信息安全管理基礎(chǔ)

第二章信息安全管理基礎(chǔ)

劉永華（教授）1/5/20231本章內(nèi)容信息安全管理體系信息安全管理標(biāo)準(zhǔn)信息安全策略信息安全技術(shù)1/5/20232信息技術(shù)/網(wǎng)絡(luò)技術(shù)改變生活方式政府商業(yè)個(gè)人生活金融1/5/20233信息安全現(xiàn)狀日益增長(zhǎng)的安全威脅攻擊技術(shù)越來(lái)越復(fù)雜入侵條件越來(lái)越簡(jiǎn)單1/5/20234黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門(mén)、隱蔽通道蠕蟲(chóng)1/5/20235安全事件每年都有上千家政府網(wǎng)站被攻擊安全影響任何網(wǎng)絡(luò)都可能遭受入侵1/5/20236系統(tǒng)的定義：系統(tǒng)是由相互作用和相互依賴(lài)的若干部分結(jié)合成的具特定功能的整體。系統(tǒng)一般包括下列因素：1、一種產(chǎn)品或者組件，如計(jì)算機(jī)、所有的外部設(shè)備等；

2、操作系統(tǒng)、通信系統(tǒng)和其他相關(guān)的設(shè)備、軟件，構(gòu)成了一個(gè)組織的基本結(jié)構(gòu)；

3、多個(gè)應(yīng)用系統(tǒng)或軟件（財(cái)務(wù)、人事、業(yè)務(wù)等）

4、it部門(mén)的員工

5、內(nèi)部用戶(hù)和管理層

6、客戶(hù)和其他外部用戶(hù)

7、周?chē)h(huán)境，包括媒體、競(jìng)爭(zhēng)者、上層管理機(jī)構(gòu)。1/5/20237信息安全管理覆蓋的內(nèi)容非常廣泛，涉及到信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及生命周期的各個(gè)階段。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個(gè)全面的有機(jī)整體，以使管理措施保障達(dá)到信息安全的目，這個(gè)有機(jī)整體被稱(chēng)為信息安全管理體系。信息安全管理體系1/5/20238物理層面網(wǎng)絡(luò)層面系統(tǒng)層面應(yīng)用層面管理層面安全管理制度業(yè)務(wù)處理流程

業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)

身份鑒別機(jī)制強(qiáng)制訪問(wèn)控制防火墻入侵檢測(cè)系統(tǒng)物理設(shè)備安全環(huán)境安全信息安全體系信息系統(tǒng)安全體系結(jié)構(gòu)1/5/20239定義：信息安全管理體系（InformationSecurityManagementSystem，ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動(dòng)的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。信息安全管理體系定義1/5/202310建立立信信息息安安全全管管理理體體系系的的意意義義ISMS是是組組織織整整體體管管理理體體系系的的一一部部分分，，是是組組織織在在整整體體或或特特定定范范圍圍內(nèi)內(nèi)建建立立信信息息安安全全的的方方針針和和目目標(biāo)標(biāo)，，以以及及完完成成這這些些目目標(biāo)標(biāo)所所用用的的方方法法的的體體系系。。安全全管管理理體體系系是是安安全全技技術(shù)術(shù)體體系系真真正正有有效效發(fā)發(fā)揮揮保保護(hù)護(hù)作作用用的的重重要要保保障障，，安安全全管管理理體體系系的的涉涉及及立立足足于于總總體體安安全全策策略略，，并并與與安安全全技技術(shù)術(shù)體體系系相相互互配配合合，，增增強(qiáng)強(qiáng)技技術(shù)術(shù)防防護(hù)護(hù)體體系系的的效效率率和和效效果果，，同同時(shí)時(shí)，，也也彌彌補(bǔ)補(bǔ)當(dāng)當(dāng)前前技技術(shù)術(shù)無(wú)無(wú)法法完完全全解解決決的的安安全全缺缺陷陷。。12/29/202211強(qiáng)化化員員工工的的信信息息安安全全意意識(shí)識(shí)，，規(guī)規(guī)范范組組織織信信息息安安全全行行為為；；促使使管管理理層層貫貫徹徹信信息息安安全全保保障障體體系系；；對(duì)組組織織的的關(guān)關(guān)鍵鍵信信息息資資產(chǎn)產(chǎn)進(jìn)進(jìn)行行全全面面系系統(tǒng)統(tǒng)的的保保護(hù)護(hù)，，維維持持競(jìng)競(jìng)爭(zhēng)爭(zhēng)優(yōu)優(yōu)勢(shì)勢(shì)；；在信信息息系系統(tǒng)統(tǒng)受受到到侵侵襲襲時(shí)時(shí)，，確確保保業(yè)業(yè)務(wù)務(wù)持持續(xù)續(xù)開(kāi)開(kāi)展展并并將將損損失失降降到到最最低低程程度度；；使組組織織的的生生意意伙伙伴伴和和客客戶(hù)戶(hù)對(duì)對(duì)組組織織充充滿(mǎn)滿(mǎn)信信心心；；如果果通通過(guò)過(guò)體體系系認(rèn)認(rèn)證證，，表表明明體體系系符符合合標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，證證明明組組織織有有能能力力保保障障重重要要信信息息，，可可以以提提高高組組織織的的知知名名度度與與信信任任度度。。組織織建建立立、、實(shí)實(shí)施施與與保保持持ISMS將將會(huì)會(huì)產(chǎn)產(chǎn)生生如如下下作作用用：12/29/202212ISO27001是建建立立和和維維護(hù)護(hù)信信息息安安全全管管理理體體系系的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，它它要要求求應(yīng)應(yīng)該該通通過(guò)過(guò)這這樣樣的的過(guò)過(guò)程程來(lái)來(lái)建建立立ISMS框框架架：：確確定定體體系系范范圍圍，，制制定定信信息息安安全全側(cè)側(cè)率率，，明明確確管管理理職職責(zé)責(zé)，，通通過(guò)過(guò)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估確確定定控控制制目目標(biāo)標(biāo)和和控控制制方方式式。。ISO27001非非常常強(qiáng)強(qiáng)調(diào)調(diào)信信息息安安全全管管理理過(guò)過(guò)程程中中文文件件化化的的工工作作，，ISMS的的文文件件體體系系應(yīng)應(yīng)該該包包括括安安全全策策略略、、適適用用性性聲聲明明（（選選擇擇和和未未選選擇擇的的控控制制目目標(biāo)標(biāo)和和控控制制措措施施））、、實(shí)實(shí)施施安安全全控控制制所所需需的的程程序序文文件件、、ISMS管管理理和和操操作作程程序序，，以以及及組組織織圍圍繞繞ISMS開(kāi)開(kāi)展展的的所所有有活活動(dòng)動(dòng)的的證證明明材材料料。。信息息安安全全管管理理體體系系標(biāo)標(biāo)準(zhǔn)準(zhǔn)12/29/202213信息息安安全全管管理理的的基基本本原原則則一、、總總體體原原則則1、、主主要要領(lǐng)領(lǐng)導(dǎo)導(dǎo)負(fù)負(fù)責(zé)責(zé)原原則則2、、規(guī)規(guī)范范定定級(jí)級(jí)原原則則3、、以以人人為為本本原原則則4、、適適度度安安全全原原則則5、、全全面面防防范范、、突突出出重重點(diǎn)點(diǎn)原原則則6、、系系統(tǒng)統(tǒng)、、動(dòng)動(dòng)態(tài)態(tài)原原則則7、、控控制制社社會(huì)會(huì)影影響響原原則則。。二、、安安全全策策略略管管理理1、、分分權(quán)權(quán)制制衡衡2、、最最小小特特權(quán)權(quán)3、、選選用用成成熟熟技技術(shù)術(shù)4、、普普遍遍參參與與。。