信息系統(tǒng)安全集成確定安全需求與目標(biāo)概述(共77頁(yè)).ppt

1、1信息系統(tǒng)平安集成信息系統(tǒng)平安集成確定平安需求與目標(biāo)確定平安需求與目標(biāo)2本章摘要本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務(wù)特征、法律法規(guī)及合同要求，在充分考慮風(fēng)險(xiǎn)的根底上，確定組織的平安需求和目標(biāo)，形成各方認(rèn)可的平安需求文件 。摘 要主要內(nèi)容一、概述一、概述二、組織二、組織IT戰(zhàn)略與平安需求戰(zhàn)略與平安需求三、組織業(yè)務(wù)與平安需求三、組織業(yè)務(wù)與平安需求四、符合性的平安需求四、符合性的平安需求五、基于風(fēng)險(xiǎn)的平安要求五、基于風(fēng)險(xiǎn)的平安要求六、確定組織的平安需求六、確定組織的平安需求七、確定信息平安目標(biāo)七、確定信息平安目標(biāo)4一、概述1.組織與信息平安需求組織與信息平安需求從廣義上說，組織是指由諸多要素按照一定方式

2、相互聯(lián)系起來從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷?shí)現(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)從狹義上說，組織就是指人們?yōu)閷?shí)現(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)合而成的集體或團(tuán)體，如黨團(tuán)組織、工會(huì)組織、企業(yè)、軍事組合而成的集體或團(tuán)體，如黨團(tuán)組織、工會(huì)組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運(yùn)用于社會(huì)管理之中。織等等。狹義的組織專門指人群而言，運(yùn)用于社會(huì)管理之中。n組織概述組織概述5一、概述1.組織與信息平安需求組織與信息平安需求現(xiàn)代社會(huì)組織定義現(xiàn)代社會(huì)組織定義在現(xiàn)代社會(huì)生活中組織是人們按照一定的目的、任務(wù)和形式在現(xiàn)代社會(huì)生活中組織是人們按照一定的目的、

3、任務(wù)和形式編制起來的社會(huì)集團(tuán)。組織是表達(dá)一定社會(huì)關(guān)系、具有一定結(jié)編制起來的社會(huì)集團(tuán)。組織是表達(dá)一定社會(huì)關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實(shí)現(xiàn)其目標(biāo)的集合體。構(gòu)形式并且不斷從外部汲取資源以實(shí)現(xiàn)其目標(biāo)的集合體。n組織概述組織概述6一、概述1.組織與信息平安需求組織與信息平安需求n組織平安需求組織平安需求-組織需要保護(hù)什么？組織需要保護(hù)什么？信息平安的需求，是由于本身或類似組織經(jīng)歷了信息損失之后信息平安的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個(gè)組織層面出發(fā)貫穿整個(gè)組織業(yè)務(wù)并符合法律法規(guī)、平安監(jiān)管要求、

4、合同業(yè)務(wù)要求等，提出業(yè)務(wù)并符合法律法規(guī)、平安監(jiān)管要求、合同業(yè)務(wù)要求等，提出復(fù)合組織的基于風(fēng)險(xiǎn)管理的平安需求。復(fù)合組織的基于風(fēng)險(xiǎn)管理的平安需求。組織應(yīng)該將信息平安集成到業(yè)務(wù)運(yùn)作的每一個(gè)層面。組織應(yīng)該將信息平安集成到業(yè)務(wù)運(yùn)作的每一個(gè)層面。7一、概述1.組織與信息平安需求組織與信息平安需求n組織平安需求分析的層次組織平安需求分析的層次需求分析的層次：需求分析的層次：目標(biāo)性需求，定義了整個(gè)系統(tǒng)需要到達(dá)的目標(biāo)；目標(biāo)性需求，定義了整個(gè)系統(tǒng)需要到達(dá)的目標(biāo)；功能性需求，定義了整個(gè)系統(tǒng)必須完成的任務(wù)；功能性需求，定義了整個(gè)系統(tǒng)必須完成的任務(wù)；操作性需求，定義了完成每個(gè)任務(wù)的具體的人機(jī)交互操作性需求，定義了完成每

5、個(gè)任務(wù)的具體的人機(jī)交互.8一、概述1.組織與信息平安需求組織與信息平安需求n組織平安需求挖掘的方法組織平安需求挖掘的方法挖掘需求的方法：挖掘需求的方法：分析特定客戶的業(yè)務(wù)流程和模型分析特定客戶的業(yè)務(wù)流程和模型;與特定客戶進(jìn)行討論與交流與特定客戶進(jìn)行討論與交流(或聯(lián)合成立需求組或聯(lián)合成立需求組)，包括：需求，包括：需求討論會(huì)討論會(huì),與專家或代表討論與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等用戶提問題等.9一、概述1.組織與信息平安需求組織與信息平安需求n組織平安需求分析的方法組織平安需求分析的方法風(fēng)險(xiǎn)評(píng)估

6、法風(fēng)險(xiǎn)評(píng)估法平安需求分析的方法：平安需求分析的方法：資產(chǎn)清冊(cè)資產(chǎn)清冊(cè)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)確定風(fēng)險(xiǎn)形成需求形成需求10一、概述2.組織平安風(fēng)險(xiǎn)組織平安風(fēng)險(xiǎn)n平安威脅平安威脅-引入相關(guān)數(shù)據(jù)圖表介紹引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的平安威脅和攻擊破壞。組織正在遭受越來越多的平安威脅和攻擊破壞。由于組織越來越依靠信息資源，平安事件不斷增長(zhǎng)，而平安事由于組織越來越依靠信息資源，平安事件不斷增長(zhǎng)，而平安事件造成的損失以及用于事件處理的財(cái)力、人力以及件造成的損失以及用于事件處理的財(cái)力、人力以及IT資源的投資源的投入需要不斷增長(zhǎng)。入需要不斷增長(zhǎng)。11一、概述2.組織平安風(fēng)險(xiǎn)組織平安風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指一個(gè)

7、事件產(chǎn)生我們所不希望的后果可能性。風(fēng)險(xiǎn)是指一個(gè)事件產(chǎn)生我們所不希望的后果可能性。組織的風(fēng)險(xiǎn)是指組織未來發(fā)生損失的不確定性。這些平安風(fēng)險(xiǎn)組織的風(fēng)險(xiǎn)是指組織未來發(fā)生損失的不確定性。這些平安風(fēng)險(xiǎn)主要包括了業(yè)務(wù)的連續(xù)性、業(yè)務(wù)流程平安、法律平安要求、合主要包括了業(yè)務(wù)的連續(xù)性、業(yè)務(wù)流程平安、法律平安要求、合同平安、隱私保護(hù)要求等。同平安、隱私保護(hù)要求等。n組織的風(fēng)險(xiǎn)組織的風(fēng)險(xiǎn)12一、概述3.組織信息平安目標(biāo)組織信息平安目標(biāo)根據(jù)國(guó)際信息平安管理標(biāo)準(zhǔn)的描述，信息平安的目標(biāo)是根據(jù)國(guó)際信息平安管理標(biāo)準(zhǔn)的描述，信息平安的目標(biāo)是“通過防通過防止和減小平安事故的影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化。止和減小平安事故的

