信息安全體系 27001概述課件

信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統(tǒng)固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術(shù)平臺(tái)（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性與脆弱性行動(dòng)的遠(yuǎn)程化使安全管理面臨挑戰(zhàn)信息具有的重要價(jià)值信息社會(huì)對(duì)信息高度依賴，信息的風(fēng)險(xiǎn)加大信息的高附加值會(huì)引發(fā)盜竊、濫用等威脅信息安全面臨的風(fēng)險(xiǎn)企業(yè)對(duì)信息的依賴程度：美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出，企業(yè)在沒(méi)有信息資料可用的情況下，金融業(yè)至多只能運(yùn)行2天，商業(yè)則為3.3天，工業(yè)則為5天，保險(xiǎn)業(yè)為5.6天。而以經(jīng)濟(jì)情況來(lái)看，有25%的企業(yè)，因?yàn)榈臍p可能立即破產(chǎn)，40%會(huì)在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在5年后能夠繼續(xù)存活。信息系統(tǒng)固有的脆弱性信息安全面臨的風(fēng)險(xiǎn)企業(yè)對(duì)信息的依賴程度：硬件架構(gòu)：系統(tǒng)與設(shè)備數(shù)量越來(lái)越多系統(tǒng)互連關(guān)系越來(lái)越繁雜軟件架構(gòu)：統(tǒng)架構(gòu)越來(lái)越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理：規(guī)劃期缺乏安全評(píng)審建設(shè)與工程割接缺乏安全管理遺留策略與帳號(hào)形成安全漏洞程序開發(fā)：開發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查，可能留下后門1.系統(tǒng)數(shù)量眾多，硬件架構(gòu)多樣，系統(tǒng)間交互與接口繁多，相互關(guān)系復(fù)雜；2.系統(tǒng)軟件架構(gòu)復(fù)雜，網(wǎng)絡(luò)連接與劃分較混亂，互聯(lián)網(wǎng)接口抗攻擊性較弱；3.系統(tǒng)規(guī)劃期缺乏安全評(píng)審，工程割接缺少安全管理，工程遺留策略與帳號(hào)易形成安全漏洞；4.程序開發(fā)階段缺乏監(jiān)管，程序源代碼缺乏安全檢查，可能留下后門或被攻擊。硬件架構(gòu)：軟件架構(gòu)：工程管理：程序開發(fā)：1.系統(tǒng)數(shù)量眾多，硬常見的信息安全問(wèn)題常見的信息安全問(wèn)題常見的信息安全問(wèn)題常見的信息安全問(wèn)題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時(shí)間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽(yù)受到的影響商業(yè)機(jī)會(huì)的損失對(duì)生產(chǎn)率的破壞$10,000$60,000－$530,000信息安全損失的“冰山”理論$10,000$60,000－$5保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?8保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)信息安全管理體系強(qiáng)我國(guó)當(dāng)前信息安全普遍存在的問(wèn)題忽略了信息化的治理機(jī)制與控制體系的建立，和信息化“游戲規(guī)則”的建立；廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走；安全只重視邊界安全，沒(méi)有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問(wèn)題；重視安全技術(shù)，輕視安全管理，信息安全可靠性沒(méi)有保證；信息安全建設(shè)缺乏績(jī)效評(píng)估機(jī)制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊(duì)員”

