《企业IT安全管理实务》由会员分享,可在线阅读,更多相关《企业IT安全管理实务(36页珍藏版)》请在金锄头文库上搜索。
1、企业IT 安全管理实务昆妓蒋瞅翼试汛迢钧善叮鹅祖粗听允刷垛汛弹锰汕档折肠孙涎闻倚略币厄企业IT安全管理实务企业IT安全管理实务蝴蝶效应1979年,洛伦斯教授在华盛顿所作的报告中说:他在研究中发现,巴西的一只蝴蝶翅膀挥动一下,会在美国的得克萨斯州形成飓风。这一理论称为“蝴蝶效应”。“蝴蝶效应”是说,有些小事可以糊涂;有些小事如经过系统会被放大,则对一个企业、一个国家至关重要,就不能糊涂。 府倍停没玉生册诌噬脑手峡袍孩馋界斯朽俯程氰旨谩莹歪拂鬼洼俱双瓮更企业IT安全管理实务企业IT安全管理实务青蛙现象“青蛙现象”。“青蛙现象”是19世纪末康奈尔大学几个教授做的一个实验:先把一只青蛙扔进沸腾的油锅里
2、,它非常敏捷,马上跳了出来。然后教授们把这只青蛙放进一只装有温水的铁锅里,下面点着小火。它感到暖洋洋很舒服,水温逐渐升高,它仍然悠然自在。等到它觉得烫了,体内能量已耗尽,肌肉已硬了,跳不出来了,就这样被煮死了。“青蛙现象”告诉我们,一些突变事件,往往容易引起人们警觉,而易致人于死地的却是在自我感觉良好的情况下,对实际情况的逐渐恶化,没有清醒的察觉,没能及时做出反应。当感到危机临头了,再想挽救已经来不及了。人的头脑习惯于注意幅度较大的变化,我们要学会看出缓慢、渐进的过程。用我们中国人的话来说就是要防微杜渐,把问题解决在萌芽状态。 讼煤凶牺窜澄图车梯女版剃渣埂赦砾滦匹腿吾忙剩懈检茅瘪董柱毋攫炬厩企
3、业IT安全管理实务企业IT安全管理实务压力篇用户用户管理层管理层同行同行技术技术成本成本管理管理压力用户希望得到更多的信息、辅助、便利性;尽量少的限制、操作复杂性。管理层希望高效的组织结构,快速响应能力政策上合规政策上合规、支撑企业战略目标达成。技术要求不断提高,组织结构总是被新产品使用拖动传统中用成本中心的眼光看待IT服务支撑部是否比对手领先一步,IT 不仅是基础平台,已经成为战略资源,构成竞争力的主因同样的问题还在出现安全问题技术解决涩拆架荒记洪汐筹铬洽劳庙倦值醚以唆阂隶况饲咒往谰循成文集筛靡帅与企业IT安全管理实务企业IT安全管理实务PDCA In The ISMS设计设计 ISMS I
4、SMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划计划执行执行检查检查反应反应It It 安全安全管理体系管理体系分析现状发现问题分析现状发现问题执行风险评估(分析执行风险评估(分析问题、找出原因、设问题、找出原因、设定目标、定义策略定目标、定义策略建立组织建立组织定义计划定义计划定义规则定义规则塌展染桌零需垄考潮亥余藕栖雄啃汉奄兹彼勒姑峰汇锅庭常棋英肋听媚著企业IT安全管理实务企业IT安全管理实务PDCA In The ISMSDesign the ISMS执行和使用
5、执行和使用 ISMS ISMSMonitoring and review the ISMSImprove and update the ISMSPLAN行动行动CHECKACTISMSISMSIt It 安全安全管理体系管理体系落实责任、执行计划落实责任、执行计划培训、实践,形成核心能培训、实践,形成核心能力力劣则兵管吴醒渺嘴眶永婪太帖澳腿拆栏绘厦屿惺候阅嫩黍勤密某秧定择勇企业IT安全管理实务企业IT安全管理实务PDCA In The ISMSDesign the ISMSImplement and use the ISMS监控和检查监控和检查ISMSISMSImprove and updat
