)的安全信息安全管理措施匯編脆弱性類型31對(duì)常人來(lái)說(shuō)，不算脆弱性沒(méi)有絕對(duì)的安全信息安全管威脅者行為，從識(shí)別脆弱性開(kāi)始互聯(lián)網(wǎng)常見(jiàn)網(wǎng)絡(luò)應(yīng)用：郵件、Web瀏覽等存儲(chǔ)備份OS、應(yīng)用軟件：CVE漏洞安全策略配置不當(dāng)，如口令簡(jiǎn)單網(wǎng)絡(luò)協(xié)議：協(xié)議軟件漏洞協(xié)議自身安全問(wèn)題，如協(xié)議信息明文傳輸安全功能配置不當(dāng)抗DoS攻擊能力不足漏報(bào)和誤報(bào)新攻擊模式識(shí)別能力不足安全管理人員人員安全意識(shí)淡漠人員能力不足人員職能關(guān)聯(lián)不足安全投資決策失誤弱點(diǎn)來(lái)源設(shè)計(jì)中實(shí)現(xiàn)中運(yùn)維管理中信息安全管理措施匯編威脅者行為，從識(shí)別脆弱性開(kāi)始互聯(lián)網(wǎng)常見(jiàn)網(wǎng)絡(luò)應(yīng)用：郵件、Web32防御措施：漏洞掃描，預(yù)先識(shí)別脆弱性主動(dòng)發(fā)現(xiàn)漏洞并修補(bǔ)之信息安全管理措施匯編防御措施：漏洞掃描，預(yù)先識(shí)別脆弱性主動(dòng)發(fā)現(xiàn)漏洞并修補(bǔ)之信息安33補(bǔ)丁公告已有設(shè)備：補(bǔ)丁操作系統(tǒng)補(bǔ)丁信息安全管理措施匯編補(bǔ)丁公告已有設(shè)備：補(bǔ)丁操作系統(tǒng)補(bǔ)丁信息安全管理措施匯編34脆弱性：出現(xiàn)的階段－產(chǎn)品周期內(nèi)351）需求不當(dāng)2）設(shè)計(jì)不當(dāng)3）實(shí)現(xiàn)不當(dāng)架構(gòu)問(wèn)題模塊問(wèn)題程序邏輯問(wèn)題輸入－輸出問(wèn)題信息安全管理措施匯編脆弱性：出現(xiàn)的階段－產(chǎn)品周期內(nèi)351）需求不當(dāng)2）設(shè)計(jì)不當(dāng)3脆弱性：出現(xiàn)的階段－產(chǎn)品周期內(nèi)需求不當(dāng)責(zé)任：需求分析——規(guī)劃和管理層識(shí)別：在后期很難發(fā)現(xiàn)，需要綜合分析，甚至客戶檢驗(yàn)影響：作為開(kāi)發(fā)標(biāo)準(zhǔn)，影響最大－由客戶檢驗(yàn)是最糟糕的成本：若后期發(fā)現(xiàn)，修改成本大設(shè)計(jì)不當(dāng)責(zé)任：設(shè)計(jì)人員識(shí)別：可邏輯推理，亦可測(cè)試檢驗(yàn)；客戶需求得到確認(rèn)影響：作為實(shí)現(xiàn)標(biāo)準(zhǔn)，影響“中”成本：后期發(fā)現(xiàn)，成本中實(shí)現(xiàn)不當(dāng)責(zé)任：具體技術(shù)人員識(shí)別：測(cè)試影響：低成本：修補(bǔ)成本低36信息安全管理措施匯編脆弱性：出現(xiàn)的階段－產(chǎn)品周期內(nèi)需求不當(dāng)36信息安全管理措施匯脆弱性：小結(jié)——視角37脆弱性標(biāo)準(zhǔn)發(fā)生階段類型與影響寄生體修補(bǔ)與成本威脅者強(qiáng)度標(biāo)準(zhǔn)：自身相對(duì)性：威脅者架構(gòu)模塊程序邏輯輸入輸出開(kāi)發(fā)團(tuán)隊(duì)－公司客戶成本生命周期影響程度修補(bǔ)與否？措施選擇：適度主動(dòng)方不確定性能力與相對(duì)性信息安全管理措施匯編脆弱性：小結(jié)——視角37脆弱性標(biāo)準(zhǔn)發(fā)生階段類型與影響寄生體修關(guān)于威脅攻擊方——人的行為目的、動(dòng)機(jī)個(gè)人或團(tuán)隊(duì)地點(diǎn)：互聯(lián)網(wǎng)的任何處對(duì)象：有價(jià)值、有脆弱性的IT資產(chǎn)或設(shè)備、有結(jié)構(gòu)的路線手段：專家分析＋操作方式＋工具影響：對(duì)防御的破壞——設(shè)備到業(yè)務(wù)應(yīng)用成本：時(shí)間、工具、被抓獲38信息安全管理措施匯編關(guān)于威脅攻擊方——人的行為38信息安全管理措施匯編威脅輪廓：威脅分類的依據(jù)攻擊者攻擊方法非授權(quán)入侵攻擊目的黑客間諜恐怖分子故意破壞者職業(yè)犯罪設(shè)計(jì)脆弱性結(jié)構(gòu)脆弱性實(shí)現(xiàn)脆弱性脆弱性行為授權(quán)欺騙復(fù)制修改試探掃描洪水旁路讀取竊取刪除目標(biāo)賬戶數(shù)據(jù)計(jì)算機(jī)互聯(lián)網(wǎng)方法要素網(wǎng)絡(luò)增進(jìn)入侵信息泄漏信息破壞拒絕服務(wù)資源竊取地位政治經(jīng)濟(jì)破壞物理攻擊信息交換用戶命令腳本程序自動(dòng)代理工具包分布式工具數(shù)據(jù)分流信息安全管理措施匯編威脅輪廓：威脅分類的依據(jù)攻擊者攻擊方法非授權(quán)入侵攻擊目的黑客39威脅輪廓威脅輪廓目標(biāo)威脅者——具體威脅方法脆弱性集合威脅路線集威脅路線路線構(gòu)成物理和邏輯結(jié)合路線重要性脆弱性可利用程度威脅是否能夠發(fā)生將資產(chǎn)、脆弱性和威脅貫穿起來(lái)信息安全管理措施匯編威脅輪廓威脅輪廓信息安全管理措施匯編40威脅分類：直接目標(biāo)權(quán)限提升型包括權(quán)限提升信息泄漏欺騙攻擊不可否認(rèn)破壞性包括惡意代碼拒絕服務(wù)數(shù)據(jù)篡改41信息安全管理措施匯編威脅分類：直接目標(biāo)權(quán)限提升型包括41信息安全管理措施匯編威脅或攻擊路線，脆弱性的利用不是一件容易的事情物理路線邏輯路線：物理路線上漏洞間的關(guān)聯(lián)關(guān)系信息安全管理措施匯編威脅或攻擊路線，脆弱性的利用不是一件容易的事情物理路線邏輯路42面對(duì)威脅的應(yīng)對(duì)措施分析示例：遏制威脅，修補(bǔ)漏洞應(yīng)對(duì)措施針對(duì)性應(yīng)對(duì)者的態(tài)度進(jìn)程查看可能惡意進(jìn)程查看主動(dòng)補(bǔ)丁漏洞被動(dòng)防火墻非法網(wǎng)絡(luò)訪問(wèn)被動(dòng)：威脅防病毒數(shù)據(jù)內(nèi)容威脅：主動(dòng)IDS網(wǎng)絡(luò)數(shù)據(jù)流中可能的惡意行為威脅：主動(dòng)漏洞掃描漏洞識(shí)別主動(dòng)備份與恢復(fù)預(yù)防與應(yīng)對(duì)可能的損害主動(dòng)信息安全管理措施匯編面對(duì)威脅的應(yīng)對(duì)措施分析示例：遏制威脅，修補(bǔ)漏洞應(yīng)對(duì)措施針對(duì)性43已有設(shè)備：防火墻啟動(dòng)開(kāi)啟防火墻信息安全管理措施匯編已有設(shè)備：防火墻啟動(dòng)開(kāi)啟防火墻信息安全管理措施匯編44已有設(shè)備：防病毒啟用和自定義信息安全管理措施匯編已有設(shè)備：防病毒啟用和自定義信息安全管理措施匯編45增加設(shè)備：部署IDS干防火墻不能干的事情信息安全管理措施匯編增加設(shè)備：部署IDS干防火墻不能干的事情信息安全管理措施匯編46要重視社會(huì)工程，威脅和脆弱性合一團(tuán)隊(duì)和諧愿景運(yùn)營(yíng)管理獎(jiǎng)懲（賞罰分明）文化有人有私心堡壘最易從內(nèi)部攻破CEO：發(fā)展與保障的態(tài)度快速發(fā)展：安全通常難以兼顧穩(wěn)打穩(wěn)扎：安全通常有好的基礎(chǔ)信息安全管理措施匯編要重視社會(huì)工程，威脅和脆弱性合一團(tuán)隊(duì)和諧有人有私心CEO：發(fā)47信息安全攻擊，也應(yīng)從上兵伐謀開(kāi)始信息情報(bào)：價(jià)值分類分級(jí)目標(biāo)行為IT系統(tǒng)時(shí)間人員綱舉目張核心競(jìng)爭(zhēng)力相關(guān)的信息目標(biāo)：勝敵、戰(zhàn)斗達(dá)到怎樣的程度？