…

我國(guó)當(dāng)前信息安全普遍存在的問(wèn)題如何實(shí)現(xiàn)信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測(cè)系統(tǒng)？管理制度？人的因素？環(huán)境因素？Ernst&Young及國(guó)內(nèi)安全機(jī)構(gòu)的分析：國(guó)家政府和軍隊(duì)信息受到的攻擊70%來(lái)自外部，銀行和企業(yè)信息受到的攻擊70%來(lái)自于內(nèi)部。75%的被調(diào)查者認(rèn)為員工對(duì)信息安全策略和程序的不夠了解是實(shí)現(xiàn)信息安全的障礙之一,只有35%的組織有持續(xù)的安全意識(shí)教育與培訓(xùn)計(jì)劃66%的組織認(rèn)為信息系統(tǒng)沒(méi)有遵守必要的信息安全規(guī)則56%的組織認(rèn)為在信息安全的投入上不足，60%從不計(jì)算信息安全的ROI，83%的組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個(gè)系統(tǒng)安全工作中,管理(包括管理和法律法規(guī)方面)所占比重應(yīng)該達(dá)到70%,而技術(shù)(包括技術(shù)和實(shí)體)應(yīng)占30%。保護(hù)信息安全的方法如何實(shí)現(xiàn)信息安全？在整個(gè)系統(tǒng)安全工作中,管理(包括管理和建立完善的信息安全體系對(duì)信息安全建立系統(tǒng)工程的觀念用管理、技術(shù)、人員、流程來(lái)保證組織的信息安全信息安全遵循木桶原理對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架并要時(shí)時(shí)兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅。需要對(duì)信息安全進(jìn)行有效管理建立完善的信息安全體系需要對(duì)信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統(tǒng)一的安全體系，指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門戶網(wǎng)站防火墻升級(jí)信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項(xiàng)目RSA令牌擴(kuò)容項(xiàng)目應(yīng)用漏洞掃描工具項(xiàng)目系統(tǒng)漏洞掃描工具網(wǎng)站頁(yè)面防篡改項(xiàng)目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險(xiǎn)反饋以防為主：自上而下的策略管理堅(jiān)持“以防為主，防治結(jié)合”的安全工作措施，形成成熟的、立體的信息安全運(yùn)行管控體系。以防為主，即以完善的安全策略為指導(dǎo)，使安全策略能自上而下得到落實(shí)；防治結(jié)合，即以風(fēng)險(xiǎn)管理為核心，使風(fēng)險(xiǎn)能自下而上得到反饋和整治。總體思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險(xiǎn)反饋以防初級(jí)沒(méi)有形成體系，只有零散的安全技術(shù)措施沒(méi)有專職安全管理員中級(jí)嘗試構(gòu)建安全體系框架，具備較多的安全技術(shù)措施，開始有意識(shí)朝著有體系的安全建設(shè)發(fā)展。安全管理員工作繁重，既要處理現(xiàn)有問(wèn)題，還要準(zhǔn)備未來(lái)建設(shè)。高級(jí)在正確的安全體系框架指導(dǎo)下建設(shè)多年，形成了完備的安全技術(shù)和管理措施。安全管理員的工作主要是對(duì)各種管控規(guī)則進(jìn)行微調(diào)，關(guān)注最新安全發(fā)展動(dòng)態(tài)，考核獎(jiǎng)懲通報(bào)等。安全管理的幾個(gè)階段當(dāng)前目標(biāo)初級(jí)中級(jí)高級(jí)安全管理的幾個(gè)階段當(dāng)前目標(biāo)信息安全體系的內(nèi)容信息安全體系的內(nèi)容業(yè)務(wù)與策略根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導(dǎo)對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。確定并實(shí)施信息安全策略是組織的一項(xiàng)重要使命，也是組織進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)?！氨Ｗo(hù)業(yè)務(wù)，為業(yè)務(wù)創(chuàng)造價(jià)值”應(yīng)當(dāng)是一切安全工作的出發(fā)點(diǎn)與歸宿，最有效的方式不是從現(xiàn)有的工作方式開始應(yīng)用信息安全技術(shù)，而是在針對(duì)工作任務(wù)與工作流程重新設(shè)計(jì)信息系統(tǒng)時(shí)，發(fā)揮信息安全技術(shù)手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。從國(guó)家的角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。信息安全體系的關(guān)注點(diǎn)業(yè)務(wù)與策略信息安全體系的關(guān)注點(diǎn)技術(shù)與產(chǎn)品可以綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全考慮安全的成本與效益，采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機(jī)制是實(shí)施信息安全的基礎(chǔ)與重要保證。在風(fēng)險(xiǎn)分析的基本上引入恰當(dāng)控制，建立PDCA的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變，需要建立完整的控制體系來(lái)保證安全的持續(xù)完善。技術(shù)與產(chǎn)品信息安全體系的建立流程信息安全體系的建立流程審視業(yè)務(wù)，確定IT原則和信息安全方針在進(jìn)行信息安全規(guī)劃與實(shí)施安全控制措施前，首先要充分了解組織的業(yè)務(wù)目標(biāo)和IT目標(biāo)，建立IT原則，這是實(shí)施建立有效的信息安全保障體系的前提。組織的業(yè)務(wù)目標(biāo)和IT原則將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展的需要出發(fā)，確定適宜的IT原則，才能指導(dǎo)信息安全方針的制定。信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。在安全方針的指導(dǎo)下，通過(guò)了解組織業(yè)務(wù)所處的環(huán)境，對(duì)IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定出適宜的安全控制措施、安全策略程序及安全投資計(jì)劃。確定IT原則與安全方針審視業(yè)務(wù)，確定IT原則和信息安全方針確定IT原則與安全方針進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的常用方法目前國(guó)內(nèi)ISMS風(fēng)險(xiǎn)評(píng)估的方法主要參照ISO13335的有關(guān)定義及國(guó)信辦9號(hào)文件《信息安全風(fēng)險(xiǎn)評(píng)估指南》，這些標(biāo)準(zhǔn)把重點(diǎn)放在信息資產(chǎn)上。缺點(diǎn)：風(fēng)險(xiǎn)評(píng)估人員一般最容易找到的資產(chǎn)無(wú)非就是硬件類、軟件類的資產(chǎn)，而對(duì)安全來(lái)說(shuō)至關(guān)重要的IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問(wèn)題，由于不能方便地定義為信息資產(chǎn)，而往往被視而不見。因此，風(fēng)險(xiǎn)評(píng)估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的常用方法完備的風(fēng)險(xiǎn)評(píng)估方法信息安全涉及的內(nèi)容決不僅僅是信息安全、技術(shù)安全的問(wèn)題，它還會(huì)涉及到治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。通過(guò)“現(xiàn)狀調(diào)查”獲得對(duì)組織信息安全現(xiàn)狀和控制措施的基本了解；通過(guò)“基線風(fēng)險(xiǎn)評(píng)估”了解組織與具體的信息安全標(biāo)準(zhǔn)的差距，得到粗粒度的安全評(píng)價(jià)。通過(guò)“資產(chǎn)風(fēng)險(xiǎn)評(píng)估”和“流程風(fēng)險(xiǎn)評(píng)估”進(jìn)行詳細(xì)風(fēng)險(xiǎn)評(píng)估，根據(jù)三方面的評(píng)估得到最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。完備的風(fēng)險(xiǎn)評(píng)估方法現(xiàn)狀調(diào)查的主要內(nèi)容文檔收集與分析組織的基本信息、組織結(jié)構(gòu)圖組織人員名單、機(jī)構(gòu)設(shè)置、崗位職責(zé)說(shuō)明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)的政策、制度和規(guī)范現(xiàn)場(chǎng)訪談安排與相關(guān)人員的面談對(duì)員工工作現(xiàn)場(chǎng)的觀察加強(qiáng)項(xiàng)目組對(duì)企業(yè)文化的感知現(xiàn)狀調(diào)查的主要內(nèi)容技術(shù)評(píng)估工具掃描、滲透測(cè)試1