12/29/202214信息安全全保證工工作事關(guān)關(guān)大局，，企業(yè)、、組織各各級(jí)領(lǐng)導(dǎo)導(dǎo)應(yīng)該把把信息安安全列為為其最重重要的工工作內(nèi)容容之一，，并負(fù)責(zé)責(zé)成提高高、加強(qiáng)強(qiáng)內(nèi)部人人員的安安全意識(shí)識(shí)，組織織有效的的技術(shù)和和管理隊(duì)隊(duì)伍，調(diào)調(diào)動(dòng)優(yōu)化化配置必必要的資資源和經(jīng)經(jīng)費(fèi)，協(xié)協(xié)調(diào)信息息安全管管理工作作與各部部門(mén)工作作的關(guān)系系，確保保信息安安全保障障工作的的落實(shí)和和效果。。主要領(lǐng)導(dǎo)導(dǎo)負(fù)責(zé)原原則12/29/202215規(guī)范定級(jí)級(jí)原則分級(jí)、分分類(lèi)是信信息安全全保障工工作有的的放矢的的前提，，是界定定和保護(hù)護(hù)重點(diǎn)信信息系統(tǒng)統(tǒng)的依據(jù)據(jù)，只有有通過(guò)合合理、規(guī)規(guī)范的分分級(jí)、分分類(lèi)才能能落實(shí)重重點(diǎn)投資資、重點(diǎn)點(diǎn)防護(hù)。。12/29/202216以人為本本原則信息安全全保障在在很大程程度上受受制于人人為的因因素。加加強(qiáng)信息息安全教教育、培培訓(xùn)和管管理，強(qiáng)強(qiáng)化安全全意識(shí)和和法制觀觀念，提提升職業(yè)業(yè)道德，，掌握安安全技術(shù)術(shù)，確保保措施落落實(shí)是做做好信息息安全管管理工作作的重要要保證。。12/29/202217適度安安全原原則安全需需求的的不斷斷增加加和現(xiàn)現(xiàn)實(shí)資資源的的局限限性是是安全全決策策處于于兩難難境地地，恰恰當(dāng)?shù)氐仄胶夂獍踩度肴肱c效效果是是從全全局上上處置置好安安全管管理工工作的的出發(fā)發(fā)點(diǎn)。。12/29/202218全面防防范、、突出出重點(diǎn)點(diǎn)的原原則全面防防范是是保障障信息息系統(tǒng)統(tǒng)安全全的關(guān)關(guān)鍵。。它需需要從從人員員、管管理和和技術(shù)術(shù)等方方面，，在預(yù)預(yù)警、、保護(hù)護(hù)、檢檢測(cè)、、反應(yīng)應(yīng)、恢恢復(fù)和和跟蹤蹤等多多個(gè)環(huán)環(huán)節(jié)上上采用用多種種技術(shù)術(shù)實(shí)現(xiàn)現(xiàn)。同同時(shí)，，又要要從組組織和和機(jī)構(gòu)構(gòu)的實(shí)實(shí)際情情況出出發(fā)，，突出出自身身的安安全管管理重重點(diǎn)。。12/29/202219系統(tǒng)、、動(dòng)態(tài)態(tài)原則則信息安安全管管理工工作的的系統(tǒng)統(tǒng)特征征突出出。要要按照照系統(tǒng)統(tǒng)工程程的要要求，，注意意各方方面、、各層層次、、各時(shí)時(shí)期的的相互互協(xié)調(diào)調(diào)、匹匹配和和銜接接，以以便體體現(xiàn)系系統(tǒng)集集成效效果和和前期期投入入的效效益。。同時(shí)時(shí)，信信息安安全又又是一一種狀狀態(tài)和和動(dòng)態(tài)態(tài)反饋饋過(guò)程程，隨隨著安安全利利益和和系統(tǒng)統(tǒng)脆弱弱性時(shí)時(shí)空分分布的的變化化，威威脅程程度的的提高高，系系統(tǒng)環(huán)環(huán)境的的變化化以及及人員員對(duì)系系統(tǒng)安安全認(rèn)認(rèn)識(shí)的的深化化等，，應(yīng)及及時(shí)地地將現(xiàn)現(xiàn)有的的安全全策略略、風(fēng)風(fēng)險(xiǎn)接接受程程度和和保護(hù)護(hù)措施施進(jìn)行行復(fù)查查、修修改、、調(diào)整整以至至提升升安全全管理理等級(jí)級(jí)。12/29/202220控制社社會(huì)影影響原原則對(duì)安全全事件件的處處理應(yīng)應(yīng)有授授權(quán)者者適時(shí)時(shí)披露露并發(fā)發(fā)布準(zhǔn)準(zhǔn)確一一致的的有關(guān)關(guān)信息息，避避免帶帶來(lái)不不良的的社會(huì)會(huì)影響響。12/29/202221分權(quán)制制衡策策略減少未未授權(quán)權(quán)的修修改或或?yàn)E用用系統(tǒng)統(tǒng)資源源的機(jī)機(jī)會(huì)，，對(duì)特特定職職能或或責(zé)任任領(lǐng)域域的管管理能能力實(shí)實(shí)施分分離、、獨(dú)立立審計(jì)計(jì)，避避免操操作權(quán)權(quán)力過(guò)過(guò)分集集中。。12/29/202222最小特特權(quán)策策略任何實(shí)實(shí)體（（如用用戶(hù)、、管理理員、、進(jìn)程程、應(yīng)應(yīng)用或或系統(tǒng)統(tǒng)）僅僅享有有該實(shí)實(shí)體需需要完完成其其任務(wù)務(wù)所必必需的的特權(quán)權(quán)，不不應(yīng)享享有任任何多多余的的特權(quán)權(quán)。12/29/202223選用成熟熟技術(shù)策策略成熟的技技術(shù)提供供了可靠靠性、穩(wěn)穩(wěn)定性保保證，采采用新技技術(shù)時(shí)要要重視其其成熟的的程度。。如果新新技術(shù)勢(shì)勢(shì)在必行行，應(yīng)該該首先局局部試點(diǎn)點(diǎn)，然后后逐步推推廣，減減少或避避免可能能出現(xiàn)的的損失。。12/29/202224普遍參與與策略不論信息息系統(tǒng)的的安全等等級(jí)如何何，要求求信息系系統(tǒng)所涉涉及的人人員普遍遍參與并并與社會(huì)會(huì)相關(guān)方方面協(xié)同同、協(xié)調(diào)調(diào)，共同同保障信信息系統(tǒng)統(tǒng)安全。。12/29/202225信息安全全管理的的目標(biāo)如如下：目

標(biāo)描

述合規(guī)性管理的合規(guī)性，主要是指在有章可循的基礎(chǔ)之上，確保信息安全工作符合國(guó)家法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，機(jī)構(gòu)內(nèi)部的方針和規(guī)定。流程規(guī)范性管理是過(guò)程性的工作。要確保信息安全工作的相關(guān)過(guò)程具有規(guī)范性。整體協(xié)調(diào)性信息安全管理工作不能獨(dú)立進(jìn)行，不可能超越機(jī)構(gòu)其他方面的管理工作而達(dá)到更高的級(jí)別。因此，信息安全保障工作需要與其他方面的管理工作一起協(xié)調(diào)開(kāi)展。執(zhí)行落實(shí)性通過(guò)檢查、監(jiān)督、審計(jì)、稽核等手段促進(jìn)信息安全保障工作的落實(shí)。變更可控性信息系統(tǒng)中的任何變更需要有全程的監(jiān)控管理。責(zé)任性確保信息安全責(zé)任能夠追究到人。持續(xù)改進(jìn)通過(guò)開(kāi)展信息安全管理，不斷發(fā)現(xiàn)問(wèn)題和解決問(wèn)題，形成持續(xù)改進(jìn)的信息安全保障態(tài)勢(shì)。計(jì)劃性信息安全保障工作能夠有計(jì)劃、分階段的展開(kāi)，確保信息安全投資能夠產(chǎn)生最大效益。12/29/202226信息安全全管理內(nèi)內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實(shí)性變更可控性責(zé)任性持續(xù)改進(jìn)型計(jì)劃性合規(guī)性信息安全管理內(nèi)容12/29/2022271、通過(guò)過(guò)信息安安全管理理過(guò)程完完成信息息安全管管理方面面的要求求。2、通過(guò)過(guò)信息安安全管理理過(guò)程驅(qū)驅(qū)動(dòng)信息息安全技技術(shù)的實(shí)實(shí)施，達(dá)達(dá)到信息息安全在在技術(shù)方方面的要要求。信息息安安全全管管理理的的基基本本任任務(wù)務(wù)12/29/202228信息息安安全全方方針針與與策策略略信息息安安全全方方針針和和策策略略主要要包包括括對(duì)信信息息安安全全進(jìn)進(jìn)行行總總體體性性指指導(dǎo)導(dǎo)和和規(guī)規(guī)劃劃的的管管理理過(guò)過(guò)程程。。這這些些過(guò)過(guò)程程包包括括：：安安全全方方針針和和策策略略、、資資金金投投入入管管理理和和信信息息安安全全規(guī)規(guī)劃劃等等。。