信息系統(tǒng)安全集成確定安全需求與目標(biāo)概述課件

1、1信息系統(tǒng)安全集成確定安全需求與目標(biāo)2本章摘要本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務(wù)特征、法律法規(guī)及合同要求，在充分考慮風(fēng)險(xiǎn)的基礎(chǔ)上，確定組織的安全需求和目標(biāo)，形成各方認(rèn)可的安全需求文件 。摘 要主要內(nèi)容一、概述二、組織IT戰(zhàn)略與安全需求三、組織業(yè)務(wù)與安全需求四、符合性的安全需求五、基于風(fēng)險(xiǎn)的安全要求六、確定組織的安全需求七、確定信息安全目標(biāo)4一、概述1.組織與信息安全需求從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷?shí)現(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)合而成的集體或團(tuán)體，如黨團(tuán)組織、工會(huì)組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運(yùn)用于社會(huì)管理之中。組織概

2、述5一、概述1.組織與信息安全需求現(xiàn)代社會(huì)組織定義在現(xiàn)代社會(huì)生活中組織是人們按照一定的目的、任務(wù)和形式編制起來的社會(huì)集團(tuán)。組織是體現(xiàn)一定社會(huì)關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實(shí)現(xiàn)其目標(biāo)的集合體。組織概述6一、概述1.組織與信息安全需求組織安全需求-組織需要保護(hù)什么？信息安全的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個(gè)組織業(yè)務(wù)并符合法律法規(guī)、安全監(jiān)管要求、合同業(yè)務(wù)要求等，提出復(fù)合組織的基于風(fēng)險(xiǎn)管理的安全需求。組織應(yīng)該將信息安全集成到業(yè)務(wù)運(yùn)作的每一個(gè)層面。7一、概述1.組織與信息安全需求組織安全需求分析的層次需求分析的層次：目標(biāo)性需

3、求，定義了整個(gè)系統(tǒng)需要達(dá)到的目標(biāo)；功能性需求，定義了整個(gè)系統(tǒng)必須完成的任務(wù)；操作性需求，定義了完成每個(gè)任務(wù)的具體的人機(jī)交互.8一、概述1.組織與信息安全需求組織安全需求挖掘的方法挖掘需求的方法：分析特定客戶的業(yè)務(wù)流程和模型;與特定客戶進(jìn)行討論與交流(或聯(lián)合成立需求組)，包括：需求討論會(huì),與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等.9一、概述1.組織與信息安全需求組織安全需求分析的方法風(fēng)險(xiǎn)評(píng)估法安全需求分析的方法：資產(chǎn)清冊(cè)風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)形成需求10一、概述2.組織安全風(fēng)險(xiǎn)安全威脅-引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的安全威脅和攻擊破壞。由于組織越來

4、越依靠信息資源，安全事件不斷增長(zhǎng)，而安全事件造成的損失以及用于事件處理的財(cái)力、人力以及IT資源的投入需要不斷增長(zhǎng)。11一、概述2.組織安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指一個(gè)事件產(chǎn)生我們所不希望的后果可能性。組織的風(fēng)險(xiǎn)是指組織未來發(fā)生損失的不確定性。這些安全風(fēng)險(xiǎn)主要包括了業(yè)務(wù)的連續(xù)性、業(yè)務(wù)流程安全、法律安全要求、合同安全、隱私保護(hù)要求等。組織的風(fēng)險(xiǎn)12一、概述3.組織信息安全目標(biāo)根據(jù)國(guó)際信息安全管理標(biāo)準(zhǔn)的描述，信息安全的目標(biāo)是“通過防止和減小安全事故的影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化?！毙枰M(jìn)行IT規(guī)劃和費(fèi)用調(diào)整以保證適當(dāng)?shù)陌踩度?，部署有效的工具，來解決緊迫的安全問題，實(shí)現(xiàn)組織的安全目標(biāo)。信息安全的目標(biāo)1

