信息系統(tǒng)安全集成第3章

1信息系統(tǒng)安全集成確定安全需求與目標(biāo)目前一頁\總數(shù)七十七頁\編于十一點(diǎn)2本章摘要

本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務(wù)特征、法律法規(guī)及合同要求，在充分考慮風(fēng)險(xiǎn)的基礎(chǔ)上，確定組織的安全需求和目標(biāo)，形成各方認(rèn)可的安全需求文件。摘要目前二頁\總數(shù)七十七頁\編于十一點(diǎn)主要內(nèi)容一、概述二、組織IT戰(zhàn)略與安全需求三、組織業(yè)務(wù)與安全需求四、符合性的安全需求五、基于風(fēng)險(xiǎn)的安全要求六、確定組織的安全需求七、確定信息安全目標(biāo)目前三頁\總數(shù)七十七頁\編于十一點(diǎn)4一、概述1.組織與信息安全需求從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷?shí)現(xiàn)一定的目標(biāo)，互相協(xié)作結(jié)合而成的集體或團(tuán)體，如黨團(tuán)組織、工會(huì)組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運(yùn)用于社會(huì)管理之中。組織概述目前四頁\總數(shù)七十七頁\編于十一點(diǎn)5一、概述1.組織與信息安全需求現(xiàn)代社會(huì)組織定義在現(xiàn)代社會(huì)生活中．組織是人們按照一定的目的、任務(wù)和形式編制起來的社會(huì)集團(tuán)。組織是體現(xiàn)一定社會(huì)關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實(shí)現(xiàn)其目標(biāo)的集合體。組織概述目前五頁\總數(shù)七十七頁\編于十一點(diǎn)6一、概述1.組織與信息安全需求組織安全需求--組織需要保護(hù)什么？信息安全的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個(gè)組織業(yè)務(wù)并符合法律法規(guī)、安全監(jiān)管要求、合同業(yè)務(wù)要求等，提出復(fù)合組織的基于風(fēng)險(xiǎn)管理的安全需求。組織應(yīng)該將信息安全集成到業(yè)務(wù)運(yùn)作的每一個(gè)層面。目前六頁\總數(shù)七十七頁\編于十一點(diǎn)7一、概述1.組織與信息安全需求組織安全需求分析的層次需求分析的層次：目標(biāo)性需求，定義了整個(gè)系統(tǒng)需要達(dá)到的目標(biāo)；功能性需求，定義了整個(gè)系統(tǒng)必須完成的任務(wù)；操作性需求，定義了完成每個(gè)任務(wù)的具體的人機(jī)交互.目前七頁\總數(shù)七十七頁\編于十一點(diǎn)8一、概述1.組織與信息安全需求組織安全需求挖掘的方法挖掘需求的方法：分析特定客戶的業(yè)務(wù)流程和模型;與特定客戶進(jìn)行討論與交流(或聯(lián)合成立需求組)，包括：需求討論會(huì),與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等.目前八頁\總數(shù)七十七頁\編于十一點(diǎn)9一、概述1.組織與信息安全需求組織安全需求分析的方法—風(fēng)險(xiǎn)評(píng)估法安全需求分析的方法：資產(chǎn)清冊(cè)風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)形成需求目前九頁\總數(shù)七十七頁\編于十一點(diǎn)10一、概述2.組織安全風(fēng)險(xiǎn)安全威脅--引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的安全威脅和攻擊破壞。由于組織越來越依靠信息資源，安全事件不斷增長(zhǎng)，而安全事件造成的損失以及用于事件處理的財(cái)力、人力以及IT資源的投入需要不斷增長(zhǎng)。目前十頁\總數(shù)七十七頁\編于十一點(diǎn)11一、概述2.組織安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指一個(gè)事件產(chǎn)生我們所不希望的后果可能性。組織的風(fēng)險(xiǎn)是指組織未來發(fā)生損失的不確定性。這些安全風(fēng)險(xiǎn)主要包括了業(yè)務(wù)的連續(xù)性、業(yè)務(wù)流程安全、法律安全要求、合同安全、隱私保護(hù)要求等。組織的風(fēng)險(xiǎn)目前十一頁\總數(shù)七十七頁\編于十一點(diǎn)12一、概述3.