信息安全管理措施汇编演示课件

《信息安全管理措施汇编演示课件》由会员分享，可在线阅读，更多相关《信息安全管理措施汇编演示课件（104页珍藏版）》请在金锄头文库上搜索。

1、第三讲 信息安全管理措施,1,主题一,关于信息安全的定位,安全管理措施,信息安全风险的基本概念,小结,信息安全等级保护简介,2,信息安全管理体系（ISMS）：27001-2013版的“高要求”,1 是一组过程,3 组织管理框架的一部分：两个重要,2 战略性决策,4 用途,采用ISMS是组织的一项战略性决策 受到组织的需要和目标、安全要求、组织过程以及组织的结构和规模的影响,采用风险管理过程来确保信息的CIA-谁的信息？ 目的：给予相关方信心-风险已被充分管控,是组织过程和整体框架的一部分 组织的过程、信息系统和控制的设计需考虑安全,内外组织使用-评估某组织的能力 能力：满足自身安全要求的能力,

2、分析,起点和定位高：战略和管理框架 客户交付：信心 能力：满足自身安全要求-非满足客户安全要求 可操作性：不够细 战略因素？ 与ISMS和风险评估的衔接？ 如何体现定位的“高度”,27001-13版的高要求和高定位,3,高定位的解读,战略性决策：需要领导力和承诺,安全方针、安全目标与组织的战略方向一致 需要了解业务模式、产品、用户和市场（内外环境识别） 需要了解信息对它们的作用（信息的价值） 需要明确信息价值可能的损失 明确信息安全方针和安全目标,业务设计：过程、IS和控制设计中考虑信息安全,企业运行于流程之上，信息在流程中的作用 战略方向中，信息价值在流程中体现 业务流程设计与优化，信息的作

3、用？ 需要明确信息价值可能的损失 设计业务流程和支撑系统中的信息安全 需要考虑内控等中的信息安全,给予相关利益方风险已被管控的信心,谁拥有业务，谁就是业务风险的责任人 相关利益方：内外人员-组织环境识别中获取 谁是风险责任人：业务拥有者 信心：内外人员，业务是安全的 手段：信息安全管理体系 ISMS是一种满足自身安全要求的能力-安全要求指风险被管控,决策,执行,绩效-监督,4,1、战略性决策决定了高层如何看待信息安全？如何建立与之匹配的安全方针和目标？,需要理解组织内外环境 需要了解业务模式、产品、用户和市场 需要理解信息在战略发展中的价值 需要理解降低信息价值的风险 信息安全风险是其中的风险

4、之一,5,物理层面,网络层面,系统层面,安全人员应该主动了解信息安全管理体系的内外环境-内部环境，决定了信息安全的推动力,物理环境,物理设备,存储介质,通信设施,网络边界,网络区域,网络设备,安全设备,服务器,DB主机,存储系统,中间件,决策支持,管理系统,数据处理,智能应用,应用层面,商业智能,搜素,信息内容管理,数据管理,统一消息管理,客户交易与业务价值,虚拟化,IT战略符合,IT治理-COBIT,信息安全风险,ITIL 运维,IT审计,合规：20000/27001,人员-组织-岗位-绩效,业务战略符合,企业治理,风险管理,企业运营,审计,内控与合规,企业管理,管理层：IT管理程序 PDC

5、A IT资源和IT能力,信息准则-IT服务或能力,业务过程和IT系统,IT管理,企业管理,6,战略明道（示例）：信息安全方针和目标与组织的战略方向一致,信息在产品发展的价值 人员数量和服务能力 信息的准确性和及时性至关重要 信息价值损失潜在因素 信息不准确：完整性被破坏 信息不及时：可用性被破坏 其余：保守客户秘密-保密性 信息安全方针 高层负责，为新业务改进保驾护航 信息安全目标 新建IS部分可用性99.9 客户服务数据完整性措施覆盖率100%,7,2、协同工作，在业务流程设计中考虑信息安全,业务的整体性 信息流转拒绝孤岛,职责划分是关键；要有分工和独立职责，更要有整体性,8,关键ISMS需