最活躍的因素管理層業(yè)務(wù)人員研發(fā)人員市場(chǎng)和銷售人員財(cái)務(wù)人員……攻與防博弈的場(chǎng)所信息處理、存儲(chǔ)、傳輸安全措施約束人的操作行為無(wú)時(shí)或忘上班：信息處理、傳輸和存儲(chǔ)下班：移動(dòng)設(shè)備的保護(hù)、商業(yè)敏感性安全技術(shù)、智慧、過(guò)程控制研發(fā)與對(duì)外合作發(fā)表文章演講商業(yè)談判控制、監(jiān)督與跟蹤信息安全管理措施匯編信息安全攻擊，也應(yīng)從上兵伐謀開(kāi)始信息情報(bào)：目標(biāo)行為IT系統(tǒng)時(shí)48小結(jié)：安全風(fēng)險(xiǎn)因素技術(shù)視角：設(shè)備或平臺(tái)隱患導(dǎo)致的風(fēng)險(xiǎn)物理安全風(fēng)險(xiǎn)：UPS、盜竊等隱患網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：VLAN混亂、交換機(jī)弱口令主機(jī)安全風(fēng)險(xiǎn)：Windows漏洞、弱口令應(yīng)用安全風(fēng)險(xiǎn)：數(shù)據(jù)未加密、弱口令、代碼錯(cuò)誤數(shù)據(jù)安全風(fēng)險(xiǎn)：數(shù)據(jù)備份強(qiáng)度不足終端安全風(fēng)險(xiǎn)：未安裝防病毒軟件、未打補(bǔ)丁當(dāng)然，人的安全不可或缺！業(yè)務(wù)視角：操作風(fēng)險(xiǎn)、……影響的結(jié)果：業(yè)務(wù)過(guò)程中的信息安全風(fēng)險(xiǎn)：數(shù)據(jù)價(jià)值、追求效率忽視安全……脆弱性……威脅源或隱患特性視角：自然災(zāi)害或人為故障黑客攻擊風(fēng)險(xiǎn)（如緩沖區(qū)溢出攻擊、SQL攻擊等）惡意代碼風(fēng)險(xiǎn)（如病毒、木馬、網(wǎng)絡(luò)釣魚……）運(yùn)維計(jì)劃12根本系統(tǒng)安全主動(dòng)風(fēng)險(xiǎn)因素信息安全管理措施匯編小結(jié)：安全風(fēng)險(xiǎn)因素技術(shù)視角：設(shè)備或平臺(tái)隱患導(dǎo)致的風(fēng)險(xiǎn)業(yè)務(wù)視角49主題三12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題三12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的50安全的基本原則和工作過(guò)程信息安全，預(yù)防為主，技術(shù)為輔頒布標(biāo)準(zhǔn)執(zhí)行檢查督促整改持續(xù)運(yùn)轉(zhuǎn)制度、策略檢查指標(biāo)執(zhí)行不當(dāng)隱患明確改進(jìn)措施復(fù)查PDCA的遞進(jìn)過(guò)程等級(jí)保護(hù)27001審計(jì)風(fēng)險(xiǎn)評(píng)估針對(duì)威脅、脆弱性年審報(bào)告信息安全管理措施匯編安全的基本原則和工作過(guò)程信息安全，預(yù)防為主，技術(shù)為輔頒布標(biāo)準(zhǔn)51安全管理人員的工作：日常工作之外，需要注意管理閉環(huán)信息安全原則：預(yù)防為主，適度安全！運(yùn)行安全項(xiàng)目建設(shè)監(jiān)測(cè)/檢測(cè)巡檢報(bào)警處理評(píng)估報(bào)告問(wèn)題分析風(fēng)險(xiǎn)接受策略需求與立項(xiàng)選型-方案集成部署嚴(yán)重風(fēng)險(xiǎn)根本原因運(yùn)行效果安全目標(biāo)績(jī)效度量信息安全管理措施匯編安全管理人員的工作：日常工作之外，需要注意管理閉環(huán)信息安全原52管理措施分類，從一個(gè)簡(jiǎn)單的例子入手口令破解被盜用1）口令簡(jiǎn)單12345，這是直觀的技術(shù)原因2）深入的：有沒(méi)有關(guān)于口令的策略要求？規(guī)定不得全是數(shù)字構(gòu)成？3）再深入：有沒(méi)有人根據(jù)策略定期檢查？4）更深入：有沒(méi)有人對(duì)檢查過(guò)程和結(jié)果進(jìn)行監(jiān)督？5）最后：有沒(méi)有回顧當(dāng)初購(gòu)買口令產(chǎn)品時(shí)投資決策的合理性？考慮其靈活性、長(zhǎng)遠(yuǎn)性？——決策失誤2－4）都是管理的原因，涵蓋：策略要求－按章執(zhí)行－監(jiān)督檢查——決策科學(xué)技術(shù)是表象和直接因素，管理才是背后深層次的原因安全效果如何最終取決于管理水平，技術(shù)易做，管理難行信息安全管理措施匯編管理措施分類，從一個(gè)簡(jiǎn)單的例子入手口令破解1）口令簡(jiǎn)單12353安全管理措施分類，考慮風(fēng)險(xiǎn)背后的原因了解程度使用少缺乏文檔－知識(shí)積累深層次原因分析——一定是管理問(wèn)題有效利用程度功能配置率低資源利用率低運(yùn)維管理程度缺乏系統(tǒng)性的文檔體系，如流程文檔、操作手冊(cè)等業(yè)務(wù)支持程度非重要業(yè)務(wù)設(shè)備，忽視配置與管理合規(guī)程度缺乏標(biāo)準(zhǔn)作為依據(jù)缺乏標(biāo)準(zhǔn)化工作方法提高意識(shí)和認(rèn)識(shí)講究?jī)r(jià)值指標(biāo):功能/成本關(guān)注對(duì)業(yè)務(wù)支持及關(guān)聯(lián)關(guān)系提高執(zhí)行力降低對(duì)人的依賴更高程度的安全管理模式信息安全管理措施匯編安全管理措施分類，考慮風(fēng)險(xiǎn)背后的原因了解程度深層次原因分析有54風(fēng)險(xiǎn)背后的原因：總是意識(shí)、運(yùn)維、業(yè)務(wù)與合規(guī)-內(nèi)外環(huán)境設(shè)備使用率1）配置率2）文檔規(guī)范和完整程度1）文檔規(guī)范和完整程度2）執(zhí)行狀況業(yè)務(wù)支持率對(duì)標(biāo)準(zhǔn)符合程度功能使用頻率說(shuō)明手冊(cè)、記錄正確使用的功能策略的完備性功能有效程度－事件發(fā)生或?qū)δ繕?biāo)的符合程度制度要求的一致性人員關(guān)系的協(xié)調(diào)每人的操作程序第三方監(jiān)督記錄方法和技術(shù)的適用范圍依據(jù)的適用范圍法律法規(guī)業(yè)務(wù)的需求程度：成本、有效利用、市場(chǎng)適應(yīng)靈活性、資源約束信息安全管理措施匯編風(fēng)險(xiǎn)背后的原因：總是意識(shí)、運(yùn)維、業(yè)務(wù)與合規(guī)-內(nèi)外環(huán)境設(shè)備使用55安全管理措施分類，自上而下，全局分析IT部門工作規(guī)范化項(xiàng)目管理組織與崗位制度與流程技術(shù)標(biāo)準(zhǔn)化知識(shí)管理工作績(jī)效評(píng)價(jià)IT工作內(nèi)容和技能要求軟件開(kāi)發(fā)管理需求和方案、設(shè)備部署、功能和性能配置、測(cè)試和上線軟件需求、軟件設(shè)計(jì)、代碼編程和測(cè)試、代碼保護(hù)等…重大變更、審核和測(cè)試、風(fēng)險(xiǎn)控制、實(shí)施與報(bào)告巡檢、事件請(qǐng)求和報(bào)告、協(xié)調(diào)、處理、用戶滿意度關(guān)注IT部署與集成IT運(yùn)維管理重點(diǎn)項(xiàng)目實(shí)施信息資源歸檔、分類、分級(jí)；信息安全保障體系建設(shè)信息安全保障面向管理層的IT管理工作年度工作計(jì)劃IT投資預(yù)算IT價(jià)值和績(jī)效IT部門工作報(bào)告重大IT事項(xiàng)報(bào)告信息安全發(fā)展報(bào)告決策與計(jì)劃標(biāo)準(zhǔn)化、體系化：策略、監(jiān)督與檢查執(zhí)行：部署與實(shí)現(xiàn)信息安全管理措施匯編安全管理措施分類，自上而下，全局分析IT部門工作規(guī)范化項(xiàng)目管56安全事件：如何防患于未然攜程網(wǎng)被爆出重大安全漏洞

