《CISM信息安全管理體系_VXXXX年》由會(huì)員分享，可在線閱讀，更多相關(guān)《CISM信息安全管理體系_VXXXX年（98頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),?#?,,單擊此處編輯母版標(biāo)題樣式,信息安全管理體系,,中國(guó)信息安全測(cè)評(píng)中心,版本：,3.0,課程內(nèi)容,2,,信息,安全,管理,,,信息安全,管理體系,,,,,,信息安全管理控制措施,,,,,信息安全管理體系概念,信息安全,管理基礎(chǔ),知識(shí),體,：信息安全管理,體系,知識(shí),域：信息安全管理,體系概念,理解信息安全管理體系（,ISMS,）的概念和核心過程,了解信息安全管理體系文檔要求,了解,ISO/IEC 27000,標(biāo)準(zhǔn)族,,3,管理體系相關(guān)概念,,4,體系,相,互關(guān)

2、聯(lián)和相互作用的一組,要素,,（,--,,ISO9000:200,5,質(zhì)量管理體系 基礎(chǔ)和術(shù)語(yǔ)）,管理體系：,建立方針和目標(biāo)并達(dá)到目標(biāo)的,體系,,,（,--,,ISO9000:200,5,質(zhì)量管理體系 基礎(chǔ)和術(shù)語(yǔ)）,為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的,框架,,（,--,,ISO,/IEC 27000:2009,信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和術(shù)語(yǔ)）,,管理體系,,5,ISO9000,質(zhì)量管理體系,ISO14000,環(huán)境管理體系,OHSAS,職業(yè)健康安全管理體系,ISO/IEC27000,信息安全管理體系,ISO/IEC20000,服務(wù)管理體系,ISO22000,食品安全管理

3、體系,,管理體系,Management,System,信息安全管理體系,什么是信息安全管理,體系,Information Security Management System,，,ISMS,是,管理體系方法在信息安全領(lǐng)域的運(yùn)用,,6,,,,,信息安全,管理,體系,,,,,,,,,,,,,,,,ISMS,信息安全管理體系,信息安全管理體系,是,整個(gè)管理體系的一部分，它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的,體系,一般,地，信息安全管理體系包括信息安全組織架構(gòu)、信息安全方針、信息安全規(guī)劃活動(dòng)、信息安全職責(zé)，以及信息安全相關(guān)的實(shí)踐、規(guī)程、過程和資源等要素，,這些要素

4、既,相互關(guān)聯(lián)，又相互作用,7,,信息安全管理體系的作用,對(duì)內(nèi),形成,單位,可,自我持續(xù),改進(jìn)的,信息安全管理,機(jī)制,使,信息安全的角色和職責(zé)清晰，并落實(shí)到,人,確保,實(shí)現(xiàn),動(dòng)態(tài)的、系統(tǒng),的、制度化,的,信息安全管理,有利于,根本上,保證業(yè)務(wù)的連續(xù)性，提高市場(chǎng),競(jìng)爭(zhēng)力,對(duì)外,能夠,使客戶、業(yè)務(wù),伙伴對(duì)單位信息安全,充滿,信心,有助于,界定,外包雙方的信息安全,責(zé)任,可以,使單位更好地,滿足審計(jì)要求,和,符合,法律,法規(guī),保證,和外部,數(shù)據(jù),交換中的信息安全,,8,,作用解釋,ISMS,是,一,個(gè)通用的信息安全管理,指南,不是,說(shuō)明“怎么做”,的,詳細(xì),細(xì)節(jié),而是,具有,普遍意義的安全操作規(guī)則,指

5、南,指導(dǎo),單位,在信息安全管理方面要做什么,，,如何,選擇,適宜的安全管理控制,措施,ISMS,過程,信息安全管理體系標(biāo)準(zhǔn)要求建立,ISMS,過程,制定信息安全策略，確定體系范圍，明確管理職責(zé),單位應(yīng)該實(shí)施、維護(hù)和持續(xù),改進(jìn),該體系，保持其有效性,9,,ISMS,過程,10,,,,,,,,相關(guān)方,受控的,信息安全,,信息安全,要求和期望,相關(guān)方,,,,,檢查,Check,建立,ISMS,實(shí)施和,運(yùn)行,ISMS,保持和,改進(jìn),ISMS,監(jiān)視和,評(píng)審,ISMS,規(guī)劃,Plan,,,實(shí)施,Do,改進(jìn),Act,,,,,建立,ISMS,建立,ISMS,，,PLAN,主要,工,工作,定義,ISMS,范圍,

6、和,和邊界,《,ISMS,范圍,說(shuō),說(shuō)明,書,書》,：組,織,織結(jié),構(gòu),構(gòu)范,圍,圍、,業(yè),業(yè)務(wù),范,范圍,、,、信,息,息系,統(tǒng),統(tǒng)范,圍,圍和,物,物理,范,范圍,制定,ISMS,方針,和,和策,略,略,實(shí)施,風(fēng),風(fēng)險(xiǎn)評(píng)估,識(shí)別風(fēng)險(xiǎn),、,、分,析,析和,評(píng),評(píng)價(jià),風(fēng),風(fēng)險(xiǎn),11,,實(shí)施,和,和運(yùn),行,行,ISMS,實(shí)施,和,和運(yùn),行,行,ISMS,，,DO,主要,工,工作,制定,風(fēng),風(fēng)險(xiǎn),處,處理,計(jì),計(jì)劃,實(shí)施,風(fēng),風(fēng)險(xiǎn),處,處理,計(jì),計(jì)劃,制定有效,性,性測(cè),量,量程,序,序,管理,ISMS,的運(yùn),行,行,12,,監(jiān)視,和,和評(píng),審,審,ISMS,監(jiān)視,和,和評(píng),審,審,ISMS,，,

7、CHECK,主要工作,日常,監(jiān),監(jiān)視,和,和檢查,有效,性,性測(cè),量,量,內(nèi)部,審,審核,風(fēng)險(xiǎn)再評(píng)估,管理,評(píng),評(píng)審,13,,保持,和,和改,進(jìn),進(jìn),ISMS,保持,和,和改,進(jìn),進(jìn),ISMS,，,ACT,主要工作,實(shí)施,糾,糾正,和,和預(yù),防,防措施,持續(xù)改進(jìn),ISMS,溝通措施,改,改進(jìn),情,情況,14,,ISMS,的核心,過,過程,可,可以概括,為,為4,句,句話,規(guī)定,你,你應(yīng),該,該做,什,什么,并,并形,成,成文,件,件,：,：P,做文,件,件已,規(guī),規(guī)定,的,的事,情,情,：,：D,評(píng)審,你,你所,做,做的,事,事情,的,的符,合,合性,：,：C,采取,糾,糾正,和,和預(yù),防,防

8、措,施,施，,持,持續(xù),改,改進(jìn),：,：A,,用,PDCA,來(lái)理,解,解什,么,么是,信,信息,安,安全,管,管理,體,體系,15,16,一級(jí),文,文檔,：,：宏,觀,觀方針,性,性文,檔,檔,二級(jí),文,文檔：管,控,控程序,及,及管理,制,制度,性,性文,檔,檔,三級(jí),文,文檔,：,：操,作,作指,南,南及,作,作業(yè),指,指導(dǎo),書,書類,四級(jí),文,文檔：體,系,系運(yùn),行,行的各,種,種記錄,下級(jí),文,文件,應(yīng),應(yīng)支,持,持上,級(jí),級(jí)文,件,件。,信息,安,安全,管,管理,體,體系,文,文檔,要,要求,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T

9、22080,、,GB/T22081,的歷,史,史沿,革,革,1990,年代,初,初,——,英國(guó),貿(mào),貿(mào)工,部,部（,DTI,）成,立,立工,作,作組,，,，立,項(xiàng),項(xiàng)開,發(fā),發(fā)一,套,套可,供,供開,發(fā),發(fā)、,實(shí),實(shí)施,和,和測(cè),量,量有,效,效安,全,全管,理,理慣,例,例并,提,提供,貿(mào),貿(mào)易,伙,伙伴,間,間信,任,任的,通,通用框架,1993,年,9,月,——,頒布,《,信息,安,安全,管,管理,實(shí),實(shí)施,細(xì),細(xì)則,》,，形,成,成,BS7799,的基礎(chǔ),1995,年,2,月,——,首次,出,出版,BS7799-1:1995,《,《,信息,安,安全,管,管理,實(shí),實(shí)用,規(guī),規(guī)則,》,1

