CISM信息安全管理體系_VXXXX年

《CISM信息安全管理體系_VXXXX年》由會員分享，可在線閱讀，更多相關《CISM信息安全管理體系_VXXXX年（98頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,?#?,,單擊此處編輯母版標題樣式,信息安全管理體系,,中國信息安全測評中心,版本：,3.0,課程內(nèi)容,2,,信息,安全,管理,,,信息安全,管理體系,,,,,,信息安全管理控制措施,,,,,信息安全管理體系概念,信息安全,管理基礎,知識,體,：信息安全管理,體系,知識,域：信息安全管理,體系概念,理解信息安全管理體系（,ISMS,）的概念和核心過程,了解信息安全管理體系文檔要求,了解,ISO/IEC 27000,標準族,,3,管理體系相關概念,,4,體系,相,互關

2、聯(lián)和相互作用的一組,要素,,（,--,,ISO9000:200,5,質(zhì)量管理體系 基礎和術(shù)語）,管理體系：,建立方針和目標并達到目標的,體系,,,（,--,,ISO9000:200,5,質(zhì)量管理體系 基礎和術(shù)語）,為達到組織目標的策略、程序、指南和相關資源的,框架,,（,--,,ISO,/IEC 27000:2009,信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和術(shù)語）,,管理體系,,5,ISO9000,質(zhì)量管理體系,ISO14000,環(huán)境管理體系,OHSAS,職業(yè)健康安全管理體系,ISO/IEC27000,信息安全管理體系,ISO/IEC20000,服務管理體系,ISO22000,食品安全管理

3、體系,,管理體系,Management,System,信息安全管理體系,什么是信息安全管理,體系,Information Security Management System,，,ISMS,是,管理體系方法在信息安全領域的運用,,6,,,,,信息安全,管理,體系,,,,,,,,,,,,,,,,ISMS,信息安全管理體系,信息安全管理體系,是,整個管理體系的一部分，它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的,體系,一般,地，信息安全管理體系包括信息安全組織架構(gòu)、信息安全方針、信息安全規(guī)劃活動、信息安全職責，以及信息安全相關的實踐、規(guī)程、過程和資源等要素，,這些要素

4、既,相互關聯(lián)，又相互作用,7,,信息安全管理體系的作用,對內(nèi),形成,單位,可,自我持續(xù),改進的,信息安全管理,機制,使,信息安全的角色和職責清晰，并落實到,人,確保,實現(xiàn),動態(tài)的、系統(tǒng),的、制度化,的,信息安全管理,有利于,根本上,保證業(yè)務的連續(xù)性，提高市場,競爭力,對外,能夠,使客戶、業(yè)務,伙伴對單位信息安全,充滿,信心,有助于,界定,外包雙方的信息安全,責任,可以,使單位更好地,滿足審計要求,和,符合,法律,法規(guī),保證,和外部,數(shù)據(jù),交換中的信息安全,,8,,作用解釋,ISMS,是,一,個通用的信息安全管理,指南,不是,說明“怎么做”,的,詳細,細節(jié),而是,具有,普遍意義的安全操作規(guī)則,指

5、南,指導,單位,在信息安全管理方面要做什么,，,如何,選擇,適宜的安全管理控制,措施,ISMS,過程,信息安全管理體系標準要求建立,ISMS,過程,制定信息安全策略，確定體系范圍，明確管理職責,單位應該實施、維護和持續(xù),改進,該體系，保持其有效性,9,,ISMS,過程,10,,,,,,,,相關方,受控的,信息安全,,信息安全,要求和期望,相關方,,,,,檢查,Check,建立,ISMS,實施和,運行,ISMS,保持和,改進,ISMS,監(jiān)視和,評審,ISMS,規(guī)劃,Plan,,,實施,Do,改進,Act,,,,,建立,ISMS,建立,ISMS,，,PLAN,主要,工,工作,定義,ISMS,范圍,

6、和,和邊界,《,ISMS,范圍,說,說明,書,書》,：組,織,織結(jié),構(gòu),構(gòu)范,圍,圍、,業(yè),業(yè)務,范,范圍,、,、信,息,息系,統(tǒng),統(tǒng)范,圍,圍和,物,物理,范,范圍,制定,ISMS,方針,和,和策,略,略,實施,風,風險評估,識別風險,、,、分,析,析和,評,評價,風,風險,11,,實施,和,和運,行,行,ISMS,實施,和,和運,行,行,ISMS,，,DO,主要,工,工作,制定,風,風險,處,處理,計,計劃,實施,風,風險,處,處理,計,計劃,制定有效,性,性測,量,量程,序,序,管理,ISMS,的運,行,行,12,,監(jiān)視,和,和評,審,審,ISMS,監(jiān)視,和,和評,審,審,ISMS,，,

7、CHECK,主要工作,日常,監(jiān),監(jiān)視,和,和檢查,有效,性,性測,量,量,內(nèi)部,審,審核,風險再評估,管理,評,評審,13,,保持,和,和改,進,進,ISMS,保持,和,和改,進,進,ISMS,，,ACT,主要工作,實施,糾,糾正,和,和預,防,防措施,持續(xù)改進,ISMS,溝通措施,改,改進,情,情況,14,,ISMS,的核心,過,過程,可,可以概括,為,為4,句,句話,規(guī)定,你,你應,該,該做,什,什么,并,并形,成,成文,件,件,：,：P,做文,件,件已,規(guī),規(guī)定,的,的事,情,情,：,：D,評審,你,你所,做,做的,事,事情,的,的符,合,合性,：,：C,采取,糾,糾正,和,和預,防,防

8、措,施,施，,持,持續(xù),改,改進,：,：A,,用,PDCA,來理,解,解什,么,么是,信,信息,安,安全,管,管理,體,體系,15,16,一級,文,文檔,：,：宏,觀,觀方針,性,性文,檔,檔,二級,文,文檔：管,控,控程序,及,及管理,制,制度,性,性文,檔,檔,三級,文,文檔,：,：操,作,作指,南,南及,作,作業(yè),指,指導,書,書類,四級,文,文檔：體,系,系運,行,行的各,種,種記錄,下級,文,文件,應,應支,持,持上,級,級文,件,件。,信息,安,安全,管,管理,體,體系,文,文檔,要,要求,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T

9、22080,、,GB/T22081,的歷,史,史沿,革,革,1990,年代,初,初,——,英國,貿(mào),貿(mào)工,部,部（,DTI,）成,立,立工,作,作組,，,，立,項,項開,發(fā),發(fā)一,套,套可,供,供開,發(fā),發(fā)、,實,實施,和,和測,量,量有,效,效安,全,全管,理,理慣,例,例并,提,提供,貿(mào),貿(mào)易,伙,伙伴,間,間信,任,任的,通,通用框架,1993,年,9,月,——,頒布,《,信息,安,安全,管,管理,實,實施,細,細則,》,，形,成,成,BS7799,的基礎,1995,年,2,月,——,首次,出,出版,BS7799-1:1995,《,《,信息,安,安全,管,管理,實,實用,規(guī),規(guī)則,》,1

