信息安全治理和風(fēng)險(xiǎn)管理

信息安全治理和風(fēng)險(xiǎn)管理

InformationSecurityGovernanceandRiskManagementCISSP第六版培訓(xùn)課件之一第一頁，共七十四頁。關(guān)鍵知識領(lǐng)域A.Understandandalignsecurityfunctiontogoals,missionandobjectivesoftheorganization理解安全功能并將其與機(jī)構(gòu)目標(biāo)、使命和宗旨相結(jié)合B.Understandandapplysecuritygovernance理解并運(yùn)用安全治理B.1Organizationalprocesses(e.g.,acquisitions,divestitures,governancecommittees)組織過程（如收購、分拆、治理委員會）B.2Securityrolesandresponsibilities安全角色與職責(zé)B.3Legislativeandregulatorycompliance法律和監(jiān)管的合規(guī)B.4Privacyrequirementscompliance隱私要求的合規(guī)B.5Controlframeworks控制框架B.6Duecare盡職關(guān)注B.7Duediligence盡職調(diào)查第二頁，共七十四頁。關(guān)鍵知識領(lǐng)域C.Understandandapplyconceptsofconfidentiality,integrityandavailability理解并運(yùn)用保密性、完整性與可用性的概念D.Developandimplementsecuritypolicy制定并施行安全政策D.1Securitypolicies安全政策D.2Standards/baselines標(biāo)準(zhǔn)/基準(zhǔn)D.3Procedures程序D.4Guidelines方針D.5Documentation文件編制E.Managetheinformationlifecycle(e.g.,classification,categorization,andownership)管理信息的生命周期（如分類、歸類與所有權(quán)）F.Managethird-partygovernance(e.g.,on-siteassessment,documentexchangeandreview,process/policyreview)管理第三方治理（如現(xiàn)場評估、文件交換及審查，過程/政策審查）第三頁，共七十四頁。關(guān)鍵知識領(lǐng)域G.Understandandapplyriskmanagementconcepts理解并運(yùn)用風(fēng)險(xiǎn)管理的概念G.1Identifythreatsandvulnerabilities身份識別的威脅與漏洞G.2Riskassessment/analysis(qualitative,quantitative,hybrid)風(fēng)險(xiǎn)評估/分析（定性型、定量型、混合型）G.3Riskassignment/acceptance風(fēng)險(xiǎn)分配/接納G.4Countermeasureselection對策選擇G.5Tangibleandintangibleassetvaluation對有形資產(chǎn)和無形資產(chǎn)的評估H.Managepersonnelsecurity管理人員安全H.1Employmentcandidatescreening(e.g.,referencechecks,educationverification)求職者甄選（如證明人核實(shí)、教育背景查證）H.2Employmentagreementsandpolicies雇傭協(xié)議與政策H.3Employeeterminationprocesses員工解雇流程H.4Vendor,consultantandcontractorcontrols銷售方、顧問與承包商控制第四頁，共七十四頁。關(guān)鍵知識領(lǐng)域I.Developandmanagesecurityeducation,trainingandawareness發(fā)展并管理安全教育、安全培訓(xùn)與安全意識J.ManagetheSecurityFunction管理安全功能J.1Budget預(yù)算J.2Metrics衡量標(biāo)準(zhǔn)J.3Resources資源J.4Developandimplementinformationsecuritystrategies開發(fā)并實(shí)施信息安全策略J.5Assessthecompletenessandeffectivenessofthesecurityprogram評估安全項(xiàng)目的完整性與有效性第五頁，共七十四頁。目錄安全基本原則（FundamentalPrinciplesofSecurity）安全定義（SecurityDefinitions）控制類型（SecurityDefinitions）安全架構(gòu)（SecurityFrameworks）安全管理（SecurityManagement）風(fēng)險(xiǎn)管理（RiskManagement）風(fēng)險(xiǎn)評估和分析（RiskAssessmentandAnalysis）策略、標(biāo)準(zhǔn)、基線、指南和流程（Policies,Standards,Baselines,Guidelines,andProcedures）信息分級（InformationClassification）責(zé)任分層（LayersofResponsibility）安全指導(dǎo)委員會（SecuritySteeringCommittee）安全治理（SecurityGovernance）第六頁，共七十四頁。安全基本原則

