CISM0302信息安全管理體系_V3.0(2016年)

1、信息信息安全管理體系安全管理體系中國信息安全測評中心中國信息安全測評中心版本：3.0課程內(nèi)容課程內(nèi)容2信息信息安全安全管理管理信息安全信息安全管理體系管理體系信息安全管理控制措施信息安全管理控制措施信息安全管理體系概念信息安全管理體系概念信息安全信息安全管理基礎管理基礎知識知識體體：信息安全管理：信息安全管理體系體系v知識域：信息安全管理體系概念 理解信息安全管理體系（ISMS）的概念和核心過程 了解信息安全管理體系文檔要求 了解ISO/IEC 27000標準族3管理體系相關概念管理體系相關概念4v體系 相互關聯(lián)和相互作用的一組要素 （- ISO9000:2005 質(zhì)量管理體系 基礎和術語）v

2、管理體系： 建立方針和目標并達到目標的體系 （- ISO9000:2005 質(zhì)量管理體系 基礎和術語） 為達到組織目標的策略、程序、指南和相關資源的框架 （- ISO/IEC 27000:2009 信息技術 安全技術 信息安全管理體系 概述和術語）管理體系管理體系5ISO9000 質(zhì)量管理體系ISO14000 環(huán)境管理體系OHSAS 職業(yè)健康安全管理體系ISO/IEC27000 信息安全管理體系ISO/IEC20000 服務管理體系ISO22000食品安全管理體系管理體系Management System信息安全管理體系信息安全管理體系v什么是信息安全管理體系 Information Secu

3、rity Management System，ISMS 是管理體系方法在信息安全領域的運用6信息安全管理體系ISMS信息安全管理體系信息安全管理體系v信息安全管理體系是整個管理體系的一部分，它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系v一般地，信息安全管理體系包括信息安全組織架構、信息安全方針、信息安全規(guī)劃活動、信息安全職責，以及信息安全相關的實踐、規(guī)程、過程和資源等要素，這些要素既相互關聯(lián)，又相互作用7信息安全管理體系的作用信息安全管理體系的作用v對內(nèi) 形成單位可自我持續(xù)改進的信息安全管理機制 使信息安全的角色和職責清晰，并落實到人 確保實現(xiàn)動態(tài)的、系統(tǒng)的、

4、制度化的信息安全管理 有利于根本上保證業(yè)務的連續(xù)性，提高市場競爭力v對外 能夠使客戶、業(yè)務伙伴對單位信息安全充滿信心 有助于界定外包雙方的信息安全責任 可以使單位更好地滿足審計要求和符合法律法規(guī) 保證和外部數(shù)據(jù)交換中的信息安全8作用解釋作用解釋vISMS是一個通用的信息安全管理指南 不是說明“怎么做”的詳細細節(jié) 而是具有普遍意義的安全操作規(guī)則指南 指導單位在信息安全管理方面要做什么，如何選擇適宜的安全管理控制措施vISMS過程 信息安全管理體系標準要求建立ISMS過程 制定信息安全策略，確定體系范圍，明確管理職責 單位應該實施、維護和持續(xù)改進該體系，保持其有效性9ISMSISMS過程過程10相

5、關方相關方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相關方相關方檢查檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃規(guī)劃Plan實實施施Do改進改進Act建立建立ISMSISMSv建立ISMS，PLANv主要工作 定義ISMS范圍和邊界 ISMS范圍說明書：組織結構范圍、業(yè)務范圍、信息系統(tǒng)范圍和物理范圍 制定ISMS方針和策略 實施風險評估 識別風險、分析和評價風險11實施和運行實施和運行ISMSISMSv實施和運行ISMS，DOv主要工作 制定風險處理計劃 實施風險處理計劃 制定有效性測量程序 管理ISMS的運行12監(jiān)視和評審監(jiān)視和評