6、e the ISMSPLANDO检查检查ACTIt It 安全安全管理体系管理体系执行监控过程执行监控过程内部审计内部审计风险动态预测风险动态预测发现意外发现意外甥捶母玻拽劈纂房疗腆兴介桐渣疙愈契国夯慈兄热从羹瑞裳耽挪攘萌建斜企业IT安全管理实务企业IT安全管理实务PDCA In The ISMSDesign the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级改进和升级ISMSISMSPLANDOCHECKACTIt It 安全安全管理体系管理体系对比目标,对意外做对比目标,对意外做出改进出改进矫正性和预防
7、性活动矫正性和预防性活动向下一个环节交付现向下一个环节交付现存问题存问题纷扩雀舶患哺养蚀喻韭纺杏兢仅厢虫问挂传棵贤柜只踞嘶湃烫阻昔妥辕举企业IT安全管理实务企业IT安全管理实务合规?合规?监管?监管?投资?投资?规则?规则?组织?组织?策略?策略?目标?目标?IT安全管理安全管理关键环节有哪些?HOW?吩贬松肯疲雀券就券蓖谜雕催床屹锡瘪拜助仇蔷然株讨僧吭寥儡腊脾酱生企业IT安全管理实务企业IT安全管理实务基线目标可量化,可衡量,可以达到的目标可量化,可衡量,可以达到的目标ObjectivObjective e目标目标目标目标目标完成国内上市公司的关于IT 管理的合规要求完成国家对于重点行业实行
8、信息系统等级保护的合规要求完成ISO-27001 的认证其它台屁观新各咨朽贺织茅纺菊赂钥陆蜕镰钻吠翘蛮未服砷箕斜贾笨獭叁讼遇企业IT安全管理实务企业IT安全管理实务安全是管理层的责任安全管理仅在安全管理仅在It部门展开部门展开安全的责任被委派到低层次的人员安全的责任被委派到低层次的人员主观的风险的衡量主观的风险的衡量无专门组织做风险管理无专门组织做风险管理从传统的管理角度从传统的管理角度过渡到董事会关注过渡到董事会关注是是CEO的工作的工作 (属于董事会的监管属于董事会的监管)It 是业务核心是业务核心 是战略资源是战略资源安全管理要在整个企安全管理要在整个企业范范围内内进行一体化行一体化管理
9、管理安全管理的安全管理的责任由高任由高级和部和部门管理人管理人员承承担担It 风险管理是企管理是企业风险管理的一部分管理的一部分远翼保帛严遭块疏严眠姬杀宏牙妥代奸明粳钎仔敖权蔼雁淘蔽起青聘锋拦企业IT安全管理实务企业IT安全管理实务11Page 策略针对不同对象的安全策略(原则、遵行标准、指导方针、底线)针对各类技术的最低要求针对功能的基础要求执行组织的结构和目标例如:企业信息资产分类及管理策略企业信息系统安全等级保护及管理策略安全职能组织管理策略IT 保障日常工作管理和突发情况处置策略尽可能详尽的,涉及实体、组织、过程尽可能详尽的,涉及实体、组织、过程的做事指导方针的做事指导方针Polici
10、esPolicies策略策略策略策略详尽策略硫智练村绒犀须峦板悸尖裙绥泵夸莫昔写址志逮讳伊摹书循板宙广题哥紧企业IT安全管理实务企业IT安全管理实务组织企业安全工作领导机构IT 安全执行机构IT 安全审计监督IT 安全事件应急响应机构健全的组织架构清晰的职责边界、最小授最小授权原原则、有效、有效制衡原制衡原则。明确的决策规则和程序 有效的激励和监督机制 OrganiseOrganise组织组织清晰组织掂进锥盆晓箍栗览工粟优长驭址母疵善遣自吧龚舰幂剂寂掳叉拌墙傍换挂企业IT安全管理实务企业IT安全管理实务RegulationRegulation规则规则基于策略的、满足实际要求、以人为本基于策略的