10、998,年,2,月,——,英國,公,公布,BS7799-2:,《,《,信息,安,安全,管,管理,體,體系,要,要求,》,1999,年,4,月修,訂,訂,2000,年,12,月,——,國際,標,標準,組,組織,ISO/IECJTC1/SC27,工作,組,組認,可,可通,過,過,BS7799-1,，頒,布,布,ISO/IEC17799:2000,《,《,信息,安,安全,管,管理,實,實用,規(guī),規(guī)則,》,2002,年,9,月,——BSI,對,BS7799-2,進行了改版,2005,年,6,月,—— ISO 17799:2000,改版，成為,ISO/IEC17799:2005,2005,年,10,月,

11、—— ISO,正式采用,BS 7799-2:2002,，命名為,ISO/IEC27001:2005,2007,年,7,月,—— ISO 17799:2005,歸入,ISO27000,系列，命,名,名為,ISO/IEC27002:2005,2008,年,6,月,-,中國等同采用,ISO27001:2005,,命名為,GB/T22080-2008,中國等同采用,ISO27002:2005,,命名為,GB/T22081-2008,2013,年,10,月,—,—,—ISO,正,式,式,發(fā),發(fā),布,布,ISO/IEC27001:2013,和,ISO/IEC27002:2013,ISO/IEC27000,

12、標,準,準,簇,簇,介,介,紹,紹,17,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,BS7799,BS7799-1,BS7799-2,,,,,,,,,,,,,,,,,,,,,,,,,ISO17799,ISO27002,GB/T22081,ISO27001,GB/T22080,ISO/IEC27000,標,準,準,簇,簇,介,介,紹,紹,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T22080,、,GB/T22081,的,對,對,應,應,關,關,系,系,18,19,,ISO/IEC27000,系,列,列,已,經(jīng),經(jīng),制,制

13、,定,定,標,標,準,準,：,：,>21,個,正,在,在,制,制,定,定,標,標,準,準,：,：,>11,個,ISO/IEC27000,標,準,準,簇,簇,介,介,紹,紹,ISMS,標,準,準,我,我,國,國,采,采,標,標,情,情,況,況,各,國,國,等,等,同,同,采,采,標,標,我,國,國,采,采,標,標,情,情,況,況,20,,序號,國際標準,采標形式,國家標準,1,ISO/IEC 27000:2009,等同采用,《,信息安全管理體系概述和詞匯,》,（,GB/T 29246-2012,）,2,ISO/IEC 27001:2005,等同采用,《,信息安全管理體系 要求,》,（,GBT 2

14、2080-2008,）,3,ISO/IEC,,27002:2005,等同采用,《,信息安全管理實用規(guī)則,》,（,GB/T 22081-2008,）,4,ISO/IEC 27006:2007,等同采用,《,信息安全管理體系審核認證機構(gòu)的要求,》,（,GB/T 25067-2010,）,知,識,識,體,體,：,：,信,信,息,息安,全,全,管,管,理,理體,系,系,知,識,識,域,域,：,：,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,了,解,解,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,的,的,作,作,用,用,理,解,解,

15、安,安,全,全,方,方,針,針,、,、,信,信,息,息,安,安,全,全,組,組,織,織,、,、,資,資,產(chǎn),產(chǎn),管,管,理,理,、,、,人,人,力,力,資,資,源,源,管,管,理,理,、,、,物,物,理,理,和,和,環(huán),環(huán),境,境,安,安,全,全,等,等管,理,理,域,域,的,的,控,控,制,制,目,目,標,標,和,和,主,主,要,要,控,控,制,制,措,措,施,施,了,解,解,通,信,信,和,和,操,操,作,作,管,管,理,理,、,訪,問,問,控,控,制,制,、,信,息,息,系,系,統(tǒng),統(tǒng)獲,取,取,開,開,發(fā),發(fā)和,維,維,護,護,、,信,息,息,安,安,全,全,事,事,件,件,管,管,理

16、,理,、,業(yè),務,務,連,連,續(xù),續(xù),性,性,管,管,理,理,等管,理,理,域,域,的,的,控,控,制,制,目,目,標,標和,控,控,制,制措,施,施,,21,,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,控,制,制措,施,施,是實,施,施,信,信,息,息,安,安,全,全,管,管,理,理,的,的,方,方,法,法,和,和手,段,段,單,位,位通,過,過,實,實,施,施,一,一,組,組,適,適,當,當,的,的,安,安,全,全,控,控,制,制,措,措,施,施,，,，,保,保,護,護,信,信,息,息,資,資,產(chǎn),產(chǎn),，,，,抵,抵,御,御,威,威,脅,脅,并,并,減,減,少,少,系,系

17、,統(tǒng),統(tǒng),脆,脆,弱,弱,性,性,，,，,降,降,低,低,安,安,全,全,風,風,險,險,，,，,達,達,到,到,信,信,息,息,安,安,全,全目,標,標,控,制,制措,施,施,涉,涉,及,及,行,行,政,政,、,、,技,技,術(shù),術(shù),和,和,管,管,理,理,等,等方,面,面,如,何,何,制,制,定,定,信,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,自己制定,本,本單,位,位的,信,信息安全,管,管理,控,控制措施,學習,別,別人,實,實踐,經(jīng),經(jīng)驗,，,，參,考,考國,際,際,/,國家,標,標準,《,信息,安,安全,管,管理,實,實用,規(guī),規(guī)則,》,（,ISO27002,）,

18、《信,息,息安,全,全管,理,理實,用,用規(guī),則,則》,（,（,GB/T22081,）,22,,ISMS,信息安全,管,管理,域,域,23,,《信,息,息安,全,全管,理,理實,用,用規(guī),則,則》,（,（,ISO27002:2005,）,《信,息,息安,全,全管,理,理實,用,用規(guī),則,則》（,GB/T22081-2008,）,信息,安,安全,管,管理,實,實用,規(guī),規(guī)則,（,（,GB/T22081-2008,）,11,個域,39,個目標,133,個控制,措施,,,24,信息,安,安全,管,管理,實,實用,規(guī),規(guī)則,每個,主,主要安全,域,域，包括,：,：,控制目標,，,，聲,明,明要,實,實

19、現(xiàn),什,什么,一個,或,或多個控,制,制措施，用,于,于實現(xiàn),該,該控,制,制目標,每個,（,（安,全,全）,控,控制,措,措施,的,的描,述,述內(nèi),容,容,控制,措,措施,：,：,是對,該,該控,制,制措,施,施的,定,定義,實施,指,指南,：,：,是對,實,實施,該,該控,制,制措,施,施的,指,指導,性,性說,明,明,其它,信,信息,：,：,其它,需,需要,說,說明,的,的補,充,充信,息,息，,如,如法,律,律考,慮,慮,25,什么,是,是控,制,制措,施,施,什么,是,是控,制,制措,施,施,管理,風,風險,的,的方,法,法。,為,為達,成,成企,業(yè),業(yè)目,標,標提,供,供合,理,理