安全支付日志可遍歷下載和源代碼包可直接下載。被泄露的支付日志的信息包括了：持卡人姓名、身份證、銀行卡類別、銀行卡號(hào)、CVV碼和銀行卡6位Bin等，這些信息可被用于盜刷卡。其后攜程確認(rèn)了漏洞，稱已經(jīng)在漏洞發(fā)布兩小時(shí)內(nèi)修復(fù)該問(wèn)題，沒(méi)有發(fā)生盜刷的情況。目前已有大量用戶對(duì)相關(guān)信用卡進(jìn)行了掛失處理，而專家也建議用戶撥打?qū)?yīng)銀行的客服電話申請(qǐng)?？ǎ蛑苯愚k理掛失。烏云漏洞前已經(jīng)通過(guò)該漏洞獲取安全日志，由于日志采用的是明文記錄，黑客無(wú)需破解就可以拿到支付數(shù)據(jù)——目錄遍歷。

違規(guī)：根據(jù)中國(guó)銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中命令禁止本地保存銀行卡信息:“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。”

安全配置不當(dāng)：保存日志的服務(wù)器未做嚴(yán)格的安全配置，支付過(guò)程中的調(diào)試數(shù)據(jù)可被黑客獲取。對(duì)這一行為，此前攜程在接受媒體采訪時(shí)的回答是：攜程網(wǎng)采用的信用卡支付方式符合國(guó)際慣例。 事件描述漏洞描述原因分析信息安全管理措施匯編安全事件：如何防患于未然攜程網(wǎng)被爆出重大安全漏洞事件描述漏洞57安全事件發(fā)生及解決之道：PDCA示例現(xiàn)狀描述問(wèn)題分析解決方法方案實(shí)施解決效果事件現(xiàn)狀抓圖的組織邏輯（技術(shù)－便于診斷分析）技術(shù)分析應(yīng)對(duì)措施過(guò)程和組織流程職能部門技術(shù)方案產(chǎn)品/措施選型投入-產(chǎn)出估算實(shí)施路徑部署集成效果測(cè)試－技術(shù)度量標(biāo)準(zhǔn)：標(biāo)準(zhǔn)－現(xiàn)狀－檢測(cè)和對(duì)比－結(jié)果人員繼續(xù)度量事件解決過(guò)程-事后事前的工作？安全預(yù)防為主信息安全管理措施匯編安全事件發(fā)生及解決之道：PDCA示例現(xiàn)狀描述問(wèn)題分析解決方法58理解IT人員的工作：任務(wù)眾多的IT運(yùn)維管理工作災(zāi)備管理災(zāi)備策略災(zāi)備切換應(yīng)急流程資產(chǎn)識(shí)別與管理數(shù)據(jù)文檔計(jì)算環(huán)境軟件管理系統(tǒng)軟件應(yīng)用軟件專用設(shè)備機(jī)房設(shè)備網(wǎng)絡(luò)管理介質(zhì)管理網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)地址文檔管理訪問(wèn)管理變更操作技術(shù)操作安裝部署自動(dòng)分發(fā)系統(tǒng)軟件系統(tǒng)變更應(yīng)用變更用戶管理網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)變更補(bǔ)丁管理操作變更數(shù)據(jù)訪問(wèn)機(jī)房訪問(wèn)應(yīng)用軟件VPN訪問(wèn)維修變更網(wǎng)絡(luò)變更監(jiān)測(cè)故障監(jiān)測(cè)網(wǎng)絡(luò)監(jiān)測(cè)虛擬化監(jiān)測(cè)應(yīng)用監(jiān)測(cè)機(jī)房監(jiān)測(cè)主機(jī)監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備安全設(shè)備存儲(chǔ)設(shè)備負(fù)載均衡物理設(shè)施服務(wù)器中間件監(jiān)測(cè)性能監(jiān)測(cè)-惡意軟件防護(hù)-備份-日志和監(jiān)控-運(yùn)行軟件控制（補(bǔ)丁管理等）-脆弱性管理-審計(jì)與控制信息安全管理措施匯編理解IT人員的工作：任務(wù)眾多的IT運(yùn)維管理工作災(zāi)備管理災(zāi)備策59安全管理人員一天的工作，解決問(wèn)題，治標(biāo)和治本并行日常運(yùn)維管理項(xiàng)目工作巡檢資產(chǎn)-配置操作請(qǐng)求-事件處理記錄與報(bào)告需求確定供應(yīng)商選擇產(chǎn)品-服務(wù)實(shí)施驗(yàn)收風(fēng)險(xiǎn)評(píng)估處置計(jì)劃安全管理人員訪問(wèn)控制-通信系統(tǒng)獲取-開(kāi)發(fā)定期計(jì)劃記錄記錄崗位計(jì)劃記錄實(shí)施計(jì)劃大的安全事件;需求驅(qū)動(dòng)信息安全管理措施匯編安全管理人員一天的工作，解決問(wèn)題，治標(biāo)和治本并行日常運(yùn)維管理60示例：服務(wù)器安全巡檢基準(zhǔn)：明確的策略要求方法：人工核查，滲透測(cè)試結(jié)果：與策略的符合性判斷整改：達(dá)到的標(biāo)準(zhǔn)-方案疑問(wèn)：策略中應(yīng)該包括哪些要求信息安全管理措施匯編示例：服務(wù)器安全巡檢基準(zhǔn)：明確的策略要求方法：人工核查，滲透61發(fā)現(xiàn)問(wèn)題，如何加固問(wèn)題發(fā)現(xiàn)缺乏制度或策略規(guī)定口令簡(jiǎn)單整改意見(jiàn)給出判斷依據(jù)《銀監(jiān)會(huì)計(jì)算機(jī)……安全規(guī)定……》達(dá)到的目標(biāo)：口令12個(gè)字符……限期：1月報(bào)告或復(fù)評(píng)：提交給……科技風(fēng)險(xiǎn)管理部被檢查方的疑惑直接配置修改？需要走怎樣的流程？監(jiān)督、復(fù)審？信息安全管理措施匯編發(fā)現(xiàn)問(wèn)題，如何加固問(wèn)題發(fā)現(xiàn)信息安全管理措施匯編62口令修改操作引發(fā)的思考，常見(jiàn)的情景-牛人的世界和程序控制的世界口令簡(jiǎn)單修改執(zhí)行規(guī)模小或技術(shù)高明IT人員直觀的工作方法口令簡(jiǎn)單口令修改操作程序細(xì)心的IT人員的工作方法修改執(zhí)行口令簡(jiǎn)單制定修改方案方案審核和測(cè)試修改執(zhí)行過(guò)程嚴(yán)格的IT人員工作方法分界線的標(biāo)準(zhǔn)？分界線的標(biāo)準(zhǔn)？情景一情景二情景三含策略信息安全管理措施匯編口令修改操作引發(fā)的思考，常見(jiàn)的情景-牛人的世界和程序控制的世63三種情景的對(duì)比，效率、成本和風(fēng)險(xiǎn)的均衡任務(wù)和責(zé)任明確、風(fēng)險(xiǎn)分擔(dān)嚴(yán)謹(jǐn)、工作成熟度高知識(shí)積累完善逐步降低對(duì)人的依賴人員分工細(xì)化正面變化顯得繁瑣初始降低效率參與人員增多增加管理人員工作量負(fù)面變化作業(yè)程序：為什么需要作業(yè)程序，適用場(chǎng)景？審核測(cè)試：為什么需要它，適用場(chǎng)景？程序越來(lái)越復(fù)雜效率可能降低風(fēng)險(xiǎn)呢？信息安全管理措施匯編三種情景的對(duì)比，效率、成本和風(fēng)險(xiǎn)的均衡任務(wù)和責(zé)任明確、風(fēng)險(xiǎn)分64牛人的困惑，用得著這么復(fù)雜；程序控制將技術(shù)問(wèn)題復(fù)雜化，將技術(shù)問(wèn)題變化為管理問(wèn)題口令強(qiáng)度：密碼算法、配置口令加固：本地安全策略>賬號(hào)>配置信任什么：如何確保加固工作可控？信人，還是相信程序？風(fēng)險(xiǎn)控制：加固工作存在什么風(fēng)險(xiǎn)？有應(yīng)對(duì)措施嗎，應(yīng)對(duì)措施可靠嗎？績(jī)效度量：加固工作進(jìn)展和效果如何，量化指標(biāo)和度量方法？牛人的技術(shù)自信管理層的考量：共性、可重復(fù)、績(jī)效-閉環(huán)技術(shù)問(wèn)題管理問(wèn)題信息安全管理措施匯編牛人的困惑，用得著這么復(fù)雜；程序控制將技術(shù)問(wèn)題復(fù)雜化，將技術(shù)65“情景一、二”的安全管理工作的分析工作過(guò)程識(shí)別安全隱患針對(duì)安全隱患給出改進(jìn)措施改進(jìn)措施的執(zhí)行由“牛人”負(fù)責(zé)執(zhí)行與PDCA的對(duì)比：P：通過(guò)安全風(fēng)險(xiǎn)評(píng)估（只是隱患識(shí)別一部分）確定安全需求，提出處置建議D：有專人執(zhí)行處置措施C、A：可能有檢查安全狀況的活動(dòng)，可能有定期安全匯報(bào)——實(shí)時(shí)性不足文件情況：一級(jí)文件：可能沒(méi)有明確的、全企業(yè)范圍內(nèi)的安全目標(biāo)，很可能有基于可用性的風(fēng)險(xiǎn)接受準(zhǔn)則二級(jí)文件：可能有口令安全策略文件，內(nèi)含基本的檢查和策略性要求三級(jí)文件：看供應(yīng)商是否提供配置指南四級(jí)文件：工作記錄由牛人自主現(xiàn)狀剖析與改進(jìn)優(yōu)勢(shì)：改進(jìn)快，短期內(nèi)效率高安全策略在牛人的記憶中，反應(yīng)快安全人員少，一崗多人，牛人利用程度高（人員利用不均衡）檢查和執(zhí)行任務(wù)安排靈活，適用于小規(guī)模系統(tǒng)不足：缺乏規(guī)程和記錄，成熟度不足依賴于牛人，不同人執(zhí)行的效果相差大缺乏統(tǒng)籌的發(fā)布計(jì)劃缺乏全局安全目標(biāo)和方法，安全職責(zé)上下層人員關(guān)聯(lián)不足體系文件缺乏主動(dòng)完善力量適用環(huán)境：1）牛人的工作方法適合于怎樣的環(huán)境；2）情景一、二的適用環(huán)境；3）管理層的考量是否有道理，適用環(huán)境。信息安全管理措施匯編“情景一、二”的安全管理工作的分析工作過(guò)程現(xiàn)狀剖析與改進(jìn)優(yōu)勢(shì)66各自的適用場(chǎng)景改進(jìn)方向：1）更復(fù)雜和重要的環(huán)境中的變更管理；2）具備共性、可操作的度量指標(biāo)。情景一：1）依賴牛人的記憶，牛人的技能；2）其他人來(lái)做呢？3）萬(wàn)一失手，責(zé)任算誰(shuí)的，管理層的？情景二：操作規(guī)程。1）其他人也可以實(shí)施；2）實(shí)施方案或操作的可靠程度？2）風(fēng)險(xiǎn)和責(zé)任歸屬？情景三：1）其他人可實(shí)施；2）管理層了解方案的風(fēng)險(xiǎn)和應(yīng)對(duì)措施，管理層可為結(jié)果負(fù)責(zé)；3）可重復(fù)程度高資產(chǎn)重要性低規(guī)范性不足資產(chǎn)重要性低降低人員成本資產(chǎn)重要性高環(huán)境復(fù)雜企業(yè)規(guī)模

