信息安全管理體系

信息安全管理體系教材第1頁培訓綱領(lǐng)一、信息安全方面臨風險二、保護信息安全方法三、完善信息安全治理結(jié)構(gòu)四、審閱業(yè)務(wù)進行風險評定五、進行信息安全控制規(guī)劃六、建立信息安全管理體系七、建立完備“技術(shù)防火墻”八、建立有效“人力防火墻”九、對信息安全檢驗與審計信息安全管理體系教材第2頁信息系統(tǒng)固有脆弱性信息本身易傳輸、易毀損、易偽造信息技術(shù)平臺（如硬件、網(wǎng)絡(luò)、系統(tǒng)）復(fù)雜性與脆弱性行動遠程化使安全管理面臨挑戰(zhàn)信息含有主要價值信息社會對信息高度依賴，信息風險加大信息高附加值會引發(fā)偷竊、濫用等威脅一、信息安全方面臨風險企業(yè)對信息依賴程度：美國明尼蘇達大學Bush-Kugel研究匯報指出，企業(yè)在沒有信息資料可用情況下，金融業(yè)至多只能運行2天，商業(yè)則為3.3天，工業(yè)則為5天，保險業(yè)為5.6天。而以經(jīng)濟情況來看，有25%企業(yè)，因為毀損可能馬上破產(chǎn)，40%會在兩年內(nèi)宣告破產(chǎn)，只有7%不到企業(yè)在5年后能夠繼續(xù)存活。信息安全管理體系教材第3頁層出不窮網(wǎng)絡(luò)安全事件全球平均20秒就發(fā)生一次計算機病毒入侵,互聯(lián)網(wǎng)上防火墻大約25%被攻破;竊取商業(yè)信息事件每個月260%速度增加。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局8月25日公布一項調(diào)查匯報顯示，54％被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，比去年上升5％，其中發(fā)生過3次以上占22％，比去年上升7％。73％安全事件是因為未修補或防范軟件漏洞所造成。據(jù)統(tǒng)計產(chǎn)生電腦病毒和木馬數(shù)量到達23萬個，其中90%以上帶有顯著利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)安全。第一毒王“熊貓燒香”病毒己造成超出一千萬個人及企業(yè)用戶中毒，直接及間接經(jīng)濟損失高達億元以上。據(jù)統(tǒng)計，年初全球產(chǎn)生電腦病毒和木馬數(shù)量到達50萬個，其中90%以上帶有顯著利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)安全。Baidu灰鴿子吧信息安全管理體系教材第4頁商業(yè)間諜無孔不入在走向當代市場經(jīng)濟過程中，因為利益多元化格局形成和利益驅(qū)動機制強化，侵犯企業(yè)商業(yè)秘密事件正在快速增加。依據(jù)美國對本國1500家企業(yè)調(diào)查，有1300家企業(yè)認可，它們對國外競爭對手進行了間諜活動。據(jù)預(yù)計，美國企業(yè)每年投資在經(jīng)濟、科技情報方面費用高達300億美元。許多大企業(yè)設(shè)置專門競爭情報部門，建立企業(yè)競爭情報系統(tǒng)，進入世界500強美國企業(yè)中90%設(shè)有競爭情報部。如IBM、微軟、陶氏科寧、可口可樂等企業(yè)競爭情報系統(tǒng)不但能夠時刻監(jiān)視競爭對手動向和環(huán)境改變，而且含有對環(huán)境“早期預(yù)警”功效。向?qū)κ稚虡I(yè)機密說“不”信息安全管理體系教材第5頁商業(yè)機密泄露使企業(yè)遭受損失一項調(diào)查顯示，名列《財富》雜志前1000名企業(yè)每年因泄露商業(yè)機密而出現(xiàn)損失高達450億美元，平均每家企業(yè)每年發(fā)生2.45次泄密事件，損失超出50萬美元。景泰藍、宣紙、青蒿素、維生素C生產(chǎn)技術(shù)泄密和銣鐵硼專利被封殺都給我國企業(yè)和國家?guī)砹酥卮蠼?jīng)濟損失，造成了無可挽回影響。思科訴華為，華為訴滬科等知識產(chǎn)權(quán)案，使企業(yè)和人員都蒙受了損失。華為訴前員工竊密案觸目驚心泄密事件信息安全管理體系教材第6頁信息安全損失“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包含：時間被延誤修復(fù)成本可能造成法律訴訟成本組織聲譽受到影響商業(yè)機會損失對生產(chǎn)率破壞$10,000$60,000－$530,000信息安全管理體系教材第7頁我國當前信息安全普遍存在問題忽略了信息化治理機制與控制體系建立，和信息化“游戲規(guī)則”建立；廠商主導技術(shù)型處理方案為主，用戶跟著廠商步子走；安全只重視邊界安全，沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題；重視安全技術(shù)，輕視安全管理，信息安全可靠性沒有確保；信息安全建設(shè)缺乏績效評定機制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊員”

