企事業(yè)單位信息安全管理.ppt

《企事業(yè)單位信息安全管理.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《企事業(yè)單位信息安全管理.ppt（77頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、第15章 企事業(yè)單位信息安全管理,15.1 信息安全管理概述 15.2 企事業(yè)單位信息安全管理模型 15.3 企事業(yè)單位信息安全管理中的關(guān)鍵環(huán)節(jié)15.4 ISO/IEC 27000系列標(biāo)準(zhǔn)簡(jiǎn)介 思考題 實(shí)驗(yàn)15 學(xué)院網(wǎng)站安全方案設(shè)計(jì),內(nèi)容導(dǎo)讀 企事業(yè)單位信息安全管理的最終目標(biāo)是保護(hù)其信息資產(chǎn)，保證其業(yè)務(wù)的安全平穩(wěn)運(yùn)行。企業(yè)信息安全管理模型遵循管理的一般循環(huán)模式，即計(jì)劃(Plan)、執(zhí)行(Do)、檢查(Check)和行動(dòng)(Action)的持續(xù)改進(jìn)模式，簡(jiǎn)稱PDCA模式。,每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而

2、形成了安全管理策略和活動(dòng)的螺旋式提升。,信息安全管理策略的制訂、信息系統(tǒng)的安全運(yùn)行管理和信息安全應(yīng)急管理是企事業(yè)單位信息安全管理的關(guān)鍵環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估是安全策略制訂的重要依據(jù)，而以“信息安全應(yīng)急響應(yīng)預(yù)案、加強(qiáng)應(yīng)急機(jī)制建設(shè)，建立健全應(yīng)急體制，依據(jù)相關(guān)法制”的一案三制為核心內(nèi)容的應(yīng)急管理體系建設(shè)是做好信息安全應(yīng)急管理工作的基礎(chǔ)。,建立完善的信息安全管理體系是企事業(yè)單位進(jìn)行科學(xué)信息安全管理的客觀要求。ISO/IEC 27000系列標(biāo)準(zhǔn)中的27001信息安全管理體系要求和27002信息安全管理實(shí)用規(guī)則，闡述了一個(gè)組織建立信息安全管理體系的標(biāo)準(zhǔn)相關(guān)過程和活動(dòng)，對(duì)提高組織的實(shí)際安全管理水平具有重要指導(dǎo)意義。

3、,15.1 信息安全管理概述,15.1.1 信息安全管理的概念,國(guó)家、組織或個(gè)人為了實(shí)現(xiàn)信息安全目標(biāo)，運(yùn)用一定的手段或技術(shù)體系，對(duì)涉及信息安全的非技術(shù)因素進(jìn)行系統(tǒng)管理的活動(dòng)稱為信息安全管理。,該定義揭示了信息安全管理的主體(即國(guó)家、組織或個(gè)體)、對(duì)象(即信息安全的非技術(shù)因素)與目的(即實(shí)現(xiàn)信息安全目標(biāo))，并強(qiáng)調(diào)手段或技術(shù)體系的運(yùn)用與系統(tǒng)管理的活動(dòng)過程。該定義還明確了信息安全管理的對(duì)象主要是非技術(shù)因素，范圍廣泛，符合當(dāng)前的綜合治理理論，也提醒人們要用系統(tǒng)的觀點(diǎn)來審視信息安全問題。,信息安全管理具有廣義和狹義之分，廣義的信息安全管理是指宏觀層面上的國(guó)家的信息安全管理，狹義的信息安全管理則指微觀層面

4、上的組織或個(gè)體的信息安全管理。,15.1.2 人們對(duì)信息安全管理重要性的認(rèn)識(shí) 隨著對(duì)信息安全問題認(rèn)識(shí)的不斷深入，人們?cè)絹碓秸J(rèn)識(shí)到，做好信息安全工作不僅要靠信息安全技術(shù)，更要靠信息安全管理。通過深化這種思想，信息安全的實(shí)踐活動(dòng)可劃分為三個(gè)階段來體現(xiàn)。,第一階段，技術(shù)浪潮。這個(gè)階段主要通過技術(shù)手段保障信息的安全。 第二階段，管理浪潮。因?yàn)楦邔庸芾砣藛T對(duì)安全問題的關(guān)注，關(guān)于信息安全的文件化規(guī)定迅速發(fā)展起來。,第三階段，制度浪潮。人們很自然地關(guān)心自己的組織比其他的組織在信息安全活動(dòng)上是否更成功。信息安全標(biāo)準(zhǔn)化可以解決用戶“如何得知在實(shí)踐中漏掉了哪些方面”，信息安全認(rèn)證可以解決“怎么向合作伙伴證明組織的

