1、數(shù)據(jù)安全管理劉曉梅1/89數(shù)據(jù)安全管理主要內(nèi)容數(shù)據(jù)安全治理與風(fēng)險(xiǎn)管理數(shù)據(jù)加密技術(shù)數(shù)據(jù)訪問(wèn)控制數(shù)據(jù)通信安全數(shù)據(jù)安全法律法規(guī)數(shù)據(jù)環(huán)境安全學(xué)習(xí)方法關(guān)于考試2/89數(shù)據(jù)與信息關(guān)系3/89第一章 數(shù)據(jù)安全治理與風(fēng)險(xiǎn)管理4/89本章主要內(nèi)容Security terminology and principlesProtection control typesSecurity frameworks, models, standards, and best practicesSecurity enterprise architectureRisk managementSecurity documentation

2、Information classification and protectionSecurity awareness trainingSecurity governance5/89信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育內(nèi)容目錄6/89對(duì)信息安全管理初步認(rèn)識(shí)信息安全實(shí)踐活動(dòng)應(yīng)該基于組織愿景、使命和業(yè)務(wù)目標(biāo)了解和支持，了解管理層對(duì)風(fēng)險(xiǎn)容忍度，綜合考慮安全辦法成本收益，確保實(shí)施恰當(dāng)策略、程序、標(biāo)準(zhǔn)和指南，以在安全控制和業(yè)務(wù)操作之間形成一個(gè)平衡。組織經(jīng)過(guò)實(shí)施管理性、技術(shù)性或操作性控制，保護(hù)其信息資產(chǎn)，以降低信息安全風(fēng)險(xiǎn)可能造成損失。在此過(guò)程中，安全教授、高

3、級(jí)管理層、安全審計(jì)人員、普通員工，都應(yīng)該明白各自角色并負(fù)擔(dān)各自責(zé)任。什么是管理？管理目標(biāo)？管理伎倆？信息安全管理是管理領(lǐng)域與信息安全領(lǐng)域交叉7/89什么是信息？消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)有意義內(nèi)容 ISO9000信息本身是無(wú)形，借助于信息媒體以各種形式存在或傳輸：存放在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中；記憶在人大腦里經(jīng)過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳輸信息借助媒體而存在，對(duì)當(dāng)代企業(yè)來(lái)說(shuō)含有價(jià)值，就成為信息資產(chǎn)（information assets）計(jì)算機(jī)和網(wǎng)絡(luò)中數(shù)據(jù)硬件、軟件、文檔資料關(guān)鍵人員組織內(nèi)部服務(wù)含有價(jià)值信息資產(chǎn)面臨很多威脅，需要妥善保護(hù)8/89信息在其生命周期內(nèi)處理方式創(chuàng)建(Creat

4、e)使用(Use)存放(storage)傳遞(delivery)更改(change)銷毀(destroy)9/89信息安全基本目標(biāo)ConfidentialityInterityAvailability10/89對(duì)CIA目標(biāo)解釋C 保密性（Confidentiality）- 確保信息在存放、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。I 完整性（Integrity）-確保信息在存放、使用、傳輸過(guò)程中不會(huì)被非授權(quán)篡改、預(yù)防授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部一致性。A 可用性（Availability）-確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息

5、及資源。CIA三元組是信息安全目標(biāo)，也是基本標(biāo)準(zhǔn)，與之相反是DAD三元組：DAD泄漏篡改破壞isclosurelterationestruction11/89對(duì)CIA目標(biāo)解釋信息安全目標(biāo)通俗了解進(jìn)不來(lái)拿不走改不了跑不了看不懂可審查12/89CIA相關(guān)技術(shù)C I AEncryption for data at rest(whole disk,database encryption)Encryption for data in transit(IPSec,SSL,PPTP,SSH)Access control(Physical and technical)Hashing(data integrit

6、y)Configuration management(system integrity) Change control (process integrity)Access control(physical and technical)Software digital signingTransmission CRC functionsRedundant array of inexpensive disks(RAID)ClusteringLoad balancingRedundant data and power linesSoftware and data backupsDisk shadowi

7、ngCo-location and off-site facilitiesRoll-back functionsFail-over configurations13/89信息安全實(shí)質(zhì) 采取辦法保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，確保信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成影響減到最小，確保組織業(yè)務(wù)運(yùn)行連續(xù)性。14/89其它相關(guān)概念和標(biāo)準(zhǔn)私密性（Privacy） 個(gè)人和組織控制私用信息采集、存放和分發(fā)權(quán)利。身份識(shí)別（Identification） 用戶向系統(tǒng)聲稱其真實(shí)身份方式。身份認(rèn)證（Authentication） 測(cè)試并認(rèn)證用戶身份。授權(quán)（Autho

8、rization） 為用戶分配并校驗(yàn)資源訪問(wèn)權(quán)限過(guò)程?？勺匪菪裕ˋccountability）確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)能力。抗抵賴性（Non-repudiation） 確保信息發(fā)送者即創(chuàng)建者能力。審計(jì)（Audit） 對(duì)系統(tǒng)統(tǒng)計(jì)和活動(dòng)進(jìn)行獨(dú)立復(fù)查和審核，確保符合性。15/89什么是信息安全管理信息安全成敗取決于兩個(gè)原因：技術(shù)和管理。技術(shù)是信息安全構(gòu)筑材料，管理是真正粘合劑和催化劑。人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全主要性。信息安全管理（Information Security Management） 作為組織完整管理體系中一個(gè)主要步驟，其主要活動(dòng)包含：識(shí)別信息資產(chǎn)及相關(guān)風(fēng)險(xiǎn)，采取恰

9、當(dāng)策略和控制辦法以消減風(fēng)險(xiǎn)，監(jiān)督控制辦法有效性，提升人員安全意識(shí)等?，F(xiàn)實(shí)世界里大多數(shù)安全事件發(fā)生和安全隱患存在，與其說(shuō)是技術(shù)上原因，不如說(shuō)是管理不善造成，了解并重視管理對(duì)于信息安全關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來(lái)說(shuō)尤其主要。16/89信息安全管理模型 針對(duì)檢驗(yàn)結(jié)果采取應(yīng)對(duì)辦法，改進(jìn)安全情況 依據(jù)風(fēng)險(xiǎn)評(píng)定結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作本身需要來(lái)確定控制目標(biāo)與控制辦法。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全辦法實(shí)施情況進(jìn)行符合性檢驗(yàn)。 實(shí)施所選安全控制辦法。提升人員安全意識(shí)。管理周期辦法Action檢驗(yàn)Check計(jì)劃Plan實(shí)施Do17/89內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管

10、理組織信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育18/89企業(yè)安全框架對(duì)當(dāng)代企業(yè)來(lái)說(shuō)，參加全球市場(chǎng)競(jìng)爭(zhēng)，勢(shì)必面臨很多關(guān)于企業(yè)治理法規(guī)，這就要求企業(yè)管理愈加關(guān)注整體治理水平，并愈加嚴(yán)格地檢驗(yàn)內(nèi)部控制結(jié)構(gòu)，確保其存在并有效地運(yùn)作。與各種法律法規(guī)要求相伴隨，是很多能夠指導(dǎo)企業(yè)實(shí)施治理最正確實(shí)踐，比如ITIL，ISO27001、COSO、COBIT等。企業(yè)能夠參考最正確實(shí)踐，在IT方面做出恰當(dāng)投資決議，以符合業(yè)務(wù)使命和法規(guī)要求。IT不再是只花錢后勤部門(mén)，而成為業(yè)務(wù)關(guān)鍵支持，必須得到董事會(huì)和管理層重視和支持。19/89常規(guī)企業(yè)管控參考框架當(dāng)前，國(guó)際上常見(jiàn)有各種針對(duì)安全控制實(shí)施有效性審計(jì)框架標(biāo)準(zhǔn)。這些資源對(duì)于企