12/29/202229安全全方方針針和和策策略略方針針和和策策略略屬屬于于一一般般管管理理中中的的策策略略管管理理。。方方針針和和策策略略是是信信息息安安全全保保障障工工作作的的整整體體性性指指導(dǎo)導(dǎo)和和要要求求。。安安全全方方針針和和策策略略需需要要有有相相應(yīng)應(yīng)的的制制定定、、審審核核和和改改進(jìn)進(jìn)過(guò)過(guò)程程。。12/29/202230資金投入管管理信息安全保保障工作需需要有足夠夠的資金支支撐。但從從另一個(gè)方方面來(lái)講，，絕對(duì)的安安全是無(wú)法法實(shí)現(xiàn)的，，因此，需需要考慮資資金投入和和經(jīng)濟(jì)效益益之間的平平衡。12/29/202231信息安全規(guī)規(guī)劃信息安全保保障工作是是一項(xiàng)涉及及面較廣的的工作，同同時(shí)也是一一項(xiàng)持續(xù)的的、長(zhǎng)期的的工作。因因此，信息息安全保障障工作需要要有長(zhǎng)期、中期期、短期的的計(jì)劃。12/29/202232信息安全人人員和組織織人員和組織織管理是信信息安全管管理的基本本過(guò)程。人人員和組織織是執(zhí)行信信息安全保保障工作的的主體。12/29/202233在人員和組組織管理方方面，最基基本的管理理包括：1、保障有有足夠的人人力資源從從事信息安安全保障工工作；2、確保人人員有明確確的角色和和責(zé)任；3、保證從從業(yè)人員經(jīng)經(jīng)過(guò)了適當(dāng)當(dāng)?shù)男畔舶踩逃秃团嘤?xùn)，有有足夠的安安全意識(shí)。。4、機(jī)構(gòu)中中的信息安安全相關(guān)人人員能夠在在有效的組組織結(jié)構(gòu)下下展開(kāi)工作作。12/29/202234基于信息系系統(tǒng)各個(gè)層層次的安全全管理信息系統(tǒng)是是有層次的的。因此在在信息系統(tǒng)統(tǒng)的安全保保護(hù)中也存在層次的的特點(diǎn)，對(duì)應(yīng)各個(gè)個(gè)層次也有有相應(yīng)的信信息安全管管理工作。。基于信息息系統(tǒng)的各各個(gè)層次，，可相應(yīng)在在如下層次次中開(kāi)展信信息安全管管理：環(huán)境和設(shè)備備安全、網(wǎng)網(wǎng)絡(luò)和通信信安全、主主機(jī)和系統(tǒng)統(tǒng)安全、應(yīng)應(yīng)用和業(yè)務(wù)務(wù)安全、數(shù)數(shù)據(jù)安全。。12/29/202235環(huán)境和設(shè)設(shè)備安全全也稱(chēng)為物物理安全全。在這類(lèi)類(lèi)安全管管理過(guò)程程中，主主要是涉涉及信息息系統(tǒng)和和信息工工作所在在的環(huán)境境安全，，以及信信息設(shè)備備方面的的安全。。另外，，文檔和和介質(zhì)是是存儲(chǔ)數(shù)數(shù)據(jù)的特特殊載體體，因此此，也應(yīng)應(yīng)當(dāng)對(duì)其其進(jìn)行適適度的管管理。物物理安全全是上層層安全的的基礎(chǔ)。。12/29/202236網(wǎng)絡(luò)和通通信安全全網(wǎng)絡(luò)系統(tǒng)統(tǒng)和通信信系統(tǒng)使使得信息息系統(tǒng)可可以覆蓋蓋各個(gè)地地理位置置和業(yè)務(wù)務(wù)場(chǎng)所。。網(wǎng)絡(luò)和和通信安安全，特特別是全全程全網(wǎng)網(wǎng)的安全全是信息息安全保保障工作作的關(guān)鍵鍵環(huán)節(jié)。。12/29/202237主機(jī)和系系統(tǒng)安全全主機(jī)及主主機(jī)上的的操作系系統(tǒng)、數(shù)數(shù)據(jù)庫(kù)管管理系統(tǒng)統(tǒng)以及各各種支撐撐系統(tǒng)等等，是承承載業(yè)務(wù)務(wù)系統(tǒng)的的基礎(chǔ)平平臺(tái)。主主機(jī)和系系統(tǒng)是信信息系統(tǒng)統(tǒng)威脅的的主要目目標(biāo)之一一。12/29/202238應(yīng)用和業(yè)業(yè)務(wù)安全全應(yīng)用和業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)是最終終實(shí)現(xiàn)各各項(xiàng)業(yè)務(wù)務(wù)工作的的上層系系統(tǒng)。對(duì)對(duì)相應(yīng)應(yīng)應(yīng)用系統(tǒng)統(tǒng)的安全全管理要要與具體體的業(yè)務(wù)務(wù)特點(diǎn)相相結(jié)合。。12/29/202239數(shù)據(jù)安安全數(shù)據(jù)安安全在在信息息安全全中占占有非非常重重要的的地位位。數(shù)數(shù)據(jù)的的保密性性、數(shù)據(jù)據(jù)的完整性性、數(shù)據(jù)據(jù)內(nèi)容容的真實(shí)性性和可靠性性等安全全特性性的要要求在在業(yè)務(wù)務(wù)中都都非常常突出出。12/29/202240基于信信息系系統(tǒng)生生命周周期的的安全全管理理信息系系統(tǒng)是是由生生命周周期的的。信信息安安全保保障也也涉及及到信信息系系統(tǒng)生生命周周期的的各個(gè)個(gè)階段段。信息系系統(tǒng)生生命周周期可可以劃劃分為為兩個(gè)個(gè)階段段：1、系系統(tǒng)投投入前前的工工程設(shè)設(shè)計(jì)和和開(kāi)發(fā)發(fā)階段段；2、系系統(tǒng)的的運(yùn)行行和維維護(hù)階階段。。12/29/202241信息系統(tǒng)安安全和信息息系統(tǒng)本身身的三同步步1、同步規(guī)規(guī)劃2、同步建建設(shè)3、同步運(yùn)運(yùn)行12/29/202242項(xiàng)目工程安安全管理在信息系統(tǒng)統(tǒng)投入運(yùn)行行前，信息息系統(tǒng)安全全的能力、、強(qiáng)度、脆脆弱性、可可改進(jìn)的潛潛力等方面面有相當(dāng)?shù)牡牟糠忠呀?jīng)經(jīng)確定和定定型。因此此，對(duì)于一一個(gè)信息系系統(tǒng)，不應(yīng)應(yīng)當(dāng)在系統(tǒng)統(tǒng)建設(shè)完成成后再考慮慮信息安全全問(wèn)題，而而應(yīng)當(dāng)從系系統(tǒng)建設(shè)的的初期開(kāi)始始，在建設(shè)設(shè)的整個(gè)過(guò)過(guò)程中同步步考慮。12/29/202243日常運(yùn)行于于維護(hù)的安安全管理一個(gè)信息系系統(tǒng)及其信信息安全系系統(tǒng)建設(shè)完完成后，其其安全工作作并沒(méi)有結(jié)結(jié)束。真正正的安全效效果需要通通過(guò)日常運(yùn)運(yùn)行中的安安全管理來(lái)來(lái)實(shí)現(xiàn)，工工程過(guò)程中中奠定的信信息安全基基礎(chǔ)需要通通過(guò)管理手手段加以發(fā)發(fā)揮。12/29/202244配置管理和和變更管理理配置管理和和變更管理理是任何形形式的管理理中不可或或缺的管理理過(guò)程。在在信息安全全管理中，，這兩方面面管理的作作用尤為突突出。1、配置管理：從信息安全全管理的角角度看，應(yīng)應(yīng)當(dāng)對(duì)被保保護(hù)的資產(chǎn)產(chǎn)以及相應(yīng)應(yīng)的保護(hù)措措施進(jìn)行配配置描述，，并應(yīng)當(dāng)對(duì)對(duì)各個(gè)配置置描述進(jìn)行行持續(xù)的跟跟蹤管理。。2、變更管理：人員、設(shè)設(shè)備、流程程等各個(gè)方方面的變化化，都可能能導(dǎo)致信息息安全風(fēng)險(xiǎn)險(xiǎn)的變化，，因此，要要對(duì)信息系系統(tǒng)中重要要的變更進(jìn)進(jìn)行管理。。需要建立立正規(guī)的變變更流程來(lái)來(lái)控制變更更可能導(dǎo)致致的風(fēng)險(xiǎn)。。12/29/202245文檔化和和流程規(guī)規(guī)范化文檔化是信息安安全管理理工作的的重要部部分。只只有將各各種管理理辦法、、管理過(guò)過(guò)程、管管理要求求等通過(guò)過(guò)文檔的的形式明明確下來(lái)來(lái)，才能能保證信信息安全全管理工工作進(jìn)一一步得到到落實(shí)和和貫徹。。