信息系統(tǒng)安全集成第3章

1信息系統(tǒng)安全集成確定安全需求與目標(biāo)現(xiàn)在是1頁\一共有77頁\編輯于星期五2本章摘要

本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務(wù)特征、法律法規(guī)及合同要求，在充分考慮風(fēng)險的基礎(chǔ)上，確定組織的安全需求和目標(biāo)，形成各方認(rèn)可的安全需求文件。摘要現(xiàn)在是2頁\一共有77頁\編輯于星期五主要內(nèi)容一、概述二、組織IT戰(zhàn)略與安全需求三、組織業(yè)務(wù)與安全需求四、符合性的安全需求五、基于風(fēng)險的安全要求六、確定組織的安全需求七、確定信息安全目標(biāo)現(xiàn)在是3頁\一共有77頁\編輯于星期五4一、概述1.組織與信息安全需求從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷崿F(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)合而成的集體或團(tuán)體，如黨團(tuán)組織、工會組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運用于社會管理之中。組織概述現(xiàn)在是4頁\一共有77頁\編輯于星期五5一、概述1.組織與信息安全需求現(xiàn)代社會組織定義在現(xiàn)代社會生活中．組織是人們按照一定的目的、任務(wù)和形式編制起來的社會集團(tuán)。組織是體現(xiàn)一定社會關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實現(xiàn)其目標(biāo)的集合體。組織概述現(xiàn)在是5頁\一共有77頁\編輯于星期五6一、概述1.組織與信息安全需求組織安全需求--組織需要保護(hù)什么？信息安全的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個組織業(yè)務(wù)并符合法律法規(guī)、安全監(jiān)管要求、合同業(yè)務(wù)要求等，提出復(fù)合組織的基于風(fēng)險管理的安全需求。組織應(yīng)該將信息安全集成到業(yè)務(wù)運作的每一個層面?，F(xiàn)在是6頁\一共有77頁\編輯于星期五7一、概述1.組織與信息安全需求組織安全需求分析的層次需求分析的層次：目標(biāo)性需求，定義了整個系統(tǒng)需要達(dá)到的目標(biāo)；功能性需求，定義了整個系統(tǒng)必須完成的任務(wù)；操作性需求，定義了完成每個任務(wù)的具體的人機(jī)交互.現(xiàn)在是7頁\一共有77頁\編輯于星期五8一、概述1.組織與信息安全需求組織安全需求挖掘的方法挖掘需求的方法：分析特定客戶的業(yè)務(wù)流程和模型;與特定客戶進(jìn)行討論與交流(或聯(lián)合成立需求組)，包括：需求討論會,與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等.現(xiàn)在是8頁\一共有77頁\編輯于星期五9一、概述1.組織與信息安全需求組織安全需求分析的方法—風(fēng)險評估法安全需求分析的方法：資產(chǎn)清冊風(fēng)險評估確定風(fēng)險形成需求現(xiàn)在是9頁\一共有77頁\編輯于星期五10一、概述2.組織安全風(fēng)險安全威脅--引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的安全威脅和攻擊破壞。由于組織越來越依靠信息資源，安全事件不斷增長，而安全事件造成的損失以及用于事件處理的財力、人力以及IT資源的投入需要不斷增長?，F(xiàn)在是10頁\一共有77頁\編輯于星期五11一、概述2.組織安全風(fēng)險風(fēng)險是指一個事件產(chǎn)生我們所不希望的后果可能性。組織的風(fēng)險是指組織未來發(fā)生損失的不確定性。這些安全風(fēng)險主要包括了業(yè)務(wù)的連續(xù)性、業(yè)務(wù)流程安全、法律安全要求、合同安全、隱私保護(hù)要求等。組織的風(fēng)險現(xiàn)在是11頁\一共有77頁\編輯于星期五12一、概述3.組織信息安全目標(biāo)根據(jù)國際信息安全管理標(biāo)準(zhǔn)的描述，信息安全的目標(biāo)是“通過防止和減小安全事故的影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化?！毙枰M(jìn)行IT規(guī)劃和費用調(diào)整以保證適當(dāng)?shù)陌踩度?，部署有效的工具，來解決緊迫的安全問題，實現(xiàn)組織的安全目標(biāo)。信息安全的目標(biāo)現(xiàn)在是12頁\一共有77頁\編輯于星期五13二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是指組織對有關(guān)全局性,長遠(yuǎn)性,綱領(lǐng)性目標(biāo)的謀劃和決策.