企業(yè)IT安全管理實務(wù).ppt

企業(yè)IT 安全管理實務(wù),蝴蝶效應(yīng),1979年，洛倫斯教授在華盛頓所作的報告中說：他在研究中發(fā)現(xiàn)，巴西的一只蝴蝶翅膀揮動一下，會在美國的得克薩斯州形成颶風(fēng)。這一理論稱為“蝴蝶效應(yīng)”。“蝴蝶效應(yīng)”是說，有些小事可以糊涂；有些小事如經(jīng)過系統(tǒng)會被放大，則對一個企業(yè)、一個國家至關(guān)重要，就不能糊涂。,青蛙現(xiàn)象,“青蛙現(xiàn)象”?！扒嗤墁F(xiàn)象”是19世紀(jì)末康奈爾大學(xué)幾個教授做的一個實驗：先把一只青蛙扔進沸騰的油鍋里，它非常敏捷，馬上跳了出來。然后教授們把這只青蛙放進一只裝有溫水的鐵鍋里，下面點著小火。它感到暖洋洋很舒服，水溫逐漸升高，它仍然悠然自在。等到它覺得燙了，體內(nèi)能量已耗盡，肌肉已硬了，跳不出來了，就這樣被煮死了。“青蛙現(xiàn)象”告訴我們，一些突變事件，往往容易引起人們警覺，而易致人于死地的卻是在自我感覺良好的情況下，對實際情況的逐漸惡化，沒有清醒的察覺，沒能及時做出反應(yīng)。當(dāng)感到危機臨頭了，再想挽救已經(jīng)來不及了。人的頭腦習(xí)慣于注意幅度較大的變化，我們要學(xué)會看出緩慢、漸進的過程。用我們中國人的話來說就是要防微杜漸，把問題解決在萌芽狀態(tài)。,壓力篇,用戶 管理層 同行 技術(shù) 成本 管理,壓力,用戶希望得到更多的信息、輔助、便利性； 盡量少的限制、操作復(fù)雜性。,管理層希望高效的組織結(jié)構(gòu)，快速響應(yīng)能力 政策上合規(guī)、支撐企業(yè)戰(zhàn)略目標(biāo)達成。,技術(shù)要求不斷提高， 組織結(jié)構(gòu)總是被新產(chǎn)品使用拖動,傳統(tǒng)中用成本中心的眼光 看待IT服務(wù)支撐部,是否比對手領(lǐng)先一步，IT 不僅是基礎(chǔ)平臺， 已經(jīng)成為戰(zhàn)略資源，構(gòu)成競爭力的主因,同樣的問題還在出現(xiàn) 安全問題技術(shù)解決,PDCA In The ISMS,It 安全 管理體系,分析現(xiàn)狀發(fā)現(xiàn)問題,執(zhí)行風(fēng)險評估（分析問題、找出原因、設(shè)定目標(biāo)、定義策略,建立組織 定義計劃,定義規(guī)則,PDCA In The ISMS,ISMS,It 安全 管理體系,落實責(zé)任、執(zhí)行計劃,培訓(xùn)、實踐，形成核心能力,PDCA In The ISMS,It 安全 管理體系,執(zhí)行監(jiān)控過程,內(nèi)部審計,風(fēng)險動態(tài)預(yù)測,發(fā)現(xiàn)意外,PDCA In The ISMS,It 安全 管理體系,對比目標(biāo)，對意外做出改進,矯正性和預(yù)防性活動,向下一個環(huán)節(jié)交付現(xiàn)存問題,關(guān)鍵環(huán)節(jié)有哪些？,HOW?,基線目標(biāo),可量化，可衡量，可以達到的目標(biāo),目標(biāo),完成國內(nèi)上市公司的關(guān)于IT 管理的合規(guī)要求 完成國家對于重點行業(yè)實行信息系統(tǒng)等級保護的合規(guī)要求 完成ISO-27001 的認(rèn)證 其它,Page,11,安全是管理層的責(zé)任,安全管理僅在It部門展開 安全的責(zé)任被委派到低層次的人員 主觀的風(fēng)險的衡量 無專門組織做風(fēng)險管理,從傳統(tǒng)的管理角度,過渡到董事會關(guān)注,是CEO的工作 (屬于董事會的監(jiān)管) It 是業(yè)務(wù)核心 是戰(zhàn)略資源 安全管理要在整個企業(yè)范圍內(nèi)進行一體化管理 安全管理的責(zé)任由高級和部門管理人員承擔(dān) It 風(fēng)險管理是企業(yè)風(fēng)險管理的一部分,策略,針對不同對象的安全策略（原則、遵行標(biāo)準(zhǔn)、指導(dǎo)方針、底線） 針對各類技術(shù)的最低要求 針對功能的基礎(chǔ)要求 執(zhí)行組織的結(jié)構(gòu)和目標(biāo) 例如： 企業(yè)信息資產(chǎn)分類及管理策略 企業(yè)信息系統(tǒng)安全等級保護及管理策略 安全職能組織管理策略 IT 保障日常工作管理和突發(fā)情況處置策略,盡可能詳盡的，涉及實體、組織、過程的做事指導(dǎo)方針,Policies 策略,詳盡策略,組織,企業(yè)安全工作領(lǐng)導(dǎo)機構(gòu) IT 安全執(zhí)行機構(gòu) IT 安全審計監(jiān)督 IT 安全事件應(yīng)急響應(yīng)機構(gòu),健全的組織架構(gòu) 清晰的職責(zé)邊界、最小授權(quán)原則、有效制衡原則。 明確的決策規(guī)則和程序 有效的激勵和監(jiān)督機制,清晰組織,Regulation 規(guī)則,基于策略的、滿足實際要求、以人為本的規(guī)章和制度,規(guī)則,通用的員工IT 操作的規(guī)則 通用的IT 維護規(guī)則 針對特殊環(huán)境中的規(guī)則 針對各應(yīng)用系統(tǒng)的規(guī)則 針對特殊業(yè)務(wù)目標(biāo)的規(guī)則,務(wù)實規(guī)則,認(rèn)證合規(guī),必要的認(rèn)證、合規(guī),Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳實踐組成的國際標(biāo)準(zhǔn)，非技術(shù)性標(biāo)準(zhǔn)，重點在于IT安全管理控制，是信息安全管理必不可少的參考； COBIT，信息化全生命周期管理框架，重點在于IT控制和IT度量評價，強烈建議將其作為IT風(fēng)險管理、IT審計標(biāo)準(zhǔn)的重要參考； ITIL，IT服務(wù)管理的最佳實踐，重點在于IT流程管理，強調(diào)IT支持和IT價值交付，可以在實施IT運維和IT服務(wù)管理時作為參考； 企業(yè)內(nèi)部控制基本規(guī)范 上交所內(nèi)部控制指引、深交所內(nèi)部控制指引、銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引 巴塞爾協(xié)議、薩班斯法案、 信息安全等級保護管理辦法 ITIL IT服務(wù)管理最佳實踐,(ISO/IEC 17799),COBIT 4.1,國內(nèi)上市公司要求,美國上市公司要求,國家重點行業(yè)要求,Compliance 合規(guī),ISO27001,通過認(rèn)證帶來全面價值的提升,遵守適用法律 證書的獲得，可以向權(quán)威機構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從一定角度講，ISO27001:2005 標(biāo)準(zhǔn)是對適用法律法規(guī)的補充和注解，因為ISO27001:2005 標(biāo)準(zhǔn)本身的制訂，是參照了業(yè)界最通行的實踐措施的，而這些實踐措施，在很多國家相關(guān)的信息保護法規(guī)中都有體現(xiàn) 很多國家所推行的相關(guān)的行業(yè)指導(dǎo)性文件及要求，又可能是參照BS7799 而擬定的。