業(yè)務(wù)的的運(yùn)行以以及單位位自身的的正常運(yùn)運(yùn)營(yíng)需要要通過(guò)許許多操作作過(guò)程（（流程）來(lái)具體體實(shí)現(xiàn)，，管理流流程的規(guī)規(guī)范化程程度可以以體現(xiàn)管管理的水水平。12/29/202246新技技術(shù)術(shù)、、新新方方法法的的跟跟蹤蹤和和采采用用不斷斷運(yùn)運(yùn)用用新新技技術(shù)術(shù)、、新新方方法法是是提提高高業(yè)業(yè)務(wù)務(wù)能能力力和和競(jìng)競(jìng)爭(zhēng)爭(zhēng)力力水水平平的的重重要要手手段段。。因因此此，，對(duì)對(duì)于于新新技技術(shù)術(shù)和和新新方方法法要要不不斷斷跟跟蹤蹤，，并并有有計(jì)計(jì)劃劃地地將將新新技技術(shù)術(shù)和和新新方方法法應(yīng)應(yīng)用用到到業(yè)業(yè)務(wù)務(wù)系系統(tǒng)統(tǒng)中中。。甚甚至至，，為為了了保保證證競(jìng)競(jìng)爭(zhēng)爭(zhēng)力力的的持持續(xù)續(xù)提提高高，，還還要要進(jìn)進(jìn)行行前前瞻瞻性性的的技技術(shù)術(shù)和和方方法法研研究究。。但但是是新新的的技技術(shù)術(shù)和和方方法法可可能能帶帶來(lái)來(lái)新新的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，甚甚至至一一些些風(fēng)風(fēng)險(xiǎn)險(xiǎn)在在該該技技術(shù)術(shù)沒(méi)沒(méi)有有得得到到廣廣泛泛應(yīng)應(yīng)用用和和成成熟熟化化之之前前很很難難被被發(fā)發(fā)現(xiàn)現(xiàn)。。因因此此，，在在采采取取任任何何較較新新的的技技術(shù)術(shù)和和方方法法之之前前，，都都要要進(jìn)進(jìn)行行嚴(yán)嚴(yán)格格的的安安全全評(píng)評(píng)估估。。12/29/202247風(fēng)險(xiǎn)險(xiǎn)管管理理風(fēng)險(xiǎn)險(xiǎn)管管理理是是基基本本管管理理過(guò)過(guò)程程之之一一。。信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理是是整整體體風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理的的一一個(gè)個(gè)有有機(jī)機(jī)組組成成部部分分，，是是其其在在信信息息化化領(lǐng)領(lǐng)域域的的具具體體體體現(xiàn)現(xiàn)。。在在信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理過(guò)過(guò)程程中中，，要要實(shí)實(shí)施施如如下下工工作作：：1、、資產(chǎn)產(chǎn)鑒鑒別別、、分分類(lèi)類(lèi)和和評(píng)評(píng)價(jià)價(jià)2、、威脅脅鑒鑒別別和和評(píng)評(píng)價(jià)價(jià)3、、脆弱弱性性評(píng)評(píng)估估—評(píng)評(píng)估估防防護(hù)護(hù)措措施施的的效效力力和和存存在在的的脆脆弱弱性性4、、安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估和和評(píng)評(píng)級(jí)級(jí)—綜綜合合資資產(chǎn)產(chǎn)、、威威脅脅、、脆脆弱弱性性的的評(píng)評(píng)估估和和評(píng)評(píng)價(jià)價(jià)，，完完成成最最終終的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估和和評(píng)評(píng)級(jí)級(jí)。。5、、決策策并并實(shí)實(shí)施施風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理措措施施—根根據(jù)據(jù)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的結(jié)結(jié)果果，，作作出出風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理和和控控制制的的相相關(guān)關(guān)決決策策，，并并投投入入實(shí)實(shí)施施。。12/29/202248業(yè)務(wù)務(wù)連連續(xù)續(xù)性性管管理理業(yè)務(wù)務(wù)連連續(xù)續(xù)性性管管理理不不僅僅僅僅是是災(zāi)災(zāi)難難恢恢復(fù)復(fù)、、危危機(jī)機(jī)管管理理、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理控控制制或或者者技技術(shù)術(shù)恢恢復(fù)復(fù)，，也也不不僅僅僅僅是是一一個(gè)個(gè)專(zhuān)專(zhuān)業(yè)業(yè)的的技技術(shù)術(shù)問(wèn)問(wèn)題題，，更更重重要要的的是是一一個(gè)個(gè)業(yè)業(yè)務(wù)務(wù)驅(qū)驅(qū)動(dòng)動(dòng)和和高高層層驅(qū)驅(qū)動(dòng)動(dòng)的的管管理理問(wèn)問(wèn)題題。。它它是是一一個(gè)個(gè)全盤(pán)的的管理理過(guò)程程，重在在識(shí)別別潛在在的影影響，，建立立整體體的恢恢復(fù)能能力和和順應(yīng)應(yīng)能力力，在在危機(jī)機(jī)或?yàn)?zāi)災(zāi)害發(fā)發(fā)生時(shí)時(shí)保護(hù)護(hù)信息息系統(tǒng)統(tǒng)所有有者的的聲譽(yù)譽(yù)和利利益。。12/29/202249符合性性審核核符合性性審核核是確確保整整體管管理工工作有有效實(shí)實(shí)施的的重要要管理理過(guò)程程。此此類(lèi)管管理過(guò)過(guò)程可可以將將信息息安全全管理理工作作納入入到一一個(gè)良良性的的、持持續(xù)改改進(jìn)的的循環(huán)環(huán)中。。需要考考慮的的審核核內(nèi)容容包括括：法律和和法規(guī)規(guī)、內(nèi)內(nèi)部的的方針針和制制度、、技術(shù)術(shù)標(biāo)準(zhǔn)準(zhǔn)以及及其他他需要要遵循循的各各種范范圍要要求。。12/29/202250信息安安全管管理體體系構(gòu)構(gòu)成1、方方針與與策略略管理理2、風(fēng)風(fēng)險(xiǎn)管管理3、人人員與與組織織管理理4、環(huán)環(huán)境與與設(shè)備備管理理5、網(wǎng)網(wǎng)絡(luò)與與通信信管理理6、主主機(jī)與與系統(tǒng)統(tǒng)管理理7、應(yīng)應(yīng)用于于業(yè)務(wù)務(wù)管理理8、數(shù)數(shù)據(jù)/文檔檔/介介質(zhì)9、項(xiàng)項(xiàng)目工工程管管理10、、運(yùn)行行維護(hù)護(hù)管理理11、、業(yè)務(wù)務(wù)連續(xù)續(xù)性管管理12、、合規(guī)規(guī)性管管理12/29/202251數(shù)據(jù)/文檔/介質(zhì)管管理方針和和策略略管理理應(yīng)用與與業(yè)務(wù)務(wù)管理理主機(jī)與與系統(tǒng)統(tǒng)管理理網(wǎng)絡(luò)與與通信信管理理環(huán)境與與設(shè)備備管理理風(fēng)險(xiǎn)管管理業(yè)務(wù)連連續(xù)性性管理理項(xiàng)目工程管理運(yùn)行維護(hù)管理人員和組織管理合規(guī)性性管理理信息安安全管管理體體系構(gòu)構(gòu)成12/29/202252方針針與與策策略略管管理理確保保企企業(yè)業(yè)、、組組織織擁?yè)碛杏忻髅鞔_確的的信信息息安安全全方方針針以以及及配配套套的的策策略略和和制制度度，，以以實(shí)實(shí)現(xiàn)現(xiàn)對(duì)對(duì)信信息息安安全全工工作作的的支支持持和和承承諾諾，，保保證證信信息息安安全全的的資資金金投投入入。。12/29/202253風(fēng)險(xiǎn)管理理信息安全全建設(shè)不不是避免免風(fēng)險(xiǎn)的的過(guò)程，，而是管管理風(fēng)險(xiǎn)險(xiǎn)的過(guò)程程。