20、保,證,證，,并,并能,預,預防,、,、檢,查,查和,糾,糾正,風,風險,。,。,它們,可,可以,是,是行,政,政、,技,技術(shù),、,、管,理,理、,法,法律,等,等方,面,面的,措,措施,。,。,控制,措,措施,的,的分,類,類：,預防,性,性控,制,制,檢查,性,性控,制,制,糾正,性,性控,制,制,,,26,不是,所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對一個組織中所有人都,適用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,1.,安全方針,27,Why?,有沒,有,有遇,到,到過,這,這樣,的,的事,情,情？,案例,1,有單,位,

21、位領,導,導說,：,：“,聽,聽說,信,信息,安,安全,工,工作,很,很重,要,要，,可,可是,我,我不,知,知道,對,對于,我,我們,單,單位,來,來說,到,到底,有,有多,重,重要,，,，也,不,不知,道,道究,竟,竟有,哪,哪些,信,信息,是,是需,要,要保,護,護的,。,。,”,案例,2,據(jù)說,作,作為,管,管理,人,人員,要,要把,個,個人,計,計算,機,機的,登,登錄,口,口令,設,設置,好,好，,怎,怎么,設,設置,才,才符,合,合要,求,求呢,？,？,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,這些,問,問題需要,先,在“,安全,方,方針,”中尋,找,找

22、答,案,案,28,安全,方,方針,控,控制,目,目標,控制目標,制定,信,信息,安,安全,方,方針,評審,信,信息,安,安全,方,方針,信息,安,安全,方,方針,應,應該,做,做到,對信,息,息安,全,全加,以,以定,義,義,陳述,管,管理,層,層的,意,意圖,分派,責,責任,約定,信,信息,安,安全,管,管理,的,的范,圍,圍,對特,定,定的,原,原則,、,、標,準,準和,遵,遵守,要,要求,進,進行,說,說明,對報,告,告可,疑,疑安,全,全事,件,件的,過,過程,進,進行,說,說明,定義,用,用以,維,維護,策,策略,的,的復,查,查過,程,程,,,,,,,,,,,,,,,,,,,,,,

23、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,29,具體,解,解釋,信息,安,安全,方,方針,是,是陳,述,述管,理,理者,的,的管,理,理意,圖,圖，,說,說明,信,信息,安,安全,工,工作,目,目標,和,和原,則,則的,文,文件,信息,安,安全,方,方針,文,文件,的,的作,用,用是,說,說明,業(yè),業(yè)務,要,要求,和,和法,律,律法,規(guī),規(guī)對,于,于信,息,息安,全,全的,要,要求,，,，為,安,安全,管,管理,工,工作,提,提供,

24、指,指導,和,和支,持,持,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方針,應,應當說明,以,以下,問,問題,：,：,本單,位,位信,息,息安,全,全的,整,整體,目,目標,、,、范,圍,圍以,及,及重,要,要性,；,；,信息,安,安全,工,工作,的,的基,本,本原,則,則；,風險,評,評估,和,和風,險,險控,制,制措,施,施的,架,架構(gòu),；,；,需要,遵,遵守,的,的法,規(guī),規(guī)和,制,制度,；,；,信息,安,安全,責,責任,分,分配,；,；,信息,系,系統(tǒng),用,用戶,和,和運,行,行維,護,護人,員,員應,該,該遵,守,守的,規(guī),規(guī)則,30,關鍵,

25、點,點,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,主要,內(nèi),內(nèi)容,一,一般,包,包括,信,信息,安,安全,的,的整,體,體目,標,標、,范,范圍,、,、原,則,則、,控,控制,措,措施,的,的框,架,架、,重,重要,安,安全,策,策略,和,和需,要,要遵,守,守的,各,各項,規(guī),規(guī)定,等,等,信息,安,安全,方,方針,文,文件,應,應由,高,高層,管,管理,者,者審,批,批后,，,，作,為,為正,式,式文,件,件發(fā),布,布，,并,并有,效,效傳,達,達給,所,所有,員,員工,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方針,不,不是

26、一成,不,不變,的,的，,要,要根,據(jù),據(jù)安,全,全環(huán),境,境的,變,變化,以,以及,執(zhí),執(zhí)行,過,過程,中,中發(fā),現(xiàn),現(xiàn)的,策,策略,本,本身,的,的問,題,題及,時,時進,行,行更,新,新調(diào),整,整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,31,舉例,——,《XX,系統(tǒng),信,信息,安,安全,總,總體,策,策略,》,安全,方,方針,概,概述,XX,系統(tǒng),相,相關,信,信息,和,和支,撐,撐系,統(tǒng),統(tǒng)、,程,程序,等,等，,不,不論,它,它們,以,以何,種,種形,式,式存,在,在，,均,均是,XX,系統(tǒng),的,的關,鍵,鍵資,產(chǎn),產(chǎn),信息,的,的可,用,用性,、,、完,整

27、,整性,和,和保,密,密性,是,是信,息,息安,全,全的,基,基本,要,要素,，,，關,系,系到,XX,機關,的,的形,象,象和,業(yè),業(yè)務,的,的持,續(xù),續(xù)運,行,行。,必須,保,保護,這,這些,資,資產(chǎn),不,不受,威,威脅,侵,侵害,定義,和,和監(jiān),督,督執(zhí),行,行,XX,系統(tǒng),網(wǎng),網(wǎng)絡,與,與信,息,息安,全,全總,體,體策,略,略是,XX,部門,的,的責,任,任,32,舉例,——,《XX,系統(tǒng),信,信息,安,安全,總,總體,策,策略,》,安全,方,方針,概,概述,資產(chǎn),分,分類,和,和控,制,制,信息,分,分類,資產(chǎn),分,分類,：,：信,息,息資,產(chǎn),產(chǎn)，,包,包括,計,計算,機,機和,

28、網(wǎng),網(wǎng)絡,，,，應,當,當依,據(jù),據(jù)其,價,價值,和,和敏,感,感性,以,以及,保,保密,性,性、,完,完整,性,性和,可,可用,性,性原,則,則進,行,行分,類,類。,信,信息,安,安全,主,主管,部,部門,應,應當,根,根據(jù),各,各自,部,部門,的,的業(yè),務,務特,點,點制,定,定本,系,系統(tǒng),內(nèi),內(nèi)具,體,體的,資,資產(chǎn),分,分類,與,與分,級,級方,法,法，,并,并根,據(jù),據(jù)分,級,級和,分,分類,辦,辦法,制,制定,明,明晰,的,的資,產(chǎn),產(chǎn)清,單,單,敏感,信,信息,、,、關,鍵,鍵信,息,息,資產(chǎn),的,的可,審,審計,性,性,計算,機,機和,網(wǎng),網(wǎng)絡,的,的運,行,行管,理,理,