因此，通過ISO27001:2005認(rèn)證，可以使組織更有效地履行國家法律和行業(yè)規(guī)范的要求 主體本身組織高效運作 證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任 財務(wù)狀況 ISMS 的實施，本身也能降低因為潛在安全事件發(fā)生而給組織帶來的損失，另外，也有可能減少保險金支出,通過認(rèn)證帶來全面價值的提升,人員素質(zhì)以及意識 提升職員的安全意識，增強其責(zé)任感 風(fēng)險管理 有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護。 商業(yè)信譽和信心 當(dāng)合作伙伴、股東和客戶看到組織為保護信息而付出的努力時，其對組織的信心將得到加強。同樣的，證書的獲得，有助于確定組織，在同行業(yè)內(nèi)的競爭優(yōu)勢，提升其市場地位。 商業(yè)運營符合型 符合企業(yè)的自身遠(yuǎn)期發(fā)展需要，事實上，現(xiàn)在很多國際性的投標(biāo)項目已經(jīng)開始要求ISO27001:2005 符合性了，通過認(rèn)證已經(jīng)是眾多企業(yè)提升核心競爭力的必要手段,關(guān)于ISO27001認(rèn)證流程,ISO27001 規(guī)定了很多與建立、實施、維護和改進ISMS 相關(guān)的要求，組織是否符合這些要求，要在認(rèn)證審核過程中予以驗證 組織在建立并實施ISMS 之后應(yīng)該運行一段時間，確保體系功能正常、用戶得到有效培訓(xùn)、文件和記錄系統(tǒng)運轉(zhuǎn)正確，一旦ISMS 根據(jù)設(shè)計規(guī)范運轉(zhuǎn)達到了令組織滿意的狀態(tài)，就可以聯(lián)系一家被認(rèn)可的認(rèn)證機構(gòu)，準(zhǔn)備相關(guān)資料，提出認(rèn)證申請 ISO27001認(rèn)證審核的過程大致分兩個階段，即文件審核階段和現(xiàn)場審核階段 認(rèn)證申請流程：如左圖,投資,等級保護操作實務(wù),有哪些系統(tǒng),系統(tǒng)中的信息分類,系統(tǒng)的服務(wù)分類,服務(wù)的對象,受害客體,郵件系統(tǒng)財務(wù)系統(tǒng)OA,系統(tǒng)穩(wěn)定存儲安全管理,商業(yè)敏感信息內(nèi)部敏感信息公開信息,合作伙伴員工VIP開放,個人隱私公司商業(yè)利益企業(yè)公眾形象,侵害程度,定級(信息安全/服務(wù)安全),一般嚴(yán)重非常嚴(yán)重,信息實體標(biāo)識,系統(tǒng)等級保護劃分標(biāo)準(zhǔn),等級劃分實例,策略的實務(wù),借助咨詢公司,針對于某種目標(biāo)的專家 豐富業(yè)界的經(jīng)驗 教育的背景 擅長策略和計劃,為客戶,窮盡問題的可能 提供各種解決方案 為客戶的想法提供理由 提升決策的公信力 提供創(chuàng)新的建議,規(guī)則務(wù)實,參考COBIT4.0 建立管理和控制及評估機制 COBIT4.0一共有209頁，囊括了7個業(yè)務(wù)需求、20個業(yè)務(wù)目標(biāo)、28個IT目標(biāo)、34個IT過程、100多個控制管理目標(biāo)，針對每個IT過程還定義有專門的度量方法和能力成熟度評估模型（5個級別，每個級別有專門的定義描述）。