8、影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化。需要進(jìn)行需要進(jìn)行IT規(guī)劃和費(fèi)用調(diào)整以保證適當(dāng)?shù)钠桨餐度?，部署有效的?guī)劃和費(fèi)用調(diào)整以保證適當(dāng)?shù)钠桨餐度?，部署有效的工具，來解決緊迫的平安問題，實(shí)現(xiàn)組織的平安目標(biāo)。工具，來解決緊迫的平安問題，實(shí)現(xiàn)組織的平安目標(biāo)。n信息平安的目標(biāo)信息平安的目標(biāo)13二、組織IT戰(zhàn)略與平安需求1.組織組織IT戰(zhàn)略戰(zhàn)略n組織戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是指組織對(duì)有關(guān)全局性組織戰(zhàn)略是指組織對(duì)有關(guān)全局性,長(zhǎng)遠(yuǎn)性長(zhǎng)遠(yuǎn)性,綱領(lǐng)性目標(biāo)綱領(lǐng)性目標(biāo)的謀劃和決策的謀劃和決策.14二、組織IT戰(zhàn)略與平安需求1.組織組織IT戰(zhàn)略戰(zhàn)略n組織戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是說明組織如何到達(dá)目標(biāo)，完成使命的整體謀劃組織戰(zhàn)略是

9、說明組織如何到達(dá)目標(biāo)，完成使命的整體謀劃,是是提出詳細(xì)行動(dòng)方案的起點(diǎn)提出詳細(xì)行動(dòng)方案的起點(diǎn),但它又凌駕于任何特定方案的各種但它又凌駕于任何特定方案的各種細(xì)節(jié)之上細(xì)節(jié)之上.戰(zhàn)略反映了管理者對(duì)于行動(dòng)戰(zhàn)略反映了管理者對(duì)于行動(dòng),環(huán)境和業(yè)績(jī)之間關(guān)鍵聯(lián)系的理解環(huán)境和業(yè)績(jī)之間關(guān)鍵聯(lián)系的理解,用以確保已確定的使命用以確保已確定的使命,愿景愿景,價(jià)值觀的實(shí)現(xiàn)。價(jià)值觀的實(shí)現(xiàn)。 15二、組織IT戰(zhàn)略與平安需求1.組織組織IT戰(zhàn)略戰(zhàn)略n組織組織IT戰(zhàn)略戰(zhàn)略IT戰(zhàn)略即信息技術(shù)戰(zhàn)略戰(zhàn)略即信息技術(shù)戰(zhàn)略ITStrategy是組織經(jīng)營(yíng)戰(zhàn)略的有機(jī)組是組織經(jīng)營(yíng)戰(zhàn)略的有機(jī)組成局部，和財(cái)務(wù)戰(zhàn)略、人力資源戰(zhàn)略、運(yùn)作戰(zhàn)略等一樣，是公司成局

10、部，和財(cái)務(wù)戰(zhàn)略、人力資源戰(zhàn)略、運(yùn)作戰(zhàn)略等一樣，是公司的職能戰(zhàn)略。的職能戰(zhàn)略。IT戰(zhàn)是關(guān)于企業(yè)信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。戰(zhàn)是關(guān)于企業(yè)信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。對(duì)于大的組織公司而言，子公司或大的業(yè)務(wù)單元也會(huì)有其相對(duì)獨(dú)對(duì)于大的組織公司而言，子公司或大的業(yè)務(wù)單元也會(huì)有其相對(duì)獨(dú)立的信息技術(shù)戰(zhàn)略。立的信息技術(shù)戰(zhàn)略。16二、組織IT戰(zhàn)略與平安需求1.組織組織IT戰(zhàn)略戰(zhàn)略n組織組織IT戰(zhàn)略的局部組成戰(zhàn)略的局部組成使命使命Mission：闡述信息技術(shù)存在的理由、目的以及在企業(yè)：闡述信息技術(shù)存在的理由、目的以及在企業(yè)中的作用。中的作用。遠(yuǎn)景目標(biāo)遠(yuǎn)景目標(biāo)Vision：信息技術(shù)的開展方向和結(jié)果

11、。：信息技術(shù)的開展方向和結(jié)果。中長(zhǎng)期目標(biāo)中長(zhǎng)期目標(biāo)MediumtoLong-termObjectives：遠(yuǎn)景目標(biāo)的：遠(yuǎn)景目標(biāo)的具體化，即企業(yè)未來具體化，即企業(yè)未來23年信息技術(shù)開展的具體目標(biāo)。年信息技術(shù)開展的具體目標(biāo)。17二、組織IT戰(zhàn)略與平安需求1.組織組織IT戰(zhàn)略戰(zhàn)略n組織組織IT戰(zhàn)略的要點(diǎn)戰(zhàn)略的要點(diǎn)戰(zhàn)略要點(diǎn)：是實(shí)現(xiàn)上述中長(zhǎng)期目標(biāo)的途徑或路線。戰(zhàn)略要點(diǎn)：是實(shí)現(xiàn)上述中長(zhǎng)期目標(biāo)的途徑或路線。組織組織IT戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個(gè)方面展開：戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個(gè)方面展開：硬件與組建硬件與組建網(wǎng)絡(luò)與通信網(wǎng)絡(luò)與通信應(yīng)用與數(shù)據(jù)應(yīng)用與數(shù)據(jù)組織與人員組織與人員18二、組織IT戰(zhàn)略

12、與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n組織信息資產(chǎn)組織信息資產(chǎn)要進(jìn)行信息平安建設(shè)，首先明確平安保護(hù)的對(duì)象要進(jìn)行信息平安建設(shè)，首先明確平安保護(hù)的對(duì)象-組組織信息資產(chǎn)?？椥畔①Y產(chǎn)。19二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n組織信息資產(chǎn)組織信息資產(chǎn)明確平安保護(hù)的對(duì)象，即明確組織信息資產(chǎn)。分析業(yè)務(wù)流程分析業(yè)務(wù)流程識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)確定業(yè)務(wù)資產(chǎn)的平安所有人和責(zé)任人確定業(yè)務(wù)資產(chǎn)的平安所有人和責(zé)任人明確平安保護(hù)責(zé)任明確平安保護(hù)責(zé)任20二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求