組織信息安全目標(biāo)根據(jù)國際信息安全管理標(biāo)準(zhǔn)的描述，信息安全的目標(biāo)是“通過防止和減小安全事故的影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化。”需要進(jìn)行IT規(guī)劃和費(fèi)用調(diào)整以保證適當(dāng)?shù)陌踩度?，部署有效的工具，來解決緊迫的安全問題，實(shí)現(xiàn)組織的安全目標(biāo)。信息安全的目標(biāo)目前十二頁\總數(shù)七十七頁\編于十一點(diǎn)13二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是指組織對(duì)有關(guān)全局性,長(zhǎng)遠(yuǎn)性,綱領(lǐng)性目標(biāo)的謀劃和決策.目前十三頁\總數(shù)七十七頁\編于十一點(diǎn)14二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是表明組織如何達(dá)到目標(biāo)，完成使命的整體謀劃,是提出詳細(xì)行動(dòng)計(jì)劃的起點(diǎn),但它又凌駕于任何特定計(jì)劃的各種細(xì)節(jié)之上.戰(zhàn)略反映了管理者對(duì)于行動(dòng),環(huán)境和業(yè)績(jī)之間關(guān)鍵聯(lián)系的理解,用以確保已確定的使命,愿景,價(jià)值觀的實(shí)現(xiàn)。目前十四頁\總數(shù)七十七頁\編于十一點(diǎn)15二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略IT戰(zhàn)略即信息技術(shù)戰(zhàn)略（ITStrategy）是組織經(jīng)營戰(zhàn)略的有機(jī)組成部分，和財(cái)務(wù)戰(zhàn)略、人力資源戰(zhàn)略、運(yùn)作戰(zhàn)略等一樣，是公司的職能戰(zhàn)略。IT戰(zhàn)是關(guān)于企業(yè)信息技術(shù)職能的目標(biāo)及其實(shí)現(xiàn)的總體謀劃。對(duì)于大的組織公司而言，子公司或大的業(yè)務(wù)單元也會(huì)有其相對(duì)獨(dú)立的信息技術(shù)戰(zhàn)略。目前十五頁\總數(shù)七十七頁\編于十一點(diǎn)16二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的部分組成使命（Mission）：闡述信息技術(shù)存在的理由、目的以及在企業(yè)中的作用。遠(yuǎn)景目標(biāo)（Vision）：信息技術(shù)的發(fā)展方向和結(jié)果。中長(zhǎng)期目標(biāo)（MediumtoLong-termObjectives）：遠(yuǎn)景目標(biāo)的具體化，即企業(yè)未來2~3年信息技術(shù)發(fā)展的具體目標(biāo)。目前十六頁\總數(shù)七十七頁\編于十一點(diǎn)17二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的要點(diǎn)戰(zhàn)略要點(diǎn)：是實(shí)現(xiàn)上述中長(zhǎng)期目標(biāo)的途徑或路線。組織IT戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個(gè)方面展開：硬件與組建網(wǎng)絡(luò)與通信應(yīng)用與數(shù)據(jù)組織與人員目前十七頁\總數(shù)七十七頁\編于十一點(diǎn)18二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對(duì)象---組織信息資產(chǎn)。目前十八頁\總數(shù)七十七頁\編于十一點(diǎn)19二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)明確安全保護(hù)的對(duì)象，即明確組織信息資產(chǎn)。分析業(yè)務(wù)流程識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)確定業(yè)務(wù)資產(chǎn)的安全所有人和責(zé)任人明確安全保護(hù)責(zé)任目前十九頁\總數(shù)七十七頁\編于十一點(diǎn)20二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，幫助組織實(shí)施有效的信息資產(chǎn)安全保護(hù)，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級(jí)和安全責(zé)任人。