《企业IT-安全管理实务剖析》由会员分享,可在线阅读,更多相关《企业IT-安全管理实务剖析(36页珍藏版)》请在金锄头文库上搜索。
1、企业IT 安全管理实务蝴蝶效应1979年,洛伦斯教授在华盛顿所作的报告中说:他在研究中发现,巴西的一只蝴蝶翅膀挥动一下,会在美国的得克萨斯州形成飓风。这一理论称为“蝴蝶效应”。“蝴蝶效应”是说,有些小事可以糊涂;有些小事如经过系统会被放大,则对一个企业、一个国家至关重要,就不能糊涂。 青蛙现象“青蛙现象”。“青蛙现象”是19世纪末康奈尔大学几个教授做的一个实验:先把一只青蛙扔进沸腾的油锅里,它非常敏捷,马上跳了出来。然后教授们把这只青蛙放进一只装有温水的铁锅里,下面点着小火。它感到暖洋洋很舒服,水温逐渐升高,它仍然悠然自在。等到它觉得烫了,体内能量已耗尽,肌肉已硬了,跳不出来了,就这样被煮死了
2、。“青蛙现象”告诉我们,一些突变事件,往往容易引起人们警觉,而易致人于死地的却是在自我感觉良好的情况下,对实际情况的逐渐恶化,没有清醒的察觉,没能及时做出反应。当感到危机临头了,再想挽救已经来不及了。人的头脑习惯于注意幅度较大的变化,我们要学会看出缓慢、渐进的过程。用我们中国人的话来说就是要防微杜渐,把问题解决在萌芽状态。 压力篇用户用户管理层管理层同行同行技术技术成本成本管理管理压力用户希望得到更多的信息、辅助、便利性;尽量少的限制、操作复杂性。管理层希望高效的组织结构,快速响应能力政策上合规政策上合规、支撑企业战略目标达成。技术要求不断提高,组织结构总是被新产品使用拖动传统中用成本中心的眼
3、光看待IT服务支撑部是否比对手领先一步,IT 不仅是基础平台,已经成为战略资源,构成竞争力的主因同样的问题还在出现安全问题技术解决PDCA In The ISMS设计设计 ISMSISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划计划执行执行检查检查反应反应It It 安全安全管理体系管理体系分析现状发现问题分析现状发现问题执行风险评估(分析执行风险评估(分析问题、找出原因、设问题、找出原因、设定目标、定义策略定目标、定义策略建立组织建立组织定义计划定义计划定义规则定
4、义规则PDCA In The ISMSDesign the ISMS执行和使用执行和使用 ISMS ISMSMonitoring and review the ISMSImprove and update the ISMSPLAN行动行动CHECKACTISMSISMSIt It 安全安全管理体系管理体系落实责任、执行计划落实责任、执行计划培训、实践,形成核心能培训、实践,形成核心能力力PDCA In The ISMSDesign the ISMSImplement and use the ISMS监控和检查监控和检查ISMSISMSImprove and update the ISMSPLA
5、NDO检查检查ACTIt It 安全安全管理体系管理体系执行监控过程执行监控过程内部审计内部审计风险动态预测风险动态预测发现意外发现意外PDCA In The ISMSDesign the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级改进和升级ISMSISMSPLANDOCHECKACTIt It 安全安全管理体系管理体系对比目标,对意外做对比目标,对意外做出改进出改进矫正性和预防性活动矫正性和预防性活动向下一个环节交付现向下一个环节交付现存问题存问题合规?合规?监管?监管?投资?投资?规则?规则?组织?组织
6、?策略?策略?目标?目标?IT安全管理安全管理关键环节有哪些?HOW?基线目标可量化,可衡量,可以达到的目标可量化,可衡量,可以达到的目标ObjectivObjective e目标目标目标目标目标完成国内上市公司的关于IT 管理的合规要求完成国家对于重点行业实行信息系统等级保护的合规要求完成ISO-27001 的认证其它安全是管理层的责任安全管理仅在安全管理仅在It部门展开部门展开安全安全的责任被委派到低层次的人员的责任被委派到低层次的人员主观的风险的衡量主观的风险的衡量无无专门专门组织组织做风险做风险管理管理从从传统的管理角度传统的管理角度过渡到董事会关注过渡到董事会关注是是CEO的工作的工