13、n組織信息資產(chǎn)組織信息資產(chǎn)建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，幫助組織實(shí)施有效的信息資建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，幫助組織實(shí)施有效的信息資產(chǎn)平安保護(hù)，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。產(chǎn)平安保護(hù)，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的平安等級(jí)和平安責(zé)任人。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的平安等級(jí)和平安責(zé)任人。21二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n組織信息資產(chǎn)組織信息資產(chǎn)在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括：在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括：業(yè)務(wù)應(yīng)用軟件業(yè)務(wù)應(yīng)用軟件IT根底設(shè)施硬件、組件、網(wǎng)絡(luò)通訊等根底設(shè)施硬件、組件、網(wǎng)絡(luò)通訊等相

14、關(guān)的數(shù)據(jù)和信息相關(guān)的數(shù)據(jù)和信息關(guān)鍵業(yè)務(wù)流程和人員關(guān)鍵業(yè)務(wù)流程和人員其他信息資產(chǎn)。其他信息資產(chǎn)。22二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n平安風(fēng)險(xiǎn)的評(píng)估平安風(fēng)險(xiǎn)的評(píng)估平安風(fēng)險(xiǎn)評(píng)估的目的在于定義核心信息資產(chǎn)，并且分析應(yīng)用環(huán)境平安風(fēng)險(xiǎn)評(píng)估的目的在于定義核心信息資產(chǎn)，并且分析應(yīng)用環(huán)境中可能存在的風(fēng)險(xiǎn)。中可能存在的風(fēng)險(xiǎn)。平安風(fēng)險(xiǎn)評(píng)估是定義平安需求、選擇相應(yīng)對(duì)策以及設(shè)計(jì)平安系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估是定義平安需求、選擇相應(yīng)對(duì)策以及設(shè)計(jì)平安系統(tǒng)的根底。的根底。23二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n平安風(fēng)險(xiǎn)的評(píng)估平安風(fēng)險(xiǎn)的評(píng)

15、估簡(jiǎn)易風(fēng)險(xiǎn)評(píng)估模型：簡(jiǎn)易風(fēng)險(xiǎn)評(píng)估模型：從風(fēng)險(xiǎn)性質(zhì)上從風(fēng)險(xiǎn)性質(zhì)上,風(fēng)險(xiǎn)風(fēng)險(xiǎn)=威脅威脅+弱點(diǎn)弱點(diǎn)+影響影響 考慮風(fēng)險(xiǎn)的影線考慮風(fēng)險(xiǎn)的影線,風(fēng)險(xiǎn)風(fēng)險(xiǎn)=威脅威脅*弱點(diǎn)弱點(diǎn)*影響影響風(fēng)險(xiǎn)三個(gè)要素：風(fēng)險(xiǎn)三個(gè)要素：威脅威脅-事件或行為事件或行為,一般來自系統(tǒng)外部一般來自系統(tǒng)外部,可能在某些地方會(huì)影響固有可能在某些地方會(huì)影響固有的弱點(diǎn)的弱點(diǎn),造成影響造成影響. 弱點(diǎn)弱點(diǎn)-系統(tǒng)內(nèi)部考慮之中的弱點(diǎn)系統(tǒng)內(nèi)部考慮之中的弱點(diǎn),可能在某些地方受到威脅所利用?？赡茉谀承┑胤绞艿酵{所利用。 影響影響-短期與長(zhǎng)期組織影響短期與長(zhǎng)期組織影響,威脅碰巧利用弱點(diǎn)。威脅碰巧利用弱點(diǎn)。24二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信

16、息平安需求基于戰(zhàn)略的組織信息平安需求n平安風(fēng)險(xiǎn)的評(píng)估平安風(fēng)險(xiǎn)的評(píng)估通過平安風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)資產(chǎn)的平安威脅和風(fēng)險(xiǎn)，了解通過平安風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)資產(chǎn)的平安威脅和風(fēng)險(xiǎn)，了解企業(yè)的平安現(xiàn)狀和風(fēng)險(xiǎn)水平，分析平安需求和平安改進(jìn)方向。企業(yè)的平安現(xiàn)狀和風(fēng)險(xiǎn)水平，分析平安需求和平安改進(jìn)方向。平安需求必須基于風(fēng)險(xiǎn)評(píng)估，并且應(yīng)該在設(shè)計(jì)階段開始前確定。平安需求必須基于風(fēng)險(xiǎn)評(píng)估，并且應(yīng)該在設(shè)計(jì)階段開始前確定。25二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n基于戰(zhàn)略的信息平安需求確實(shí)定基于戰(zhàn)略的信息平安需求確實(shí)定組織需要制定與業(yè)務(wù)戰(zhàn)略和組織需要制定與業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略一

17、致的平安戰(zhàn)略，明確企業(yè)戰(zhàn)略一致的平安戰(zhàn)略，明確企業(yè)的平安建設(shè)目標(biāo)和平安建設(shè)原那么。的平安建設(shè)目標(biāo)和平安建設(shè)原那么。 通過風(fēng)險(xiǎn)評(píng)估了解了組織的平安現(xiàn)狀和風(fēng)險(xiǎn)水平，企業(yè)明確了通過風(fēng)險(xiǎn)評(píng)估了解了組織的平安現(xiàn)狀和風(fēng)險(xiǎn)水平，企業(yè)明確了各個(gè)層次的平安需求和改進(jìn)方向。各個(gè)層次的平安需求和改進(jìn)方向。信息平安戰(zhàn)略是組織在一定時(shí)期內(nèi)的一整套平安決策，這一決信息平安戰(zhàn)略是組織在一定時(shí)期內(nèi)的一整套平安決策，這一決策決定了企業(yè)的平安策略和制度、流程、行為和技術(shù)的建設(shè)。策決定了企業(yè)的平安策略和制度、流程、行為和技術(shù)的建設(shè)。 26二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n基于戰(zhàn)略的

18、信息平安需求確實(shí)定基于戰(zhàn)略的信息平安需求確實(shí)定制定組織信息平安戰(zhàn)略的目標(biāo)：支持組織戰(zhàn)略。支持組織戰(zhàn)略。平衡的信息平安風(fēng)險(xiǎn)。平衡的信息平安風(fēng)險(xiǎn)。謹(jǐn)慎而有效的信息平安投資。謹(jǐn)慎而有效的信息平安投資。信息平安建設(shè)能夠與業(yè)務(wù)開展和信息平安建設(shè)能夠與業(yè)務(wù)開展和IT能力建設(shè)同能力建設(shè)同步。步。促使信息平安成為業(yè)務(wù)開展的有力驅(qū)動(dòng)。促使信息平安成為業(yè)務(wù)開展的有力驅(qū)動(dòng)。27二、組織IT戰(zhàn)略與平安需求2.基于戰(zhàn)略的組織信息平安需求基于戰(zhàn)略的組織信息平安需求n基于戰(zhàn)略的信息平安需求確實(shí)定基于戰(zhàn)略的信息平安需求確實(shí)定基于戰(zhàn)略的信息平安需求的內(nèi)容：范圍需求范圍需求平安的目標(biāo)需求可用性、完整性、保密性、不可地耐性等要求平