11、、满足实际要求、以人为本的规章和制度的规章和制度规则规则通用的员工IT 操作的规则通用的IT 维护规则针对特殊环境中的规则针对各应用系统的规则针对特殊业务目标的规则务实规则域耍嫉睫昂眷报呕挖窄销荐款肉屁蝶杨弟旨暴表店境滔五愤精网盆尚容躇企业IT安全管理实务企业IT安全管理实务认证合规必要的认证、合规必要的认证、合规Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳实践组成的国际标准,非技术性标准,重点在于IT安全管理控制,是信息安全管理必不可少的参考;COBIT,信息化全生命周期管理框架,重点
12、在于IT控制和IT度量评价,强烈建议将其作为IT风险管理、IT审计标准的重要参考;ITIL,IT服务管理的最佳实践,重点在于IT流程管理,强调IT支持和IT价值交付,可以在实施IT运维和IT服务管理时作为参考;企业内部控制基本规范 上交所内部控制指引、深交所内部控制指引、银行业金融机构信息系统风险管理指引巴塞尔协议、萨班斯法案、信息安全等级保护管理办法ITIL IT服务管理最佳实践(ISO/IEC 17799)COBIT 4.1国内上市公司要求美国上市公司要求国家重点行业要求ComplianceCompliance合合合合规规ISO27001登值睁际丘滁杏懦倡诊游儒车吵室闷统墅感起犁承拌础甘老
13、谈草细靛熏膝企业IT安全管理实务企业IT安全管理实务通过认证带来全面价值的提升遵守适用法律证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001:2005 标准是对适用法律法规的补充和注解,因为ISO27001:2005 标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中都有体现很多国家所推行的相关的行业指导性文件及要求,又可能是参照BS7799 而拟定的。因此,通过ISO27001:2005认证,可以使组织更有效地履行国家法律和行业规范的要求主体本身组织高效运作证书的获得,本身就能证明组织在各个层面的安全保护上
14、都付出了卓有成效的努力,表明管理层履行了相关责任财务状况ISMS 的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出炒缸桐顾艇站腐统玉摸匈五澎谜损预喻远劈止梆咙囱呸诺哥蹬窍孪铲冗昔企业IT安全管理实务企业IT安全管理实务通过认证带来全面价值的提升人员素质以及意识提升职员的安全意识,增强其责任感风险管理有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护。商业信誉和信心当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织,在同行
15、业内的竞争优势,提升其市场地位。商业运营符合型符合企业的自身远期发展需要,事实上,现在很多国际性的投标项目已经开始要求ISO27001:2005 符合性了,通过认证已经是众多企业提升核心竞争力的必要手段戚于着榨魁约稽冲倡遏狂碎红脯黑机荆介湾送弛窟魁蹋叶哇哩落肢奖割详企业IT安全管理实务企业IT安全管理实务关于ISO27001认证流程ISO27001 规定了很多与建立、实施、维护和改进ISMS 相关的要求,组织是否符合这些要求,要在认证审核过程中予以验证组织在建立并实施ISMS 之后应该运行一段时间,确保体系功能正常、用户得到有效培训、文件和记录系统运转正确,一旦ISMS 根据设计规范运转达到了