11、業(yè)設(shè)計(jì)和實(shí)施信息安全有很好參考價(jià)值。這些框架標(biāo)準(zhǔn)包含：ISO/IEC 27000信息安全管理Zachman,TOGAF企業(yè)架構(gòu)框架SABSA安全架構(gòu)框架COSO企業(yè)內(nèi)控管理模型COBIT IT內(nèi)部控制ITIL IT服務(wù)管理NIST 800-53 安全控制參考CMMI 軟件開(kāi)發(fā)管理PMBOK，Prince2項(xiàng)目管理ISO9000質(zhì)量管理Six Sigma業(yè)務(wù)流程管理ISO38500 IT治理ISO22301業(yè)務(wù)連續(xù)性管理20/89關(guān)于COSO1985年，由美國(guó)多家機(jī)構(gòu)共同贊助成立了全國(guó)舞弊性財(cái)務(wù)匯報(bào)委員會(huì)，即tread-way委員會(huì)，而COSO（Committee of Sponsoring O

12、rganizations of the Treadway Commission）是Tread-way委員會(huì)贊助機(jī)組成立私人性質(zhì)組織，于1992年公布了內(nèi)部控制-整體框架（也被稱作COSO框架）。，美國(guó)SEC同意公布了第2號(hào)審計(jì)標(biāo)準(zhǔn)（“與財(cái)務(wù)報(bào)表審計(jì)相關(guān)針對(duì)財(cái)務(wù)匯報(bào)內(nèi)部控制審計(jì)”），依據(jù)就是COSO內(nèi)部控制框架。該標(biāo)準(zhǔn)關(guān)注對(duì)財(cái)務(wù)匯報(bào)內(nèi)部審計(jì)工作，以及這項(xiàng)工作與財(cái)務(wù)報(bào)表審計(jì)關(guān)系問(wèn)題。COSO定義了滿足財(cái)務(wù)匯報(bào)和披露目標(biāo)一類內(nèi)控要素：控制環(huán)境（Control environment）、風(fēng)險(xiǎn)評(píng)定（Risk assessment）、控制活動(dòng)（Control activities）、信息與溝通（Infor

13、mation&Communication）和監(jiān)測(cè)（Monitoring）COSO內(nèi)控模型已經(jīng)被采納成為很多組織應(yīng)對(duì)SOX 404法案合規(guī)性框架。 21/89關(guān)于ITILInformation Technology Infrastructure Library V3起源于英國(guó)電腦局一套詳細(xì)描述最正確IT服務(wù)管理叢書(shū)，信息服務(wù)管理實(shí)施上業(yè)界標(biāo)準(zhǔn)，可簡(jiǎn)單概括為服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)交付與服務(wù)運(yùn)行四大過(guò)程，14個(gè)IT詳細(xì)流程。22/89關(guān)于COBITC ControlOb objectivei for informationT and related TechnologyCobiT是由ISACA（I

14、nformation Systems Audit and Control Association）在1996年公布、當(dāng)前在國(guó)際上公認(rèn)最先進(jìn)、最權(quán)威安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。CobiT是一套專供企業(yè)經(jīng)營(yíng)者、使用者、IT教授、審計(jì)員與安控人員來(lái)強(qiáng)化和評(píng)定IT管理和控制規(guī)范。CobiT架構(gòu)主要目標(biāo)是為業(yè)界提供關(guān)于IT控制一個(gè)清楚政策和發(fā)展良好典范，這個(gè)架構(gòu)共有34個(gè)IT程序，分成4個(gè)領(lǐng)域：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery and Support）和ME（Monitoring and E

15、valuation），全部程序中包含了302個(gè)控制目標(biāo)，全都提供了最正確施行指導(dǎo)。已升級(jí)到5.0版本。23/89關(guān)于ISO27000系列標(biāo)準(zhǔn)最早是英國(guó)家標(biāo)準(zhǔn)準(zhǔn)協(xié)會(huì)（British Standards Institute,BSI）制訂信息安全標(biāo)準(zhǔn)。當(dāng)前已經(jīng)成為國(guó)際標(biāo)準(zhǔn)。由信息安全方面最正確通例組成一套全方面控制集。信息安全管理方面最受推崇國(guó)際標(biāo)準(zhǔn)。24/89ISO27000標(biāo)準(zhǔn)發(fā)展歷史BS7799 ISO27002：1992年在英國(guó)首次作為行業(yè)標(biāo)準(zhǔn)公布，為信息安全管理提供了一個(gè)依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國(guó)家標(biāo)準(zhǔn)準(zhǔn)化協(xié)會(huì)（BSI）組織相關(guān)教授共同開(kāi)發(fā)制訂。在1998年、1999年經(jīng)過(guò)兩次修訂

16、之后出版BS7799-1：1999和BS7799-2：1999.4月，將BS7799-1：1999提交ISO，同年10月取得經(jīng)過(guò)成為ISO/IEC17799;版。20對(duì)ISO/IEC17799:版進(jìn)行了修訂，于6月15日公布了ISO/IEC17799：2005版。20ISO/IEC27002修訂BS7799-2：1999,同年BS7799-2：2000公布。年對(duì)BS7799-2：2000進(jìn)行了修訂公布了BS7799-2：版ISO于2010月15采取BS7799-2：版本成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC27001:2005版。信息安全績(jī)效測(cè)量指南。ISO27001:25/89ISO27002標(biāo)準(zhǔn)內(nèi)容

17、框架安全策略Security policy組織信息安全Organizing information security資產(chǎn)管理Asset management人力資源安全Human resourcesSecurity物理與環(huán)境安全Physical and environmental security通信與操作管理Communicationsand operationsmanagement信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)InformationSystems acquisition，development and maintenance訪問(wèn)控制Access control信息安全事件管理Informatio

18、n security incident management業(yè)務(wù)連續(xù)性管理Business continuty management符合性Compliance26/89文件化安全體系安全策略？ 安全策略是對(duì)訪問(wèn)規(guī)則正式陳說(shuō)，任何獲準(zhǔn)訪問(wèn)某個(gè)機(jī)構(gòu)技術(shù)和信息資產(chǎn)人員，都必須恪守這些規(guī)則。RFC2196,Site Security HandbookSecurity policy,是企業(yè)指導(dǎo)怎樣對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配規(guī)則和指示。它定義了組織對(duì)正確使用信息并確保信息安全基本期望。安全策略是實(shí)施健全信息安全基礎(chǔ)。安全工作需要長(zhǎng)久戰(zhàn)略方針，需要建立企業(yè)內(nèi)部全方面、系統(tǒng)和文檔化安全策略體系。信息安全策