目前二十頁\總數(shù)七十七頁\編于十一點(diǎn)21二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括：業(yè)務(wù)應(yīng)用軟件IT基礎(chǔ)設(shè)施（硬件、組件、網(wǎng)絡(luò)通訊等）相關(guān)的數(shù)據(jù)和信息關(guān)鍵業(yè)務(wù)流程和人員其他信息資產(chǎn)。目前二十一頁\總數(shù)七十七頁\編于十一點(diǎn)22二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估安全風(fēng)險(xiǎn)評(píng)估的目的在于定義核心信息資產(chǎn)，并且分析應(yīng)用環(huán)境中可能存在的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估是定義安全需求、選擇相應(yīng)對(duì)策以及設(shè)計(jì)安全系統(tǒng)的基礎(chǔ)。目前二十二頁\總數(shù)七十七頁\編于十一點(diǎn)23二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估簡(jiǎn)易風(fēng)險(xiǎn)評(píng)估模型：從風(fēng)險(xiǎn)性質(zhì)上,風(fēng)險(xiǎn)=威脅+弱點(diǎn)+影響考慮風(fēng)險(xiǎn)的影線,風(fēng)險(xiǎn)=威脅*弱點(diǎn)*影響風(fēng)險(xiǎn)三個(gè)要素：威脅--事件或行為,一般來自系統(tǒng)外部,可能在某些地方會(huì)影響固有的弱點(diǎn),造成影響.弱點(diǎn)--系統(tǒng)內(nèi)部考慮之中的弱點(diǎn),可能在某些地方受到威脅所利用。影響--短期與長(zhǎng)期組織影響,威脅碰巧利用弱點(diǎn)。目前二十三頁\總數(shù)七十七頁\編于十一點(diǎn)24二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風(fēng)險(xiǎn)的評(píng)估通過安全風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)資產(chǎn)的安全威脅和風(fēng)險(xiǎn)，了解企業(yè)的安全現(xiàn)狀和風(fēng)險(xiǎn)水平，分析安全需求和安全改進(jìn)方向。安全需求必須基于風(fēng)險(xiǎn)評(píng)估，并且應(yīng)該在設(shè)計(jì)階段開始前確定。目前二十四頁\總數(shù)七十七頁\編于十一點(diǎn)25二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定組織需要制定與業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略一致的安全戰(zhàn)略，明確企業(yè)的安全建設(shè)目標(biāo)和安全建設(shè)原則。通過風(fēng)險(xiǎn)評(píng)估了解了組織的安全現(xiàn)狀和風(fēng)險(xiǎn)水平，企業(yè)明確了各個(gè)層次的安全需求和改進(jìn)方向。信息安全戰(zhàn)略是組織在一定時(shí)期內(nèi)的一整套安全決策，這一決策決定了企業(yè)的安全策略和制度、流程、行為和技術(shù)的建設(shè)。目前二十五頁\總數(shù)七十七頁\編于十一點(diǎn)26二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定制定組織信息安全戰(zhàn)略的目標(biāo)：支持組織戰(zhàn)略。平衡的信息安全風(fēng)險(xiǎn)。謹(jǐn)慎而有效的信息安全投資。信息安全建設(shè)能夠與業(yè)務(wù)發(fā)展和IT能力建設(shè)同步。促使信息安全成為業(yè)務(wù)發(fā)展的有力驅(qū)動(dòng)。目前二十六頁\總數(shù)七十七頁\編于十一點(diǎn)27二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定基于戰(zhàn)略的信息安全需求的內(nèi)容：范圍需求安全的目標(biāo)需求（可用性、完整性、保密性、不可地耐性等要求）安全的組織需求安全的資源需求安全的管理流程需求（突發(fā)事件與持續(xù)改進(jìn)）后續(xù)展開這些需求。。。。目前二十七頁\總數(shù)七十七頁\編于十一點(diǎn)28三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的分類方法有多種，這里講的組織按組織的目標(biāo)分類，可以把組織分為：