29、,,33,2.,信息,安,安全,組,組織,34,Why?,有沒,有,有遇,到,到過,這,這樣,的,的事,情,情？,案例,1,我是,一,一名,網(wǎng),網(wǎng)絡,管,管理,員,員，,發(fā),發(fā)現(xiàn),最,最近,來,來自,外,外部,的,的病,毒,毒攻,擊,擊很,猖,猖獗,，,，要,是,是有,15,萬買,個,個防,毒,毒墻,就,就解,決,決問,題,題了,，,，找,誰,誰要,這,這筆,錢,錢，,誰,誰來,采,采購,？,？,案例,2,我是,一,一名,普,普通,工,工作,人,人員,，,，我,的,的內(nèi),網(wǎng),網(wǎng)計,算,算機,上,上不,了,了外,網(wǎng),網(wǎng)沒,辦,辦法,打,打補,丁,丁，,我,我該,找,找誰,獲,獲得,幫,幫助,？,

30、？,,應該有一,群,群人,，,，至,少,少包,括,括單,位,位領,導,導、,技,技術(shù),部,部門,和,和行,政,政部,門,門的人，組織在一,起,起，,專,專門,負,負責,信,信息,安,安全,的,的事,35,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,控制,目,目標,控制,目,目標,內(nèi)部,組,組織,在組,織,織內(nèi),部,部建,立,立信,息,息安,全,全框,架,架,外部,組,組織,識別,和,和控,制,制外,部,部合,作,作過程,中,中的,風,風險，保,證,證單,位,位信,息,息和信息,系,系統(tǒng),安,安全,性,性,,36,具體,解,解釋,為有,效,效實,施,施信,息,息安,全,全管,

31、理,理，,保,保障,和,和實,施,施系,統(tǒng),統(tǒng)的,信,信息,安,安全,，,，需,要,要建,立,立相,應,應的,組,組織,架,架構(gòu),信息,安,安全,責,責任,的,的重,要,要性,在一,個,個機,構(gòu),構(gòu)中,，,，安,全,全角,色,色與,責,責任,的,的不,明,明確,是,是實,施,施信,息,息安,全,全過,程,程中,的,的最,大,大障,礙,礙，,建,建立,安,安全,組,組織,與,與落,實,實責,任,任是,實,實施,信,信息,安,安全,管,管理,的,的第,一,一步,37,控制,措,措施,——,內(nèi)部,組,組織,內(nèi)部,組,組織,目標,：,：在,組,組織,內(nèi),內(nèi)管,理,理信,息,息安,全,全,八個控,制,制

32、措,施,施,管理,層,層重,視,視,協(xié)調(diào),信,信息,安,安全,活,活動,分配,信,信息,安,安全,職,職責,新設,備,備和,系,系統(tǒng),授,授權(quán),保密,協(xié),協(xié)議,與政,府,府部,門,門的,聯(lián),聯(lián)系,與特,定,定組,織,織機,構(gòu),構(gòu)的,聯(lián),聯(lián)系,信息,安,安全,的,的獨,立,立評,審,審,,,,,,38,關鍵,點,點,高層,管,管理,者,者參,與,與（,如,如本,單,單位,信,信息,化,化領,導,導小,組,組）,，,，負,責,責重,大,大決,策,策，,提,提供,資,資源,并,并對,工,工作,方,方向,、,、職,責,責分,配,配給,出,出清,晰,晰的,說,說明,不僅,僅,僅由,信,信息,化,化技,術(shù)

33、,術(shù)部,門,門參,與,與，,與,與信,息,息安,全,全相,關,關的,部,部門,（,（如,行,行政,、,、人,事,事、,安,安保,、,、采,購,購、,外,外聯(lián),）,）都,應,應參,與,與到,組,組織,體,體系,中,中各,司,司其,責,責，,協(xié),協(xié)調(diào),配,配合,,39,1.,企業(yè),內(nèi),內(nèi)部,達,達成,共,共識,2.,組織,的,的安,全,全建,立,立責,任,任分,工,工劃分,3.,避免,流,流于,形,形式,或,或作,假,假,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,內(nèi)部,組,組織,舉,舉例,40,,,,,信息安全領導小組,,,信息技術(shù)部門,,,,業(yè)務應用部門,,,,安全保衛(wèi)部門

34、,,,,人事行政部門,,,,其他有關部門,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息安全,工,工作,和,和其,他,他工,作,作一樣,，,不是某個個人,、,某個部門就可,以,以完成的,。,。信息技,術(shù),術(shù)部門是,信,信息安全,組,組織中的,重,重要執(zhí)行,機,機構(gòu)，但,不,不是全部,。,。,信息安全,領,領導小組,信息安全,領,領導小組,信息安全,領,領導小組,是,是各級系,統(tǒng),統(tǒng)網(wǎng)絡與,信,信息安全,工,工作的最,高,高領導決,策,策機構(gòu),不隸屬于,任,任何部門,，,，直接對,本,本單位最,高,高領導負,責,責,是一個常,設,設機構(gòu),領導小組,成,成員一般

35、,由,由各級系,統(tǒng),統(tǒng)的高層,領,領導掛帥,，,，并結(jié)合,與,與信息安,全,全相關各,職,職能部門,的,的主要負,責,責人參加,41,領導小組,責,責任,領導小組,責,責任,落實,XX,系統(tǒng)安全,建,建設的總,體,體規(guī)劃,制定本單,位,位安全規(guī),劃,劃并監(jiān)督,落,落實,負責組織,細,細化上級,規(guī),規(guī)章制度,，,，制定相,應,應程序指,南,南，并監(jiān),督,督落實規(guī),章,章制度,負責本單,位,位信息系,統(tǒng),統(tǒng)安全管,理,理層以上,的,的人員權(quán),限,限授予工,作,作,審閱本單,位,位信息安,全,全報告,組織重大,安,安全事故,查,查處與匯,報,報工作,,42,責任劃分,信息技術(shù),部,部門,對信息系,統(tǒng)

36、,統(tǒng)及信息,系,系統(tǒng)安全,保,保障提供,技,技術(shù)決策,和,和技術(shù)支,持,持,業(yè)務應用,部,部門,對信息系,統(tǒng),統(tǒng)的業(yè)務,處,處理以及,業(yè),業(yè)務流程,的,的安全承,擔,擔管理責,任,任,安全保衛(wèi),部,部門,對場地以,及,及系統(tǒng)資,產(chǎn),產(chǎn)的防災,、,、防盜、,防,防破壞等,承,承擔管理,責,責任,人事行政,部,部門,從人事、,行,行政上對,信,信息安全,保,保障執(zhí)行,管,管理工作,其他有關,部,部門,應與上述,部,部門協(xié)作,，,，共同對,信,信息系統(tǒng),的,的建設和,運,運行維護,承,承擔管理,責,責任,,43,控制措施,——,外部各方,外部各方,目標：保,持,持組織的,被,被外部各,方,方訪問、,