沒(méi)有有絕對(duì)的的安全，，風(fēng)險(xiǎn)總總是存在在的。信信息安全全體系建建設(shè)的目目標(biāo)就是是把風(fēng)險(xiǎn)險(xiǎn)控制在在可以接接受的范范圍之內(nèi)內(nèi)，風(fēng)險(xiǎn)險(xiǎn)管理同同時(shí)也是是一個(gè)動(dòng)動(dòng)態(tài)持續(xù)續(xù)的過(guò)程程。12/29/202254人員與組組織管理理建立組織織機(jī)構(gòu)，，明確人人員崗位位職責(zé)，，提供安安全教育育和培訓(xùn)訓(xùn)，對(duì)第第三方人人員進(jìn)行行管理，，協(xié)調(diào)信信息安全全監(jiān)管部部門(mén)與行行內(nèi)其他他部門(mén)之之間的關(guān)關(guān)系，保保證信息息安全工工作的人人力資源源要求，，避免由由于人員員和組織織上的錯(cuò)錯(cuò)誤產(chǎn)生生信息安安全風(fēng)險(xiǎn)險(xiǎn)。12/29/202255環(huán)境與設(shè)設(shè)備管理理控制由于于物理環(huán)環(huán)境和硬硬件設(shè)施施的不當(dāng)當(dāng)所產(chǎn)生生的風(fēng)險(xiǎn)險(xiǎn)。管理理的內(nèi)容容包括物物理環(huán)境境安全、、設(shè)備安安全、介介質(zhì)安全全等。12/29/202256網(wǎng)絡(luò)與通信信安全控制、保護(hù)護(hù)網(wǎng)絡(luò)和通通信系統(tǒng)，，防止受到到破壞和濫濫用，避免免和降低由由于網(wǎng)絡(luò)和和通信系統(tǒng)統(tǒng)的問(wèn)題對(duì)對(duì)業(yè)務(wù)系統(tǒng)統(tǒng)的損害。。12/29/202257主機(jī)與系統(tǒng)統(tǒng)管理控制和保護(hù)護(hù)主機(jī)及其其系統(tǒng)，防防止受到破破壞和濫用用，避免和和降低由此此對(duì)業(yè)務(wù)系系統(tǒng)的損害害。12/29/202258應(yīng)用與業(yè)務(wù)務(wù)管理對(duì)各類(lèi)應(yīng)用用和業(yè)務(wù)系系統(tǒng)進(jìn)行安安全管理，，防止受到到破壞和濫濫用。12/29/202259數(shù)據(jù)/文檔檔/介質(zhì)管管理采用數(shù)據(jù)加加密和完整整性保護(hù)機(jī)機(jī)制，防止止數(shù)據(jù)被竊竊取和篡改改，保護(hù)業(yè)業(yè)務(wù)數(shù)據(jù)的的安全。12/29/202260項(xiàng)目工程管管理保護(hù)信息系系統(tǒng)項(xiàng)目過(guò)過(guò)程的安全全，確保項(xiàng)項(xiàng)目的成果果是可靠的的安全系統(tǒng)統(tǒng)。12/29/202261運(yùn)行維護(hù)管管理保護(hù)信息系系統(tǒng)在運(yùn)行行期間的安安全，并確確保系統(tǒng)維維護(hù)工作的的安全。12/29/202262業(yè)務(wù)連連續(xù)性性管理理通過(guò)設(shè)設(shè)計(jì)和和執(zhí)行行業(yè)務(wù)務(wù)連續(xù)續(xù)性計(jì)計(jì)劃，，確保保信息息系統(tǒng)統(tǒng)在任任何災(zāi)災(zāi)難和和攻擊擊下，，都能能夠保保證業(yè)業(yè)務(wù)的的連續(xù)續(xù)性。。12/29/202263合規(guī)性性管理理確保信信息安安全保保障工工作符符合國(guó)國(guó)家法法律、、法規(guī)規(guī)的要要求；；并且且信息息安全全方針針、規(guī)規(guī)定和和標(biāo)準(zhǔn)準(zhǔn)得到到了遵遵循。。12/29/20226412項(xiàng)項(xiàng)信息息安全全管理理類(lèi)的的作用用關(guān)系系1、方針與與策略略管理理：是整整個(gè)信信息安安全管管理工工作的的基礎(chǔ)礎(chǔ)和整整體指指導(dǎo)，，對(duì)于于其他他所有有的信信息安安全管管理類(lèi)類(lèi)都有有指導(dǎo)導(dǎo)和約約束的的關(guān)系系。12/29/20226512項(xiàng)信信息安全全管理類(lèi)類(lèi)的作用用關(guān)系2、人員與組組織管理理：是要根根據(jù)方針針和策略略來(lái)執(zhí)行行的信息息安全管管理工作作。12/29/20226612項(xiàng)信信息安全全管理類(lèi)類(lèi)的作用用關(guān)系3、合規(guī)性管管理：指導(dǎo)如如何檢查查信息安安全管理理工作的的效果。。特別是是對(duì)于國(guó)國(guó)家法律律法規(guī)，，方針政政策和標(biāo)標(biāo)準(zhǔn)符合合程度的的檢驗(yàn)。。12/29/20226712項(xiàng)信信息安全全管理類(lèi)類(lèi)的作用用關(guān)系4、根據(jù)據(jù)方針與與策略，，由人員員與組織織實(shí)施信信息安全全管理工工作。在在實(shí)施中中主要從從兩個(gè)角角度來(lái)考考慮問(wèn)題題，即風(fēng)風(fēng)險(xiǎn)管理理和業(yè)務(wù)務(wù)連續(xù)性性管理。。12/29/20226812項(xiàng)信息息安全管理理類(lèi)的作用用關(guān)系5、根據(jù)信信息系統(tǒng)的的生命周期期，可以將將信息系統(tǒng)統(tǒng)分為兩個(gè)階段，即項(xiàng)目工工程開(kāi)發(fā)階階段和運(yùn)行行維護(hù)階段段。這兩個(gè)個(gè)信息安全全管理類(lèi)體體現(xiàn)了信息息系統(tǒng)和信信息安全工工作的生命命周期特性性。12/29/202269第二節(jié)信信息安全全管理標(biāo)準(zhǔn)準(zhǔn)一、BS7799二、其他他標(biāo)準(zhǔn)12/29/202270BS7799簡(jiǎn)介BS7799概述：BS7799是英國(guó)標(biāo)準(zhǔn)準(zhǔn)委員會(huì)（（BritshStandardsInsstitute,BSI）針對(duì)對(duì)信息安全全管理而制制定的標(biāo)準(zhǔn)準(zhǔn)。分為兩個(gè)部部分：第一部分：：被國(guó)際標(biāo)標(biāo)準(zhǔn)化組織織ISO采采納成為ISO/IEC17799:2005標(biāo)準(zhǔn)的的部分，是是信息安全全管理實(shí)施施細(xì)則（CodeofPracticeforInformationSecurityManage-ment），主要要供負(fù)責(zé)信信息安全系系統(tǒng)開(kāi)發(fā)的的人員參考考使用，其其主要內(nèi)容容分為11方面，提提供了133項(xiàng)安全全控制措施施（最佳實(shí)實(shí)踐）。第二部分：：被國(guó)際標(biāo)標(biāo)準(zhǔn)化組織織ISO采采納成為ISO/IEC20071:2005標(biāo)準(zhǔn)的的部分，是是建立信息息安全管理理體系（ISMS））的一套規(guī)規(guī)范（SpecificationforInformationSecurityManagementSystems））,其中中詳細(xì)說(shuō)明明了建立、、實(shí)施和維維護(hù)信息安安全管理體體系的要求求，可以用用來(lái)指導(dǎo)相相關(guān)人員應(yīng)應(yīng)用ISO/IEC17799:2005,其最終目目的在于建建立適合企企業(yè)需要的的信息安全全管理體系系。12/29/202271BS7799發(fā)發(fā)展展歷歷程程BS7799最最初初由由英英國(guó)國(guó)貿(mào)貿(mào)工工部部立立項(xiàng)項(xiàng)，，是是業(yè)業(yè)界界、、政政府府和和商商業(yè)業(yè)機(jī)機(jī)構(gòu)構(gòu)共共同同倡倡導(dǎo)導(dǎo)的的，，旨旨在在開(kāi)開(kāi)發(fā)發(fā)一一套套可可供供開(kāi)開(kāi)發(fā)發(fā)、、實(shí)實(shí)施施和和衡衡量量有有效效信信息息安安全全管管理理實(shí)實(shí)踐踐的的通通用用框框架架。。