互益組織：如工會(huì)、俱樂部、政黨等。工商組織：如工廠、商店、銀行等。服務(wù)組織：如醫(yī)院、學(xué)校、社會(huì)機(jī)構(gòu)等。公益組織：如政府機(jī)構(gòu)、研究機(jī)構(gòu)、消防隊(duì)等。組織的分類目前二十八頁\總數(shù)七十七頁\編于十一點(diǎn)29三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)模型是描述業(yè)務(wù)用例實(shí)現(xiàn)的對(duì)象模型，它是對(duì)業(yè)務(wù)角色和業(yè)務(wù)實(shí)體之間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務(wù)的一種抽象。目前二十九頁\總數(shù)七十七頁\編于十一點(diǎn)30三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型組織的業(yè)務(wù)描述模型業(yè)務(wù)流程描述模型刻畫以業(yè)務(wù)表單為中心的應(yīng)用系統(tǒng)業(yè)務(wù)流程，解決其業(yè)務(wù)流程建模中的問題,包括:各類約束的嚴(yán)格描述、權(quán)限表示、流程關(guān)系、流程推進(jìn)過程以及業(yè)務(wù)對(duì)象被調(diào)度和執(zhí)行的全過程描述。采用業(yè)務(wù)流程描述模型的業(yè)務(wù)系統(tǒng)更容易擴(kuò)展和維護(hù),能較好地滿足用戶的需求。目前三十頁\總數(shù)七十七頁\編于十一點(diǎn)31三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子---銀行業(yè)務(wù)模型業(yè)務(wù)事件[UML信號(hào)事件-指定的激勵(lì)表格或文檔]和過程(UML用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

目前三十一頁\總數(shù)七十七頁\編于十一點(diǎn)32三、組織業(yè)務(wù)與安全需求1.組織業(yè)務(wù)描述模型業(yè)務(wù)描述模型例子---銀行業(yè)務(wù)模型Customer：客戶；Teller：出納員；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)庫目前三十二頁\總數(shù)七十七頁\編于十一點(diǎn)33三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求業(yè)務(wù)信息資產(chǎn)是企業(yè)信息安全保護(hù)的核心目標(biāo)，因此要進(jìn)行信息安全建設(shè)，首先明確安全保護(hù)的對(duì)象。組織需要通過分析業(yè)務(wù)流程，識(shí)別關(guān)鍵的業(yè)務(wù)資產(chǎn)，確定業(yè)務(wù)資產(chǎn)的安全所有人和認(rèn)責(zé)人，明確安全保護(hù)責(zé)任。業(yè)務(wù)信息資產(chǎn)安全是組織信息安全保護(hù)的核心目前三十三頁\總數(shù)七十七頁\編于十一點(diǎn)34三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求組織業(yè)務(wù)信息資產(chǎn)保護(hù)內(nèi)容在以業(yè)務(wù)為核心的組織內(nèi)部，信息資產(chǎn)包括業(yè)務(wù)硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)鍵業(yè)務(wù)流程和人員。目前三十四頁\總數(shù)七十七頁\編于十一點(diǎn)35三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求對(duì)業(yè)務(wù)相關(guān)信息資產(chǎn)清冊(cè)，包括硬件與組件、系統(tǒng)與網(wǎng)絡(luò)通信、應(yīng)用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務(wù)流程和人員。建立組織信息資產(chǎn)目錄并進(jìn)行維護(hù)，可以幫助企業(yè)實(shí)施有效的信息資產(chǎn)安全保護(hù)，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。在信息資產(chǎn)目錄中應(yīng)該定義資產(chǎn)的安全等級(jí)和安全責(zé)任人。目前三十五頁\總數(shù)七十七頁\編于十一點(diǎn)36三、組織業(yè)務(wù)與安全需求2.基于業(yè)務(wù)的組織安全需求基于業(yè)務(wù)的組織安全需求通過安全風(fēng)險(xiǎn)評(píng)估，識(shí)別關(guān)鍵業(yè)務(wù)信息資產(chǎn)的安全威脅和風(fēng)險(xiǎn)，將安全需求列表并排出優(yōu)先級(jí)。