19、略應(yīng)該說(shuō)明管理層承諾，提出企業(yè)管理信息安全方法，并由管理層同意，采取適當(dāng)方式（指示文件和培訓(xùn)）傳達(dá)給員工。27/89安全策略含有層次性方針處于策略鏈最高層次，它是由組織高級(jí)管理層公布，關(guān)于信息安全最普通性申明。方針應(yīng)該代表著高級(jí)管理層對(duì)信息安全負(fù)擔(dān)責(zé)任一個(gè)承諾，一旦公布，要求組織組員必須恪守。方針實(shí)施要依靠標(biāo)準(zhǔn)、指南和程序。標(biāo)準(zhǔn)標(biāo)準(zhǔn)要求了在組織范圍內(nèi)強(qiáng)制執(zhí)行對(duì)特定技術(shù)和方法使用。標(biāo)準(zhǔn)起著驅(qū)動(dòng)方針作用，標(biāo)準(zhǔn)能夠用來(lái)建立方針執(zhí)行強(qiáng)制機(jī)制。指南類似于標(biāo)準(zhǔn)，也是關(guān)于加強(qiáng)系統(tǒng)安全方法，但它是提議性。指南比標(biāo)準(zhǔn)更靈活，考慮到了不一樣信息系統(tǒng)特點(diǎn)。指南也可用來(lái)要求標(biāo)準(zhǔn)開(kāi)發(fā)方式，或者確保對(duì)普通性安全標(biāo)準(zhǔn)恪守。

20、彩虹系列、CC、BS7799等，都能夠看作是這類。基線基線建立是滿足方針要求最低級(jí)別安全需要。在建立信息安全整體框架之前，基線是需要考慮最低標(biāo)準(zhǔn)。標(biāo)準(zhǔn)開(kāi)發(fā)通常都是以基線為基礎(chǔ)，基線能夠看是抽象簡(jiǎn)單化標(biāo)準(zhǔn)。大多數(shù)基線都是很詳細(xì)，或者與系統(tǒng)相關(guān)，或者是陳說(shuō)某種配置。程序是執(zhí)行特定任務(wù)詳細(xì)步驟。位于策略鏈最低層次，是實(shí)現(xiàn)方針、標(biāo)準(zhǔn)和指南詳細(xì)步驟。28/89安全策略層次模型戰(zhàn)略層次 戰(zhàn)術(shù)層次目標(biāo)要求詳細(xì)步驟實(shí)現(xiàn)方法方針Policy程序Procedure基線Baseline標(biāo)準(zhǔn)Standard指南Guideline29/89安全策略不一樣層次不一樣作用方針作為最高級(jí)別管理層陳說(shuō)，它說(shuō)明了需要保護(hù)對(duì)象和目

21、標(biāo)，標(biāo)準(zhǔn)和指南要求了用來(lái)保護(hù)特定對(duì)象技術(shù)和方法，程序則是對(duì)執(zhí)行保護(hù)任務(wù)時(shí)詳細(xì)步驟細(xì)節(jié)描述（How）。比如，某個(gè)企業(yè)在其安全方針中申明：全部機(jī)密信息必須得到加密保護(hù)。這種申明是很寬泛含糊，這時(shí)候，一個(gè)強(qiáng)制性標(biāo)準(zhǔn)深入指出：全部保留在數(shù)據(jù)庫(kù)中客戶信息必須采取DES算法進(jìn)行加密，數(shù)據(jù)傳輸必須使用IPSec這一VPN技術(shù)。詳細(xì)執(zhí)行安全策略時(shí)，對(duì)應(yīng)程序會(huì)詳細(xì)解釋怎樣實(shí)施DES及IPSec技術(shù)。對(duì)于一些意外情況，比如數(shù)據(jù)傳輸過(guò)程中遭受竊取或破壞，對(duì)應(yīng)處理方法就能夠經(jīng)過(guò)指南來(lái)描述。30/89不一樣內(nèi)容側(cè)重策略類型組織性策略：Organizational or program policy,這類策略由高級(jí)管理層

22、公布，該策略描述并委派信息安全責(zé)任，定義實(shí)現(xiàn)CIA目標(biāo)，強(qiáng)調(diào)需要尤其關(guān)注信息安全問(wèn)題（比如保護(hù)信用卡企業(yè)或健康保險(xiǎn)企業(yè)機(jī)密信息，或者高可用性系統(tǒng)）。通常情況下，這類策略范圍是整個(gè)組織。功效型策略：即特定問(wèn)題策略（issue-specific policy），針對(duì)特定安全領(lǐng)域或關(guān)注點(diǎn)，比如訪問(wèn)控制、連續(xù)性計(jì)劃、職責(zé)分離等，或者針對(duì)特定技術(shù)領(lǐng)域，比如使用互聯(lián)網(wǎng)、電子郵件、無(wú)線訪問(wèn)、遠(yuǎn)程訪問(wèn)等。這類策略依賴于業(yè)務(wù)需要和可接收風(fēng)險(xiǎn)水平。內(nèi)容包含：對(duì)特定問(wèn)題闡述，組織針對(duì)該問(wèn)題態(tài)度，適用范圍，符合性要求，懲戒辦法等。特定系統(tǒng)策略：System-specific policy,針對(duì)特定技術(shù)或操作領(lǐng)域制訂更

23、細(xì)節(jié)化策略，比如特定應(yīng)用或平臺(tái)。31/89策略文件組成要素元素說(shuō)明目標(biāo)（Objective）本策略文件為實(shí)現(xiàn)什么目標(biāo)而制訂范圍（Scope）策略內(nèi)容包括主題、組織區(qū)域、技術(shù)系統(tǒng)、業(yè)務(wù)單元等使用期（Validity）策略文件適用期限全部者（Ownership）要求策略文件全部者，由其負(fù)責(zé)策略文件維護(hù)和完整性，策略文件應(yīng)該由其正式簽署生效責(zé)任（Responsibilities）在策略文件覆蓋范圍內(nèi)，相關(guān)事務(wù)應(yīng)該由誰(shuí)來(lái)負(fù)責(zé)內(nèi)容（Statement）這是策略文件中最主要部分，要求詳細(xì)策略申明復(fù)審（Review）要求對(duì)策略文件復(fù)審事宜，包含是否進(jìn)行復(fù)審、詳細(xì)復(fù)審時(shí)間、復(fù)審方式等違規(guī)處理（Complian

24、ce）對(duì)于不恪守策略條款內(nèi)容處理方法參考文件（Supporting Documentation）引用參考文件，比如其它策略文件、表格、統(tǒng)計(jì)等32/89應(yīng)該制訂哪些策略？安全策略不應(yīng)該是一篇包含全部?jī)?nèi)容大文件，為了使用和維護(hù)上方便，策略應(yīng)該由多個(gè)小文件組成，形成一個(gè)策略框架。有些策略適合用于整個(gè)組織，有些策略只針對(duì)詳細(xì)一些環(huán)境或部門(mén)。一些關(guān)鍵策略：Acceptable Use Policy, AUP:定義用戶對(duì)計(jì)算資源恰當(dāng)使用遠(yuǎn)程訪問(wèn)策略：定義遠(yuǎn)程連接內(nèi)部網(wǎng)絡(luò)可接收方法信息保護(hù)策略：關(guān)于處理、存放和傳輸敏感信息要求邊界安全策略：描述了怎樣維護(hù)邊界安全病毒保護(hù)和預(yù)防策略：關(guān)于防病毒方面要求口令策略