37、處,處理、管,理,理或與外,部,部進行通,信,信的信息,和,和信息處,理,理設施的,安,安全,三個控制,措,措施,識別外部,各,各方風險,處理與顧,客,客有關的,安,安全問題,處理第三,方,方協(xié)議中,的,的安全問,題,題,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,訪問風險,：,：,1.,維護軟件,設,設備的承,包,包商,2.,清潔、送,餐,餐人員,3.,外部咨詢,人,人員,44,關鍵點,要注意充,分,分理由外,部,部資源，,與,與上級主,管,管單位、,國,國家職能,部,部門、設,備,備和基礎,設,設施提供,商,商、安全,服,服務商、,有,有關專家,保,保持良好,的

38、,的溝通和,合,合作關系,要注意外,來,來風險，,如,如與第三,方,方機構(gòu)簽,訂,訂保密協(xié),議,議，監(jiān)督,和,和限制其,活,活動等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,例如與電力部,門,門建立良,好,好的協(xié)作,關,關系，停,電,電了，UPS的電,也,也要用光,了,了，電力,部,部門可以,開,開個發(fā)電,車,車來解決,關,關鍵信息,系,系統(tǒng)臨時,電,電力供應,45,3,、 資產(chǎn),管,管理,46,Why,？,那些曾經(jīng),發(fā),發(fā)生過的,事,事,案例,1,單位欲安,裝,裝一臺網(wǎng),絡,絡防火墻,，,，卻發(fā)現(xiàn),沒,沒有人可,以,以說清楚,當,當前的真,實,實網(wǎng)絡拓,撲,撲情況

39、，,也,也沒有人,能,能說清楚,系,系統(tǒng)中有,哪,哪些服務,器,器，這些,服,服務器運,行,行了哪些,應,應用系統(tǒng),案例,2,單位信息,安,安全評估,，,，發(fā)現(xiàn)大,部,部分服務,器,器安全狀,況,況良好，,只,只有一臺,服,服務器存,在,在嚴重安,全,全漏洞。,研,研究整改,措,措施時，,發(fā),發(fā)現(xiàn)平時,沒,沒有人對,該,該服務器,的,的安全負,責,責,47,資產(chǎn)管理,目,目標,目標,對,資產(chǎn),負責,——,實現(xiàn)并保,持,持組織資,產(chǎn),產(chǎn)的適當,保,保護,信息分類,——,確保對信,息,息資產(chǎn)的,保,保護達到,恰,恰當?shù)乃?平,平,包含的內(nèi)容,組織可以,根,根據(jù)業(yè)務,運,運作流程,和,和信息系,統(tǒng),

40、統(tǒng)拓撲結(jié),構(gòu),構(gòu)來識別,信,信息資產(chǎn),按照信息,資,資產(chǎn)所屬,系,系統(tǒng)或所,在,在部門列,出,出資產(chǎn)清,單,單,所有的信,息,息資產(chǎn)都,應,應該具有,指,指定的屬,主,主并且可,以,以被追溯,責,責任,信息應該,被,被分類，,以,以標明其,需,需求、優(yōu),先,先級和保,護,護程度,根據(jù)組織,采,采用的分,類,類方案，,為,為信息標,注,注和處理,定,定義一套,合,合適的程,序,序,,48,資產(chǎn)管理,信息安全,管,管理工作,的,的根本目,的,的是保護,系,系統(tǒng)中的,資,資產(chǎn),資產(chǎn)包括,信息資產(chǎn)：業(yè)務數(shù)據(jù),、,、合同協(xié),議,議、科研,材,材料、操,作,作手冊、,系,系統(tǒng)配置,、,、審計記,錄,錄、制

41、度,流,流程等,軟件資產(chǎn),：,：應用軟件,、,、系統(tǒng)軟,件,件、開發(fā)工具等,物理資產(chǎn),：,：計算機,設,設備、通,信,信設備、,存,存儲介質(zhì),等,等,服務：通,信,信服務、公用設,施,施（供暖、照明、能源）等,人員：他,們,們的資格,、,、技能和,經(jīng),經(jīng)驗,無形資產(chǎn)：品,牌,牌、聲譽和,形,形象,49,資產(chǎn)管理,控,控制目標,控制目標,對資產(chǎn)負,責,責,信息分類,,50,,控制措施,——,對資產(chǎn)負,責,責,對資產(chǎn)負,責,責,列出資產(chǎn),清,清單，明,確,確保護對,象,象,準確識別資產(chǎn)，編制清單,，,，形成文,件,件,括資產(chǎn)類型、位置、備份信息和業(yè)務價值,等,等內(nèi)容,為資產(chǎn)指定責任人，,明,明確安

42、全,負,負責,“,責任人,”,不一定是,指,指具有資,產(chǎn),產(chǎn)所有權(quán),的,的人，而,是,是指具有,控,控制生產(chǎn),、,、開發(fā)、,使,使用和保,護,護資產(chǎn)權(quán),限,限的個人,或,或?qū)嶓w,確定資產(chǎn),的,的使用限,制,制條件,,,合法使用,,,51,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,資產(chǎn)管理,是,是信息安,全,全管理的,重,重要內(nèi)容,控制措施,——,信息分類,信息分類,分類指南,根據(jù)信息的價,值,值、法律要求和對組織的敏,感,感程度和,關,關鍵性進行分類,信息標記和處理,信息類別,標,標記，,設置合適,的,的分類說明,如表明文件,的,的密級、,存,存儲介質(zhì),分,分類的標,簽,

43、簽,規(guī)定重要,敏,敏感信息,的,的安全處,理,理、存儲,、,、傳輸、,刪,刪除和銷,毀,毀的程序,,,52,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,對信息分類,是,是使信息,受,受到適當,級,級別的保,護,護，在處,理,理信息時,指,指明保護,的,的需求、,優(yōu),優(yōu)先級和,期,期望程度,關鍵點,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,建議分類,方,方法不宜,復,復雜，否,則,則容易造,成,成混亂,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,每種分類,應,應唯一區(qū),別,別于其它,分,分類，同,時,時不能有,任,任何重疊,,,,,,

44、,,,,,,,,,,,,,,,,,,,,,,,,,,,分類過程,還,還應簡單,說,說明如何,在,在其生命,周,周期內(nèi)控,制,制并處理,53,舉例,——,商業(yè)公司,和,和軍事機,構(gòu),構(gòu)信息分,類,類,組織,分類類別,定義,實例,商業(yè)公司,公共,即使泄漏不會給公司或個人造成不利影響,有多少人完成某個項,,私有,可能給公司或個人帶來不利影響,人事資源信息,軍事機構(gòu),絕密,如果泄漏會給國家安全帶來毀滅性破壞,新型戰(zhàn)時武器設計圖,,秘密,給國家安全造成重大威脅,部隊分布及部署,,不保密,非保密信息,計算機通用學習手冊,54,4.,人力資源,安,安全,55,Why?,那些曾經(jīng),發(fā),發(fā)生過的,事,事,案例一