2

3人工分析系統(tǒng)安全配置完全檢測(cè)、網(wǎng)絡(luò)服務(wù)安全配置完全檢測(cè)包括用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全問(wèn)卷調(diào)研安全日常運(yùn)維現(xiàn)狀調(diào)研問(wèn)卷：針對(duì)組織中實(shí)際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護(hù)、系統(tǒng)審計(jì)、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實(shí)狀況。從安全日常運(yùn)維角度出發(fā)，更貼近實(shí)際運(yùn)維環(huán)境。技術(shù)評(píng)估問(wèn)卷調(diào)研基線風(fēng)險(xiǎn)評(píng)估所謂基線風(fēng)險(xiǎn)評(píng)估，就是確定一個(gè)信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個(gè)方面來(lái)確定一個(gè)基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析，這樣才能在兼顧信息安全風(fēng)險(xiǎn)的方方面面的同時(shí)，對(duì)重點(diǎn)信息安全風(fēng)險(xiǎn)進(jìn)行管理與控制。ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動(dòng)、實(shí)施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險(xiǎn)評(píng)估時(shí)，可以把ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對(duì)，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會(huì)有遺漏基線風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估針對(duì)重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計(jì)對(duì)業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽?duì)風(fēng)險(xiǎn)進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)估確定風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)評(píng)估過(guò)程脆弱性評(píng)估安全控制措施的識(shí)別與選擇降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理過(guò)程接受風(fēng)險(xiǎn)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)估確定風(fēng)險(xiǎn)水IT流程風(fēng)險(xiǎn)評(píng)估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。沒(méi)有可靠的IT流程的保證，靜態(tài)的安全是不可靠的，而且IT的風(fēng)險(xiǎn)也不僅僅是信息安全的問(wèn)題，IT的效率與效果也同樣是需要考慮的問(wèn)題，因此評(píng)估IT流程的績(jī)效特性并加以完善是風(fēng)險(xiǎn)控制中必不可少的內(nèi)容。IT流程風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)控制策略信息安全控制規(guī)劃確定風(fēng)險(xiǎn)控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開發(fā)與維護(hù)的安全系統(tǒng)開發(fā)與維護(hù)控制對(duì)業(yè)務(wù)信息的訪問(wèn)。訪問(wèn)控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運(yùn)營(yíng)管理防止對(duì)關(guān)于IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險(xiǎn)。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個(gè)域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施選擇安全控制措施防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性進(jìn)行安全控制規(guī)劃安全規(guī)劃針對(duì)組織面臨的主要安全風(fēng)險(xiǎn)，在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡的規(guī)劃。安全規(guī)劃對(duì)組織未來(lái)幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運(yùn)行等方面的安全，進(jìn)行設(shè)計(jì)、改進(jìn)和加強(qiáng)，是進(jìn)行安全建設(shè)的總體指導(dǎo)。序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運(yùn)行管理5物理安全管理6網(wǎng)絡(luò)訪問(wèn)控制7認(rèn)證與授權(quán)8監(jiān)控與審計(jì)9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法進(jìn)行安全控制規(guī)劃序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜安全預(yù)算計(jì)劃所以安全預(yù)算計(jì)劃是一項(xiàng)具有挑戰(zhàn)性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。一般來(lái)說(shuō)，沒(méi)有特別的需要，為信息安全的投入不應(yīng)超過(guò)信息化建設(shè)總投資額的20%，過(guò)高的安全成本將使安全失去意義。

投資回報(bào)計(jì)劃信息安全投資回報(bào)計(jì)劃就是要研究信息安全的成本效益，其成本效益組成如下：從系統(tǒng)生命周期看信息安全的成本：獲取成本和運(yùn)行成本從安全防護(hù)手段看信息安全的成本：技術(shù)成本和管理成本信息安全的價(jià)值效益：減少信息安全事故的經(jīng)濟(jì)損失信息安全的非價(jià)值效益：增加聲譽(yù)、提升品牌價(jià)值安全預(yù)算計(jì)劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織，明確角色與責(zé)任

安全角色與責(zé)任的不明確是實(shí)施信息安全過(guò)程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步。信息安全領(lǐng)導(dǎo)小組信息安全主管為核心的、專業(yè)的信息安全管理的隊(duì)伍把相應(yīng)的安全責(zé)任落實(shí)到每一個(gè)員工身上建立跨部門的信息安全委員會(huì)良好的治理結(jié)構(gòu)要求主體單位的IT決策必須由最了解組織整體目標(biāo)與價(jià)值的權(quán)威部門來(lái)決定。得到組織最高管理層的支持得到高層管理人員的認(rèn)同和承諾有兩個(gè)作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；二是可以得到有效的資源保證，比如實(shí)施有效安全過(guò)程的必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。建立信息安全組織，明確角色與責(zé)任安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)航；管理層工作小組為業(yè)務(wù)安全工作的協(xié)調(diào)管理機(jī)構(gòu)，為業(yè)務(wù)安全工作提供支持監(jiān)督；管理層監(jiān)督審計(jì)工作組，定期監(jiān)督審核工作小組和執(zhí)行小組對(duì)信息安全政策的執(zhí)行情況，并且向領(lǐng)導(dǎo)小組進(jìn)行匯報(bào)；執(zhí)行層面業(yè)務(wù)安全保障工作組是業(yè)務(wù)安全政策的執(zhí)行落地和相關(guān)安全流程手冊(cè)文檔的參與制定和維護(hù)，并且接受工作小組的管理指導(dǎo)和安全審計(jì)機(jī)構(gòu)的監(jiān)督審核；安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)信息安全體系的內(nèi)容組織體系：整個(gè)公司層面的安全管理組織，要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則信息安全體系的內(nèi)容組織體系：整個(gè)公司層面的安全管理組織，要從制定信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲(chǔ)存信息的各個(gè)方面，并符合對(duì)信息系統(tǒng)安全的要求。信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個(gè)員工所理解和執(zhí)行，這是實(shí)施信息安全的重要環(huán)節(jié)。人力資源政策因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強(qiáng)對(duì)“人”的管理，對(duì)潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務(wù)資源管理人員密切合作，協(xié)同作戰(zhàn)，才能實(shí)現(xiàn)信息安全中對(duì)“人”的有效管理。制定信息系統(tǒng)安全政策實(shí)施安全教育計(jì)劃要制定各種不同范圍、不同層次的安全教育計(jì)劃。完備的安全教育計(jì)劃可以提高員工的安全意識(shí)與技能，改變他們對(duì)待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計(jì)劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來(lái)的后果，使員工切身感覺(jué)到安全事件與自己息息相關(guān)。實(shí)施安全教育計(jì)劃營(yíng)造組織信息安全文化信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識(shí)和價(jià)值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動(dòng)，實(shí)現(xiàn)組織信息安全目標(biāo)。人的這種對(duì)安全價(jià)值的認(rèn)識(shí)以及使自己的一舉一動(dòng)符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。如果一個(gè)組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會(huì)在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會(huì)被這支手拉回到安全操作的軌道上來(lái)。營(yíng)造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。ISMS相對(duì)應(yīng)的BS7799標(biāo)準(zhǔn)在國(guó)際上得到了廣泛的應(yīng)用，目前引標(biāo)準(zhǔn)已被采納為國(guó)際標(biāo)準(zhǔn)ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn)，ISMS也有相應(yīng)的國(guó)際標(biāo)準(zhǔn)ISO27001，它確定了ISMS的11個(gè)安全領(lǐng)域及133個(gè)相應(yīng)的控制措施。ISMS“木桶”由哪些“板”組成？ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全；ISO27001:2005