5、信息安全”，培育組織自己的信息安全文化可以消除“組織內(nèi)部用戶是組織的最大敵人”等問題。,15.1.3 信息安全管理的內(nèi)容構(gòu)成 不同的信息安全管理主體具有不同的信息安全管理目標(biāo)和任務(wù)，因而其信息安全管理的內(nèi)容構(gòu)成也不相同。對(duì)于國(guó)家層面的信息安全管理機(jī)構(gòu)和組織來說，主要致力于信息安全戰(zhàn)略、信息安全政策及法律法規(guī)、信息安全標(biāo)準(zhǔn)與認(rèn)證、信息安全治理、信息安全國(guó)際合作等方面的規(guī)劃與實(shí)施；,對(duì)于企業(yè)、公司和學(xué)校這種普通組織機(jī)構(gòu)而言，其信息安全管理的主要任務(wù)則是通過信息安全體系規(guī)劃、信息安全策略制定、信息分級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)管理、信息安全措施實(shí)施與協(xié)調(diào)、信息安全危機(jī)與應(yīng)急管理、信息安全文化培育等來保障組織

6、業(yè)務(wù)的連續(xù)性；而對(duì)于用戶而言，則更側(cè)重于個(gè)人權(quán)力的行使和個(gè)人財(cái)產(chǎn)和隱私的保護(hù)。,另外，對(duì)于普通組織和機(jī)構(gòu)而言，業(yè)務(wù)性質(zhì)的不同，其信息安全管理的內(nèi)容和側(cè)重點(diǎn)也不相同。各行業(yè)或部門的信息安全管理均體現(xiàn)出本行業(yè)或部門的特點(diǎn)，反映其特殊規(guī)律。例如，我們可以根據(jù)行業(yè)特點(diǎn)把普通組織和機(jī)構(gòu)的信息安全管理劃分為電子政務(wù)信息安全管理、電子商務(wù)信息安全管理、軍隊(duì)信息安全管理、校園網(wǎng)信息安全管理和銀行信息安全管理等。,總之，信息安全管理的內(nèi)容構(gòu)成非常廣泛和豐富，隨著時(shí)代的發(fā)展和技術(shù)的進(jìn)步，信息安全管理的內(nèi)容、方法和手段也都在不斷地變化和更新。,下面對(duì)信息安全管理領(lǐng)域的一些內(nèi)容構(gòu)成作簡(jiǎn)單介紹。 (1) 信息安全戰(zhàn)略管

7、理。 在當(dāng)前全球化、信息化、網(wǎng)絡(luò)化的背景下，信息安全在整個(gè)國(guó)家安全中具有極其重要的戰(zhàn)略地位與意義，因此，信息安全戰(zhàn)略管理成為當(dāng)前各國(guó)信息安全管理的一項(xiàng)基本內(nèi)容。,信息安全戰(zhàn)略管理主要通過戰(zhàn)略的研究、制定、實(shí)施與評(píng)估等，對(duì)信息安全復(fù)雜多變與不確定性的環(huán)境預(yù)先規(guī)劃好目標(biāo)及應(yīng)對(duì)措施；從維護(hù)國(guó)家安全和保障國(guó)家信息化建設(shè)健康發(fā)展的高度，提出信息安全戰(zhàn)略發(fā)展的指導(dǎo)思想、戰(zhàn)略目標(biāo)、推進(jìn)策略、運(yùn)作機(jī)制和實(shí)施路線等，以利于統(tǒng)一思想、綜合協(xié)調(diào)、形成合力。進(jìn)而指導(dǎo)、動(dòng)員和促進(jìn)信息安全的全面建設(shè)。,(2) 信息安全政策及法律法規(guī)。 信息安全政策及法律法規(guī)是聯(lián)結(jié)信息安全戰(zhàn)略目標(biāo)與信息安全工作成果的“中控環(huán)節(jié)”，是信息安

8、全保障的具體規(guī)則及制度，明確反映了國(guó)家及組織高層對(duì)特定領(lǐng)域的信息安全意志或理念。這方面的管理主要涉及信息安全政策及法律法規(guī)的制定、實(shí)施、監(jiān)控、評(píng)價(jià)、反饋與完善等。,(3) 信息安全標(biāo)準(zhǔn)與認(rèn)證。 信息安全標(biāo)準(zhǔn)是由國(guó)家權(quán)威部門制定，相關(guān)機(jī)構(gòu)遵守的一套具體規(guī)范及依據(jù)。管理內(nèi)容主要包括信息安全技術(shù)與管理標(biāo)準(zhǔn)的制定、實(shí)施、評(píng)估及反饋等。在頒布標(biāo)準(zhǔn)的基礎(chǔ)上，權(quán)威部門還建立了信息安全測(cè)評(píng)認(rèn)證體系，實(shí)行“準(zhǔn)入”制度，要求對(duì)信息安全產(chǎn)品、信息系統(tǒng)安全、信息安全服務(wù)資質(zhì)和信息安全人員資質(zhì)等實(shí)施認(rèn)證，對(duì)符合標(biāo)準(zhǔn)與達(dá)到要求者，頒發(fā)相應(yīng)證書。,(4) 信息安全組織結(jié)構(gòu)。 信息安全組織結(jié)構(gòu)作為信息安全管理體制和機(jī)制層面的