…

信息安全管理體系教材第8頁怎樣實現(xiàn)信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測系統(tǒng)？管理制度？人原因？環(huán)境原因？Ernst&Young及國內(nèi)安全機構(gòu)分析：國家政府和軍隊信息受到攻擊70%來自外部，銀行和企業(yè)信息受到攻擊70%來自于內(nèi)部。75%被調(diào)查者認為員工對信息安全策略和程序不夠了解是實現(xiàn)信息安全障礙之一,只有35%組織有連續(xù)安全意識教育與培訓計劃66%組織認為信息系統(tǒng)沒有恪守必要信息安全規(guī)則56%組織認為在信息安全投入上不足，60%從不計算信息安全ROI，83%組織認為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個系統(tǒng)安全工作中,管理(包含管理和法律法規(guī)方面)所占比重應(yīng)該到達70%,而技術(shù)(包含技術(shù)和實體)應(yīng)占30%。二、保護信息安全方法信息安全管理體系教材第9頁信息安全體系模型演變ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技術(shù)框架信息安全管理體系ISMS人們逐步認識到安全管理主要性，作為信息安全建設(shè)藍圖安全體系就應(yīng)該顧及安全管理內(nèi)容。信息安全管理體系教材第10頁建立信息安全管理體系對信息安全建立系統(tǒng)工程觀念用制度來確保組織信息安全更有效信息安全遵照木桶原理對信息系統(tǒng)各個步驟進行統(tǒng)一綜合考慮、規(guī)劃和構(gòu)架并要時時兼顧組織內(nèi)不停發(fā)生改變，任何步驟上安全缺點都會對系統(tǒng)組成威脅。需要對信息安全進行有效管理信息安全管理體系教材第11頁BHTP－一個實施ISMS有效方法業(yè)務(wù)與策略(BusinessandPolicy)人員與管理(Humanandmanagement)技術(shù)與產(chǎn)品(Technologyandproducts)流程與體系(ProcessandFramework)治理與控制環(huán)境信息安全管理體系教材第12頁BHTP模型關(guān)鍵要素業(yè)務(wù)與策略依據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導對信息資產(chǎn)進行管理、保護和分配。確定并實施信息安全策略是組織一項主要使命，也是組織進行有效安全管理基礎(chǔ)和依據(jù)?！氨Ｗo業(yè)務(wù)，為業(yè)務(wù)創(chuàng)造價值”應(yīng)該是一切安全工作出發(fā)點與歸宿，最有效方式不是從現(xiàn)有工作方式開始應(yīng)用信息安全技術(shù)，而是在針對工作任務(wù)與工作流程重新設(shè)計信息系統(tǒng)時，發(fā)揮信息安全技術(shù)伎倆支持新工作方式能力。人員與管理人是信息安全最活躍原因，人行為是信息安全保障最主要方面。從國家角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應(yīng)急計劃和業(yè)務(wù)連續(xù)性管理等問題；從個人角度來看有職業(yè)要求、個人隱私、行為學、心理學等問題。信息安全管理體系教材第13頁技術(shù)與產(chǎn)品能夠綜合采取商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動還擊等各種技術(shù)與產(chǎn)品來保護信息系統(tǒng)安全考慮安全成本與效益，采取“適度防范”(Rightsizing)標準