5、3二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是指組織對(duì)有關(guān)全局性,長(zhǎng)遠(yuǎn)性,綱領(lǐng)性目標(biāo)的謀劃和決策.14二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是表明組織如何達(dá)到目標(biāo)，完成使命的整體謀劃,是提出詳細(xì)行動(dòng)計(jì)劃的起點(diǎn),但它又凌駕于任何特定計(jì)劃的各種細(xì)節(jié)之上.戰(zhàn)略反映了管理者對(duì)于行動(dòng),環(huán)境和業(yè)績(jī)之間關(guān)鍵聯(lián)系的理解,用以確保已確定的使命,愿景,價(jià)值觀的實(shí)現(xiàn)。 15二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略IT戰(zhàn)略即信息技術(shù)戰(zhàn)略（ITStrategy）是組織經(jīng)營(yíng)戰(zhàn)略的有機(jī)組成部分，和財(cái)務(wù)戰(zhàn)略、人力資源戰(zhàn)略、運(yùn)作戰(zhàn)略等一樣，是公司的職能戰(zhàn)略。IT戰(zhàn)是關(guān)于企業(yè)信息

6、技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。對(duì)于大的組織公司而言，子公司或大的業(yè)務(wù)單元也會(huì)有其相對(duì)獨(dú)立的信息技術(shù)戰(zhàn)略。16二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的部分組成使命（Mission）：闡述信息技術(shù)存在的理由、目的以及在企業(yè)中的作用。遠(yuǎn)景目標(biāo)（Vision）：信息技術(shù)的發(fā)展方向和結(jié)果。中長(zhǎng)期目標(biāo)（MediumtoLong-termObjectives）：遠(yuǎn)景目標(biāo)的具體化，即企業(yè)未來23年信息技術(shù)發(fā)展的具體目標(biāo)。17二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的要點(diǎn)戰(zhàn)略要點(diǎn)：是實(shí)現(xiàn)上述中長(zhǎng)期目標(biāo)的途徑或路線。組織IT戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個(gè)方面展開：硬件與組建

7、網(wǎng)絡(luò)與通信應(yīng)用與數(shù)據(jù)組織與人員18二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對(duì)象-組織信息資產(chǎn)。19二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)明確安全保護(hù)的對(duì)象，即明確組織信息資產(chǎn)。分析業(yè)務(wù)流程識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)確定業(yè)務(wù)資產(chǎn)的安全所有人和責(zé)任人明確安全保護(hù)責(zé)任20二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，幫助組織實(shí)施有效的信息資產(chǎn)安全保護(hù)，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級(jí)和安全責(zé)任人。21二、組織IT戰(zhàn)略與安全需求2

8、.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括：業(yè)務(wù)應(yīng)用軟件IT基礎(chǔ)設(shè)施（硬件、組件、網(wǎng)絡(luò)通訊等）相關(guān)的數(shù)據(jù)和信息關(guān)鍵業(yè)務(wù)流程和人員其他信息資產(chǎn)。22二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估安全風(fēng)險(xiǎn)評(píng)估的目的在于定義核心信息資產(chǎn)，并且分析應(yīng)用環(huán)境中可能存在的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估是定義安全需求、選擇相應(yīng)對(duì)策以及設(shè)計(jì)安全系統(tǒng)的基礎(chǔ)。23二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估簡(jiǎn)易風(fēng)險(xiǎn)評(píng)估模型：從風(fēng)險(xiǎn)性質(zhì)上,風(fēng)險(xiǎn)=威脅+弱點(diǎn)+影響 考慮風(fēng)險(xiǎn)的影線,風(fēng)險(xiǎn)=威脅*弱點(diǎn)*影響風(fēng)險(xiǎn)三個(gè)要素：威脅-事件或行為,一般來自系

9、統(tǒng)外部,可能在某些地方會(huì)影響固有的弱點(diǎn),造成影響. 弱點(diǎn)-系統(tǒng)內(nèi)部考慮之中的弱點(diǎn),可能在某些地方受到威脅所利用。 影響-短期與長(zhǎng)期組織影響,威脅碰巧利用弱點(diǎn)。24二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估通過安全風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)資產(chǎn)的安全威脅和風(fēng)險(xiǎn)，了解企業(yè)的安全現(xiàn)狀和風(fēng)險(xiǎn)水平，分析安全需求和安全改進(jìn)方向。安全需求必須基于風(fēng)險(xiǎn)評(píng)估，并且應(yīng)該在設(shè)計(jì)階段開始前確定。25二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定組織需要制定與業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略一致的安全戰(zhàn)略，明確企業(yè)的安全建設(shè)目標(biāo)和安全建設(shè)原則。 通過風(fēng)險(xiǎn)評(píng)估了解了組織的安

