信息安全管理體系教材

信息安全管理體系培訓(xùn)大綱一、信息安全面臨的風(fēng)險二、保護信息安全的方法三、完善信息安全治理結(jié)構(gòu)四、審視業(yè)務(wù)進行風(fēng)險評估五、進行信息安全控制規(guī)劃六、建立信息安全管理體系七、建立完備的“技術(shù)防火墻”八、建立有效的“人力防火墻”九、對信息安全的檢查與審計信息系統(tǒng)固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術(shù)平臺（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性與脆弱性行動的遠程化使安全管理面臨挑戰(zhàn)信息具有的重要價值信息社會對信息高度依賴，信息的風(fēng)險加大信息的高附加值會引發(fā)盜竊、濫用等威脅一、信息安全面臨的風(fēng)險企業(yè)對信息的依賴程度：美國明尼蘇達大學(xué)Bush-Kugel的研究報告指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運行2天，商業(yè)則為3.3天，工業(yè)則為5天，保險業(yè)為5.6天。而以經(jīng)濟情況來看，有25%的企業(yè)，因為的毀損可能立即破產(chǎn)，40%會在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在5年后能夠繼續(xù)存活。層出不窮網(wǎng)絡(luò)安全事件全球平均20秒就發(fā)生一次計算機病毒入侵,互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件每月260%的速度增加。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局2006年8月25日發(fā)布的一項調(diào)查報告顯示，54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，比去年上升5％，其中發(fā)生過3次以上的占22％，比去年上升7％。73％的安全事件是由于未修補或防范軟件漏洞所導(dǎo)致。據(jù)統(tǒng)計2006年產(chǎn)生的電腦病毒和木馬的數(shù)量達到23萬個，其中90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業(yè)用戶中毒，直接及間接經(jīng)濟損失高達億元以上。據(jù)統(tǒng)計，2008年初全球產(chǎn)生的電腦病毒和木馬的數(shù)量達到50萬個，其中90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網(wǎng)的安全。Baidu灰鴿子吧商業(yè)間諜無孔不入在走向現(xiàn)代市場經(jīng)濟的過程中，由于利益多元化格局的形成和利益驅(qū)動機制的強化，侵犯企業(yè)商業(yè)秘密的事件正在迅速增加。根據(jù)美國對本國1500家公司的調(diào)查，有1300家公司承認，它們對國外的競爭對手進行了間諜活動。據(jù)估計，美國企業(yè)每年投資在經(jīng)濟、科技情報方面的費用高達300億美元。許多大公司設(shè)立專門的競爭情報部門，建立企業(yè)競爭情報系統(tǒng)，進入世界500強的美國公司中90%設(shè)有競爭情報部。如IBM、微軟、陶氏科寧、可口可樂等公司的競爭情報系統(tǒng)不僅能夠時刻監(jiān)視競爭對手的動向和環(huán)境的變化，而且具有對環(huán)境的“早期預(yù)警”功能。向?qū)κ值纳虡I(yè)機密說“不”商業(yè)機密泄露使企業(yè)遭受損失2004年的一項調(diào)查顯示，名列《財富》雜志前1000名的公司每年因泄露商業(yè)機密而出現(xiàn)的損失高達450億美元，平均每家公司每年發(fā)生2.45次泄密事件，損失超過50萬美元。

景泰藍、宣紙、青蒿素、維生素C生產(chǎn)技術(shù)的泄密和銣鐵硼專利被封殺都給我國企業(yè)和國家?guī)砹酥卮蟮慕?jīng)濟損失，造成了無可挽回的影響。思科訴華為，華為訴滬科等知識產(chǎn)權(quán)案，使企業(yè)和人員都蒙受了損失。華為訴前員工竊密案觸目驚心的泄密事件信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽受到的影響商業(yè)機會的損失對生產(chǎn)率的破壞$10,000$60,000－$530,000我國當(dāng)前信息安全普遍存在的問題忽略了信息化的治理機制與控制體系的建立，和信息化“游戲規(guī)則”的建立；廠商主導(dǎo)的技術(shù)型解決方案為主，用戶跟著廠商的步子走；安全只重視邊界安全，沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題；重視安全技術(shù)，輕視安全管理，信息安全可靠性沒有保證；信息安全建設(shè)缺乏績效評估機制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊員”

…

如何實現(xiàn)信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測系統(tǒng)？管理制度？人的因素？環(huán)境因素？Ernst&Young及國內(nèi)安全機構(gòu)的分析：國家政府和軍隊信息受到的攻擊70%來自外部，銀行和企業(yè)信息受到的攻擊70%來自于內(nèi)部。75%的被調(diào)查者認為員工對信息安全策略和程序的不夠了解是實現(xiàn)信息安全的障礙之一,只有35%的組織有持續(xù)的安全意識教育與培訓(xùn)計劃66%的組織認為信息系統(tǒng)沒有遵守必要的信息安全規(guī)則56%的組織認為在信息安全的投入上不足，60%從不計算信息安全的ROI，83%的組織認為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個系統(tǒng)安全工作中,管理(包括管理和法律法規(guī)方面)所占比重應(yīng)該達到70%,而技術(shù)(包括技術(shù)和實體)應(yīng)占30%。二、保護信息安全的方法信息安全體系模型的演變ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技術(shù)框架信息安全管理體系ISMS人們逐漸認識到安全管理的重要性，作為信息安全建設(shè)藍圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。