1995年年，，BS7799-1:1995《《信信息息安安全全管管理理實(shí)實(shí)施施細(xì)細(xì)則則》》首首次次發(fā)發(fā)布布1998年年，，BS7799-2:1998《《信信息息安安全全管管理理體體系系規(guī)規(guī)范范》》發(fā)發(fā)布布1999年年4月月，，BS7799的的兩兩個(gè)個(gè)部部分分被被修修訂訂，，形形成成了了完完整整的的BS7799-1:19992000年年國(guó)國(guó)際際信信息息化化標(biāo)標(biāo)準(zhǔn)準(zhǔn)組組織織將將其其轉(zhuǎn)轉(zhuǎn)化化為為國(guó)國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，即即ISO/IEC17799:2000《《信信息息技技術(shù)術(shù)——信信息息安安全全管管理理實(shí)實(shí)施施細(xì)細(xì)則則》》2002年年BSI對(duì)對(duì)BS7799-2：：1999進(jìn)進(jìn)行行了了重重新新修修訂訂，，正正式式引引入入PDCA過(guò)過(guò)程程模模型型；；2004年年9月月BS7799-2:2002正正式式發(fā)發(fā)布布2005年年6月月，，ISO/IEC17799:2000經(jīng)經(jīng)過(guò)過(guò)改改版版，，形形成成了了新新的的ISO/IEC17799:2005,同同年年10月月推推出出了了ISO/IEC27001:2005目前前有有20多多個(gè)個(gè)國(guó)國(guó)家家和和地地區(qū)區(qū)引引用用BS7799作作為為本本國(guó)國(guó)（（地地區(qū)區(qū)））標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，有有40多多個(gè)個(gè)國(guó)國(guó)家家和和地地區(qū)區(qū)開(kāi)開(kāi)展展了了與與此此相相關(guān)關(guān)的的業(yè)業(yè)務(wù)務(wù)。。在我我國(guó)國(guó)ISO17799:2000已已經(jīng)經(jīng)被被轉(zhuǎn)轉(zhuǎn)化化為為GB/T19716-200512/29/202272BS7799的的內(nèi)內(nèi)容容*BS7799-1:《《信信息息安安全全管管理理實(shí)實(shí)施施規(guī)規(guī)則則》》主要要是是給給負(fù)負(fù)責(zé)責(zé)開(kāi)開(kāi)發(fā)發(fā)的的人人員員作作為為參參考考文文檔檔使使用用，，從從而而在在他他們們的的機(jī)機(jī)構(gòu)構(gòu)內(nèi)內(nèi)部部實(shí)實(shí)施施和和維維護(hù)護(hù)信信息息安安全全。。*BS7799-2:《《信信息息安安全全管管理理體體系系規(guī)規(guī)范范》》詳細(xì)細(xì)說(shuō)說(shuō)明明了了建建立立、、實(shí)實(shí)施施和和維維護(hù)護(hù)信信息息安安全全管管理理體體系系的的要要求求，，指指出出實(shí)實(shí)施施組組織織需需要要通通過(guò)過(guò)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估來(lái)來(lái)鑒鑒定定最最適適宜宜的的控控制制對(duì)對(duì)象象，，并并根根據(jù)據(jù)自自己己的的需需求求采采取取適適當(dāng)當(dāng)?shù)牡陌舶踩乜刂浦啤！?2/29/202273信息息安安全全管管理理實(shí)實(shí)施施細(xì)細(xì)則則將將信信息息安安全全管管理理內(nèi)內(nèi)容容劃劃分分為為11個(gè)個(gè)方方面面，，39個(gè)個(gè)控控制制目目標(biāo)標(biāo)，，133項(xiàng)項(xiàng)控控制制措措施施，，供供信信息息安安全全管管理理體體系系實(shí)實(shí)施施者者參參考考使使用用，，這這11個(gè)個(gè)方方面面包包括括：：1、、安全全策策略略（（SecurityPolicy））2、、組組織織信信息息安安全全(OrganizingInformationSecurity)3、、資資產(chǎn)產(chǎn)管管理理(AssetMangement)4、、人人力力資資源源安安全全(HumanResourcesSecurity)5、、物物理理與與環(huán)環(huán)境境安安全全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)12/29/2022746、通信與與操作作管理理(CommunicationandOperationManagement)7、訪訪問(wèn)控控制(AccessControl)8、信信息系系統(tǒng)獲獲取、、開(kāi)發(fā)發(fā)與維維護(hù)(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信信息安安全事事件管管理(InformationSecurityIncidentManagement)10、、業(yè)務(wù)務(wù)連續(xù)續(xù)性管管理(BusinessContinuityManagement)11、、符合合性(Compliance)12/29/202275安全策策略：包括括信息息安全全策略略文件件和信信息安安全策策略復(fù)復(fù)查。。組織安安全：包括括在組組織內(nèi)內(nèi)建立立發(fā)起起和控控制信信息安安全實(shí)實(shí)施的的管理理框架架；維維護(hù)被被外部部伙伴伴訪問(wèn)問(wèn)、處處理和和管理理的組組織的的信息息，處處理設(shè)設(shè)施和和信息息資產(chǎn)產(chǎn)的安安全。。資產(chǎn)管管理：包括括建立立資產(chǎn)產(chǎn)清單單、進(jìn)進(jìn)行信信息分分類(lèi)與與分級(jí)級(jí)人力資資源安安全：包括括崗位位安全全責(zé)任任和人人員錄錄用安安全要要求，，安全全教育育與培培訓(xùn)，，安全全意識(shí)識(shí)，離離職及及變更更職位位等。。BS7799-1(ISO/IEC17799)12/29/202276物理與與環(huán)境境安全全：包括括安全全區(qū)域域控制制、設(shè)設(shè)備安安全管管理等等通信與與操作作管理理：包括括操作作程序序和責(zé)責(zé)任，，系統(tǒng)統(tǒng)規(guī)劃劃和驗(yàn)驗(yàn)收，，防范范惡意意軟件件，內(nèi)內(nèi)務(wù)管管理，，網(wǎng)絡(luò)絡(luò)管理理，介介質(zhì)安安全管管理，，信息息與軟軟件交交換安安全訪問(wèn)控控制：包括括訪問(wèn)問(wèn)控制制策略略，用用戶(hù)訪訪問(wèn)控控制，，網(wǎng)絡(luò)絡(luò)訪問(wèn)問(wèn)控制制，操操作系系統(tǒng)訪訪問(wèn)控控制，，應(yīng)用用訪問(wèn)問(wèn)控制制，監(jiān)監(jiān)控與與審計(jì)計(jì)，移移動(dòng)和和遠(yuǎn)程程訪問(wèn)問(wèn)BS7799-1(ISO/IEC17799)12/29/202277信息系系統(tǒng)獲獲取、、開(kāi)發(fā)發(fā)與維維護(hù)：安全全需求求分析析，安安全機(jī)機(jī)制設(shè)設(shè)計(jì)（（應(yīng)用用系統(tǒng)統(tǒng)安全全，密密碼控控制，，系統(tǒng)統(tǒng)文件件安全全），，開(kāi)發(fā)發(fā)和支支持過(guò)過(guò)程的的安全全控制制信息安安全事事件管管理：報(bào)告告信息息安全全事件件、安安全缺缺陷；；責(zé)任任和程程序、、從信信息安安全事事件吸吸取教教訓(xùn)、、證據(jù)據(jù)收集集。業(yè)務(wù)連連續(xù)性性管理理：業(yè)務(wù)務(wù)連續(xù)續(xù)性計(jì)計(jì)劃的的制訂訂，演演習(xí)，，審核核，改改進(jìn)符合性性管理理：符合合法律律法規(guī)規(guī)，符符合安安全策策略等等。BS7799-1(ISO/IEC17799)12/29/202278對(duì)控制措措施的描描述不夠夠細(xì)致，，導(dǎo)致缺缺乏可操操作性；；133項(xiàng)項(xiàng)控制措措施未必必適合全全部的組組織，應(yīng)應(yīng)當(dāng)有選選擇的參參考使用用；133項(xiàng)項(xiàng)控制措措施未必必全面，，可以根根據(jù)實(shí)際際情況進(jìn)進(jìn)行增補(bǔ)補(bǔ)。