確定基于業(yè)務(wù)的組織安全需求和安全改進(jìn)方向。目前三十六頁\總數(shù)七十七頁\編于十一點(diǎn)37四、符合性的安全需求1.符合性概述符合性需求的意義為了避免任何違反法律、法令、法定的或者合同的義務(wù)，使信息系統(tǒng)安全集成和運(yùn)行置于法律、法規(guī)或者合同的約定的要求之下，以避免或減少安全風(fēng)險(xiǎn)。目前三十七頁\總數(shù)七十七頁\編于十一點(diǎn)38四、符合性的安全需求1.符合性概述符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)規(guī)范等。符合性要求組織所有行為必須合法，符合相關(guān)的規(guī)章制度及規(guī)則。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)章制度。

符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，如環(huán)境法規(guī)，在某些方面對(duì)于整個(gè)組織、或整個(gè)行業(yè)是類似的。什么是符合性目前三十八頁\總數(shù)七十七頁\編于十一點(diǎn)39四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識(shí)別識(shí)別收集與安全集成有關(guān)的法律法規(guī)并對(duì)適應(yīng)性進(jìn)行評(píng)價(jià)，確定其適用范圍和具體適應(yīng)條款，形成適應(yīng)的法律法規(guī)清單。目前三十九頁\總數(shù)七十七頁\編于十一點(diǎn)40四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識(shí)別評(píng)估法律法規(guī)復(fù)合性的需要定期評(píng)估，保持適應(yīng)的法律、法規(guī)的有效最新版本。法律法規(guī)復(fù)合性的需要定期評(píng)價(jià)，保持適應(yīng)的法律、法規(guī)的符合性。目前四十頁\總數(shù)七十七頁\編于十一點(diǎn)41四、符合性的安全需求2.法律法規(guī)要求知識(shí)產(chǎn)權(quán)保護(hù)需求嚴(yán)格執(zhí)行國家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版地軟件。這些需要，確定合法獲得軟件的途徑合法；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；列出需要的軟件或未被授權(quán)軟件清單；確保用戶數(shù)不超出允許的上限；嚴(yán)禁員工私自安裝任何軟件。目前四十一頁\總數(shù)七十七頁\編于十一點(diǎn)42四、符合性的安全需求2.法律法規(guī)要求記錄的保護(hù)需求應(yīng)按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存期限并適當(dāng)保護(hù)，防止丟失、損壞和偽造；處理與個(gè)人數(shù)據(jù)與信息應(yīng)按照國家法律法規(guī)的規(guī)定和相關(guān)合同約束，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄漏個(gè)人信息；將需要保護(hù)記錄和個(gè)數(shù)據(jù)與人信息列出清單，并明確保護(hù)要求。目前四十二頁\總數(shù)七十七頁\編于十一點(diǎn)43四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管是為預(yù)防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或管理不善導(dǎo)致信息安全事件的發(fā)生，并保證及時(shí)處理由此引起的各類安全事件，減輕或消除信息安全事件造成的經(jīng)濟(jì)損失或信譽(yù)損失，確保組織業(yè)務(wù)的連續(xù)性。目前四十三頁\總數(shù)七十七頁\編于十一點(diǎn)44四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管的要求主要分為：國家要求；行業(yè)要求；組織內(nèi)部；其他監(jiān)管要求。目前四十四頁\總數(shù)七十七頁\編于十一點(diǎn)45四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求什么是信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是指國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。