19、安的目標(biāo)需求可用性、完整性、保密性、不可地耐性等要求平安的組織需求平安的組織需求平安的資源需求平安的資源需求平安的管理流程需求突發(fā)事件與持續(xù)改進(jìn)平安的管理流程需求突發(fā)事件與持續(xù)改進(jìn)后續(xù)展開這些需求。28三、組織業(yè)務(wù)與平安需求1.組織業(yè)務(wù)描述模型組織業(yè)務(wù)描述模型組織的分類方法有多種，這里講的組織按組織的目標(biāo)分類，可組織的分類方法有多種，這里講的組織按組織的目標(biāo)分類，可以把組織分為：以把組織分為： 互益組織：如工會(huì)、俱樂部、政黨等。互益組織：如工會(huì)、俱樂部、政黨等。 工商組織：如工廠、商店、銀行等。工商組織：如工廠、商店、銀行等。 效勞組織：如醫(yī)院、學(xué)校、社會(huì)機(jī)構(gòu)等。效勞組織：如醫(yī)院、學(xué)校、社會(huì)機(jī)

20、構(gòu)等。 公益組織：如政府機(jī)構(gòu)、研究機(jī)構(gòu)、消防隊(duì)等。公益組織：如政府機(jī)構(gòu)、研究機(jī)構(gòu)、消防隊(duì)等。 n組織的分類組織的分類29三、組織業(yè)務(wù)與平安需求1.組織業(yè)務(wù)描述模型組織業(yè)務(wù)描述模型n組織的業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)模型是描述業(yè)務(wù)用例實(shí)現(xiàn)的對(duì)象業(yè)務(wù)模型是描述業(yè)務(wù)用例實(shí)現(xiàn)的對(duì)象模型，它是對(duì)業(yè)務(wù)角色和業(yè)務(wù)實(shí)體之模型，它是對(duì)業(yè)務(wù)角色和業(yè)務(wù)實(shí)體之間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務(wù)的一種間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務(wù)的一種抽象。抽象。30三、組織業(yè)務(wù)與平安需求1.組織業(yè)務(wù)描述模型組織業(yè)務(wù)描述模型n組織的業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)流程描述模型刻畫以業(yè)務(wù)表單為中心的應(yīng)用系統(tǒng)業(yè)務(wù)流程，業(yè)務(wù)流程描述模型刻畫以業(yè)

21、務(wù)表單為中心的應(yīng)用系統(tǒng)業(yè)務(wù)流程，解決其業(yè)務(wù)流程建模中的問題解決其業(yè)務(wù)流程建模中的問題,包括包括:各類約束的嚴(yán)格描述、權(quán)限表各類約束的嚴(yán)格描述、權(quán)限表示、流程關(guān)系、流程推進(jìn)過程以及業(yè)務(wù)對(duì)象被調(diào)度和執(zhí)行的全過示、流程關(guān)系、流程推進(jìn)過程以及業(yè)務(wù)對(duì)象被調(diào)度和執(zhí)行的全過程描述。程描述。采用業(yè)務(wù)流程描述模型的業(yè)務(wù)系統(tǒng)更容易擴(kuò)展和維護(hù)采用業(yè)務(wù)流程描述模型的業(yè)務(wù)系統(tǒng)更容易擴(kuò)展和維護(hù), 能較好地滿能較好地滿足用戶的需求。足用戶的需求。31三、組織業(yè)務(wù)與平安需求1.組織業(yè)務(wù)描述模型組織業(yè)務(wù)描述模型n業(yè)務(wù)描述模型例子業(yè)務(wù)描述模型例子-銀行業(yè)務(wù)模型銀行業(yè)務(wù)模型業(yè)務(wù)事件業(yè)務(wù)事件UML信號(hào)事件信號(hào)事件-指定的鼓勵(lì)表格或文

22、檔指定的鼓勵(lì)表格或文檔和過程和過程(UML 用例用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord32三、組織業(yè)務(wù)與平安需求1.組織業(yè)務(wù)描述模型組織業(yè)務(wù)描述模型n業(yè)務(wù)描述模型例子業(yè)務(wù)描述模型例子-銀行業(yè)務(wù)模型銀行業(yè)務(wù)模型Customer：客戶；Teller：出納員 ；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)庫(kù)33三、組織業(yè)務(wù)與平安需求2.基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求業(yè)務(wù)信息資產(chǎn)是

23、企業(yè)信息平安保護(hù)的核心目標(biāo)，因此要進(jìn)行信息業(yè)務(wù)信息資產(chǎn)是企業(yè)信息平安保護(hù)的核心目標(biāo)，因此要進(jìn)行信息平安建設(shè)，首先明確平安保護(hù)的對(duì)象。組織需要通過分析業(yè)務(wù)流平安建設(shè)，首先明確平安保護(hù)的對(duì)象。組織需要通過分析業(yè)務(wù)流程，識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)，確定業(yè)務(wù)資產(chǎn)的平安所有人和認(rèn)責(zé)人，程，識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)，確定業(yè)務(wù)資產(chǎn)的平安所有人和認(rèn)責(zé)人，明確平安保護(hù)責(zé)任。明確平安保護(hù)責(zé)任。 n業(yè)務(wù)信息資產(chǎn)平安是組織信息平安保護(hù)的核心業(yè)務(wù)信息資產(chǎn)平安是組織信息平安保護(hù)的核心34三、組織業(yè)務(wù)與平安需求2.基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求n組織業(yè)務(wù)信息資產(chǎn)保護(hù)內(nèi)容組織業(yè)務(wù)信息資產(chǎn)保護(hù)內(nèi)容在以業(yè)務(wù)為核心的組織內(nèi)部，信息

24、資產(chǎn)包括業(yè)務(wù)硬件與組件、系在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括業(yè)務(wù)硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)鍵業(yè)務(wù)流程和人員。鍵業(yè)務(wù)流程和人員。35三、組織業(yè)務(wù)與平安需求2.基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求n基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求對(duì)業(yè)務(wù)相關(guān)信息資產(chǎn)清冊(cè)，包括硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、對(duì)業(yè)務(wù)相關(guān)信息資產(chǎn)清冊(cè)，包括硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務(wù)流程和人員。應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務(wù)流程和人員。建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，可以幫助企