建立信信息安安全管管理體體系對信息息安全全建立立系統(tǒng)統(tǒng)工程程的觀觀念用制度度來保保證組組織的的信息息安全全更有有效信息安安全遵遵循木木桶原原理對信息息系統(tǒng)統(tǒng)的各各個環(huán)環(huán)節(jié)進進行統(tǒng)統(tǒng)一的的綜合合考慮慮、規(guī)規(guī)劃和和構(gòu)架架并要時時時兼兼顧組組織內(nèi)內(nèi)不斷斷發(fā)生生的變變化，，任何何環(huán)節(jié)節(jié)上的的安全全缺陷陷都會會對系系統(tǒng)構(gòu)構(gòu)成威威脅。。需要對對信息息安全全進行行有效效管理理BHTP－一種種實施施ISMS的有效效方法法業(yè)務(wù)與與策略略(BusinessandPolicy)人員與與管理理(Humanandmanagement)技術(shù)與與產(chǎn)品品(Technologyandproducts)流程與與體系系(ProcessandFramework)治理與與控制制環(huán)境境BHTP模型的的關(guān)鍵鍵要素素業(yè)務(wù)與與策略略根據(jù)業(yè)業(yè)務(wù)需需要在在組織織中建建立信信息安安全策策略，，以指指導(dǎo)對對信息息資產(chǎn)產(chǎn)進行行管理理、保保護和和分配配。確確定并并實施施信息息安全全策略略是組組織的的一項項重要要使命命，也也是組組織進進行有有效安安全管管理的的基礎(chǔ)礎(chǔ)和依依據(jù)。?！氨Ｗo業(yè)業(yè)務(wù)，，為業(yè)業(yè)務(wù)創(chuàng)創(chuàng)造價價值”應(yīng)當(dāng)是是一切切安全全工作作的出出發(fā)點點與歸歸宿，，最有有效的的方式式不是是從現(xiàn)現(xiàn)有的的工作作方式式開始始應(yīng)用用信息息安全全技術(shù)術(shù)，而而是在在針對對工作作任務(wù)務(wù)與工工作流流程重重新設(shè)設(shè)計信信息系系統(tǒng)時時，發(fā)發(fā)揮信信息安安全技技術(shù)手手段支支持新新的工工作方方式的的能力力。人員與與管理理人是信信息安安全最最活躍躍的因因素，，人的的行為為是信信息安安全保保障最最主要要的方方面。。從國家家的角角度考考慮有有法律律、法法規(guī)、、政策策問題題；從從組織織角度度考慮慮有安安全方方針政政策程程序、、安全全管理理、安安全教教育與與培訓(xùn)訓(xùn)、組組織文文化、、應(yīng)急急計劃劃和業(yè)業(yè)務(wù)持持續(xù)性性管理理等問問題；；從個個人角角度來來看有有職業(yè)業(yè)要求求、個個人隱隱私、、行為為學(xué)、、心理理學(xué)等等問題題。技術(shù)與與產(chǎn)品品可以綜綜合采采用商商用密密碼、、防火火墻、、防病病毒、、身份份識別別、網(wǎng)網(wǎng)絡(luò)隔隔離、、可信信服務(wù)務(wù)、安安全服服務(wù)、、備份份恢復(fù)復(fù)、PKI服務(wù)、、取證證、網(wǎng)網(wǎng)絡(luò)入入侵陷陷阱、、主動動反擊擊等多多種技技術(shù)與與產(chǎn)品品來保保護信信息系系統(tǒng)安安全考慮安安全的的成本本與效效益，，采用用“適度防防范”(Rightsizing)的原則則流程與與體系系建立良良好的的IT治理機機制是是實施施信息息安全全的基基礎(chǔ)與與重要要保證證。在風(fēng)險險分析析的基基本上上引入入恰當(dāng)當(dāng)控制制，建建立PDCA的安全全管理理體系系，從從而保保證組組織賴賴以生生存的的信息息資產(chǎn)產(chǎn)的安安全性性、完完整性性和可可用性性安全體體系統(tǒng)統(tǒng)還應(yīng)應(yīng)當(dāng)隨隨著組組織環(huán)環(huán)境的的變化化、業(yè)業(yè)務(wù)發(fā)發(fā)展和和信息息技術(shù)術(shù)提高高而不不斷改改進，，不能能一勞勞永逸逸，一一成不不變，，需要要建立立完整整的控控制體體系來來保證證安全全的持持續(xù)完完善。。BHTP的方法法論決策層層對信信息安安全看看法建立跨跨部門門的信信息安安全委委員會會良好的的治理理結(jié)構(gòu)構(gòu)要求求主體體單位位的IT決策必必須由由最了了解組組織整整體目目標(biāo)與與價值值的權(quán)權(quán)威部部門來來決定定。三、完完善善信息息安全全治理理結(jié)構(gòu)構(gòu)信息安安全組組織結(jié)結(jié)構(gòu)示示例安全工工作小小組流流程示示例審視業(yè)業(yè)務(wù)，，確定定IT原則和和信息息安全全方針針在進行行信息息安全全規(guī)劃劃與實實施安安全控控制措措施前前，首首先要要充分分了解解組織織的業(yè)業(yè)務(wù)目目標(biāo)和和IT目標(biāo)，，建立立IT原則，，這是是實施施建立立有效效的信信息安安全保保障體體系的的前提提。組織的的業(yè)務(wù)務(wù)目標(biāo)標(biāo)和IT原則將將直接接影響響到安安全需需求，，只有有從業(yè)業(yè)務(wù)發(fā)發(fā)展的的需要要出發(fā)發(fā)，確確定適適宜的的IT原則，，才能能指導(dǎo)導(dǎo)信息息安全全方針針的制制定。。信息安安全方方針就就是組組織的的信息息安全全委員員會或或管理理當(dāng)局局制定定的一一個高高層文文件，，用于于指導(dǎo)導(dǎo)組織織如何何對資資產(chǎn)，，包括括敏感感性信信息進進行管管理、、保護護和分分配的的規(guī)則則和指指示。在安全全方針針的指指導(dǎo)下下，通通過了了解組組織業(yè)業(yè)務(wù)所所處的的環(huán)境境，對對IT基礎(chǔ)設(shè)設(shè)施及及應(yīng)用用系統(tǒng)統(tǒng)可能能存在在的薄薄弱點點進行行風(fēng)險險評估估，制制定出出適宜宜的安安全控控制措措施、、安全全策略略程序序及安安全投投資計計劃。。IT原則示示例信息安安全方方針示示例四、確確定定IT原則與與安全全方針針五、進進行行風(fēng)險險評估估風(fēng)險評評估的的常用用方法法目前國國內(nèi)ISMS風(fēng)險評評估的的方法法主要要參照照ISO13335的有關(guān)關(guān)定義義及國國信辦辦9號文件件《信息安安全風(fēng)風(fēng)險評評估指指南》，這些些標(biāo)準(zhǔn)準(zhǔn)把重重點放放在信信息資資產(chǎn)上上。。缺點：：風(fēng)險險評估估人員員一般般最容容易找找到的的資產(chǎn)產(chǎn)無非非就是是硬件件類、、軟件件類的的資產(chǎn)產(chǎn)，而而對安安全來來說至至關(guān)重重要的的IT治理、、組織織政策策、人人員管管理、、職責(zé)責(zé)分配配、業(yè)業(yè)務(wù)流流程、、教育育培訓(xùn)訓(xùn)等問問題，，由于于不能能方便便地定定義為為信息息資產(chǎn)產(chǎn)，而而往往往被視視而不不見。。