現(xiàn)在是13頁\一共有77頁\編輯于星期五14二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是表明組織如何達(dá)到目標(biāo)，完成使命的整體謀劃,是提出詳細(xì)行動計劃的起點,但它又凌駕于任何特定計劃的各種細(xì)節(jié)之上.戰(zhàn)略反映了管理者對于行動,環(huán)境和業(yè)績之間關(guān)鍵聯(lián)系的理解,用以確保已確定的使命,愿景,價值觀的實現(xiàn)。現(xiàn)在是14頁\一共有77頁\編輯于星期五15二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略IT戰(zhàn)略即信息技術(shù)戰(zhàn)略（ITStrategy）是組織經(jīng)營戰(zhàn)略的有機(jī)組成部分，和財務(wù)戰(zhàn)略、人力資源戰(zhàn)略、運作戰(zhàn)略等一樣，是公司的職能戰(zhàn)略。IT戰(zhàn)是關(guān)于企業(yè)信息技術(shù)職能的目標(biāo)及其實現(xiàn)的總體謀劃。對于大的組織公司而言，子公司或大的業(yè)務(wù)單元也會有其相對獨立的信息技術(shù)戰(zhàn)略?，F(xiàn)在是15頁\一共有77頁\編輯于星期五16二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的部分組成使命（Mission）：闡述信息技術(shù)存在的理由、目的以及在企業(yè)中的作用。遠(yuǎn)景目標(biāo)（Vision）：信息技術(shù)的發(fā)展方向和結(jié)果。中長期目標(biāo)（MediumtoLong-termObjectives）：遠(yuǎn)景目標(biāo)的具體化，即企業(yè)未來2~3年信息技術(shù)發(fā)展的具體目標(biāo)?，F(xiàn)在是16頁\一共有77頁\編輯于星期五17二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的要點戰(zhàn)略要點：是實現(xiàn)上述中長期目標(biāo)的途徑或路線。組織IT戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個方面展開：硬件與組建網(wǎng)絡(luò)與通信應(yīng)用與數(shù)據(jù)組織與人員現(xiàn)在是17頁\一共有77頁\編輯于星期五18二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對象---組織信息資產(chǎn)?，F(xiàn)在是18頁\一共有77頁\編輯于星期五19二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)明確安全保護(hù)的對象，即明確組織信息資產(chǎn)。分析業(yè)務(wù)流程識別關(guān)鍵的業(yè)務(wù)資產(chǎn)確定業(yè)務(wù)資產(chǎn)的安全所有人和責(zé)任人明確安全保護(hù)責(zé)任現(xiàn)在是19頁\一共有77頁\編輯于星期五20二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，幫助組織實施有效的信息資產(chǎn)安全保護(hù)，實現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級和安全責(zé)任人?，F(xiàn)在是20頁\一共有77頁\編輯于星期五21二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括：業(yè)務(wù)應(yīng)用軟件IT基礎(chǔ)設(shè)施（硬件、組件、網(wǎng)絡(luò)通訊等）相關(guān)的數(shù)據(jù)和信息關(guān)鍵業(yè)務(wù)流程和人員其他信息資產(chǎn)。現(xiàn)在是21頁\一共有77頁\編輯于星期五22二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險的評估安全風(fēng)險評估的目的在于定義核心信息資產(chǎn)，并且分析應(yīng)用環(huán)境中可能存在的風(fēng)險。安全風(fēng)險評估是定義安全需求、選擇相應(yīng)對策以及設(shè)計安全系統(tǒng)的基礎(chǔ)。現(xiàn)在是22頁\一共有77頁\編輯于星期五23二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險的評估簡易風(fēng)險評估模型：從風(fēng)險性質(zhì)上,風(fēng)險=威脅+弱點+影響考慮風(fēng)險的影線,風(fēng)險=威脅*弱點*影響風(fēng)險三個要素：威脅--事件或行為,一般來自系統(tǒng)外部,可能在某些地方會影響固有的弱點,造成影響.弱點--系統(tǒng)內(nèi)部考慮之中的弱點,可能在某些地方受到威脅所利用。影響--短期與長期組織影響,威脅碰巧利用弱點。現(xiàn)在是23頁\一共有77頁\編輯于星期五24二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險的評估通過安全風(fēng)險評估，識別關(guān)鍵業(yè)務(wù)資產(chǎn)的安全威脅和風(fēng)險，了解企業(yè)的安全現(xiàn)狀和風(fēng)險水平，分析安全需求和安全改進(jìn)方向。