FundamentalPrinciplesofSecurity保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity）——確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。可用性（Availability）——確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：DisclosureAlterationDestruction泄漏破壞篡改第七頁，共七十四頁。安全基本原則可用性（Availability）確保授權(quán)的用戶能夠及時(shí)、可靠地訪問數(shù)據(jù)和資源完整性（Integrity）保證信息和系統(tǒng)的準(zhǔn)確性和可靠性，并禁止對數(shù)據(jù)的非授權(quán)更改

保密性（Confidentiality）強(qiáng)制實(shí)施了必要的保密級別，防止為經(jīng)授權(quán)的信息披露肩窺（Shouldersurfing）通過穿過別人的肩膀獲取未經(jīng)授權(quán)的信息的一種方法社會工程（Socialengineering）通過欺騙他人獲取未經(jīng)授權(quán)訪問的信息第八頁，共七十四頁。安全基本原則平衡的安全安全目標(biāo)SecurityObjectives可用性Availability保密性Confidentiality完整性Integrity第九頁，共七十四頁。安全定義

SecurityDefinitions威脅因素（Threatagent）威脅（Threat）脆弱性（vulnerability

）風(fēng)險(xiǎn)（Risk）資產(chǎn)（Asset）暴露（exposure）安全措施（Safeguard）Givesriseto引起Exploits利用leadsto導(dǎo)致Candamage可以破壺Andcausesan并且引起Canbecountermeasuredbya能夠被預(yù)防Directlyaffects直接作用到第十頁，共七十四頁。安全定義脆弱性（vulnerability）一種軟件、硬件或者過程缺陷。并可以給攻擊者提供便利，產(chǎn)生未授權(quán)的訪問。威脅（threat）任何對信息或系統(tǒng)潛在的威脅風(fēng)險(xiǎn)（risk）威脅因素利用脆弱性所造成的損失的潛在的可能性。暴露（exposure）因威脅因素而遭受損失的一個(gè)案例對策（countermeasure,orsafeguard）可以減輕潛在風(fēng)險(xiǎn)的策略或者安全措施威脅threat

暴露exposure

脆弱性vulnerability

對策countermeasure風(fēng)險(xiǎn)risk

第十一頁，共七十四頁?？刂祁愋?/p>

SecurityDefinitions控制類型Controltypes：管理控制、技術(shù)控制和物理控制控制功能Controlfunctionalities：威懾Deterrent—挫敗潛在攻擊者。預(yù)防Preventive—防止意外事件發(fā)生。糾正Corrective—事件發(fā)生后修復(fù)?；謴?fù)Recovery—恢復(fù)必要的組件到正常的操作狀態(tài)。檢測Detective—事件發(fā)生后識別其行為。補(bǔ)償Compensating—向原來的控制措施那樣提供類似保護(hù)要。深度防御Defense-in-depth

為使成功滲透和威脅更難實(shí)現(xiàn)而采用多種控制措施。第十二頁，共七十四頁。安全架構(gòu)（SecurityFrameworks）SecurityBlueprints安全藍(lán)圖COSOITILRISFCOBITISO27000第十三頁，共七十四頁。安全框架COSO反舞弊財(cái)務(wù)報(bào)告委員會發(fā)起組織委員會（COSO）-成立于1985年，負(fù)責(zé)主持全美反虛假報(bào)告委員會工作，根據(jù)研究結(jié)果向上市公司及其審計(jì)師、證劵交易委員會以及其他監(jiān)管機(jī)構(gòu)提出建議。COBITCOBIT是由IT治理協(xié)會發(fā)布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT5框架的支持模塊，使用術(shù)語“管理過程”代替了原來的“控制措施”。ITIL信息技術(shù)基礎(chǔ)設(shè)施庫（ITIL）第3版包括五本書，涵蓋了服務(wù)管理的整個(gè)生命周期。ISO/IEC27000ISO/IEC27000系列標(biāo)準(zhǔn)提供了整個(gè)信息安全管理體系環(huán)境下的信息安全管理、風(fēng)險(xiǎn)和控制的最佳實(shí)踐推薦。ISF信息安全論壇（ISF）-最佳實(shí)踐標(biāo)準(zhǔn)給出了實(shí)踐指南和解決方案來處理目前影響業(yè)務(wù)信息的大范圍安全挑戰(zhàn)。第十四頁，共七十四頁。安全管理（SecurityManagement）信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，其主要活動包括：識別信息資產(chǎn)及相關(guān)風(fēng)險(xiǎn)，采取恰當(dāng)?shù)牟呗院涂刂拼胧┮韵麥p風(fēng)險(xiǎn)，監(jiān)督控制措施有效性，提升人員安全意識等。第十五頁，共七十四頁。