因此，，風(fēng)險險評估估經(jīng)常常出現(xiàn)現(xiàn)“撿撿了芝芝麻、、丟了了西瓜瓜”，，“只只見樹樹木，，不見見森林林”的的情況況。完備的的風(fēng)險險評估估方法法信息安安全涉涉及的的內(nèi)容容決不不僅僅僅是信信息安安全、、技術(shù)術(shù)安全全的問問題，，它還還會涉涉及到到治理理機制制、業(yè)業(yè)務(wù)流流程、、人員員管理理、企企業(yè)文文化等等內(nèi)容容。通過““現(xiàn)狀狀調(diào)查查”獲獲得對對組織織信息息安全全現(xiàn)狀狀和控控制措措施的的基本本了解解；通通過““基線線風(fēng)險險評估估”了了解組組織與與具體體的信信息安安全標(biāo)標(biāo)準(zhǔn)的的差距距，得得到粗粗粒度度的安安全評評價。。通過過“資資產(chǎn)風(fēng)風(fēng)險評評估””和““流程程風(fēng)險險評估估”進進行詳詳細風(fēng)風(fēng)險評評估，，根據(jù)據(jù)三方方面的的評估估得到到最終終的風(fēng)風(fēng)險評評估報報告?！，F(xiàn)狀調(diào)調(diào)查的的主要要內(nèi)容容文檔收收集與與分析析組織的的基本本信息息、組組織結(jié)結(jié)構(gòu)圖圖組織人人員名名單、、機構(gòu)構(gòu)設(shè)置置、崗崗位職職責(zé)說說明書書業(yè)務(wù)特特征或或服務(wù)務(wù)介紹紹與信息息安全全管理理相關(guān)關(guān)的政政策、、制度度和規(guī)規(guī)范現(xiàn)場訪訪談安排與與相關(guān)關(guān)人員員的面面談對員工工工作作現(xiàn)場場的觀觀察加強項項目組組對企企業(yè)文文化的的感知知訪談提提綱：：管理層層、部門經(jīng)經(jīng)理、員工，某員工工的訪訪問示示例技術(shù)評評估工具掃掃描、滲透測測試123人工分分析系統(tǒng)安安全配配置完完全檢檢測、、網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)安全全配置置完全全檢測測包括用用戶安安全、、操作作系統(tǒng)統(tǒng)安全全、網(wǎng)絡(luò)服服務(wù)安安全、、系統(tǒng)統(tǒng)程序序安全全人工評評估記記錄示示例技術(shù)評評估綜綜述問卷調(diào)調(diào)研安全日日常運運維現(xiàn)現(xiàn)狀調(diào)調(diào)研問問卷：：針對對組織織中實實際的的應(yīng)用用、系系統(tǒng)、、網(wǎng)絡(luò)絡(luò)狀況況，從從日常常的管管理、、維護護、系系統(tǒng)審審計、、權(quán)限限管理理等方方面全全面了了解組組織在在信息息系統(tǒng)統(tǒng)安全全管理理和維維護上上的現(xiàn)現(xiàn)實狀狀況。。從安全全日常常運維維角度度出發(fā)發(fā)，更更貼近近實際際運維維環(huán)境境。安全日日常運運維現(xiàn)現(xiàn)狀調(diào)調(diào)研問問卷《信息安安全現(xiàn)現(xiàn)狀分分析報報告》基線風(fēng)風(fēng)險評評估所謂基基線風(fēng)風(fēng)險評評估，，就是是確定定一個個信息息安全全的基基本底底線，，信息息安全全不僅僅僅是是資產(chǎn)產(chǎn)的安安全，，應(yīng)當(dāng)當(dāng)從組組織、、人員員、物物理、、邏輯輯、開開發(fā)、、業(yè)務(wù)務(wù)持續(xù)續(xù)等各各個方方面來來確定定一個個基本本的要要求，，在此此基礎(chǔ)礎(chǔ)之上上，再再選擇擇信息息資產(chǎn)產(chǎn)進行行詳細細風(fēng)險險分析析，這這樣才才能在在兼顧顧信息息安全全風(fēng)險險的方方方面面面的的同時時，對對重點點信息息安全全風(fēng)險險進行行管理理與控控制。。ISO27001確立了了組織織機構(gòu)構(gòu)內(nèi)啟啟動、、實施施、維維護和和改進進信息息安全全管理理的指指導(dǎo)方方針和和通用用原則則，以以規(guī)范范組織織機構(gòu)構(gòu)信息息安全全管理理建設(shè)設(shè)的內(nèi)內(nèi)容，，因此此，風(fēng)風(fēng)險評評估時時，可可以把把ISO27001作為安全基基線，與組組織當(dāng)前的的信息安全全現(xiàn)狀進行行比對，發(fā)發(fā)現(xiàn)組織存存在的差距距，這樣一一方面操作作較方便，，更重要的的是不會有有遺漏ISO27001調(diào)查問卷示示例《信息安全管管理體系風(fēng)風(fēng)險評估與與處置建議議報告》信息資產(chǎn)風(fēng)風(fēng)險評估針對重要的的信息資產(chǎn)產(chǎn)進行安全全影響、威威脅、漏洞洞及可能性性分析，從從而估計對對業(yè)務(wù)產(chǎn)生生的影響，，最終可以以選擇適當(dāng)當(dāng)?shù)姆椒▽︼L(fēng)險進行行有效管理理?！栋踩L(fēng)險險評估與處處置建議報報告》安全風(fēng)險評評估表示例資產(chǎn)定義及及估值確定現(xiàn)有控控制威脅評估確定風(fēng)險水水平風(fēng)險評估過過程脆弱性評估估安全控制措措施的識別別與選擇降低風(fēng)險風(fēng)險管理過過程接受風(fēng)險電子政務(wù)風(fēng)風(fēng)險評估案案例IT流程風(fēng)險評評估信息安全不不僅僅要看看IT資產(chǎn)本身是是否安全可可靠，而且且還應(yīng)當(dāng)在在其所運行行的環(huán)境和和經(jīng)歷的流流程中保證證安全。沒有可靠的的IT流程的保證證，靜態(tài)的的安全是不不可靠的，，而且IT的風(fēng)險也不不僅僅是信信息安全的的問題，IT的效率與效效果也同樣樣是需要考考慮的問題題，因此評評估IT流程的績效效特性并加加以完善是是風(fēng)險控制制中必不可可少的內(nèi)容容?！禝T相關(guān)業(yè)務(wù)流流程風(fēng)險評評估與處置置建議報告告》確定風(fēng)險控控制策略風(fēng)險控制策策略舉例六、信息安安全控制規(guī)規(guī)劃選擇安全控控制措施風(fēng)險控制措措施防止商業(yè)活活動中斷和和災(zāi)難事故故的影響。。業(yè)務(wù)持續(xù)性性管理信息安全事事件管理保證系統(tǒng)開開發(fā)與維護護的安全系統(tǒng)開發(fā)與與維護控制對業(yè)務(wù)務(wù)信息的訪訪問。訪問控制保證通訊和和操作設(shè)備備的正確和和安全維護護。通信與運營營管理防止對關(guān)于于IT服務(wù)的未經(jīng)經(jīng)許可的介介入，損傷傷和干擾服服務(wù)。物理與環(huán)境境安全減少人為造造成的風(fēng)險險。人員安全維護組織資資產(chǎn)的適當(dāng)當(dāng)保護系統(tǒng)統(tǒng)。資產(chǎn)管理建立組織內(nèi)內(nèi)的管理體體系以便安安全管理。。