信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂?。獲得BS7799和ISO27001認(rèn)證的組織ISO17799及ISO27001的內(nèi)容獲得BS7799和IISMS體系設(shè)計(jì)在組織中要實(shí)現(xiàn)信息安全，比較切實(shí)可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒(méi)有一個(gè)完整的管理體系和有效的過(guò)程來(lái)保證組織中的人員能理解他們的安全責(zé)任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。ISMS體系設(shè)計(jì)ISMS建設(shè)過(guò)程：建立ISMS首先要建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，通過(guò)建立資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八步第九步第十步運(yùn)行說(shuō)明內(nèi)審報(bào)告外審報(bào)告認(rèn)證證書ISMS建設(shè)過(guò)程：體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操作指導(dǎo)書、記錄表格等。信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術(shù)防火墻”的總體要求技術(shù)結(jié)構(gòu)方面：完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評(píng)估，保護(hù)，檢測(cè)，反應(yīng)和恢復(fù)的五種技術(shù)能力。實(shí)現(xiàn)ISO7498-2所定義的鑒別，訪問(wèn)控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功能。技術(shù)產(chǎn)品方面：綜合利用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。

集中管理方面：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性方面：對(duì)于突發(fā)性的重大災(zāi)難，日常安全控制措施不再起作用，此時(shí)要采取適當(dāng)和有效的措施來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶來(lái)的破壞后果，這是組織信息安全的最后一道防線。