根據(jù)風(fēng)險(xiǎn)評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。

實(shí)施所選的安全控制措施。提升人員安全意識。

針對檢查結(jié)果采取應(yīng)對措施，改進(jìn)安全狀況。

依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實(shí)施情況進(jìn)行符合性檢查。信息安全管理模型第十六頁，共七十四頁。風(fēng)險(xiǎn)管理（RiskManagement）在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受到損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)管理（RiskManagement）就是識別風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。第十七頁，共七十四頁。風(fēng)險(xiǎn)管理相關(guān)要素資產(chǎn)（Asset）——對組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識別出威脅源（Threstsource）或威脅代理（Threstagent）。弱點(diǎn)（Vulnerability）——也被稱作漏洞或脆弱性，及資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。可能性（Likelihood）——對威脅發(fā)生幾率（Probability）或頻率（Freqiency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidlRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。第十八頁，共七十四頁。匹配以下的術(shù)語和定義暴露可能性威脅防護(hù)措施對策資產(chǎn)攻擊/利用總風(fēng)險(xiǎn)脆弱性威脅來源/威脅源控制對組織實(shí)現(xiàn)方向和目標(biāo)有價(jià)值的東西。有可能對IT系統(tǒng)產(chǎn)生損害的任何環(huán)境或事件。信息或信息系統(tǒng)的潛在危險(xiǎn)。某個(gè)威脅導(dǎo)致?lián)p失的負(fù)面事件的影響，或某次攻擊所導(dǎo)致?lián)p失的數(shù)量。在系統(tǒng)安全程序、設(shè)計(jì)、實(shí)施或內(nèi)部控制方面的缺陷或弱項(xiàng)，可能被執(zhí)行（無意的或有意的）導(dǎo)致安全違規(guī)或違反系統(tǒng)的安全策略。潛在脆弱性在相關(guān)威脅環(huán)境中利用的概率或幾率。企圖導(dǎo)致?lián)p害的活動。威脅源利用信息系統(tǒng)的脆弱性實(shí)現(xiàn)猥褻的行為。保護(hù)系統(tǒng)的行政的、技術(shù)的或物理的措施和活動。包括對策和防護(hù)措施。事后應(yīng)用的控制措施，被動性的。事前應(yīng)用的控制措施，主動性的。包括威脅、脆弱性和資產(chǎn)價(jià)值的所有因素。第十九頁，共七十四頁。風(fēng)險(xiǎn)管理各要素相互關(guān)系Safeguards安全措施Securityrequirement安全需求Protectagainst防范Metby采取Indicate提出Reduce減少threats威脅vulnerabilities脆弱性Exploit利用Increase導(dǎo)致Increase導(dǎo)致Expose暴露Increase增加Have具有Risk風(fēng)險(xiǎn)Assets資產(chǎn)Assetsvalue資產(chǎn)價(jià)值第二十頁，共七十四頁。風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅弱點(diǎn)資產(chǎn)威脅弱點(diǎn)第二十一頁，共七十四頁。風(fēng)險(xiǎn)管理過程的邏輯方式Risk風(fēng)險(xiǎn)Threat威脅Vulnerability脆弱性AssetValue資產(chǎn)價(jià)值=××ResidualRisk殘余風(fēng)險(xiǎn)Threat威脅Vulnerability脆弱性AssetValue資產(chǎn)價(jià)值=××（）×ControlGap控制差距第二十二頁，共七十四頁。風(fēng)險(xiǎn)評估和分析