安全組織為信息安全全提供管理理方向和支支持。安全方針目的ISO27001十一個域避免任何違違反法令、、法規(guī)、合合同約定及及其他安全全要求的行行為。符合性確保保與與信信息息系系統(tǒng)統(tǒng)有有關(guān)關(guān)的的安安全全事事件件和和弱弱點點的的溝溝通通能能夠夠及及時時采采取取糾糾正正措措施施進行行安安全全控控制制規(guī)規(guī)劃劃安全全規(guī)規(guī)劃劃針針對對組組織織面面臨臨的的主主要要安安全全風(fēng)風(fēng)險險，，在在安安全全管管理理控控制制框框架架和和安安全全技技術(shù)術(shù)控控制制框框架架方方面面進進行行較較為為詳詳盡盡的的規(guī)規(guī)劃劃。。安全全規(guī)規(guī)劃劃對對組組織織未未來來幾幾年年的的網(wǎng)網(wǎng)絡(luò)絡(luò)架架構(gòu)構(gòu)、、威威脅脅防防護護、、策策略略、、組組織織、、運運行行等等方方面面的的安安全全，，進進行行設(shè)設(shè)計計、、改改進進和和加加強強，，是是進進行行安安全全建建設(shè)設(shè)的的總總體體指指導(dǎo)導(dǎo)。。序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全全規(guī)規(guī)劃劃方方法法《信息息安安全全實實施施總總體體規(guī)規(guī)劃劃報報告告》《信息息安安全全實實施施總總體體規(guī)規(guī)劃劃圖圖表表》安全全預(yù)預(yù)算算計計劃劃所以以安安全全預(yù)預(yù)算算計計劃劃是是一一項項具具有有挑挑戰(zhàn)戰(zhàn)性性的的工工作作，，要要采采用用““適適度度防防范范””的的原原則則，，把把有有限限的的資資金金用用在在刀刀刃刃上上。。一般般來來說說，，沒沒有有特特別別的的需需要要，，為為信信息息安安全全的的投投入入不不應(yīng)應(yīng)超超過過信信息息化化建建設(shè)設(shè)總總投投資資額額的的20%，過過高高的的安安全全成成本本將將使使安安全全失失去去意意義義。。投資資回回報報計計劃劃信息息安安全全投投資資回回報報計計劃劃就就是是要要研研究究信信息息安安全全的的成成本本效效益益，，其其成成本本效效益益組組成成如如下下：：從系系統(tǒng)統(tǒng)生生命命周周期期看看信信息息安安全全的的成成本本：：獲獲取取成成本本和和運運行行成成本本從安安全全防防護護手手段段看看信信息息安安全全的的成成本本：：技技術(shù)術(shù)成成本本和和管管理理成成本本信息息安安全全的的價價值值效效益益：：減減少少信信息息安安全全事事故故的的經(jīng)經(jīng)濟濟損損失失信息息安安全全的的非非價價值值效效益益：：增增加加聲聲譽譽、、提提升升品品牌牌價價值值信息息安安全全體體系系模模型型的的演演變變ISO7498-2(GB/T9387.2－1995)PDR模型型PDRR安全全模模型型(P2DR2)IATF信息息保保障障技技術(shù)術(shù)框框架架信息息安安全全管管理理體體系系ISMS七、、建建立立信信息息安安全全管管理理體體系系人們們逐逐漸漸認認識識到到安安全全管管理理的的重重要要性性，，作作為為信信息息安安全全建建設(shè)設(shè)藍藍圖圖的的安安全全體體系系就就應(yīng)應(yīng)該該顧顧及及安安全全管管理理的的內(nèi)內(nèi)容容。。信息息安安全全管管理理體體系系的的定定義義信息息安安全全管管理理體體系系（（ISMS：InformationSecurityManagementSystem）是是組組織織在在整整體體或或特特定定范范圍圍內(nèi)內(nèi)建建立立的的信信息息安安全全方方針針和和目目標(biāo)標(biāo)，，以以及及完完成成這這些些目目標(biāo)標(biāo)所所用用的的方方法法和和體體系系。。ISMS相對對應(yīng)應(yīng)的的BS7799標(biāo)準(zhǔn)準(zhǔn)在在國國際際上上得得到到了了廣廣泛泛的的應(yīng)應(yīng)用用，，目目前前引引標(biāo)標(biāo)準(zhǔn)準(zhǔn)已已被被采采納納為為國國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)ISO17799:2005ISO27001:2005。在ISO17799中信信息息安安全全主主要要指指信信息息的的機機密密性性(Confidentiality)、完完整整性性(Integrity)和可可用用性性(Availability)的保保持持。。用木木桶桶原原理理說說明明ISMSISMS“木桶桶”由哪哪些些“板”組成成？？類似似于于質(zhì)質(zhì)量量管管理理體體系系的的ISO9000標(biāo)準(zhǔn)準(zhǔn)，，ISMS也有有相相應(yīng)應(yīng)的的國國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)ISO27001，它它確確定定了了ISMS的11個安安全全領(lǐng)領(lǐng)域域及及133個相相應(yīng)應(yīng)的的控控制制措措施施。。ISO17799及ISO27001的內(nèi)內(nèi)容容ISO17799:2005信息息安安全全管管理理實實施施規(guī)規(guī)范范，，主主要要是是給給負負責(zé)責(zé)開開發(fā)發(fā)的的人人員員作作為為參參考考文文檔檔使使用用，，從從而而在在組組織織中中實實施施和和維維護護信信息息安安全全；；ISO27001:2005信息息安安全全管管理理體體系系規(guī)規(guī)范范，，詳詳細細說說明明了了建建立立、、實實施施和和維維護護信信息息安安全全管管理理系系統(tǒng)統(tǒng)的的要要求求，，指指出出實實施施組組織織需需要要通通過過風(fēng)風(fēng)險險評評估估來來鑒鑒定定最最適適宜宜的的控控制制對對象象，，并并對對自自己己的的需需求求采采取取適適當(dāng)當(dāng)?shù)牡目乜刂浦啤?。獲得得BS7799和ISO27001認證證的的組組織織ISO17799信息息安安全全BS15000IT服務(wù)務(wù)管管理理職業(yè)業(yè)安安全全健健康康管管理理體體系系指指導(dǎo)導(dǎo)意意見見OHSAS18000財務(wù)務(wù)管管理理體體系系BS8600客戶戶滿滿意意管理理體體系系Finance財務(wù)務(wù)管管理理質(zhì)量量管管理理業(yè)務(wù)務(wù)管管理理IT信息息管管理理人力力資資源源環(huán)境境管管理理ISO100015培訓(xùn)訓(xùn)體體系系人力力資資源源管管理理體體系系ISO9000市場場/客客戶戶滿滿意管管理理ISO14001綜合合管管理理體體系系職業(yè)業(yè)安全全戰(zhàn)略略和和投投資資管管理理戰(zhàn)略略和和投投資資管管理理體體系系行業(yè)業(yè)強強制制性性管管理理體體系系及及產(chǎn)產(chǎn)品品認認證證如如QS9000，ISMC，黨務(wù)務(wù)管管理理ISO17799與其其他他標(biāo)標(biāo)準(zhǔn)準(zhǔn)對對比比ISO27001與其其他他標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的融融合合ISMS體系系設(shè)設(shè)計計在組組織織中中要要實實現(xiàn)現(xiàn)信信息息安安全全，，比比較較切切實實可可行行的的第第一一步步的的是是按按照照PDCA的原原則則建建立立信信息息安安全全管管理理體體系系。。