6、審ISMSISMSv監(jiān)視和評審ISMS，CHECKv主要工作 日常監(jiān)視和檢查 有效性測量 內(nèi)部審核 風險再評估 管理評審13保持和改進保持和改進ISMSISMSv保持和改進ISMS，ACTv主要工作 實施糾正和預防措施 持續(xù)改進ISMS 溝通措施改進情況14vISMSISMS的的核心過程可以核心過程可以概括為概括為4 4句話句話 1.規(guī)定你應該做什么并形成文件規(guī)定你應該做什么并形成文件：P2.做文件已規(guī)定的事情做文件已規(guī)定的事情：D3.評審你所做的事情的符合性評審你所做的事情的符合性：C4.采取糾正和預防措施，持續(xù)改進采取糾正和預防措施，持續(xù)改進：A用用PDCAPDCA來理解什么是信息安全管理

7、體系來理解什么是信息安全管理體系1516n一級文檔：宏觀方針性文檔n二級文檔：管控程序及管理制度性文檔n三級文檔：操作指南及作業(yè)指導書類n四級文檔：體系運行的各種記錄下級文件應支持上級文件。 信息安全管理體系文檔要求信息安全管理體系文檔要求BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的歷史沿革的歷史沿革u 1990年代初 英國貿(mào)工部（DTI）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架u 1993年9月 頒布信息安全管理實施細則，形成BS 7799的基礎u 19951995年年2 2月月

8、 首次出版首次出版BS 7799-1:1995BS 7799-1:1995信息安全管理實用規(guī)則信息安全管理實用規(guī)則u 19981998年年2 2月月 英國公布英國公布BS 7799-2:BS 7799-2:信息安全管理體系要求信息安全管理體系要求,1999,1999年年4 4月修訂月修訂u 2000 2000年年1212月月 國際標準組織國際標準組織 ISO/IEC JTC 1/SC27ISO/IEC JTC 1/SC27工作組認可通過工作組認可通過BS 7799-1BS 7799-1，頒布頒布ISO/IEC 17799:2000ISO/IEC 17799:2000信息安全管理實用規(guī)則信息安全

9、管理實用規(guī)則 u 2002年9月 BSI對BS 7799-2進行了改版u 20052005年年6 6月月 ISO 17799:2000 ISO 17799:2000改版，改版，成為成為ISO/IEC 1ISO/IEC 17799:20057799:2005u 20052005年年1010月月 ISO ISO正式采用正式采用BS 7799-2:2002BS 7799-2:2002，命名，命名為為ISO/IEC ISO/IEC 27001:200527001:2005u 20072007年年7 7月月 ISO 17799:2005 ISO 17799:2005歸入歸入ISO 27000ISO 27

10、000系列，命名系列，命名為為ISO/IEC ISO/IEC 27002:200527002:2005u 20082008年年6 6月月- - 中國等同中國等同采用采用ISO 27001:2005, ISO 27001:2005, 命名為命名為GB/T GB/T 22080-200822080-2008 中國等同中國等同采用采用ISO 27002:2005, ISO 27002:2005, 命名為命名為GB/T GB/T 22081-200822081-2008 u 20132013年年1010月月 ISO ISO正式發(fā)布正式發(fā)布ISO/IEC 27001:2013ISO/IEC 27001:

11、2013和和ISO/IEC ISO/IEC 27002:201327002:2013ISO/IEC 27000ISO/IEC 27000標準簇介紹標準簇介紹17BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000ISO/IEC 27000標準簇介紹標準簇介紹BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的對應關系的對應關系1819vISO/IEC 27000系列 已經(jīng)制定標準：21個 正在制定標準：11個ISO/IEC 27000IS

12、O/IEC 27000標準簇介紹標準簇介紹ISMSISMS標準我國采標情況標準我國采標情況v各國等同采標v我國采標情況20序號序號國際標準國際標準采標形式采標形式國家標準國家標準1ISO/IEC 27000:2009等同采用信息安全管理體系概述和詞匯（GB/T 29246-2012）2ISO/IEC 27001:2005等同采用信息安全管理體系 要求（GBT 22080-2008）3ISO/IEC 27002:2005等同采用信息安全管理實用規(guī)則（GB/T 22081-2008）4ISO/IEC 27006:2007等同采用信息安全管理體系審核認證機構的要求（GB/T 25067-2010）知