9、問題，是信息安全管理的重要內(nèi)容之一。該方面的管理主要通過信息安全組織結(jié)構(gòu)的設(shè)立、精簡(jiǎn)、整合或撤銷等，以優(yōu)化結(jié)構(gòu)、理順關(guān)系、明確職責(zé)，進(jìn)而支撐信息安全戰(zhàn)略的順利實(shí)施。,信息安全領(lǐng)導(dǎo)是引領(lǐng)信息安全事業(yè)實(shí)現(xiàn)持續(xù)快速發(fā)展的前提。只有通過科學(xué)合理、堅(jiān)強(qiáng)有力的引導(dǎo)，促使信息安全工作人員安心并不遺余力地工作，才能有效保障信息安全戰(zhàn)略的順利實(shí)現(xiàn)，進(jìn)而帶動(dòng)信息安全事業(yè)的發(fā)展。,(5) 信息安全人力資源開發(fā)與管理。 人力資源開發(fā)與管理是現(xiàn)代信息安全管理的核心。加強(qiáng)信息安全人力資源管理，有利于扭轉(zhuǎn)重技術(shù)輕管理、重物質(zhì)資源輕人力資源的傾向，并有利于消除內(nèi)部人員管理上的漏洞，解決信息安全人才不足的問題。這方面的具體內(nèi)容

10、包括：信息安全工作分析與設(shè)計(jì)，信息安全人力資源規(guī)劃，信息安全人員招聘，信息安全人員績(jī)效管理，信息安全人員薪酬管理，信息安全人員培訓(xùn)開發(fā)，信息安全人員職業(yè)發(fā)展，信息安全人員使用、調(diào)配與離職管理，信息安全團(tuán)隊(duì)建設(shè)，信息安全人才教育與管理等。,(6) 信息安全等級(jí)保護(hù)。 信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的一項(xiàng)基本制度，主要是指有關(guān)方面對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)分級(jí)，并加以貫徹落實(shí)、監(jiān)控與評(píng)估等。,(7) 信息安全治理。 信息安全治理就是落實(shí)“綜合防范”的方針，即綜合運(yùn)用行政、法律、技術(shù)等多種手段，強(qiáng)調(diào)國(guó)家、企業(yè)和個(gè)人共同的責(zé)任，各個(gè)部門齊抓共管，用系統(tǒng)工程和體系建設(shè)的思路來抓信息安全。它的基本內(nèi)容或要

11、求是統(tǒng)籌規(guī)劃、群防群治、多方聯(lián)動(dòng)、責(zé)任分擔(dān)、成果共享。,(8) 信息安全策略。 信息安全策略一般也稱作信息安全方針，是有關(guān)信息安全的行為規(guī)范。它是整個(gè)安全管理體系的起始點(diǎn)和基本原則，是實(shí)現(xiàn)信息系統(tǒng)安全目標(biāo)的根本保證。與宏觀層面的信息安全政策相比，信息安全策略更側(cè)重于組織內(nèi)部微觀的信息安全管理，是一個(gè)組織所頒布的對(duì)組織信息安全的定義和理解，主要內(nèi)容是界定與管理組織的安全目標(biāo)、安全范圍、安全技術(shù)、安全標(biāo)準(zhǔn)和安全責(zé)任等。,(9) 信息安全風(fēng)險(xiǎn)管理。 目前，風(fēng)險(xiǎn)管理已經(jīng)是信息安全管理的一個(gè)主流范式。它以風(fēng)險(xiǎn)為主線，通過風(fēng)險(xiǎn)戰(zhàn)略規(guī)劃、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)防范等基本環(huán)節(jié)，對(duì)信息、信息載體、信息環(huán)境進(jìn)行