10、全現(xiàn)狀和風(fēng)險(xiǎn)水平，企業(yè)明確了各個(gè)層次的安全需求和改進(jìn)方向。信息安全戰(zhàn)略是組織在一定時(shí)期內(nèi)的一整套安全決策，這一決策決定了企業(yè)的安全策略和制度、流程、行為和技術(shù)的建設(shè)。 26二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定制定組織信息安全戰(zhàn)略的目標(biāo)：支持組織戰(zhàn)略。平衡的信息安全風(fēng)險(xiǎn)。謹(jǐn)慎而有效的信息安全投資。信息安全建設(shè)能夠與業(yè)務(wù)發(fā)展和IT能力建設(shè)同步。促使信息安全成為業(yè)務(wù)發(fā)展的有力驅(qū)動(dòng)。27二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定基于戰(zhàn)略的信息安全需求的內(nèi)容：范圍需求安全的目標(biāo)需求（可用性、完整性、保密性、不可地耐

11、性等要求）安全的組織需求安全的資源需求安全的管理流程需求（突發(fā)事件與持續(xù)改進(jìn)）后續(xù)展開這些需求。28三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的分類方法有多種，這里講的組織按組織的目標(biāo)分類，可以把組織分為： 互益組織：如工會(huì)、俱樂部、政黨等。 工商組織：如工廠、商店、銀行等。 服務(wù)組織：如醫(yī)院、學(xué)校、社會(huì)機(jī)構(gòu)等。 公益組織：如政府機(jī)構(gòu)、研究機(jī)構(gòu)、消防隊(duì)等。 組織的分類29三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)模型是描述業(yè)務(wù)用例實(shí)現(xiàn)的對(duì)象模型，它是對(duì)業(yè)務(wù)角色和業(yè)務(wù)實(shí)體之間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務(wù)的一種抽象。30三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述

12、模型業(yè)務(wù)流程描述模型刻畫以業(yè)務(wù)表單為中心的應(yīng)用系統(tǒng)業(yè)務(wù)流程，解決其業(yè)務(wù)流程建模中的問題,包括:各類約束的嚴(yán)格描述、權(quán)限表示、流程關(guān)系、流程推進(jìn)過程以及業(yè)務(wù)對(duì)象被調(diào)度和執(zhí)行的全過程描述。采用業(yè)務(wù)流程描述模型的業(yè)務(wù)系統(tǒng)更容易擴(kuò)展和維護(hù), 能較好地滿足用戶的需求。31三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子-銀行業(yè)務(wù)模型業(yè)務(wù)事件UML信號(hào)事件-指定的激勵(lì)表格或文檔和過程(UML 用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithd

13、rawRecord32三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子-銀行業(yè)務(wù)模型Customer：客戶；Teller：出納員 ；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)庫(kù)33三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求業(yè)務(wù)信息資產(chǎn)是企業(yè)信息安全保護(hù)的核心目標(biāo)，因此要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對(duì)象。組織需要通過分析業(yè)務(wù)流程，識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)，確定業(yè)務(wù)資產(chǎn)的安全所有人和認(rèn)責(zé)人，明確安全保護(hù)責(zé)任。 業(yè)務(wù)信息資產(chǎn)安全是組織信息安全保護(hù)的核心34三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求組織業(yè)務(wù)信息資產(chǎn)保護(hù)內(nèi)容在以業(yè)務(wù)為核心的組織內(nèi)部，信息

14、資產(chǎn)包括業(yè)務(wù)硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)鍵業(yè)務(wù)流程和人員。35三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求對(duì)業(yè)務(wù)相關(guān)信息資產(chǎn)清冊(cè)，包括硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務(wù)流程和人員。建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，可以幫助企業(yè)實(shí)施有效的信息資產(chǎn)安全保護(hù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級(jí)和安全責(zé)任人。36三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求通過安全風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)信息資產(chǎn)的安全威脅和風(fēng)險(xiǎn)，將安全需求列表并排出優(yōu)先級(jí)。確定基于業(yè)務(wù)的組織