13、識體：信息知識體：信息安全管理安全管理體系體系v知識域：信息安全管理控制措施 了解信息安全管理控制措施的作用 理解安全方針、信息安全組織、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全等管理域的控制目標和主要控制措施 了解通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務連續(xù)性管理等管理域的控制目標和控制措施21信息安全控制措施信息安全控制措施v控制措施 是實施信息安全管理的方法和手段 單位通過實施一組適當?shù)陌踩刂拼胧?，保護信息資產(chǎn)，抵御威脅并減少系統(tǒng)脆弱性，降低安全風險，達到信息安全目標 控制措施涉及行政、技術和管理等方面v如何制定信息安全控制措施 自己制定本單位的信息安全管

14、理控制措施 學習別人實踐經(jīng)驗，參考國際/國家標準 信息安全管理實用規(guī)則（ISO 27002） 信息安全管理實用規(guī)則（GB/T 22081）22ISMSISMS信息信息安全管理域安全管理域23 信息安全管理實用規(guī)則（ISO 27002:2005） 信息安全管理實用規(guī)則（GB/T 22081-2008）信息安全管理實用規(guī)則（信息安全管理實用規(guī)則（GB/T 22081-2008GB/T 22081-2008）24信息安全管理實用規(guī)則信息安全管理實用規(guī)則v每個主要安全域，包括： 控制目標，聲明要實現(xiàn)什么 一個或多個控制措施，用于實現(xiàn)該控制目標 每個（安全）控制措施的描述內(nèi)容 控制措施：是對該控制措施的

15、定義 實施指南：是對實施該控制措施的指導性說明 其它信息：其它需要說明的補充信息，如法律考慮25什么是控制措施什么是控制措施v什么是控制措施 管理風險的方法。為達成企業(yè)目標提供合理保證，并能預防、檢查和糾正風險。 它們可以是行政、技術、管理、法律等方面的措施。 控制措施的分類： 預防性控制 檢查性控制 糾正性控制26 不是不是所有的控制措施適用于任何場合，它所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術限制，也不會考慮到使用者的具體環(huán)境和技術限制，也不可能對一個組織中所有人都也不可能對一個組織中所有人都適用適用1.1.安全安全方針方針27Why?Why?v有沒有遇到過這樣的

16、事情？ 案例1 有單位領導說：“聽說信息安全工作很重要，可是我不知道對于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護的?！?案例2 據(jù)說作為管理人員要把個人計算機的登錄口令設置好，怎么設置才符合要求呢？這些問題這些問題需要需要先先在在“安全方針安全方針”中尋找答案中尋找答案28安全方針控制目標安全方針控制目標v 控制目標 制定信息安全方針 評審信息安全方針v 信息安全方針應該做到 對信息安全加以定義 陳述管理層的意圖 分派責任 約定信息安全管理的范圍 對特定的原則、標準和遵守要求進行說明 對報告可疑安全事件的過程進行說明 定義用以維護策略的復查過程29具體解釋具體解釋v信息安全方

17、針是陳述管理者的管理意圖，說明信息安全工作目標和原則的文件v信息安全方針文件的作用是說明業(yè)務要求和法律法規(guī)對于信息安全的要求，為安全管理工作提供指導和支持信息安全方針應當說明以下問題：本單位信息安全的整體目標、范圍以及重要性；信息安全工作的基本原則；風險評估和風險控制措施的架構；需要遵守的法規(guī)和制度；信息安全責任分配；信息系統(tǒng)用戶和運行維護人員應該遵守的規(guī)則30關鍵點關鍵點主要內(nèi)容一般包括信息安全的整體目標、范圍、原則、控制措施的框架、重要安全策略和需要遵守的各項規(guī)定等信息安全方針文件應由高層管理者審批后，作為正式文件發(fā)布，并有效傳達給所有員工信息安全方針不是一成不變的，要根據(jù)安全環(huán)境的變化以

18、及執(zhí)行過程中發(fā)現(xiàn)的策略本身的問題及時進行更新調(diào)整31舉例舉例XXXX系統(tǒng)信息安全總體策略系統(tǒng)信息安全總體策略v安全方針概述 XX系統(tǒng)相關信息和支撐系統(tǒng)、程序等，不論它們以何種形式存在，均是XX系統(tǒng)的關鍵資產(chǎn) 信息的可用性、完整性和保密性是信息安全的基本要素，關系到XX機關的形象和業(yè)務的持續(xù)運行。 必須保護這些資產(chǎn)不受威脅侵害 定義和監(jiān)督執(zhí)行XX系統(tǒng)網(wǎng)絡與信息安全總體策略是XX部門的責任32舉例舉例XXXX系統(tǒng)信息安全總體策略系統(tǒng)信息安全總體策略v安全方針概述v資產(chǎn)分類和控制 信息分類 資產(chǎn)分類：信息資產(chǎn)，包括計算機和網(wǎng)絡，應當依據(jù)其價值和敏感性以及保密性、完整性和可用性原則進行分類。信息安全主

