《CISP0303信息安全控制措施_v30》由会员分享,可在线阅读,更多相关《CISP0303信息安全控制措施_v30(95页珍藏版)》请在金锄头文库上搜索。
1、信息信息安全控制措施安全控制措施内容组织内容组织结构结构v每个主要安全控制措施类别,包括:一个或多个控制目标,声明要实现什么对于每个控制目标,包含一项或多项控制措施,可被用于实现该控制目标不是所有的控制措施适用于任何场合,它也不会考虑到使用者不是所有的控制措施适用于任何场合,它也不会考虑到使用者的具体环境和技术限制,也不可能对一个组织中所有人都的具体环境和技术限制,也不可能对一个组织中所有人都适用适用21111个个个个类别类别类别类别3939个目标个目标个目标个目标133133个控制措施个控制措施个控制措施个控制措施课程内容课程内容3知识体知识域知识子域信息安全信息安全管理管理体系体系信息安全
2、信息安全管理体系建设管理体系建设人力资源安全人力资源安全信息安全组织信息安全组织安全方针安全方针物理和环境安全物理和环境安全信息安全信息安全管理体系基础管理体系基础资产管理资产管理信息安全信息安全控制措施控制措施通信和操作管理通信和操作管理访问控制访问控制信息系统获取、开发和维护信息系统获取、开发和维护符合性符合性知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域: 安全方针安全方针v理解信息安全方针控制目标的含义v掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法4Why?Why?v有没有遇到过这样的事情?案例1 有单位领导说:“听说信息安全工作很重要,可是我不知道
3、对于我们单位来说到底有多重要,也不知道究竟有哪些信息是需要保护的。”5安全方针安全方针v控制目标(1)信息安全方针6信息安全方针信息安全方针v控制目标控制目标: :组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全v控制控制措施措施信息安全方针文件信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息安全方针评审信息安全方针评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保其持续的适宜性、充分性和有效性7信息信息安全安全方针方针应应符合实际情况,切实可行。符合实际情况,切实可行。对方针的对方针的落落实尤为重要实尤为重要
4、信息安全方针文件信息安全方针文件v信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件信息信息安全安全方针方针应当应当说明说明以下以下内容内容:本单位信息安全的整体目标、范围以及本单位信息安全的整体目标、范围以及重要性重要性信息安全工作的信息安全工作的基本原则基本原则风险评估和风险控制措施的风险评估和风险控制措施的架构架构需要遵守的法规和需要遵守的法规和制度制度信息安全责任信息安全责任分配分配对支持方针的文件的引用对支持方针的文件的引用8信息信息安全安全方针方针主要主要阐述信息安全工作的原则,具体的技阐述信息安全工作的原则,具体的技术实现问题,如设备的选型,系统的安全技术方案一
5、般术实现问题,如设备的选型,系统的安全技术方案一般不写在不写在安全安全方针方针中中知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域: 信息安全组织信息安全组织v理解内部组织控制目标的含义,掌握信息安全协调等实现这一目标的控制措施的常规实施方法v理解外部各方控制目标的含义,掌握与外部各方相关风险的识别等控制措施的实施方法9Why?Why?v有没有遇到过这样的事情?案例1 我是一名网络管理员,发现最近来自外部的病毒攻击很猖獗,要是有15万买个防毒墙就解决问题了,找谁要这笔钱,谁来采购?案例2 我是一名普通工作人员,我的内网计算机上不了外网没办法打补丁,我该找谁获得帮助?应该有一群
6、人,至少包括单位领导、技术部门和应该有一群人,至少包括单位领导、技术部门和行政部门的人组织在一起,专门负责信息安全的行政部门的人组织在一起,专门负责信息安全的事事10信息安全组织信息安全组织v控制目标控制目标(1)内部组织(2)外部各方11(1)(1)内部组织内部组织v控制目标控制目标:实现对组织内部的信息安全管理v控制措施控制措施:信息安全的管理承诺12信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审信息安全的管理承诺信息安全的管理承诺v高层管理者参与信息安全建设,负责重大决策,提供资源,并对工作方向、职责分配给出清晰的说明
7、高层管理者就是说了算的,可以给人、高层管理者就是说了算的,可以给人、给钱、给设备,提出工作要求还给与给钱、给设备,提出工作要求还给与资源保障的资源保障的人人13信息安全协调信息安全协调v不仅仅由信息化技术部门参与,与信息安全相关的部门(如行政、人事、安保、采购、外联)都应参与到组织体系中各司其责,协调配合。因此需要协调信息安全工作和其他工作一样不是某个信息安全工作和其他工作一样不是某个个个人人、某个某个部门就可以完成部门就可以完成的的信息技术信息技术部门是信息安全组织中的重要执部门是信息安全组织中的重要执行机构,但不是行机构,但不是全部全部14机构内部机构内部达成共识达成共识避免避免流于形式或
8、作假流于形式或作假信息安全职责的分配信息安全职责的分配v为有效实施信息安全管理,保障和实施系统的信息安全,应在机构内部建立信息安全组织,明确角色和职责v信息安全责任的重要性 在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步 15与政府部门的联系、与政府部门的联系、与特定利益集团的联系与特定利益集团的联系v要注意充分利用外部资源,与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系例如与电力部门建立良好的协作关系,停例如与电力部门建立良好的协作关系,停电了,电了,UPS的电也要用光了,