八、建立“技術(shù)防火墻”“技術(shù)防火墻”的總體要求八、建立“技術(shù)防火墻”技術(shù)體系的實(shí)現(xiàn)框架信息安全框架可通過(guò)基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來(lái)實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全?；A(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運(yùn)維管理系統(tǒng)技術(shù)體系的實(shí)現(xiàn)框架基礎(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計(jì)算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級(jí)”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)IATF安全域基礎(chǔ)技術(shù)系統(tǒng)一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。包括：數(shù)字證書認(rèn)證體系（CA/PKI）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施（DRI/BCP）安全基礎(chǔ)設(shè)施一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI的應(yīng)用：安全認(rèn)證與授權(quán)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系網(wǎng)絡(luò)安全控制采用入侵檢測(cè)、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)（VPN）等成熟技術(shù)，利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段，通過(guò)對(duì)網(wǎng)絡(luò)的安全防護(hù)的統(tǒng)一設(shè)計(jì)和統(tǒng)一配置，實(shí)現(xiàn)全系統(tǒng)統(tǒng)一、高效、可靠的網(wǎng)絡(luò)安全防護(hù)。安全防護(hù)系統(tǒng)網(wǎng)絡(luò)安全控制采用入侵檢測(cè)、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔省級(jí)局域網(wǎng)上級(jí)接口下級(jí)接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開局域網(wǎng)的信息安全，同時(shí)防止非法接入。防火墻：防止來(lái)自總部?jī)?nèi)部的攻擊。防火墻：防止來(lái)自外部的攻擊。防火墻：即防止來(lái)自外部的攻擊，也要防止來(lái)自地市局的內(nèi)部攻擊。入侵檢測(cè)：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用平臺(tái)的加固）安全邊界網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。構(gòu)造網(wǎng)絡(luò)安全邊界省級(jí)局域網(wǎng)上級(jí)接口下級(jí)接口橫互加密機(jī)：保護(hù)離開局域網(wǎng)的信息安入侵檢測(cè)組織中心備份中心二級(jí)部門三級(jí)部門四級(jí)部門線路密碼機(jī)防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計(jì)操作系統(tǒng)加固高安全區(qū)域安全防護(hù)系統(tǒng)的層次入侵檢測(cè)組織中心備份中心二級(jí)部門三級(jí)部門四級(jí)部門線路密碼機(jī)防由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識(shí)，通過(guò)瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運(yùn)行，打開郵件中不明來(lái)歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來(lái)的極大的危害，終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè)IT安全問(wèn)題的主要原因。終端安全控制由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識(shí)，通過(guò)瀏覽隱藏惡意代碼的網(wǎng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)的基礎(chǔ)上，利用安全基礎(chǔ)設(shè)施提供的基于PKI/PMI/KMI技術(shù)的安全服務(wù)；采用安全中間件及一站式服務(wù)理論和技術(shù)，實(shí)現(xiàn)包括安全門戶、安全認(rèn)證和訪問(wèn)控制、數(shù)據(jù)安全傳輸、數(shù)據(jù)保密、完整性保護(hù)、真實(shí)性保護(hù)等應(yīng)用安全功能和服務(wù)，支持面向組織和各類專網(wǎng)和互連網(wǎng)的各類安全應(yīng)用，是安全應(yīng)用系統(tǒng)所依托的主要安全平臺(tái)。應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)的基礎(chǔ)上，利用安全基礎(chǔ)設(shè)施提供應(yīng)用系統(tǒng)常見安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識(shí)別使用者的真實(shí)身份，防止與業(yè)務(wù)無(wú)關(guān)的人員非法使用系統(tǒng)。解決方案:使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制，能夠動(dòng)態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。解決方案:基于角色的訪問(wèn)控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。解決方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問(wèn)題，使系統(tǒng)可管理，事件可追查。解決方案:日志與安全事件審計(jì)在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對(duì)主要核心業(yè)務(wù)與交易的憑證進(jìn)行數(shù)字簽名，以保證重要對(duì)已完成的業(yè)務(wù)與交易的無(wú)否定性。解決方案:基于數(shù)字簽名應(yīng)用系統(tǒng)常見安全方案安全運(yùn)維系統(tǒng)安全運(yùn)維管理系統(tǒng)對(duì)整個(gè)安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報(bào)警等作用，負(fù)責(zé)對(duì)全網(wǎng)絡(luò)安全防護(hù)設(shè)備進(jìn)行管理，為各個(gè)應(yīng)用系統(tǒng)提供安全管理接口，對(duì)需要特別關(guān)注的應(yīng)用系統(tǒng)進(jìn)行應(yīng)用審計(jì)。安全運(yùn)維管理系統(tǒng)通過(guò)建立安全運(yùn)維管理中心（SOC）對(duì)組織的安全技術(shù)與流程進(jìn)行集中式的管理。安全運(yùn)維系統(tǒng)目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息日常安全執(zhí)行內(nèi)容多個(gè)PDCA循環(huán)安全日常運(yùn)作過(guò)程就是一個(gè)大的PDCA循環(huán)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)分析PDCA循環(huán)文件體系的建立與維護(hù)PDCA循環(huán)……日常安全執(zhí)行內(nèi)容多個(gè)PDCA循環(huán)制定計(jì)劃行動(dòng)計(jì)劃主要有：信息安全政策制訂與實(shí)施與信息安全相關(guān)的人力資源政策的制訂安全事件響應(yīng)計(jì)劃監(jiān)控日常安全事務(wù)及員工對(duì)安全政策的遵循業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)計(jì)劃安全教育計(jì)劃建設(shè)企業(yè)安全文化預(yù)算計(jì)劃有足夠資金支持的計(jì)劃才是切實(shí)可行的計(jì)劃，才能有效地落實(shí)信息安全所需要的人、財(cái)、物等資源的配置。預(yù)算計(jì)劃一定要合理，過(guò)高的安全預(yù)算會(huì)使安全失去意義，最好是結(jié)合投資回報(bào)分析。制定計(jì)劃?rùn)z查與審計(jì)的內(nèi)容對(duì)于安全框架是否已有效的建立起來(lái)，技術(shù)防火墻、人力防火墻及IT流程控制框架能否起到了應(yīng)有的作用，組織可以通過(guò)定期的自我檢查或獨(dú)立的審核來(lái)驗(yàn)證安全控制措施的有效性，并對(duì)發(fā)現(xiàn)的問(wèn)題采取有效的糾正措施并實(shí)施，對(duì)糾正措施實(shí)施的結(jié)果進(jìn)行驗(yàn)證。安全檢查工作一般由信息安全管理部門來(lái)負(fù)責(zé)實(shí)施，經(jīng)常性的檢查，有利于落實(shí)信息安全方針與策略，及時(shí)發(fā)現(xiàn)信息安全在技術(shù)、人員及流程方面存在的隱患，也有利于提高員工安全意識(shí)，保證業(yè)務(wù)的持續(xù)運(yùn)行。審核工作是審計(jì)機(jī)構(gòu)對(duì)組織的信息安全控制措施是否完備所做的鑒證過(guò)程。利用審核機(jī)制進(jìn)行獨(dú)立的體系審核是一種強(qiáng)有力的監(jiān)督機(jī)制。可以由組織的內(nèi)部稽核部門階段性地組建立審核組，培訓(xùn)審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計(jì)機(jī)構(gòu)對(duì)組織進(jìn)行外部審計(jì)。對(duì)安全的檢查與審計(jì)檢查與審計(jì)的內(nèi)容對(duì)安全的檢查與審計(jì)審計(jì)的步驟信息安全在每次檢查審計(jì)前，由管理層任命適當(dāng)資質(zhì)的合適人選組成審計(jì)小組，審計(jì)小組由2名或以上人員組成，包括但不限于稽核審計(jì)部的內(nèi)審員，并由管理層指定內(nèi)審組長(zhǎng)。內(nèi)審小組負(fù)責(zé)編寫本次內(nèi)審的《內(nèi)部審計(jì)方案》，其內(nèi)容一般為:被審部門、審計(jì)時(shí)間、內(nèi)容、范圍、審計(jì)依據(jù)、目的、方法；內(nèi)審小組成員及其分工；審計(jì)活動(dòng)日程安排?！秲?nèi)部審計(jì)方案》經(jīng)批準(zhǔn)后，至少提前二周通知被審計(jì)部門，以便被審計(jì)部門有充分時(shí)間進(jìn)行內(nèi)審，若被審計(jì)部門對(duì)時(shí)間等安排有異議時(shí)，應(yīng)在三天內(nèi)通知內(nèi)審小組協(xié)商調(diào)整具體安排；內(nèi)審小組在完成了全部的審計(jì)準(zhǔn)備工作后，就可按預(yù)先約定的日期和時(shí)間實(shí)施審計(jì)。內(nèi)部審計(jì)實(shí)施可劃分為首次會(huì)議、現(xiàn)場(chǎng)審計(jì)和末次會(huì)議三個(gè)階段進(jìn)行。審計(jì)的步驟信息安全體系27001概述課件信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統(tǒng)固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術(shù)平臺(tái)（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性與脆弱性行動(dòng)的遠(yuǎn)程化使安全管理面臨挑戰(zhàn)信息具有的重要價(jià)值信息社會(huì)對(duì)信息高度依賴，信息的風(fēng)險(xiǎn)加大信息的高附加值會(huì)引發(fā)盜竊、濫用等威脅信息安全面臨的風(fēng)險(xiǎn)企業(yè)對(duì)信息的依賴程度：美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出，企業(yè)在沒(méi)有信息資料可用的情況下，金融業(yè)至多只能運(yùn)行2天，商業(yè)則為3.3天，工業(yè)則為5天，保險(xiǎn)業(yè)為5.6天。而以經(jīng)濟(jì)情況來(lái)看，有25%的企業(yè)，因?yàn)榈臍p可能立即破產(chǎn)，40%會(huì)在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在5年后能夠繼續(xù)存活。信息系統(tǒng)固有的脆弱性信息安全面臨的風(fēng)險(xiǎn)企業(yè)對(duì)信息的依賴程度：硬件架構(gòu)：系統(tǒng)與設(shè)備數(shù)量越來(lái)越多系統(tǒng)互連關(guān)系越來(lái)越繁雜軟件架構(gòu)：統(tǒng)架構(gòu)越來(lái)越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理：規(guī)劃期缺乏安全評(píng)審建設(shè)與工程割接缺乏安全管理遺留策略與帳號(hào)形成安全漏洞程序開發(fā)：開發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查，可能留下后門1.系統(tǒng)數(shù)量眾多，硬件架構(gòu)多樣，系統(tǒng)間交互與接口繁多，相互關(guān)系復(fù)雜；2.系統(tǒng)軟件架構(gòu)復(fù)雜，網(wǎng)絡(luò)連接與劃分較混亂，互聯(lián)網(wǎng)接口抗攻擊性較弱；3.系統(tǒng)規(guī)劃期缺乏安全評(píng)審，工程割接缺少安全管理，工程遺留策略與帳號(hào)易形成安全漏洞；4.程序開發(fā)階段缺乏監(jiān)管，程序源代碼缺乏安全檢查，可能留下后門或被攻擊。硬件架構(gòu)：軟件架構(gòu)：工程管理：程序開發(fā)：1.系統(tǒng)數(shù)量眾多，硬常見的信息安全問(wèn)題常見的信息安全問(wèn)題常見的信息安全問(wèn)題常見的信息安全問(wèn)題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時(shí)間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽(yù)受到的影響商業(yè)機(jī)會(huì)的損失對(duì)生產(chǎn)率的破壞$10,000$60,000－$530,000信息安全損失的“冰山”理論$10,000$60,000－$5保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?71保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)信息安全管理體系強(qiáng)我國(guó)當(dāng)前信息安全普遍存在的問(wèn)題忽略了信息化的治理機(jī)制與控制體系的建立，和信息化“游戲規(guī)則”的建立；廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走；安全只重視邊界安全，沒(méi)有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問(wèn)題；重視安全技術(shù)，輕視安全管理，信息安全可靠性沒(méi)有保證；信息安全建設(shè)缺乏績(jī)效評(píng)估機(jī)制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊(duì)員”