7、作 (属于属于董事会的监管董事会的监管)It 是业务核心是业务核心 是战略资源是战略资源安全安全管理管理要要在整个企在整个企业业范范围围内内进进行一体化行一体化管理管理安全安全管理的管理的责责任由高任由高级级和部和部门门管理人管理人员员承承担担It 风险风险管理是企管理是企业风险业风险管理的一部分管理的一部分11Page 策略针对不同对象的安全策略(原则、遵行标准、指导方针、底线)针对各类技术的最低要求针对功能的基础要求执行组织的结构和目标例如:企业信息资产分类及管理策略企业信息系统安全等级保护及管理策略安全职能组织管理策略IT 保障日常工作管理和突发情况处置策略尽可能详尽的尽可能详尽的,涉及
8、实体、组织、过程涉及实体、组织、过程的做事指导方针的做事指导方针PoliciesPolicies策略策略策略策略详尽策略组织企业安全工作领导机构IT 安全执行机构IT 安全审计监督IT 安全事件应急响应机构健全的组织架构清晰的职责边界、最小授最小授权权原原则则、有效、有效制衡原制衡原则则。明确的决策规则和程序 有效的激励和监督机制 OrganiseOrganise组织组织组织组织清晰组织RegulationRegulation规则规则规则规则基于策略的、满足实际要求、以人为本基于策略的、满足实际要求、以人为本的规章和制度的规章和制度规则规则通用的员工IT 操作的规则通用的IT 维护规则针对特殊
9、环境中的规则针对各应用系统的规则针对特殊业务目标的规则务实规则认证合规必要的认证、合规必要的认证、合规Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳实践组成的国际标准,非技术性标准,重点在于IT安全管理控制,是信息安全管理必不可少的参考;COBIT,信息化全生命周期管理框架,重点在于IT控制和IT度量评价,强烈建议将其作为IT风险管理、IT审计标准的重要参考;ITIL,IT服务管理的最佳实践,重点在于IT流程管理,强调IT支持和IT价值交付,可以在实施IT运维和IT服务管理时作为参考;企业
10、内部控制基本规范 上交所内部控制指引、深交所内部控制指引、银行业金融机构信息系统风险管理指引巴塞尔协议、萨班斯法案、信息安全等级保护管理办法ITIL IT服务管理最佳实践(ISO/IEC 17799)COBIT 4.1国内上市公司要求美国上市公司要求国家重点行业要求ComplianceCompliance合合合合规规规规ISO27001通过认证带来全面价值的提升遵守适用法律证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001:2005 标准是对适用法律法规的补充和注解,因为ISO27001:2005 标准本身的制订,是参照了业界最通行的实践措施的,而这些
11、实践措施,在很多国家相关的信息保护法规中都有体现很多国家所推行的相关的行业指导性文件及要求,又可能是参照BS7799 而拟定的。因此,通过ISO27001:2005认证,可以使组织更有效地履行国家法律和行业规范的要求主体本身组织高效运作证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任财务状况ISMS 的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出通过认证带来全面价值的提升人员素质以及意识提升职员的安全意识,增强其责任感风险管理有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资
12、产能够在一个合理而完整的框架下得到妥善保护。商业信誉和信心当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织,在同行业内的竞争优势,提升其市场地位。商业运营符合型符合企业的自身远期发展需要,事实上,现在很多国际性的投标项目已经开始要求ISO27001:2005 符合性了,通过认证已经是众多企业提升核心竞争力的必要手段关于ISO27001认证流程ISO27001 规定了很多与建立、实施、维护和改进ISMS 相关的要求,组织是否符合这些要求,要在认证审核过程中予以验证组织在建立并实施ISMS 之后应该运行一段时间,确保体系功能正常、