安全需求必須基于風(fēng)險評估，并且應(yīng)該在設(shè)計階段開始前確定?，F(xiàn)在是24頁\一共有77頁\編輯于星期五25二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定組織需要制定與業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略一致的安全戰(zhàn)略，明確企業(yè)的安全建設(shè)目標(biāo)和安全建設(shè)原則。通過風(fēng)險評估了解了組織的安全現(xiàn)狀和風(fēng)險水平，企業(yè)明確了各個層次的安全需求和改進(jìn)方向。信息安全戰(zhàn)略是組織在一定時期內(nèi)的一整套安全決策，這一決策決定了企業(yè)的安全策略和制度、流程、行為和技術(shù)的建設(shè)?，F(xiàn)在是25頁\一共有77頁\編輯于星期五26二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定制定組織信息安全戰(zhàn)略的目標(biāo)：支持組織戰(zhàn)略。平衡的信息安全風(fēng)險。謹(jǐn)慎而有效的信息安全投資。信息安全建設(shè)能夠與業(yè)務(wù)發(fā)展和IT能力建設(shè)同步。促使信息安全成為業(yè)務(wù)發(fā)展的有力驅(qū)動。現(xiàn)在是26頁\一共有77頁\編輯于星期五27二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定基于戰(zhàn)略的信息安全需求的內(nèi)容：范圍需求安全的目標(biāo)需求（可用性、完整性、保密性、不可地耐性等要求）安全的組織需求安全的資源需求安全的管理流程需求（突發(fā)事件與持續(xù)改進(jìn)）后續(xù)展開這些需求。。。?，F(xiàn)在是27頁\一共有77頁\編輯于星期五28三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的分類方法有多種，這里講的組織按組織的目標(biāo)分類，可以把組織分為：

互益組織：如工會、俱樂部、政黨等。工商組織：如工廠、商店、銀行等。服務(wù)組織：如醫(yī)院、學(xué)校、社會機(jī)構(gòu)等。公益組織：如政府機(jī)構(gòu)、研究機(jī)構(gòu)、消防隊等。組織的分類現(xiàn)在是28頁\一共有77頁\編輯于星期五29三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)模型是描述業(yè)務(wù)用例實現(xiàn)的對象模型，它是對業(yè)務(wù)角色和業(yè)務(wù)實體之間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務(wù)的一種抽象?，F(xiàn)在是29頁\一共有77頁\編輯于星期五30三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)流程描述模型刻畫以業(yè)務(wù)表單為中心的應(yīng)用系統(tǒng)業(yè)務(wù)流程，解決其業(yè)務(wù)流程建模中的問題,包括:各類約束的嚴(yán)格描述、權(quán)限表示、流程關(guān)系、流程推進(jìn)過程以及業(yè)務(wù)對象被調(diào)度和執(zhí)行的全過程描述。采用業(yè)務(wù)流程描述模型的業(yè)務(wù)系統(tǒng)更容易擴(kuò)展和維護(hù),能較好地滿足用戶的需求。現(xiàn)在是30頁\一共有77頁\編輯于星期五31三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子---銀行業(yè)務(wù)模型業(yè)務(wù)事件[UML信號事件-指定的激勵表格或文檔]和過程(UML用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

現(xiàn)在是31頁\一共有77頁\編輯于星期五32三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子---銀行業(yè)務(wù)模型Customer：客戶；Teller：出納員；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)庫現(xiàn)在是32頁\一共有77頁\編輯于星期五33三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求業(yè)務(wù)信息資產(chǎn)是企業(yè)信息安全保護(hù)的核心目標(biāo)，因此要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對象。組織需要通過分析業(yè)務(wù)流程，識別關(guān)鍵的業(yè)務(wù)資產(chǎn)，確定業(yè)務(wù)資產(chǎn)的安全所有人和認(rèn)責(zé)人，明確安全保護(hù)責(zé)任。