25、：關(guān)于用戶級(jí)和系統(tǒng)級(jí)口令管理和維護(hù)要求其它策略：電子郵件，無(wú)線安全，物理安全，訪問(wèn)控制，Web訪問(wèn)等33/89安全策略注意事項(xiàng)好安全策略應(yīng)該語(yǔ)言簡(jiǎn)練，易于了解，使用明確指令性語(yǔ)句。策略必須是可實(shí)施和可執(zhí)行，有一個(gè)底線要考慮，那就是安全保護(hù)和生產(chǎn)效率平衡。最高層方針應(yīng)該含有一定穩(wěn)定性（最少2-3年），防止出現(xiàn)技術(shù)實(shí)施細(xì)節(jié)，應(yīng)該和支持性文件建立聯(lián)絡(luò)。策略一旦被同意，應(yīng)該確保全部相關(guān)人員都去執(zhí)行，一定懲戒機(jī)制是必要。應(yīng)該經(jīng)過(guò)各種路徑和方式，力爭(zhēng)策略為全部相關(guān)人員獲知并了解。策略應(yīng)該復(fù)審和更新，以反應(yīng)組織發(fā)生改變。安全策略必須得到高級(jí)管理支持，不然極難發(fā)揮效力。34/89怎樣了解信息安全治理？ITGI

26、（IT Governance Institute）對(duì)IT治理定義是：一個(gè)由關(guān)系和過(guò)程組成機(jī)制，用于指導(dǎo)和控制企業(yè)，經(jīng)過(guò)平衡信息技術(shù)及其過(guò)程風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)目標(biāo)。經(jīng)過(guò)這種機(jī)制和架構(gòu)，IT決議、實(shí)施、服務(wù)、監(jiān)督等流程，IT各類資源和信息與企業(yè)戰(zhàn)略和目標(biāo)緊密關(guān)聯(lián)。同時(shí)，把在IT各個(gè)方面最正確實(shí)踐從企業(yè)戰(zhàn)略角度加以有機(jī)融合，從而使企業(yè)能夠最大化IT在企業(yè)中價(jià)值，并能夠抓住IT賦予際遇和競(jìng)爭(zhēng)優(yōu)勢(shì)。信息安全治理作為IT治理一個(gè)部分，包含這些內(nèi)容：董事會(huì)和高級(jí)管理者重視信息安全，為其發(fā)展指導(dǎo)方向，促動(dòng)安全戰(zhàn)略和策略。為各種安全活動(dòng)提供資源支持，委派管理責(zé)任，決議事務(wù)優(yōu)先次序，支持必要變革，確定和

27、風(fēng)險(xiǎn)管理相關(guān)企業(yè)價(jià)值取向，取得來(lái)自內(nèi)部或外部審計(jì)師證實(shí)，確保安全投資在有效基礎(chǔ)之上能夠度量和匯報(bào)。ITGI提議，企業(yè)管理層應(yīng)該依據(jù)其業(yè)務(wù)需要來(lái)建立安全策略，確保角色和責(zé)任清楚定義且可了解，識(shí)別各種威脅和弱點(diǎn)，實(shí)施必要基礎(chǔ)設(shè)施和控制架構(gòu)（標(biāo)準(zhǔn)、度量、實(shí)踐和程序等），監(jiān)督違規(guī)事件，定時(shí)檢驗(yàn)和測(cè)試，實(shí)施意識(shí)教育，并在整個(gè)系統(tǒng)開(kāi)發(fā)生命周期中建立安全管控。35/89內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育36/89 在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來(lái)負(fù)面影響潛在可能性。 風(fēng)險(xiǎn)管理（Risk Management）就是識(shí)別風(fēng)

28、險(xiǎn)、評(píng)定風(fēng)險(xiǎn)、采取辦法將風(fēng)險(xiǎn)降低到可接收水平，并維持這個(gè)風(fēng)險(xiǎn)水平過(guò)程。風(fēng)險(xiǎn)管理是信息安全管理關(guān)鍵內(nèi)容。風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理37/89風(fēng)險(xiǎn)管理相關(guān)要素定義資產(chǎn)（Asset）對(duì)組織含有價(jià)值信息資產(chǎn)，包含計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，全部這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）可能對(duì)資產(chǎn)或組織造成損害某種安全事件發(fā)生潛在原因，需要識(shí)別出威脅源（Threat source）或威脅代理（threat agent）。弱點(diǎn)（Vulnerability）也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在可被威脅利用缺點(diǎn)，弱點(diǎn)一旦被利于，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）特定威脅利用資

29、產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害潛在可能性。可能性（Likelihood）對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）定性描述。影響（Impact）后果（Consequence），意外事件發(fā)生給組織帶來(lái)直接或間接損失或傷害。安全辦法（Safeguard）控制（control）或?qū)Σ撸╟ountermeasure）， 即經(jīng)過(guò)防范威脅、降低弱點(diǎn)、限制意外事件帶來(lái)影響等路徑來(lái)消減風(fēng)險(xiǎn)機(jī)制、方法和辦法。殘留風(fēng)險(xiǎn)（Residual Risk）在實(shí)施安全辦法之后依然存在風(fēng)險(xiǎn)。38/89資產(chǎn)業(yè)務(wù)影響威脅脆弱性風(fēng)險(xiǎn)錢被偷100塊沒(méi)飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密風(fēng)險(xiǎn)評(píng)定通俗類

30、比39/89風(fēng)險(xiǎn)要素之間關(guān)系40/89風(fēng)險(xiǎn)管理目標(biāo)風(fēng)險(xiǎn)RISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取辦法后剩下風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性資產(chǎn)威脅脆弱性41/89安全沒(méi)有絕對(duì)可言絕正確零風(fēng)險(xiǎn)是不存在，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)；計(jì)算機(jī)系統(tǒng)安全性越高，其可用性越低，需要付出成本也就越大，普通來(lái)說(shuō)，需要在安全性和可用性，以及安全性和成本投入之間做一個(gè)平衡。組織管理層應(yīng)該對(duì)此做出決議。 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！?顯然，這么計(jì)算機(jī)是無(wú)法使用。42/89關(guān)鍵是達(dá)成成本利益平衡安全控制成本所提供安全水平 高高低安全成本/損失 支

31、出平衡點(diǎn)安全事件造成損失要研究建設(shè)信息安全綜合成本與信息安全風(fēng)險(xiǎn)之間平衡，而不是要片面追求不切實(shí)際安全不一樣信息系統(tǒng)，對(duì)于安全要求不一樣，不是“ 越安全越好”43/89風(fēng)險(xiǎn)管理普通過(guò)程否是否是風(fēng)險(xiǎn)評(píng)定準(zhǔn)備已有安全措施確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接收選擇適當(dāng)控制辦法并評(píng)定殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接收殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)識(shí)別評(píng)定過(guò)程文檔評(píng)定過(guò)程文檔風(fēng)險(xiǎn)評(píng)定結(jié)果統(tǒng)計(jì)評(píng)定結(jié)果文檔44/89風(fēng)險(xiǎn)管理過(guò)程邏輯公式Risk= Threat * Vulnerable * AssetValueResidual Risk=(Threat * Vulnerable * AssetValue)* Cont