目前四十五頁\總數(shù)七十七頁\編于十一點(diǎn)46四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)的需求：信息安全等級(jí)保護(hù)管理要求信息和信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)，按組織的利益，社會(huì)公眾利益，對(duì)國家安全的影響一共分為五級(jí)，第一級(jí)是最低的，第五級(jí)是最高。確定組織是否強(qiáng)制或自愿納入信息安全等級(jí)保護(hù)管理，明確納入分級(jí)保護(hù)的級(jí)別。目前四十六頁\總數(shù)七十七頁\編于十一點(diǎn)47四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)信息系統(tǒng)安全專用產(chǎn)品分等級(jí)的需求：信息安全等級(jí)保護(hù)管理要求對(duì)信息系統(tǒng)安全專用產(chǎn)品分等級(jí)進(jìn)行管理，根據(jù)可控性、可靠性、安全性和可監(jiān)督性這四個(gè)屬性確定信息系統(tǒng)使用的安全產(chǎn)品等級(jí)，各個(gè)單位使用的安全產(chǎn)品應(yīng)該是分等級(jí)的。定了三級(jí)的系統(tǒng)不能使用二級(jí)以下的安全產(chǎn)品；確定組織納入分級(jí)保護(hù)的級(jí)別，明確使用信息安全產(chǎn)品的等級(jí)需求。目前四十七頁\總數(shù)七十七頁\編于十一點(diǎn)48四、符合性的安全需求3.安全監(jiān)管要求信息安全等級(jí)保護(hù)管理的要求組織對(duì)所發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)和處置的需求：信息安全等級(jí)保護(hù)管理要求，對(duì)所發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)和處置，對(duì)不同的信息安全事件，由監(jiān)管部門牽頭組織全社會(huì)的應(yīng)急響應(yīng)和單位的應(yīng)急響應(yīng)相結(jié)合，最大限度的減輕信息安全事件造成的損失。確定組織納入分級(jí)保護(hù)的級(jí)別，明確信息安全事件響應(yīng)的等級(jí)需求。目前四十八頁\總數(shù)七十七頁\編于十一點(diǎn)49四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部署的物理邊界，應(yīng)用運(yùn)行的區(qū)域；明確監(jiān)管設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、鑒權(quán)系統(tǒng)、服務(wù)器、路由器、交換機(jī)等；目前四十九頁\總數(shù)七十七頁\編于十一點(diǎn)50四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：操作系統(tǒng)與應(yīng)用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)及設(shè)備運(yùn)行域操作日志的監(jiān)管要求；網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計(jì)要求，非法、敏感類信息以及克訪問性的適時(shí)監(jiān)管要求。目前五十頁\總數(shù)七十七頁\編于十一點(diǎn)51四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管職責(zé)：內(nèi)部監(jiān)管機(jī)構(gòu)的指定與監(jiān)管責(zé)任的定義，如誰分管，哪個(gè)部門承擔(dān)監(jiān)管責(zé)任，對(duì)監(jiān)管對(duì)象、安全事件處理，上下協(xié)調(diào)等責(zé)任的定義；監(jiān)管人員的監(jiān)管職責(zé)的明確，日常監(jiān)管要求，問題處理方式與報(bào)告流程；事件分類及事件處理流程定義。目前五十一頁\總數(shù)七十七頁\編于十一點(diǎn)52四、符合性的安全需求4.

合同業(yè)務(wù)要求合同受到法律保護(hù)：合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律保護(hù)。組織明確雙方合同協(xié)議中對(duì)信息安全的要求。組織在合同業(yè)務(wù)中對(duì)信息安全的要求目前五十二頁\總數(shù)七十七頁\編于十一點(diǎn)53四、符合性的安全需求4.