業(yè)務(wù)信息資產(chǎn)安全是組織信息安全保護(hù)的核心現(xiàn)在是33頁\一共有77頁\編輯于星期五34三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求組織業(yè)務(wù)信息資產(chǎn)保護(hù)內(nèi)容在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括業(yè)務(wù)硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)鍵業(yè)務(wù)流程和人員?，F(xiàn)在是34頁\一共有77頁\編輯于星期五35三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求對業(yè)務(wù)相關(guān)信息資產(chǎn)清冊，包括硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務(wù)流程和人員。建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，可以幫助企業(yè)實施有效的信息資產(chǎn)安全保護(hù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級和安全責(zé)任人?，F(xiàn)在是35頁\一共有77頁\編輯于星期五36三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求通過安全風(fēng)險評估，識別關(guān)鍵業(yè)務(wù)信息資產(chǎn)的安全威脅和風(fēng)險，將安全需求列表并排出優(yōu)先級。確定基于業(yè)務(wù)的組織安全需求和安全改進(jìn)方向?，F(xiàn)在是36頁\一共有77頁\編輯于星期五37四、符合性的安全需求1.符合性概述符合性需求的意義為了避免任何違反法律、法令、法定的或者合同的義務(wù)，使信息系統(tǒng)安全集成和運行置于法律、法規(guī)或者合同的約定的要求之下，以避免或減少安全風(fēng)險?，F(xiàn)在是37頁\一共有77頁\編輯于星期五38四、符合性的安全需求1.符合性概述符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)規(guī)范等。符合性要求組織所有行為必須合法，符合相關(guān)的規(guī)章制度及規(guī)則。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)章制度。

符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，如環(huán)境法規(guī)，在某些方面對于整個組織、或整個行業(yè)是類似的。什么是符合性現(xiàn)在是38頁\一共有77頁\編輯于星期五39四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識別識別收集與安全集成有關(guān)的法律法規(guī)并對適應(yīng)性進(jìn)行評價，確定其適用范圍和具體適應(yīng)條款，形成適應(yīng)的法律法規(guī)清單?，F(xiàn)在是39頁\一共有77頁\編輯于星期五40四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識別評估法律法規(guī)復(fù)合性的需要定期評估，保持適應(yīng)的法律、法規(guī)的有效最新版本。法律法規(guī)復(fù)合性的需要定期評價，保持適應(yīng)的法律、法規(guī)的符合性?，F(xiàn)在是40頁\一共有77頁\編輯于星期五41四、符合性的安全需求2.法律法規(guī)要求知識產(chǎn)權(quán)保護(hù)需求嚴(yán)格執(zhí)行國家有關(guān)知識產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版地軟件。這些需要，確定合法獲得軟件的途徑合法；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；列出需要的軟件或未被授權(quán)軟件清單；確保用戶數(shù)不超出允許的上限；嚴(yán)禁員工私自安裝任何軟件?，F(xiàn)在是41頁\一共有77頁\編輯于星期五42四、符合性的安全需求2.法律法規(guī)要求記錄的保護(hù)需求應(yīng)按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存期限并適當(dāng)保護(hù)，防止丟失、損壞和偽造；處理與個人數(shù)據(jù)與信息應(yīng)按照國家法律法規(guī)的規(guī)定和相關(guān)合同約束，對個人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄漏個人信息；將需要保護(hù)記錄和個數(shù)據(jù)與人信息列出清單，并明確保護(hù)要求?