15、安全需求和安全改進(jìn)方向。37四、符合性的安全需求1 .符合性概述符合性需求的意義為了避免任何違反法律、法令、法定的或者合同的義務(wù)，使信息系統(tǒng)安全集成和運(yùn)行置于法律、法規(guī)或者合同的約定的要求之下，以避免或減少安全風(fēng)險(xiǎn)。38四、符合性的安全需求1 .符合性概述符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)規(guī)范等。符合性要求組織所有行為必須合法，符合相關(guān)的規(guī)章制度及規(guī)則。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)章制度。 符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，如環(huán)境法規(guī)，在某些方面對(duì)于整個(gè)組織、或整個(gè)行業(yè)是類似的。什么是符合性39四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的

16、識(shí)別識(shí)別收集與安全集成有關(guān)的法律法規(guī)并對(duì)適應(yīng)性進(jìn)行評(píng)價(jià)，確定其適用范圍和具體適應(yīng)條款，形成適應(yīng)的法律法規(guī)清單。40四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識(shí)別評(píng)估法律法規(guī)復(fù)合性的需要定期評(píng)估，保持適應(yīng)的法律、法規(guī)的有效最新版本。法律法規(guī)復(fù)合性的需要定期評(píng)價(jià)，保持適應(yīng)的法律、法規(guī)的符合性。41四、符合性的安全需求2.法律法規(guī)要求知識(shí)產(chǎn)權(quán)保護(hù)需求嚴(yán)格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版地軟件。這些需要，確定合法獲得軟件的途徑合法；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；列出需要的軟件或未被授權(quán)軟件清單；確保用戶數(shù)不超出允許的上限；嚴(yán)禁員工私自安裝任何軟件。42四、符合性

17、的安全需求2.法律法規(guī)要求記錄的保護(hù)需求應(yīng)按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存期限并適當(dāng)保護(hù)，防止丟失、損壞和偽造；處理與個(gè)人數(shù)據(jù)與信息應(yīng)按照國(guó)家法律法規(guī)的規(guī)定和相關(guān)合同約束，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄漏個(gè)人信息；將需要保護(hù)記錄和個(gè)數(shù)據(jù)與人信息列出清單，并明確保護(hù)要求。43四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管是為預(yù)防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或管理不善導(dǎo)致信息安全事件的發(fā)生，并保證及時(shí)處理由此引起的各類安全事件，減輕或消除信息安全事件造成的經(jīng)濟(jì)損失或信譽(yù)損失，確保組織業(yè)務(wù)的連續(xù)性。44四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管的要求主要分為：國(guó)家

18、要求；行業(yè)要求；組織內(nèi)部；其他監(jiān)管要求。45四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求什么是信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是指國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。46四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)的需求：信息安全等級(jí)保護(hù)管理要求信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)，按組織的利益，社會(huì)公眾利益，對(duì)國(guó)家安全的影響一共分為五級(jí)，第一級(jí)是最低的，第五級(jí)是最

19、高。確定組織是否強(qiáng)制或自愿納入信息安全等級(jí)保護(hù)管理，明確納入分級(jí)保護(hù)的級(jí)別。47四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)信息系統(tǒng)安全專用產(chǎn)品分等級(jí)的需求：信息安全等級(jí)保護(hù)管理要求對(duì)信息系統(tǒng)安全專用產(chǎn)品分等級(jí)進(jìn)行管理，根據(jù)可控性、可靠性、安全性和可監(jiān)督性這四個(gè)屬性確定信息系統(tǒng)使用的安全產(chǎn)品等級(jí)，各個(gè)單位使用的安全產(chǎn)品應(yīng)該是分等級(jí)的。定了三級(jí)的系統(tǒng)不能使用二級(jí)以下的安全產(chǎn)品； 確定組織納入分級(jí)保護(hù)的級(jí)別，明確使用信息安全產(chǎn)品的等級(jí)需求。48四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)所發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)和處置的需求：信息安全等級(jí)保護(hù)