13、用户得到有效培训、文件和记录系统运转正确,一旦ISMS 根据设计规范运转达到了令组织满意的状态,就可以联系一家被认可的认证机构,准备相关资料,提出认证申请ISO27001认证审核的过程大致分两个阶段,即文件审核阶段和现场审核阶段认证申请流程:如左图投资等级保护操作实务有哪些系统系统中的信息分类系统的服务分类服务的对象受害客体邮件系统邮件系统财务系统OA系统稳定存储安全管理商业敏感信息内部敏感信息公开信息合作伙伴员工VIP开放个人隐私公司商业利益企业公众形象侵害程度定级(信息安全/服务安全) 一般严重非常严重信息实体标识密级标识密级标识绝密信息机密信息秘密信息内部信息公开信息控制标识控制标识操作
14、权限操作权限保密存储受控存储不可通过邮件发送,复制载体登记,集中管理不可复制必须通过邮件加密发送,不可打印,不可复制授权复制PDF 格式,可以通过邮件发送,授权打印,授权复制自由复制处理标识处理标识创建者复制人(使用受权人)抄送到(被授权人)介质标识介质标识纸介纸介+数字数字系统等级保护划分标准等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级国家安全社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级划分实例信息系统安全保护等级
15、定级定级定级系统名称系统名称侵害程度侵害程度监管强度监管强度一级一级互联网邮件系统互联网邮件系统企业和个人合法权益受损企业和个人合法权益受损自主保护自主保护二级二级内部内部OAOA企业合法权益严重损害企业合法权益严重损害公共利益损害公共利益损害指导指导互联网门户互联网门户三级三级企业企业ERPERP危及企业运行,公共利益严重损危及企业运行,公共利益严重损害害监督检查监督检查四级四级钻井数据存储系统钻井数据存储系统国家战略资源信息严重损害,国国家战略资源信息严重损害,国家安全损害或严重损害家安全损害或严重损害强制监督检查强制监督检查策略的实务借助咨借助咨借助咨借助咨询询询询公司公司公司公司针对针
16、对于某种目于某种目标标的的专专家家丰富丰富业业界的界的经验经验教育的背景教育的背景擅擅长长策略和策略和计计划划为为为为客客客客户户户户穷尽问题的可能穷尽问题的可能提供各种解决方案提供各种解决方案为客户的想法提供理由为客户的想法提供理由提升决策的公信力提升决策的公信力提供创新的建议提供创新的建议规则务实参考COBIT4.0 建立管理和控制及评估机制COBIT4.0一共有209页,囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标,针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型(5个级别,每个级别有专门的定义描述)。关于COBIT4.0计划和组织
17、计划和组织定义IT 战略计划定义信息架构决定技术方向定义IT 过程、组织和关系管理IT 投资沟通管理目标和方向管理IT人力资源管理质量管理IT 风险管理项目(PO1-PO10共计10个过程)获获得和得和执执行行确定自动的方案获得和运维应用软件获得和运维技术架构授权操作和使用获得IT 资源管理变化安装和授权方案和变化。(AI1-AI7 共计7过程)提交和支持提交和支持定义和管理服务水平管理第三方服务管理性能和适应性保障不间断服务保障系统安全。DS1-DS13共计 13过程监视监视监视和评估it 性能监视和评估内控以外部要求确认合规提供IT 控制M1-M4 共计4个过程组织实务Windows 系统
18、专家Unix/linux 系统专家安全专家网络专家Internet 专家存储专家系统集成专家数据库专家应用系统专家系统网络应用访问控制访问控制保密管理保密管理认证授权管理认证授权管理弱点风险分析弱点风险分析网络管理网络管理安全补订管理安全补订管理事故响应管理事故响应管理外部风险管理外部风险管理安全事件管理安全事件管理安全审计安全控制安全策略应急响应系统管理系统管理应用管理应用管理风险管理组织架构实务董事会、董事会、监事会事会总裁、裁、执委会委会IT 保障部总经理系系统安全安全审计员IT 审计经理理IT安全 部经理安全架构安全架构师安全分析安全分析师项目目组安全安全专员网络部经理项目部 部经理组
19、织架构(合规)董事会、董事会、监事会事会总裁、裁、执委会委会IT 保障部总经理系系统安全安全审计员IT 审计经理理安全 部经理安全架构安全架构师安全分析安全分析师项目目组安全安全专员审计委委员会会企企业内内审经理理网络部经理项目部 部经理安全岗位安全架构安全架构师根据策略构建安全控制机制:根据策略构建安全控制机制:根据策略构建安全控制机制:根据策略构建安全控制机制:域管理、域管理、域管理、域管理、 访问访问访问访问控制管理、控制管理、控制管理、控制管理、 VPN VPN 管理、桌面安全管理管理、桌面安全管理管理、桌面安全管理管理、桌面安全管理 门户门户门户门户策略管理策略管理策略管理策略管理