,關(guān)于COBIT4.0,計劃和組織 定義IT 戰(zhàn)略計劃 定義信息架構(gòu) 決定技術(shù)方向 定義IT 過程、組織和關(guān)系 管理IT 投資 溝通管理目標(biāo)和方向 管理IT人力資源 管理質(zhì)量 管理IT 風(fēng)險 管理項目 （PO1-PO10共計10個過程）,獲得和執(zhí)行 確定自動的方案 獲得和運維應(yīng)用軟件 獲得和運維技術(shù)架構(gòu) 授權(quán)操作和使用 獲得IT 資源 管理變化 安裝和授權(quán)方案和變化。 （AI1-AI7 共計7過程）,提交和支持 定義和管理服務(wù)水平 管理第三方服務(wù) 管理性能和適應(yīng)性 保障不間斷服務(wù) 保障系統(tǒng)安全 。 DS1-DS13共計 13過程,監(jiān)視 監(jiān)視和評估it 性能 監(jiān)視和評估內(nèi)控 以外部要求確認(rèn)合規(guī) 提供IT 控制 M1-M4 共計4個過程,組織實務(wù),系統(tǒng),網(wǎng)絡(luò),應(yīng)用,安全審計,安全控制,安全策略,應(yīng)急響應(yīng),風(fēng)險管理,組織架構(gòu)實務(wù),董事會、監(jiān)事會,總裁、執(zhí)委會,IT 保障部總經(jīng)理,系統(tǒng)安全審計員,IT 審計經(jīng)理,IT安全 部經(jīng)理,安全架構(gòu)師,安全分析師,項目組安全專員,網(wǎng)絡(luò)部經(jīng)理,項目部 部經(jīng)理,組織架構(gòu)（合規(guī)）,董事會、監(jiān)事會,總裁、執(zhí)委會,IT 保障部總經(jīng)理,系統(tǒng)安全審計員,IT 審計經(jīng)理,安全 部經(jīng)理,安全架構(gòu)師,安全分析師,項目組安全專員,審計委員會,企業(yè)內(nèi)審經(jīng)理,網(wǎng)絡(luò)部經(jīng)理,項目部 部經(jīng)理,安全崗位,安全架構(gòu)師,根據(jù)策略構(gòu)建安全控制機制： 域管理、 訪問控制管理、 VPN 管理、桌面安全管理 門戶策略管理 、 數(shù)字證書、實體授權(quán),安全分析師,根據(jù)策略建立風(fēng)險控制機制 IPS/IDS 管理 防病毒病毒管理 行為管理,項目組安全專員,平臺的安全架構(gòu)師或安全分析師 項目組安全架構(gòu)師或安全分析師,保障崗位,網(wǎng)絡(luò)架構(gòu)師,構(gòu)架網(wǎng)絡(luò)（1層-3層） 維護網(wǎng)管手冊、地址表 維護內(nèi)部網(wǎng)絡(luò)環(huán)境,系統(tǒng)架構(gòu)師,構(gòu)建維護應(yīng)用軟件的運行系統(tǒng)， 維護系統(tǒng)管理手冊,應(yīng)用架構(gòu)師,構(gòu)建維護應(yīng)用系統(tǒng)的運行 維護各項應(yīng)用系統(tǒng)的管理手冊,借助域做授權(quán)管理,完整的認(rèn)證授權(quán)過程,增加 刪除 用戶,創(chuàng)建 策略組 定義 組的屬性,創(chuàng)建 分系統(tǒng)中的 角色組 定義 角色組在系 統(tǒng)中的權(quán)限,綁定 角色與 策略組,將 用戶放 入角色組,C: 文化認(rèn)同 (culture) O: 組織運營 (organize) R: 崗位職責(zé) (responsibility) P: 考核激勵 (promotion) E: 知識結(jié)構(gòu) (episteme) T: 團隊建設(shè) (team) E: 學(xué)習(xí)發(fā)展 (enterprising),危機意識、權(quán)限與授權(quán),戰(zhàn)略目標(biāo)、核心能力、價值理念、組織認(rèn)同,組織體制、職位,積極性、創(chuàng)新意識、危