…

我國(guó)當(dāng)前信息安全普遍存在的問(wèn)題如何實(shí)現(xiàn)信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測(cè)系統(tǒng)？管理制度？人的因素？環(huán)境因素？Ernst&Young及國(guó)內(nèi)安全機(jī)構(gòu)的分析：國(guó)家政府和軍隊(duì)信息受到的攻擊70%來(lái)自外部，銀行和企業(yè)信息受到的攻擊70%來(lái)自于內(nèi)部。75%的被調(diào)查者認(rèn)為員工對(duì)信息安全策略和程序的不夠了解是實(shí)現(xiàn)信息安全的障礙之一,只有35%的組織有持續(xù)的安全意識(shí)教育與培訓(xùn)計(jì)劃66%的組織認(rèn)為信息系統(tǒng)沒(méi)有遵守必要的信息安全規(guī)則56%的組織認(rèn)為在信息安全的投入上不足，60%從不計(jì)算信息安全的ROI，83%的組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個(gè)系統(tǒng)安全工作中,管理(包括管理和法律法規(guī)方面)所占比重應(yīng)該達(dá)到70%,而技術(shù)(包括技術(shù)和實(shí)體)應(yīng)占30%。保護(hù)信息安全的方法如何實(shí)現(xiàn)信息安全？在整個(gè)系統(tǒng)安全工作中,管理(包括管理和建立完善的信息安全體系對(duì)信息安全建立系統(tǒng)工程的觀念用管理、技術(shù)、人員、流程來(lái)保證組織的信息安全信息安全遵循木桶原理對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架并要時(shí)時(shí)兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅。需要對(duì)信息安全進(jìn)行有效管理建立完善的信息安全體系需要對(duì)信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統(tǒng)一的安全體系，指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門戶網(wǎng)站防火墻升級(jí)信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項(xiàng)目RSA令牌擴(kuò)容項(xiàng)目應(yīng)用漏洞掃描工具項(xiàng)目系統(tǒng)漏洞掃描工具網(wǎng)站頁(yè)面防篡改項(xiàng)目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險(xiǎn)反饋以防為主：自上而下的策略管理堅(jiān)持“以防為主，防治結(jié)合”的安全工作措施，形成成熟的、立體的信息安全運(yùn)行管控體系。以防為主，即以完善的安全策略為指導(dǎo)，使安全策略能自上而下得到落實(shí)；防治結(jié)合，即以風(fēng)險(xiǎn)管理為核心，使風(fēng)險(xiǎn)能自下而上得到反饋和整治?？傮w思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險(xiǎn)反饋以防初級(jí)沒(méi)有形成體系，只有零散的安全技術(shù)措施沒(méi)有專職安全管理員中級(jí)嘗試構(gòu)建安全體系框架，具備較多的安全技術(shù)措施，開始有意識(shí)朝著有體系的安全建設(shè)發(fā)展。安全管理員工作繁重，既要處理現(xiàn)有問(wèn)題，還要準(zhǔn)備未來(lái)建設(shè)。高級(jí)在正確的安全體系框架指導(dǎo)下建設(shè)多年，形成了完備的安全技術(shù)和管理措施。安全管理員的工作主要是對(duì)各種管控規(guī)則進(jìn)行微調(diào)，關(guān)注最新安全發(fā)展動(dòng)態(tài)，考核獎(jiǎng)懲通報(bào)等。安全管理的幾個(gè)階段當(dāng)前目標(biāo)初級(jí)中級(jí)高級(jí)安全管理的幾個(gè)階段當(dāng)前目標(biāo)信息安全體系的內(nèi)容信息安全體系的內(nèi)容業(yè)務(wù)與策略根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略，以指導(dǎo)對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。確定并實(shí)施信息安全策略是組織的一項(xiàng)重要使命，也是組織進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)?！氨Ｗo(hù)業(yè)務(wù)，為業(yè)務(wù)創(chuàng)造價(jià)值”應(yīng)當(dāng)是一切安全工作的出發(fā)點(diǎn)與歸宿，最有效的方式不是從現(xiàn)有的工作方式開始應(yīng)用信息安全技術(shù)，而是在針對(duì)工作任務(wù)與工作流程重新設(shè)計(jì)信息系統(tǒng)時(shí)，發(fā)揮信息安全技術(shù)手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。從國(guó)家的角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。信息安全體系的關(guān)注點(diǎn)業(yè)務(wù)與策略信息安全體系的關(guān)注點(diǎn)技術(shù)與產(chǎn)品可以綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全考慮安全的成本與效益，采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機(jī)制是實(shí)施信息安全的基礎(chǔ)與重要保證。在風(fēng)險(xiǎn)分析的基本上引入恰當(dāng)控制，建立PDCA的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變，需要建立完整的控制體系來(lái)保證安全的持續(xù)完善。技術(shù)與產(chǎn)品信息安全體系的建立流程信息安全體系的建立流程審視業(yè)務(wù)，確定IT原則和信息安全方針在進(jìn)行信息安全規(guī)劃與實(shí)施安全控制措施前，首先要充分了解組織的業(yè)務(wù)目標(biāo)和IT目標(biāo)，建立IT原則，這是實(shí)施建立有效的信息安全保障體系的前提。組織的業(yè)務(wù)目標(biāo)和IT原則將直接影響到安全需求，只有從業(yè)務(wù)發(fā)展的需要出發(fā)，確定適宜的IT原則，才能指導(dǎo)信息安全方針的制定。信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。在安全方針的指導(dǎo)下，通過(guò)了解組織業(yè)務(wù)所處的環(huán)境，對(duì)IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定出適宜的安全控制措施、安全策略程序及安全投資計(jì)劃。確定IT原則與安全方針審視業(yè)務(wù)，確定IT原則和信息安全方針確定IT原則與安全方針進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的常用方法目前國(guó)內(nèi)ISMS風(fēng)險(xiǎn)評(píng)估的方法主要參照ISO13335的有關(guān)定義及國(guó)信辦9號(hào)文件《信息安全風(fēng)險(xiǎn)評(píng)估指南》，這些標(biāo)準(zhǔn)把重點(diǎn)放在信息資產(chǎn)上。缺點(diǎn)：風(fēng)險(xiǎn)評(píng)估人員一般最容易找到的資產(chǎn)無(wú)非就是硬件類、軟件類的資產(chǎn)，而對(duì)安全來(lái)說(shuō)至關(guān)重要的IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問(wèn)題，由于不能方便地定義為信息資產(chǎn)，而往往被視而不見。因此，風(fēng)險(xiǎn)評(píng)估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的常用方法完備的風(fēng)險(xiǎn)評(píng)估方法信息安全涉及的內(nèi)容決不僅僅是信息安全、技術(shù)安全的問(wèn)題，它還會(huì)涉及到治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。通過(guò)“現(xiàn)狀調(diào)查”獲得對(duì)組織信息安全現(xiàn)狀和控制措施的基本了解；通過(guò)“基線風(fēng)險(xiǎn)評(píng)估”了解組織與具體的信息安全標(biāo)準(zhǔn)的差距，得到粗粒度的安全評(píng)價(jià)。通過(guò)“資產(chǎn)風(fēng)險(xiǎn)評(píng)估”和“流程風(fēng)險(xiǎn)評(píng)估”進(jìn)行詳細(xì)風(fēng)險(xiǎn)評(píng)估，根據(jù)三方面的評(píng)估得到最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。完備的風(fēng)險(xiǎn)評(píng)估方法現(xiàn)狀調(diào)查的主要內(nèi)容文檔收集與分析組織的基本信息、組織結(jié)構(gòu)圖組織人員名單、機(jī)構(gòu)設(shè)置、崗位職責(zé)說(shuō)明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)的政策、制度和規(guī)范現(xiàn)場(chǎng)訪談安排與相關(guān)人員的面談對(duì)員工工作現(xiàn)場(chǎng)的觀察加強(qiáng)項(xiàng)目組對(duì)企業(yè)文化的感知現(xiàn)狀調(diào)查的主要內(nèi)容技術(shù)評(píng)估工具掃描、滲透測(cè)試1