BS7799-1(ISO/IEC17799)12/29/202279ISO/IEC17799:2005列舉了十十項(xiàng)適用用于幾乎乎所有組組織和大大多數(shù)環(huán)環(huán)境的控控制措施施：1、與法法律相關(guān)關(guān)的控制制措施：：（1）知識(shí)產(chǎn)權(quán)權(quán)：遵守知知識(shí)產(chǎn)權(quán)權(quán)保護(hù)和和軟件產(chǎn)產(chǎn)品保護(hù)護(hù)的法律律；（2）保護(hù)組織織的記錄錄：保護(hù)重重要的記記錄不丟丟失，不不被破壞壞和偽造造；（3）數(shù)據(jù)保護(hù)護(hù)和個(gè)人人信息隱隱私：遵守所所在國(guó)的的數(shù)據(jù)保保護(hù)法律律。BS7799-1(ISO/IEC17799)12/29/2022802、與最佳佳實(shí)踐相關(guān)關(guān)的控制措措施：（1）信息息安全策略略文件：高高管批準(zhǔn)發(fā)發(fā)布信息安安全策略文文件，并廣廣泛告知；；（2）信息息安全責(zé)任任的分配：：清晰地所所有的信息息安全責(zé)任任；（3）信息息安全意識(shí)識(shí)、教育和和培訓(xùn)：全全體員工及及相關(guān)人員員應(yīng)該接受受恰當(dāng)?shù)囊庖庾R(shí)培訓(xùn)；BS7799-1(ISO/IEC17799)12/29/202281（4）正確確處理應(yīng)用用程序：防防止應(yīng)用程程序中的信信息出錯(cuò)、、丟失或被被非授權(quán)篡篡改及誤用用；（5）漏洞洞管理：防防止利用已已發(fā)布的漏漏洞信息來(lái)來(lái)實(shí)施破壞壞；（6）管理理信息安全全事件和改改進(jìn)：確保保采取一致致和有效的的方法來(lái)管管理信息安安全事件。。（7）業(yè)務(wù)務(wù)連續(xù)性管管理：減少少業(yè)務(wù)活動(dòng)動(dòng)中斷，保保護(hù)關(guān)鍵業(yè)業(yè)務(wù)過(guò)程不不受重大事事故或?yàn)?zāi)難難影響。BS7799-1(ISO/IEC17799)12/29/202282信息安全管管理體系規(guī)規(guī)范(SpecificationforInformationSecurityManagementSystem)說(shuō)明了建立立、實(shí)施、、維護(hù)，并并持續(xù)改進(jìn)進(jìn)ISMS的要求指導(dǎo)實(shí)施者者如何利用用BS7799-1來(lái)建立一一個(gè)有效的的ISMSBSI提供供依據(jù)BS7799-2所建建立ISMS的認(rèn)證證BS7799-2/ISO2700112/29/202283建立ISMS（PLAN）定義ISMS的范圍圍和策略識(shí)別和評(píng)估估風(fēng)險(xiǎn)評(píng)估現(xiàn)有保保證措施準(zhǔn)備適用性性說(shuō)明取得管理層層對(duì)殘留風(fēng)風(fēng)險(xiǎn)的認(rèn)可可，并獲得得實(shí)施ISMS的授授權(quán)BS7799-2/ISO2700112/29/202284實(shí)施ISMS（DO）制訂并實(shí)施施風(fēng)險(xiǎn)處理理計(jì)劃實(shí)施安全控控制措施實(shí)施安全意意識(shí)和安全全教育培訓(xùn)訓(xùn)實(shí)施檢測(cè)和和響應(yīng)安全全機(jī)制BS7799-2/ISO2700112/29/202285監(jiān)視和復(fù)查查ISMS（CHECK）實(shí)施監(jiān)視程程序和控制制定期復(fù)審ISMS的的效力定期進(jìn)行ISMS內(nèi)內(nèi)部審計(jì)復(fù)查殘留風(fēng)風(fēng)險(xiǎn)和可接接受風(fēng)險(xiǎn)的的水平BS7799-2/ISO2700112/29/202286改進(jìn)進(jìn)ISMS（（ACT））對(duì)ISMS實(shí)實(shí)施施可可識(shí)識(shí)別別的的改改進(jìn)進(jìn)實(shí)施施糾糾正正和和預(yù)預(yù)防防措措施施確保保改改進(jìn)進(jìn)成成果果滿(mǎn)滿(mǎn)足足預(yù)預(yù)期期目目標(biāo)標(biāo)BS7799-2/ISO2700112/29/202287強(qiáng)調(diào)調(diào)文文檔檔化化管管理理的的重重要要作作用用，，文文檔檔體體系系包包括括安全全策策略略適用用性性聲聲明明實(shí)施施安安全全控控制制的的規(guī)規(guī)程程文文檔檔ISMS管管理理和和操操作作規(guī)規(guī)程程與ISMS有有關(guān)關(guān)的的其其它它文文檔檔BS7799-2/ISO2700112/29/202288建立ISMS的的過(guò)程制訂安全全策略確定體系系范圍明確管理理職責(zé)通過(guò)安全全風(fēng)險(xiǎn)評(píng)評(píng)估確定定控制目目標(biāo)和控控制措施施復(fù)查、維維護(hù)與持持續(xù)改進(jìn)進(jìn)BS7799-2/ISO2700112/29/202289二、其他他標(biāo)準(zhǔn)1、PD3000BS7799標(biāo)標(biāo)準(zhǔn)本身身是不具具有很強(qiáng)強(qiáng)的可實(shí)實(shí)施性的的，為了了指導(dǎo)組組織更好好地建立立ISMS并應(yīng)應(yīng)對(duì)BS7799認(rèn)證證審核的的要求，，BSIDISC提供供了一組組有針對(duì)對(duì)性的指指導(dǎo)文件件，即PD3000系系列。12/29/2022902、CC（1）信信息技術(shù)術(shù)產(chǎn)品和和系統(tǒng)安安全性測(cè)測(cè)評(píng)標(biāo)準(zhǔn)準(zhǔn)，是信信息安全全標(biāo)準(zhǔn)體體系中非非常重要要的一個(gè)個(gè)分支；；是目前前國(guó)際上上最通行行的信息息技術(shù)產(chǎn)產(chǎn)品及系系統(tǒng)安全全性測(cè)評(píng)評(píng)標(biāo)準(zhǔn)，，也是信信息技術(shù)術(shù)安全性性評(píng)估結(jié)結(jié)果國(guó)際際互認(rèn)的的基礎(chǔ)。。（2）CC、ISO/IEC15408、、GB/T18336是同一一個(gè)標(biāo)準(zhǔn)準(zhǔn)。（3）CC的組組要目標(biāo)標(biāo)讀者是是用戶(hù)、、開(kāi)發(fā)者者和評(píng)估估者。（4））與BS7799標(biāo)標(biāo)準(zhǔn)相相比，，CC的側(cè)側(cè)重點(diǎn)點(diǎn)放在在系統(tǒng)統(tǒng)和產(chǎn)產(chǎn)品的的技術(shù)術(shù)指標(biāo)標(biāo)評(píng)價(jià)價(jià)上；；組織織在依依照BS7799標(biāo)標(biāo)準(zhǔn)來(lái)來(lái)實(shí)施施ISMS時(shí)，，一些些牽涉涉系統(tǒng)統(tǒng)和產(chǎn)產(chǎn)品安安全的的技術(shù)術(shù)要求求，可可以借借鑒CC標(biāo)標(biāo)準(zhǔn)。。12/29/2022913、ISO/IECTR13335（1））信息息和通通信技技術(shù)安安全管管理，，是由由ISO/IECJTC1制定定的技技術(shù)報(bào)報(bào)告，，是一一個(gè)信信息安安全管管理方方面的的指導(dǎo)導(dǎo)性標(biāo)標(biāo)準(zhǔn)，，其目目的是是為有有效實(shí)實(shí)施IT安安全管管理提提供建建議和和支持持。（2））對(duì)信信息安安全風(fēng)風(fēng)險(xiǎn)及及其構(gòu)構(gòu)成要要素間間關(guān)系系的描描述非非常具具體，，對(duì)風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估方方法過(guò)過(guò)程的的描述述很清清晰，，可用用來(lái)指指導(dǎo)實(shí)實(shí)施。。12/29/2022924、SSE-CMM（1））SSE-CMM模模型是是CMM在在系統(tǒng)統(tǒng)安全全工程程這個(gè)個(gè)具體體領(lǐng)域域應(yīng)用用而產(chǎn)產(chǎn)生的的一個(gè)個(gè)分支支，是是美國(guó)國(guó)國(guó)家家安全全局（（NSA））領(lǐng)導(dǎo)導(dǎo)開(kāi)發(fā)發(fā)的，，是專(zhuān)專(zhuān)門(mén)用用于系系統(tǒng)安安全工工程的的能力力程度度度模模型。。