10、998,年,2,月,——,英國(guó),公,公布,BS7799-2:,《,《,信息,安,安全,管,管理,體,體系,要,要求,》,1999,年,4,月修,訂,訂,2000,年,12,月,——,國(guó)際,標(biāo),標(biāo)準(zhǔn),組,組織,ISO/IECJTC1/SC27,工作,組,組認(rèn),可,可通,過,過,BS7799-1,，頒,布,布,ISO/IEC17799:2000,《,《,信息,安,安全,管,管理,實(shí),實(shí)用,規(guī),規(guī)則,》,2002,年,9,月,——BSI,對(duì),BS7799-2,進(jìn)行了改版,2005,年,6,月,—— ISO 17799:2000,改版，成為,ISO/IEC17799:2005,2005,年,10,月,

11、—— ISO,正式采用,BS 7799-2:2002,，命名為,ISO/IEC27001:2005,2007,年,7,月,—— ISO 17799:2005,歸入,ISO27000,系列，命,名,名為,ISO/IEC27002:2005,2008,年,6,月,-,中國(guó)等同采用,ISO27001:2005,,命名為,GB/T22080-2008,中國(guó)等同采用,ISO27002:2005,,命名為,GB/T22081-2008,2013,年,10,月,—,—,—ISO,正,式,式,發(fā),發(fā),布,布,ISO/IEC27001:2013,和,ISO/IEC27002:2013,ISO/IEC27000,

12、標(biāo),準(zhǔn),準(zhǔn),簇,簇,介,介,紹,紹,17,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,BS7799,BS7799-1,BS7799-2,,,,,,,,,,,,,,,,,,,,,,,,,ISO17799,ISO27002,GB/T22081,ISO27001,GB/T22080,ISO/IEC27000,標(biāo),準(zhǔn),準(zhǔn),簇,簇,介,介,紹,紹,BS7799,、,ISO17799,、,ISO27001,、,ISO27002,、,GB/T22080,、,GB/T22081,的,對(duì),對(duì),應(yīng),應(yīng),關(guān),關(guān),系,系,18,19,,ISO/IEC27000,系,列,列,已,經(jīng),經(jīng),制,制

13、,定,定,標(biāo),標(biāo),準(zhǔn),準(zhǔn),：,：,>21,個(gè),正,在,在,制,制,定,定,標(biāo),標(biāo),準(zhǔn),準(zhǔn),：,：,>11,個(gè),ISO/IEC27000,標(biāo),準(zhǔn),準(zhǔn),簇,簇,介,介,紹,紹,ISMS,標(biāo),準(zhǔn),準(zhǔn),我,我,國(guó),國(guó),采,采,標(biāo),標(biāo),情,情,況,況,各,國(guó),國(guó),等,等,同,同,采,采,標(biāo),標(biāo),我,國(guó),國(guó),采,采,標(biāo),標(biāo),情,情,況,況,20,,序號(hào),國(guó)際標(biāo)準(zhǔn),采標(biāo)形式,國(guó)家標(biāo)準(zhǔn),1,ISO/IEC 27000:2009,等同采用,《,信息安全管理體系概述和詞匯,》,（,GB/T 29246-2012,）,2,ISO/IEC 27001:2005,等同采用,《,信息安全管理體系 要求,》,（,GBT 2

14、2080-2008,）,3,ISO/IEC,,27002:2005,等同采用,《,信息安全管理實(shí)用規(guī)則,》,（,GB/T 22081-2008,）,4,ISO/IEC 27006:2007,等同采用,《,信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求,》,（,GB/T 25067-2010,）,知,識(shí),識(shí),體,體,：,：,信,信,息,息安,全,全,管,管,理,理體,系,系,知,識(shí),識(shí),域,域,：,：,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,了,解,解,信,信,息,息,安,安,全,全,管,管,理,理,控,控,制,制,措,措,施,施,的,的,作,作,用,用,理,解,解,

15、安,安,全,全,方,方,針,針,、,、,信,信,息,息,安,安,全,全,組,組,織,織,、,、,資,資,產(chǎn),產(chǎn),管,管,理,理,、,、,人,人,力,力,資,資,源,源,管,管,理,理,、,、,物,物,理,理,和,和,環(huán),環(huán),境,境,安,安,全,全,等,等管,理,理,域,域,的,的,控,控,制,制,目,目,標(biāo),標(biāo),和,和,主,主,要,要,控,控,制,制,措,措,施,施,了,解,解,通,信,信,和,和,操,操,作,作,管,管,理,理,、,訪,問,問,控,控,制,制,、,信,息,息,系,系,統(tǒng),統(tǒng)獲,取,取,開,開,發(fā),發(fā)和,維,維,護(hù),護(hù),、,信,息,息,安,安,全,全,事,事,件,件,管,管,理

16、,理,、,業(yè),務(wù),務(wù),連,連,續(xù),續(xù),性,性,管,管,理,理,等管,理,理,域,域,的,的,控,控,制,制,目,目,標(biāo),標(biāo)和,控,控,制,制措,施,施,,21,,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,控,制,制措,施,施,是實(shí),施,施,信,信,息,息,安,安,全,全,管,管,理,理,的,的,方,方,法,法,和,和手,段,段,單,位,位通,過,過,實(shí),實(shí),施,施,一,一,組,組,適,適,當(dāng),當(dāng),的,的,安,安,全,全,控,控,制,制,措,措,施,施,，,，,保,保,護(hù),護(hù),信,信,息,息,資,資,產(chǎn),產(chǎn),，,，,抵,抵,御,御,威,威,脅,脅,并,并,減,減,少,少,系,系

17、,統(tǒng),統(tǒng),脆,脆,弱,弱,性,性,，,，,降,降,低,低,安,安,全,全,風(fēng),風(fēng),險(xiǎn),險(xiǎn),，,，,達(dá),達(dá),到,到,信,信,息,息,安,安,全,全目,標(biāo),標(biāo),控,制,制措,施,施,涉,涉,及,及,行,行,政,政,、,、,技,技,術(shù),術(shù),和,和,管,管,理,理,等,等方,面,面,如,何,何,制,制,定,定,信,信,息,息,安,安,全,全,控,控,制,制,措,措,施,施,自己制定,本,本單,位,位的,信,信息安全,管,管理,控,控制措施,學(xué)習(xí),別,別人,實(shí),實(shí)踐,經(jīng),經(jīng)驗(yàn),，,，參,考,考國(guó),際,際,/,國(guó)家,標(biāo),標(biāo)準(zhǔn),《,信息,安,安全,管,管理,實(shí),實(shí)用,規(guī),規(guī)則,》,（,ISO27002,）,

18、《信,息,息安,全,全管,理,理實(shí),用,用規(guī),則,則》,（,（,GB/T22081,）,22,,ISMS,信息安全,管,管理,域,域,23,,《信,息,息安,全,全管,理,理實(shí),用,用規(guī),則,則》,（,（,ISO27002:2005,）,《信,息,息安,全,全管,理,理實(shí),用,用規(guī),則,則》（,GB/T22081-2008,）,信息,安,安全,管,管理,實(shí),實(shí)用,規(guī),規(guī)則,（,（,GB/T22081-2008,）,11,個(gè)域,39,個(gè)目標(biāo),133,個(gè)控制,措施,,,24,信息,安,安全,管,管理,實(shí),實(shí)用,規(guī),規(guī)則,每個(gè),主,主要安全,域,域，包括,：,：,控制目標(biāo),，,，聲,明,明要,實(shí),實(shí)

19、現(xiàn),什,什么,一個(gè),或,或多個(gè)控,制,制措施，用,于,于實(shí)現(xiàn),該,該控,制,制目標(biāo),每個(gè),（,（安,全,全）,控,控制,措,措施,的,的描,述,述內(nèi),容,容,控制,措,措施,：,：,是對(duì),該,該控,制,制措,施,施的,定,定義,實(shí)施,指,指南,：,：,是對(duì),實(shí),實(shí)施,該,該控,制,制措,施,施的,指,指導(dǎo),性,性說(shuō),明,明,其它,信,信息,：,：,其它,需,需要,說(shuō),說(shuō)明,的,的補(bǔ),充,充信,息,息，,如,如法,律,律考,慮,慮,25,什么,是,是控,制,制措,施,施,什么,是,是控,制,制措,施,施,管理,風(fēng),風(fēng)險(xiǎn),的,的方,法,法。,為,為達(dá),成,成企,業(yè),業(yè)目,標(biāo),標(biāo)提,供,供合,理,理