19、管部門應當根據(jù)各自部門的業(yè)務特點制定本系統(tǒng)內(nèi)具體的資產(chǎn)分類與分級方法，并根據(jù)分級和分類辦法制定明晰的資產(chǎn)清單 敏感信息、關鍵信息 資產(chǎn)的可審計性v計算機和網(wǎng)絡的運行管理332.2.信息安全組織信息安全組織34Why?Why?v有沒有遇到過這樣的事情？ 案例1 我是一名網(wǎng)絡管理員，發(fā)現(xiàn)最近來自外部的病毒攻擊很猖獗，要是有15萬買個防毒墻就解決問題了，找誰要這筆錢，誰來采購？ 案例2 我是一名普通工作人員，我的內(nèi)網(wǎng)計算機上不了外網(wǎng)沒辦法打補丁，我該找誰獲得幫助？ 應該應該有一群人，至少包括單位領導、技術部門和有一群人，至少包括單位領導、技術部門和行政部門的行政部門的人人，組織組織在一起，專門負責信

20、息安全的在一起，專門負責信息安全的事事35控制目標控制目標v控制目標 內(nèi)部組織 在組織內(nèi)部建立信息安全框架 外部組織 識別和控制外部合作過程中的風險，保證單位信息和信息系統(tǒng)安全性36具體解釋具體解釋v為有效實施信息安全管理，保障和實施系統(tǒng)的信息安全，需要建立相應的組織架構v信息安全責任的重要性 在一個機構中，安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步 37控制措施控制措施內(nèi)部組織內(nèi)部組織v內(nèi)部組織 目標：在組織內(nèi)管理信息安全v八個控制措施 管理層重視 協(xié)調(diào)信息安全活動 分配信息安全職責 新設備和系統(tǒng)授權 保密協(xié)議 與政府部門的聯(lián)系 與

21、特定組織機構的聯(lián)系 信息安全的獨立評審38關鍵點關鍵點v 高層管理者參與（如本單位信息化領導小組），負責重大決策，提供資源并對工作方向、職責分配給出清晰的說明v 不僅僅由信息化技術部門參與，與信息安全相關的部門（如行政、人事、安保、采購、外聯(lián)）都應參與到組織體系中各司其責，協(xié)調(diào)配合391.企業(yè)內(nèi)部達成共識2.組織的安全建立責任分工劃分3.避免流于形式或作假內(nèi)部組織舉例內(nèi)部組織舉例40信息安全領導小組信息安全領導小組信息信息技術技術部門部門業(yè)務業(yè)務應用應用部門部門安全安全保衛(wèi)保衛(wèi)部門部門人事人事行政行政部門部門其他其他有關有關部門部門 信息安全工作和其他工作一樣，不是某個個人、某個部門就可以完成

22、的。信息技術部門是信息安全組織中的重要執(zhí)行機構，但不是全部。信息安全領導小組信息安全領導小組v信息安全領導小組 信息安全領導小組是各級系統(tǒng)網(wǎng)絡與信息安全工作的最高領導決策機構 不隸屬于任何部門，直接對本單位最高領導負責 是一個常設機構v領導小組成員一般由各級系統(tǒng)的高層領導掛帥，并結合與信息安全相關各職能部門的主要負責人參加41領導小組責任領導小組責任v領導小組責任 落實XX系統(tǒng)安全建設的總體規(guī)劃 制定本單位安全規(guī)劃并監(jiān)督落實 負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度 負責本單位信息系統(tǒng)安全管理層以上的人員權限授予工作 審閱本單位信息安全報告 組織重大安全事故查處與匯報工作