20、管理要求，對(duì)所發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)和處置，對(duì)不同的信息安全事件，由監(jiān)管部門牽頭組織全社會(huì)的應(yīng)急響應(yīng)和單位的應(yīng)急響應(yīng)相結(jié)合，最大限度的減輕信息安全事件造成的損失。確定組織納入分級(jí)保護(hù)的級(jí)別，明確信息安全事件響應(yīng)的等級(jí)需求。49四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部署的物理邊界，應(yīng)用運(yùn)行的區(qū)域；明確監(jiān)管設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、鑒權(quán)系統(tǒng)、服務(wù)器、路由器、交換機(jī)等；50四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：操作系統(tǒng)與應(yīng)用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)

21、用系統(tǒng)及設(shè)備運(yùn)行域操作日志的監(jiān)管要求；網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計(jì)要求，非法、敏感類信息以及克訪問性的適時(shí)監(jiān)管要求。51四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管職責(zé)：內(nèi)部監(jiān)管機(jī)構(gòu)的指定與監(jiān)管責(zé)任的定義，如誰(shuí)分管，哪個(gè)部門承擔(dān)監(jiān)管責(zé)任，對(duì)監(jiān)管對(duì)象、安全事件處理，上下協(xié)調(diào)等責(zé)任的定義；監(jiān)管人員的監(jiān)管職責(zé)的明確，日常監(jiān)管要求，問題處理方式與報(bào)告流程；事件分類及事件處理流程定義。52四、符合性的安全需求4. 合同業(yè)務(wù)要求合同受到法律保護(hù)：合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律保護(hù)。組織明確雙方合同協(xié)議中對(duì)信息安全的要求。組織在合同業(yè)務(wù)中

22、對(duì)信息安全的要求53四、符合性的安全需求4. 合同業(yè)務(wù)要求將雙方合同協(xié)議中對(duì)信息安全的要求列出作為安全集成中的需求管理；組織也需要明確提出第三方機(jī)構(gòu)及人員的信息安全要求，涉及第三方接觸本組織的信息處理設(shè)備應(yīng)當(dāng)基于正式的合同提出所有的基于信息安全的要求，以便確保符合組織的安全政策和標(biāo)準(zhǔn)。組織在合同業(yè)務(wù)中對(duì)信息安全的要求54五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)大致有兩種定義：一種定義強(qiáng)調(diào)了風(fēng)險(xiǎn)表現(xiàn)為不確定性；而另一種定義則強(qiáng)調(diào)風(fēng)險(xiǎn)表現(xiàn)為損失的不確定性。學(xué)術(shù)界對(duì)風(fēng)險(xiǎn)的內(nèi)涵還沒有統(tǒng)一的定義，由于對(duì)風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度不同，或?qū)︼L(fēng)險(xiǎn)的研究的角度不同，不同的學(xué)者對(duì)風(fēng)險(xiǎn)概念有著不同的解釋。5

23、5五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述信息安全風(fēng)險(xiǎn)在信息安全領(lǐng)域來講我們這樣來定義風(fēng)險(xiǎn)：風(fēng)險(xiǎn)就是發(fā)生損失事件的概率，也可以說是損失發(fā)生的不確定性，即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來?yè)p失的可能性。56五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是指通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估與分析、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控等一系列活動(dòng)來消除或減少風(fēng)險(xiǎn)的管理過程。風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估與分析風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)監(jiān)控57五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理必須識(shí)別、分析風(fēng)險(xiǎn)，風(fēng)險(xiǎn)識(shí)別是確定何種風(fēng)險(xiǎn)可能會(huì)對(duì)組織產(chǎn)生影響，最重要的是量化不確定性的程度和每個(gè)風(fēng)險(xiǎn)可能造成損失的程度。風(fēng)險(xiǎn)管理要著眼于風(fēng)險(xiǎn)控制，組