20、保,證,證，,并,并能,預(yù),預(yù)防,、,、檢,查,查和,糾,糾正,風(fēng),風(fēng)險(xiǎn),。,。,它們,可,可以,是,是行,政,政、,技,技術(shù),、,、管,理,理、,法,法律,等,等方,面,面的,措,措施,。,。,控制,措,措施,的,的分,類,類：,預(yù)防,性,性控,制,制,檢查,性,性控,制,制,糾正,性,性控,制,制,,,26,不是,所有的控制措施適用于任何場(chǎng)合，它也不會(huì)考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對(duì)一個(gè)組織中所有人都,適用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,1.,安全方針,27,Why?,有沒,有,有遇,到,到過,這,這樣,的,的事,情,情？,案例,1,有單,位,

21、位領(lǐng),導(dǎo),導(dǎo)說(shuō),：,：“,聽,聽說(shuō),信,信息,安,安全,工,工作,很,很重,要,要，,可,可是,我,我不,知,知道,對(duì),對(duì)于,我,我們,單,單位,來(lái),來(lái)說(shuō),到,到底,有,有多,重,重要,，,，也,不,不知,道,道究,竟,竟有,哪,哪些,信,信息,是,是需,要,要保,護(hù),護(hù)的,。,。,”,案例,2,據(jù)說(shuō),作,作為,管,管理,人,人員,要,要把,個(gè),個(gè)人,計(jì),計(jì)算,機(jī),機(jī)的,登,登錄,口,口令,設(shè),設(shè)置,好,好，,怎,怎么,設(shè),設(shè)置,才,才符,合,合要,求,求呢,？,？,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,這些,問,問題需要,先,在“,安全,方,方針,”中尋,找,找

22、答,案,案,28,安全,方,方針,控,控制,目,目標(biāo),控制目標(biāo),制定,信,信息,安,安全,方,方針,評(píng)審,信,信息,安,安全,方,方針,信息,安,安全,方,方針,應(yīng),應(yīng)該,做,做到,對(duì)信,息,息安,全,全加,以,以定,義,義,陳述,管,管理,層,層的,意,意圖,分派,責(zé),責(zé)任,約定,信,信息,安,安全,管,管理,的,的范,圍,圍,對(duì)特,定,定的,原,原則,、,、標(biāo),準(zhǔn),準(zhǔn)和,遵,遵守,要,要求,進(jìn),進(jìn)行,說(shuō),說(shuō)明,對(duì)報(bào),告,告可,疑,疑安,全,全事,件,件的,過,過程,進(jìn),進(jìn)行,說(shuō),說(shuō)明,定義,用,用以,維,維護(hù),策,策略,的,的復(fù),查,查過,程,程,,,,,,,,,,,,,,,,,,,,,,

23、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,29,具體,解,解釋,信息,安,安全,方,方針,是,是陳,述,述管,理,理者,的,的管,理,理意,圖,圖，,說(shuō),說(shuō)明,信,信息,安,安全,工,工作,目,目標(biāo),和,和原,則,則的,文,文件,信息,安,安全,方,方針,文,文件,的,的作,用,用是,說(shuō),說(shuō)明,業(yè),業(yè)務(wù),要,要求,和,和法,律,律法,規(guī),規(guī)對(duì),于,于信,息,息安,全,全的,要,要求,，,，為,安,安全,管,管理,工,工作,提,提供,

24、指,指導(dǎo),和,和支,持,持,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方針,應(yīng),應(yīng)當(dāng)說(shuō)明,以,以下,問,問題,：,：,本單,位,位信,息,息安,全,全的,整,整體,目,目標(biāo),、,、范,圍,圍以,及,及重,要,要性,；,；,信息,安,安全,工,工作,的,的基,本,本原,則,則；,風(fēng)險(xiǎn),評(píng),評(píng)估,和,和風(fēng),險(xiǎn),險(xiǎn)控,制,制措,施,施的,架,架構(gòu),；,；,需要,遵,遵守,的,的法,規(guī),規(guī)和,制,制度,；,；,信息,安,安全,責(zé),責(zé)任,分,分配,；,；,信息,系,系統(tǒng),用,用戶,和,和運(yùn),行,行維,護(hù),護(hù)人,員,員應(yīng),該,該遵,守,守的,規(guī),規(guī)則,30,關(guān)鍵,

25、點(diǎn),點(diǎn),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,主要,內(nèi),內(nèi)容,一,一般,包,包括,信,信息,安,安全,的,的整,體,體目,標(biāo),標(biāo)、,范,范圍,、,、原,則,則、,控,控制,措,措施,的,的框,架,架、,重,重要,安,安全,策,策略,和,和需,要,要遵,守,守的,各,各項(xiàng),規(guī),規(guī)定,等,等,信息,安,安全,方,方針,文,文件,應(yīng),應(yīng)由,高,高層,管,管理,者,者審,批,批后,，,，作,為,為正,式,式文,件,件發(fā),布,布，,并,并有,效,效傳,達(dá),達(dá)給,所,所有,員,員工,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息,安,安全,方,方針,不,不是

26、一成,不,不變,的,的，,要,要根,據(jù),據(jù)安,全,全環(huán),境,境的,變,變化,以,以及,執(zhí),執(zhí)行,過,過程,中,中發(fā),現(xiàn),現(xiàn)的,策,策略,本,本身,的,的問,題,題及,時(shí),時(shí)進(jìn),行,行更,新,新調(diào),整,整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,31,舉例,——,《XX,系統(tǒng),信,信息,安,安全,總,總體,策,策略,》,安全,方,方針,概,概述,XX,系統(tǒng),相,相關(guān),信,信息,和,和支,撐,撐系,統(tǒng),統(tǒng)、,程,程序,等,等，,不,不論,它,它們,以,以何,種,種形,式,式存,在,在，,均,均是,XX,系統(tǒng),的,的關(guān),鍵,鍵資,產(chǎn),產(chǎn),信息,的,的可,用,用性,、,、完,整

27、,整性,和,和保,密,密性,是,是信,息,息安,全,全的,基,基本,要,要素,，,，關(guān),系,系到,XX,機(jī)關(guān),的,的形,象,象和,業(yè),業(yè)務(wù),的,的持,續(xù),續(xù)運(yùn),行,行。,必須,保,保護(hù),這,這些,資,資產(chǎn),不,不受,威,威脅,侵,侵害,定義,和,和監(jiān),督,督執(zhí),行,行,XX,系統(tǒng),網(wǎng),網(wǎng)絡(luò),與,與信,息,息安,全,全總,體,體策,略,略是,XX,部門,的,的責(zé),任,任,32,舉例,——,《XX,系統(tǒng),信,信息,安,安全,總,總體,策,策略,》,安全,方,方針,概,概述,資產(chǎn),分,分類,和,和控,制,制,信息,分,分類,資產(chǎn),分,分類,：,：信,息,息資,產(chǎn),產(chǎn)，,包,包括,計(jì),計(jì)算,機(jī),機(jī)和,

28、網(wǎng),網(wǎng)絡(luò),，,，應(yīng),當(dāng),當(dāng)依,據(jù),據(jù)其,價(jià),價(jià)值,和,和敏,感,感性,以,以及,保,保密,性,性、,完,完整,性,性和,可,可用,性,性原,則,則進(jìn),行,行分,類,類。,信,信息,安,安全,主,主管,部,部門,應(yīng),應(yīng)當(dāng),根,根據(jù),各,各自,部,部門,的,的業(yè),務(wù),務(wù)特,點(diǎn),點(diǎn)制,定,定本,系,系統(tǒng),內(nèi),內(nèi)具,體,體的,資,資產(chǎn),分,分類,與,與分,級(jí),級(jí)方,法,法，,并,并根,據(jù),據(jù)分,級(jí),級(jí)和,分,分類,辦,辦法,制,制定,明,明晰,的,的資,產(chǎn),產(chǎn)清,單,單,敏感,信,信息,、,、關(guān),鍵,鍵信,息,息,資產(chǎn),的,的可,審,審計(jì),性,性,計(jì)算,機(jī),機(jī)和,網(wǎng),網(wǎng)絡(luò),的,的運(yùn),行,行管,理,理,