32、rolGap45/89什么是風(fēng)險(xiǎn)評(píng)定？風(fēng)險(xiǎn)評(píng)定（Risk Assesssment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨威脅、存在弱點(diǎn)，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)大小或水平評(píng)定。作為風(fēng)險(xiǎn)管理基礎(chǔ)，風(fēng)險(xiǎn)評(píng)定是組織確定信息安全需求一個(gè)主要路徑，屬于組織信息安全管理體系策劃過(guò)程。主要任務(wù)包含：識(shí)別組成風(fēng)險(xiǎn)各種原因評(píng)定風(fēng)險(xiǎn)發(fā)生可能性和造成影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或大小確定組織承受風(fēng)險(xiǎn)能力確定風(fēng)險(xiǎn)消減和控制策略、目標(biāo)和優(yōu)先次序推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施包含風(fēng)險(xiǎn)分析（Risk Analysis）和風(fēng)險(xiǎn)評(píng)價(jià)（Risk Evaluation）兩部分，但普通來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)定和風(fēng)險(xiǎn)分析同義。46/89經(jīng)典RA方法NIST SP8

33、00-30和800-66：定性RA方法，其中SP800-66是專為HIPAA客戶而設(shè)計(jì)。基本過(guò)程以下：系統(tǒng)分類；弱點(diǎn)識(shí)別；威脅識(shí)別；對(duì)策識(shí)別；可能性評(píng)定；影響評(píng)定；風(fēng)險(xiǎn)評(píng)定；新對(duì)策推薦；文件匯報(bào)OCTAVEOperationally Critical Threat,Asset and Vulnerability Evaluation由Carnegie Mellon大學(xué)CERT協(xié)調(diào)中心（CERT/CC）開(kāi)發(fā)是一個(gè)基于信息資產(chǎn)風(fēng)險(xiǎn)自主式信息安全風(fēng)險(xiǎn)評(píng)定規(guī)范，強(qiáng)調(diào)以資產(chǎn)為驅(qū)動(dòng)，資產(chǎn)（asset）形成了組織業(yè)務(wù)目標(biāo)和安全相關(guān)信息之間橋梁，而且以保護(hù)關(guān)鍵信息資產(chǎn)為目標(biāo)。由3個(gè)階段、8個(gè)過(guò)程組成。CRAM

34、MCCTA Risk Analysis and Management Method基本過(guò)程：資產(chǎn)識(shí)別和評(píng)價(jià)；威脅和弱點(diǎn)評(píng)定；對(duì)策選擇和提議STASpanning Tree Analysis 創(chuàng)建一個(gè)系統(tǒng)可能面臨全部威脅樹(shù)，樹(shù)枝能夠代表諸如網(wǎng)絡(luò)威脅、物理威脅、組件失效等類別，進(jìn)行RA時(shí)，需要剪除不用樹(shù)枝。FMEAFailure Modes and Effect Analysis源自硬件分析，也可用在軟件和系統(tǒng)分析上?？疾槊總€(gè)部件或模塊潛在失效，而且考查失效影響Immediate level（部件或模塊）；Intermediate level（流程或包）；System wide47/89風(fēng)險(xiǎn)評(píng)定可

35、用工具和實(shí)踐方法采集數(shù)據(jù)輔助工具：調(diào)查問(wèn)卷（Questionnaire）檢驗(yàn)列表（Checklist）人員訪談（Interview）漏洞掃描器（Scanner）滲透測(cè)試（Penetration Test）專用風(fēng)險(xiǎn)評(píng)定工具：COBRACRAMMASSETCORASCORA 48/89定量評(píng)定和定性評(píng)定定性風(fēng)險(xiǎn)評(píng)定：憑借分析者經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界標(biāo)準(zhǔn)和通例，為風(fēng)險(xiǎn)管理諸要素大小或高低程度定性分級(jí)。定量風(fēng)險(xiǎn)評(píng)定：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)及其組成原因進(jìn)行分析評(píng)定一個(gè)方法。 定性風(fēng)險(xiǎn)分析優(yōu)點(diǎn)計(jì)算方式簡(jiǎn)單，易于了解和執(zhí)行無(wú)須準(zhǔn)確算出資產(chǎn)價(jià)值和威脅頻率無(wú)須準(zhǔn)確計(jì)算推薦安全方法成本流程和匯報(bào)形式比較有彈性缺點(diǎn)本

36、質(zhì)上是非常主觀，其結(jié)果高度依賴于評(píng)定者經(jīng)驗(yàn)和能力，較難客觀地跟蹤風(fēng)險(xiǎn)管理效果對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)定參考性較低并不能為安全方法成本效益分析提供客觀依據(jù)定量風(fēng)險(xiǎn)分析優(yōu)點(diǎn)評(píng)定結(jié)果是建立在獨(dú)立客觀程序或量化指標(biāo)之上能夠?yàn)槌杀拘б鎸徍颂峁?zhǔn)確依據(jù)，有利于預(yù)算決議量化資產(chǎn)價(jià)值和預(yù)期損失易了解可利用自動(dòng)化工具幫助分析缺點(diǎn)輸入數(shù)據(jù)可靠性和準(zhǔn)確性難以確保沒(méi)有一個(gè)標(biāo)準(zhǔn)化知識(shí)庫(kù)，依賴于提供工具或?qū)嵤┱{(diào)查廠商信息計(jì)算量大，方法復(fù)雜，費(fèi)時(shí)費(fèi)勁49/89定量風(fēng)險(xiǎn)評(píng)定概述對(duì)組成風(fēng)險(xiǎn)各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額。當(dāng)度量風(fēng)險(xiǎn)全部要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全辦法效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)定整個(gè)過(guò)程

37、和結(jié)果就都能夠被量化。定量分析有兩個(gè)關(guān)鍵指標(biāo)：事件發(fā)生頻率（用ARO來(lái)表示）和威脅事件可能引發(fā)損失（用EF來(lái)表示）。理論上講，經(jīng)過(guò)定量分析能夠?qū)Π踩L(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)，但這有個(gè)前提，那就是可供參考數(shù)據(jù)指標(biāo)是準(zhǔn)確。定量分析所依據(jù)數(shù)據(jù)可靠性是極難確保，再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)久性，計(jì)算過(guò)程又極易犯錯(cuò)，這就給分析細(xì)化帶來(lái)了很大困難。實(shí)際風(fēng)險(xiǎn)分析時(shí)，采取定量分析或者純定量分析方法比較少。50/89定量分析基本概念暴露因子（Exposure Factor,EF）特定威脅對(duì)特定資產(chǎn)造成損失百分比，或者說(shuō)損失程度。單一損失期望（Single Loss Expectancy,SLE）或者稱作SOC（Single O

38、ccurance Costs）,即特定威脅單次發(fā)生可能造成潛在損失量。年度發(fā)生率（Annualized Rate of Occurrence,ARO）即威脅在一年內(nèi)預(yù)計(jì)會(huì)發(fā)生次數(shù)。年度損失期望（Annualized Loss Expectancy,ALE）或者稱作EAC（Estimated Annual Cost）表示特定資產(chǎn)在一年內(nèi)遭受損失預(yù)期值。51/89定量分析基本過(guò)程識(shí)別資產(chǎn)并為資產(chǎn)賦值；評(píng)定威脅和弱點(diǎn)，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成影響，即EF（取值在0%-100%之間）；計(jì)算特定威脅發(fā)生次數(shù)（頻率），即ARO；計(jì)算資產(chǎn)SLE；計(jì)算資產(chǎn)ALE。 SLEAsset Value * E