小大信息安全管理措施匯編各自的適用場(chǎng)景改進(jìn)方向：情景一：1）依賴牛人的記憶，牛人的技67情景三：影響程度和責(zé)任范圍是一般設(shè)備還是關(guān)鍵設(shè)備（如數(shù)據(jù)庫(kù)主機(jī)）1是否影響業(yè)務(wù)運(yùn)行2操作方法是否可行（如經(jīng)過(guò)測(cè)試）3是否需要購(gòu)買新產(chǎn)品4影響和責(zé)任系統(tǒng)管理員業(yè)務(wù)主管IT主管項(xiàng)目管理口令簡(jiǎn)單制定修改方案方案審核和測(cè)試信息安全管理措施匯編情景三：影響程度和責(zé)任范圍是一般設(shè)備還是關(guān)鍵設(shè)備（如數(shù)據(jù)庫(kù)主68影響程度和責(zé)任范圍現(xiàn)場(chǎng)操作是否需要業(yè)務(wù)人員配合1是否需要廠商支持2是否需要服務(wù)商（如制定專門運(yùn)維制度）3是否需要通知可能被影響的其他人員4業(yè)務(wù)操作人員技術(shù)支持人員IT服務(wù)顧問(wèn)其他人員方案審核和測(cè)試修改執(zhí)行信息安全管理措施匯編影響程度和責(zé)任范圍現(xiàn)場(chǎng)操作是否需要業(yè)務(wù)人員配合1是否需要廠商69問(wèn)題的深入剖析：管理的要求比技術(shù)內(nèi)容多強(qiáng)度和加固信任什么風(fēng)險(xiǎn)控制績(jī)效度量口令強(qiáng)度：復(fù)雜程度長(zhǎng)度登錄閾值變更周期存儲(chǔ)方式傳輸方式場(chǎng)景和系統(tǒng)-重要性，操作可能不同必要的程序：風(fēng)險(xiǎn)三道防線-縱深防御人的能力和精力有限人的立場(chǎng)、利益-制衡和職責(zé)分離變更管理：控制風(fēng)險(xiǎn)為目標(biāo)-較大變更的控制方案-測(cè)試-風(fēng)險(xiǎn)-應(yīng)對(duì)措施評(píng)審-風(fēng)險(xiǎn)分擔(dān)績(jī)效度量：實(shí)施成功率工作時(shí)間口令有效程度殘余風(fēng)險(xiǎn)成本重要系統(tǒng)風(fēng)險(xiǎn)大信息安全管理措施匯編問(wèn)題的深入剖析：管理的要求比技術(shù)內(nèi)容多強(qiáng)度和加固信任什么風(fēng)險(xiǎn)70需要哪些管理程序或活動(dòng)強(qiáng)度和加固口令強(qiáng)度：復(fù)雜程度長(zhǎng)度登錄閾值變更周期存儲(chǔ)方式傳輸方式場(chǎng)景和系統(tǒng)-重要性，操作可能不同安全策略制定資產(chǎn)管理：資產(chǎn)分類資產(chǎn)分級(jí)資產(chǎn)責(zé)任組織環(huán)境：業(yè)務(wù)和IT規(guī)模物理環(huán)境信息安全管理措施匯編需要哪些管理程序或活動(dòng)強(qiáng)度和加固口令強(qiáng)度：安全策略制定資產(chǎn)管71需要哪些管理程序或活動(dòng)信任什么必要的程序：風(fēng)險(xiǎn)三道防線-縱深防御人的能力和精力有限人的立場(chǎng)、利益-制衡和職責(zé)分離風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)對(duì)措施安全組織：組織結(jié)構(gòu)角色職責(zé)分離人力資源安全：任用條件保密協(xié)議安全責(zé)任和紀(jì)律涉及的主要人員實(shí)施人員：服務(wù)臺(tái)、系統(tǒng)管理員、測(cè)試人員決策人員：IT主管、業(yè)務(wù)主管、項(xiàng)目主管、高層的委員會(huì)之類的外部支持人員：廠商、服務(wù)商質(zhì)量和監(jiān)督人員：安全管理員信息安全管理措施匯編需要哪些管理程序或活動(dòng)信任什么必要的程序：風(fēng)險(xiǎn)管理：安全組織72需要哪些管理程序或活動(dòng)風(fēng)險(xiǎn)控制變更管理：控制風(fēng)險(xiǎn)為目標(biāo)-較大變更的控制方案-測(cè)試-風(fēng)險(xiǎn)-應(yīng)對(duì)措施評(píng)審-風(fēng)險(xiǎn)分擔(dān)安全組織：變更管理組織角色和職責(zé)分離：制定、評(píng)審、測(cè)試運(yùn)行安全：變更管理操作程序文件化變更執(zhí)行：訪問(wèn)控制通信安全：網(wǎng)絡(luò)隔離與控制供應(yīng)商管理：供應(yīng)商安全供應(yīng)商交付若需要購(gòu)買新產(chǎn)品信息安全管理措施匯編需要哪些管理程序或活動(dòng)風(fēng)險(xiǎn)控制變更管理：安全組織：運(yùn)行安全：73需要哪些管理程序或活動(dòng)績(jī)效度量績(jī)效度量：實(shí)施成功率工作時(shí)間口令有效程度殘余風(fēng)險(xiǎn)成本風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)對(duì)措施符合性：安全策略的符合性技術(shù)符合性評(píng)審持續(xù)運(yùn)行：安全事件管理業(yè)務(wù)持續(xù)性中的信息安全運(yùn)行安全：日志、數(shù)據(jù)備份訪問(wèn)控制：鑒別信息管理、用戶責(zé)任信息安全管理措施匯編需要哪些管理程序或活動(dòng)績(jī)效度量績(jī)效度量：風(fēng)險(xiǎn)管理：符合性：持74口令檢查中涉及哪些管理要素：且看27001的內(nèi)容4.組織環(huán)境5.領(lǐng)導(dǎo)力6.體系策劃7.支持8.運(yùn)行與控制9.績(jī)效度量10.持續(xù)改進(jìn)PDCA的要求A.5安全策略A.6組織安全A.7人力資源安全A.8資產(chǎn)管理A.9訪問(wèn)控制A.10密碼支持A.11物理與環(huán)境安全A.12運(yùn)行安全A.13通信安全A.14系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)A.15供應(yīng)商管理A.16安全事件管理A.17業(yè)務(wù)持續(xù)中的信息安全A.18符合性14個(gè)控制域信息安全管理措施匯編口令檢查中涉及哪些管理要素：且看27001的內(nèi)容4.