29、,,33,2.,信息,安,安全,組,組織,34,Why?,有沒,有,有遇,到,到過,這,這樣,的,的事,情,情？,案例,1,我是,一,一名,網(wǎng),網(wǎng)絡(luò),管,管理,員,員，,發(fā),發(fā)現(xiàn),最,最近,來(lái),來(lái)自,外,外部,的,的病,毒,毒攻,擊,擊很,猖,猖獗,，,，要,是,是有,15,萬(wàn)買,個(gè),個(gè)防,毒,毒墻,就,就解,決,決問,題,題了,，,，找,誰(shuí),誰(shuí)要,這,這筆,錢,錢，,誰(shuí),誰(shuí)來(lái),采,采購(gòu),？,？,案例,2,我是,一,一名,普,普通,工,工作,人,人員,，,，我,的,的內(nèi),網(wǎng),網(wǎng)計(jì),算,算機(jī),上,上不,了,了外,網(wǎng),網(wǎng)沒,辦,辦法,打,打補(bǔ),丁,丁，,我,我該,找,找誰(shuí),獲,獲得,幫,幫助,？,

30、？,,應(yīng)該有一,群,群人,，,，至,少,少包,括,括單,位,位領(lǐng),導(dǎo),導(dǎo)、,技,技術(shù),部,部門,和,和行,政,政部,門,門的人，組織在一,起,起，,專,專門,負(fù),負(fù)責(zé),信,信息,安,安全,的,的事,35,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,控制,目,目標(biāo),控制,目,目標(biāo),內(nèi)部,組,組織,在組,織,織內(nèi),部,部建,立,立信,息,息安,全,全框,架,架,外部,組,組織,識(shí)別,和,和控,制,制外,部,部合,作,作過程,中,中的,風(fēng),風(fēng)險(xiǎn)，保,證,證單,位,位信,息,息和信息,系,系統(tǒng),安,安全,性,性,,36,具體,解,解釋,為有,效,效實(shí),施,施信,息,息安,全,全管,

31、理,理，,保,保障,和,和實(shí),施,施系,統(tǒng),統(tǒng)的,信,信息,安,安全,，,，需,要,要建,立,立相,應(yīng),應(yīng)的,組,組織,架,架構(gòu),信息,安,安全,責(zé),責(zé)任,的,的重,要,要性,在一,個(gè),個(gè)機(jī),構(gòu),構(gòu)中,，,，安,全,全角,色,色與,責(zé),責(zé)任,的,的不,明,明確,是,是實(shí),施,施信,息,息安,全,全過,程,程中,的,的最,大,大障,礙,礙，,建,建立,安,安全,組,組織,與,與落,實(shí),實(shí)責(zé),任,任是,實(shí),實(shí)施,信,信息,安,安全,管,管理,的,的第,一,一步,37,控制,措,措施,——,內(nèi)部,組,組織,內(nèi)部,組,組織,目標(biāo),：,：在,組,組織,內(nèi),內(nèi)管,理,理信,息,息安,全,全,八個(gè)控,制,制

32、措,施,施,管理,層,層重,視,視,協(xié)調(diào),信,信息,安,安全,活,活動(dòng),分配,信,信息,安,安全,職,職責(zé),新設(shè),備,備和,系,系統(tǒng),授,授權(quán),保密,協(xié),協(xié)議,與政,府,府部,門,門的,聯(lián),聯(lián)系,與特,定,定組,織,織機(jī),構(gòu),構(gòu)的,聯(lián),聯(lián)系,信息,安,安全,的,的獨(dú),立,立評(píng),審,審,,,,,,38,關(guān)鍵,點(diǎn),點(diǎn),高層,管,管理,者,者參,與,與（,如,如本,單,單位,信,信息,化,化領(lǐng),導(dǎo),導(dǎo)小,組,組）,，,，負(fù),責(zé),責(zé)重,大,大決,策,策，,提,提供,資,資源,并,并對(duì),工,工作,方,方向,、,、職,責(zé),責(zé)分,配,配給,出,出清,晰,晰的,說(shuō),說(shuō)明,不僅,僅,僅由,信,信息,化,化技,術(shù)

33、,術(shù)部,門,門參,與,與，,與,與信,息,息安,全,全相,關(guān),關(guān)的,部,部門,（,（如,行,行政,、,、人,事,事、,安,安保,、,、采,購(gòu),購(gòu)、,外,外聯(lián),）,）都,應(yīng),應(yīng)參,與,與到,組,組織,體,體系,中,中各,司,司其,責(zé),責(zé)，,協(xié),協(xié)調(diào),配,配合,,39,1.,企業(yè),內(nèi),內(nèi)部,達(dá),達(dá)成,共,共識(shí),2.,組織,的,的安,全,全建,立,立責(zé),任,任分,工,工劃分,3.,避免,流,流于,形,形式,或,或作,假,假,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,內(nèi)部,組,組織,舉,舉例,40,,,,,信息安全領(lǐng)導(dǎo)小組,,,信息技術(shù)部門,,,,業(yè)務(wù)應(yīng)用部門,,,,安全保衛(wèi)部門

34、,,,,人事行政部門,,,,其他有關(guān)部門,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息安全,工,工作,和,和其,他,他工,作,作一樣,，,不是某個(gè)個(gè)人,、,某個(gè)部門就可,以,以完成的,。,。信息技,術(shù),術(shù)部門是,信,信息安全,組,組織中的,重,重要執(zhí)行,機(jī),機(jī)構(gòu)，但,不,不是全部,。,。,信息安全,領(lǐng),領(lǐng)導(dǎo)小組,信息安全,領(lǐng),領(lǐng)導(dǎo)小組,信息安全,領(lǐng),領(lǐng)導(dǎo)小組,是,是各級(jí)系,統(tǒng),統(tǒng)網(wǎng)絡(luò)與,信,信息安全,工,工作的最,高,高領(lǐng)導(dǎo)決,策,策機(jī)構(gòu),不隸屬于,任,任何部門,，,，直接對(duì),本,本單位最,高,高領(lǐng)導(dǎo)負(fù),責(zé),責(zé),是一個(gè)常,設(shè),設(shè)機(jī)構(gòu),領(lǐng)導(dǎo)小組,成,成員一般

35、,由,由各級(jí)系,統(tǒng),統(tǒng)的高層,領(lǐng),領(lǐng)導(dǎo)掛帥,，,，并結(jié)合,與,與信息安,全,全相關(guān)各,職,職能部門,的,的主要負(fù),責(zé),責(zé)人參加,41,領(lǐng)導(dǎo)小組,責(zé),責(zé)任,領(lǐng)導(dǎo)小組,責(zé),責(zé)任,落實(shí),XX,系統(tǒng)安全,建,建設(shè)的總,體,體規(guī)劃,制定本單,位,位安全規(guī),劃,劃并監(jiān)督,落,落實(shí),負(fù)責(zé)組織,細(xì),細(xì)化上級(jí),規(guī),規(guī)章制度,，,，制定相,應(yīng),應(yīng)程序指,南,南，并監(jiān),督,督落實(shí)規(guī),章,章制度,負(fù)責(zé)本單,位,位信息系,統(tǒng),統(tǒng)安全管,理,理層以上,的,的人員權(quán),限,限授予工,作,作,審閱本單,位,位信息安,全,全報(bào)告,組織重大,安,安全事故,查,查處與匯,報(bào),報(bào)工作,,42,責(zé)任劃分,信息技術(shù),部,部門,對(duì)信息系,統(tǒng)

36、,統(tǒng)及信息,系,系統(tǒng)安全,保,保障提供,技,技術(shù)決策,和,和技術(shù)支,持,持,業(yè)務(wù)應(yīng)用,部,部門,對(duì)信息系,統(tǒng),統(tǒng)的業(yè)務(wù),處,處理以及,業(yè),業(yè)務(wù)流程,的,的安全承,擔(dān),擔(dān)管理責(zé),任,任,安全保衛(wèi),部,部門,對(duì)場(chǎng)地以,及,及系統(tǒng)資,產(chǎn),產(chǎn)的防災(zāi),、,、防盜、,防,防破壞等,承,承擔(dān)管理,責(zé),責(zé)任,人事行政,部,部門,從人事、,行,行政上對(duì),信,信息安全,保,保障執(zhí)行,管,管理工作,其他有關(guān),部,部門,應(yīng)與上述,部,部門協(xié)作,，,，共同對(duì),信,信息系統(tǒng),的,的建設(shè)和,運(yùn),運(yùn)行維護(hù),承,承擔(dān)管理,責(zé),責(zé)任,,43,控制措施,——,外部各方,外部各方,目標(biāo)：保,持,持組織的,被,被外部各,方,方訪問、,