流程與體系建立良好IT治理機制是實施信息安全基礎(chǔ)與主要確保。在風險分析基本上引入恰當控制，建立PDCA安全管理體系，從而確保組織賴以生存信息資產(chǎn)安全性、完整性和可用性安全體系統(tǒng)還應(yīng)該伴隨組織環(huán)境改變、業(yè)務(wù)發(fā)展和信息技術(shù)提升而不停改進，不能一勞永逸，一成不變，需要建立完整控制體系來確保安全連續(xù)完善。信息安全管理體系教材第14頁BHTP方法論決議層對信息安全看法信息安全管理體系教材第15頁建立跨部門信息安全委員會良好治理結(jié)構(gòu)要求主體單位IT決議必須由最了解組織整體目標與價值權(quán)威部門來決定。三、完善信息安全治理結(jié)構(gòu)信息安全組織結(jié)構(gòu)示例安全工作小組流程示例信息安全管理體系教材第16頁審閱業(yè)務(wù)，確定IT標準和信息安全方針在進行信息安全規(guī)劃與實施安全控制辦法前，首先要充分了解組織業(yè)務(wù)目標和IT目標，建立IT標準，這是實施建立有效信息安全保障體系前提。組織業(yè)務(wù)目標和IT標準將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展需要出發(fā)，確定適宜IT標準，才能指導信息安全方針制訂。信息安全方針就是組織信息安全委員會或管理當局制訂一個高層文件，用于指導組織怎樣對資產(chǎn)，包含敏感性信息進行管理、保護和分配規(guī)則和指示。在安全方針指導下，經(jīng)過了解組織業(yè)務(wù)所處環(huán)境，對IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在微弱點進行風險評定，制訂出適宜安全控制辦法、安全策略程序及安全投資計劃。IT標準示例信息安全方針示例四、確定IT標準與安全方針信息安全管理體系教材第17頁五、進行風險評定風險評定慣用方法當前國內(nèi)ISMS風險評定方法主要參考ISO13335相關(guān)定義及國信辦9號文件《信息安全風險評定指南》，這些標準把重點放在信息資產(chǎn)上。缺點：風險評定人員普通最輕易找到資產(chǎn)無非就是硬件類、軟件類資產(chǎn)，而對安全來說至關(guān)主要IT治理、組織政策、人員管理、職責分配、業(yè)務(wù)流程、教育培訓等問題，因為不能方便地定義為信息資產(chǎn)，而往往被視而不見。所以，風險評定經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”情況。信息安全管理體系教材第18頁完備風險評定方法信息安全包括內(nèi)容決不但僅是信息安全、技術(shù)安全問題，它還會包括到治理機制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。經(jīng)過“現(xiàn)實狀況調(diào)查”取得對組織信息安全現(xiàn)實狀況和控制辦法基本了解；經(jīng)過“基線風險評定”了解組織與詳細信息安全標準差距，得到粗粒度安全評價。經(jīng)過“資產(chǎn)風險評定”和“流程風險評定”進行詳細風險評定，依據(jù)三方面評定得到最終風險評定匯報。信息安全管理體系教材第19頁現(xiàn)實狀況調(diào)查主要內(nèi)容文檔搜集與分析組織基本信息、組織結(jié)構(gòu)圖組織人員名單、機構(gòu)設(shè)置、崗位職責說明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)政策、制度和規(guī)范現(xiàn)場訪談安排與相關(guān)人員面談對員工工作現(xiàn)場觀察加強項目組對企業(yè)文化感知訪談提要：管理層、部門經(jīng)理、員工，某員工訪問示例信息安全管理體系教材第20頁技術(shù)評定工具掃描、滲透測試1