組織環(huán)境75涉及的非技術(shù)因素：總共12個(gè)要素服務(wù)器：資產(chǎn)分類和分級(jí)人力資源和安全組織訪問(wèn)控制-變更管理（運(yùn)行安全）-通信安全操作約束和風(fēng)險(xiǎn)控制安全策略依據(jù)物理和環(huán)境安全：邊界、安全區(qū)域支撐運(yùn)行安全、安全事件、持續(xù)性、有效性現(xiàn)狀-改進(jìn)-持續(xù)運(yùn)行A.9、12、13、16-17-18A.6-7A.5A.8A.11供應(yīng)商管理新產(chǎn)品替換A.15信息安全管理措施匯編涉及的非技術(shù)因素：總共12個(gè)要素服務(wù)器：資產(chǎn)分類和分級(jí)人力資76口令檢查和改進(jìn)中涉及的技術(shù)和管理巡檢問(wèn)題與改進(jìn)安全策略配置操作-技術(shù)差距-隱患安全策略-更新技術(shù)方案：訪問(wèn)控制、運(yùn)行安全（文件化）、資產(chǎn)分級(jí)變更管理變更組織風(fēng)險(xiǎn)控制測(cè)試和審核執(zhí)行：物理安全、訪問(wèn)控制、網(wǎng)絡(luò)管理新產(chǎn)品：供應(yīng)商管理持續(xù)改進(jìn)？運(yùn)行安全：安全狀態(tài)安全事件持續(xù)性管理符合：技術(shù)有效性A.9、12A.6-7A.5A.8A.9、11、13A.15A.12、16-17-18密碼支持是基礎(chǔ)系統(tǒng)獲取與開(kāi)發(fā)暫時(shí)未涉及信息安全管理措施匯編口令檢查和改進(jìn)中涉及的技術(shù)和管理巡檢問(wèn)題與改進(jìn)安全策略安全策77具體點(diǎn)：技術(shù)和管理的關(guān)系，偶然和必然的關(guān)系DB服務(wù)器常見(jiàn)安全工作：工具或人工識(shí)別漏洞：口令簡(jiǎn)單風(fēng)險(xiǎn)評(píng)估：優(yōu)先級(jí)高加固P:有無(wú)識(shí)別的要求（目標(biāo)、人、崗位）和程序風(fēng)險(xiǎn)分析-影響和變更級(jí)別控制目標(biāo)和控制措施選擇D:加固/補(bǔ)丁管理制度-程序C:運(yùn)行效果評(píng)價(jià)D:管理者牽頭的持續(xù)行動(dòng)解決具體的漏洞問(wèn)題其他設(shè)備？會(huì)重復(fù)？誰(shuí)負(fù)責(zé)這項(xiàng)工作？如何持續(xù)檢查和改進(jìn)？?jī)煞N方式的比較首先關(guān)注的不是這個(gè)問(wèn)題的具體解決措施是一類如此問(wèn)題的識(shí)別和措施選擇的方法——其他設(shè)備關(guān)注工作效果，關(guān)注是否重復(fù)發(fā)生？組織體系：管理層的職責(zé)漏洞和加固是偶然，還是必然？信息安全管理措施匯編具體點(diǎn)：技術(shù)和管理的關(guān)系，偶然和必然的關(guān)系DB服務(wù)器常見(jiàn)安全78技術(shù)和管理：管理明向，技術(shù)利器安全技術(shù)安全管理優(yōu)勢(shì)小組織、小系統(tǒng)技術(shù)自信效率高失誤影響小作用直接對(duì)抗威脅需要管理活動(dòng)明確方向-目標(biāo)需要管理控制風(fēng)險(xiǎn)優(yōu)勢(shì)較大組織、大系統(tǒng)過(guò)程自信追求復(fù)雜工作環(huán)境下的高效率高失誤影響大作用分配職責(zé)明確方向-目標(biāo)控制風(fēng)險(xiǎn)技術(shù)和管理并重技術(shù)是神馬？有哪些類型關(guān)鍵內(nèi)容管理是神馬？有哪些類型關(guān)鍵內(nèi)容信息安全管理措施匯編技術(shù)和管理：管理明向，技術(shù)利器安全技術(shù)安全管理優(yōu)勢(shì)優(yōu)勢(shì)技術(shù)和79示例：技術(shù)和管理融合，才能確保信息安全安全組織與制度計(jì)劃與目標(biāo)人員組織崗位與流程配置一致風(fēng)險(xiǎn)管理制度要求監(jiān)督檢查服務(wù)臺(tái)績(jī)效指標(biāo)操作程序安全技術(shù)運(yùn)維管理域內(nèi)容鑒別與訪問(wèn)控制審計(jì)弱口令改進(jìn)信息安全管理措施匯編示例：技術(shù)和管理融合，才能確保信息安全安全組織與制度計(jì)劃與人80安全技術(shù)和安全管理的關(guān)系：技術(shù)、管理、運(yùn)維設(shè)備功用脆弱性面臨的威脅風(fēng)險(xiǎn)安全控制目標(biāo)安全控制措施發(fā)生可能性影響數(shù)據(jù)庫(kù)主機(jī)存儲(chǔ)、處理核心業(yè)務(wù)數(shù)據(jù)管理員弱口令猜測(cè)獲得管理員口令高冒充管理員篡改業(yè)務(wù)數(shù)據(jù)確保威脅者無(wú)法猜測(cè)管理員口令1、增加口令復(fù)雜程度2、縮短口令變更周期（從3月到1月）管理要素具體要求計(jì)劃與目標(biāo)在發(fā)現(xiàn)問(wèn)題后1天內(nèi)，非業(yè)務(wù)高峰期完成人員組織信息安全管理員督促系統(tǒng)管理員完成此改進(jìn)工作制度要求安全策略1、10個(gè)字母，含特殊字符2、口令變更周期：1月管理制度遵循《計(jì)算機(jī)信息系統(tǒng)安全管理制度》要求監(jiān)督檢查信息中心主任檢查工作完成狀況風(fēng)險(xiǎn)管理殘余風(fēng)險(xiǎn)和是否引入新的風(fēng)險(xiǎn)運(yùn)維管理要素具體描述服務(wù)臺(tái)受理請(qǐng)求、分派請(qǐng)求、跟蹤和反饋請(qǐng)求信息崗位與流程事件處理和方案評(píng)審操作程序遵循AIX主機(jī)操作手冊(cè)配置一致變更跟蹤、保持、通告績(jī)效指標(biāo)1、是否在預(yù)定時(shí)間內(nèi)完成2、是否一次性完成，無(wú)返工3、正確率4、若操作失誤，對(duì)系統(tǒng)的影響程度怎樣？需要制度保障成熟的執(zhí)行力風(fēng)險(xiǎn)要點(diǎn)完備信息安全管理措施匯編安全技術(shù)和安全管理的關(guān)系：技術(shù)、管理、運(yùn)維設(shè)備功用脆弱性面臨81小結(jié)-信息安全管理體系：通過(guò)PDCA選擇、運(yùn)行、監(jiān)視和優(yōu)化控制要素物理環(huán)境資產(chǎn)管理符合性通信與操作管理系統(tǒng)建設(shè)與維護(hù)安全方針：安全目標(biāo)和策略人力資源安全信息安全組織安全事件管理業(yè)務(wù)持續(xù)性管理訪問(wèn)控制＋風(fēng)險(xiǎn)評(píng)估資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)分析可容忍的風(fēng)險(xiǎn)管理控制PDCA：管理控制優(yōu)化供應(yīng)商管理密碼管理組織環(huán)境信息安全管理措施匯編小結(jié)-信息安全管理體系：通過(guò)PDCA選擇、運(yùn)行、監(jiān)視和優(yōu)化控82主題四12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題四12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的83等級(jí)保護(hù)是什么根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。