37、處,處理、管,理,理或與外,部,部進(jìn)行通,信,信的信息,和,和信息處,理,理設(shè)施的,安,安全,三個(gè)控制,措,措施,識(shí)別外部,各,各方風(fēng)險(xiǎn),處理與顧,客,客有關(guān)的,安,安全問題,處理第三,方,方協(xié)議中,的,的安全問,題,題,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,訪問風(fēng)險(xiǎn),：,：,1.,維護(hù)軟件,設(shè),設(shè)備的承,包,包商,2.,清潔、送,餐,餐人員,3.,外部咨詢,人,人員,44,關(guān)鍵點(diǎn),要注意充,分,分理由外,部,部資源，,與,與上級(jí)主,管,管單位、,國(guó),國(guó)家職能,部,部門、設(shè),備,備和基礎(chǔ),設(shè),設(shè)施提供,商,商、安全,服,服務(wù)商、,有,有關(guān)專家,保,保持良好,的

38、,的溝通和,合,合作關(guān)系,要注意外,來(lái),來(lái)風(fēng)險(xiǎn)，,如,如與第三,方,方機(jī)構(gòu)簽,訂,訂保密協(xié),議,議，監(jiān)督,和,和限制其,活,活動(dòng)等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,例如與電力部,門,門建立良,好,好的協(xié)作,關(guān),關(guān)系，停,電,電了，UPS的電,也,也要用光,了,了，電力,部,部門可以,開,開個(gè)發(fā)電,車,車來(lái)解決,關(guān),關(guān)鍵信息,系,系統(tǒng)臨時(shí),電,電力供應(yīng),45,3,、 資產(chǎn),管,管理,46,Why,？,那些曾經(jīng),發(fā),發(fā)生過的,事,事,案例,1,單位欲安,裝,裝一臺(tái)網(wǎng),絡(luò),絡(luò)防火墻,，,，卻發(fā)現(xiàn),沒,沒有人可,以,以說(shuō)清楚,當(dāng),當(dāng)前的真,實(shí),實(shí)網(wǎng)絡(luò)拓,撲,撲情況

39、，,也,也沒有人,能,能說(shuō)清楚,系,系統(tǒng)中有,哪,哪些服務(wù),器,器，這些,服,服務(wù)器運(yùn),行,行了哪些,應(yīng),應(yīng)用系統(tǒng),案例,2,單位信息,安,安全評(píng)估,，,，發(fā)現(xiàn)大,部,部分服務(wù),器,器安全狀,況,況良好，,只,只有一臺(tái),服,服務(wù)器存,在,在嚴(yán)重安,全,全漏洞。,研,研究整改,措,措施時(shí)，,發(fā),發(fā)現(xiàn)平時(shí),沒,沒有人對(duì),該,該服務(wù)器,的,的安全負(fù),責(zé),責(zé),47,資產(chǎn)管理,目,目標(biāo),目標(biāo),對(duì),資產(chǎn),負(fù)責(zé),——,實(shí)現(xiàn)并保,持,持組織資,產(chǎn),產(chǎn)的適當(dāng),保,保護(hù),信息分類,——,確保對(duì)信,息,息資產(chǎn)的,保,保護(hù)達(dá)到,恰,恰當(dāng)?shù)乃?平,平,包含的內(nèi)容,組織可以,根,根據(jù)業(yè)務(wù),運(yùn),運(yùn)作流程,和,和信息系,統(tǒng),

40、統(tǒng)拓?fù)浣Y(jié),構(gòu),構(gòu)來(lái)識(shí)別,信,信息資產(chǎn),按照信息,資,資產(chǎn)所屬,系,系統(tǒng)或所,在,在部門列,出,出資產(chǎn)清,單,單,所有的信,息,息資產(chǎn)都,應(yīng),應(yīng)該具有,指,指定的屬,主,主并且可,以,以被追溯,責(zé),責(zé)任,信息應(yīng)該,被,被分類，,以,以標(biāo)明其,需,需求、優(yōu),先,先級(jí)和保,護(hù),護(hù)程度,根據(jù)組織,采,采用的分,類,類方案，,為,為信息標(biāo),注,注和處理,定,定義一套,合,合適的程,序,序,,48,資產(chǎn)管理,信息安全,管,管理工作,的,的根本目,的,的是保護(hù),系,系統(tǒng)中的,資,資產(chǎn),資產(chǎn)包括,信息資產(chǎn)：業(yè)務(wù)數(shù)據(jù),、,、合同協(xié),議,議、科研,材,材料、操,作,作手冊(cè)、,系,系統(tǒng)配置,、,、審計(jì)記,錄,錄、制

41、度,流,流程等,軟件資產(chǎn),：,：應(yīng)用軟件,、,、系統(tǒng)軟,件,件、開發(fā)工具等,物理資產(chǎn),：,：計(jì)算機(jī),設(shè),設(shè)備、通,信,信設(shè)備、,存,存儲(chǔ)介質(zhì),等,等,服務(wù)：通,信,信服務(wù)、公用設(shè),施,施（供暖、照明、能源）等,人員：他,們,們的資格,、,、技能和,經(jīng),經(jīng)驗(yàn),無(wú)形資產(chǎn)：品,牌,牌、聲譽(yù)和,形,形象,49,資產(chǎn)管理,控,控制目標(biāo),控制目標(biāo),對(duì)資產(chǎn)負(fù),責(zé),責(zé),信息分類,,50,,控制措施,——,對(duì)資產(chǎn)負(fù),責(zé),責(zé),對(duì)資產(chǎn)負(fù),責(zé),責(zé),列出資產(chǎn),清,清單，明,確,確保護(hù)對(duì),象,象,準(zhǔn)確識(shí)別資產(chǎn)，編制清單,，,，形成文,件,件,括資產(chǎn)類型、位置、備份信息和業(yè)務(wù)價(jià)值,等,等內(nèi)容,為資產(chǎn)指定責(zé)任人，,明,明確安

42、全,負(fù),負(fù)責(zé),“,責(zé)任人,”,不一定是,指,指具有資,產(chǎn),產(chǎn)所有權(quán),的,的人，而,是,是指具有,控,控制生產(chǎn),、,、開發(fā)、,使,使用和保,護(hù),護(hù)資產(chǎn)權(quán),限,限的個(gè)人,或,或?qū)嶓w,確定資產(chǎn),的,的使用限,制,制條件,,,合法使用,,,51,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,資產(chǎn)管理,是,是信息安,全,全管理的,重,重要內(nèi)容,控制措施,——,信息分類,信息分類,分類指南,根據(jù)信息的價(jià),值,值、法律要求和對(duì)組織的敏,感,感程度和,關(guān),關(guān)鍵性進(jìn)行分類,信息標(biāo)記和處理,信息類別,標(biāo),標(biāo)記，,設(shè)置合適,的,的分類說(shuō)明,如表明文件,的,的密級(jí)、,存,存儲(chǔ)介質(zhì),分,分類的標(biāo),簽,

43、簽,規(guī)定重要,敏,敏感信息,的,的安全處,理,理、存儲(chǔ),、,、傳輸、,刪,刪除和銷,毀,毀的程序,,,52,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,對(duì)信息分類,是,是使信息,受,受到適當(dāng),級(jí),級(jí)別的保,護(hù),護(hù)，在處,理,理信息時(shí),指,指明保護(hù),的,的需求、,優(yōu),優(yōu)先級(jí)和,期,期望程度,關(guān)鍵點(diǎn),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,建議分類,方,方法不宜,復(fù),復(fù)雜，否,則,則容易造,成,成混亂,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,每種分類,應(yīng),應(yīng)唯一區(qū),別,別于其它,分,分類，同,時(shí),時(shí)不能有,任,任何重疊,,,,,,

44、,,,,,,,,,,,,,,,,,,,,,,,,,,,分類過程,還,還應(yīng)簡(jiǎn)單,說(shuō),說(shuō)明如何,在,在其生命,周,周期內(nèi)控,制,制并處理,53,舉例,——,商業(yè)公司,和,和軍事機(jī),構(gòu),構(gòu)信息分,類,類,組織,分類類別,定義,實(shí)例,商業(yè)公司,公共,即使泄漏不會(huì)給公司或個(gè)人造成不利影響,有多少人完成某個(gè)項(xiàng),,私有,可能給公司或個(gè)人帶來(lái)不利影響,人事資源信息,軍事機(jī)構(gòu),絕密,如果泄漏會(huì)給國(guó)家安全帶來(lái)毀滅性破壞,新型戰(zhàn)時(shí)武器設(shè)計(jì)圖,,秘密,給國(guó)家安全造成重大威脅,部隊(duì)分布及部署,,不保密,非保密信息,計(jì)算機(jī)通用學(xué)習(xí)手冊(cè),54,4.,人力資源,安,安全,55,Why?,那些曾經(jīng),發(fā),發(fā)生過的,事,事,案例一