如果果沒沒有有一一個個完完整整的的管管理理體體系系和和有有效效的的過過程程來來保保證證組組織織中中的的人人員員能能理理解解他他們們的的安安全全責(zé)責(zé)任任與與義義務(wù)務(wù)，，并并建建立立基基本本的的有有效效的的控控制制措措施施，，那那么么再再好好的的安安全全技技術(shù)術(shù)也也不不能能保保證證組組織織的的信信息息安安全全。。ISMS建設(shè)設(shè)過過程程：：建立立ISMS首先先要要建建立立一一個個合合理理的的信信息息安安全全管管理理框框架架，，要要從從整整體體和和全全局局的的視視角角，，從從信信息息系系統(tǒng)統(tǒng)的的所所有有層層面面進進行行整整體體安安全全建建設(shè)設(shè)從信信息息系系統(tǒng)統(tǒng)本本身身出出發(fā)發(fā)，，通通過過建建立立資資產(chǎn)產(chǎn)清清單單，，進進行行風(fēng)風(fēng)險險分分析析和和需需求求分分析析和和選選擇擇安安全全控控制制等等步步驟驟，，建建立立安安全全體體系系并并提提出出安安全全解解決決方方案案。。體系系運運行行體系系審審核核管理理評評審審體系系認認證證第七七步步第八八步步第九九步步第十十步步運行行說說明明內(nèi)審審報報告告外審審報報告告認證證證證書書ISMS體系系文文件件編編寫寫對ISMS體系系的的設(shè)設(shè)計計首首先先是是以以規(guī)范范化化的的ISMS體系系文文件件的的形形式式表表現(xiàn)現(xiàn)出出來來。。把有有關(guān)關(guān)ISMS的重重要要內(nèi)內(nèi)容容用用文文件件的的形形式式表表述述出出來來，，就就形形成成了了組組織織的的ISMS體系系文文件件。。ISMS體系系文文件件是是實實施施信信息息安安全全管管理理所所必必需需的的結(jié)結(jié)構(gòu)構(gòu)、、規(guī)規(guī)則則、、過過程程和和資資源源等等因因素素所所組組成成的的有有機機總總體體，，有有效效的的信信息息安安全全管管理理需需要要明明確確管管理理的的具具體體目目標(biāo)標(biāo)與與范范圍圍、、流流程程與與活活動動、、人人員員與與職職責(zé)責(zé)、、資資源源與與條條件件等等內(nèi)內(nèi)容容ISMS體系系文文件件的的作作用用保護護信信息息安安全全的的指指南南對信信息息安安全全進進行行審審核核的的依依據(jù)據(jù)安全全管管理理水水平平不不斷斷改改進進的的保保障障促進進安安全全培培訓(xùn)訓(xùn)工工作作的的開開展展ISMS體系系文文檔檔的的組組成成四級級文文件件三級文文件二級文文件一級方針、、策略略文件件ISMS體系文文件規(guī)范、、程序序作業(yè)指指導(dǎo)書書、記記錄、、表單單ISMS的正式式運行行ISMS體系文文件編編制完完成后后，組組織應(yīng)應(yīng)按照照文件件的控控制要要求進進行審審核與與批準(zhǔn)準(zhǔn)并發(fā)發(fā)布實實施，，至此此，信信息安安全管管理體體系將將進入入運行行階段段在試運運行的的基礎(chǔ)礎(chǔ)上，，總結(jié)結(jié)經(jīng)驗驗，進進行認認真的的部署署，選選擇恰恰當(dāng)?shù)牡臅r機機進行行ISMS體系的的正式式運行行。正式運運行前前，需需要領(lǐng)領(lǐng)導(dǎo)層層進行行動員員，并并進行行全員員培訓(xùn)訓(xùn)，簽簽定相相關(guān)協(xié)協(xié)議，，方針針策略略、規(guī)規(guī)章制制度正正式起起用。。只有保保證ISMS持續(xù)運運行，，才能能使ISMS的制度度真正正落到到實處處，使使組織織的安安全狀狀況得得到改改觀。。ISMS體系建建設(shè)案案例“技術(shù)術(shù)防火火墻””的總總體要要求技術(shù)結(jié)結(jié)構(gòu)方方面：完備備的安安全技技術(shù)防防御系系統(tǒng)應(yīng)應(yīng)該具具備評評估，，保護護，檢檢測，，反應(yīng)應(yīng)和恢恢復(fù)的的五種種技術(shù)術(shù)能力力。實實現(xiàn)ISO7498-2所定義義的鑒鑒別，，訪問問控制制，數(shù)數(shù)據(jù)完完整性性，數(shù)數(shù)據(jù)保保密性性，抗抗抵賴賴五類類安全全功能能。技術(shù)產(chǎn)產(chǎn)品方方面：綜合合利用用商用用密碼碼、防防火墻墻、防防病毒毒、身身份識識別、、網(wǎng)絡(luò)絡(luò)隔離離、可可信服服務(wù)、、安全全服務(wù)務(wù)、備備份恢恢復(fù)、、PKI服務(wù)、、取證證、網(wǎng)網(wǎng)絡(luò)入入侵陷陷阱、、主動動反擊擊等多多種技技術(shù)與與產(chǎn)品品來保保證企企業(yè)的的信息息系統(tǒng)統(tǒng)的機機密性性、完完整性性和可可靠性性。集中管管理方方面：實現(xiàn)現(xiàn)集成成化安安全管管理和和安全全信息息共享享機制制，以以集中中管理理安全全控制制、安安全策策略、、安全全配置置、安安全事事件審審計、、安全全事故故應(yīng)急急響應(yīng)應(yīng)，可可管理理的安安全才才是真真正意意義上上的安安全。。災(zāi)難恢恢復(fù)與與業(yè)務(wù)務(wù)持續(xù)續(xù)性方方面：對于于突發(fā)發(fā)性的的重大大災(zāi)難難，日日常安安全控控制措措施不不再起起作用用，此此時要要采取取適當(dāng)當(dāng)和有有效的的措施施來減減輕相相關(guān)威威脅實實際發(fā)發(fā)生時時所帶帶來的的破壞壞后果果，這這是組組織信信息安安全的的最后后一道道防線線。八、建建立“技術(shù)防防火墻墻”“技術(shù)術(shù)防火火墻””的實實現(xiàn)框框架信息安安全框框架可可通過過基礎(chǔ)礎(chǔ)技術(shù)術(shù)系統(tǒng)統(tǒng)、安安全運運維管管理系系統(tǒng)、、應(yīng)用用支撐撐系統(tǒng)統(tǒng)來實實現(xiàn)，，其最最終目目的是是保證證應(yīng)用用系統(tǒng)統(tǒng)和數(shù)數(shù)據(jù)的的安全全?