12、安全管理以達(dá)到安全目標(biāo)。其中，風(fēng)險(xiǎn)評(píng)估為關(guān)鍵，但又不否定其他環(huán)節(jié)的重要性，它們相輔相成，共同構(gòu)成一個(gè)完整的信息安全風(fēng)險(xiǎn)管理體系。信息安全風(fēng)險(xiǎn)管理與信息安全標(biāo)準(zhǔn)關(guān)系尤為密切，往往以標(biāo)準(zhǔn)為依據(jù)，實(shí)施針對(duì)性的管理。,(10) 信息安全危機(jī)與應(yīng)急管理。 安全問題必定涉及到危機(jī)與應(yīng)急問題，因此危機(jī)與應(yīng)急管理是信息安全管理必然具備的基本內(nèi)容。這方面主要通過構(gòu)建信息安全應(yīng)急響應(yīng)與處置體系，在預(yù)警、應(yīng)急、響應(yīng)、處置等方面實(shí)現(xiàn)聯(lián)動(dòng)，通過事前預(yù)警、災(zāi)難備份、事中應(yīng)急協(xié)調(diào)、事后災(zāi)難恢復(fù)等，來提高應(yīng)對(duì)信息安全危機(jī)或突發(fā)事件的處理能力。,(11) 信息安全文化培育。 安全文化是以精神、價(jià)值觀為導(dǎo)向，反映個(gè)人和集體的價(jià)值

13、觀、態(tài)度、能力和行為方式的綜合產(chǎn)物。安全文化作為組織文化的一個(gè)子概念，具有無形管理、全面管理、能動(dòng)管理的特點(diǎn)。把安全管理放到社會(huì)文化背景的大視野中去研究思考，用文化的核心元素，用文化管理的更高境界，創(chuàng)新和提升安全管理的水平，這是“以人為本”的科學(xué)發(fā)展觀對(duì)安全生產(chǎn)提出的客觀要求。,通過信息網(wǎng)絡(luò)安全文化建設(shè)，能夠?qū)崿F(xiàn)安全認(rèn)識(shí)的導(dǎo)向功能、安全思想的凝聚功能、安全行為的規(guī)范功能。通過加大信息網(wǎng)絡(luò)安全文化宣傳力度，能夠使上網(wǎng)人員主動(dòng)接受正確的安全意識(shí)、態(tài)度和信念；通過信息網(wǎng)絡(luò)安全文化知識(shí)的傳播、教育，能夠形成人人需要網(wǎng)絡(luò)安全的共識(shí)，使上網(wǎng)人員從“要我安全”變?yōu)椤拔乙踩保?通過加強(qiáng)信息網(wǎng)絡(luò)安全文化建設(shè)

14、，將會(huì)使上網(wǎng)人員加深對(duì)網(wǎng)絡(luò)安全法律、法規(guī)、標(biāo)準(zhǔn)的理解和認(rèn)識(shí)，學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)及技能，增強(qiáng)信息素質(zhì)，從而對(duì)上網(wǎng)人員起到重要規(guī)范作用或產(chǎn)生自覺的約束功能。,(12) 信息安全國(guó)際合作。 當(dāng)前，信息安全問題不只是某個(gè)國(guó)家的國(guó)內(nèi)安全問題，也不單是憑一個(gè)國(guó)家、一個(gè)企業(yè)或一種技術(shù)就能解決得了的問題，而是需要通過各國(guó)政府、各種國(guó)際組織、民間團(tuán)體、私營(yíng)企業(yè)和個(gè)人之間的充分合作，才有可能解決的全球性安全問題。信息安全國(guó)際合作的內(nèi)容包括參加國(guó)際性的安全會(huì)議、加入國(guó)際安全組織、把中國(guó)的信息安全技術(shù)和理念推向世界等。,15.2 企事業(yè)單位信息安全管理模型,企事業(yè)單位信息安全管理的最終目標(biāo)是保護(hù)其信息資產(chǎn)，保證其業(yè)務(wù)的

15、安全平穩(wěn)運(yùn)行。由于新的風(fēng)險(xiǎn)在不斷出現(xiàn)，系統(tǒng)的安全需求也在不斷變化，因此，企事業(yè)單位的信息安全管理應(yīng)該是一個(gè)動(dòng)態(tài)的不斷改進(jìn)的持續(xù)發(fā)展過程。,由美國(guó)管理學(xué)博士戴明(W.E.Deming)于20世紀(jì)50年代初提出的戴明環(huán)，即規(guī)劃(Plan)、執(zhí)行(Do)、檢查(Check)和行動(dòng)(Action)的持續(xù)改進(jìn)模型(簡(jiǎn)稱PDCA模型)，是進(jìn)行質(zhì)量管理的基本方法。逐漸的管理實(shí)踐表明，PDCA循環(huán)管理模式是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的一種合乎邏輯的工作程序，是管理學(xué)中的一個(gè)通用模型。,上述持續(xù)改進(jìn)PDCA過程模式同樣適用于企事業(yè)單位的信息安全管理，只不過這里P、D、C、A的具體涵義均應(yīng)體現(xiàn)信息安全管理特色，如圖