25、業(yè)實(shí)施有效的信建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，可以幫助企業(yè)實(shí)施有效的信息資產(chǎn)平安保護(hù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)息資產(chǎn)平安保護(hù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的平安等級(jí)和平安責(zé)任人。該定義資產(chǎn)的平安等級(jí)和平安責(zé)任人。36三、組織業(yè)務(wù)與平安需求2.基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求n基于業(yè)務(wù)的組織平安需求基于業(yè)務(wù)的組織平安需求通過平安風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)信息資產(chǎn)的平安威脅和風(fēng)險(xiǎn)，通過平安風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)信息資產(chǎn)的平安威脅和風(fēng)險(xiǎn)，將平安需求列表并排出優(yōu)先級(jí)。將平安需求列表并排出優(yōu)先級(jí)。確定基于業(yè)務(wù)的組織平安需求和平安改進(jìn)方向。確定基于業(yè)務(wù)的組織平

26、安需求和平安改進(jìn)方向。37四、符合性的平安需求1 .符合性概述符合性概述n符合性需求的意義符合性需求的意義為了防止任何違反法律、法令、法定的或者合同的義為了防止任何違反法律、法令、法定的或者合同的義務(wù)，使信息系統(tǒng)平安集成和運(yùn)行置于法律、法規(guī)或者務(wù)，使信息系統(tǒng)平安集成和運(yùn)行置于法律、法規(guī)或者合同的約定的要求之下，以防止或減少平安風(fēng)險(xiǎn)。合同的約定的要求之下，以防止或減少平安風(fēng)險(xiǎn)。38四、符合性的平安需求1 .符合性概述符合性概述符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)標(biāo)準(zhǔn)等。符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)標(biāo)準(zhǔn)等。符合性要求組織所有行為必須合法，符合相關(guān)的規(guī)章制度及規(guī)那符合性要求組織所有行

27、為必須合法，符合相關(guān)的規(guī)章制度及規(guī)那么。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)么。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)章制度。章制度。 符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，如環(huán)境法規(guī)，在某些方面對(duì)于整個(gè)組織、或整個(gè)行業(yè)是類似的。如環(huán)境法規(guī)，在某些方面對(duì)于整個(gè)組織、或整個(gè)行業(yè)是類似的。n什么是符合性什么是符合性39四、符合性的平安需求2.法律法規(guī)要求法律法規(guī)要求n法律法規(guī)的識(shí)別法律法規(guī)的識(shí)別識(shí)別識(shí)別收集與平安集成有關(guān)的法律法規(guī)并對(duì)適應(yīng)性進(jìn)行評(píng)價(jià)，收集與平安集成有關(guān)的法律法規(guī)并對(duì)適應(yīng)性進(jìn)行

28、評(píng)價(jià)，確定其適用范圍和具體適應(yīng)條款，形成適應(yīng)的法律法規(guī)確定其適用范圍和具體適應(yīng)條款，形成適應(yīng)的法律法規(guī)清單。清單。40四、符合性的平安需求2.法律法規(guī)要求法律法規(guī)要求n法律法規(guī)的識(shí)別法律法規(guī)的識(shí)別評(píng)估評(píng)估法律法規(guī)復(fù)合性的需要定期評(píng)估，保持適應(yīng)的法律、法法律法規(guī)復(fù)合性的需要定期評(píng)估，保持適應(yīng)的法律、法規(guī)的有效最新版本。規(guī)的有效最新版本。法律法規(guī)復(fù)合性的需要定期評(píng)價(jià)，保持適應(yīng)的法律、法法律法規(guī)復(fù)合性的需要定期評(píng)價(jià)，保持適應(yīng)的法律、法規(guī)的符合性。規(guī)的符合性。41四、符合性的平安需求2.法律法規(guī)要求法律法規(guī)要求n知識(shí)產(chǎn)權(quán)保護(hù)需求知識(shí)產(chǎn)權(quán)保護(hù)需求嚴(yán)格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正嚴(yán)

29、格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版地軟件。這些需要，版地軟件。這些需要，確定合法獲得軟件的途徑合法；確定合法獲得軟件的途徑合法；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；列出需要的軟件或未被授權(quán)軟件清單；列出需要的軟件或未被授權(quán)軟件清單；確保用戶數(shù)不超出允許的上限；確保用戶數(shù)不超出允許的上限；嚴(yán)禁員工私自安裝任何軟件。嚴(yán)禁員工私自安裝任何軟件。42四、符合性的平安需求2.法律法規(guī)要求法律法規(guī)要求n記錄的保護(hù)需求記錄的保護(hù)需求應(yīng)按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存期限并適應(yīng)按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存

30、期限并適當(dāng)保護(hù)，防止喪失、損壞和偽造；當(dāng)保護(hù)，防止喪失、損壞和偽造；處理與個(gè)人數(shù)據(jù)與信息應(yīng)按照國(guó)家法律法規(guī)的規(guī)定和相關(guān)合同約處理與個(gè)人數(shù)據(jù)與信息應(yīng)按照國(guó)家法律法規(guī)的規(guī)定和相關(guān)合同約束，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止喪失或泄漏個(gè)人信息；束，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止喪失或泄漏個(gè)人信息；將需要保護(hù)記錄和個(gè)數(shù)據(jù)與人信息列出清單，并明確保護(hù)要求。將需要保護(hù)記錄和個(gè)數(shù)據(jù)與人信息列出清單，并明確保護(hù)要求。43四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求平安監(jiān)管平安監(jiān)管是為預(yù)防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或是為預(yù)防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或管理不善導(dǎo)致信息平安事件的發(fā)

31、生，并保證及時(shí)處理由管理不善導(dǎo)致信息平安事件的發(fā)生，并保證及時(shí)處理由此引起的各類平安事件，減輕或消除信息平安事件造成此引起的各類平安事件，減輕或消除信息平安事件造成的經(jīng)濟(jì)損失或信譽(yù)損失，確保組織業(yè)務(wù)的連續(xù)性。的經(jīng)濟(jì)損失或信譽(yù)損失，確保組織業(yè)務(wù)的連續(xù)性。44四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求平安監(jiān)管的要求主要分為：平安監(jiān)管的要求主要分為：國(guó)家要求；國(guó)家要求；行業(yè)要求；行業(yè)要求；組織內(nèi)部；組織內(nèi)部；其他監(jiān)管要求。其他監(jiān)管要求。45四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n信息平安等級(jí)保護(hù)管理的要求信息平安等級(jí)保護(hù)管理的要求什么是信息平安等級(jí)保護(hù)什么是信息平安等級(jí)保護(hù)信息平安等