45、,2010,年,3,月中旬，,匯,匯豐控股,發(fā),發(fā)布公告,，,，其旗下,匯,匯豐私人,銀,銀行,(,瑞士,),的一名,IT,員工，曾,于,于三年前,竊,竊取了銀,行,行客戶的,資,資料，失,竊,竊的資料,涉,涉及,1.5,萬(wàn)名于,2006,年,10,月前在瑞,士,士開戶的,現(xiàn),現(xiàn)有客戶,。,。有鑒于,此,此，匯豐,銀,銀行三年,來(lái),來(lái)共投放,1,億瑞士法,郎,郎，用來(lái),將,將,IT,系統(tǒng)升級(jí),并,并加強(qiáng)保,安,安,案例二,《,論語(yǔ),》,“吾恐季孫,之,之憂，不,在,在顓臾，而在蕭墻之,內(nèi),內(nèi)也”,蕭墻之禍比喻,災(zāi),災(zāi)禍、變,亂,亂由內(nèi)部,原,原因所致,56,人力資源,安,安全目標(biāo),目標(biāo),：,任

46、用,前,——,確保員工,、,、合同訪,和,和第三方,用,用戶了解,他,他們的責(zé),任,任并適合,于,于他們所,考,考慮的角,色,色，降低設(shè),施,施被竊、,欺,欺詐和誤,用,用的風(fēng)險(xiǎn),任用中,——,確保所有,的,的員工、,合,合同方和,第,第三方用,戶,戶了解信,息,息安全威,脅,脅和相關(guān),事,事宜、他,們,們的責(zé)任,和,和義務(wù)，,并,并在他們,的,的日常工,作,作中支持,組,組織的信,息,息安全方,針,針，減少,人,人為錯(cuò)誤,的,的風(fēng)險(xiǎn),任用終止,及,及變更,——,確保員工,、,、合同方,和,和第三方,用,用戶離開,組,組織或變,更,更雇傭關(guān),系,系時(shí)以一,種,種,規(guī)范,的方式進(jìn),行,行,,57

47、,控制措施,——,任用前,任用,（上崗）,前,前,明確人員,遵,遵守安全,規(guī),規(guī)章制度,、,、執(zhí)行特,定,定的信息,安,安全工作,、,、報(bào)告安,全,全事件或,潛,潛在風(fēng)險(xiǎn),的,的責(zé)任,對(duì)擔(dān)任敏,感,感和重要,崗,崗位的人,員,員要考察,其,其身份、,學(xué),學(xué)歷和技,術(shù),術(shù)背景、,工,工作履歷,和,和以往的,違,違法違規(guī),記,記錄,要在合,同,同或?qū)?門,門的協(xié),議,議中，,明,明確其,信,信息安,全,全職責(zé),58,控制措,施,施,——,任用中,任用,中,保證其,充,充分了,解,解所在,崗,崗位的,信,信息安,全,全角色,和,和職責(zé),有針對(duì),性,性地進(jìn),行,行信息,安,安全意,識(shí),識(shí)教育,和,和技

48、能,培,培訓(xùn),及時(shí)有,效,效的,紀(jì)律處,理,理（懲,戒,戒）,措施,,59,,控制措,施,施,——,任用終,止,止及變,更,更,離職人,員,員存在,的,的安全,隱,隱患,未刪除,的,的帳戶,未收回,的,的各種,權(quán),權(quán)限,VPN,、遠(yuǎn)程,主,主機(jī)、,企,企業(yè)郵,箱,箱和,VoIP,等應(yīng)用,其它隱,含,含信息,網(wǎng)絡(luò)機(jī),構(gòu),構(gòu)、規(guī),劃,劃，存,在,在的漏,洞,洞,同事的賬戶,、,、口令和,使,使用習(xí),慣,慣等,,60,,這些信,息,息和權(quán),限,限如果,被,被離職,的,的員工,和,和攻擊,者,者們惡,意,意利用,，,，很容,易,易導(dǎo)致,信,信息安全,事件,,,,,,,,,,,,,,,,,,,,,,,,

49、,,,,,,,,,控制措,施,施,——,任用終,止,止及變,更,更,以,規(guī)范的方式,退,退出單,位,位或改,變,變其任,用,用關(guān)系,終止職,責(zé),責(zé),通知相,關(guān),關(guān)人員,人,人事變,化,化，明,確,確離職,后,后仍需,遵,遵守的,責(zé),責(zé)任規(guī),定,定,歸還資,產(chǎn),產(chǎn),保證離,職,職人員,歸,歸還軟,件,件、電,腦,腦、存,儲(chǔ),儲(chǔ)設(shè)備,、,、文件,和,和其他,設(shè),設(shè)備,撤銷訪,問,問權(quán)限,撤銷用,戶,戶名、,門,門禁卡、,密鑰,、數(shù)字證,書,書等,,61,,舉例,——,任用中,安,安全管,理,理,員工缺,乏,乏基本,的,的安全,意,意識(shí)，,特,特別是,一,一些業(yè),務(wù),務(wù)人員,等,等，沒,有,有進(jìn)行,

50、統(tǒng),統(tǒng)一的,、,、系統(tǒng),的,的安全,培,培訓(xùn)和,學(xué),學(xué)習(xí)的機(jī)會(huì),由于員,工,工對(duì)發(fā),生,生安全,問,問題后,造,造成的,后,后果不,負(fù),負(fù)任何,責(zé),責(zé)任，,從,從而也,就,就不能,有,有效的,督,督促員,工,工提高,自,自己的,安,安全意,識(shí),識(shí)，最,終,終形成,惡,惡性循,環(huán),環(huán)、導(dǎo),致,致員工,不,不能嚴(yán),格,格遵循,公,公司的,安,安全管,理,理制度,個(gè)人電,腦,腦的密,碼,碼設(shè)置,為,為空或,者,者非常,脆,脆弱,系統(tǒng)默,認(rèn),認(rèn)安裝,，,，從不,進(jìn),進(jìn)行補(bǔ),丁,丁升級(jí),撥號(hào)上,網(wǎng),網(wǎng)，給,個(gè),個(gè)人以,及,及整個(gè),公,公司帶,來(lái),來(lái)后門,啟動(dòng)眾,多,多不用,的,的服務(wù),,62,,人員層次

51、不,同,同，流,動(dòng),動(dòng)性大,，,，安全,意,意識(shí)薄,弱,弱而產(chǎn),生,生病毒,泛,泛濫、,終,終端濫,用,用資源,、,、非授,權(quán),權(quán)訪問,、,、惡意,終,終端破,壞,壞、信,息,息泄露,等,等安全,事,事件不勝枚,舉,舉,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,5,、 物,理,理和環(huán),境,境安全,63,Why,？,那些曾,經(jīng),經(jīng)發(fā)生,過,過的事,案例,1,競(jìng)爭(zhēng)對(duì),手,手潛入,機(jī),機(jī)房，,直,直接用,移,移動(dòng)硬,盤,盤將服,務(wù),務(wù)器中,的,的重要,數(shù),數(shù)據(jù)拷,貝,貝走,案例,2,機(jī)房中,溫,溫度過,高,高，導(dǎo),致,致計(jì)算,機(jī),機(jī)無(wú)法,正,正常運(yùn),行,行，造,成,成業(yè)務(wù),中,

52、中斷，,全,全國(guó)性,服,服務(wù)停,止,止超過,1,天,64,物理和環(huán)境,安,安全目標(biāo),目標(biāo)：,安全區(qū)域,——,防止非授權(quán),訪,訪問、破壞,和,和干擾業(yè)務(wù),運(yùn),運(yùn)行的前提,條,條件及信息,設(shè)備安全,——,預(yù)防資產(chǎn)的,丟,丟失、損壞,或,或被盜，以,及,及對(duì)組織業(yè),務(wù),務(wù)活動(dòng)的干,擾,擾,包含的內(nèi)容,：,：,應(yīng)該建立帶,有,有物理入口,控,控制的安全,區(qū),區(qū)域,應(yīng)該配備物,理,理保護(hù)的硬,件,件設(shè)備,應(yīng)該防止網(wǎng),絡(luò),絡(luò)電纜被塔,線,線竊聽,將設(shè)備搬離,場(chǎng),場(chǎng)所，或者,準(zhǔn),準(zhǔn)備報(bào)廢時(shí),，,，應(yīng)考慮其,安,安全,,65,安全區(qū)域,-1,物理安全邊,界,界,建立安全邊,界,界，形成安,全,全區(qū)域,物理入口