；A(chǔ)技技術(shù)系系統(tǒng)安全防防護系系統(tǒng)應(yīng)用支支撐系系統(tǒng)安全運維管理系統(tǒng)基礎(chǔ)技技術(shù)系系統(tǒng)縱深防防御架架構(gòu)可信網(wǎng)網(wǎng)和不不可信信網(wǎng)要要物理理層隔隔斷，，網(wǎng)絡(luò)絡(luò)邏輯輯連接接要割割斷，，應(yīng)用用數(shù)據(jù)據(jù)要凈凈化，，不可可信網(wǎng)網(wǎng)絡(luò)上上的計計算機機不能能直接接到達達可信信網(wǎng)絡(luò)絡(luò)。使用““應(yīng)用用分層層、服服務(wù)分分區(qū)、、安全全分級級”的的思路路，指指導(dǎo)網(wǎng)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)化化建設(shè)設(shè)，根根據(jù)應(yīng)應(yīng)用類類型、、物理理位置置、邏邏輯位位置等等的不不同，，劃分分不同同的網(wǎng)網(wǎng)絡(luò)安安全區(qū)區(qū)域和和邊界界。IATF安全域域安全基基礎(chǔ)設(shè)設(shè)施一個為為整個個安全全體系系提供供安全全服務(wù)務(wù)的基基礎(chǔ)性性平臺臺，為為應(yīng)用用系統(tǒng)統(tǒng)和安安全支支撐平平臺提提供包包括數(shù)數(shù)據(jù)完完整性性、真真實性性、可可用性性、不不可抵抵賴性性和機機密性性在內(nèi)內(nèi)的安安全服服務(wù)。。包括括：數(shù)字證證書認認證體體系（（CA/PKI）密鑰管管理基基礎(chǔ)設(shè)設(shè)施（（KMI）授權(quán)管管理基基礎(chǔ)設(shè)設(shè)施（（AA/PMI）災(zāi)難恢恢復(fù)及及業(yè)務(wù)務(wù)連續(xù)續(xù)性基基礎(chǔ)設(shè)設(shè)施（（DRI/BCP）CARA證書認認證中中心注冊授授權(quán)機機構(gòu)Internet或?qū)＞W(wǎng)網(wǎng)申請證證書應(yīng)用系系統(tǒng)用戶終終端使用證證書訪問鑒別證書鑒鑒別與與訪問控控制系系統(tǒng)LDAP數(shù)字證證書證書查查詢服服務(wù)利用PKI數(shù)字證證書進進行訪訪問控控制用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫庫服務(wù)訪問他是誰誰？有什么么權(quán)限限？認證系系統(tǒng)授權(quán)系系統(tǒng)用戶認證證書用戶權(quán)限證書設(shè)備認證證書設(shè)備認證證書軟件認證證書PKI與PMI的應(yīng)用用：安安全認認證與與授權(quán)權(quán)安全防防護系系統(tǒng)網(wǎng)絡(luò)安安全控控制采采用入入侵檢檢測、、漏洞洞掃描描、病病毒防防治、、防火火墻、、網(wǎng)絡(luò)絡(luò)隔離離、安安全虛虛擬專專網(wǎng)（（VPN）等成成熟技技術(shù)，，利用用物理理環(huán)境境保護護、邊邊界保保護、、系統(tǒng)統(tǒng)加固固、節(jié)節(jié)點數(shù)數(shù)據(jù)保保護、、數(shù)據(jù)據(jù)傳輸輸保護護等手手段，，通過過對網(wǎng)網(wǎng)絡(luò)的的安全全防護護的統(tǒng)統(tǒng)一設(shè)設(shè)計和和統(tǒng)一一配置置，實實現(xiàn)全全系統(tǒng)統(tǒng)統(tǒng)一一、高高效、、可靠靠的網(wǎng)網(wǎng)絡(luò)安安全防防護。。省級局域網(wǎng)上級級接接口口下級級接接口口橫向接口互聯(lián)網(wǎng)接口加密密機機：：保保護護離離開開局局域域網(wǎng)網(wǎng)的的信信息息安安全全，，同同時時防防止止非非法法接接入入。。防火火墻墻：：防防止止來來自自總總部部內(nèi)內(nèi)部部的的攻攻擊擊。。防火火墻墻：：防防止止來來自自外外部部的的攻攻擊擊。。防火火墻墻：：即即防防止止來來自自外外部部的的攻攻擊擊，，也也要要防防止止來來自自地地市市局局的的內(nèi)內(nèi)部部攻攻擊擊。。入侵侵檢檢測測：：發(fā)發(fā)現(xiàn)現(xiàn)非非法法入入侵侵行行為為。。防病病毒毒網(wǎng)網(wǎng)關(guān)關(guān)：：防防止止外外部部病病毒毒入入侵侵。。防非非法法外外聯(lián)聯(lián)：：堵堵住住非非法法網(wǎng)網(wǎng)絡(luò)絡(luò)接接口口。。系統(tǒng)統(tǒng)加加固固：：設(shè)設(shè)置置運運行行環(huán)環(huán)境境的的最最后后一一道道防防線線。。（（網(wǎng)網(wǎng)絡(luò)絡(luò)及及主主機機操操作作系系統(tǒng)統(tǒng)、、數(shù)數(shù)據(jù)據(jù)庫庫、、應(yīng)應(yīng)用用平平臺臺的的加加固固））安全邊界網(wǎng)絡(luò)絡(luò)行行為為審審計計：：加加強強網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全管管理理，，追追查查安安全全事事件件。。構(gòu)造造網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全邊邊界界入侵侵檢檢測測組織織中中心心備份份中中心心二級級部部門門三級級部部門門四級級部部門門線路路密密碼碼機機防火火墻墻防病病毒毒網(wǎng)網(wǎng)關(guān)關(guān)防非非法法外外聯(lián)聯(lián)網(wǎng)絡(luò)絡(luò)行行為為審審計計操作作系系統(tǒng)統(tǒng)加加固固高安安全全區(qū)區(qū)域域安全全防防護護系系統(tǒng)統(tǒng)的的層層次次終端端安安全全控控制制由于于普普通通用用戶戶缺缺乏乏應(yīng)應(yīng)有有的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全常常識識，，通通過過瀏瀏覽覽隱隱藏藏惡惡意意代代碼碼的的網(wǎng)網(wǎng)站站，，下下載載有有木木馬馬的的軟軟件件到到內(nèi)內(nèi)部部網(wǎng)網(wǎng)運運行行，，打打開開郵郵件件中中不不明明來來歷歷的的附附件件等等給給組組織織的的內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)帶帶來來的的極極大大的的危危害害，，終終端端用用戶戶觸觸發(fā)發(fā)產(chǎn)產(chǎn)生生的的安安全全事事件件逐逐漸漸成成為為企企業(yè)業(yè)IT安全全問問題題的的主主要要原原因因。。