45、,2010,年,3,月中旬，,匯,匯豐控股,發(fā),發(fā)布公告,，,，其旗下,匯,匯豐私人,銀,銀行,(,瑞士,),的一名,IT,員工，曾,于,于三年前,竊,竊取了銀,行,行客戶的,資,資料，失,竊,竊的資料,涉,涉及,1.5,萬名于,2006,年,10,月前在瑞,士,士開戶的,現(xiàn),現(xiàn)有客戶,。,。有鑒于,此,此，匯豐,銀,銀行三年,來,來共投放,1,億瑞士法,郎,郎，用來,將,將,IT,系統(tǒng)升級,并,并加強保,安,安,案例二,《,論語,》,“吾恐季孫,之,之憂，不,在,在顓臾，而在蕭墻之,內(nèi),內(nèi)也”,蕭墻之禍比喻,災,災禍、變,亂,亂由內(nèi)部,原,原因所致,56,人力資源,安,安全目標,目標,：,任

46、用,前,——,確保員工,、,、合同訪,和,和第三方,用,用戶了解,他,他們的責,任,任并適合,于,于他們所,考,考慮的角,色,色，降低設,施,施被竊、,欺,欺詐和誤,用,用的風險,任用中,——,確保所有,的,的員工、,合,合同方和,第,第三方用,戶,戶了解信,息,息安全威,脅,脅和相關,事,事宜、他,們,們的責任,和,和義務，,并,并在他們,的,的日常工,作,作中支持,組,組織的信,息,息安全方,針,針，減少,人,人為錯誤,的,的風險,任用終止,及,及變更,——,確保員工,、,、合同方,和,和第三方,用,用戶離開,組,組織或變,更,更雇傭關,系,系時以一,種,種,規(guī)范,的方式進,行,行,,57

47、,控制措施,——,任用前,任用,（上崗）,前,前,明確人員,遵,遵守安全,規(guī),規(guī)章制度,、,、執(zhí)行特,定,定的信息,安,安全工作,、,、報告安,全,全事件或,潛,潛在風險,的,的責任,對擔任敏,感,感和重要,崗,崗位的人,員,員要考察,其,其身份、,學,學歷和技,術(shù),術(shù)背景、,工,工作履歷,和,和以往的,違,違法違規(guī),記,記錄,要在合,同,同或?qū)?門,門的協(xié),議,議中，,明,明確其,信,信息安,全,全職責,58,控制措,施,施,——,任用中,任用,中,保證其,充,充分了,解,解所在,崗,崗位的,信,信息安,全,全角色,和,和職責,有針對,性,性地進,行,行信息,安,安全意,識,識教育,和,和技

48、能,培,培訓,及時有,效,效的,紀律處,理,理（懲,戒,戒）,措施,,59,,控制措,施,施,——,任用終,止,止及變,更,更,離職人,員,員存在,的,的安全,隱,隱患,未刪除,的,的帳戶,未收回,的,的各種,權(quán),權(quán)限,VPN,、遠程,主,主機、,企,企業(yè)郵,箱,箱和,VoIP,等應用,其它隱,含,含信息,網(wǎng)絡機,構(gòu),構(gòu)、規(guī),劃,劃，存,在,在的漏,洞,洞,同事的賬戶,、,、口令和,使,使用習,慣,慣等,,60,,這些信,息,息和權(quán),限,限如果,被,被離職,的,的員工,和,和攻擊,者,者們惡,意,意利用,，,，很容,易,易導致,信,信息安全,事件,,,,,,,,,,,,,,,,,,,,,,,,

49、,,,,,,,,,控制措,施,施,——,任用終,止,止及變,更,更,以,規(guī)范的方式,退,退出單,位,位或改,變,變其任,用,用關系,終止職,責,責,通知相,關,關人員,人,人事變,化,化，明,確,確離職,后,后仍需,遵,遵守的,責,責任規(guī),定,定,歸還資,產(chǎn),產(chǎn),保證離,職,職人員,歸,歸還軟,件,件、電,腦,腦、存,儲,儲設備,、,、文件,和,和其他,設,設備,撤銷訪,問,問權(quán)限,撤銷用,戶,戶名、,門,門禁卡、,密鑰,、數(shù)字證,書,書等,,61,,舉例,——,任用中,安,安全管,理,理,員工缺,乏,乏基本,的,的安全,意,意識，,特,特別是,一,一些業(yè),務,務人員,等,等，沒,有,有進行,

50、統(tǒng),統(tǒng)一的,、,、系統(tǒng),的,的安全,培,培訓和,學,學習的機會,由于員,工,工對發(fā),生,生安全,問,問題后,造,造成的,后,后果不,負,負任何,責,責任，,從,從而也,就,就不能,有,有效的,督,督促員,工,工提高,自,自己的,安,安全意,識,識，最,終,終形成,惡,惡性循,環(huán),環(huán)、導,致,致員工,不,不能嚴,格,格遵循,公,公司的,安,安全管,理,理制度,個人電,腦,腦的密,碼,碼設置,為,為空或,者,者非常,脆,脆弱,系統(tǒng)默,認,認安裝,，,，從不,進,進行補,丁,丁升級,撥號上,網(wǎng),網(wǎng)，給,個,個人以,及,及整個,公,公司帶,來,來后門,啟動眾,多,多不用,的,的服務,,62,,人員層次

51、不,同,同，流,動,動性大,，,，安全,意,意識薄,弱,弱而產(chǎn),生,生病毒,泛,泛濫、,終,終端濫,用,用資源,、,、非授,權(quán),權(quán)訪問,、,、惡意,終,終端破,壞,壞、信,息,息泄露,等,等安全,事,事件不勝枚,舉,舉,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,5,、 物,理,理和環(huán),境,境安全,63,Why,？,那些曾,經(jīng),經(jīng)發(fā)生,過,過的事,案例,1,競爭對,手,手潛入,機,機房，,直,直接用,移,移動硬,盤,盤將服,務,務器中,的,的重要,數(shù),數(shù)據(jù)拷,貝,貝走,案例,2,機房中,溫,溫度過,高,高，導,致,致計算,機,機無法,正,正常運,行,行，造,成,成業(yè)務,中,

52、中斷，,全,全國性,服,服務停,止,止超過,1,天,64,物理和環(huán)境,安,安全目標,目標：,安全區(qū)域,——,防止非授權(quán),訪,訪問、破壞,和,和干擾業(yè)務,運,運行的前提,條,條件及信息,設備安全,——,預防資產(chǎn)的,丟,丟失、損壞,或,或被盜，以,及,及對組織業(yè),務,務活動的干,擾,擾,包含的內(nèi)容,：,：,應該建立帶,有,有物理入口,控,控制的安全,區(qū),區(qū)域,應該配備物,理,理保護的硬,件,件設備,應該防止網(wǎng),絡,絡電纜被塔,線,線竊聽,將設備搬離,場,場所，或者,準,準備報廢時,，,，應考慮其,安,安全,,65,安全區(qū)域,-1,物理安全邊,界,界,建立安全邊,界,界，形成安,全,全區(qū)域,物理入口