23、42責任劃分責任劃分v信息技術部門 對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術決策和技術支持v業(yè)務應用部門 對信息系統(tǒng)的業(yè)務處理以及業(yè)務流程的安全承擔管理責任v安全保衛(wèi)部門 對場地以及系統(tǒng)資產(chǎn)的防災、防盜、防破壞等承擔管理責任v人事行政部門 從人事、行政上對信息安全保障執(zhí)行管理工作v其他有關部門 應與上述部門協(xié)作，共同對信息系統(tǒng)的建設和運行維護承擔管理責任 43控制措施控制措施外部各方外部各方v外部各方 目標：保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全v三個控制措施 識別外部各方風險 處理與顧客有關的安全問題 處理第三方協(xié)議中的安全問題訪問風險：1.維護軟件設備的

24、承包商2.清潔、送餐人員3.外部咨詢?nèi)藛T44關鍵點關鍵點v要注意充分理由外部資源，與上級主管單位、國家職能部門、設備和基礎設施提供商、安全服務商、有關專家保持良好的溝通和合作關系v要注意外來風險，如與第三方機構簽訂保密協(xié)議，監(jiān)督和限制其活動等 例如例如與電力部門建立良好的協(xié)作關系，停電與電力部門建立良好的協(xié)作關系，停電了，了，UPS的電也要用光了，電力部門可以開個發(fā)的電也要用光了，電力部門可以開個發(fā)電車來解決關鍵信息系統(tǒng)臨時電力供應電車來解決關鍵信息系統(tǒng)臨時電力供應453 3、 資產(chǎn)管理資產(chǎn)管理46WhyWhy？v那些曾經(jīng)發(fā)生過的事 案例1 單位欲安裝一臺網(wǎng)絡防火墻，卻發(fā)現(xiàn)沒有人可以說清楚當前

25、的真實網(wǎng)絡拓撲情況，也沒有人能說清楚系統(tǒng)中有哪些服務器，這些服務器運行了哪些應用系統(tǒng) 案例2 單位信息安全評估，發(fā)現(xiàn)大部分服務器安全狀況良好，只有一臺服務器存在嚴重安全漏洞。研究整改措施時，發(fā)現(xiàn)平時沒有人對該服務器的安全負責47資產(chǎn)管理目標資產(chǎn)管理目標v 目標目標 對資產(chǎn)負責實現(xiàn)并保持組織資產(chǎn)的適當保護 信息分類確保對信息資產(chǎn)的保護達到恰當?shù)乃絭 包含的包含的內(nèi)容內(nèi)容 組織可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別信息資產(chǎn) 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單 所有的信息資產(chǎn)都應該具有指定的屬主并且可以被追溯責任 信息應該被分類，以標明其需求、優(yōu)先級和保護程度 根據(jù)組織采用的分類方案

26、，為信息標注和處理定義一套合適的程序48資產(chǎn)管理資產(chǎn)管理v 信息安全管理工作的根本目的是保護系統(tǒng)中的資產(chǎn)v 資產(chǎn)包括 信息資產(chǎn)：業(yè)務數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊、系統(tǒng)配置、審計記錄、制度流程等 軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、開發(fā)工具等 物理資產(chǎn)：計算機設備、通信設備、存儲介質(zhì)等 服務：通信服務、公用設施（供暖、照明、能源）等 人員：他們的資格、技能和經(jīng)驗 無形資產(chǎn)：品牌、聲譽和形象49資產(chǎn)管理控制目標資產(chǎn)管理控制目標v控制目標 對資產(chǎn)負責 信息分類50控制措施控制措施對資產(chǎn)負責對資產(chǎn)負責v對資產(chǎn)負責 列出資產(chǎn)清單，明確保護對象 準確識別資產(chǎn)，編制清單，形成文件 括資產(chǎn)類型、位置、備份信息

27、和業(yè)務價值等內(nèi)容 為資產(chǎn)指定責任人，明確安全負責 “責任人”不一定是指具有資產(chǎn)所有權的人，而是指具有控制生產(chǎn)、開發(fā)、使用和保護資產(chǎn)權限的個人或實體 確定資產(chǎn)的使用限制條件,合法使用51資產(chǎn)管理是信息安全管理的重要內(nèi)容控制措施控制措施信息分類信息分類v信息分類 分類指南 根據(jù)信息的價值、法律要求和對組織的敏感程度和關鍵性進行分類 信息標記和處理 信息類別標記，設置合適的分類說明 如表明文件的密級、存儲介質(zhì)分類的標簽 規(guī)定重要敏感信息的安全處理、存儲、傳輸、刪除和銷毀的程序52 對信息分類是使信息受到適當級別的保護，在處理信息時指明保護的需求、優(yōu)先級和期望程度關鍵點關鍵點建議分類方法不宜復雜，否則