16、令组织满意的状态,就可以联系一家被认可的认证机构,准备相关资料,提出认证申请ISO27001认证审核的过程大致分两个阶段,即文件审核阶段和现场审核阶段认证申请流程:如左图鄂两寡术拥做峨娶侯疤券游饺膝栅闪苍写捕溃瓶吟磊竭婴赎式弧苞猪唾逐企业IT安全管理实务企业IT安全管理实务投资铂睹漳兄掷慰播蚀瓮林泛杜措兼捕固堑沏悟桶爪响奄见垂殆寝抨株函波逆企业IT安全管理实务企业IT安全管理实务等级保护操作实务有哪些系统系统中的信息分类系统的服务分类服务的对象受害客体邮件系统邮件系统财务系统OA系统稳定存储安全管理商业敏感信息内部敏感信息公开信息合作伙伴员工VIP开放个人隐私公司商业利益企业公众形象侵害程度定
17、级(信息安全/服务安全) 一般严重非常严重很疯典霓渤硬震岳衷配傅袍疗胳卡哪诉翱曲流慑酶哦俗悍碴术庭持兼免糊企业IT安全管理实务企业IT安全管理实务信息实体标识密级标识密级标识绝密信息机密信息秘密信息内部信息公开信息控制标识控制标识操作权限操作权限保密存储受控存储不可通过邮件发送,复制载体登记,集中管理不可复制必须通过邮件加密发送,不可打印,不可复制授权复制PDF 格式,可以通过邮件发送,授权打印,授权复制自由复制处理标识处理标识创建者复制人(使用受权人)抄送到(被授权人)介质标识介质标识纸介纸介+数字数字沏蝉艺勘泥件蔫睬据棵寥峡仟硬岂杠谋钉友禄亡冤步审阀顶艘经早肩实冗企业IT安全管理实务企业I
18、T安全管理实务系统等级保护划分标准等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级国家安全社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查严重损害第五级极端重要系统国家安全特别严重损害专门监督检查箩美趣硼藩裳尼夯隆拔吮筑肖喘搞妊桓赡呀划啪易羽榷盲贿腑只屯胖涨赏企业IT安全管理实务企业IT安全管理实务等级划分实例信息系统安全保护等级定级定级定级系统名称系统名称侵害程度侵害程度监管强度监管强度一级一级互联网邮件系统互联网邮件系统企业和个人合法权益受损企业和个人合法权益受损自主保护自主保护二
19、级二级内部内部OAOA企业合法权益严重损害企业合法权益严重损害公共利益损害公共利益损害指导指导互联网门户互联网门户三级三级企业企业ERPERP危及企业运行,公共利益严重损危及企业运行,公共利益严重损害害监督检查监督检查四级四级钻井数据存储系统钻井数据存储系统国家战略资源信息严重损害,国国家战略资源信息严重损害,国家安全损害或严重损害家安全损害或严重损害强制监督检查强制监督检查毛腹掺掳婉漳济贷荔砂砾及宦闪毋腑逝酬让坟乾章坟置恐顶挝闭夕邹躬竣企业IT安全管理实务企业IT安全管理实务策略的实务借助咨借助咨借助咨借助咨询询公司公司公司公司针对于某种目于某种目标的的专家家丰富丰富业界的界的经验教育的背景
20、教育的背景擅擅长策略和策略和计划划为为客客客客户户穷尽问题的可能穷尽问题的可能提供各种解决方案提供各种解决方案为客户的想法提供理由为客户的想法提供理由提升决策的公信力提升决策的公信力提供创新的建议提供创新的建议掇铺刷桑沂尊舱鸦卯勿张琉礼掸柬置诈渡杨源递遥湾勿镇乏淌烽稿鳖诱胎企业IT安全管理实务企业IT安全管理实务规则务实参考COBIT4.0 建立管理和控制及评估机制COBIT4.0一共有209页,囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型(5个级别,每个级别有专门的定义描述)。府俱隐湛奄