信息安全管理措施匯編等級(jí)保護(hù)是什么根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的84等級(jí)保護(hù)制度體現(xiàn)國(guó)家管理意志構(gòu)建國(guó)家信息安全保障體系保障信息化發(fā)展和維護(hù)國(guó)家安全信息安全管理措施匯編等級(jí)保護(hù)制度體現(xiàn)國(guó)家管理意志信息安全管理措施匯編85解決什么信息安全等級(jí)保護(hù)是手段，是為了構(gòu)建國(guó)家信息安全保障體系。信息安全保障體系也是手段，是為了業(yè)務(wù)應(yīng)用發(fā)展。信息安全等級(jí)保護(hù)是帶有很強(qiáng)技術(shù)性的國(guó)家風(fēng)險(xiǎn)控制行為信息安全管理措施匯編解決什么信息安全等級(jí)保護(hù)是手段，是為了構(gòu)建國(guó)家信息安全保障體86第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。信息系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

信息安全管理措施匯編第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益87第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)信息安全管理措施匯編第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益88第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。信息安全管理措施匯編第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害89第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。信息安全管理措施匯編第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重90第五級(jí)信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害；信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。信息安全管理措施匯編第五級(jí)信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害；信息91信息安全等級(jí)保護(hù)制度的發(fā)展歷程，早起的跋涉階段《計(jì)算機(jī)系統(tǒng)安全管理?xiàng)l例》1994年頒布提倡對(duì)計(jì)算機(jī)系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)管理《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》1999年發(fā)布信息安全等級(jí)保護(hù)要求的中國(guó)化信息安全等級(jí)保護(hù)制度的技術(shù)基礎(chǔ)《《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》2003年，中辦發(fā)27號(hào)文規(guī)定信息安全等級(jí)保護(hù)是一項(xiàng)信息化建設(shè)領(lǐng)域的基本國(guó)策信息安全等級(jí)保護(hù)方面的十大基本要求《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》2004年四部委聯(lián)合頒布，公通字66號(hào)文規(guī)定信息安全等級(jí)保護(hù)實(shí)施的目標(biāo)、原則、策略、步驟和計(jì)劃《信息安全等級(jí)保護(hù)管理辦法》2007年，公安部頒布對(duì)信息安全等級(jí)保護(hù)實(shí)踐的管理要求定級(jí)、檢查監(jiān)督和責(zé)任信息安全管理措施匯編信息安全等級(jí)保護(hù)制度的發(fā)展歷程，早起的跋涉階段《計(jì)算機(jī)系統(tǒng)安92信息安全等級(jí)保護(hù)發(fā)展歷程：近幾年深入各行業(yè)2008-10年。信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《信息系統(tǒng)通用安全技術(shù)要求》《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》測(cè)評(píng)：《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》