28、容易造成混亂建議分類方法不宜復雜，否則容易造成混亂每種分類應唯一區(qū)別于其它分類，同時不能有任何重疊每種分類應唯一區(qū)別于其它分類，同時不能有任何重疊分類過程還應簡單說明如何在其生命周期內(nèi)控制并處理分類過程還應簡單說明如何在其生命周期內(nèi)控制并處理53舉例舉例商業(yè)公司和軍事機構信息分類商業(yè)公司和軍事機構信息分類組織分類類別定義實例商業(yè)公司公共即使泄漏不會給公司或個人造成不利影響有多少人完成某個項私有可能給公司或個人帶來不利影響人事資源信息軍事機構絕密如果泄漏會給國家安全帶來毀滅性破壞新型戰(zhàn)時武器設計圖秘密給國家安全造成重大威脅部隊分布及部署不保密非保密信息計算機通用學習手冊544 4. .人力資源安

29、全人力資源安全55Why?Why?v那些曾經(jīng)發(fā)生過的事 案例一 2010年3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士)的一名IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及1.5萬名于2006年10月前在瑞士開戶的現(xiàn)有客戶。有鑒于此，匯豐銀行三年來共投放1億瑞士法郎，用來將IT系統(tǒng)升級并加強保安 案例二 論語“吾恐季孫之憂，不在顓臾，而在蕭墻之內(nèi)也” 蕭墻之禍比喻災禍、變亂由內(nèi)部原因所致56人力資源安全目標人力資源安全目標v 目標目標： 任用前確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，降低設施被竊、欺詐和誤用的風險 任用中確保所有的員工、合同方和第三

30、方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險 任用終止及變更確保員工、合同方和第三方用戶離開組織或變更雇傭關系時以一種規(guī)范的方式進行57控制措施控制措施任用前任用前v任用（上崗）前 明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報告安全事件或潛在風險的責任 對擔任敏感和重要崗位的人員要考察其身份、學歷和技術背景、工作履歷和以往的違法違規(guī)記錄 要在合同或專門的協(xié)議中，明確其信息安全職責58控制措施控制措施任用中任用中v任用中 保證其充分了解所在崗位的信息安全角色和職責 有針對性地進行信息安全意識教育和技能培訓 及時有效的紀

31、律處理（懲戒）措施59控制措施控制措施任用終止及變更任用終止及變更v離職人員存在的安全隱患 未刪除的帳戶 未收回的各種權限 VPN、遠程主機、企業(yè)郵箱和VoIP等應用 其它隱含信息 網(wǎng)絡機構、規(guī)劃，存在的漏洞 同事的賬戶、口令和使用習慣等60這些信息和權限如果被離職的員工和攻擊者們這些信息和權限如果被離職的員工和攻擊者們惡意利用，很容易導致信息惡意利用，很容易導致信息安全安全事件事件控制措施控制措施任用終止及變更任用終止及變更v以規(guī)范的方式退出單位或改變其任用關系 終止職責 通知相關人員人事變化，明確離職后仍需遵守的責任規(guī)定 歸還資產(chǎn) 保證離職人員歸還軟件、電腦、存儲設備、文件和其他設備 撤銷

32、訪問權限 撤銷用戶名、門禁卡、密鑰、數(shù)字證書等61舉例舉例任用中安全管理任用中安全管理v員工缺乏基本的安全意識，特別是一些業(yè)務人員等，沒有進行統(tǒng)一的、系統(tǒng)的安全培訓和學習的機會 由于員工對發(fā)生安全問題后造成的后果不負任何責任，從而也就不能有效的督促員工提高自己的安全意識，最終形成惡性循環(huán)、導致員工不能嚴格遵循公司的安全管理制度 個人電腦的密碼設置為空或者非常脆弱 系統(tǒng)默認安裝，從不進行補丁升級 撥號上網(wǎng)，給個人以及整個公司帶來后門 啟動眾多不用的服務62 人員人員層次不同，流動性大，安全意識薄弱而層次不同，流動性大，安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源、非授權訪問、產(chǎn)生病毒泛濫、終端濫用資