2

3人工分析系統(tǒng)安全配置完全檢測、網(wǎng)絡(luò)服務(wù)安全配置完全檢測包含用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全人工評定統(tǒng)計示例技術(shù)評定綜述問卷調(diào)研安全日常運維現(xiàn)實狀況調(diào)研問卷：針對組織中實際應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)情況，從日常管理、維護、系統(tǒng)審計、權(quán)限管理等方面全方面了解組織在信息系統(tǒng)安全管理和維護上現(xiàn)實情況。從安全日常運維角度出發(fā)，更貼近實際運維環(huán)境。安全日常運維現(xiàn)實狀況調(diào)研問卷《信息安全現(xiàn)實狀況分析匯報》信息安全管理體系教材第21頁基線風險評定所謂基線風險評定，就是確定一個信息安全基本底線，信息安全不但僅是資產(chǎn)安全，應(yīng)該從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)連續(xù)等各個方面來確定一個基本要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進行詳細風險分析，這么才能在兼顧信息安全風險方方面面同時，對重點信息安全風險進行管理與控制。ISO27001確立了組織機構(gòu)內(nèi)開啟、實施、維護和改進信息安全管理指導方針和通用標準，以規(guī)范組織機構(gòu)信息安全管理建設(shè)內(nèi)容，所以，風險評定時，能夠把ISO27001作為安全基線，與組織當前信息安全現(xiàn)實狀況進行比對，發(fā)覺組織存在差距，這么首先操作較方便，更主要是不會有遺漏

ISO27001調(diào)查問卷示例《信息安全管理體系風險評定與處置提議匯報》信息安全管理體系教材第22頁信息資產(chǎn)風險評定針對主要信息資產(chǎn)進行安全影響、威脅、漏洞及可能性分析，從而預(yù)計對業(yè)務(wù)產(chǎn)生影響，最終能夠選擇適當方法對風險進行有效管理。《安全風險評定與處置提議匯報》安全風險評定表示例資產(chǎn)定義及估值確定現(xiàn)有控制威脅評定確定風險水平風險評定過程脆弱性評定安全控制辦法識別與選擇降低風險風險管理過程接收風險電子政務(wù)風險評定案例信息安全管理體系教材第23頁IT流程風險評定信息安全不但僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)該在其所運行環(huán)境和經(jīng)歷流程中確保安全。沒有可靠IT流程確保，靜態(tài)安全是不可靠，而且IT風險也不但僅是信息安全問題，IT效率與效果也一樣是需要考慮問題，所以評定IT流程績效特征并加以完善是風險控制中必不可少內(nèi)容?！禝T相關(guān)業(yè)務(wù)流程風險評定與處置提議匯報》信息安全管理體系教材第24頁確定風險控制策略風險控制策略舉例六、信息安全控制規(guī)劃信息安全管理體系教材第25頁選擇安全控制辦法風險控制辦法預(yù)防商業(yè)活動中止和災(zāi)難事故影響。業(yè)務(wù)連續(xù)性管理信息安全事件管理確保系統(tǒng)開發(fā)與維護安全系統(tǒng)開發(fā)與維護控制對業(yè)務(wù)信息訪問。訪問控制確保通訊和操作設(shè)備正確和安全維護。通信與運行管理預(yù)防對關(guān)于IT服務(wù)未經(jīng)許可介入，損傷和干擾服務(wù)。物理與環(huán)境安全降低人為造成風險。人員安全維護組織資產(chǎn)適當保護系統(tǒng)。資產(chǎn)管理建立組織內(nèi)管理體系方便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目ISO27001十一個域防止任何違反法令、法規(guī)、協(xié)議約定及其它安全要求行為。符合性確保與信息系統(tǒng)相關(guān)安全事件和弱點溝通能夠及時采取糾正辦法信息安全管理體系教材第26頁進行安全控制規(guī)劃安全規(guī)劃針對組織面臨主要安全風險，在安全管理控制框架和安全技術(shù)控制框架方面進行較為詳盡規(guī)劃。安全規(guī)劃對組織未來幾年網(wǎng)絡(luò)架構(gòu)、威脅防護、策略、組織、運行等方面安全，進行設(shè)計、改進和加強，是進行安全建設(shè)總體指導。序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法《信息安全實施總體規(guī)劃匯報》《信息安全實施總體規(guī)劃圖表》信息安全管理體系教材第27頁安全預(yù)算計劃所以安全預(yù)算計劃是一項含有挑戰(zhàn)性工作，要采取“適度防范”標準，把有限資金用在刀刃上。普通來說，沒有尤其需要，為信息安全投入不應(yīng)超出信息化建設(shè)總投資額20%，過高安全成本將使安全失去意義。