53、控,制,制,必須弄清來,訪,訪者的身份,，,，并將其進,入,入與離開安,全,全區(qū)域的日,期,期與時間記,錄,錄起來,所有人員配,戴,戴識別證,66,安全區(qū)域,-2,房間和設施,的,的安全保護,關鍵設施,要坐落在可,避,避免公眾訪,問,問的場地,保護標識敏,感,感信息處理,設,設施位置的,目,目錄和內(nèi)部,電,電話簿不被,公,公眾得到,外部和環(huán)境,威,威脅的安全防護,設計,物理保護措施,，防止火災、洪水,、,、地震、爆,炸,炸、社會動,蕩,蕩和其他形,式,式自然或人,為,為災難引起,的,的破壞,在合適的位,置,置提供滅火設備,加固設施，,防,防止,屋頂漏水或地下,室,室地板滲水,67,安全區(qū)域,-

54、3,安全區(qū)域工作,防護,未使用的安,全,全區(qū)域，應加鎖以限制訪問,并定期檢查,避免寫入,“,機房重地，,請,請勿進入,”,的字樣,應限制授權(quán),，,，一般不允,許,許攜帶攝影,、,、視頻、聲,頻,頻或其他記,錄,錄設備進入,公共訪問和,交,交接區(qū)安全,訪問點（例,如,如交接區(qū)）,和,和未授權(quán)人,員,員可進入辦,公,公場所的地,點,點應加以控,制,制，避免未授權(quán)訪問,除交接區(qū)外,，,，交貨人員,無,無需獲得對本建筑物,其,其他部分的訪問權(quán)就能卸下物資,當內(nèi)部門打開時，交,接,接區(qū)的外部,門,門應得到安,全,全保護,68,,設備安全,-1,設備安置和,保,保護,為不同設備,劃,劃分不同區(qū),域,域進行

55、安置,和,和保護，盡,量,量限制對工,作,作區(qū)域不必,要,要的訪問,通過樓房建,筑,筑和機房裝,修,修要求，防,范,范偷竊、火,災,災、爆炸、煙霧、塵埃、震動,、,、電源干擾,支持性設施,保護設備使,其,其免于由支,持,持性設施失,效,效引起故障,定期檢查并測試支持性設施,制定電源計,劃,劃，如,多回路供電,、,、,UPS,、發(fā)電機等,保障（空調(diào),）,）用水,保障通信線,路,路,,,,69,設備安全,-2,布纜安全,保證傳輸數(shù),據(jù),據(jù)或支持信,息,息服務的電,源,源電纜和通,信,信電纜免受,竊,竊聽或損壞,電力線路應,與,與通訊線路,隔,隔離，以避,免,免相互干擾,設備維護,正確維護單,位,位

56、設備，保,證,證其持續(xù)的,可,可用性和完整性,按照推薦的,服,服務間隔與,規(guī),規(guī)范，對設,備,備進行維護,只有已授權(quán),的,的維護人員,才,才能修理設備,刪除敏感信,息,息或保證維,護,護人員可靠,性,性,70,設備安全,-3,組織場所外,的,的設備安全,在單位場所,外,外使用信息處,理,理設備,，必須經(jīng)過授權(quán),離開辦公場,所,所的設備要,有,有合理的保,護,護措施,設備的安全,處,處置和再利,用,用,對于儲存敏,感,感信息的儲,存,存設備，必,須,須銷毀或是,重,重寫重灌數(shù),據(jù),據(jù)資料，不,可,可以只使用,簡,簡單的刪除,功,功能。,資產(chǎn)的移動,設備、信息,或,或軟件應根,據(jù),據(jù)授權(quán)確定,是,

57、是否允許帶,出,出單位場所,，,，并進行控,制,制和記錄,設置設備允許離開的時間,，并作,符合性檢查,和,和記錄,71,舉例,1,——,訪問控制措,施,施,卡訪問控制,或,或生物特征,系,系統(tǒng),磁卡、非接,觸,觸卡等,指紋、視網(wǎng),膜,膜掃描、簽,名,名、聲音識,別,別、手形等,等,等,,72,舉例,2,——,物理監(jiān)控措,施,施,周邊入侵檢,測,測系統(tǒng),用來探測未,經(jīng),經(jīng)授權(quán)而進,入,入的人，并,發(fā),發(fā)出警報,現(xiàn)在最常用,的,的入侵監(jiān)測,系,系統(tǒng)是機電式的，能夠探,測,測到電路的,變,變化或斷路,，,，例如：窗,戶,戶貼，繃緊,線,線等,一個常被忽,略,略的脆弱點,——,報警系統(tǒng),監(jiān)控系統(tǒng),使用

58、照相機通過傳輸媒介將圖片傳送,到,到連接的顯示器的電視傳輸,系,系統(tǒng),與廣播電視,是,是不同的，,監(jiān),監(jiān)控系統(tǒng)的,信,信號不是公,開,開傳輸?shù)?,,73,6,、通信和操,作,作管理,74,通信和操作,管,管理,信息系統(tǒng)日,常,常運行安全,是,是信息安全,管,管理的主要,組,組成部分,為減少人為,疏,疏忽或故意,誤,誤用信息系,統(tǒng),統(tǒng)的幾率和,風,風險，使信,息,息系統(tǒng)在運,行,行過程中的,安,安全性得到,保,保證，應當,確,確立信息處,理,理設施的管,理,理和操作責,任,任及程序,,75,,Why,？,案例,案例,1,2007,年,8,月,30,日，美國空,軍,軍一架,B-52,戰(zhàn)略轟炸機,誤

59、,誤裝,6,枚核彈后，,從,從北部的北,達,達科他州實彈飛往南部的路易,斯,斯安那州,案例,2,數(shù)據(jù)庫管理,員,員由于疏忽,進,進行了誤操,作,作,,,將重要的信,息,息刪除了,案例,3,涉密計算機,出,出現(xiàn)故障硬,盤,盤數(shù)據(jù)丟失,，,，使用人員,將,將硬盤拿到,社,社會上的數(shù),據(jù),據(jù)恢復公司,進,進行恢復，,造,造成秘密泄,露,露,76,通信和操作,管,管理目標（,1,）,目標,：,操作程序和,責,責任,——,確保正確、,安,安全的操作,信,信息處理設,施,施,第三方服務,交,交付管理,——,核查協(xié)議實,施,施,，確保第三,方,方交付的服,務,務符合要求,系統(tǒng)規(guī)劃與,驗,驗收,——,減少系統(tǒng)