（2））ISO/IECDIS21827信信息技技術(shù)——系統(tǒng)統(tǒng)安全全工程程—能能力成成熟度度模型型（3））SSE-CMM將將系統(tǒng)統(tǒng)安全全工程程成熟熟度劃劃分為為5個(gè)個(gè)等級(jí)級(jí)（4））SSE-CMM可可以作作為評(píng)評(píng)估工工程實(shí)實(shí)施組組織（（如安安全服服務(wù)提提供商商）能能力與與資質(zhì)質(zhì)的標(biāo)標(biāo)準(zhǔn)。。我國(guó)國(guó)國(guó)家家信息息安全全測(cè)評(píng)評(píng)認(rèn)證證中心心在審審核專(zhuān)專(zhuān)業(yè)機(jī)機(jī)構(gòu)信信息安安全服服務(wù)資資質(zhì)時(shí)時(shí)，基基本上上就是是依據(jù)據(jù)SSE-CMM來(lái)來(lái)審核核并劃劃分等等級(jí)的的。12/29/2022935、NISTSP800系列美國(guó)國(guó)家家標(biāo)準(zhǔn)技技術(shù)委員員會(huì)（NIST）發(fā)布布的SpecialPublication800文檔是是一系列列針對(duì)信信息安全全技術(shù)和和管理領(lǐng)領(lǐng)域的實(shí)實(shí)踐參考考指南。。6、ITIL信息技術(shù)術(shù)基礎(chǔ)設(shè)設(shè)施庫(kù)（（ITInfrastructureLibrary），，是由英英國(guó)中央央計(jì)算機(jī)機(jī)與電信信局（CCTA）發(fā)布布的關(guān)于于IT服服務(wù)管理理最佳實(shí)實(shí)踐的建建議和指指導(dǎo)方針針，旨在在解決IT服務(wù)務(wù)質(zhì)量不不佳的情情況。12/29/2022947、CobiT信息及相相關(guān)技術(shù)術(shù)控制目目標(biāo)（ControlObjectivesforInformationandrelatedTechnology,CobiT））是由美美國(guó)信息息系統(tǒng)審審計(jì)與控控制協(xié)會(huì)會(huì)針對(duì)IT過(guò)程程管理制制定的一一套基于于最佳實(shí)實(shí)踐的控控制目標(biāo)標(biāo)，是目目前國(guó)際際上公認(rèn)認(rèn)的最先先進(jìn)、最最權(quán)威的的安全與與信息技技術(shù)管理理和控制制標(biāo)準(zhǔn)。。12/29/202295第三節(jié)信信息息安全策策略一、信息息安全策策略概述述二、制定定信息安安全策略略三、確定定信息安安全策略略保護(hù)的的對(duì)象四、主要要信息安安全策略略五、信息息安全策策略的執(zhí)執(zhí)行和維維護(hù)12/29/202296安全策略略包括：：總體方針針，指導(dǎo)性性的戰(zhàn)略略綱領(lǐng)文文件，闡闡明了企企業(yè)對(duì)于于信息安安全的看看法和立立場(chǎng)、信信息安全全的目標(biāo)標(biāo)和戰(zhàn)略略、信息息安全所所涉及的的范圍、、管理組組織構(gòu)架架和責(zé)任任認(rèn)定、、以及對(duì)對(duì)于信息息資產(chǎn)的的管理辦辦法等內(nèi)內(nèi)容針對(duì)特定定問(wèn)題的的具體策策略，闡闡述了企企業(yè)對(duì)于于特定安安全問(wèn)題題的聲明明、立場(chǎng)場(chǎng)、適用用辦法、、強(qiáng)制要要求、角角色、責(zé)責(zé)任認(rèn)定定等內(nèi)容容針對(duì)特定定系統(tǒng)的的具體策策略，更更為具體體和細(xì)化化，闡明明了特定定系統(tǒng)與與信息安安全有關(guān)關(guān)的使用用和維護(hù)護(hù)規(guī)則等等內(nèi)容12/29/202297安全策略的的特點(diǎn)：力求全面和和明確，不不必過(guò)于具具體和深入入需要一個(gè)逐逐漸完善的的過(guò)程，不不可能一蹴蹴而就應(yīng)當(dāng)保持適適當(dāng)?shù)姆€(wěn)定定性12/29/202298信息安安全策策略定定義信息安安全策策略是一組組經(jīng)過(guò)過(guò)高級(jí)級(jí)管理理層批批準(zhǔn)，，正式式發(fā)布布和實(shí)實(shí)施的的綱領(lǐng)領(lǐng)性文文件，，描述述了一一個(gè)企企業(yè)、、組織織的高高層安安全目目標(biāo)，，它描描述應(yīng)應(yīng)該做做什么么，而而不是是如何何去做做，一一份信信息安安全策策略就就像是是一份份工程程管理理計(jì)劃劃書(shū)，，這意意味著著它隱隱藏了了執(zhí)行行的細(xì)細(xì)節(jié)。。信息安安全策策略是是一種種處理理安全全問(wèn)題題的管管理策策略的的描述述。安安全策策略必必須遵遵循三三個(gè)基基本原原則：：確定定性、、完整整性和和有效效性。。12/29/202299信息息安安全全策策略略的的重重要要性性信息息安安全全策策略略是是位位于于核心心地地位位的方方針針和和政政策策的的集集合合，，雖雖然然它它并并不不涉涉及及具具體體的的執(zhí)執(zhí)行行細(xì)細(xì)節(jié)節(jié)，，但但是是明明確確描描述述了了安安全全保保護(hù)護(hù)的的對(duì)對(duì)象象范范圍圍，，能能夠夠保保證證后后續(xù)續(xù)的的控控制制措措施施被被合合理理的的執(zhí)執(zhí)行行，，能能夠夠?qū)?duì)安安全全產(chǎn)產(chǎn)品品的的選選擇擇及及管管理理實(shí)實(shí)踐踐起起到到指指導(dǎo)導(dǎo)和和約約束束作作用用。。遵遵循循安安全全策策略略的的信信息息系系統(tǒng)統(tǒng)建建設(shè)設(shè)和和管管理理將將會(huì)會(huì)形形成成一一個(gè)個(gè)統(tǒng)統(tǒng)一一的的有有機(jī)機(jī)整整體體，，使使得得系系統(tǒng)統(tǒng)具具有有更更好好的的安安全全性性。。12/29/2022100制定信信息安安全策策略的的時(shí)間間理想情情況下下，制制定信信息安安全策策略的的最佳佳時(shí)間間是在在發(fā)生生第一一起網(wǎng)網(wǎng)絡(luò)安安全事事故之之前。。12/29/2022101安全員員需要要了解解的幾幾個(gè)問(wèn)問(wèn)題：：1、任任何業(yè)業(yè)務(wù)動(dòng)動(dòng)作過(guò)過(guò)程均均存在在不同同程度度的風(fēng)風(fēng)險(xiǎn)；；2、保保險(xiǎn)公公司不不愿向向沒(méi)有有信息息安全全策略略的企企業(yè)投投保；；3、一一個(gè)包包括軟軟件開(kāi)開(kāi)發(fā)策策略在在內(nèi)的的安全全策略略對(duì)與與開(kāi)發(fā)發(fā)更安安全的的系統(tǒng)統(tǒng)是有有指導(dǎo)導(dǎo)作用用的。。4、在在安全全事故故發(fā)生生后，，安全全事故故很可可能重重復(fù)發(fā)發(fā)生，，所以以第一一次發(fā)發(fā)生后后實(shí)施施安全全策略略盡管管太晚晚，卻卻十分分必要要；5、發(fā)發(fā)生安安全事事故制制定安安全策策略時(shí)時(shí)，不不要把把重點(diǎn)點(diǎn)放在在攻破破的地地方，，要從從全局局考慮慮安全全問(wèn)題題；6、安安全策策略給給用戶(hù)戶(hù)的印印象是是企業(yè)業(yè)對(duì)安安全問(wèn)問(wèn)題非非常認(rèn)認(rèn)真；；7、當(dāng)當(dāng)企業(yè)業(yè)為政政府或或機(jī)關(guān)關(guān)工作作或與與其合合作時(shí)時(shí)，一一份安安全策策略應(yīng)應(yīng)該是是首先先引起起注意意的事事項(xiàng)；；8、向向用戶(hù)戶(hù)展示示企業(yè)業(yè)質(zhì)量量標(biāo)準(zhǔn)準(zhǔn)控制制所要要求的的可評(píng)評(píng)價(jià)安安全程程序來(lái)來(lái)說(shuō)，，安全全策略略可以以作為為該程程序的的指導(dǎo)導(dǎo)方針針。12/29/2022102信息安安全策策略開(kāi)開(kāi)發(fā)流流程1、確確定信信息安安全策策略的的范圍圍2、風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估/分析析或者者審計(jì)計(jì)3、信信息安安全策策略的的審查查、批批準(zhǔn)和和實(shí)施施12/29/2022103制定信息安安全策略制定信息安安全策略的的原則