應(yīng)用用支支撐撐系系統(tǒng)統(tǒng)應(yīng)用用支支撐撐系系統(tǒng)統(tǒng)構(gòu)構(gòu)建建在在基基礎(chǔ)礎(chǔ)技技術(shù)術(shù)系系統(tǒng)統(tǒng)的的基基礎(chǔ)礎(chǔ)上上，，利利用用安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施提提供供的的基基于于PKI/PMI/KMI技術(shù)術(shù)的的安安全全服服務(wù)務(wù)；；采用用安安全全中中間間件件及及一一站站式式服服務(wù)務(wù)理理論論和和技技術(shù)術(shù)，，實實現(xiàn)現(xiàn)包包括括安安全全門門戶戶、、安安全全認認證證和和訪訪問問控控制制、、數(shù)數(shù)據(jù)據(jù)安安全全傳傳輸輸、、數(shù)數(shù)據(jù)據(jù)保保密密、、完完整整性性保保護護、、真真實實性性保保護護等等應(yīng)應(yīng)用用安安全全功功能能和和服服務(wù)務(wù)，，支支持持面面向向組組織織和和各各類類專專網(wǎng)網(wǎng)和和互互連連網(wǎng)網(wǎng)的的各各類類安安全全應(yīng)應(yīng)用用，，是是安安全全應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)所所依依托托的的主主要要安安全全平平臺臺。。應(yīng)用用系系統(tǒng)統(tǒng)常常見見安安全全方方案案業(yè)務(wù)務(wù)系系統(tǒng)統(tǒng)本本身身必必須須能能夠夠準(zhǔn)準(zhǔn)確確地地識識別別使使用用者者的的真真實實身身份份，，防防止止與與業(yè)業(yè)務(wù)務(wù)無無關(guān)關(guān)的的人人員員非非法法使使用用系系統(tǒng)統(tǒng)。。解決方案案:使用統(tǒng)一一的身份份認證證證書業(yè)務(wù)系統(tǒng)統(tǒng)本身必必須能夠夠?qū)ψ约杭旱馁Y源源進行控控制，能能夠動動態(tài)地分分配權(quán)限限，控制制使用者者的操作作行為，，防止越越崗位操操作或越越權(quán)限操操作。解決方案案:基于角色色的訪問問控制業(yè)務(wù)系統(tǒng)統(tǒng)本身必必須能夠夠?qū)?shù)據(jù)據(jù)或文件件進行保保護，防防止由于于數(shù)據(jù)的的安全得得不到保保證而失失去業(yè)務(wù)務(wù)系統(tǒng)本本身的可可用性。。解決方案案:基于密碼碼業(yè)務(wù)系統(tǒng)統(tǒng)本身必必須能夠夠?qū)Σ僮髯髡咝袨闉檫M行跟跟蹤、記記錄、統(tǒng)統(tǒng)計和審審計，及及時發(fā)現(xiàn)現(xiàn)工作中中出現(xiàn)的的問題，，使系統(tǒng)統(tǒng)可管理理，事件件可追查查。解決方案案:日志與安安全事件件審計在電子商商務(wù)或電電子政務(wù)務(wù)環(huán)境下下，需要要利用身身份證書書對主要要核心業(yè)業(yè)務(wù)與交交易的憑憑證進行行數(shù)字簽簽名，以以保證重重要對已已完成的的業(yè)務(wù)與與交易的的無否定定性。解決方案案:基于數(shù)字字簽名安全運維維系統(tǒng)安全運維維管理系系統(tǒng)對整整個安全全系統(tǒng)起起管理、、監(jiān)控、、調(diào)度和和應(yīng)急報報警等作作用，負負責(zé)對全全網(wǎng)絡(luò)安安全防護護設(shè)備進進行管理理，為各各個應(yīng)用用系統(tǒng)提提供安全全管理接接口，對對需要特特別關(guān)注注的應(yīng)用用系統(tǒng)進進行應(yīng)用用審計。。安全運維維管理系系統(tǒng)通過過建立安安全運維維管理中中心（SOC）對組織織的安全全技術(shù)與與流程進進行集中中式的管管理。什么是人人力防火火墻在信息安安全的所所有相關(guān)關(guān)因素中中，人是是最活躍躍的因素素，人的的行為是是信息安安全保障障最主要要的方面面。組織織相關(guān)人人員特別別是內(nèi)部部員工既既可以是是對信息息系統(tǒng)的的最大潛潛在威脅脅，也可可以是最最可靠的的安全防防線。我我們把信信息安全全中對人人的有效效管理稱稱為“人人力防火火墻”。。通過建立立“人力力防火墻墻”，不不僅建立立起一套套有效的的管理體體系，而而且還能能形成““信息安安全，人人人有責(zé)責(zé)”的企企業(yè)文化化氛圍，，從而使使員工成成為企業(yè)業(yè)信息安安全的一一道“最最可靠防防線”，，實現(xiàn)組組織信息息系統(tǒng)的的長治久久安。八、建立立“人力防火火墻”建立人力力防火墻墻的過程程得到組織織最高管管理層的的支持得到高層層管理人人員的認認同和承承諾有兩兩個作用用一是相相應(yīng)的安安全方針針政策、、控制措措施可以以在組織織的上上上下下得得到有效效的貫徹徹；二是可以以得到有有效的資資源保證證，比如如實施有有效安全全過程的的必要的的資金與與人力資資源的支支持，及及跨部門門之間的的協(xié)調(diào)問問題都必必須由高高層管理理人員來來推動。。建立信息息安全組組織，明明確角色色與責(zé)任任安全角色色與責(zé)任任的不明明確是實實施信息息安全過過程中的的最大障障礙，建建立安全全組織與與落實責(zé)責(zé)任是實實施信息息安全管管理的第第一步。。信息安全全指導(dǎo)委委員會信息安全全主管為為核心的的、專業(yè)業(yè)的信息息安全管管理的隊隊伍把相應(yīng)的的安全責(zé)責(zé)任落實實到每一一個員工工身上員工ISMS職責(zé)表ISMS文件與工工作人員員矩陣信息安全全管理員員職責(zé)矩矩陣、工作流程程制定計劃劃行動計劃劃主要有有：信息安全全政策制制訂與實實施與信息安安全相關(guān)關(guān)的人力力資源政政策的制制訂安全事件件響應(yīng)計計劃監(jiān)控日常常安全事事務(wù)及員員工對安安全政策策的遵循循業(yè)務(wù)連續(xù)續(xù)性計劃劃及災(zāi)難難恢復(fù)計計劃安全教育育計劃建設(shè)企業(yè)業(yè)安全文文化預(yù)算計劃劃有足夠資資金支持持的計劃劃才是切切實可行行的計劃劃，才能能有效地地落實信信息安全全所需要要的人、、財、物物等資源源的配置置。預(yù)算計劃劃一定要要合理，，過高的的安全預(yù)預(yù)算會使使安全失失去意義義，最好好是結(jié)合合投資回回報分析析。制定信息息系統(tǒng)安安全政策策信息系統(tǒng)統(tǒng)安全政政策就是是為防止止信息資資產(chǎn)意外外損失及及被有意意濫用而而制訂的的規(guī)則，，這些政政策是應(yīng)應(yīng)該涵蓋蓋組織中中生成、、加工、、使用、、儲存信信息的各各個方面面，并符符合ISO27001對信息系系統(tǒng)安全全的要求求。信息安全全政策要要符合組組織的業(yè)業(yè)務(wù)目標(biāo)標(biāo)及特定定的環(huán)境境要求，，并使之之被每個個員工所所理解和和執(zhí)行，，這是實實施信息息安全的的重要環(huán)環(huán)節(jié)，是是建立人人力防火火墻的政政策依據(jù)據(jù)。