《信息安全管理 第8讲 信息安全组织管理(2007年11月19日)(改进版).ppt》由会员分享,可在线阅读,更多相关《信息安全管理 第8讲 信息安全组织管理(2007年11月19日)(改进版).ppt(79页珍藏版)》请在金锄头文库上搜索。
1、第8讲信息安全组织管理 1概述 信息安全管理信息安全管理体系信息安全保障信息安全组织管理 信息安全管理 概念 组织为实现信息安全目标而进行的管理活动 是组织完整的管理体系中的一个重要组成部分 是为保护信息资产安全 指导和控制组织的关于信息安全风险的相互协调的活动范围 包括组织安全策略及安全管理制度 人员管理 业务流程 物理安全 操作安全等从人员上看 信息安全管理涉及到全体员工 包括各级管理人员 技术人员 操作人员等 从业务上看 信息安全管理贯穿到所有与信息及其处理设施有关的业务流程当中重要性 威胁的多样性和复杂性技术手段的局限性 特别是对内部用户 合法用户 信息安全管理基本方法ISO IEC2
2、7001提出的PDCA我国的 信息安全风险管理指南 美国卡耐基 梅隆大学软件工程研究所 CMU SEI 的OCTAVE美国国家安全局提出的SSE CMM美国审计总署提出的 信息安全管理指南 向先进公司学习 GAO AIMD 98 68 美国国家标准和技术学会 NIST 信息技术实验室 ITL 通过对国家测量和标准体系提供技术指导 SP800澳大利亚和新西兰提出的AS NZS4360 1990 风险管理指南 信息安全管理体系 信息安全管理体系 ISMS InformationSecurityManagementSystem 基于业务风险方法 来建立 实施 运行 监视 评审 保持和改进信息安全的一
3、套管理体系整个管理体系的一部分 管理体系包括组织结构 方针策略 规划活动 职责 实践 程序 过程和资源ISMS概念起源源于BS7799 2 也就是后来的ISO IEC27001 ISO IEC27001提出了在组织整体业务活动和所面临风险的环境下建立 实施 运行 监视 评审 保持和改进ISMS的PDCA模型 对PDCA模型的每个阶段的任务及注意事项 ISMS的文件要求 管理职责做了较为详细的说明 并对内部ISMS审核 ISMS管理评审 ISMS改进也分别做了说明 信息安全保障 组织管理保障信息系统安全保障的动力源泉 普通的安全技术 通过制定恰当的管理措施予以配合 可以发挥出出色的安全效能技术保
4、障技术保障是信息安全保障的基础 没有相应的安全技术作为支撑 信息安全目标很难实现法律法规保障法律法规建设不是组织的内部事务 而是整个社会共同面对的问题 法律法规是组织从事各种政务 商务活动所处社会环境的重要组成部分 它能为信息安全提供制度保障 没有法律法规保障 商务 政务活动将无章可循 信息安全的技术和管理人员将失去了约束 标准化建设信息安全标准是规范和协调信息安全管理和技术互通和一致的重要手段 信息安全组织管理 组织管理方面的安全保障措施包括 信息安全策略 是在一个组织内指导如何对包括敏感信息在内的资产进行管理 保护和分配的规则和指示安全组织建设 组织安全是指组织应建立一定的管理框架 以启动
5、和控制组织范围内的信息安全的实施 同时加强处理因与外界各方交流而可能引发的安全问题 如信息安全职责分配 职能部门间工作的协调与沟通 与外部各方合同与协议安全等人力资源安全 人员安全管理是不仅指组织内部人员的安全管理 也包括签约合作方及第三方人员的安全管理 业务连续性管理 业务连续性管理通过预防 检测和恢复的组合 将对机构的影响减少到最低水平 并将信息资产的损失恢复到可接受的程度 信息安全事故管理 安全事故报告机制 处理机制 脆弱点的规范管理机制等符合性 符合性包含三个方面的含义 其一是指法律法规的符合性 其二是指与有关标准 技术规范的符合性 其三是指与组织目标及安全策略的符合性 组织应执行符合