32、級(jí)保護(hù)是指國(guó)家秘密信息、法人和其他組織及公民的信息平安等級(jí)保護(hù)是指國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行平安保護(hù)，對(duì)信息系統(tǒng)中使用的信息平安產(chǎn)品實(shí)行按分等級(jí)實(shí)行平安保護(hù)，對(duì)信息系統(tǒng)中使用的信息平安產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息平安事件分等級(jí)響應(yīng)、處置。等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息平安事件分等級(jí)響應(yīng)、處置。46四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n信息平安等級(jí)保護(hù)管理的要求信息平安等級(jí)保護(hù)管理的要求組織對(duì)信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)的需求：組織對(duì)信息

33、和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)的需求：信息平安等級(jí)保護(hù)管理要求信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)，按信息平安等級(jí)保護(hù)管理要求信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)，按組織的利益，社會(huì)公眾利益，對(duì)國(guó)家平安的影響一共分為五級(jí)，組織的利益，社會(huì)公眾利益，對(duì)國(guó)家平安的影響一共分為五級(jí)，第一級(jí)是最低的，第五級(jí)是最高。第一級(jí)是最低的，第五級(jí)是最高。確定組織是否強(qiáng)制或自愿納入信息平安等級(jí)保護(hù)管理，明確納入確定組織是否強(qiáng)制或自愿納入信息平安等級(jí)保護(hù)管理，明確納入分級(jí)保護(hù)的級(jí)別。分級(jí)保護(hù)的級(jí)別。47四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n信息平安等級(jí)保護(hù)管理的要求信息平安等級(jí)保護(hù)管理的要求組織對(duì)信息系統(tǒng)平安專用產(chǎn)品分等級(jí)的

34、需求：組織對(duì)信息系統(tǒng)平安專用產(chǎn)品分等級(jí)的需求：信息平安等級(jí)保護(hù)管理要求對(duì)信息系統(tǒng)平安專用產(chǎn)品分等級(jí)進(jìn)行管理，信息平安等級(jí)保護(hù)管理要求對(duì)信息系統(tǒng)平安專用產(chǎn)品分等級(jí)進(jìn)行管理，根據(jù)可控性、可靠性、平安性和可監(jiān)督性這四個(gè)屬性確定信息系統(tǒng)使根據(jù)可控性、可靠性、平安性和可監(jiān)督性這四個(gè)屬性確定信息系統(tǒng)使用的平安產(chǎn)品等級(jí)，各個(gè)單位使用的平安產(chǎn)品應(yīng)該是分等級(jí)的。定了用的平安產(chǎn)品等級(jí)，各個(gè)單位使用的平安產(chǎn)品應(yīng)該是分等級(jí)的。定了三級(jí)的系統(tǒng)不能使用二級(jí)以下的平安產(chǎn)品；三級(jí)的系統(tǒng)不能使用二級(jí)以下的平安產(chǎn)品； 確定組織納入分級(jí)保護(hù)的級(jí)別，明確使用信息平安產(chǎn)品的等級(jí)需求。確定組織納入分級(jí)保護(hù)的級(jí)別，明確使用信息平安產(chǎn)品的等

35、級(jí)需求。48四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n信息平安等級(jí)保護(hù)管理的要求信息平安等級(jí)保護(hù)管理的要求組織對(duì)所發(fā)生的信息平安事件分等級(jí)進(jìn)行響應(yīng)和處置的需求：組織對(duì)所發(fā)生的信息平安事件分等級(jí)進(jìn)行響應(yīng)和處置的需求：信息平安等級(jí)保護(hù)管理要求，對(duì)所發(fā)生的信息平安事件分等級(jí)進(jìn)信息平安等級(jí)保護(hù)管理要求，對(duì)所發(fā)生的信息平安事件分等級(jí)進(jìn)行響應(yīng)和處置，對(duì)不同的信息平安事件，由監(jiān)管部門牽頭組織全行響應(yīng)和處置，對(duì)不同的信息平安事件，由監(jiān)管部門牽頭組織全社會(huì)的應(yīng)急響應(yīng)和單位的應(yīng)急響應(yīng)相結(jié)合，最大限度的減輕信息社會(huì)的應(yīng)急響應(yīng)和單位的應(yīng)急響應(yīng)相結(jié)合，最大限度的減輕信息平安事件造成的損失。平安事件造成的損失。確

36、定組織納入分級(jí)保護(hù)的級(jí)別，明確信息平安事件響應(yīng)的等級(jí)需確定組織納入分級(jí)保護(hù)的級(jí)別，明確信息平安事件響應(yīng)的等級(jí)需求。求。49四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n組織內(nèi)部信息平安監(jiān)管要求組織內(nèi)部信息平安監(jiān)管要求監(jiān)管范圍與內(nèi)容：監(jiān)管范圍與內(nèi)容：定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部署的物理邊界，應(yīng)用運(yùn)行的區(qū)域；署的物理邊界，應(yīng)用運(yùn)行的區(qū)域；明確監(jiān)管設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、鑒權(quán)系明確監(jiān)管設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、鑒權(quán)系統(tǒng)、效勞器、路由器、交換機(jī)等；統(tǒng)、效勞器、路由器、交換機(jī)等；50四、符合性的平安需求3.平安監(jiān)管要求平安

37、監(jiān)管要求n組織內(nèi)部信息平安監(jiān)管要求組織內(nèi)部信息平安監(jiān)管要求監(jiān)管范圍與內(nèi)容：監(jiān)管范圍與內(nèi)容：操作系統(tǒng)與應(yīng)用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)操作系統(tǒng)與應(yīng)用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用系統(tǒng)及設(shè)備運(yùn)行域操作日志的監(jiān)管要管理系統(tǒng)、應(yīng)用系統(tǒng)及設(shè)備運(yùn)行域操作日志的監(jiān)管要求；求；網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計(jì)要求，網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計(jì)要求，非法、敏感類信息以及克訪問性的適時(shí)監(jiān)管要求。非法、敏感類信息以及克訪問性的適時(shí)監(jiān)管要求。51四、符合性的平安需求3.平安監(jiān)管要求平安監(jiān)管要求n組織內(nèi)部信息平安監(jiān)管要求組織內(nèi)部信息平安監(jiān)管要求監(jiān)管職責(zé)：監(jiān)管職責(zé)：內(nèi)部監(jiān)管機(jī)構(gòu)的指定與監(jiān)管