合同業(yè)務(wù)要求將雙方合同協(xié)議中對(duì)信息安全的要求列出作為安全集成中的需求管理；組織也需要明確提出第三方機(jī)構(gòu)及人員的信息安全要求，涉及第三方接觸本組織的信息處理設(shè)備應(yīng)當(dāng)基于正式的合同提出所有的基于信息安全的要求，以便確保符合組織的安全政策和標(biāo)準(zhǔn)。組織在合同業(yè)務(wù)中對(duì)信息安全的要求目前五十三頁\總數(shù)七十七頁\編于十一點(diǎn)54五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)大致有兩種定義：一種定義強(qiáng)調(diào)了風(fēng)險(xiǎn)表現(xiàn)為不確定性；而另一種定義則強(qiáng)調(diào)風(fēng)險(xiǎn)表現(xiàn)為損失的不確定性。學(xué)術(shù)界對(duì)風(fēng)險(xiǎn)的內(nèi)涵還沒有統(tǒng)一的定義，由于對(duì)風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度不同，或?qū)︼L(fēng)險(xiǎn)的研究的角度不同，不同的學(xué)者對(duì)風(fēng)險(xiǎn)概念有著不同的解釋。目前五十四頁\總數(shù)七十七頁\編于十一點(diǎn)55五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述信息安全風(fēng)險(xiǎn)在信息安全領(lǐng)域來講我們這樣來定義風(fēng)險(xiǎn)：風(fēng)險(xiǎn)就是發(fā)生損失事件的概率，也可以說是損失發(fā)生的不確定性，即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來損失的可能性。目前五十五頁\總數(shù)七十七頁\編于十一點(diǎn)56五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是指通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估與分析、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控等一系列活動(dòng)來消除或減少風(fēng)險(xiǎn)的管理過程。風(fēng)險(xiǎn)識(shí)別>>風(fēng)險(xiǎn)評(píng)估與分析>>風(fēng)險(xiǎn)處置>>風(fēng)險(xiǎn)監(jiān)控目前五十六頁\總數(shù)七十七頁\編于十一點(diǎn)57五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理必須識(shí)別、分析風(fēng)險(xiǎn)，風(fēng)險(xiǎn)識(shí)別是確定何種風(fēng)險(xiǎn)可能會(huì)對(duì)組織產(chǎn)生影響，最重要的是量化不確定性的程度和每個(gè)風(fēng)險(xiǎn)可能造成損失的程度。風(fēng)險(xiǎn)管理要著眼于風(fēng)險(xiǎn)控制，組織通常采用積極的措施來控制風(fēng)險(xiǎn)。通過降低其損失發(fā)生的概率，縮小其損失程度來達(dá)到控制目的。風(fēng)險(xiǎn)管理要學(xué)會(huì)規(guī)避風(fēng)險(xiǎn)，在既定目標(biāo)不變的情況下，改變方案的實(shí)施路徑，從根本上消除特定的風(fēng)險(xiǎn)因素。目前五十七頁\總數(shù)七十七頁\編于十一點(diǎn)58五、基于風(fēng)險(xiǎn)的安全要求1.風(fēng)險(xiǎn)管理綜述風(fēng)險(xiǎn)評(píng)估對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法。大多數(shù)風(fēng)險(xiǎn)評(píng)估都基于定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估這兩種方法或這兩種方法的組合。目前五十八頁\總數(shù)七十七頁\編于十一點(diǎn)59五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求組織需要根據(jù)對(duì)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合業(yè)務(wù)需求來確定組織安全需求。安全需求中不僅包括具體信息資產(chǎn)對(duì)安全的要求，還應(yīng)包括軟件功能方面的安全需求，以及物理安全、管理流程、系統(tǒng)管理等非軟件方面的需求。