33、源、非授權訪問、惡意終端破壞、信息泄露等安全事件惡意終端破壞、信息泄露等安全事件不勝枚舉不勝枚舉5 5、 物理和環(huán)境安全物理和環(huán)境安全63WhyWhy？v那些曾經(jīng)發(fā)生過的事 案例1 競爭對手潛入機房，直接用移動硬盤將服務器中的重要數(shù)據(jù)拷貝走 案例2 機房中溫度過高，導致計算機無法正常運行，造成業(yè)務中斷，全國性服務停止超過1天64物理和環(huán)境安全目標物理和環(huán)境安全目標v目標： 安全區(qū)域防止非授權訪問、破壞和干擾業(yè)務運行的前提條件及信息 設備安全預防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾v包含的內(nèi)容： 應該建立帶有物理入口控制的安全區(qū)域 應該配備物理保護的硬件設備 應該防止網(wǎng)絡電纜被塔線竊

34、聽 將設備搬離場所，或者準備報廢時，應考慮其安全65安全區(qū)域安全區(qū)域-1-1v物理安全邊界 建立安全邊界，形成安全區(qū)域v物理入口控制 必須弄清來訪者的身份，并將其進入與離開安全區(qū)域的日期與時間記錄起來 所有人員配戴識別證66安全區(qū)域安全區(qū)域-2-2v房間和設施的安全保護 關鍵設施要坐落在可避免公眾訪問的場地 保護標識敏感信息處理設施位置的目錄和內(nèi)部電話簿不被公眾得到v外部和環(huán)境威脅的安全防護 設計物理保護措施，防止火災、洪水、地震、爆炸、社會動蕩和其他形式自然或人為災難引起的破壞 在合適的位置提供滅火設備 加固設施，防止屋頂漏水或地下室地板滲水67安全區(qū)域安全區(qū)域-3-3v安全區(qū)域工作防護 未

35、使用的安全區(qū)域，應加鎖以限制訪問并定期檢查 避免寫入“機房重地，請勿進入”的字樣 應限制授權，一般不允許攜帶攝影、視頻、聲頻或其他記錄設備進入v公共訪問和交接區(qū)安全 訪問點（例如交接區(qū)）和未授權人員可進入辦公場所的地點應加以控制，避免未授權訪問 除交接區(qū)外，交貨人員無需獲得對本建筑物其他部分的訪問權就能卸下物資 當內(nèi)部門打開時，交接區(qū)的外部門應得到安全保護68設備安全設備安全-1-1v設備安置和保護 為不同設備劃分不同區(qū)域進行安置和保護，盡量限制對工作區(qū)域不必要的訪問 通過樓房建筑和機房裝修要求，防范偷竊、火災、爆炸、煙霧、塵埃、震動、電源干擾v支持性設施 保護設備使其免于由支持性設施失效引起

36、故障 定期檢查并測試支持性設施 制定電源計劃，如多回路供電、UPS、發(fā)電機等 保障（空調(diào)）用水 保障通信線路69設備安全設備安全-2-2v布纜安全 保證傳輸數(shù)據(jù)或支持信息服務的電源電纜和通信電纜免受竊聽或損壞 電力線路應與通訊線路隔離，以避免相互干擾v設備維護 正確維護單位設備，保證其持續(xù)的可用性和完整性 按照推薦的服務間隔與規(guī)范，對設備進行維護 只有已授權的維護人員才能修理設備 刪除敏感信息或保證維護人員可靠性70設備安全設備安全-3-3v組織場所外的設備安全 在單位場所外使用信息處理設備，必須經(jīng)過授權 離開辦公場所的設備要有合理的保護措施v設備的安全處置和再利用 對于儲存敏感信息的儲存設備