38、責(zé)任的定義，如誰(shuí)分管，哪個(gè)部門承內(nèi)部監(jiān)管機(jī)構(gòu)的指定與監(jiān)管責(zé)任的定義，如誰(shuí)分管，哪個(gè)部門承擔(dān)監(jiān)管責(zé)任，對(duì)監(jiān)管對(duì)象、平安事件處理，上下協(xié)調(diào)等責(zé)任的定擔(dān)監(jiān)管責(zé)任，對(duì)監(jiān)管對(duì)象、平安事件處理，上下協(xié)調(diào)等責(zé)任的定義；義；監(jiān)管人員的監(jiān)管職責(zé)的明確，日常監(jiān)管要求，問題處理方式與報(bào)監(jiān)管人員的監(jiān)管職責(zé)的明確，日常監(jiān)管要求，問題處理方式與報(bào)告流程；告流程；事件分類及事件處理流程定義。事件分類及事件處理流程定義。52四、符合性的平安需求4. 合同業(yè)務(wù)要求合同業(yè)務(wù)要求合同受到法律保護(hù)：合同受到法律保護(hù)：合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律

39、保護(hù)。依法成立的合同，受法律保護(hù)。組織明確雙方合同協(xié)議中對(duì)信息平安的要求。組織明確雙方合同協(xié)議中對(duì)信息平安的要求。n組織在合同業(yè)務(wù)中對(duì)信息平安的要求組織在合同業(yè)務(wù)中對(duì)信息平安的要求53四、符合性的平安需求4. 合同業(yè)務(wù)要求合同業(yè)務(wù)要求將雙方合同協(xié)議中對(duì)信息平安的要求列出作為平安集成中的需求將雙方合同協(xié)議中對(duì)信息平安的要求列出作為平安集成中的需求管理；管理；組織也需要明確提出第三方機(jī)構(gòu)及人員的信息平安要求，涉及第組織也需要明確提出第三方機(jī)構(gòu)及人員的信息平安要求，涉及第三方接觸本組織的信息處理設(shè)備應(yīng)當(dāng)基于正式的合同提出所有的三方接觸本組織的信息處理設(shè)備應(yīng)當(dāng)基于正式的合同提出所有的基于信息平安的要求

40、，以便確保符合組織的平安政策和標(biāo)準(zhǔn)?；谛畔⑵桨驳囊螅员愦_保符合組織的平安政策和標(biāo)準(zhǔn)。n組織在合同業(yè)務(wù)中對(duì)信息平安的要求組織在合同業(yè)務(wù)中對(duì)信息平安的要求54五、基于風(fēng)險(xiǎn)的平安要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理綜述n風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)大致有兩種定義：一種定義強(qiáng)調(diào)了風(fēng)險(xiǎn)風(fēng)險(xiǎn)大致有兩種定義：一種定義強(qiáng)調(diào)了風(fēng)險(xiǎn)表現(xiàn)為不確定性；而另一種定義那么強(qiáng)調(diào)風(fēng)表現(xiàn)為不確定性；而另一種定義那么強(qiáng)調(diào)風(fēng)險(xiǎn)表現(xiàn)為損失的不確定性。險(xiǎn)表現(xiàn)為損失的不確定性。學(xué)術(shù)界對(duì)風(fēng)險(xiǎn)的內(nèi)涵還沒有統(tǒng)一的定義，由學(xué)術(shù)界對(duì)風(fēng)險(xiǎn)的內(nèi)涵還沒有統(tǒng)一的定義，由于對(duì)風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度不同，或?qū)︼L(fēng)險(xiǎn)于對(duì)風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度不同，或?qū)︼L(fēng)險(xiǎn)的研究的角度不同

41、，不同的學(xué)者對(duì)風(fēng)險(xiǎn)概念的研究的角度不同，不同的學(xué)者對(duì)風(fēng)險(xiǎn)概念有著不同的解釋。有著不同的解釋。55五、基于風(fēng)險(xiǎn)的平安要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理綜述n信息平安風(fēng)險(xiǎn)信息平安風(fēng)險(xiǎn)在信息平安領(lǐng)域來講我們這樣來定義風(fēng)險(xiǎn)：在信息平安領(lǐng)域來講我們這樣來定義風(fēng)險(xiǎn)：風(fēng)險(xiǎn)就是發(fā)生損失事件的概率，風(fēng)險(xiǎn)就是發(fā)生損失事件的概率，也可以說是損失發(fā)生的不確定性，也可以說是損失發(fā)生的不確定性，即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來?yè)p失的可能即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來?yè)p失的可能性。性。56五、基于風(fēng)險(xiǎn)的平安要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理綜述n風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是指通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估與分析、風(fēng)險(xiǎn)處置、

42、風(fēng)險(xiǎn)監(jiān)控等一系列活動(dòng)來消除或減少風(fēng)險(xiǎn)的管理過程。風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估與分析風(fēng)險(xiǎn)評(píng)估與分析風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)監(jiān)控57五、基于風(fēng)險(xiǎn)的平安要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理綜述n風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理必須識(shí)別、分析風(fēng)險(xiǎn)，風(fēng)險(xiǎn)識(shí)別是確定何種風(fēng)險(xiǎn)可能會(huì)對(duì)組風(fēng)險(xiǎn)管理必須識(shí)別、分析風(fēng)險(xiǎn)，風(fēng)險(xiǎn)識(shí)別是確定何種風(fēng)險(xiǎn)可能會(huì)對(duì)組織產(chǎn)生影響，最重要的是量化不確定性的程度和每個(gè)風(fēng)險(xiǎn)可能造成損失織產(chǎn)生影響，最重要的是量化不確定性的程度和每個(gè)風(fēng)險(xiǎn)可能造成損失的程度。的程度。風(fēng)險(xiǎn)管理要著眼于風(fēng)險(xiǎn)控制，組織通常采用積極的措施來控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理要著眼于風(fēng)險(xiǎn)控制，組織通常采用積極的措施來控制風(fēng)險(xiǎn)。通過降低其損失發(fā)生的概率

43、，縮小其損失程度來到達(dá)控制目的。通過降低其損失發(fā)生的概率，縮小其損失程度來到達(dá)控制目的。風(fēng)險(xiǎn)管理要學(xué)會(huì)躲避風(fēng)險(xiǎn)，在既定目標(biāo)不變的情況下，改變方案的實(shí)風(fēng)險(xiǎn)管理要學(xué)會(huì)躲避風(fēng)險(xiǎn)，在既定目標(biāo)不變的情況下，改變方案的實(shí)施路徑，從根本上消除特定的風(fēng)險(xiǎn)因素。施路徑，從根本上消除特定的風(fēng)險(xiǎn)因素。58五、基于風(fēng)險(xiǎn)的平安要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理綜述n風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法。風(fēng)險(xiǎn)評(píng)估是確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法。大多數(shù)風(fēng)險(xiǎn)評(píng)估都基于