投資回報計劃信息安全投資回報計劃就是要研究信息安全成本效益，其成本效益組成以下：從系統(tǒng)生命周期看信息安全成本：獲取成本和運行成本從安全防護伎倆看信息安全成本：技術(shù)成本和管理成本信息安全價值效益：降低信息安全事故經(jīng)濟損失信息安全非價值效益：增加聲譽、提升品牌價值信息安全管理體系教材第28頁信息安全體系模型演變ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技術(shù)框架信息安全管理體系ISMS七、建立信息安全管理體系人們逐步認識到安全管理主要性，作為信息安全建設(shè)藍圖安全體系就應(yīng)該顧及安全管理內(nèi)容。信息安全管理體系教材第29頁信息安全管理體系定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法和體系。ISMS相對應(yīng)BS7799標準在國際上得到了廣泛應(yīng)用，當前引標準已被采納為國際標準ISO17799:ISO27001:。在ISO17799中信息安全主要指信息機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)保持。用木桶原理說明ISMS信息安全管理體系教材第30頁ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系ISO9000標準，ISMS也有對應(yīng)國際標準ISO27001，它確定了ISMS11個安全領(lǐng)域及133個對應(yīng)控制辦法。信息安全管理體系教材第31頁ISO17799及ISO27001內(nèi)容ISO17799:

信息安全管理實施規(guī)范，主要是給負責開發(fā)人員作為參考文檔使用，從而在組織中實施和維護信息安全；ISO27001:

信息安全管理體系規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)要求，指出實施組織需要經(jīng)過風險評定來判定最適宜控制對象，并對自己需求采取適當控制。取得BS7799和ISO27001認證組織信息安全管理體系教材第32頁ISO17799信息安全BS15000IT服務(wù)管理職業(yè)安全健康管理體系指導意見OHSAS18000財務(wù)管理體系BS8600客戶滿意管理體系Finance財務(wù)管理質(zhì)量管理業(yè)務(wù)管理IT信息管理人力資源環(huán)境管理ISO100015培訓體系人力資源管理體系ISO9000市場/客戶滿意管理ISO14001

綜合管理體系職業(yè)安全戰(zhàn)略和投資管理

戰(zhàn)略和投資管理體系行業(yè)強制性管理體系及產(chǎn)品認證如QS9000，ISMC，黨務(wù)管理ISO17799與其它標準對比ISO27001與其它標準融合信息安全管理體系教材第33頁ISMS體系設(shè)計在組織中要實現(xiàn)信息安全，比較切實可行第一步是按照PDCA標準建立信息安全管理體系。假如沒有一個完整管理體系和有效過程來確保組織中人員能了解他們安全責任與義務(wù)，并建立基本有效控制辦法，那么再好安全技術(shù)也不能確保組織信息安全。

信息安全管理體系教材第34頁ISMS建設(shè)過程：建立ISMS首先要建立一個合理信息安全管理框架，要從整體和全局視角，從信息系統(tǒng)全部層面進行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，經(jīng)過建立資產(chǎn)清單，進行風險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全處理方案。體系運行體系審核管理評審體系認證第七步第八步第九步第十步運行說明內(nèi)審匯報外審匯報認證證書信息安全管理體系教材第35頁ISMS體系文件編寫對ISMS體系設(shè)計首先是以規(guī)范化ISMS體系文件形式表現(xiàn)出來。把相關(guān)ISMS主要內(nèi)容用文件形式表述出來，就形成了組織ISMS體系文件。ISMS體系文件是實施信息安全管理所必需結(jié)構(gòu)、規(guī)則、過程和資源等原因所組成有機總體，有效信息安全管理需要明確管理詳細目標與范圍、流程與活動、人員與職責、資源與條件等內(nèi)容ISMS體系文件作用保護信息安全指南對信息安全進行審核依據(jù)安全管理水平不停改進保障促進安全培訓工作開展信息安全管理體系教材第36頁ISMS體系文檔組成四級文件三級文件二級文件一級方針、策略文件ISMS體系文件規(guī)范、程序作業(yè)指導書、統(tǒng)計、表單信息安全管理體系教材第37頁ISMS正式運行ISMS體系文件編制完成后，組織應(yīng)按照文件控制要求進行審核與同意并公布實施，至此，信息安全管理體系將進入運行階段在試運行基礎(chǔ)上，總結(jié)經(jīng)驗，進行認真布署，選擇恰當時機進行ISMS體系正式運行。正式運行前，需要領(lǐng)導層進行動員，并進行全員培訓，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。只有確保ISMS連續(xù)運行，才能使ISMS制度真正落到實處，使組織安全情況得到改觀。ISMS體系建設(shè)案例信息安全管理體系教材第38頁“技術(shù)防火墻”總體要求技術(shù)結(jié)構(gòu)方面：完備安全技術(shù)防御系統(tǒng)應(yīng)該具備評定，保護，檢測，反應(yīng)和恢復(fù)五種技術(shù)能力。實現(xiàn)ISO7498-2所定義判別，訪問控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功效。技術(shù)產(chǎn)品方面：綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動還擊等各種技術(shù)與產(chǎn)品來確保企業(yè)信息系統(tǒng)機密性、完整性和可靠性。