2

3人工分析系統(tǒng)安全配置完全檢測(cè)、網(wǎng)絡(luò)服務(wù)安全配置完全檢測(cè)包括用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全問(wèn)卷調(diào)研安全日常運(yùn)維現(xiàn)狀調(diào)研問(wèn)卷：針對(duì)組織中實(shí)際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護(hù)、系統(tǒng)審計(jì)、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實(shí)狀況。從安全日常運(yùn)維角度出發(fā)，更貼近實(shí)際運(yùn)維環(huán)境。技術(shù)評(píng)估問(wèn)卷調(diào)研基線風(fēng)險(xiǎn)評(píng)估所謂基線風(fēng)險(xiǎn)評(píng)估，就是確定一個(gè)信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個(gè)方面來(lái)確定一個(gè)基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析，這樣才能在兼顧信息安全風(fēng)險(xiǎn)的方方面面的同時(shí)，對(duì)重點(diǎn)信息安全風(fēng)險(xiǎn)進(jìn)行管理與控制。ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動(dòng)、實(shí)施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險(xiǎn)評(píng)估時(shí)，可以把ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對(duì)，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會(huì)有遺漏基線風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估針對(duì)重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計(jì)對(duì)業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽?duì)風(fēng)險(xiǎn)進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)估確定風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)評(píng)估過(guò)程脆弱性評(píng)估安全控制措施的識(shí)別與選擇降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理過(guò)程接受風(fēng)險(xiǎn)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)估確定風(fēng)險(xiǎn)水IT流程風(fēng)險(xiǎn)評(píng)估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。沒(méi)有可靠的IT流程的保證，靜態(tài)的安全是不可靠的，而且IT的風(fēng)險(xiǎn)也不僅僅是信息安全的問(wèn)題，IT的效率與效果也同樣是需要考慮的問(wèn)題，因此評(píng)估IT流程的績(jī)效特性并加以完善是風(fēng)險(xiǎn)控制中必不可少的內(nèi)容。IT流程風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)控制策略信息安全控制規(guī)劃確定風(fēng)險(xiǎn)控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開發(fā)與維護(hù)的安全系統(tǒng)開發(fā)與維護(hù)控制對(duì)業(yè)務(wù)信息的訪問(wèn)。訪問(wèn)控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運(yùn)營(yíng)管理防止對(duì)關(guān)于IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險(xiǎn)。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個(gè)域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施選擇安全控制措施防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性進(jìn)行安全控制規(guī)劃安全規(guī)劃針對(duì)組織面臨的主要安全風(fēng)險(xiǎn)，在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡的規(guī)劃。安全規(guī)劃對(duì)組織未來(lái)幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運(yùn)行等方面的安全，進(jìn)行設(shè)計(jì)、改進(jìn)和加強(qiáng)，是進(jìn)行安全建設(shè)的總體指導(dǎo)。序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運(yùn)行管理5物理安全管理6網(wǎng)絡(luò)訪問(wèn)控制7認(rèn)證與授權(quán)8監(jiān)控與審計(jì)9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法進(jìn)行安全控制規(guī)劃序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜安全預(yù)算計(jì)劃所以安全預(yù)算計(jì)劃是一項(xiàng)具有挑戰(zhàn)性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。一般來(lái)說(shuō)，沒(méi)有特別的需要，為信息安全的投入不應(yīng)超過(guò)信息化建設(shè)總投資額的20%，過(guò)高的安全成本將使安全失去意義。

投資回報(bào)計(jì)劃信息安全投資回報(bào)計(jì)劃就是要研究信息安全的成本效益，其成本效益組成如下：從系統(tǒng)生命周期看信息安全的成本：獲取成本和運(yùn)行成本從安全防護(hù)手段看信息安全的成本：技術(shù)成本和管理成本信息安全的價(jià)值效益：減少信息安全事故的經(jīng)濟(jì)損失信息安全的非價(jià)值效益：增加聲譽(yù)、提升品牌價(jià)值安全預(yù)算計(jì)劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織，明確角色與責(zé)任