6、要顶层设计，互相协作，承担不同职责,职能部门,战略-组织环境,战术-业务设计,操作-业务运营,领导和组织 制定战略规划：产品、客户、目标、阶段 影响ISMS的内外因素,参与 业务板块的PEST 负责的产品 面向的客户,指导和审核 业务板块的PEST,组织与负责 确定客户与相关方 设计业务流程,负责 业务操作 业务绩效度量,指导和监督,参与 IT层面的PEST IT服务的用户,组织与负责 IT服务的用户与相关方 IT架构与应用系统实现 设计信息安全,支撑 业务操作支持 信息安全操作,部署实现安全需求,顶层设计：内外环境和风险,业务价值链：信息流转和价值、需求,提供资源支持,9,整体业务价值链：从

7、信息视角看，是一个通过信息流程实现控制与决策的过程,管理者视角：业务环节,8-13 管理支持流程,2.制定愿景和战略,1.了解市场和客户,3. 设计产品和服务,4.市场营销,5.生产和配送产品及提供服务,6.服务性机 构提供服务,7.向客户开票收款及提供服务,信息视角：业务环节,通过信息实现业务支撑,10,信息安全设计的基本过程：目标匹配，整体业务和信息，安全架构,业务目标,信息安全目标,安全架构,支持,业务安全需求,信息服务安全要求,安全属性准则,安全过程,信息-安全目标,部署安全控制,整个系统,业务目标-安全准则,安全架构,交付,运行,闭环：度量-偏差-控制,安全架构来之不易,管理层与业务

8、部门,业务与IT部门,IT部门,11,业务过程对数据的依赖或数据对业务流程的作用,业务过程,输入,输出,信息流,能量流,物流,资金流,信息流,能量流,物流,资金流,业务过程的结构,信息的作用通过应用系统体现，不同应用系统支持不同业务功能（业务过程类型） 经营决策 生产过程（研发、软件开发、制造过程、IT服务、金融服务等） 管理过程（财务管理、人力资源管理等）,信息的作用（通常是控制）确定： -需明确产品（输出）是什么？可能就是数据，当然也有控制数据 过程控制（制造业-自动生产线，按指令自动执行）-实时性强，完全控制生产线，与生产线同步，决定生产效率 过程管理（软件开发项目管理，过程执行的提示、

9、判断，人根据判断结果执行下面的步骤）-非同步，提高效率、质量，降低成本-辅助 决策支持（BI等） 知识查询/辅助 过程记录 产品（流程单元）-决定流程绩效和质量、成本等,12,信息的价值与业务过程和时效性密切相关,决策 执行 监督,时间敏感性 业务高峰 业务低谷,需求规格 设计 归档,核心业务 一般业务,与业务处理环节相关： 关键环节-组织自定义 关键路径上的环节 产能瓶颈环节-决定运营绩效 时效性： 业务峰值-决定保护强度 起作用的时间周期-通常业务数据使用后价值大大降低（过业务操作期限-实时业务） 业务相关： 业务自身的重要程度 综合考虑赋值： 重要的业务、处于业务高峰、在使用周期内、关键

10、环节上的数据赋值最高,信息价值的依据,13,支持性资产识别：从业务过程入手，层次推进，识别资产及依赖关系,管理数据,业务过程 数据 应用软件 基础软件 硬件,上下依赖关系： 被依赖的对象的价值取决于依赖对象，如硬件价值取决于软件 有些依赖程度与组织具体情况相关 这里的价值主要是业务生产（产品或服务）方面的价值，其余的维护维修价值不在此列 人是核心，是特别的“资产”,14,物理层面,网络层面,系统层面,信息安全的层次：数据安全是根本，系统安全是基础，业务安全是目标,物理环境,物理设备,存储介质,通信设施,网络边界,网络区域,网络设备,安全设备,服务器,DB主机,存储系统,中间件,决策支持,管理系

11、统,数据处理,智能应用,应用层面,客户交易与业务价值：业务安全,虚拟化,信息准则-IT服务或能力,应用安全,主机安全,网络安全,物理安全,数据安全,系统安全,信息安全,大部分安全措施不属于IS的四个层面 投入分布导致任务信息安全就是系统安全 侧重系统安全，导致忽视信息在整个业务中的贯穿作用，信息孤岛之外出现“安全孤岛-安全缺乏整体性”-随一个服务器或应用部署安全措施 不怎么理解业务过程，对信息安全在组织的本质理解不足，信息安全风险是无源之水 业务运营和信息安全管理脱节太多,15,信息安全的误读：认为系统安全是全部！,执行过程 业务部门提出安全需求，侧重数据保密、应用系统帐号与权限、性能需求 整