集中管理方面：實現(xiàn)集成化安全管理和安全信息共享機制，以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應(yīng)急響應(yīng)，可管理安全才是真正意義上安全。災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性方面：對于突發(fā)性重大災(zāi)難，日常安全控制辦法不再起作用，此時要采取適當和有效辦法來減輕相關(guān)威脅實際發(fā)生時所帶來破壞后果，這是組織信息安全最終一道防線。

八、建立“技術(shù)防火墻”信息安全管理體系教材第39頁“技術(shù)防火墻”實現(xiàn)框架信息安全框架可經(jīng)過基礎(chǔ)技術(shù)系統(tǒng)、安全運維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實現(xiàn)，其最終目標是確保應(yīng)用系統(tǒng)和數(shù)據(jù)安全。

基礎(chǔ)技術(shù)系統(tǒng)安全防護系統(tǒng)應(yīng)用支撐系統(tǒng)安全運維管理系統(tǒng)信息安全管理體系教材第40頁基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上計算機不能直接抵達可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”思緒，指導網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，依據(jù)應(yīng)用類型、物理位置、邏輯位置等不一樣，劃分不一樣網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域信息安全管理體系教材第41頁安全基礎(chǔ)設(shè)施一個為整個安全體系提供安全服務(wù)基礎(chǔ)性平臺，為應(yīng)用系統(tǒng)和安全支撐平臺提供包含數(shù)據(jù)完整性、真實性、可用性、不可抵賴性和機密性在內(nèi)安全服務(wù)。包含：數(shù)字證書認證體系（CA/PKI）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施（DRI/BCP）信息安全管理體系教材第42頁CARA證書認證中心注冊授權(quán)機構(gòu)Internet或?qū)＞W(wǎng)申請證書應(yīng)用系統(tǒng)用戶終端使用證書訪問判別證書判別與訪問控制系統(tǒng)LDAP數(shù)字證書證書查詢服務(wù)利用PKI數(shù)字證書進行訪問控制信息安全管理體系教材第43頁用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰？有什么權(quán)限？認證系統(tǒng)授權(quán)系統(tǒng)用戶認證證書用戶權(quán)限證書設(shè)備認證證書設(shè)備認證證書軟件認證證書PKI與PMI應(yīng)用：安全認證與授權(quán)信息安全管理體系教材第44頁安全防護系統(tǒng)網(wǎng)絡(luò)安全控制采取入侵檢測、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)（VPN）等成熟技術(shù)，利用物理環(huán)境保護、邊界保護、系統(tǒng)加固、節(jié)點數(shù)據(jù)保護、數(shù)據(jù)傳輸保護等伎倆，經(jīng)過對網(wǎng)絡(luò)安全防護統(tǒng)一設(shè)計和統(tǒng)一配置，實現(xiàn)全系統(tǒng)統(tǒng)一、高效、可靠網(wǎng)絡(luò)安全防護。信息安全管理體系教材第45頁省級局域網(wǎng)上級接口下級接口橫向接口互聯(lián)網(wǎng)接口加密機：保護離開局域網(wǎng)信息安全，同時預(yù)防非法接入。防火墻：預(yù)防來自總部內(nèi)部攻擊。防火墻：預(yù)防來自外部攻擊。防火墻：即預(yù)防來自外部攻擊，也要預(yù)防來自地市局內(nèi)部攻擊。入侵檢測：發(fā)覺非法入侵行為。防病毒網(wǎng)關(guān)：預(yù)防外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運行環(huán)境最終一道防線。（網(wǎng)絡(luò)及主機操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺加固）安全邊界網(wǎng)絡(luò)行為審計：加強網(wǎng)絡(luò)安全管理，追查安全事件。結(jié)構(gòu)網(wǎng)絡(luò)安全邊界信息安全管理體系教材第46頁入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計操作系統(tǒng)加固高安全區(qū)域安全防護系統(tǒng)層次信息安全管理體系教材第47頁終端安全控制因為普通用戶缺乏應(yīng)有網(wǎng)絡(luò)安全常識，經(jīng)過瀏覽隱藏惡意代碼網(wǎng)站，下載有木馬軟件到內(nèi)部網(wǎng)運行，打開郵件中不明來歷附件等給組織內(nèi)部網(wǎng)絡(luò)帶來極大危害，終端用戶觸發(fā)產(chǎn)生安全事件逐步成為企業(yè)IT安全問題主要原因。