6、性审查 如有不符合情况 应该 确定不符合的原因 评估要纠正这个不符合所需要的措施及代价 决定和实施适当的纠正措施 评审纠正措施 操作安全 组织应该具备规范化的操作程序 操作培训 职责分割 信息备份 安全监控与审计踪迹等物理安全保护 物理安全保护是指对信息处理设施 介质 场所提供物理的安全保护 避免物理介质 设备的物理破坏以及信息处理场所的未授权进入 包括信息处理设备安全 电缆安全 信息处理场所的物理安全等 2信息安全策略 什么是信息安全策略信息安全策略的制定信息安全策略的框架信息安全策略的支持文件信息安全策略的推行 什么是信息安全策略 信息安全策略是一组规则 它们定义了一个组织要实现的安全目标
7、和实现这些安全目标的途径 分为两个部分 问题策略 issuepolicy 描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度功能策略 functionalpolicy 描述如何解决所关心的问题 包括制定具体的硬件和软件配置规格说明 使用策略以及雇员行为策略 对信息安全策略的要求必须有清晰和完全的文档描述必须有相应的措施保证信息安全策略得到强制执行 包括行政措施等也需要根据业务情况的变化不断地修改和补充信息安全策略 特点 信息安全策略的内容应该有别于技术方案 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件 它不涉及具体做什么和如何做的问题 只需指出要完成的目标信息安全策略
8、是原则性的和不涉及具体细节的 对于整个组织提供全局性指导 为具体的安全措施和规定提供一个全局性框架 在信息安全策略中不规定使用什么具体技术 也不描述技术配置参数 信息安全策略的另外一个特性就是可以被审核 即能够对组织内各个部门信息安全策略的遵守程度给出评价 信息安全策略的描述语言应该是简洁的 非技术性的和具有指导性的 信息安全策略的制定 制定信息安全策略的基础组织业务系统的组成 哪些业务部分是孤立的 哪些部分是相互连接的 系统内部人员采用什么通信方式 各个部门采用什么业务运做方式等而这些都是随时间不断变化的 在需要时信息安全策略的制定者要对信息安全策略进行修改和调整衡量信息安全策略的首要标准信
9、息安全策略现实可行性 信息安全策略既要符合现实业务状态 又要能包容未来一段时间的业务发展要求制定信息安全策略应该是一个组织保证信息安全的第二步在制定信息安全策略之前首先要确定安全风险量化和估价方法 明确一个组织要保护什么和需要付出多大的代价去保护 建立信息安全策略的过程应该是一个协商的团体活动起草小组应该包括业务部门的代表信息安全策略草稿完成后 应该将它发放到业务部门去征求意见 弄清信息安全策略会如何影响各部门的业务活动在这些活动中 发现一些熟悉部门情况能代表部门意见帮助与部门进行沟通的业务联络人员 信息安全策略框架 信息安全策略的制定者综合风险评估 信息对业务的重要性 管理考虑 组织所遵从的
10、安全标准 信息安全策略可能包括下面的内容 加密策略 描述组织对数据加密的安全要求使用策略 描述设备使用 计算机服务使用和雇员安全规定 以保护组织的信息和资源安全线路连接策略 描述诸如传真发送和接收 模拟线路与计算机连接 拨号连接等安全要求反病毒策略 给出有效减少计算机病毒对组织的威胁的一些指导方针 明确在哪些环节必须进行病毒检测应用服务提供策略 定义应用服务提供者必须遵守的安全方针 审计策略 描述信息审计要求 包括审计小组的组成 权限 事故调查 安全风险估计 信息安全策略符合程度评价 对用户和系统活动进行监控等活动的要求电子邮件使用策略 描述内部和外部电子邮件接收 传递的安全要求数据库策略 描
11、述存储 检索 更新等管理数据库数据的安全要求非武装区域策略 定义位于 非军事区域 DemilitarizedZone 的设备和网络分区第三方的连接策略 定义第三方接入的安全要求敏感信息策略 对于组织的机密信息进行分级 按照它们的敏感度描述安全要求内部策略 描述对组织内部的各种活动安全要求 使组织的产品服务和利益受到充分保护Internet接入策略 定义在组织防火墙之外的设备和操作的安全要求口令防护策略 定义创建 保护和改变口令的要求 远程访问策略 定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求 路由器安全策略 定义组织内部路由器和交换机的最低安全配置 服务器安全策略 定义组织内部