9、电力部门可的电也要用光了,电力部门可以开个发电车来解决关键信息系统临时电以开个发电车来解决关键信息系统临时电力供应力供应16(2)(2)外部各方外部各方v控制目标控制目标:保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全v控制措施控制措施:与外部各方相关风险的识别17处理外部各方协议中的安全问题访问风险:访问风险:维护维护软件设备的承包商软件设备的承包商清洁清洁、送餐人员、送餐人员外部外部咨询咨询人员人员审核人员审核人员知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域: 资产管理资产管理v理解对资产负责控制目标的含义,掌握资产清单、资产责任人等控制
10、措施的实施方法v理解信息分类控制目标的含义,掌握分类指南、信息的标记和处理等控制措施的实施方法18WhyWhy?v那些曾经发生过的事:案例1:某单位欲安装一台网络防火墙,却发现没有人可以说清楚当前的真实网络拓扑情况,也没有人能说清楚系统中有哪些服务器,这些服务器运行了哪些应用系统。案例2:某单位信息安全评估,发现大部分服务器安全状况良好,只有一台服务器存在严重安全漏洞。研究整改措施时,发现平时没有人对该服务器的安全负责。19资产管理资产管理v控制目标控制目标(1)对资产负责(2)信息分类20(1)(1)对资产负责对资产负责v控制目标控制目标:实现和保持对组织资产的适当保护v控制措施控制措施:资
11、产清单21资产责任人资产的可接受使用资产清单资产清单v信息安全管理工作的直接目的是保护组织的资产v资产包括:信息:业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件:应用软件、系统软件、开发工具物理资产:计算机设备、通信设备、存储介质等服务:通信服务、供暖、照明、能源等人员无形资产,如品牌、声誉和形象22资产责任人资产责任人v明确资产责任列出资产清单,明确保护对象明确资产受保护的程度明确谁对资产的安全负责23(2)(2)信息分类信息分类v控制目标控制目标:确保信息受到适当级别的保护v控制措施控制措施:分类指南24信息的标记和处理分类指南分类指南v分类依据根据信息的价值、
12、法律要求和对组织的敏感程度进行分类v关注点、重点不同直接影响信息分类军事机构更加关注机密信息的保护,私有企业通常更加关注数据的完整性和可用性25v分类必要步骤定义分类类别说明决定信息分类的标准制定每种分类所需的安全控制,或保护机制建立一个定期审查信息分类与所有权的程序让所有员工了解如何处理各种不同分类信息分类指南分类指南建议分类方法不宜复杂,否则容易造成混乱建议分类方法不宜复杂,否则容易造成混乱每种分类应唯一区别于其它分类,同时不能有任何重叠每种分类应唯一区别于其它分类,同时不能有任何重叠分类过程还应简单说明如何在其生命周期内控制并处理分类过程还应简单说明如何在其生命周期内控制并处理26信息的
13、标记和处理信息的标记和处理v标识信息类别,表明文件的密级、存储介质的种类(如内网专用U盘)v规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序27知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域: 人力资源安全人力资源安全v理解任用前控制目标的含义,掌握角色和职责、审查等控制措施的实施方法v理解任用中控制目标的含义,掌握管理职责、信息安全意识教育和培训等控制措施的实施方法v理解任用的终止或变化控制目标的含义,掌握终止职责、撤销访问权等控制措施的实施方法28Why?Why?v那些曾经发生过的事:案例一:2010年3月中旬,汇丰控股发布公告,其旗下汇丰私人银行(瑞士)的一名
14、IT员工,曾于三年前窃取了银行客户的资料,失窃的资料涉及1.5万名于2006年10月前在瑞士开户的现有客户。有鉴于此,汇丰银行三年来共投放1亿瑞士法郎,用来将IT系统升级并加强保安。这让人想起了论语中的一句话:“吾恐季孙之忧,不在颛(zhuan)臾(yu),而在萧墙之内也。”萧墙之祸比喻灾祸、变乱由内部原因所致。案例二:某单位负责信息化工作的领导说:“为什么要买防火墙?我们盖楼时是严格按照国家消防有关规定施工的呀!”29人力资源安全人力资源安全v控制目标控制目标(1)任用前(2)任用中(3)任用的终止或变化30(1)(1)任用前任用前v控制目标控制目标:确保雇员、承包方人员和第三方人员理解其工
15、作职责并适合预期角色,以降低设施被窃、欺诈和误用的风险v控制措施控制措施:角色和职责31审查作用条款和条件任用前任用前v对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录v要在合同或专门的协议中,明确其信息安全职责v明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任32(2)(2)任用中任用中v控制目标控制目标:确保所有雇员、承包方和第三方人员了解信息安全威胁和危害,明确其工作应承担的安全职责和义务,如果违反安全规定将会受到的纪律处理,通过安全培训使其掌握信息处理设施的安全正确使用方法,以减少人为过失造成的风险v控制措施控制措施:管
16、理职责33信息安全意识、教育和培训纪律处理过程任用中任用中v保证其充分了解所在岗位的信息安全角色和职责v有针对性地进行信息安全意识教育和技能培训v及时有效的惩戒措施34(3)(3)任用的终止或变化任用的终止或变化v控制目标控制目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系,包括调换岗位或岗位职责发生变化v控制措施控制措施:终止职责35资产的归还撤销访问权离职可能引发的安全隐患离职可能引发的安全隐患v未删除的账户v未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用v其它隐含信息网络架构、规划,存在的漏洞同事的账户、口令和使用习惯等这些信息和权限如果被离职的员工和攻击者们这些信息和权限如果被离职的员工和攻击者们恶意利用,很容易导致信息恶意利用,很容易导致信息安全安全事件事件36任用的终止任用的终止v终止职责:组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责,如通知相关人员人事变化,向离职者重申离职后仍需遵守的规定和承担的义务v归还资产:保证离职人员归还软件、电脑、存储设备、文件和其他设备v撤销访问权限:撤销用户名、门禁卡、密钥、数字证书