信息安全管理體系教材第48頁應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)基礎(chǔ)上，利用安全基礎(chǔ)設(shè)施提供基于PKI/PMI/KMI技術(shù)安全服務(wù)；采取安全中間件及一站式服務(wù)理論和技術(shù)，實現(xiàn)包含安全門戶、安全認證和訪問控制、數(shù)據(jù)安全傳輸、數(shù)據(jù)保密、完整性保護、真實性保護等應(yīng)用安全功效和服務(wù)，支持面向組織和各類專網(wǎng)和互連網(wǎng)各類安全應(yīng)用，是安全應(yīng)用系統(tǒng)所依靠主要安全平臺。

信息安全管理體系教材第49頁應(yīng)用系統(tǒng)常見安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準確地識別使用者真實身份，預(yù)防與業(yè)務(wù)無關(guān)人員非法使用系統(tǒng)。處理方案:使用統(tǒng)一身份認證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约嘿Y源進行控制，能夠動態(tài)地分配權(quán)限，控制使用者操作行為，預(yù)防越崗位操作或越權(quán)限操作。處理方案:基于角色訪問控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進行保護，預(yù)防因為數(shù)據(jù)安全得不到確保而失去業(yè)務(wù)系統(tǒng)本身可用性。處理方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M行跟蹤、統(tǒng)計、統(tǒng)計和審計，及時發(fā)覺工作中出現(xiàn)問題，使系統(tǒng)可管理，事件可追查。處理方案:日志與安全事件審計在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對主要關(guān)鍵業(yè)務(wù)與交易憑證進行數(shù)字署名，以確保主要對已完成業(yè)務(wù)與交易無否定性。處理方案:基于數(shù)字署名信息安全管理體系教材第50頁安全運維系統(tǒng)安全運維管理系統(tǒng)對整個安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報警等作用，負責對全網(wǎng)絡(luò)安全防護設(shè)備進行管理，為各個應(yīng)用系統(tǒng)提供安全管理接口，對需要尤其關(guān)注應(yīng)用系統(tǒng)進行應(yīng)用審計。安全運維管理系統(tǒng)經(jīng)過建立安全運維管理中心（SOC）對組織安全技術(shù)與流程進行集中式管理。信息安全管理體系教材第51頁什么是人力防火墻在信息安全全部相關(guān)原因中，人是最活躍原因，人行為是信息安全保障最主要方面。組織相關(guān)人員尤其是內(nèi)部員工既能夠是對信息系統(tǒng)最大潛在威脅，也能夠是最可靠安全防線。我們把信息安全中對人有效管理稱為“人力防火墻”。經(jīng)過建立“人力防火墻”，不但建立起一套有效管理體系，而且還能形成“信息安全，人人有責”企業(yè)文化氣氛，從而使員工成為企業(yè)信息安全一道“最可靠防線”，實現(xiàn)組織信息系統(tǒng)長治久安。八、建立“人力防火墻”信息安全管理體系教材第52頁建立人力防火墻過程得到組織最高管理層支持得到高層管理人員認同和承諾有兩個作用一是對應(yīng)安全方針政策、控制辦法能夠在組織上上下下得到有效落實；二是能夠得到有效資源確保，比如實施有效安全過程必要資金與人力資源支持，及跨部門之間協(xié)調(diào)問題都必須由高層管理人員來推進。