24、織通常采用積極的措施來控制風(fēng)險(xiǎn)。通過降低其損失發(fā)生的概率，縮小其損失程度來達(dá)到控制目的。風(fēng)險(xiǎn)管理要學(xué)會(huì)規(guī)避風(fēng)險(xiǎn)，在既定目標(biāo)不變的情況下，改變方案的實(shí)施路徑，從根本上消除特定的風(fēng)險(xiǎn)因素。58五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)評(píng)估對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法。大多數(shù)風(fēng)險(xiǎn)評(píng)估都基于定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估這兩種方法或這兩種方法的組合。59五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求組織需要根據(jù)對(duì)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合業(yè)務(wù)需求來確定組織安全需求。安全需求中不僅包括具體信息資產(chǎn)對(duì)安全的要求，還應(yīng)包括軟件功能方

25、面的安全需求，以及物理安全、管理流程、系統(tǒng)管理等非軟件方面的需求。 風(fēng)險(xiǎn)評(píng)估與安全需求60五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求組織根據(jù)應(yīng)用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采用的安全機(jī)制。 通過安全風(fēng)險(xiǎn)評(píng)估明確存在風(fēng)險(xiǎn)的關(guān)鍵的業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程，識(shí)別其安全需求和安全現(xiàn)狀。風(fēng)險(xiǎn)評(píng)估與安全需求61五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求安全風(fēng)險(xiǎn)的可接受水平以及安全需求的確認(rèn)，需要業(yè)務(wù)人員和管理層來確認(rèn)，應(yīng)該將實(shí)施控制措施的支出與安全故障可能造成的業(yè)務(wù)損失進(jìn)行權(quán)衡考慮，對(duì)安全建設(shè)的方向和目標(biāo)進(jìn)行決策。 風(fēng)險(xiǎn)評(píng)估與安全需求62六、確定組織的安全需求1.安全需求的協(xié)商協(xié)商協(xié)商是利益關(guān)系者共同商量以便

26、取得一致意見。63六、確定組織的安全需求1.安全需求的協(xié)商安全需求的協(xié)商對(duì)于信息安全的需求，在符合國(guó)家法律、行業(yè)規(guī)定、以及上級(jí)主管部門、組織內(nèi)部不同機(jī)構(gòu)、以及客戶等的需求重點(diǎn)不一樣，同時(shí)組織建設(shè)信息系統(tǒng)，保證信息安全還受投資限制，因此需要對(duì)信息安全的需求進(jìn)行商量，以最終求得各方一致認(rèn)同的適合組織建設(shè)的安全需求。需求平衡投資平衡64六、確定組織的安全需求1.安全需求的協(xié)商整理需求有優(yōu)先順序的安全需求清單業(yè)務(wù)的組織安全需求符合性的安全需求合同業(yè)務(wù)要求風(fēng)險(xiǎn)的安全要求65六、確定組織的安全需求1.安全需求的協(xié)商利益關(guān)系者間溝通溝通是為了一個(gè)設(shè)定的目標(biāo)，把信息、思想和情感在個(gè)人或群體間傳遞，并且達(dá)成共同

27、協(xié)議的過程。信息安全需求的溝通，是將將組織業(yè)務(wù)的組織安全需求、符合性的安全需求、合同業(yè)務(wù)要求，以及風(fēng)險(xiǎn)的安全要求綜合處理成有優(yōu)先順序的安全需求清單，用這個(gè)清單去向各利益關(guān)系者傳達(dá)，收集意見和建議，以達(dá)成一致意見。66六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者溝通的步驟：第一步 事前準(zhǔn)備第一步 闡述觀點(diǎn)第一步 收集信息第一步 處理異議第一步 達(dá)成一致67六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者有效溝通的基本技巧組織清晰語(yǔ)言簡(jiǎn)潔關(guān)注非語(yǔ)言的暗示傾聽溝通對(duì)象表達(dá)求同存異有效反饋68六、確定組織的安全需求2.安全需求的確定根據(jù)溝通結(jié)果重新整理需求清單意見建議需求清單經(jīng)多方協(xié)商后的