60、失,效,效帶來的風,險,險,防范惡意代,碼,碼和移動代,碼,碼,——,保護軟件和,信,信息的完整,性,性,備份,——,保持信息和,信,信息處理設,施,施的完整性,和,和可用性,,,77,通信和操作,管,管理目標（,2,）,目標,：,網(wǎng)絡安全管,理,理,——,確保對網(wǎng)絡,中,中信息和支,持,持性基礎設,施,施的安全保,護,護,介質(zhì)處置,——,防止對資產(chǎn),的,的未授權(quán)泄,漏,漏、修改、,移,移動或損壞,，,，及對業(yè)務,活,活動的干擾,信息的交換,——,應保持組織,內(nèi),內(nèi)部或組織,與,與外部組織,之,之間交換信,息,息和軟件的,安,安全,電子商務服,務,務,——,確保電子商,務,務的安全,及其,安全

61、使用,監(jiān)視,——,檢測未經(jīng)授,權(quán),權(quán)的信息處,理,理活動,，記錄信息,安,安全事態(tài),78,舉例,介質(zhì)的處置,要建立安全,處,處置介質(zhì)的,正,正式規(guī)程,不再需要的,介,介質(zhì)，要可,靠,靠并安全地,處,處置,物理破壞、,安,安全刪除,79,,7,、訪問控制,80,Why?,案例,1,：飛機登機,，,，旅客的身,份,份證號區(qū)別,了,了不同的人,，,，身份證證,明,明確實是這,名,名旅客來乘,機,機，安檢人,員,員察看身份,證,證和登機牌,，,，掃描違禁,物,物品后允許,乘,乘客登上機,票,票中規(guī)定的,航,航班,,案例,2,：登錄網(wǎng)站,，,，用戶,ID,區(qū)別了不同,的,的用戶，輸,入,入登錄密碼,確,

62、確定是這位,用,用戶，網(wǎng)絡,防,防火墻和服,務,務器的權(quán)限,管,管理系統(tǒng)允,許,許用戶使用,網(wǎng),網(wǎng)站中可以,使,使用的功能,81,訪問控制,訪問控制是防止,對,對資源的未,授,授權(quán)訪問，,保,保證資源在,授,授權(quán)范圍內(nèi)使用,訪問控制是對主,體,體訪問客體,權(quán),權(quán)限或能力,的,的一種限制,，,，可從物理,層,層、主機層,、,、網(wǎng)絡層以,及,及應用層設,置,置多種控制手段,來達到目標,82,,控制目標,業(yè)務需求,——,控制對信息,的,的訪問,用戶訪問管,理,理,——,確保授權(quán)用,戶,戶的訪問，防止非授權(quán)訪問,用戶職責,——,防止未授權(quán)用戶的訪問、損害,或,或竊取,網(wǎng)絡訪問控,制,制,——,防止對網(wǎng)

63、絡,服,服務未經(jīng)授,權(quán),權(quán)的訪問,操作系統(tǒng)訪,問,問控制,——,防止對操作,系,系統(tǒng)的未授,權(quán),權(quán)訪問,應用與信息,訪,訪問控制,——,防止對應用,系,系統(tǒng)中信息,的,的未授權(quán)訪問,移動計算和,遠,遠程工作,——,確保在使用,移,移動計算和,遠,遠程工作設,施,施時信息的,安,安全,83,,舉例,系統(tǒng)和應用,程,程序,在登錄未成,功,功前，不顯,示,示系統(tǒng)的相,關,關信息，以,免,免為非法用,戶,戶提供方便,登錄出錯時,，,，系統(tǒng)不應,該,該說明哪一,部,部份數(shù)據(jù)正,確,確、哪一部,份,份數(shù)據(jù)出錯,84,8,、信息系統(tǒng),獲,獲取、開發(fā),和,和維護,85,信息系統(tǒng)獲,取,取、開發(fā)和,維,維護,目

64、的,通過科學嚴,謹,謹?shù)能浖_,發(fā),發(fā)方法，減,少,少自開發(fā)軟,件,件的漏洞，加強運行,維,維護,及時發(fā)現(xiàn)系統(tǒng)的,安,安全脆弱點,防止硬件故障可能使,信,信息系統(tǒng)無,法,法正常運行,防止因設備供應商的服,務,務能力不足而導致,使,使安全事件應,急,急響應不及,時,時,86,,控制目標,信息系統(tǒng)安全要求,確保安全是,信,信息系統(tǒng)的,有,有機組成部,分,分,應用,中的正確,處理,確保信息不,被,被遺失、未,授,授權(quán)的修改,或,或誤用,使用密碼技術(shù),保護信息的,保,保密性、真,實,實性或完整,性,性,保護系統(tǒng)文件和源代碼,控制文件和源代,碼,碼使用，確保,系,系統(tǒng)安全,建立變更控制規(guī)程,控制項目和,

65、支,支持環(huán)境，,維,維護軟件信,息,息安全,技術(shù)脆弱性,管,管理,降低利用已,公,公布脆弱性,帶,帶來的風險,87,,9,、信息安全,事,事件管理,88,信息安全事,件,件管理,目的,及時發(fā)現(xiàn)安,全,全事件，并,在,在發(fā)生安全,事,事件時執(zhí)行,預,預先設定的,處,處置流程，阻止和減,小,小安全事件,帶,帶來的影響,在事件處理完,成,成后通過分,析,析總結(jié)，評,估,估單位信息,安,安全工作的,薄,薄弱環(huán)節(jié)，,并,并提出改進,建,建議,,89,,控制目標,報告安全,事態(tài)和弱點,有正式報告,規(guī),規(guī)程和流程,確保與信息,系,系統(tǒng)有關的,信,信息安全事,態(tài),態(tài)和弱點能,及,及時上報和,傳,傳達,安全事件

66、,和改進的管,理,理,建立管理職,責,責和規(guī)程，,確,確?？焖?、,有,有效和有序,地,地響應信息,安,安全事件,建立量化和,監(jiān),監(jiān)視信息安,全,全事件的類,型,型、數(shù)量和,代,代價的機制,收集和保留,證,證據(jù)，確保,符,符合法律要,求,求,,90,,10,、業(yè)務連續(xù),性,性管理,91,業(yè)務連續(xù)性,管,管理,目的,業(yè)務連續(xù)性,管,管理是通過,制,制定和實施,一,一系列事先,的,的策略和規(guī),劃,劃，確保單,位,位在面臨突,發(fā),發(fā)的災難事,件,件時，關鍵,業(yè),業(yè)務功能能,持,持續(xù)運作、,有,有效的發(fā)揮,作,作用，以保,證,證業(yè)務的正,常,常和連續(xù),防止業(yè)務活,動,動中斷，保,證,證重要業(yè)務,流,流程不受重,大,大故障與災,難,難的影響,92,,控制措施,確保把業(yè)務,連,連續(xù)性的管,理,理包含在組,織,織的過程和,結(jié),結(jié)構(gòu)中，滿,足,足組織的信,息,息安全需求,執(zhí)行風險評,估,估，識別引,起,起業(yè)務過程,中,中斷的因素,、,、發(fā)生的概,率,率和影響，,以,以及造成的,后,后果,制定業(yè)務連,續(xù),續(xù)性計劃，,滿,滿足業(yè)務中,斷,斷或失敗后,能,能夠在要求,的,的水平和時,間,間內(nèi)確保信,息,息的可