16、15-1所示。,圖15-1 企事業(yè)單位信息安全管理PDCA模型,Plan(規(guī)劃)。規(guī)劃階段的活動(dòng)包括：建立組織機(jī)構(gòu)，明晰責(zé)任，確定安全目標(biāo)、戰(zhàn)略和策略，進(jìn)行風(fēng)險(xiǎn)評(píng)估，選擇安全措施，并在明確安全需求的基礎(chǔ)上制定安全計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃、意識(shí)培訓(xùn)等信息安全管理程序和過程。規(guī)劃是信息安全管理周期的起點(diǎn)，作為安全管理的準(zhǔn)備階段，為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。,Do (執(zhí)行)。實(shí)施階段是實(shí)現(xiàn)計(jì)劃階段確定目標(biāo)的過程，包括安全策略、所選擇的安全措施或控制、安全意識(shí)和培訓(xùn)程序等。 Check(檢查)。信息安全實(shí)施過程的效果如何，需要通過監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段來進(jìn)行檢查，檢查的依據(jù)就是計(jì)劃階段建立的安全策略、

17、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。,Action(改進(jìn))。如果檢查發(fā)現(xiàn)安全實(shí)施的效果不能滿足計(jì)劃階段建立的需求，或者有意外事件發(fā)生和由某些因素引起了新的變化，可經(jīng)過管理層認(rèn)可，采取相應(yīng)的措施進(jìn)行改進(jìn)，并按照已經(jīng)建立的響應(yīng)機(jī)制來行事，必要時(shí)進(jìn)入新一輪的信息安全管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。,上述每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活動(dòng)的螺旋式提升。,15.3 企事業(yè)單位信息安全管理中的 關(guān)鍵環(huán)節(jié),15.3.1 企業(yè)信息安全管理策略的制訂,

18、企業(yè)信息安全管理策略的制訂依據(jù)來源于如下三個(gè)方面： (1) 法律法規(guī)與合同條約的要求。與信息安全相關(guān)的法律法規(guī)是對(duì)組織的強(qiáng)制性要求。,(2) 組織的原則、目標(biāo)和規(guī)定。組織從自身業(yè)務(wù)和經(jīng)營(yíng)管理的需求出發(fā)，必然會(huì)在信息技術(shù)方面提出一些方針、目標(biāo)、原則和要求，據(jù)此明確自己的信息安全要求，確保支持業(yè)務(wù)運(yùn)作的信息處理活動(dòng)的安全性。,(3) 風(fēng)險(xiǎn)評(píng)估的結(jié)果。組織對(duì)信息資產(chǎn)的保護(hù)程度和控制方式的確定都應(yīng)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上。一般來講，通過綜合考慮每項(xiàng)資產(chǎn)所面臨的威脅、自身的弱點(diǎn)、威脅造成的潛在影響和發(fā)生的可能性等因素，組織可以分析并確定具體的安全需求。風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)。,15.3.2 企事業(yè)

19、單位信息安全風(fēng)險(xiǎn)評(píng)估,信息安全風(fēng)險(xiǎn)評(píng)估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成相當(dāng)?shù)奈：Γ仨毺岢鲇嗅槍?duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息的安全。,信息安全風(fēng)險(xiǎn)評(píng)估過程是依據(jù)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。,信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟如下： (1) 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備； (2)

20、 資產(chǎn)識(shí)別； (3) 威脅識(shí)別； (4) 脆弱性識(shí)別；,(5) 已有安全措施的確認(rèn)； (6) 風(fēng)險(xiǎn)分析； (7) 風(fēng)險(xiǎn)評(píng)估文件記錄。 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程如圖15-2所示。,圖15-2 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程,信息安全風(fēng)險(xiǎn)評(píng)估的具體方法可參見國(guó)家標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估指南。,15.3.3 企事業(yè)單位信息系統(tǒng)的安全運(yùn)行管理 為確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，企事業(yè)單位的相關(guān)業(yè)務(wù)部門應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)，對(duì)信息系統(tǒng)安全生產(chǎn)運(yùn)行提前做出安排，確保信息系統(tǒng)平穩(wěn)安全運(yùn)行。具體做法應(yīng)強(qiáng)調(diào)如下幾點(diǎn)： (1) 加強(qiáng)信息運(yùn)作隊(duì)伍建設(shè)，努力提升信息運(yùn)行人員的業(yè)務(wù)能力。,(2) 分級(jí)控制，責(zé)任到人。組織管理和運(yùn)行維護(hù)管理應(yīng)按不同層次分