人力資源源政策因此除了了技術(shù)的的控制手手段外，，要制定定合適的的人力資資源政策策，加強強對“人人”的管管理，對對潛在的的安全入入侵者也也是一種種威懾及及懲戒措措施，這這是建立立人力防防火墻的的有效控控制手段段。人力資源源管理在在信息安安全的管管理中充充分十分分重要的的作用，，信息安安全管理理人員要要與人務(wù)務(wù)資源管管理人員員密切合合作，協(xié)協(xié)同作戰(zhàn)戰(zhàn)，才能能實現(xiàn)信信息安全全中對““人”的的有效管管理。人力資源源政策舉舉例實施安全全教育計計劃要制定各各種不同同范圍、、不同層層次的安安全教育育計劃。。完備的安安全教育育計劃可可以提高高員工的的安全意意識與技技能，改改變他們們對待安安全事件件的態(tài)度度，使他他們具有有一定的的安全保保護技能能，以更更好地保保護組織織的信息息資產(chǎn)。。好的安全全教育計計劃應(yīng)該該讓員工工知道組組織的信信息安全全面臨的的威脅及及信息安安全事件件帶來的的后果，，使員工工切身感感覺到安安全事件件與自己己息息相相關(guān)。信息安全全教育內(nèi)內(nèi)容ISO27001培訓(xùn)計劃劃舉例制定安全全事件響響應(yīng)機制制組織應(yīng)明確確出現(xiàn)事故故、故障和和薄弱點的的有關(guān)部門門的責(zé)任，，并根據(jù)安安全事故與與故障的反反應(yīng)過程建建立一個報報告、反應(yīng)應(yīng)、評價和和懲戒的機機制，這也也可稱為人人力防火墻墻的反應(yīng)機機制。目的是把安安全事件的的損害降到到最低的程程度，追蹤蹤并從事件件中吸取教教訓(xùn)。安全事件報報告程序營造組織信信息安全文文化信息安全文文化從屬于于組織文化化，倡導(dǎo)良良好的組織織信息安全全文化就是是要在組織織中形成團團隊共同的的態(tài)度、認認識和價值值觀，形成成規(guī)范的思思維和行為為模式，最最終轉(zhuǎn)化為為行動，實實現(xiàn)組織信信息安全目目標(biāo)。人的的這種對安安全價值的的認識以及及使自己的的一舉一動動符合安全全的行為規(guī)規(guī)范的表現(xiàn)現(xiàn)，正是所所謂的“安安全修養(yǎng)””。如果一個組組織建立起起濃厚的安安全文化環(huán)環(huán)境，不論論決策層、、管理層還還是一般員員工，都會會在安全文文化的約束束下規(guī)范自自己的行為為，安全文文化就像一一支看不見見的手，凡凡是不安全全的行為都都會被這支支手拉回到到安全操作作的軌道上上來。信息安全文文化的三個個階段檢查與審計計的內(nèi)容對于安全框框架是否已已有效的建建立起來，，技術(shù)防火火墻、人力力防火墻及及IT流程控制框框架能否起起到了應(yīng)有有的作用，組織可以以通過定期期的自我檢檢查或獨立立的審核來來驗證安全全控制措施施的有效性性，并對發(fā)發(fā)現(xiàn)的問題題采取有效效的糾正措措施并實施施，對糾正正措施實施施的結(jié)果進進行驗證。。安全檢查工工作一般由由信息安全全管理部門門來負責(zé)實實施，經(jīng)常常性的檢查查，有利于于落實信息息安全方針針與策略，，及時發(fā)現(xiàn)現(xiàn)信息安全全在技術(shù)、、人員及流流程方面存存在的隱患患，也有利利于提高員員工安全意意識，保證證業(yè)務(wù)的持持續(xù)運行。。審核工作是是審計機構(gòu)構(gòu)對組織的的信息安全全控制措施施是否完備備所做的鑒鑒證過程。。利用審核核機制進行行獨立的體體系審核是是一種強有有力的監(jiān)督督機制?？煽梢杂山M織織的內(nèi)部稽稽核部門階階段性地組組建立審核核組，培訓(xùn)訓(xùn)審核員，，有效地管管理在組織織中開展的的信息安全全審核工作作，也可外外聘的第三三方審計機機構(gòu)對組織織進行外部部審計。九、對安全全的檢查與與審計檢查的步驟驟信息安全管管理部門根根據(jù)檢查的的需要組成成信息安全全檢查小組組，定期或或不定期地地對組織的的信息安全全管理措施施、技術(shù)措措施的落實實情況進行行檢查。檢查小組根根據(jù)組織的的信息安全全方針、策策略及程序序要求，編編寫各類安安全檢查列列表，進行行符合性檢檢查。檢查小組在在符合性檢檢查的基礎(chǔ)礎(chǔ)上，進行行網(wǎng)絡(luò)掃描描、口令破破解、流量量分析、日日志檢查等等實質(zhì)性測測試；在適適當(dāng)?shù)臈l件件下可以進進行滲透測測試。對檢查的內(nèi)內(nèi)容進行分分析與整理理，編寫信信息安全檢檢查報告。。審計的步驟驟信息安全在在每次檢查查審計前，，由管理層層任命適當(dāng)當(dāng)資質(zhì)的合合適人選組組成審計小小組，審計計小組由2名或以上人人員組成，，包括但不不限于稽核核審計部的的內(nèi)審員，，并由管理理層指定內(nèi)內(nèi)審組長。。內(nèi)審小組負負責(zé)編寫本本次內(nèi)審的的《內(nèi)部審計方方案》，其內(nèi)容一一般為:被審部門、、審計時間間、內(nèi)容、、范圍、審審計依據(jù)、、目的、方方法；內(nèi)審審小組成員員及其分工工；審計活活動日程安安排?！秲?nèi)部審計方方案》經(jīng)批準(zhǔn)后，，至少提前前二周通知知被審計部部門，以便便被審計部部門有充分分時間進行行內(nèi)審，若若被審計部部門對時間間等安排有有異議時，，應(yīng)在三天天內(nèi)通知內(nèi)內(nèi)審小組協(xié)協(xié)商調(diào)整具具體安排；；內(nèi)審小組在在完成了全全部的審計計準(zhǔn)備工作作后，就可可按預(yù)先約約定的日期期和時間實實施審計。。內(nèi)部審計計實施可劃劃分為首次次會議、現(xiàn)現(xiàn)場審計和和末次會議議三個階段段進行。AnyQuestion?陳偉，CIOtimes高級咨詢顧顧問，國際際注冊信息息系統(tǒng)審計計師(CISA)，BS7799主任審核員員，國際信信息系統(tǒng)審審計與控制制協(xié)會會員員，管理信信息系統(tǒng)碩碩士。在IT行業(yè)系統(tǒng)集集成、軟件件開發(fā)、信信息安全與與控制領(lǐng)域域有十五年年工作經(jīng)驗驗，精通網(wǎng)網(wǎng)絡(luò)技術(shù)、、軟件開發(fā)發(fā)技術(shù)、信信息安全技技術(shù)，長期期從事企業(yè)業(yè)信息化建建設(shè)，對國國內(nèi)大中型型企業(yè)的計計算機網(wǎng)絡(luò)絡(luò)、應(yīng)用系系統(tǒng)、安全全系統(tǒng)的規(guī)規(guī)劃、設(shè)計計、實施有有較豐富的的經(jīng)驗。目前的工作作專業(yè)領(lǐng)域域集中于IT管理控制領(lǐng)領(lǐng)域(ISO27001、ITIL、COBIT)理論與方法法研究，并并為深圳