39、F ALE= SLE * ARO52/89定量分析舉例 假定某企業(yè)投資500,000美元建了一個(gè)網(wǎng)絡(luò)運(yùn)行中心，其最大威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運(yùn)行中心預(yù)計(jì)損失程度是45%。依據(jù)消防部門(mén)推斷，該網(wǎng)絡(luò)運(yùn)行中心所在地域每5年會(huì)發(fā)生一次火災(zāi)，于是我們得出了ARO為0.20結(jié)果。基于以上數(shù)據(jù)，該企業(yè)網(wǎng)絡(luò)運(yùn)行中心ALE將是45,000美元。AssetThreatAsset ValueEFSLEAROALE網(wǎng)絡(luò)運(yùn)行中心火災(zāi)$500,00000.45225,00000.20$45,000Web服務(wù)器電源故障$25,0000.256,2500.50$3,125Web數(shù)據(jù)病毒$150,00000.3350,0

40、002.00$100,000客戶數(shù)據(jù)泄漏$250,0000.75187,5000.66$123,75053/89定性風(fēng)險(xiǎn)評(píng)定概述定性分析方法當(dāng)前采取最為廣泛，它帶有很強(qiáng)主觀性，往往需要憑借分析者經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界標(biāo)準(zhǔn)和通例，為風(fēng)險(xiǎn)管理諸要素大小或高低程度定性分級(jí)，比如“高”、“中”、“低”三級(jí)。定性分析操作方法能夠各種多樣，包含小組討論（比如Delphi方法）、檢驗(yàn)列表（Checklist）、問(wèn)卷(Questionnaire)、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來(lái)相對(duì)輕易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)偏差而使分析結(jié)果失準(zhǔn)。與定量分析相比較，定性分析準(zhǔn)確性稍

41、好但準(zhǔn)確性不夠，定量分析則相反；定性分析沒(méi)有定量分析那樣繁多計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定經(jīng)驗(yàn)和能力。 54/89識(shí)別信息資產(chǎn)對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全直接目標(biāo)。劃入風(fēng)險(xiǎn)評(píng)定范圍和邊界每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，依據(jù)業(yè)務(wù)流程來(lái)識(shí)別信息資產(chǎn)。信息資產(chǎn)存在形式有各種，物理、邏輯、無(wú)形。電子數(shù)據(jù)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊(cè)，培訓(xùn)資料，計(jì)劃等書(shū)面文件：協(xié)議，策略方針，歸檔文件，主要商業(yè)結(jié)果軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開(kāi)發(fā)工具，工具程序?qū)嵨镔Y產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施人員：負(fù)擔(dān)特定職能和責(zé)任

42、人員或角色服務(wù)：計(jì)算和通信服務(wù)，外包服務(wù)，其它技術(shù)性服務(wù)組織形象與聲譽(yù)：無(wú)形資產(chǎn)55/89評(píng)價(jià)信息資產(chǎn)資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮：信息資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成直接損失信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出代價(jià)，包含檢測(cè)、控制、修復(fù)時(shí)人力和物力組織公眾形象和聲譽(yù)上損失，因業(yè)務(wù)受損造成競(jìng)爭(zhēng)優(yōu)勢(shì)降級(jí)而引發(fā)間接損失其它損失，比如保險(xiǎn)費(fèi)用增加定性分析時(shí)，我們關(guān)心是資產(chǎn)對(duì)組織主要性或其敏感程度，即因?yàn)橘Y產(chǎn)受損而引發(fā)潛在業(yè)務(wù)影響或后果。能夠依據(jù)資產(chǎn)主要性（影響或后果）來(lái)為資產(chǎn)劃分等級(jí)，比如：災(zāi)難性、較大、中等、較小、可忽略應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損失可能引發(fā)后果。56/89信息分類分級(jí)管理For comme

43、rcialBusiness: ConfidentialPrivateSensitivePublic For military purposes:Top secretSecretConfidentialSensitive but unclassifiedUnclassified 57/89識(shí)別并評(píng)定威脅識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對(duì)不一樣資產(chǎn)造成影響。識(shí)別威脅關(guān)鍵在于確認(rèn)引發(fā)威脅人或物，即威脅源（威脅代理，Threat Agent）。威脅通常包含（起源）：人員威脅：有意破壞和無(wú)意失誤系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)故障環(huán)境威脅：電源故障、污染、液體泄漏、

44、火災(zāi)等自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等評(píng)定威脅可能性時(shí)要考慮到威脅源動(dòng)機(jī)和能力原因（內(nèi)因）。威脅發(fā)生可能性能夠用“高”、“中”、“低”三級(jí)來(lái)衡量。58/89識(shí)別并評(píng)定弱點(diǎn)針對(duì)每一項(xiàng)需要保護(hù)資產(chǎn)，找到可被威脅利用弱點(diǎn)，包含：技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在漏洞或缺點(diǎn)操作性弱點(diǎn)：配置、操作和使用中缺點(diǎn)，包含人不良習(xí)慣、操作過(guò)程漏洞管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面不足弱點(diǎn)識(shí)別路徑：審計(jì)匯報(bào)、事件匯報(bào)、安全檢驗(yàn)匯報(bào)、系統(tǒng)測(cè)試和評(píng)定匯報(bào)專業(yè)機(jī)構(gòu)公布漏洞信息自動(dòng)化漏洞掃描工具和滲透測(cè)試評(píng)定弱點(diǎn)時(shí)需要考慮其暴露程度或被利用輕易度。比如能夠用“高”、“中”、“低”三級(jí)來(lái)衡量。59

45、/89資產(chǎn)、威脅及弱點(diǎn)關(guān)系弱點(diǎn)威脅影響資產(chǎn)沒(méi)有邏輯訪問(wèn)控制蓄意破壞軟件軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)沒(méi)有應(yīng)急計(jì)劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存放介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)資產(chǎn)威脅A威脅B起源A1起源A2起源B1起源B2弱點(diǎn)A1弱點(diǎn)A2弱點(diǎn)B1起源B260/89風(fēng)險(xiǎn)評(píng)價(jià)之前需要確定兩個(gè)指標(biāo)風(fēng)險(xiǎn)影響（risk impact）能夠經(jīng)過(guò)資產(chǎn)價(jià)值評(píng)定來(lái)確定分級(jí)方式依據(jù)需要來(lái)定，比如：（1,2,3,4,5），即：（可忽略，較小，中等，較大，災(zāi)難性）風(fēng)險(xiǎn)可能性（probability）能夠經(jīng)過(guò)威脅可能性、弱點(diǎn)暴露評(píng)價(jià)來(lái)綜合得出需要考慮到現(xiàn)有控制辦法效力（控制辦法

46、會(huì)影響對(duì)威脅及弱點(diǎn)判斷）分級(jí)方式依據(jù)需要來(lái)定（取決于威脅和弱點(diǎn)評(píng)價(jià)標(biāo)準(zhǔn)），比如：（1,2,3,4,5）,即：（幾乎必定，很可能，有可能，不太可能，很罕見(jiàn)）61/89對(duì)現(xiàn)有控制辦法考慮從針對(duì)性和實(shí)施方式來(lái)看，控制辦法包含三類：管理性（Administrative）：對(duì)系統(tǒng)開(kāi)發(fā)、維護(hù)和使用實(shí)施管理辦法，包含安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來(lái)保護(hù)系統(tǒng)和應(yīng)用操作流程和機(jī)制，包含人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識(shí)別與認(rèn)證、邏輯訪問(wèn)控制、日志審計(jì)、加密等。從功效來(lái)看，