20、、 数字数字数字数字证书证书证书证书、实实实实体授体授体授体授权权权权安全分析安全分析师根据策略建立根据策略建立根据策略建立根据策略建立风险风险风险风险控制机制控制机制控制机制控制机制 IPS/IDS IPS/IDS 管理管理管理管理 防病毒病毒管理防病毒病毒管理防病毒病毒管理防病毒病毒管理 行行行行为为为为管理管理管理管理项目目组安全安全专员平台的安全架构平台的安全架构平台的安全架构平台的安全架构师师师师或安全分析或安全分析或安全分析或安全分析师师师师项项项项目目目目组组组组安全架构安全架构安全架构安全架构师师师师或安全分析或安全分析或安全分析或安全分析师师师师保障岗位网网络架构架构师构架网
21、构架网构架网构架网络络络络(1 1层层层层-3-3层层层层)维护维护维护维护网管手册、地址表网管手册、地址表网管手册、地址表网管手册、地址表维护维护维护维护内部网内部网内部网内部网络环络环络环络环境境境境系系统架构架构师构建构建构建构建维护应维护应维护应维护应用用用用软软软软件的运行系件的运行系件的运行系件的运行系统统统统,维护维护维护维护系系系系统统统统管理手册管理手册管理手册管理手册应用架构用架构师构建构建构建构建维护应维护应维护应维护应用系用系用系用系统统统统的运行的运行的运行的运行维护维护维护维护各各各各项应项应项应项应用系用系用系用系统统统统的管理手册的管理手册的管理手册的管理手册借
22、助域做授权管理完整的认证授权过程完整的认证授权过程完整的认证授权过程完整的认证授权过程人力资源部人力资源部人力资源部人力资源部系统系统系统系统企业安全企业安全企业安全企业安全架构师架构师架构师架构师安全策略安全策略安全策略安全策略安全审计部安全审计部安全审计部安全审计部系系系系统统统统架构架构架构架构师师师师项目管理部项目管理部项目管理部项目管理部增加增加增加增加删删删删除除除除用用用用户户户户创创创创建建建建 策略策略策略策略组组组组定定定定义义义义 组组组组的属性的属性的属性的属性创创创创建建建建 分系分系分系分系统统统统中的中的中的中的 角色角色角色角色组组组组 定定定定义义义义 角色角
23、色角色角色组组组组在系在系在系在系 统统统统中的中的中的中的权权权权限限限限绑绑绑绑定定定定 角色与角色与角色与角色与 策略策略策略策略组组组组将将将将用用用用户户户户放放放放入角色入角色入角色入角色组组组组C: 文化认同 (culture)O: 组织运营 (organize)R: 岗位职责 (responsibility)P: 考核激励 (promotion)E: 知识结构 (episteme)T: 团队建设 (team)E: 学习发展 (enterprising)危机意危机意危机意危机意识识识识、权权权权限与授限与授限与授限与授权权权权战战战战略目略目略目略目标标标标、核心能力、价、核心能
24、力、价、核心能力、价、核心能力、价值值值值理念、理念、理念、理念、组织认组织认组织认组织认同同同同组织组织组织组织体制、体制、体制、体制、职职职职位位位位积积积积极性、极性、极性、极性、创创创创新意新意新意新意识识识识、危机意、危机意、危机意、危机意识识识识岗位考评技术能力技术能力职责大小 信任程度绩效 岗位 薪酬从工作组到团队的养成为数不多的成员互补的技能共同的目标共同的工作方法相互承担责任业绩伪团队潜在团队真正团队绩优团队团队效率工作组确定迫切的重点和方向确定迫切的重点和方向根据技能和学习技能的潜力选择成员,根据技能和学习技能的潜力选择成员,而不是根据个性选择而不是根据个性选择建立一些明确的行为规则建立一些明确的行为规则提出和抓住几个有立竿见影效果的注重提出和抓住几个有立竿见影效果的注重业绩成果的工作和目标业绩成果的工作和目标经常用新鲜事物和信息向成员挑战经常用新鲜事物和信息向成员挑战多花时间在一起多花时间在一起开拓积极反馈、承认和奖励的能力开拓积极反馈、承认和奖励的能力定目定目定目定目标标标标建班子建班子建班子建班子带队带队带队带队伍伍伍伍管理的艺术性平衡代表平衡代表IT 安全安全规则代表支点规则代表支点管理就是找平衡的过程管理就是找平衡的过程人人过程过程资源资源问题与讨论于年共荣圈工作室于年共荣圈工作室于年共荣圈工作室于年共荣圈工作室