53、控,制,制,必須弄清來(lái),訪,訪者的身份,，,，并將其進(jìn),入,入與離開安,全,全區(qū)域的日,期,期與時(shí)間記,錄,錄起來(lái),所有人員配,戴,戴識(shí)別證,66,安全區(qū)域,-2,房間和設(shè)施,的,的安全保護(hù),關(guān)鍵設(shè)施,要坐落在可,避,避免公眾訪,問,問的場(chǎng)地,保護(hù)標(biāo)識(shí)敏,感,感信息處理,設(shè),設(shè)施位置的,目,目錄和內(nèi)部,電,電話簿不被,公,公眾得到,外部和環(huán)境,威,威脅的安全防護(hù),設(shè)計(jì),物理保護(hù)措施,，防止火災(zāi)、洪水,、,、地震、爆,炸,炸、社會(huì)動(dòng),蕩,蕩和其他形,式,式自然或人,為,為災(zāi)難引起,的,的破壞,在合適的位,置,置提供滅火設(shè)備,加固設(shè)施，,防,防止,屋頂漏水或地下,室,室地板滲水,67,安全區(qū)域,-

54、3,安全區(qū)域工作,防護(hù),未使用的安,全,全區(qū)域，應(yīng)加鎖以限制訪問,并定期檢查,避免寫入,“,機(jī)房重地，,請(qǐng),請(qǐng)勿進(jìn)入,”,的字樣,應(yīng)限制授權(quán),，,，一般不允,許,許攜帶攝影,、,、視頻、聲,頻,頻或其他記,錄,錄設(shè)備進(jìn)入,公共訪問和,交,交接區(qū)安全,訪問點(diǎn)（例,如,如交接區(qū)）,和,和未授權(quán)人,員,員可進(jìn)入辦,公,公場(chǎng)所的地,點(diǎn),點(diǎn)應(yīng)加以控,制,制，避免未授權(quán)訪問,除交接區(qū)外,，,，交貨人員,無(wú),無(wú)需獲得對(duì)本建筑物,其,其他部分的訪問權(quán)就能卸下物資,當(dāng)內(nèi)部門打開時(shí)，交,接,接區(qū)的外部,門,門應(yīng)得到安,全,全保護(hù),68,,設(shè)備安全,-1,設(shè)備安置和,保,保護(hù),為不同設(shè)備,劃,劃分不同區(qū),域,域進(jìn)行

55、安置,和,和保護(hù)，盡,量,量限制對(duì)工,作,作區(qū)域不必,要,要的訪問,通過樓房建,筑,筑和機(jī)房裝,修,修要求，防,范,范偷竊、火,災(zāi),災(zāi)、爆炸、煙霧、塵埃、震動(dòng),、,、電源干擾,支持性設(shè)施,保護(hù)設(shè)備使,其,其免于由支,持,持性設(shè)施失,效,效引起故障,定期檢查并測(cè)試支持性設(shè)施,制定電源計(jì),劃,劃，如,多回路供電,、,、,UPS,、發(fā)電機(jī)等,保障（空調(diào),）,）用水,保障通信線,路,路,,,,69,設(shè)備安全,-2,布纜安全,保證傳輸數(shù),據(jù),據(jù)或支持信,息,息服務(wù)的電,源,源電纜和通,信,信電纜免受,竊,竊聽或損壞,電力線路應(yīng),與,與通訊線路,隔,隔離，以避,免,免相互干擾,設(shè)備維護(hù),正確維護(hù)單,位,位

56、設(shè)備，保,證,證其持續(xù)的,可,可用性和完整性,按照推薦的,服,服務(wù)間隔與,規(guī),規(guī)范，對(duì)設(shè),備,備進(jìn)行維護(hù),只有已授權(quán),的,的維護(hù)人員,才,才能修理設(shè)備,刪除敏感信,息,息或保證維,護(hù),護(hù)人員可靠,性,性,70,設(shè)備安全,-3,組織場(chǎng)所外,的,的設(shè)備安全,在單位場(chǎng)所,外,外使用信息處,理,理設(shè)備,，必須經(jīng)過授權(quán),離開辦公場(chǎng),所,所的設(shè)備要,有,有合理的保,護(hù),護(hù)措施,設(shè)備的安全,處,處置和再利,用,用,對(duì)于儲(chǔ)存敏,感,感信息的儲(chǔ),存,存設(shè)備，必,須,須銷毀或是,重,重寫重灌數(shù),據(jù),據(jù)資料，不,可,可以只使用,簡(jiǎn),簡(jiǎn)單的刪除,功,功能。,資產(chǎn)的移動(dòng),設(shè)備、信息,或,或軟件應(yīng)根,據(jù),據(jù)授權(quán)確定,是,

57、是否允許帶,出,出單位場(chǎng)所,，,，并進(jìn)行控,制,制和記錄,設(shè)置設(shè)備允許離開的時(shí)間,，并作,符合性檢查,和,和記錄,71,舉例,1,——,訪問控制措,施,施,卡訪問控制,或,或生物特征,系,系統(tǒng),磁卡、非接,觸,觸卡等,指紋、視網(wǎng),膜,膜掃描、簽,名,名、聲音識(shí),別,別、手形等,等,等,,72,舉例,2,——,物理監(jiān)控措,施,施,周邊入侵檢,測(cè),測(cè)系統(tǒng),用來(lái)探測(cè)未,經(jīng),經(jīng)授權(quán)而進(jìn),入,入的人，并,發(fā),發(fā)出警報(bào),現(xiàn)在最常用,的,的入侵監(jiān)測(cè),系,系統(tǒng)是機(jī)電式的，能夠探,測(cè),測(cè)到電路的,變,變化或斷路,，,，例如：窗,戶,戶貼，繃緊,線,線等,一個(gè)常被忽,略,略的脆弱點(diǎn),——,報(bào)警系統(tǒng),監(jiān)控系統(tǒng),使用

58、照相機(jī)通過傳輸媒介將圖片傳送,到,到連接的顯示器的電視傳輸,系,系統(tǒng),與廣播電視,是,是不同的，,監(jiān),監(jiān)控系統(tǒng)的,信,信號(hào)不是公,開,開傳輸?shù)?,,73,6,、通信和操,作,作管理,74,通信和操作,管,管理,信息系統(tǒng)日,常,常運(yùn)行安全,是,是信息安全,管,管理的主要,組,組成部分,為減少人為,疏,疏忽或故意,誤,誤用信息系,統(tǒng),統(tǒng)的幾率和,風(fēng),風(fēng)險(xiǎn)，使信,息,息系統(tǒng)在運(yùn),行,行過程中的,安,安全性得到,保,保證，應(yīng)當(dāng),確,確立信息處,理,理設(shè)施的管,理,理和操作責(zé),任,任及程序,,75,,Why,？,案例,案例,1,2007,年,8,月,30,日，美國(guó)空,軍,軍一架,B-52,戰(zhàn)略轟炸機(jī),誤

59、,誤裝,6,枚核彈后，,從,從北部的北,達(dá),達(dá)科他州實(shí)彈飛往南部的路易,斯,斯安那州,案例,2,數(shù)據(jù)庫(kù)管理,員,員由于疏忽,進(jìn),進(jìn)行了誤操,作,作,,,將重要的信,息,息刪除了,案例,3,涉密計(jì)算機(jī),出,出現(xiàn)故障硬,盤,盤數(shù)據(jù)丟失,，,，使用人員,將,將硬盤拿到,社,社會(huì)上的數(shù),據(jù),據(jù)恢復(fù)公司,進(jìn),進(jìn)行恢復(fù)，,造,造成秘密泄,露,露,76,通信和操作,管,管理目標(biāo)（,1,）,目標(biāo),：,操作程序和,責(zé),責(zé)任,——,確保正確、,安,安全的操作,信,信息處理設(shè),施,施,第三方服務(wù),交,交付管理,——,核查協(xié)議實(shí),施,施,，確保第三,方,方交付的服,務(wù),務(wù)符合要求,系統(tǒng)規(guī)劃與,驗(yàn),驗(yàn)收,——,減少系統(tǒng)