RiskAssessmentandAnalysis風(fēng)險(xiǎn)評估（RiskAssessment）是對信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來風(fēng)險(xiǎn)的大小或水平的評估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括：識別機(jī)構(gòu)風(fēng)險(xiǎn)的各種因素評估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評價(jià)風(fēng)險(xiǎn)水平或大小確定組織承受風(fēng)險(xiǎn)的能力確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序推薦風(fēng)險(xiǎn)消減對策以供實(shí)施包括風(fēng)險(xiǎn)分析（RiskAnalysis）和風(fēng)險(xiǎn)評價(jià)（RiskEvaluation）兩部分，但一般來說，風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)分析同義。第二十三頁，共七十四頁。風(fēng)險(xiǎn)評估一般過程第二十四頁，共七十四頁。定量評估和定性評估定量風(fēng)險(xiǎn)評估：試圖從數(shù)字上對安全風(fēng)險(xiǎn)及其構(gòu)成因素進(jìn)行分析評估的一種方法。定性風(fēng)險(xiǎn)評估：憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級。定性風(fēng)險(xiǎn)分析優(yōu)點(diǎn)計(jì)算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價(jià)值和威脅頻率不必精確計(jì)算推薦的安全措施的成本流程和報(bào)告形式比較有彈性缺點(diǎn)本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗(yàn)和能力，較難客觀地跟蹤風(fēng)險(xiǎn)管理的效果對關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險(xiǎn)分析優(yōu)點(diǎn)評估結(jié)果是建立在獨(dú)立客觀的程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價(jià)值和預(yù)期損失易理解可利用自動化工具幫助分析缺點(diǎn)輸入數(shù)據(jù)的可靠性和精確性難以保證沒有一種標(biāo)準(zhǔn)化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商信息計(jì)算量大，方法復(fù)雜，費(fèi)時(shí)費(fèi)力第二十五頁，共七十四頁。定量風(fēng)險(xiǎn)評估概述對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額。當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，，風(fēng)險(xiǎn)評估的整個(gè)過程和結(jié)果就都可以被量化。定量分析有兩個(gè)關(guān)鍵指標(biāo)：事件發(fā)生的頻率（用ARO來表示）和威脅事件可能引起的損失（用EF來表示）。理論上講，通過定量分析可以對安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級，但這有個(gè)前提，那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的。定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長期性，計(jì)算過程又極易出錯，這就給分析的細(xì)化帶來了很大困難。實(shí)際風(fēng)險(xiǎn)分析時(shí)，采用定量分析或者純定量分析方法比較少第二十六頁，共七十四頁。定量分析基本概念暴露因子（ExposureFactor，EF）——特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。單一損失期望（SingleLossExpectancy，SLE）——或者稱作SOC（SingleOccuranceCosts），即特定威脅單次發(fā)生可能造成的潛在損失量。年度發(fā)生率（AnnualizedRateofOccurrence，ARO）——即威脅在一年內(nèi)估計(jì)會發(fā)生的次數(shù)。年度損失期望（AnnualizedLossExpectancy，ALE）——或者稱作EAC（EstimatedAnnualCost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。第二十七頁，共七十四頁。定量分析基本過程識別資產(chǎn)并為資產(chǎn)賦值；評估威脅和弱點(diǎn)，評價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%~100%之間）；計(jì)算特定威脅發(fā)生的次數(shù)（頻率），即ARO；計(jì)算資產(chǎn)的SLE；計(jì)算資產(chǎn)的ALE。資產(chǎn)價(jià)值（AV）×暴露因子（EF）=單一損失期望（SLE）單一損失期望（SLE）×年發(fā)生比率（ARO）=ALE（年度損失期望）第二十八頁，共七十四頁。定量分析舉例假定某公司投資500,000美元建了一個(gè)網(wǎng)絡(luò)運(yùn)營中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運(yùn)營中心的估計(jì)損失程度是45%。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運(yùn)營中心所在的地區(qū)每5年會發(fā)生一次火災(zāi)，于是我們得出了ARO為0.20的結(jié)果?；谝陨蠑?shù)據(jù)，該公司網(wǎng)絡(luò)運(yùn)營中心的ALE將是45,000美元。AssetThreatAssetValueEFSLEAROALE網(wǎng)絡(luò)運(yùn)營中心火災(zāi)$500,0000.45225,0000.20$45,000Web服務(wù)器電源故障$25,0000.25$6,2500.50$3,125Web數(shù)據(jù)病毒%150,0000.33$50,0002.00$1000,000客戶數(shù)據(jù)泄漏$250,0000.75$187,5000.66$123,750第二十九頁，共七十四頁。定性風(fēng)險(xiǎn)評估概述定性分析方法目前采用最為廣泛，它帶有很強(qiáng)的主觀性，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級，例如“高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問卷（Questionnaire）、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來相對容易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反‘定性分析沒有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。第三十頁，共七十四頁。識別信息資產(chǎn)對資產(chǎn)進(jìn)行保護(hù)是信息安全的直接目標(biāo)。劃入風(fēng)險(xiǎn)評估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識別和評價(jià)。應(yīng)該清楚識別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。信息資產(chǎn)的存在形式多種，物理的、邏輯的、無形的。