37、，必須銷毀或是重寫重灌數(shù)據(jù)資料，不可以只使用簡單的刪除功能。v資產(chǎn)的移動 設備、信息或軟件應根據(jù)授權確定是否允許帶出單位場所，并進行控制和記錄 設置設備允許離開的時間，并作符合性檢查和記錄71舉例舉例1 1訪問控制措施訪問控制措施v卡訪問控制或生物特征系統(tǒng) 磁卡、非接觸卡等 指紋、視網(wǎng)膜掃描、簽名、聲音識別、手形等等72舉例舉例2 2物理監(jiān)控措施物理監(jiān)控措施v周邊入侵檢測系統(tǒng) 用來探測未經(jīng)授權而進入的人，并發(fā)出警報 現(xiàn)在最常用的入侵監(jiān)測系統(tǒng)是機電式的，能夠探測到電路的變化或斷路，例如：窗戶貼，繃緊線等 一個常被忽略的脆弱點報警系統(tǒng)v監(jiān)控系統(tǒng) 使用照相機通過傳輸媒介將圖片傳送到連接的顯示器的電視

38、傳輸系統(tǒng) 與廣播電視是不同的，監(jiān)控系統(tǒng)的信號不是公開傳輸?shù)?36 6、通信和操作管理、通信和操作管理74通信和操作管理通信和操作管理v信息系統(tǒng)日常運行安全是信息安全管理的主要組成部分v為減少人為疏忽或故意誤用信息系統(tǒng)的幾率和風險，使信息系統(tǒng)在運行過程中的安全性得到保證，應當確立信息處理設施的管理和操作責任及程序75WhyWhy？v案例 案例1 2007年8月30日，美國空軍一架B-52戰(zhàn)略轟炸機誤裝6枚核彈后，從北部的北達科他州實彈飛往南部的路易斯安那州 案例2 數(shù)據(jù)庫管理員由于疏忽進行了誤操作,將重要的信息刪除了 案例3 涉密計算機出現(xiàn)故障硬盤數(shù)據(jù)丟失，使用人員將硬盤拿到社會上的數(shù)據(jù)恢復公司

39、進行恢復，造成秘密泄露76通信和操作管理目標（通信和操作管理目標（1 1）v目標目標： 操作程序和責任確保正確、安全的操作信息處理設施 第三方服務交付管理核查協(xié)議實施，確保第三方交付的服務符合要求 系統(tǒng)規(guī)劃與驗收減少系統(tǒng)失效帶來的風險 防范惡意代碼和移動代碼保護軟件和信息的完整性 備份保持信息和信息處理設施的完整性和可用性77通信和操作管理目標（通信和操作管理目標（2 2）v目標目標： 網(wǎng)絡安全管理確保對網(wǎng)絡中信息和支持性基礎設施的安全保護 介質(zhì)處置防止對資產(chǎn)的未授權泄漏、修改、移動或損壞，及對業(yè)務活動的干擾 信息的交換應保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全 電子商務服務確保電

40、子商務的安全及其安全使用 監(jiān)視檢測未經(jīng)授權的信息處理活動，記錄信息安全事態(tài)78舉例舉例v介質(zhì)的處置 要建立安全處置介質(zhì)的正式規(guī)程 不再需要的介質(zhì)，要可靠并安全地處置 物理破壞、安全刪除797 7、訪問控制、訪問控制80Why?Why?v案例1：飛機登機，旅客的身份證號區(qū)別了不同的人，身份證證明確實是這名旅客來乘機，安檢人員察看身份證和登機牌，掃描違禁物品后允許乘客登上機票中規(guī)定的航班v案例2：登錄網(wǎng)站，用戶ID區(qū)別了不同的用戶，輸入登錄密碼確定是這位用戶，網(wǎng)絡防火墻和服務器的權限管理系統(tǒng)允許用戶使用網(wǎng)站中可以使用的功能81訪問控制訪問控制v訪問控制是防止對資源的未授權訪問，保證資源在授權范圍內(nèi)使用v訪問控制是對主體訪問客體權限或能力的一種限制，可從物理層、主機層、網(wǎng)絡層以及應用層設置多種控制手段來達到目標82控制目標控制目標 業(yè)務需求控制對信息的訪問 用戶訪問管理確保授權用戶的訪問，防止非授權訪問 用戶職責防止未授權用戶的訪問、損害或竊取 網(wǎng)絡訪問控制防止對網(wǎng)絡服務未經(jīng)授權的訪問 操作系統(tǒng)訪問控制防止對操作系統(tǒng)的未授權訪問