，F(xiàn)在是42頁\一共有77頁\編輯于星期五43四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管是為預(yù)防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或管理不善導(dǎo)致信息安全事件的發(fā)生，并保證及時處理由此引起的各類安全事件，減輕或消除信息安全事件造成的經(jīng)濟(jì)損失或信譽損失，確保組織業(yè)務(wù)的連續(xù)性?，F(xiàn)在是43頁\一共有77頁\編輯于星期五44四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管的要求主要分為：國家要求；行業(yè)要求；組織內(nèi)部；其他監(jiān)管要求?，F(xiàn)在是44頁\一共有77頁\編輯于星期五45四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護(hù)管理的要求什么是信息安全等級保護(hù)信息安全等級保護(hù)是指國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置?，F(xiàn)在是45頁\一共有77頁\編輯于星期五46四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護(hù)管理的要求組織對信息和信息系統(tǒng)分等級進(jìn)行保護(hù)的需求：信息安全等級保護(hù)管理要求信息和信息系統(tǒng)分等級進(jìn)行保護(hù)，按組織的利益，社會公眾利益，對國家安全的影響一共分為五級，第一級是最低的，第五級是最高。確定組織是否強制或自愿納入信息安全等級保護(hù)管理，明確納入分級保護(hù)的級別?，F(xiàn)在是46頁\一共有77頁\編輯于星期五47四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護(hù)管理的要求組織對信息系統(tǒng)安全專用產(chǎn)品分等級的需求：信息安全等級保護(hù)管理要求對信息系統(tǒng)安全專用產(chǎn)品分等級進(jìn)行管理，根據(jù)可控性、可靠性、安全性和可監(jiān)督性這四個屬性確定信息系統(tǒng)使用的安全產(chǎn)品等級，各個單位使用的安全產(chǎn)品應(yīng)該是分等級的。定了三級的系統(tǒng)不能使用二級以下的安全產(chǎn)品；確定組織納入分級保護(hù)的級別，明確使用信息安全產(chǎn)品的等級需求?，F(xiàn)在是47頁\一共有77頁\編輯于星期五48四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護(hù)管理的要求組織對所發(fā)生的信息安全事件分等級進(jìn)行響應(yīng)和處置的需求：信息安全等級保護(hù)管理要求，對所發(fā)生的信息安全事件分等級進(jìn)行響應(yīng)和處置，對不同的信息安全事件，由監(jiān)管部門牽頭組織全社會的應(yīng)急響應(yīng)和單位的應(yīng)急響應(yīng)相結(jié)合，最大限度的減輕信息安全事件造成的損失。確定組織納入分級保護(hù)的級別，明確信息安全事件響應(yīng)的等級需求?，F(xiàn)在是48頁\一共有77頁\編輯于星期五49四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部署的物理邊界，應(yīng)用運行的區(qū)域；明確監(jiān)管設(shè)備，包括防火墻、入侵檢測系統(tǒng)、鑒權(quán)系統(tǒng)、服務(wù)器、路由器、交換機(jī)等；現(xiàn)在是49頁\一共有77頁\編輯于星期五50四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：操作系統(tǒng)與應(yīng)用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)及設(shè)備運行域操作日志的監(jiān)管要求；網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計要求，非法、敏感類信息以及克訪問性的適時監(jiān)管要求?，F(xiàn)在是50頁\一共有77頁\編輯于星期五51四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管職責(zé)：內(nèi)部監(jiān)管機(jī)構(gòu)的指定與監(jiān)管責(zé)任的定義，如誰分管，哪個部門承擔(dān)監(jiān)管責(zé)任，對監(jiān)管對象、安全事件處理，上下協(xié)調(diào)等責(zé)任的定義；監(jiān)管人員的監(jiān)管職責(zé)的明確，日常監(jiān)管要求，問題處理方式與報告流程；事件分類及事件處理流程定義?，F(xiàn)在是51頁\一共有77頁\編輯于星期五52四、符合性的安全需求4.

合同業(yè)務(wù)要求合同受到法律保護(hù)：合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律保護(hù)。組織明確雙方合同協(xié)議中對信息安全的要求。組織在合同業(yè)務(wù)中對信息安全的要求現(xiàn)在是52頁\一共有77頁\編輯于星期五53四、符合性的安全需求4.