12、体网络环境的安全需求由IT部门自主把握 缺失之处 IT部门极少研究组织整体的业务流程、数据资源及流转情况（需要数据资源规划）、业务对数据的依赖程度等 业务是分割的，信息是孤立的，安全也是孤立的（或者说整体性-体系性）不足 结果 业务和安全条块分割的结果是，一种安全状态（无论怎么实施，一定时间内的信息安全状况是固定的）由不同的人，采用不同的描述方式（目标、语法、语义等）描述，整体性和关联性不足 信息安全是“系统安全”，是IT部门的工作，实践中是自下而上的工作，IT部门疲于奔命,16,3、信息安全实施效果，从业务安全需求入手，度量效果是否满足需求,明确保护对象,选择适度控制,安全部署集成,安全效果

13、度量,CIA不是笼统的，不同业务的不同数据CIA不同 数据的差异性应该体现出来-通过分级,根据差异性选择对应的控制措施 控制措施的选择考虑数据价值和投入成本的均衡,技术措施：部署不同系统层面 管理措施：确保技术措施的有效利用,技术和管理措施的有效性 安全强度-抗攻击能力-偏差,以业务绩效满足与否为目标 控制业务中的信息安全风险,17,业务中的风险因素：信息和IT资产与其他资源因素一样，是业务风险的可能来源,业务过程,输入,输出,信息流,能量流,物流,资金流,信息流,能量流,物流,资金流,业务过程的结构,支持业务过程的关键资产（资源）,人力资产,金融资产,实物资产,知识产权资产,信息和IT资产,

14、关系资产,对待IT和信息,是完成业务过程的资源之一，与其他的资源一样 是资源就有产能 是否足以支持理论产能 空闲产能？是否过大 一样的作用，就一样的分摊成本和共享业务价值 根据业务产能等指标赋值,18,ISMS是企业风险管理的一部分（PDCA持续改进的风险管理）,美国内控研究委员会 企业风险管理是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。 企业风险管理整合框架 风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实

15、现经营的效率和效果、财务报告的可靠性以及法律法规的遵循提供合理保证。,结论： 从业务风险的整体视角看，没有所谓的信息安全风险，它是组织业务风险的一部分 信息安全风险管理本质上是将信息对业务的风险控制到可容忍的程度内，不了解业务就无法界定可容忍程度 信息安全风险因素（威胁、脆弱性等）是业务风险识别中的潜在原因（cause甚至reason） 信息安全风险的影响值必须基于业务绩效（损失）来度量,19,风险与业务场景：风险识别需要关注内外环境，依据业务理顺原因和责任链,财务报表欺骗,产品需求错误,战略决策信息不准,产品设计不当,业务终端DoS,管理员口令破解,缓冲区溢出攻击,客户订单失准,业务人员误操

16、作工单,众多风险：看似散乱,1,2,3,4,5,6,7,8,9,风险是什么 风险分布 风险程度（范围和深度）,20,小结：构建ISMS中的四个关键点,从顶层识别安全需求，自上而下进行风险管理,通过风险管理保障业务安全,1,2,3,4,组织环境识别 关键业务和相关方 相关方安全的期望,确定ISMS范围。明确协作要求 从相关方及期望入手-首先是经营管理范围 其次才是信息及处理设施的范围,风险-机会与应对 识别宏观层面的风险和机会-应对它们的活动-纳入ISMS中 风险分类：经营管理视角层面的分类-四个目标（战略、财务、经营与合规）,通过度量和管理评审，明确安全价值 ISMS有效执行 风险处置措施的价值：需归结到宏观层面的分类上-对应四个目标,顶层设计,协作范围,风险趋向,价值度量,21,软件开发与信息安全管理：既自成体系，又相互融合,项目获取,需求开发,设计与实现,测试,安装部署,验收,需求说明书