21、蔼澄锡等蒙夸递竣都耸讥摄兆庞遮疗物壕挛酞谊铀托颁硷衍善企业IT安全管理实务企业IT安全管理实务关于COBIT4.0计划和组织计划和组织定义IT 战略计划定义信息架构决定技术方向定义IT 过程、组织和关系管理IT 投资沟通管理目标和方向管理IT人力资源管理质量管理IT 风险管理项目(PO1-PO10共计10个过程)获得和得和执行行确定自动的方案获得和运维应用软件获得和运维技术架构授权操作和使用获得IT 资源管理变化安装和授权方案和变化。(AI1-AI7 共计7过程)提交和支持提交和支持定义和管理服务水平管理第三方服务管理性能和适应性保障不间断服务保障系统安全。DS1-DS13共计 13过程监视监
22、视和评估it 性能监视和评估内控以外部要求确认合规提供IT 控制M1-M4 共计4个过程巧士励门用汪岳叭椰前夷版将拳妆唾效澳低斜冤囚市鱼琵瞎础檀流纸铰裤企业IT安全管理实务企业IT安全管理实务组织实务Windows 系统专家Unix/linux 系统专家安全专家网络专家Internet 专家存储专家系统集成专家数据库专家应用系统专家系统网络应用访问控制访问控制保密管理保密管理认证授权管理认证授权管理弱点风险分析弱点风险分析网络管理网络管理安全补订管理安全补订管理事故响应管理事故响应管理外部风险管理外部风险管理安全事件管理安全事件管理安全审计安全控制安全策略应急响应系统管理系统管理应用管理应用管
23、理风险管理身眺痪渐甩萍胞邹炕壮票勘揭滓课轿枉堂窑拨釜解早骑臣稽幢绿猎情疥实企业IT安全管理实务企业IT安全管理实务组织架构实务董事会、董事会、监事会事会总裁、裁、执委会委会IT 保障部总经理系系统安全安全审计员IT 审计经理理IT安全 部经理安全架构安全架构师安全分析安全分析师项目目组安全安全专员网络部经理项目部 部经理捧弘壹林茎睁窍岩筒号颓聂牟佳傈态掐呜惟柑观撇茵瘪野局疙宫磕会主杜企业IT安全管理实务企业IT安全管理实务组织架构(合规)董事会、董事会、监事会事会总裁、裁、执委会委会IT 保障部总经理系系统安全安全审计员IT 审计经理理安全 部经理安全架构安全架构师安全分析安全分析师项目目组安
24、全安全专员审计委委员会会企企业内内审经理理网络部经理项目部 部经理筋举透陷猪丢牙班堤煞钱藻洼改幸镁虏绚盟帝垮瞧十互沮判壶铣咱雪逼咽企业IT安全管理实务企业IT安全管理实务安全岗位安全架构安全架构师根据策略构建安全控制机制:根据策略构建安全控制机制:根据策略构建安全控制机制:根据策略构建安全控制机制:域管理、域管理、域管理、域管理、 访问访问控制管理、控制管理、控制管理、控制管理、 VPN VPN 管理、桌面安全管理管理、桌面安全管理管理、桌面安全管理管理、桌面安全管理 门户门户策略管理策略管理策略管理策略管理 、 数字数字数字数字证书证书、实实体授体授体授体授权权安全分析安全分析师根据策略建立
25、根据策略建立根据策略建立根据策略建立风险风险控制机制控制机制控制机制控制机制 IPS/IDS IPS/IDS 管理管理管理管理 防病毒病毒管理防病毒病毒管理防病毒病毒管理防病毒病毒管理 行行行行为为管理管理管理管理项目目组安全安全专员平台的安全架构平台的安全架构平台的安全架构平台的安全架构师师或安全分析或安全分析或安全分析或安全分析师师项项目目目目组组安全架构安全架构安全架构安全架构师师或安全分析或安全分析或安全分析或安全分析师师硷兽谬丰剑因蒲糙景背座币垒打钎驱赢筹密泼莉陡谗善品腆拒驴犀癸铱郴企业IT安全管理实务企业IT安全管理实务保障岗位网网络架构架构师构架网构架网构架网构架网络络(1 1层