合同業(yè)務(wù)要求將雙方合同協(xié)議中對信息安全的要求列出作為安全集成中的需求管理；組織也需要明確提出第三方機(jī)構(gòu)及人員的信息安全要求，涉及第三方接觸本組織的信息處理設(shè)備應(yīng)當(dāng)基于正式的合同提出所有的基于信息安全的要求，以便確保符合組織的安全政策和標(biāo)準(zhǔn)。組織在合同業(yè)務(wù)中對信息安全的要求現(xiàn)在是53頁\一共有77頁\編輯于星期五54五、基于風(fēng)險的安全要求1.風(fēng)險管理綜述風(fēng)險的定義風(fēng)險大致有兩種定義：一種定義強調(diào)了風(fēng)險表現(xiàn)為不確定性；而另一種定義則強調(diào)風(fēng)險表現(xiàn)為損失的不確定性。學(xué)術(shù)界對風(fēng)險的內(nèi)涵還沒有統(tǒng)一的定義，由于對風(fēng)險的理解和認(rèn)識程度不同，或?qū)︼L(fēng)險的研究的角度不同，不同的學(xué)者對風(fēng)險概念有著不同的解釋。現(xiàn)在是54頁\一共有77頁\編輯于星期五55五、基于風(fēng)險的安全要求1.風(fēng)險管理綜述信息安全風(fēng)險在信息安全領(lǐng)域來講我們這樣來定義風(fēng)險：風(fēng)險就是發(fā)生損失事件的概率，也可以說是損失發(fā)生的不確定性，即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來損失的可能性?，F(xiàn)在是55頁\一共有77頁\編輯于星期五56五、基于風(fēng)險的安全要求1.風(fēng)險管理綜述風(fēng)險管理風(fēng)險管理是指通過風(fēng)險識別、風(fēng)險評估與分析、風(fēng)險處置、風(fēng)險監(jiān)控等一系列活動來消除或減少風(fēng)險的管理過程。風(fēng)險識別>>風(fēng)險評估與分析>>風(fēng)險處置>>風(fēng)險監(jiān)控現(xiàn)在是56頁\一共有77頁\編輯于星期五57五、基于風(fēng)險的安全要求1.風(fēng)險管理綜述風(fēng)險管理風(fēng)險管理必須識別、分析風(fēng)險，風(fēng)險識別是確定何種風(fēng)險可能會對組織產(chǎn)生影響，最重要的是量化不確定性的程度和每個風(fēng)險可能造成損失的程度。風(fēng)險管理要著眼于風(fēng)險控制，組織通常采用積極的措施來控制風(fēng)險。通過降低其損失發(fā)生的概率，縮小其損失程度來達(dá)到控制目的。風(fēng)險管理要學(xué)會規(guī)避風(fēng)險，在既定目標(biāo)不變的情況下，改變方案的實施路徑，從根本上消除特定的風(fēng)險因素?，F(xiàn)在是57頁\一共有77頁\編輯于星期五58五、基于風(fēng)險的安全要求1.風(fēng)險管理綜述風(fēng)險評估對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。風(fēng)險評估是確定風(fēng)險優(yōu)先級的方法。大多數(shù)風(fēng)險評估都基于定量風(fēng)險評估和定性風(fēng)險評估這兩種方法或這兩種方法的組合?，F(xiàn)在是58頁\一共有77頁\編輯于星期五59五、基于風(fēng)險的安全要求2.風(fēng)險與安全需求組織需要根據(jù)對信息資產(chǎn)風(fēng)險評估的結(jié)果，結(jié)合業(yè)務(wù)需求來確定組織安全需求。安全需求中不僅包括具體信息資產(chǎn)對安全的要求，還應(yīng)包括軟件功能方面的安全需求，以及物理安全、管理流程、系統(tǒng)管理等非軟件方面的需求。風(fēng)險評估與安全需求現(xiàn)在是59頁\一共有77頁\編輯于星期五60五、基于風(fēng)險的安全要求2.風(fēng)險與安全需求組織根據(jù)應(yīng)用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采用的安全機(jī)制。