《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》2009年?！蛾P(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)整改工作指導(dǎo)意見(jiàn)》2010年。國(guó)資委《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》2012年。國(guó)資委《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》等保為基礎(chǔ)，深化數(shù)據(jù)保護(hù)信息安全管理措施匯編信息安全等級(jí)保護(hù)發(fā)展歷程：近幾年深入各行業(yè)2008-10年。93安全等級(jí)劃分內(nèi)涵與劃分要求業(yè)務(wù)價(jià)值和影響程度——等級(jí)不是一一對(duì)應(yīng)GB178591）安全要求第一級(jí)：身份鑒別、自主訪問(wèn)控制、完整性2）安全要求第二級(jí)：增加：審計(jì)和殘余信息保護(hù)3）安全要求第三級(jí)：增加：標(biāo)記和強(qiáng)制訪問(wèn)控制……安全保障能力要求政策要求：27號(hào)文：綱領(lǐng)性文件，信息安全等級(jí)保護(hù)為安全國(guó)策66號(hào)文：四部委關(guān)于等級(jí)保護(hù)實(shí)施的計(jì)劃43號(hào)文：公安部的信息安全等級(jí)保護(hù)管理辦法信息安全管理措施匯編安全等級(jí)劃分內(nèi)涵與劃分要求業(yè)務(wù)價(jià)值和影響程度——等94小結(jié)-安全等級(jí)保護(hù)中的“等級(jí)”：“投入-產(chǎn)出”是否與價(jià)值等級(jí)相符？業(yè)務(wù)價(jià)值等級(jí)安全功能等級(jí)抗攻擊能力等級(jí)業(yè)務(wù)自身特點(diǎn)決定與安全措施無(wú)關(guān)代表安全投入程度與業(yè)務(wù)價(jià)值等級(jí)相匹配代表安全產(chǎn)出是安全功能強(qiáng)度運(yùn)作的結(jié)果定級(jí)：業(yè)務(wù)因安全損失對(duì)客體的影響基本要求：安全等級(jí)對(duì)應(yīng)的安全要求集合安全強(qiáng)度：滲透測(cè)試等驗(yàn)證，無(wú)確定性要求信息安全管理措施匯編小結(jié)-安全等級(jí)保護(hù)中的“等級(jí)”：“投入-產(chǎn)出”是否與價(jià)值等級(jí)95安全等級(jí)定級(jí)和測(cè)評(píng)備案從業(yè)務(wù)入手定級(jí)，基于安全等級(jí)規(guī)劃安全體系信息系統(tǒng)定級(jí)安全規(guī)劃安全方案設(shè)計(jì)安全實(shí)施與運(yùn)維信息系統(tǒng)廢棄安全等級(jí)測(cè)評(píng)信息系統(tǒng)備案安全整改設(shè)計(jì)等級(jí)符合性檢查應(yīng)急預(yù)案及演練安全整改要求等級(jí)變更等保測(cè)評(píng)局部調(diào)整外部檢查自主測(cè)評(píng)安全整改要求信息安全管理措施匯編安全等級(jí)定級(jí)和測(cè)評(píng)備案從業(yè)務(wù)入手定級(jí)，基于安全等級(jí)規(guī)劃安全體96等級(jí)保護(hù)安全框架：安全域示意信息安全管理措施匯編等級(jí)保護(hù)安全框架：安全域示意信息安全管理措施匯編97安全等級(jí)——適度安全的深化安全需求對(duì)應(yīng)安全技術(shù)和安全管理要求：安全等級(jí)凈收益＝總收益－投入－殘余風(fēng)險(xiǎn)：收益是“價(jià)值等級(jí)”投入少，則風(fēng)險(xiǎn)增大投入、收益、風(fēng)險(xiǎn)間的均衡一定的安全等級(jí)對(duì)應(yīng)：相應(yīng)的安全要求（投入）、收益（功能強(qiáng)度和抗攻擊強(qiáng)度）、殘余風(fēng)險(xiǎn)（容忍的底線）；收益應(yīng)用業(yè)務(wù)價(jià)值度量信息安全管理措施匯編安全等級(jí)——適度安全的深化安全需求對(duì)應(yīng)安全技術(shù)和安全管理要求98等級(jí)－適度安全的“度”的細(xì)化業(yè)務(wù)價(jià)值等級(jí)搭建業(yè)務(wù)人員和信息安全人員溝通橋梁，溝通更好業(yè)務(wù)——IT系統(tǒng)——安全措施：分布、嵌入，安全真正以業(yè)務(wù)績(jī)效為基準(zhǔn)安全投入——安全策略分類更細(xì)致選擇更準(zhǔn)確安全強(qiáng)度——收益級(jí)別——更精細(xì)效應(yīng)：以業(yè)務(wù)價(jià)值度量為基準(zhǔn)——更精確、動(dòng)態(tài)的決策層面不僅局限于IT或信息安全管理者，更可作為業(yè)務(wù)管理者的決策支持細(xì)——準(zhǔn)——精信息安全管理措施匯編等級(jí)－適度安全的“度”的細(xì)化業(yè)務(wù)價(jià)值等級(jí)細(xì)——準(zhǔn)——精信息安99項(xiàng)目工作依據(jù)：政策信息安全管理措施匯編項(xiàng)目工作依據(jù)：政策信息安全管理措施匯編100制度化、標(biāo)準(zhǔn)化的信息安全建設(shè)與管理評(píng)估采購(gòu)集成監(jiān)理認(rèn)證認(rèn)可運(yùn)維評(píng)估監(jiān)管保險(xiǎn)公安：《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理?xiàng)l例》《北京市國(guó)家機(jī)關(guān)重大信息安全事件報(bào)告制度》(試行)保密局：《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法（試行）》安全工程管理/《北京市信息系統(tǒng)工程監(jiān)理管理辦法》(試行)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》ISO20000產(chǎn)品/系統(tǒng)安全標(biāo)準(zhǔn)信息安全管理措施匯編制度化、標(biāo)準(zhǔn)化的信息安全建設(shè)與管理評(píng)估采購(gòu)集成監(jiān)理認(rèn)證運(yùn)維評(píng)101主題五12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題五12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的102企業(yè)信息安全建設(shè)發(fā)展歷程：伴隨信息化發(fā)展，從重技術(shù)，到重管理和體系聯(lián)網(wǎng)和業(yè)務(wù)操作網(wǎng)絡(luò)和應(yīng)用系統(tǒng)集成與規(guī)劃深度融合戰(zhàn)略互動(dòng)單機(jī)防病毒防火墻IDS數(shù)據(jù)保密存儲(chǔ)備份安全技術(shù)體系動(dòng)態(tài)安全風(fēng)險(xiǎn)管理點(diǎn)面體融合智能安全管理體系組織環(huán)境體系融合-業(yè)務(wù)風(fēng)險(xiǎn)管理云安全智能安全自適應(yīng)安全信息安全管理措施匯編企業(yè)信息安全建設(shè)發(fā)展歷程：伴隨信息化發(fā)展，從重技術(shù)，到重管理103小結(jié)：當(dāng)前信息安全管理的價(jià)值趨向效益化成本控制成本均衡：與其他的互補(bǔ)業(yè)務(wù)影響分析104專屬化側(cè)重業(yè)務(wù)設(shè)計(jì)業(yè)務(wù)分析業(yè)務(wù)持續(xù)性管理云計(jì)算和物聯(lián)網(wǎng)為發(fā)展基礎(chǔ)國(guó)家化：安全知識(shí)產(chǎn)權(quán)保護(hù)信息情報(bào)信息共享與安全精細(xì)化動(dòng)態(tài)安全風(fēng)險(xiǎn)估算安全決策智能化、自適應(yīng)業(yè)務(wù)調(diào)度與業(yè)務(wù)風(fēng)險(xiǎn)管理信息安全管理措施匯編小結(jié)：當(dāng)前信息安全管理的價(jià)值趨向效益化104專屬化云計(jì)算和物第三講信息安全管理措施信息安全管理措施匯編第三講信息安全管理措施信息安全管理措施匯編105主題一12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的基本概念小結(jié)信息安全等級(jí)保護(hù)簡(jiǎn)介信息安全管理措施匯編主題一12345關(guān)于信息安全的定位安全管理措施信息安全風(fēng)險(xiǎn)的106信息安全管理體系（ISMS）：27001-2013版的“高要求”