60、失,效,效帶來(lái)的風(fēng),險(xiǎn),險(xiǎn),防范惡意代,碼,碼和移動(dòng)代,碼,碼,——,保護(hù)軟件和,信,信息的完整,性,性,備份,——,保持信息和,信,信息處理設(shè),施,施的完整性,和,和可用性,,,77,通信和操作,管,管理目標(biāo)（,2,）,目標(biāo),：,網(wǎng)絡(luò)安全管,理,理,——,確保對(duì)網(wǎng)絡(luò),中,中信息和支,持,持性基礎(chǔ)設(shè),施,施的安全保,護(hù),護(hù),介質(zhì)處置,——,防止對(duì)資產(chǎn),的,的未授權(quán)泄,漏,漏、修改、,移,移動(dòng)或損壞,，,，及對(duì)業(yè)務(wù),活,活動(dòng)的干擾,信息的交換,——,應(yīng)保持組織,內(nèi),內(nèi)部或組織,與,與外部組織,之,之間交換信,息,息和軟件的,安,安全,電子商務(wù)服,務(wù),務(wù),——,確保電子商,務(wù),務(wù)的安全,及其,安全

61、使用,監(jiān)視,——,檢測(cè)未經(jīng)授,權(quán),權(quán)的信息處,理,理活動(dòng),，記錄信息,安,安全事態(tài),78,舉例,介質(zhì)的處置,要建立安全,處,處置介質(zhì)的,正,正式規(guī)程,不再需要的,介,介質(zhì)，要可,靠,靠并安全地,處,處置,物理破壞、,安,安全刪除,79,,7,、訪問控制,80,Why?,案例,1,：飛機(jī)登機(jī),，,，旅客的身,份,份證號(hào)區(qū)別,了,了不同的人,，,，身份證證,明,明確實(shí)是這,名,名旅客來(lái)乘,機(jī),機(jī)，安檢人,員,員察看身份,證,證和登機(jī)牌,，,，掃描違禁,物,物品后允許,乘,乘客登上機(jī),票,票中規(guī)定的,航,航班,,案例,2,：登錄網(wǎng)站,，,，用戶,ID,區(qū)別了不同,的,的用戶，輸,入,入登錄密碼,確,

62、確定是這位,用,用戶，網(wǎng)絡(luò),防,防火墻和服,務(wù),務(wù)器的權(quán)限,管,管理系統(tǒng)允,許,許用戶使用,網(wǎng),網(wǎng)站中可以,使,使用的功能,81,訪問控制,訪問控制是防止,對(duì),對(duì)資源的未,授,授權(quán)訪問，,保,保證資源在,授,授權(quán)范圍內(nèi)使用,訪問控制是對(duì)主,體,體訪問客體,權(quán),權(quán)限或能力,的,的一種限制,，,，可從物理,層,層、主機(jī)層,、,、網(wǎng)絡(luò)層以,及,及應(yīng)用層設(shè),置,置多種控制手段,來(lái)達(dá)到目標(biāo),82,,控制目標(biāo),業(yè)務(wù)需求,——,控制對(duì)信息,的,的訪問,用戶訪問管,理,理,——,確保授權(quán)用,戶,戶的訪問，防止非授權(quán)訪問,用戶職責(zé),——,防止未授權(quán)用戶的訪問、損害,或,或竊取,網(wǎng)絡(luò)訪問控,制,制,——,防止對(duì)網(wǎng)

63、絡(luò),服,服務(wù)未經(jīng)授,權(quán),權(quán)的訪問,操作系統(tǒng)訪,問,問控制,——,防止對(duì)操作,系,系統(tǒng)的未授,權(quán),權(quán)訪問,應(yīng)用與信息,訪,訪問控制,——,防止對(duì)應(yīng)用,系,系統(tǒng)中信息,的,的未授權(quán)訪問,移動(dòng)計(jì)算和,遠(yuǎn),遠(yuǎn)程工作,——,確保在使用,移,移動(dòng)計(jì)算和,遠(yuǎn),遠(yuǎn)程工作設(shè),施,施時(shí)信息的,安,安全,83,,舉例,系統(tǒng)和應(yīng)用,程,程序,在登錄未成,功,功前，不顯,示,示系統(tǒng)的相,關(guān),關(guān)信息，以,免,免為非法用,戶,戶提供方便,登錄出錯(cuò)時(shí),，,，系統(tǒng)不應(yīng),該,該說(shuō)明哪一,部,部份數(shù)據(jù)正,確,確、哪一部,份,份數(shù)據(jù)出錯(cuò),84,8,、信息系統(tǒng),獲,獲取、開發(fā),和,和維護(hù),85,信息系統(tǒng)獲,取,取、開發(fā)和,維,維護(hù),目

64、的,通過科學(xué)嚴(yán),謹(jǐn),謹(jǐn)?shù)能浖_,發(fā),發(fā)方法，減,少,少自開發(fā)軟,件,件的漏洞，加強(qiáng)運(yùn)行,維,維護(hù),及時(shí)發(fā)現(xiàn)系統(tǒng)的,安,安全脆弱點(diǎn),防止硬件故障可能使,信,信息系統(tǒng)無(wú),法,法正常運(yùn)行,防止因設(shè)備供應(yīng)商的服,務(wù),務(wù)能力不足而導(dǎo)致,使,使安全事件應(yīng),急,急響應(yīng)不及,時(shí),時(shí),86,,控制目標(biāo),信息系統(tǒng)安全要求,確保安全是,信,信息系統(tǒng)的,有,有機(jī)組成部,分,分,應(yīng)用,中的正確,處理,確保信息不,被,被遺失、未,授,授權(quán)的修改,或,或誤用,使用密碼技術(shù),保護(hù)信息的,保,保密性、真,實(shí),實(shí)性或完整,性,性,保護(hù)系統(tǒng)文件和源代碼,控制文件和源代,碼,碼使用，確保,系,系統(tǒng)安全,建立變更控制規(guī)程,控制項(xiàng)目和,

65、支,支持環(huán)境，,維,維護(hù)軟件信,息,息安全,技術(shù)脆弱性,管,管理,降低利用已,公,公布脆弱性,帶,帶來(lái)的風(fēng)險(xiǎn),87,,9,、信息安全,事,事件管理,88,信息安全事,件,件管理,目的,及時(shí)發(fā)現(xiàn)安,全,全事件，并,在,在發(fā)生安全,事,事件時(shí)執(zhí)行,預(yù),預(yù)先設(shè)定的,處,處置流程，阻止和減,小,小安全事件,帶,帶來(lái)的影響,在事件處理完,成,成后通過分,析,析總結(jié)，評(píng),估,估單位信息,安,安全工作的,薄,薄弱環(huán)節(jié)，,并,并提出改進(jìn),建,建議,,89,,控制目標(biāo),報(bào)告安全,事態(tài)和弱點(diǎn),有正式報(bào)告,規(guī),規(guī)程和流程,確保與信息,系,系統(tǒng)有關(guān)的,信,信息安全事,態(tài),態(tài)和弱點(diǎn)能,及,及時(shí)上報(bào)和,傳,傳達(dá),安全事件

66、,和改進(jìn)的管,理,理,建立管理職,責(zé),責(zé)和規(guī)程，,確,確保快速、,有,有效和有序,地,地響應(yīng)信息,安,安全事件,建立量化和,監(jiān),監(jiān)視信息安,全,全事件的類,型,型、數(shù)量和,代,代價(jià)的機(jī)制,收集和保留,證,證據(jù)，確保,符,符合法律要,求,求,,90,,10,、業(yè)務(wù)連續(xù),性,性管理,91,業(yè)務(wù)連續(xù)性,管,管理,目的,業(yè)務(wù)連續(xù)性,管,管理是通過,制,制定和實(shí)施,一,一系列事先,的,的策略和規(guī),劃,劃，確保單,位,位在面臨突,發(fā),發(fā)的災(zāi)難事,件,件時(shí)，關(guān)鍵,業(yè),業(yè)務(wù)功能能,持,持續(xù)運(yùn)作、,有,有效的發(fā)揮,作,作用，以保,證,證業(yè)務(wù)的正,常,常和連續(xù),防止業(yè)務(wù)活,動(dòng),動(dòng)中斷，保,證,證重要業(yè)務(wù),流,流程不受重,大,大故障與災(zāi),難,難的影響,92,,控制措施,確保把業(yè)務(wù),連,連續(xù)性的管,理,理包含在組,織,織的過程和,結(jié),結(jié)構(gòu)中，滿,足,足組織的信,息,息安全需求,執(zhí)行風(fēng)險(xiǎn)評(píng),估,估，識(shí)別引,起,起業(yè)務(wù)過程,中,中斷的因素,、,、發(fā)生的概,率,率和影響，,以,以及造成的,后,后果,制定業(yè)務(wù)連,續(xù),續(xù)性計(jì)劃，,滿,滿足業(yè)務(wù)中,斷,斷或失敗后,能,能夠在要求,的,的水平和時(shí),間,間內(nèi)確保信,息,息的可