通過安全風(fēng)險評估明確存在風(fēng)險的關(guān)鍵的業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程，識別其安全需求和安全現(xiàn)狀。風(fēng)險評估與安全需求現(xiàn)在是60頁\一共有77頁\編輯于星期五61五、基于風(fēng)險的安全要求2.風(fēng)險與安全需求安全風(fēng)險的可接受水平以及安全需求的確認(rèn)，需要業(yè)務(wù)人員和管理層來確認(rèn)，應(yīng)該將實施控制措施的支出與安全故障可能造成的業(yè)務(wù)損失進(jìn)行權(quán)衡考慮，對安全建設(shè)的方向和目標(biāo)進(jìn)行決策。風(fēng)險評估與安全需求現(xiàn)在是61頁\一共有77頁\編輯于星期五62六、確定組織的安全需求1.安全需求的協(xié)商協(xié)商協(xié)商是利益關(guān)系者共同商量以便取得一致意見?，F(xiàn)在是62頁\一共有77頁\編輯于星期五63六、確定組織的安全需求1.安全需求的協(xié)商安全需求的協(xié)商對于信息安全的需求，在符合國家法律、行業(yè)規(guī)定、以及上級主管部門、組織內(nèi)部不同機(jī)構(gòu)、以及客戶等的需求重點不一樣，同時組織建設(shè)信息系統(tǒng)，保證信息安全還受投資限制，因此需要對信息安全的需求進(jìn)行商量，以最終求得各方一致認(rèn)同的適合組織建設(shè)的安全需求。需求平衡投資平衡現(xiàn)在是63頁\一共有77頁\編輯于星期五64六、確定組織的安全需求1.安全需求的協(xié)商整理需求有優(yōu)先順序的安全需求清單業(yè)務(wù)的組織安全需求符合性的安全需求合同業(yè)務(wù)要求風(fēng)險的安全要求現(xiàn)在是64頁\一共有77頁\編輯于星期五65六、確定組織的安全需求1.安全需求的協(xié)商利益關(guān)系者間溝通溝通是為了一個設(shè)定的目標(biāo)，把信息、思想和情感在個人或群體間傳遞，并且達(dá)成共同協(xié)議的過程。信息安全需求的溝通，是將將組織業(yè)務(wù)的組織安全需求、符合性的安全需求、合同業(yè)務(wù)要求，以及風(fēng)險的安全要求綜合處理成有優(yōu)先順序的安全需求清單，用這個清單去向各利益關(guān)系者傳達(dá)，收集意見和建議，以達(dá)成一致意見?，F(xiàn)在是65頁\一共有77頁\編輯于星期五66六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者溝通的步驟：第一步事前準(zhǔn)備第一步闡述觀點第一步收集信息第一步處理異議第一步達(dá)成一致現(xiàn)在是66頁\一共有77頁\編輯于星期五67六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者有效溝通的基本技巧組織清晰語言簡潔關(guān)注非語言的暗示傾聽溝通對象表達(dá)求同存異有效反饋現(xiàn)在是67頁\一共有77頁\編輯于星期五68六、確定組織的安全需求2.安全需求的確定根據(jù)溝通結(jié)果重新整理需求清單意見建議需求清單經(jīng)多方協(xié)商后的達(dá)成基本一致的需求清單現(xiàn)在是68頁\一共有77頁\編輯于星期五69六、確定組織的安全需求2.安全需求的確定召開會議形成多方認(rèn)可的需求清單在與各方充分溝通的達(dá)成基本一致的基礎(chǔ)上，召開關(guān)系者代表全體會議，傳達(dá)溝通結(jié)果，形成多方認(rèn)可的需求清單，并簽注確認(rèn)。召開關(guān)系者代表會議經(jīng)多方認(rèn)可的需求清單簽字確認(rèn)現(xiàn)在是69頁\一共有77頁\編輯于星期五70七、確定信息安全目標(biāo)總體目標(biāo)的起草與確定組織定義信息安全總目標(biāo)：確保組織的信息資產(chǎn)的機(jī)密性、完整性和可用性（不同的組織可能