電子數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊，培訓(xùn)資料，計(jì)劃等。

書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。

軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序。

實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施。

人員：承擔(dān)特定職能和責(zé)任的人員或角色。

服務(wù)：計(jì)算和通信服務(wù)，外包服務(wù)，其他技術(shù)性服務(wù)。

組織形象與聲譽(yù)：無形資產(chǎn)。第三十一頁，共七十四頁。評價(jià)信息資產(chǎn)資產(chǎn)評價(jià)時(shí)應(yīng)該考慮：信息資產(chǎn)因?yàn)槭軗p而對業(yè)務(wù)造成的直接損失信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測、控制、修復(fù)時(shí)的人力和物力組織公眾形象和名譽(yù)上的損失，因業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失其他損失，例如保險(xiǎn)費(fèi)用的增加定性分析時(shí)，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或成果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級，例如：災(zāi)難性、較大、中等、較小、可忽略應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。第三十二頁，共七十四頁。識別并評估威脅識別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅通常包括（來源）：

人員威脅：故意破壞和無意失誤系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風(fēng)、雷電等評估威脅可能性時(shí)要考慮到威脅源的動機(jī)和能力因素（內(nèi)因）。威脅發(fā)生的可能性可以用“高”、“中”、“低”三級來衡量。第三十三頁，共七十四頁。識別并評估弱點(diǎn)針對每一項(xiàng)需要保護(hù)的資產(chǎn)，找到到可被威脅利用的弱點(diǎn)，包括：技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人的不良習(xí)慣、操作過程的漏洞管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足弱點(diǎn)的識別途徑：審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測試和評估報(bào)告專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試評估弱點(diǎn)時(shí)需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級來衡量。第三十四頁，共七十四頁。資產(chǎn)、威脅及弱點(diǎn)關(guān)系弱點(diǎn)威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件，信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)沒有應(yīng)急計(jì)劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)第三十五頁，共七十四頁。風(fēng)險(xiǎn)評價(jià)之前需要確定兩個(gè)指標(biāo)風(fēng)險(xiǎn)影響：