28、達(dá)成基本一致的需求清單69六、確定組織的安全需求2.安全需求的確定召開會(huì)議形成多方認(rèn)可的需求清單在與各方充分溝通的達(dá)成基本一致的基礎(chǔ)上，召開關(guān)系者代表全體會(huì)議，傳達(dá)溝通結(jié)果，形成多方認(rèn)可的需求清單，并簽注確認(rèn)。召開關(guān)系者代表會(huì)議經(jīng)多方認(rèn)可的需求清單簽字確認(rèn)70七、確定信息安全目標(biāo)總體目標(biāo)的起草與確定組織定義信息安全總目標(biāo)：確保組織的信息資產(chǎn)的機(jī)密性、完整性和可用性（不同的組織可能會(huì)還有不可抵賴性等），為組織業(yè)務(wù)應(yīng)用提供安全、穩(wěn)定、連續(xù)的IT支撐。起草總目標(biāo)形成經(jīng)確認(rèn)的總體目標(biāo)高層會(huì)議確認(rèn)71七、確定信息安全目標(biāo)分目標(biāo)的起草與確定分目標(biāo)的起草與確定在確認(rèn)總目標(biāo)的基礎(chǔ)上，分解具體管理目標(biāo)，可按照可

29、用性、完整性和機(jī)密性以及其他如不可抵賴性等面定義安全目標(biāo)。組織安全總體目標(biāo)可用性目標(biāo)完整性目標(biāo)機(jī)密性目標(biāo)其他安全目標(biāo)72七、確定信息安全目標(biāo)可用性目標(biāo)分目標(biāo)的起草與確定在多方認(rèn)可的需求清單形成組織的可用性目標(biāo)，例如：序號(hào)目標(biāo)測(cè)量方式1互聯(lián)網(wǎng)系統(tǒng)需達(dá)到99.5%的可用性每月通過提交服務(wù)報(bào)告方式，統(tǒng)計(jì)的服務(wù)時(shí)間，來計(jì)算服務(wù)可用性。2內(nèi)聯(lián)網(wǎng)系統(tǒng)需達(dá)到99.5%的可用性每月通過提交服務(wù)報(bào)告方式，統(tǒng)計(jì)的服務(wù)時(shí)間，來計(jì)算服務(wù)可用性。3系統(tǒng)管理服務(wù)可用性的目標(biāo)：關(guān)鍵業(yè)務(wù)服務(wù)器系統(tǒng)每年故障不超過12次，其他系統(tǒng)每月故障不超過8次。每月通過提交服務(wù)報(bào)告方式，統(tǒng)計(jì)的服務(wù)時(shí)間，來計(jì)算服務(wù)可用性。73七、確定信息安全

30、目標(biāo)完整性目標(biāo)分目標(biāo)的起草與確定在多方認(rèn)可的需求清單形成組織的完整性目標(biāo)，例如：序號(hào)目標(biāo)測(cè)量方式1保證收費(fèi)信息的完整。在內(nèi)審中進(jìn)行評(píng)審，評(píng)估信息的有效性。未經(jīng)授權(quán)的破壞或修改的件數(shù)少于10件/年。2保證重要文檔信息的完整。在內(nèi)審中進(jìn)行評(píng)審，評(píng)估信息的有效性。未經(jīng)授權(quán)的破壞或修改的件數(shù)少于10件/年。374七、確定信息安全目標(biāo)機(jī)密性目標(biāo)分目標(biāo)的起草與確定序號(hào)目標(biāo)測(cè)量方式1不同密級(jí)的信息資產(chǎn)應(yīng)得到適當(dāng)程度的保護(hù),不會(huì)被非授權(quán)訪問。無信息泄密事件1）在控制措施有效性測(cè)量中完成。隨機(jī)抽查10個(gè)人的訪問權(quán)限，是否和訪問權(quán)限表里的一致。百分比參數(shù)取決于:達(dá)到要求的數(shù)量/抽查的數(shù) * 100%2）信息泄密控制在5件/年以下。在多方認(rèn)可的需求清單形成組織的機(jī)密性目標(biāo)，例如：75七、確定信息安全目標(biāo)分目標(biāo)確定分目標(biāo)的起草與確定分目標(biāo)與測(cè)量方法清單形成經(jīng)確認(rèn)的組織信息安全具體目標(biāo)高層會(huì)議確認(rèn)76七、確定信息安全目標(biāo)匯總組織具體安全目標(biāo)匯總安全目標(biāo)組織信息安全總體目標(biāo)確定