21、別負(fù)責(zé)。 (3) 加強(qiáng)值班制度，確保信息聯(lián)系渠道暢通。 (4) 加強(qiáng)網(wǎng)絡(luò)系統(tǒng)監(jiān)控，及時(shí)發(fā)現(xiàn)問題并及時(shí)排除。,15.3.4 企事業(yè)單位信息安全應(yīng)急管理 所謂的應(yīng)急管理，就是指一旦危機(jī)爆發(fā)，如何用最小的成本、以最快的速度把損失降到最低。以“一案三制”為核心內(nèi)容的應(yīng)急管理體系建設(shè)是做好信息安全應(yīng)急管理工作的基礎(chǔ)。,1. 一案 一案指信息安全應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)預(yù)案實(shí)際上是一個(gè)透明和標(biāo)準(zhǔn)化的反應(yīng)程序,使應(yīng)急響應(yīng)活動(dòng)能按照預(yù)先周密的計(jì)劃和最有效的實(shí)施步驟有條不紊地進(jìn)行。這些計(jì)劃和步驟是快速響應(yīng)和有效防護(hù)的基本保證。制訂、修訂應(yīng)急預(yù)案是加強(qiáng)應(yīng)急體系建設(shè)的基礎(chǔ)性工作和首要任務(wù)。應(yīng)急預(yù)案的完整框架包括：,(

22、1) 目的、工作原則、法律法規(guī)依據(jù)、適用范圍； (2) 應(yīng)急處置指揮機(jī)構(gòu)的組成和相關(guān)部門的職責(zé)及權(quán)限，包括各類應(yīng)急組織機(jī)構(gòu)與職責(zé)、組織體系的框架等； (3) 信息安全事件監(jiān)測(cè)與預(yù)警，包括預(yù)測(cè)與預(yù)警系統(tǒng)、預(yù)警級(jí)別、預(yù)警行動(dòng)、預(yù)警支持系統(tǒng)等； (4) 信息安全事件信息的收集；包括信息收集、分析、報(bào)告、通報(bào)和新聞發(fā)布的制度；,(5) 信息安全事件的應(yīng)急響應(yīng)，包括事件的分級(jí)、分級(jí)負(fù)責(zé)、指揮協(xié)調(diào)、先期處置、控制等； (6) 信息安全事件應(yīng)急保障，包括人力資源、財(cái)力、通訊、應(yīng)急技術(shù)、應(yīng)急設(shè)施設(shè)備的保障； (7) 信息安全事件后的恢復(fù)與重建等； (8) 應(yīng)急預(yù)案的管理，包括預(yù)案演練、培訓(xùn)教育、責(zé)任與獎(jiǎng)勵(lì)、預(yù)

23、案更新等。,制訂和修訂信息安全應(yīng)急預(yù)案的過程是一個(gè)不斷總結(jié)經(jīng)驗(yàn)教訓(xùn)的過程，一個(gè)查找薄弱環(huán)節(jié)的過程，一個(gè)改進(jìn)工作的過程，一個(gè)拓寬視野不斷學(xué)習(xí)的過程，一個(gè)與時(shí)俱進(jìn)的過程。,2. 三制 三制指加強(qiáng)應(yīng)急機(jī)制建設(shè)、建立健全應(yīng)急體制、依據(jù)相關(guān)法制。 企事業(yè)單位的信息安全管理不僅需要制訂和完善信息安全應(yīng)急預(yù)案，還需要建立健全應(yīng)急信息傳遞機(jī)制，堅(jiān)持早發(fā)現(xiàn)、早報(bào)告、早控制、早解決的應(yīng)急處置原則，同時(shí)落實(shí)領(lǐng)導(dǎo)、相關(guān)部門和個(gè)人的責(zé)任，建立健全社會(huì)預(yù)警體系，形成統(tǒng)一指揮、功能齊全、反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效的應(yīng)急機(jī)制，提高保障公共安全和處置突發(fā)事件的能力；最后還要依法行事，努力使應(yīng)急處置逐步走向規(guī)范化、制度化和法制化軌道。,

24、突發(fā)事件應(yīng)對(duì)法是應(yīng)對(duì)嚴(yán)峻公共安全形勢(shì)的法寶。信息安全事件分類分級(jí)指南和信息安全事件管理兩項(xiàng)國(guó)家標(biāo)準(zhǔn)，是指導(dǎo)用戶對(duì)信息安全事件進(jìn)行分類、定級(jí)、管理，對(duì)信息安全事件進(jìn)行應(yīng)急處理和通報(bào)的指導(dǎo)性標(biāo)準(zhǔn)。,應(yīng)急事件處理流程：準(zhǔn)備工作事件認(rèn)定控制事態(tài)發(fā)展事件消除事件恢復(fù)事件追蹤。 例15-1 病毒事件處理流程如圖15-3所示。,圖15-3 病毒事件處理流程,15.4 ISO/IEC 27000系列標(biāo)準(zhǔn)簡(jiǎn)介,15.4.1 企業(yè)信息安全管理與ISO / IEC 27000系列標(biāo)準(zhǔn),建立完善的信息安全管理體系是企事業(yè)單位進(jìn)行科學(xué)信息安全管理的客觀要求。,ISO/IEC 27000系列標(biāo)準(zhǔn)中的27001信息安全管理