安全角色與責(zé)任的不明確是實(shí)施信息安全過(guò)程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步。信息安全領(lǐng)導(dǎo)小組信息安全主管為核心的、專業(yè)的信息安全管理的隊(duì)伍把相應(yīng)的安全責(zé)任落實(shí)到每一個(gè)員工身上建立跨部門的信息安全委員會(huì)良好的治理結(jié)構(gòu)要求主體單位的IT決策必須由最了解組織整體目標(biāo)與價(jià)值的權(quán)威部門來(lái)決定。得到組織最高管理層的支持得到高層管理人員的認(rèn)同和承諾有兩個(gè)作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；二是可以得到有效的資源保證，比如實(shí)施有效安全過(guò)程的必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。建立信息安全組織，明確角色與責(zé)任安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)航；管理層工作小組為業(yè)務(wù)安全工作的協(xié)調(diào)管理機(jī)構(gòu)，為業(yè)務(wù)安全工作提供支持監(jiān)督；管理層監(jiān)督審計(jì)工作組，定期監(jiān)督審核工作小組和執(zhí)行小組對(duì)信息安全政策的執(zhí)行情況，并且向領(lǐng)導(dǎo)小組進(jìn)行匯報(bào)；執(zhí)行層面業(yè)務(wù)安全保障工作組是業(yè)務(wù)安全政策的執(zhí)行落地和相關(guān)安全流程手冊(cè)文檔的參與制定和維護(hù)，并且接受工作小組的管理指導(dǎo)和安全審計(jì)機(jī)構(gòu)的監(jiān)督審核；安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)信息安全體系的內(nèi)容組織體系：整個(gè)公司層面的安全管理組織，要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則信息安全體系的內(nèi)容組織體系：整個(gè)公司層面的安全管理組織，要從制定信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲(chǔ)存信息的各個(gè)方面，并符合對(duì)信息系統(tǒng)安全的要求。信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個(gè)員工所理解和執(zhí)行，這是實(shí)施信息安全的重要環(huán)節(jié)。人力資源政策因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強(qiáng)對(duì)“人”的管理，對(duì)潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務(wù)資源管理人員密切合作，協(xié)同作戰(zhàn)，才能實(shí)現(xiàn)信息安全中對(duì)“人”的有效管理。制定信息系統(tǒng)安全政策實(shí)施安全教育計(jì)劃要制定各種不同范圍、不同層次的安全教育計(jì)劃。完備的安全教育計(jì)劃可以提高員工的安全意識(shí)與技能，改變他們對(duì)待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計(jì)劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來(lái)的后果，使員工切身感覺(jué)到安全事件與自己息息相關(guān)。實(shí)施安全教育計(jì)劃營(yíng)造組織信息安全文化信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識(shí)和價(jià)值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動(dòng)，實(shí)現(xiàn)組織信息安全目標(biāo)。人的這種對(duì)安全價(jià)值的認(rèn)識(shí)以及使自己的一舉一動(dòng)符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。如果一個(gè)組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會(huì)在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會(huì)被這支手拉回到安全操作的軌道上來(lái)。營(yíng)造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。ISMS相對(duì)應(yīng)的BS7799標(biāo)準(zhǔn)在國(guó)際上得到了廣泛的應(yīng)用，目前引標(biāo)準(zhǔn)已被采納為國(guó)際標(biāo)準(zhǔn)ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn)，ISMS也有相應(yīng)的國(guó)際標(biāo)準(zhǔn)ISO27001，它確定了ISMS的11個(gè)安全領(lǐng)域及133個(gè)相應(yīng)的控制措施。ISMS“木桶”由哪些“板”組成？ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全；ISO27001:2005

信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤＋@得BS7799和ISO27001認(rèn)證的組織ISO17799及ISO27001的內(nèi)容獲得BS7799和IISMS體系設(shè)計(jì)在組織中要實(shí)現(xiàn)信息安全，比較切實(shí)可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒(méi)有一個(gè)完整的管理體系和有效的過(guò)程來(lái)保證組織中的人員能理解他們的安全責(zé)任與義務(wù)，并建立基本的有效的控制措施，那么再好的安全技術(shù)也不能保證組織的信息安全。ISMS體系設(shè)計(jì)ISMS建設(shè)過(guò)程：建立ISMS首先要建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，通過(guò)建立資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八步第九步第十步運(yùn)行說(shuō)明內(nèi)審報(bào)告外審報(bào)告認(rèn)證證書ISMS建設(shè)過(guò)程：體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操作指導(dǎo)書、記錄表格等。信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術(shù)防火墻”的總體要求技術(shù)結(jié)構(gòu)方面：完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評(píng)估，保護(hù)，檢測(cè)，反應(yīng)和恢復(fù)的五種技術(shù)能力。實(shí)現(xiàn)ISO7498-2所定義的鑒別，訪問(wèn)控制，數(shù)據(jù)完整性，數(shù)據(jù)保密性，抗抵賴五類安全功能。技術(shù)產(chǎn)品方面：綜合利用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。

集中管理方面：實(shí)現(xiàn)集成化安全管理和安全信息共享機(jī)制，以集中管理安全控制、安全策略、安全配置、安全事件審計(jì)、安全事故應(yīng)急響應(yīng)，可管理的安全才是真正意義上的安全。災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性方面：對(duì)于突發(fā)性的重大災(zāi)難，日常安全控制措施不再起作用，此時(shí)要采取適當(dāng)和有效的措施來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶來(lái)的破壞后果，這是組織信息安全的最后一道防線。

八、建立“技術(shù)防火墻”“技術(shù)防火墻”的總體要求八、建立“技術(shù)防火墻”技術(shù)體系的實(shí)現(xiàn)框架信息安全框架可通過(guò)基礎(chǔ)技術(shù)系統(tǒng)、安全運(yùn)維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來(lái)實(shí)現(xiàn)，其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全?；A(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運(yùn)維管理系統(tǒng)技術(shù)體系的實(shí)現(xiàn)框架基礎(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計(jì)算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級(jí)”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)IATF安全域基礎(chǔ)技術(shù)系統(tǒng)一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。包括：數(shù)字證書認(rèn)證體系（CA/PKI）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施（DRI/BCP）安全基礎(chǔ)設(shè)施一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI的應(yīng)用：安全認(rèn)證與授權(quán)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系網(wǎng)絡(luò)安全控制采用入侵檢測(cè)、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)（VPN）等成熟技術(shù)，利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段，通過(guò)對(duì)網(wǎng)絡(luò)的安全防護(hù)的統(tǒng)一設(shè)計(jì)和統(tǒng)一配置，實(shí)現(xiàn)全系統(tǒng)統(tǒng)一、高效、可