風(fēng)險(xiǎn)評(píng)估與安全需求目前五十九頁\總數(shù)七十七頁\編于十一點(diǎn)60五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求組織根據(jù)應(yīng)用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采用的安全機(jī)制。通過安全風(fēng)險(xiǎn)評(píng)估明確存在風(fēng)險(xiǎn)的關(guān)鍵的業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程，識(shí)別其安全需求和安全現(xiàn)狀。風(fēng)險(xiǎn)評(píng)估與安全需求目前六十頁\總數(shù)七十七頁\編于十一點(diǎn)61五、基于風(fēng)險(xiǎn)的安全要求2.風(fēng)險(xiǎn)與安全需求安全風(fēng)險(xiǎn)的可接受水平以及安全需求的確認(rèn)，需要業(yè)務(wù)人員和管理層來確認(rèn)，應(yīng)該將實(shí)施控制措施的支出與安全故障可能造成的業(yè)務(wù)損失進(jìn)行權(quán)衡考慮，對(duì)安全建設(shè)的方向和目標(biāo)進(jìn)行決策。風(fēng)險(xiǎn)評(píng)估與安全需求目前六十一頁\總數(shù)七十七頁\編于十一點(diǎn)62六、確定組織的安全需求1.安全需求的協(xié)商協(xié)商協(xié)商是利益關(guān)系者共同商量以便取得一致意見。目前六十二頁\總數(shù)七十七頁\編于十一點(diǎn)63六、確定組織的安全需求1.安全需求的協(xié)商安全需求的協(xié)商對(duì)于信息安全的需求，在符合國家法律、行業(yè)規(guī)定、以及上級(jí)主管部門、組織內(nèi)部不同機(jī)構(gòu)、以及客戶等的需求重點(diǎn)不一樣，同時(shí)組織建設(shè)信息系統(tǒng)，保證信息安全還受投資限制，因此需要對(duì)信息安全的需求進(jìn)行商量，以最終求得各方一致認(rèn)同的適合組織建設(shè)的安全需求。需求平衡投資平衡目前六十三頁\總數(shù)七十七頁\編于十一點(diǎn)64六、確定組織的安全需求1.安全需求的協(xié)商整理需求有優(yōu)先順序的安全需求清單業(yè)務(wù)的組織安全需求符合性的安全需求合同業(yè)務(wù)要求風(fēng)險(xiǎn)的安全要求目前六十四頁\總數(shù)七十七頁\編于十一點(diǎn)65六、確定組織的安全需求1.安全需求的協(xié)商利益關(guān)系者間溝通溝通是為了一個(gè)設(shè)定的目標(biāo)，把信息、思想和情感在個(gè)人或群體間傳遞，并且達(dá)成共同協(xié)議的過程。信息安全需求的溝通，是將將組織業(yè)務(wù)的組織安全需求、符合性的安全需求、合同業(yè)務(wù)要求，以及風(fēng)險(xiǎn)的安全要求綜合處理成有優(yōu)先順序的安全需求清單，用這個(gè)清單去向各利益關(guān)系者傳達(dá)，收集意見和建議，以達(dá)成一致意見。目前六十五頁\總數(shù)七十七頁\編于十一點(diǎn)66六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者溝通的步驟：第一步事前準(zhǔn)備第一步闡述觀點(diǎn)第一步收集信息第一步處理異議第一步達(dá)成一致目前六十六頁\總數(shù)七十七頁\編于十一點(diǎn)67六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者有效溝通的基本技巧組織清晰語言簡(jiǎn)潔關(guān)注非語言的暗示傾聽溝通對(duì)象表達(dá)求同存異有效反饋目前六十七頁\總數(shù)七十七頁\編于十一點(diǎn)68六、確定組織的安全需求2.安全需求的確定根據(jù)溝通結(jié)果重新整理需求清單意見建議需求清單經(jīng)多方協(xié)商后的達(dá)成基本一致的需求清單目前六十八頁\總數(shù)七十七頁\編于十一點(diǎn)69六、確定組織的安全需求2.安全需求的確定召開會(huì)議形成多方認(rèn)可的需求清單在與各方充分溝通的達(dá)成基本一致的基礎(chǔ)上，召開關(guān)系者代表全體會(huì)議，傳達(dá)溝通結(jié)果，形成多方認(rèn)可的需求清單，并簽注確認(rèn)。召開關(guān)系者代表會(huì)議經(jīng)多方認(rèn)可的需求清單簽字確認(rèn)目前六十九頁\總數(shù)七十七頁\編于十一點(diǎn)70七、確定信息安全目標(biāo)總體目標(biāo)的起草與確定組織定義信息安全總目標(biāo)：確保組織的信息資產(chǎn)的機(jī)密性、完整性和可用性（不同的組織