25、體系要求和27002信息安全管理實(shí)用規(guī)則，從一個(gè)組織如何建立信息安全管理體系的角度闡述了相關(guān)的過程和活動(dòng)，以及過程活動(dòng)中需要完成的輸入輸出。ISO/IEC 27001標(biāo)準(zhǔn)已在世界范圍內(nèi)被公認(rèn)為認(rèn)證、合同及法規(guī)要求標(biāo)準(zhǔn)，對(duì)提高組織的實(shí)際安全管理水平具有重要指導(dǎo)意義。,ISO/IEC 27001，即信息安全管理體系要求，是ISO27000系列的主標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持、改進(jìn)信息安全管理體系的要求。它基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程(PDCA模型)使組織達(dá)到有效的信息安全。ISO/IEC 27001使用了和ISO 9001、ISO 14001相同的管理

26、體系過程模型，是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)。ISO/IEC 27001標(biāo)準(zhǔn)與ISO/IEC 27002共同使用，一個(gè)組織在按照27001實(shí)施其信息安全管理體系的過程中，應(yīng)選擇27002中推薦的控制措施。,ISO/IEC 27002信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則包括11個(gè)安全控制要項(xiàng)、39個(gè)控制目標(biāo)、133項(xiàng)控制措施，給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，作為組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)施指南。,15.4.2 ISO/IEC 27000系列其他標(biāo)準(zhǔn)簡(jiǎn)介 2005年4月，國(guó)際上正式通過了信息安全管理體系系列標(biāo)準(zhǔn)的開發(fā)計(jì)劃，即ISO/IEC 27000系列標(biāo)準(zhǔn)。ISO/IEC 27000系列

27、標(biāo)準(zhǔn)目前共有10余個(gè)，前面已經(jīng)對(duì)27001和27002作了描述，其他標(biāo)準(zhǔn)簡(jiǎn)介如下：,ISO/IEC 27000，即信息安全管理體系 基礎(chǔ)和詞匯。它將主要以ISO/IEC 13335-1:2004信息和通信技術(shù)安全管理 第1部分：信息和通信技術(shù)安全管理的概念和模型為基礎(chǔ)進(jìn)行研究。該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的基本原則、概念和詞匯,ISO/IEC 27003，即信息安全管理體系 實(shí)施指南，目前處于工作草案階段。該標(biāo)準(zhǔn)提供了27001具體實(shí)施的指南，包括PDCA 過程的詳細(xì)指導(dǎo)和幫助。 ISO/IEC 27004，即信息安全管理測(cè)量。目前處于工作草案階段。該標(biāo)準(zhǔn)主要是測(cè)量組織信息安全管理體系

28、實(shí)施的有效性、過程的有效性和控制措施的有效性。,ISO/IEC 27005，即信息安全風(fēng)險(xiǎn)管理。目前處于委員會(huì)草案階段。該標(biāo)準(zhǔn)主要以ISO/IEC 13335-2信息技術(shù)信息和通信技術(shù)安全管理 第2部分：信息安全風(fēng)險(xiǎn)管理為基礎(chǔ)進(jìn)行制定。描述了信息安全風(fēng)險(xiǎn)管理的一般過程及每個(gè)過程的詳細(xì)內(nèi)容，包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、監(jiān)視和評(píng)審風(fēng)險(xiǎn)、保持和改進(jìn)風(fēng)險(xiǎn)等。,ISO / IEC 27015-金融和保險(xiǎn)服務(wù)部門。該標(biāo)準(zhǔn)是ISO/IEC27001標(biāo)準(zhǔn)在金融和保險(xiǎn)業(yè)的特殊運(yùn)用。,15.4.3 ISO/IEC 27000 標(biāo)準(zhǔn)展望 從信息安全管理體系國(guó)際標(biāo)準(zhǔn)的發(fā)展形勢(shì)來看，ISO/IEC 27000將用