可以通過資產(chǎn)的價(jià)值評估來確定

分級方式根據(jù)需要來定，例如：

（1，2，3，4，5），即：

（可忽略，較小，中等，較大，災(zāi)難性）風(fēng)險(xiǎn)可能性：

可以通過威脅可能性、弱點(diǎn)暴露度的評價(jià)來綜合得出

需要考慮到現(xiàn)有控制措施的效力（控制措施會影響對威脅及弱點(diǎn)的判斷）

分級方式根據(jù)需要來定（取決于威脅和弱點(diǎn)的評價(jià)標(biāo)準(zhǔn)），例如：

（1，2，3，4，5），即：

（幾乎肯定，很可能，有可能，不太可能，很罕見）第三十六頁，共七十四頁。對現(xiàn)有控制措施的考慮從針對性和實(shí)施方式來看，控制措施包括三類：管理性（Administrative）：對系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等。從功能來看，控制措施類型包括：威懾性（Deterrent）預(yù)防性（Preventive）檢測性（Detective）糾正性（Corrective）第三十七頁，共七十四頁。風(fēng)險(xiǎn)評估矩陣可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）等級取值范圍名稱描述H25,20High，高風(fēng)險(xiǎn)最高等級的風(fēng)險(xiǎn)，需要立即采取應(yīng)對措施。不可接受。S12,15,16Significant，嚴(yán)重風(fēng)險(xiǎn)需要高級管理層注意。不可接受M6,8,9,10Moderate，中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險(xiǎn)可以通過例行程序來處理?？山邮?。第三十八頁，共七十四頁。定性風(fēng)險(xiǎn)評估舉例風(fēng)險(xiǎn)場景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。確定風(fēng)險(xiǎn)因子：影響為3（中等）可能性為4（很可能）評估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為S級（嚴(yán)重風(fēng)險(xiǎn)）應(yīng)對風(fēng)險(xiǎn)：根據(jù)公司確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對該風(fēng)險(xiǎn)采取措施予以消減。可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）12（S）第三十九頁，共七十四頁。確定風(fēng)險(xiǎn)消減策略RiskMitigation降低風(fēng)險(xiǎn)（ReduceRisk）——實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)惡意軟件攻擊的機(jī)會減少弱點(diǎn)：例如，通過安全意識培訓(xùn)，強(qiáng)化職員的安全意識與安全操作能力降低影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份規(guī)避風(fēng)險(xiǎn)（AvoidRisk）——或者RejectingRisk。有時(shí)候，組織可以選擇放棄某些可能引來風(fēng)險(xiǎn)業(yè)務(wù)或資產(chǎn)，以此來規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險(xiǎn)（TransferRisk）——也稱作RiSkAssignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對措施之后，對于殘留的風(fēng)險(xiǎn)，組織可以選擇接受。第四十頁，共七十四頁。選擇控制措施以降低風(fēng)險(xiǎn)選擇安全措施時(shí)首先關(guān)注的是其基本功能，其次還有效力。選擇安全措施（對策）時(shí)需要進(jìn)行成本效益分析：基本原則：實(shí)施安全措施的代價(jià)不應(yīng)該大于所要保護(hù)資產(chǎn)的價(jià)值對策成本：購買費(fèi)用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價(jià)值=實(shí)施控制之前的ALE-控制的年成本-實(shí)施控制之后的ALE除了成本效益，還應(yīng)該考慮到以下約束條件：時(shí)間約束，技術(shù)約束，環(huán)境約束法律約束，社會約束確定所選安全措施的效力，是看實(shí)施新措施之后還有什么殘留風(fēng)險(xiǎn)第四十一頁，共七十四頁。評價(jià)殘留風(fēng)險(xiǎn)絕對安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)R0-控制效力ΔR殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt對殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的成果。