47、控制辦法類型包含：威懾性（Deterrent）預(yù)防性（Preventive）檢測(cè)性（Detective）糾正性（Corrective）安全事件威脅弱點(diǎn)影響利用引發(fā)造成威懾性控制預(yù)防預(yù)防性控制保護(hù)檢測(cè)性控制發(fā)覺(jué)糾正性控制降低62/89風(fēng)險(xiǎn)評(píng)定矩陣可能性影響可忽略1較小2中等3較大4災(zāi)難性55,幾乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）等級(jí)取值范圍名稱描述H25,20H

48、igh，高風(fēng)險(xiǎn)最高等級(jí)風(fēng)險(xiǎn)，需要馬上采取應(yīng)對(duì)方法。不可接收。S12,15,16Significant，嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意，不可接收。M6,8,9,10Moderate，中等風(fēng)險(xiǎn)必須要求管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險(xiǎn)能夠經(jīng)過(guò)例行程序來(lái)處理。可接收。63/89定性風(fēng)險(xiǎn)評(píng)定舉例風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問(wèn)題企業(yè)職員有權(quán)獨(dú)立訪問(wèn)高敏感信息，他可能竊取這些賣給企業(yè)競(jìng)爭(zhēng)對(duì)手。確定風(fēng)險(xiǎn)因子：影響為3（中等）可能性為4（很可能）評(píng)定風(fēng)險(xiǎn)套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為S級(jí)（嚴(yán)重風(fēng)險(xiǎn)）應(yīng)對(duì)風(fēng)險(xiǎn)：依據(jù)企業(yè)確定風(fēng)險(xiǎn)接收水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取辦法給予消減?？赡苄杂绊懣珊雎?

49、較小2中等3較大4災(zāi)難性55,幾乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）12（S）64/89確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（Reduce Risk）實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接收程度，實(shí)際上就是力圖減小威脅發(fā)生可能性和帶來(lái)影響，包含：降低威脅：比如，實(shí)施惡意軟件控制程序，降低信息系統(tǒng)受惡意軟件攻擊機(jī)會(huì)降低弱點(diǎn)：比如，經(jīng)過(guò)安全意識(shí)培訓(xùn)，強(qiáng)化職員安全意識(shí)與安全操作能力降低影

50、響：比如，制訂災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份躲避風(fēng)險(xiǎn)（Avoid Risk）有時(shí)候，組織能夠選擇放棄一些可能引來(lái)風(fēng)險(xiǎn)業(yè)務(wù)或資產(chǎn)，以些躲避風(fēng)險(xiǎn)。比如，將主要計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來(lái)自外部網(wǎng)絡(luò)攻擊。轉(zhuǎn)嫁風(fēng)險(xiǎn)（Transfer Risk）將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其它責(zé)任方，比如購(gòu)置商業(yè)保險(xiǎn)。接收風(fēng)險(xiǎn)（Accept Risk）在實(shí)施了其它風(fēng)險(xiǎn)應(yīng)對(duì)辦法之后，對(duì)于殘留風(fēng)險(xiǎn)，組織能夠選擇接收。65/89選擇控制辦法以降低風(fēng)險(xiǎn)選擇安全辦法時(shí)首先關(guān)注是其基本功效，其次還有效力。選擇安全辦法（countermeasures/safeguard）時(shí)需要進(jìn)行成本效益分析：基本標(biāo)準(zhǔn)：實(shí)施安全辦法代價(jià)

51、不應(yīng)該大于所要保護(hù)資產(chǎn)價(jià)值對(duì)策成本：購(gòu)置費(fèi)用，對(duì)業(yè)務(wù)效率影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價(jià)值實(shí)施控制之前ALE-控制年成本實(shí)施控制之后ALE除了成本效益（），還應(yīng)該考慮到以下約束條件：時(shí)間約束，技術(shù)約束，環(huán)境約束法律約束，社會(huì)約束確定所選安全辦法效力，是看實(shí)施新辦法之后還有什么殘留風(fēng)險(xiǎn)66/89絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘余風(fēng)險(xiǎn)（Residual Risk）。為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接收范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)R0-控制效力R殘留風(fēng)險(xiǎn)Rr可接收風(fēng)險(xiǎn)Rr對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)過(guò)程其實(shí)就是風(fēng)險(xiǎn)接收過(guò)程。決議者能夠依據(jù)風(fēng)險(xiǎn)評(píng)定結(jié)果來(lái)確

52、定一個(gè)閥值，以該閥值作為是否接收殘留風(fēng)險(xiǎn)標(biāo)準(zhǔn)。評(píng)價(jià)殘留風(fēng)險(xiǎn)（Residual Risk）風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性67/89風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問(wèn)題企業(yè)職員有權(quán)獨(dú)立訪問(wèn)某類高敏感度信息，他可能竊取這些信息賣給企業(yè)競(jìng)爭(zhēng)對(duì)手。實(shí)施控制之前：影響3（中等），可能性為4（很可能），風(fēng)險(xiǎn)為12（S級(jí)）。實(shí)施控制之后：影響為3不變，可能性降為1,殘留風(fēng)險(xiǎn)為3（L級(jí)）。應(yīng)對(duì)殘留風(fēng)險(xiǎn)：殘留風(fēng)險(xiǎn)在可接收范圍內(nèi)，說(shuō)明辦法應(yīng)用是成功。殘留風(fēng)險(xiǎn)計(jì)算舉例可能性影響可忽略1較小2中等3較大4災(zāi)難性55,幾乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有

53、可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）3（L）68/89例：灶臺(tái)上有一盤(pán)魚(yú)，老鼠經(jīng)過(guò)梯子能夠爬到灶臺(tái)上吃魚(yú)，問(wèn)以下那種降低風(fēng)險(xiǎn)方式最適當(dāng)？A、養(yǎng)一只貓B、老鼠夾C、給盤(pán)子蓋上罩子D、拿走梯子69/89內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育70/89要讓安全有效，必須讓全部些人都知道并了解本身角色、責(zé)任以及權(quán)力因?yàn)楦鱾€(gè)組織需要求不一樣，要提出一個(gè)普遍處理方案是不可能組織必須以恰當(dāng)方式為員工委派安全相關(guān)角色，這方面應(yīng)該遵照職責(zé)分離標(biāo)

54、準(zhǔn)在維護(hù)信息安全過(guò)程中，每個(gè)人都有對(duì)應(yīng)角色和責(zé)任，最主要角色應(yīng)該是管理層，他們必須為整個(gè)信息安全規(guī)劃定好基調(diào)信息安全必須人盡其事71/89高級(jí)管理者（Senior management）決議層或高級(jí)管理層全方面負(fù)責(zé)信息安全，是信息安全最終責(zé)任人規(guī)劃信息安全，確定目標(biāo)和優(yōu)先次序，委派信息安全責(zé)任信息系統(tǒng)安全教授（Information security professionals）即信息安全官（Infosec Officer）或CSO，受高級(jí)管理層委派（通常向CIO負(fù)責(zé)），負(fù)責(zé)實(shí)施和維護(hù)安全設(shè)計(jì)、實(shí)施、管理和復(fù)查組織安全策略、標(biāo)準(zhǔn)、指南和程序協(xié)調(diào)組織內(nèi)部各單位之間全部與安全相關(guān)交互安全委員會(huì)（s