建立信息安全組織，明確角色與責任安全角色與責任不明確是實施信息安全過程中最大障礙，建立安全組織與落實責任是實施信息安全管理第一步。信息安全指導委員會信息安全主管為關(guān)鍵、專業(yè)信息安全管理隊伍把對應(yīng)安全責任落實到每一個員工身上員工ISMS職責表ISMS文件與工作人員矩陣信息安全管理員職責矩陣、工作流程信息安全管理體系教材第53頁制訂計劃行動計劃主要有：信息安全政策制訂與實施與信息安全相關(guān)人力資源政策制訂安全事件響應(yīng)計劃監(jiān)控日常安全事務(wù)及員工對安全政策遵照業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃安全教育計劃建設(shè)企業(yè)安全文化預(yù)算計劃有足夠資金支持計劃才是切實可行計劃，才能有效地落實信息安全所需要人、財、物等資源配置。預(yù)算計劃一定要合理，過高安全預(yù)算會使安全失去意義，最好是結(jié)合投資回報分析。信息安全管理體系教材第54頁制訂信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為預(yù)防信息資產(chǎn)意外損失及被有意濫用而制訂規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲存信息各個方面，并符合ISO27001對信息系統(tǒng)安全要求。信息安全政策要符合組織業(yè)務(wù)目標及特定環(huán)境要求，并使之被每個員工所了解和執(zhí)行，這是實施信息安全主要步驟，是建立人力防火墻政策依據(jù)。人力資源政策所以除了技術(shù)控制伎倆外，要制訂適當人力資源政策，加強對“人”管理，對潛在安全入侵者也是一個威懾及懲戒辦法，這是建立人力防火墻有效控制伎倆。人力資源管理在信息安全管理中充分十分主要作用，信息安全管理人員要與人務(wù)資源管理人員親密合作，協(xié)同作戰(zhàn)，才能實現(xiàn)信息安全中對“人”有效管理。人力資源政策舉例信息安全管理體系教材第55頁實施安全教育計劃要制訂各種不一樣范圍、不一樣層次安全教育計劃。完備安全教育計劃能夠提升員工安全意識與技能，改變他們對待安全事件態(tài)度，使他們含有一定安全保護技能，以更加好地保護組織信息資產(chǎn)。好安全教育計劃應(yīng)該讓員工知道組織信息安全方面臨威脅及信息安全事件帶來后果，使員工切身感覺到安全事件與自己息息相關(guān)。信息安全教育內(nèi)容ISO27001培訓計劃舉例信息安全管理體系教材第56頁制訂安全事件響應(yīng)機制組織應(yīng)明確出現(xiàn)事故、故障和微弱點相關(guān)部門責任，并依據(jù)安全事故與故障反應(yīng)過程建立一個匯報、反應(yīng)、評價和懲戒機制，這也可稱為人力防火墻反應(yīng)機制。目標是把安全事件損害降到最低程度，追蹤并從事件中吸收教訓。安全事件匯報程序信息安全管理體系教材第57頁營造組織信息安全文化信息安全文化隸屬于組織文化，提倡良好組織信息安全文化就是要在組織中形成團體共同態(tài)度、認識和價值觀，形成規(guī)范思維和行為模式，最終轉(zhuǎn)化為行動，實現(xiàn)組織信息安全目標。人這種對安全價值認識以及使自己一舉一動符合安全行為規(guī)范表現(xiàn)，正是所謂“安全涵養(yǎng)”。假如一個組織建立起濃厚安全文化環(huán)境，不論決議層、管理層還是普通員工，都會在安全文化約束下規(guī)范自己行為，安全文化就像一支看不見手，凡是不安全行為都會被這支手拉回到安全操作軌道上來。信息安全文化三個階段信息安全管理體系教材第58頁檢驗與審計內(nèi)容對