決策者可以根據(jù)風(fēng)險(xiǎn)評估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。第四十二頁，共七十四頁。殘留風(fēng)險(xiǎn)計(jì)算舉例風(fēng)險(xiǎn)場景：一個(gè)個(gè)人經(jīng)濟(jì)上那個(gè)存在問題的公司職員有權(quán)獨(dú)立訪問某類高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。實(shí)施控制之前：影響為3（中等），可能性為4（很可能），風(fēng)險(xiǎn)為12（S級）。實(shí)施控制之后：影響為3不變，可能性降為1，殘留風(fēng)險(xiǎn)為3（L級）。應(yīng)對殘留風(fēng)險(xiǎn)：殘留風(fēng)險(xiǎn)在可接受范圍內(nèi)，說明控制措施的應(yīng)用是成功的?？赡苄杂绊懣珊雎?較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）3（L）第四十三頁，共七十四頁。策略、標(biāo)準(zhǔn)、基線、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方針Policy程序Procedure標(biāo)準(zhǔn)Standard強(qiáng)制性指南Guideline建議性基線Baseline最低標(biāo)準(zhǔn)目標(biāo)要求具體步驟實(shí)現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次第四十四頁，共七十四頁。策略、標(biāo)準(zhǔn)、基線、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方針——處于策略鏈的最高層次，它是由組織的高級管理層發(fā)布的、關(guān)于信息安全最一般性的聲明。方針應(yīng)該代表著高級管理層對信息安全承擔(dān)責(zé)任的一種承諾。一旦發(fā)布，要求組織成員必須遵守。方針的實(shí)施要依靠標(biāo)準(zhǔn)、指南和程序。標(biāo)準(zhǔn)——標(biāo)準(zhǔn)規(guī)定了在組織范圍內(nèi)強(qiáng)制執(zhí)行的對特定技術(shù)和方法的使用。標(biāo)準(zhǔn)起著驅(qū)動方針的作用，標(biāo)準(zhǔn)可以用來建立方針執(zhí)行的強(qiáng)制機(jī)制。指南——類似于標(biāo)準(zhǔn)，也是關(guān)于加強(qiáng)系統(tǒng)安全的方法，但它是建議性的。指南比標(biāo)準(zhǔn)更靈活，考慮到了不同信息系統(tǒng)的特點(diǎn)。指南也可用來規(guī)定標(biāo)準(zhǔn)的的開發(fā)方式，或者保證對一般性安全原則的遵守。彩虹系列、CC、BS7799等，都可以看作是此類。基線——基線建立的是滿足方針要求的最低級別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的開發(fā)通常都是以基線為基礎(chǔ)的，基線可以看作是抽象的簡單化的標(biāo)準(zhǔn)。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配置。程序——是執(zhí)行特定任務(wù)的詳細(xì)步驟。位于策略鏈的最低層次，是實(shí)現(xiàn)方針、標(biāo)準(zhǔn)和指南的詳細(xì)步驟第四十五頁，共七十四頁。策略的種類規(guī)章性策略用于確保組織機(jī)構(gòu)遵守特定的行業(yè)規(guī)章建立的標(biāo)準(zhǔn)建議性策略強(qiáng)烈推薦雇員在組織機(jī)構(gòu)中應(yīng)該采取的某些行為和活動指示性策略告知雇員相關(guān)信息第四十六頁，共七十四頁。信息分級（InformationClassification）并不是所有的數(shù)據(jù)都有相同的價(jià)值，不同數(shù)據(jù)的敏感程度也不同，組織需要判斷應(yīng)該投入多少資金和資源去保護(hù)不同的數(shù)據(jù)為此，通過數(shù)據(jù)分類，識別最敏感最關(guān)鍵的數(shù)據(jù)，從而對應(yīng)選擇保護(hù)措施，確保對cel各類數(shù)據(jù)的保護(hù)達(dá)到合適的水平數(shù)據(jù)分類能夠宣示組織在信息安全保護(hù)方面所做的承諾通過數(shù)據(jù)分類和實(shí)施恰當(dāng)?shù)谋Ｗo(hù)，可以保證信息資產(chǎn)的CIA政府機(jī)構(gòu)沿用數(shù)據(jù)分類已經(jīng)很久，但主要強(qiáng)調(diào)保密性，側(cè)重于防泄密數(shù)據(jù)分類也是符合隱私或數(shù)據(jù)保護(hù)相關(guān)法律的必要活動識別信息對篡改的敏感度：以便將注意力集中在完整性控制上識別需要保護(hù)的機(jī)密性信息的敏感度：理解信息的價(jià)值滿足法律要求第四十七頁，共七十四頁。信息分級