55、ecurity committee）組員來(lái)自：高級(jí)管理層代表；IT管理者；業(yè)務(wù)部門(mén)和職能部門(mén)責(zé)任人；信息安全官等安全委員會(huì)責(zé)任：決議并同意安全相關(guān)事務(wù)、策略、標(biāo)準(zhǔn)、指南和程序安全管理員（Security Administrator）負(fù)責(zé)實(shí)施、監(jiān)視并執(zhí)行安全要求和策略各部門(mén)能夠設(shè)置自己安全管理員，負(fù)責(zé)執(zhí)行本部門(mén)安全管理事務(wù)向安全委員會(huì)/信息安全官匯報(bào)信息系統(tǒng)審計(jì)師（Information systems auditor）向安全目標(biāo)管理提供獨(dú)立保障檢驗(yàn)系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效主要角色和責(zé)任72/89數(shù)據(jù)屬主（Data owners）確定數(shù)據(jù)分類等級(jí)，確定訪問(wèn)特權(quán)，維護(hù)信

56、息系統(tǒng)中數(shù)據(jù)正確性和完整性保管者（Custodian）負(fù)責(zé)保管系統(tǒng)/數(shù)據(jù)庫(kù)，向適當(dāng)人員轉(zhuǎn)達(dá)方便響應(yīng)災(zāi)難恢復(fù)/應(yīng)急計(jì)劃人員從整體上負(fù)責(zé)組織應(yīng)急計(jì)劃與應(yīng)用全部者、信息安全人員等協(xié)同工作，取得其它應(yīng)急計(jì)劃支持CIRT（Computer Incident Response Team）評(píng)價(jià)安全事件和造成損害，提供修補(bǔ)系統(tǒng)正確響應(yīng)，搜集證據(jù)用戶（User）具備應(yīng)有安全意識(shí)恪守安全策略，恰當(dāng)使用信息和系統(tǒng)，通報(bào)安全事件其它相關(guān)角色和責(zé)任73/89信息安全必須從整體考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)覺(jué)問(wèn)題、分析問(wèn)題、采取辦法處理問(wèn)題、后續(xù)監(jiān)督防止再現(xiàn)”這么全程管理思緒，這就要求建立是一套完整信息安全管理體系，這

57、么系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導(dǎo)和支持之下，才可能成功最高管理層經(jīng)過(guò)明確信息安全目標(biāo)和方針為信息安全活動(dòng)指導(dǎo)方向最高管理層能夠?yàn)樾畔踩顒?dòng)提供必要資源支持最高管理層能夠在重大問(wèn)題上做出決議最高管理層能夠協(xié)調(diào)不一樣單位不一樣步驟關(guān)系，提升促動(dòng)力說(shuō)到底，最高管理層者是組織信息安全最終責(zé)任人組織高管全方面負(fù)責(zé)信息安全管理74/89Information Security Officer/Chief Security Officer 信息安全官應(yīng)該確保全部業(yè)務(wù)信息資產(chǎn)得到妥善保護(hù)，預(yù)防其遭受有意或無(wú)意損壞、泄漏、篡改和破壞。通常沒(méi)有直接可用資源來(lái)實(shí)施其職能，需要依靠組織中其它人員來(lái)實(shí)施并執(zhí)行保

58、護(hù)信息策略、程序、標(biāo)準(zhǔn)和指南。飾演是組織內(nèi)部信息安全協(xié)調(diào)和促動(dòng)角色。信息安全官應(yīng)該了解組織業(yè)務(wù)目標(biāo)，引導(dǎo)風(fēng)險(xiǎn)管理過(guò)程，并向高管代表進(jìn)行有效傳達(dá)（防止技術(shù)細(xì)節(jié)，側(cè)重業(yè)務(wù)需求和成本收益分析），確保在業(yè)務(wù)操作和可接收風(fēng)險(xiǎn)之間達(dá)成恰當(dāng)平衡。詳細(xì)職責(zé)包含：為信息安全活動(dòng)做預(yù)算。確保策略、程序、基線、標(biāo)準(zhǔn)和指南開(kāi)發(fā)。開(kāi)發(fā)并提供安全意識(shí)程序。評(píng)價(jià)安全事件并做出響應(yīng)。開(kāi)發(fā)安全合規(guī)性程序。建立安全度量機(jī)制。參加管理會(huì)議。幫助內(nèi)部和外部審計(jì)。CSO職責(zé)75/89向CEO報(bào)告降低消息過(guò)濾，改善溝通，顯示組織對(duì)信息安全重視向IT部門(mén)報(bào)告直接向CIO或IT負(fù)責(zé)人報(bào)告，一方面信息安全需要IT支持，其次，IT方面也需要了解

59、業(yè)務(wù)需求和成本限制向行政部門(mén)報(bào)告向負(fù)責(zé)行政VP報(bào)告，物理安全、人身安全、HR向風(fēng)險(xiǎn)管理部門(mén)報(bào)告更關(guān)注企業(yè)面臨風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)方法向內(nèi)審部門(mén)報(bào)告內(nèi)審部門(mén)和信息安全部門(mén)通常會(huì)有“利益沖突”，內(nèi)審部門(mén)通常有財(cái)務(wù)、企業(yè)管理和一般性控制背景，但在技術(shù)方面會(huì)有欠缺，及時(shí)有效溝通和協(xié)助，可以防止產(chǎn)生誤解向法務(wù)部門(mén)報(bào)告律師關(guān)心是法律法規(guī)合規(guī)性建立有效匯報(bào)機(jī)制76/89制訂有效安全管理計(jì)劃，能夠確保信息安全策略得到恰當(dāng)執(zhí)行進(jìn)行有效安全管理路徑，應(yīng)該是自上而下（Top-Down）：最高管理層負(fù)責(zé)開(kāi)啟并定義組織安全方針管理中層負(fù)責(zé)將安全策略充實(shí)成標(biāo)準(zhǔn)、基線、指南和程序，并監(jiān)督執(zhí)行業(yè)務(wù)經(jīng)理或安全教授負(fù)責(zé)實(shí)施安全管理文件

60、中指定配置最終用戶負(fù)責(zé)恪守組織全部安全策略安全管理計(jì)劃小組應(yīng)該開(kāi)發(fā)三類計(jì)劃：戰(zhàn)略計(jì)劃（strategic plan）是長(zhǎng)久計(jì)劃（比如5年），相對(duì)穩(wěn)定，定義了組織目標(biāo)和使命戰(zhàn)術(shù)計(jì)劃（tactical plan）是中期計(jì)劃（比如1年），是對(duì)實(shí)現(xiàn)戰(zhàn)略計(jì)劃中既定目標(biāo)任務(wù)和進(jìn)度細(xì)節(jié)描述，比如雇用計(jì)劃、預(yù)算計(jì)劃、系統(tǒng)開(kāi)發(fā)計(jì)劃等操作計(jì)劃（operational plan）是短期高度細(xì)化計(jì)劃，須經(jīng)常更新（每個(gè)月或每季度），比如培訓(xùn)計(jì)劃、系統(tǒng)布署計(jì)劃、產(chǎn)品設(shè)計(jì)計(jì)劃等組織信息安全建設(shè)應(yīng)按計(jì)劃行事77/89人是信息安全關(guān)鍵原因，人員管理不善會(huì)給組織帶來(lái)非常大安全威脅和風(fēng)險(xiǎn)。有調(diào)查顯示，大多數(shù)重大信息安全事件通常都來(lái)