12、服务器的最低安全配置 VPN安全策略 定义通过VPN接入的安全要求 无线通讯策略 定义无线系统接入的安全要求 信息安全策略的支持文件 组织制定出信息安全策略之后 还需要制定一系列的配套标准来规定人员和部门如何遵守信息安全策略 比如针对条目1的规定 可以为财务部门的计算机数据加密规定如下的标准 所有安装Windows2000的财务部门计算机应该利用内置加密文件系统EFS将所有文件夹和子文件夹配置成自动加密文档方式所有人员必须将公司的文件和信息存放在加密的硬盘分区上计算机技术部负责保管EFS恢复密钥 此密钥只能由计算机技术部经理和内部审计经理访问 类似地 对于掌上电脑中信息的加密 对于电子邮件消息
13、的加密 仍然需要规定其他的标准 这样 条目1所规定的加密策略才能保证得到执行 在这些标准里 要明确说明使用什么产品对什么类型的信息进行加密 这样做带来的好处是 策略描述了总体的安全目标和方向 不会因为技术产品的升级而过时 一个信息安全策略应该能够使用几年甚至十几年的时间 充分考虑不同部门的业务差异 各个部门的安全要求可能很不相同 各个部门通过制定不同的部门标准可以获得一定的自主空间 详细的标准便于雇员查找 了解和学习安全规定 信息安全策略的推行 对策略的支持与服从建立对信息安全策略的支持和服从是一个艰难的过程 使用 这将造成严重后果 这样的威胁性语句对于雇员的影响是有限度的 过于频繁的安全警告
14、最终会降低大家的注意力采用以业务为中心的对话 提醒员工所面对的信息有极大的价值和需要给予特别的保护倒是行之有效的措施 同时信息安全策略制定者也应该掌握安全和业务需要之间的平衡 争取尽早得到最高管理层的理解和支持 策略的宣贯 一个信息安全策略如果是由最高管理者颁布的 则是一个好的开始 除此之外 还有一些好的手段印刷日历 强调每个月不同的策略 将它们张贴在办公室中 利用幽默和简单的语言表述信息安全策略 分发给每个雇员 设立一些几十分钟的内部培训课程 进行信息安全策略知识竞赛 将信息安全策略和标准发布在内部系统的网站上 向公司员工发送宣传信息安全策略的邮件 建立内部安全热线 回答雇员关于信息安全策略
15、的问题 信息安全策略推行的日常化制定和执行信息安全策略是一个持续性的工作 包括起草和更新标准 对雇员进行培训和测量策略符合程度等 3安全组织建设 3 1内部组织3 2外部各方3 3人力资源安全3 4人力防火墙 3 1内部组织 内部组织的内容内部组织工作要点 内部组织的内容 建立管理框架 以启动和控制组织范围内的信息安全的实施管理层批准信息安全方针 指派安全角色 协调和评审整个组织安全的实施建立信息安全专家团队 内部组织工作要点 信息安全的管理承诺确保信息安全目标得以识别 满足组织需求 并已被整合到相关过程中 制定 评审 批准信息安全策略 评审信息安全策略实施的有效性 为安全举措提供清晰的方向和
16、可视化的管理层支持 为信息安全提供所需的资源 批准整个组织内信息安全特定角色和职责的分配 启动计划和程序来保持信息安全意识 确保整个组织内的信息安全控制的实施相互协调 信息安全协调 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调确保安全活动的实施与信息安全策略相一致 确定如何处理不符合 核准信息安全相关的方法和过程 例如风险评估 信息分类 识别重大的威胁变化和信息系统内暴露于威胁下的信息和信息处理过程 评估信息安全控制实施的充分性性和协调性 有效地促进整个组织内的信息安全教育 培训和意识 评价在信息安全事故的监视和评审中获得的信息 推荐适当的措施响应识别的信息安全事故 信息安全职责的分配信息安全职责的分配应和信息安全策略相一致 各个资产的保护和执行特定安全过程的职责应被清晰的识别 这些职责应在必要时加以补充 来为特定地点和信息处理设施提供更详细的指南 资产保护和执行特定安全过程 诸如业务连续性规划 的局部职责应予以清晰地定义 分配有安全职责的人员可以将安全任务委托给其他人员 尽管如此 他们仍然负有责任 并且他们应能够确定任何被委托的任务是否已被正确地执行 个人负