26、层-3-3层层)维护维护网管手册、地址表网管手册、地址表网管手册、地址表网管手册、地址表维护维护内部网内部网内部网内部网络环络环境境境境系系统架构架构师构建构建构建构建维护应维护应用用用用软软件的运行系件的运行系件的运行系件的运行系统统,维护维护系系系系统统管理手册管理手册管理手册管理手册应用架构用架构师构建构建构建构建维护应维护应用系用系用系用系统统的运行的运行的运行的运行维护维护各各各各项应项应用系用系用系用系统统的管理手册的管理手册的管理手册的管理手册纶铸廊逻赣碳娜瘁椿瓷洒氏优釜溪贾皂偏侮烈姥寻亡闺嚷藤粱涝滞场该蝇企业IT安全管理实务企业IT安全管理实务借助域做授权管理完整的认证授权过程
27、完整的认证授权过程完整的认证授权过程完整的认证授权过程人力资源部人力资源部人力资源部人力资源部系统系统系统系统企业安全企业安全企业安全企业安全架构师架构师架构师架构师安全策略安全策略安全策略安全策略安全审计部安全审计部安全审计部安全审计部系系系系统统架构架构架构架构师师项目管理部项目管理部项目管理部项目管理部增加增加增加增加删删除除除除用用用用户户创创建建建建 策略策略策略策略组组定定定定义义 组组的属性的属性的属性的属性创创建建建建 分系分系分系分系统统中的中的中的中的 角色角色角色角色组组 定定定定义义 角色角色角色角色组组在系在系在系在系 统统中的中的中的中的权权限限限限绑绑定定定定 角
28、色与角色与角色与角色与 策略策略策略策略组组将将将将用用用用户户放放放放入角色入角色入角色入角色组组醇宛蛮刘坦骗妹菩昧褥椿峪岁妄荣傣皮擞姨帽械缚称毁硅输裸阮漓夺柑滑企业IT安全管理实务企业IT安全管理实务C: 文化认同 (culture)O: 组织运营 (organize)R: 岗位职责 (responsibility)P: 考核激励 (promotion)E: 知识结构 (episteme)T: 团队建设 (team)E: 学习发展 (enterprising)危机意危机意危机意危机意识识、权权限与授限与授限与授限与授权权战战略目略目略目略目标标、核心能力、价、核心能力、价、核心能力、价、核
29、心能力、价值值理念、理念、理念、理念、组织认组织认同同同同组织组织体制、体制、体制、体制、职职位位位位积积极性、极性、极性、极性、创创新意新意新意新意识识、危机意、危机意、危机意、危机意识识岗位考评技术能力技术能力职责大小 信任程度绩效 岗位 薪酬葵口诲夸允碎擦票箱盲抑灶篙结评腋存蛰伺熏箭韶须隙磁梦耗宽闭寇裤吨企业IT安全管理实务企业IT安全管理实务从工作组到团队的养成为数不多的成员互补的技能共同的目标共同的工作方法相互承担责任业绩伪团队潜在团队真正团队绩优团队团队效率工作组确定迫切的重点和方向确定迫切的重点和方向根据技能和学习技能的潜力选择成员,根据技能和学习技能的潜力选择成员,而不是根据个
30、性选择而不是根据个性选择建立一些明确的行为规则建立一些明确的行为规则提出和抓住几个有立竿见影效果的注重提出和抓住几个有立竿见影效果的注重业绩成果的工作和目标业绩成果的工作和目标经常用新鲜事物和信息向成员挑战经常用新鲜事物和信息向成员挑战多花时间在一起多花时间在一起开拓积极反馈、承认和奖励的能力开拓积极反馈、承认和奖励的能力定目定目定目定目标标建班子建班子建班子建班子带队带队伍伍伍伍稽履挪临抿褒占卡培秦埔恫质祁躬坞蚊萍雪找使饥凌其椒槐堡宴谢廓熔磕企业IT安全管理实务企业IT安全管理实务管理的艺术性平衡代表平衡代表IT 安全安全规则代表支点规则代表支点管理就是找平衡的过程管理就是找平衡的过程人人过程过程资源资源锯嘿幼渍屁拉廓炭敞状叠送怠饵撅敖郑犊囊摧蚂哲养光彭社底悦伴麦馈稿企业IT安全管理实务企业IT安全管理实务问题与讨论于年共荣圈工作室于年共荣圈工作室于年共荣圈工作室于年共荣圈工作室缚门水搓毗倾耳千溯寡掇凹辽蔚眷论窜邵宵仔风渝一深歼雍择琳即展矿厘企业IT安全管理实务企业IT安全管理实务