44、定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估大多數(shù)風(fēng)險(xiǎn)評(píng)估都基于定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估這兩種方法或這兩種方法的組合。這兩種方法或這兩種方法的組合。59五、基于風(fēng)險(xiǎn)的平安要求2.風(fēng)險(xiǎn)與平安需求風(fēng)險(xiǎn)與平安需求組織需要根據(jù)對(duì)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合業(yè)務(wù)組織需要根據(jù)對(duì)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合業(yè)務(wù)需求來確定組織平安需求。需求來確定組織平安需求。平安需求中不僅包括具體信息資產(chǎn)對(duì)平安的要求，還平安需求中不僅包括具體信息資產(chǎn)對(duì)平安的要求，還應(yīng)包括軟件功能方面的平安需求，以及物理平安、管應(yīng)包括軟件功能方面的平安需求，以及物理平安、管理流程、系統(tǒng)管理等非軟件方面的需求。理流程、系統(tǒng)管理等非軟件方面的需求。 n風(fēng)險(xiǎn)評(píng)估與

45、平安需求風(fēng)險(xiǎn)評(píng)估與平安需求60五、基于風(fēng)險(xiǎn)的平安要求2.風(fēng)險(xiǎn)與平安需求風(fēng)險(xiǎn)與平安需求組織根據(jù)應(yīng)用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采組織根據(jù)應(yīng)用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采用的平安機(jī)制。用的平安機(jī)制。 通過平安風(fēng)險(xiǎn)評(píng)估明確存在風(fēng)險(xiǎn)的關(guān)鍵的業(yè)務(wù)資產(chǎn)和業(yè)通過平安風(fēng)險(xiǎn)評(píng)估明確存在風(fēng)險(xiǎn)的關(guān)鍵的業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程，識(shí)別其平安需求和平安現(xiàn)狀。務(wù)流程，識(shí)別其平安需求和平安現(xiàn)狀。n風(fēng)險(xiǎn)評(píng)估與平安需求風(fēng)險(xiǎn)評(píng)估與平安需求61五、基于風(fēng)險(xiǎn)的平安要求2.風(fēng)險(xiǎn)與平安需求風(fēng)險(xiǎn)與平安需求平安風(fēng)險(xiǎn)的可接受水平以及平安需求確實(shí)認(rèn)，需要業(yè)平安風(fēng)險(xiǎn)的可接受水平以及平安需求確實(shí)認(rèn)，需要業(yè)務(wù)人員和管理層來確認(rèn)，應(yīng)該將實(shí)施控制措

46、施的支出務(wù)人員和管理層來確認(rèn)，應(yīng)該將實(shí)施控制措施的支出與平安故障可能造成的業(yè)務(wù)損失進(jìn)行權(quán)衡考慮，對(duì)平與平安故障可能造成的業(yè)務(wù)損失進(jìn)行權(quán)衡考慮，對(duì)平安建設(shè)的方向和目標(biāo)進(jìn)行決策。安建設(shè)的方向和目標(biāo)進(jìn)行決策。 n風(fēng)險(xiǎn)評(píng)估與平安需求風(fēng)險(xiǎn)評(píng)估與平安需求62六、確定組織的平安需求1.平安需求的協(xié)商n協(xié)商協(xié)商協(xié)商是利益關(guān)系者共同商量以便取得一致意見。協(xié)商是利益關(guān)系者共同商量以便取得一致意見。63六、確定組織的平安需求1.平安需求的協(xié)商n平安需求的協(xié)商平安需求的協(xié)商對(duì)于信息平安的需求，在符合國(guó)家對(duì)于信息平安的需求，在符合國(guó)家法律、行業(yè)規(guī)定、以及上級(jí)主管部法律、行業(yè)規(guī)定、以及上級(jí)主管部門、組織內(nèi)部不同機(jī)構(gòu)、以及

47、客戶門、組織內(nèi)部不同機(jī)構(gòu)、以及客戶等的需求重點(diǎn)不一樣，同時(shí)組織建等的需求重點(diǎn)不一樣，同時(shí)組織建設(shè)信息系統(tǒng)，保證信息平安還受投設(shè)信息系統(tǒng)，保證信息平安還受投資限制，因此需要對(duì)信息平安的需資限制，因此需要對(duì)信息平安的需求進(jìn)行商量，以最終求得各方一致求進(jìn)行商量，以最終求得各方一致認(rèn)同的適合組織建設(shè)的平安需求。認(rèn)同的適合組織建設(shè)的平安需求。需求平衡投資平衡64六、確定組織的平安需求1.平安需求的協(xié)商n整理需求整理需求有優(yōu)先順序的有優(yōu)先順序的平安需求清單平安需求清單業(yè)務(wù)的組織平安需求業(yè)務(wù)的組織平安需求符合性的平安需求符合性的平安需求合同業(yè)務(wù)要求合同業(yè)務(wù)要求風(fēng)險(xiǎn)的平安要求風(fēng)險(xiǎn)的平安要求65六、確定組織的平

48、安需求1.平安需求的協(xié)商n利益關(guān)系者間溝通利益關(guān)系者間溝通溝通是為了一個(gè)設(shè)定的目標(biāo)，把信息、思想和情感在溝通是為了一個(gè)設(shè)定的目標(biāo)，把信息、思想和情感在個(gè)人或群體間傳遞，并且達(dá)成共同協(xié)議的過程。個(gè)人或群體間傳遞，并且達(dá)成共同協(xié)議的過程。信息平安需求的溝通，是將將組織業(yè)務(wù)的組織平安需信息平安需求的溝通，是將將組織業(yè)務(wù)的組織平安需求、符合性的平安需求、合同業(yè)務(wù)要求，以及風(fēng)險(xiǎn)的求、符合性的平安需求、合同業(yè)務(wù)要求，以及風(fēng)險(xiǎn)的平安要求綜合處理成有優(yōu)先順序的平安需求清單，用平安要求綜合處理成有優(yōu)先順序的平安需求清單，用這個(gè)清單去向各利益關(guān)系者傳達(dá)，收集意見和建議，這個(gè)清單去向各利益關(guān)系者傳達(dá)，收集意見和建議，以達(dá)成一致意見。以達(dá)成一致意見。66六、確定組織的平安需求1.平安需求的協(xié)商n與利益關(guān)系者溝通的步驟：與利益關(guān)系者溝通的步驟：第一步第一步 事前準(zhǔn)備事前準(zhǔn)備第一步第一步 闡述觀點(diǎn)闡述觀點(diǎn)第一步第一步 收集信息收集信息第一步第一步 處理異議處理異議第一步第一步 達(dá)成一致達(dá)成一致67六、確定組織的平安需求1.平安需求的協(xié)商n與利益關(guān)系者有效溝通的根本技巧與利益關(guān)系者有效溝通的根本技巧組織清晰語(yǔ)言