1

是一組過(guò)程

3

組織管理框架的一部分：兩個(gè)重要

2

戰(zhàn)略性決策

4

用途采用ISMS是組織的一項(xiàng)戰(zhàn)略性決策受到組織的需要和目標(biāo)、安全要求、組織過(guò)程以及組織的結(jié)構(gòu)和規(guī)模的影響采用風(fēng)險(xiǎn)管理過(guò)程來(lái)確保信息的CIA-誰(shuí)的信息？目的：給予相關(guān)方信心-風(fēng)險(xiǎn)已被充分管控是組織過(guò)程和整體框架的一部分組織的過(guò)程、信息系統(tǒng)和控制的設(shè)計(jì)需考慮安全內(nèi)外組織使用-評(píng)估某組織的能力能力：滿足自身安全要求的能力分析起點(diǎn)和定位高：戰(zhàn)略和管理框架客戶交付：信心能力：滿足自身安全要求-非滿足客戶安全要求可操作性：不夠細(xì)戰(zhàn)略因素？與ISMS和風(fēng)險(xiǎn)評(píng)估的銜接？如何體現(xiàn)定位的“高度”27001-13版的高要求和高定位信息安全管理措施匯編信息安全管理體系（ISMS）：27001-2013版的“高要107高定位的解讀1、是組織的一項(xiàng)戰(zhàn)略性決策2、在組織的過(guò)程、IS和控制的設(shè)計(jì)中3、風(fēng)險(xiǎn)已被管控的信心信息安全管理體系戰(zhàn)略性決策：需要領(lǐng)導(dǎo)力和承諾——安全方針、安全目標(biāo)與組織的戰(zhàn)略方向一致需要了解業(yè)務(wù)模式、產(chǎn)品、用戶和市場(chǎng)（內(nèi)外環(huán)境識(shí)別）需要了解信息對(duì)它們的作用（信息的價(jià)值）需要明確信息價(jià)值可能的損失明確信息安全方針和安全目標(biāo)業(yè)務(wù)設(shè)計(jì)：過(guò)程、IS和控制設(shè)計(jì)中考慮信息安全——企業(yè)運(yùn)行于流程之上，信息在流程中的作用戰(zhàn)略方向中，信息價(jià)值在流程中體現(xiàn)業(yè)務(wù)流程設(shè)計(jì)與優(yōu)化，信息的作用？需要明確信息價(jià)值可能的損失設(shè)計(jì)業(yè)務(wù)流程和支撐系統(tǒng)中的信息安全需要考慮內(nèi)控等中的信息安全給予相關(guān)利益方風(fēng)險(xiǎn)已被管控的信心——誰(shuí)擁有業(yè)務(wù)，誰(shuí)就是業(yè)務(wù)風(fēng)險(xiǎn)的責(zé)任人相關(guān)利益方：內(nèi)外人員-組織環(huán)境識(shí)別中獲取誰(shuí)是風(fēng)險(xiǎn)責(zé)任人：業(yè)務(wù)擁有者信心：內(nèi)外人員，業(yè)務(wù)是安全的手段：信息安全管理體系ISMS是一種滿足自身安全要求的能力-安全要求指風(fēng)險(xiǎn)被管控決策執(zhí)行績(jī)效-監(jiān)督信息安全管理措施匯編高定位的解讀1、是組織的一項(xiàng)戰(zhàn)略性決策2、在組織的過(guò)程、IS1081、戰(zhàn)略性決策決定了高層如何看待信息安全？如何建立與之匹配的安全方針和目標(biāo)？高層執(zhí)行團(tuán)隊(duì)?wèi)?zhàn)略期望行為關(guān)鍵資產(chǎn)人力資產(chǎn)金融資產(chǎn)實(shí)物資產(chǎn)知識(shí)產(chǎn)權(quán)資產(chǎn)信息和IT資產(chǎn)關(guān)系資產(chǎn)財(cái)務(wù)治理機(jī)制（委員會(huì)、預(yù)算等）IT治理機(jī)制（委員會(huì)、預(yù)算等）董事會(huì)股東監(jiān)控利益相關(guān)者披露公司治理關(guān)鍵資產(chǎn)治理需要理解組織內(nèi)外環(huán)境需要了解業(yè)務(wù)模式、產(chǎn)品、用戶和市場(chǎng)需要理解信息在戰(zhàn)略發(fā)展中的價(jià)值需要理解降低信息價(jià)值的風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)是其中的風(fēng)險(xiǎn)之一信息安全管理措施匯編1、戰(zhàn)略性決策決定了高層如何看待信息安全？如何建立與之匹配的109物理層面網(wǎng)絡(luò)層面系統(tǒng)層面安全人員應(yīng)該主動(dòng)了解信息安全管理體系的內(nèi)外環(huán)境-內(nèi)部環(huán)境，決定了信息安全的推動(dòng)力物理環(huán)境物理設(shè)備存儲(chǔ)介質(zhì)通信設(shè)施網(wǎng)絡(luò)邊界網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)設(shè)備安全設(shè)備服務(wù)器DB主機(jī)存儲(chǔ)系統(tǒng)中間件決策支持管理系統(tǒng)數(shù)據(jù)處理智能應(yīng)用應(yīng)用層面商業(yè)智能搜素信息內(nèi)容管理數(shù)據(jù)管理統(tǒng)一消息管理客戶交易與業(yè)務(wù)價(jià)值虛擬化IT戰(zhàn)略符合IT治理-COBIT信息安全風(fēng)險(xiǎn)ITIL運(yùn)維IT審計(jì)合規(guī)：20000/27001人員-組織-崗位-績(jī)效業(yè)務(wù)戰(zhàn)略符合企業(yè)治理風(fēng)險(xiǎn)管理企業(yè)運(yùn)營(yíng)審計(jì)內(nèi)控與合規(guī)企業(yè)管理管理層：IT管理程序PDCAIT資源和IT能力信息準(zhǔn)則-IT服務(wù)或能力業(yè)務(wù)過(guò)程和IT系統(tǒng)IT管理企業(yè)管理信息安全管理措施匯編物理層面網(wǎng)絡(luò)層面系統(tǒng)層面安全人員應(yīng)該主動(dòng)了解信息安全管理體系110戰(zhàn)略明道（示例）：信息安全方針和目標(biāo)與組織的戰(zhàn)略方向一致某組織業(yè)務(wù)的例子產(chǎn)品的戰(zhàn)略方向質(zhì)量成本響應(yīng)效率業(yè)務(wù)模式改進(jìn)人員服務(wù)前置，質(zhì)量為本盡可能降低溝通和交易成本及時(shí)響應(yīng)客戶強(qiáng)大的后臺(tái)能力與客戶共享信息與IT要素信息處理或決策支持快速準(zhǔn)確持續(xù)性降低交易成本應(yīng)變和靈活性強(qiáng)；對(duì)IT依賴高CRM-客戶理財(cái)與組織能力更密切的結(jié)合IT基礎(chǔ)設(shè)施（容量、可用性）大規(guī)模用戶遠(yuǎn)程并發(fā)響應(yīng)一定人員規(guī)模下，交易量大增，單位人交易成本低IT技術(shù)革新（云計(jì)算）更安全批量，交易成本降低更多方式