29、于國(guó)際互認(rèn)，可以使面向市場(chǎng)的社會(huì)企業(yè)向合作方及用戶證明其信息安全管理水平，成為組織彼此之間信任的基礎(chǔ)。就其影響范圍來看，不管是出于認(rèn)證考慮，還是以提高組織的實(shí)際安全管理水平為出發(fā)點(diǎn)，該系列標(biāo)準(zhǔn)都將受到越來越多的關(guān)注和應(yīng)用。,思 考 題 (1) 信息安全管理的內(nèi)容構(gòu)成主要有哪些？ (2) 解釋PDCA管理模型。 (3) 企事業(yè)單位信息安全管理策略制訂的依據(jù)是什么？ (4) 什么是風(fēng)險(xiǎn)評(píng)估，其作用是什么？,(5) 什么是應(yīng)急響應(yīng)，如何構(gòu)建一個(gè)企業(yè)內(nèi)部的應(yīng)急響應(yīng)組織？ (6) 應(yīng)急響應(yīng)處理流程有幾步，每步完成什么工作？ (7) 企事業(yè)單位信息安全管理的關(guān)鍵環(huán)節(jié)有哪些，在日常運(yùn)行管理中應(yīng)強(qiáng)調(diào)哪些問題？

30、 (8) 簡(jiǎn)述ISO/IEC 27001和ISO/IEC 27002的主要內(nèi)容。,實(shí)驗(yàn)15 學(xué)院網(wǎng)站安全方案設(shè)計(jì) 一、實(shí)驗(yàn)?zāi)康?(1) 對(duì)一般電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站和校園網(wǎng)的安全性方案有一個(gè)整體認(rèn)識(shí)。 (2) 對(duì)一個(gè)小型網(wǎng)站，能綜合應(yīng)用安全技術(shù)設(shè)計(jì)實(shí)現(xiàn)其安全性目標(biāo)。,二、實(shí)驗(yàn)準(zhǔn)備 (1) 查閱有關(guān)資料，理解網(wǎng)站建設(shè)安全方案應(yīng)包括的內(nèi)容。 (2) 調(diào)查信息學(xué)院網(wǎng)站建設(shè)和使用情況。 (3) 思考信息學(xué)院網(wǎng)站目前采用的安全方案和改進(jìn)辦法。 (4) 本實(shí)驗(yàn)要求分成三人組，自由組合。,三、實(shí)驗(yàn)內(nèi)容 (1) 描述信息學(xué)院網(wǎng)站的建設(shè)目標(biāo)。 (2) 描述信息學(xué)院網(wǎng)站建設(shè)現(xiàn)狀和拓?fù)浣Y(jié)構(gòu)。 (3) 描述信息學(xué)院網(wǎng)

31、站面臨的網(wǎng)絡(luò)威脅與安全性需求。 (4) 描述信息學(xué)院網(wǎng)站建設(shè)應(yīng)遵循的安全性原則。 (5) 分析信息學(xué)院網(wǎng)站目前的安全性方案。,(6) 概述你設(shè)計(jì)的信息學(xué)院網(wǎng)站總體安全方案。 (7) 描述你設(shè)計(jì)的信息學(xué)院網(wǎng)站采用的認(rèn)證方法。 (8) 描述你設(shè)計(jì)的信息學(xué)院網(wǎng)站采用的訪問控制方法。 (9) 描述你設(shè)計(jì)的信息學(xué)院網(wǎng)站入侵檢測(cè)和流量監(jiān)控方法。 (10) 描述你設(shè)計(jì)的信息學(xué)院網(wǎng)站病毒防護(hù)體系。 (11) 為信息學(xué)院網(wǎng)站制訂應(yīng)急響應(yīng)措施和災(zāi)害恢復(fù)計(jì)劃。 (12) 為信息學(xué)院網(wǎng)站制訂出安全管理規(guī)章。,四、實(shí)驗(yàn)報(bào)告 1. 通過實(shí)驗(yàn)回答下列問題 (1) 一般地，網(wǎng)絡(luò)建設(shè)安全方案應(yīng)包括哪些內(nèi)容？ (2) 你認(rèn)為目前的信息學(xué)院網(wǎng)站存在哪些風(fēng)險(xiǎn)，你的依據(jù)是什么？ (3) 請(qǐng)描述審核員的職責(zé)和審核步驟。,2簡(jiǎn)答題 (1) 電子商務(wù)網(wǎng)站與信息學(xué)院網(wǎng)站的安全性需求有何不同？ (2) 信息學(xué)院網(wǎng)站的安全方案設(shè)計(jì)和校園網(wǎng)的安全方案設(shè)計(jì)有何不同？ (3) 面對(duì)眾多的網(wǎng)絡(luò)安全產(chǎn)品和新技術(shù)，你的選擇標(biāo)準(zhǔn)是什么？ (4) 給出你所在小組對(duì)其他兩個(gè)小組所設(shè)計(jì)方案的評(píng)議意見，并說明你的評(píng)議依據(jù)。,