根據(jù)信息的用途、價(jià)值、敏感程度等屬性的不同，將信息分為不同的級別和類別，制定針對不同級別和類別的信息安全保護(hù)辦法，這樣在工作中只要正確標(biāo)定和執(zhí)行相關(guān)的保護(hù)措施，就可以比較方便、有效地保障信息的安全傳統(tǒng)上，政府和軍方比較關(guān)注信息的保密性，通常把信息分為絕密（TopSecret）、機(jī)密（Secret）、保密（Confidential）、敏感非保密（SensitiveButUnclassified）、非保密（Unclassified）民間機(jī)構(gòu)對隱私保護(hù)、完整性、可用性要求比較突出，可以把信息分為保密（Confidential）、私密（Private）、敏感（Sensitive）、公開（Public）信息資產(chǎn)應(yīng)由其擁有者（Owner）負(fù)責(zé)確定其保護(hù)級別，由保管者（Custodian）和使用者（User）應(yīng)遵循與級別相關(guān)的保護(hù)要求和措施第四十八頁，共七十四頁。政府機(jī)構(gòu)數(shù)據(jù)分類方案示例類別描述絕密（TopSecret）絕密信息的泄漏會對國家安全造成極大的破壞。在美國，此等級對應(yīng)的只有總統(tǒng)。秘密（Secret）泄漏秘密的數(shù)據(jù)會給國家安全造成嚴(yán)重?fù)p害，只是這些信息的敏感程度不如絕密數(shù)據(jù)那么大。機(jī)密（Confidential）通常指那些受法律保護(hù)不得泄漏的數(shù)據(jù)，例如美國的信息自由法，但此類數(shù)據(jù)并不屬國家安全數(shù)據(jù)。敏感但非常（SensitiveButUnclassified，SBU）SBU數(shù)據(jù)對國家安全并不重要，但泄漏這些數(shù)據(jù)可能會帶來某些危害。許多機(jī)構(gòu)將其得到的公民數(shù)據(jù)歸類為SBU，例如保健信息。非密（Unclassified）沒有進(jìn)行分類或并不敏感的數(shù)據(jù)。此類數(shù)據(jù)的公開發(fā)布并不影響保密性。第四十九頁，共七十四頁。商業(yè)機(jī)構(gòu)數(shù)據(jù)分類方案示例類別描述機(jī)密（Confidential）非常敏感，只應(yīng)內(nèi)部使用。未授權(quán)泄漏將對公司造成嚴(yán)重的、負(fù)面的影響。例如，有關(guān)新產(chǎn)品開發(fā)的信息，商業(yè)秘密，合并談判等。私秘（Private）與個(gè)人相關(guān)的信息，只應(yīng)被公司使用。其泄漏可能對公司或其職員造成消極影響。例如，薪資和醫(yī)療信息。敏感（Sensitive）此類信息要求比正常數(shù)據(jù)具有更高的分類等級。要求具有高度的完整性和保密性。公共（Public）類似未分類信息。所有并不適合上述類別的公司信息都?xì)w為此類。公共數(shù)據(jù)是最不敏感的數(shù)據(jù)，如果泄漏，不會對公司造成嚴(yán)重或者消極影響。第五十頁，共七十四頁。三級數(shù)據(jù)分類方案示例類別描述（強(qiáng)調(diào)保密性）機(jī)密（Confidential）最敏感的，應(yīng)遵循need-to-know原則內(nèi)部使用（Internaluseonly）在內(nèi)部傳播是安全的，但不能對外泄漏公共（Public）公開泄漏也沒關(guān)系類別描述（強(qiáng)調(diào)完整性和可用性）高（High）如果信息遭受破壞，可能帶來人身傷亡、嚴(yán)重的經(jīng)濟(jì)損失或刑罰中（Medium）如果信息遭受破壞，會帶來顯著地經(jīng)濟(jì)損失低（Low）如果信息遭受破壞，只會造成輕微的損失，需要最少的管理措施來予以糾正第五十一頁，共七十四頁。數(shù)據(jù)分類標(biāo)準(zhǔn)價(jià)值（Value）：價(jià)值是最通常的數(shù)據(jù)分類標(biāo)準(zhǔn)，如果信息對一個(gè)組織或者其競爭對手有價(jià)值，就需要分類壽命（Age）：隨著時(shí)間的推移，信息價(jià)值會降低，其分類也會降低。例如，政府部門，某些分類檔案會在預(yù)定的時(shí)間期限過后自動解除分類使用期（UsefulLife）：如果由于新信息的替代、公司發(fā)生的真實(shí)變化或者其他原因，信息過時(shí)了，可以對其解除分類人員關(guān)聯(lián)（PersonalAssociation）：如果信息與特定個(gè)人相關(guān)，或者是法律（比如隱私法）、規(guī)章和責(zé)任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類第五十二頁，共七十四頁。數(shù)據(jù)分類相關(guān)角色和責(zé)任屬主（Owner）：信息屬主可能是組織的某個(gè)決策者或者管理者，或者部門負(fù)責(zé)人，或者是信息的創(chuàng)建者，對必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“duecare”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。信息屬主的責(zé)任在于：基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任保管者（Custodian）:受信息屬主委托而負(fù)責(zé)保護(hù)信息，通常由IT系統(tǒng)人員來承擔(dān)，其職責(zé)包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時(shí)對數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息安全的責(zé)任；用戶必須只將公司的計(jì)算資源用作公司目的，不能做個(gè)人使用第五十三頁，共七十四頁。分級控制數(shù)據(jù)分級措施定義分級級別指定確定如何分類數(shù)據(jù)的準(zhǔn)則由數(shù)據(jù)所有者指明負(fù)責(zé)的數(shù)據(jù)的分類任命負(fù)責(zé)維護(hù)數(shù)據(jù)及其安全級別的數(shù)據(jù)管理員制定每種分類級別所需的安全控制或保護(hù)機(jī)制記錄上述分類問題的例外情況說明可用于將信息保管轉(zhuǎn)交給其他數(shù)據(jù)所有者的方法建立一個(gè)定期審查信息分類和所有權(quán)的措施。向數(shù)據(jù)管理員通報(bào)任何變更指明信息解密措施將這些安全問題綜合為安全意識計(jì)劃，讓所有員工都了解如何處理不同分類級別的數(shù)據(jù)第五十四頁，共七十四頁。分類數(shù)據(jù)對外分發(fā)分類信息往往需要對外分發(fā)，隨即帶來的隱患應(yīng)該引起注意。以下是一些需要對外分類信息進(jìn)行分發(fā)的例子：法律程序：為了遵守某些法律程序，分類信息可能需要泄漏出來政府合同：政府訂約人可能需要根據(jù)與政府項(xiàng)目相關(guān)的采購協(xié)議而泄漏分類信息高層批準(zhǔn)：高級決策層可能授權(quán)向外部實(shí)體或組織發(fā)布分類信息，此類發(fā)布可能要求外部伙伴簽署保密協(xié)議第五十五頁，共七十四頁。責(zé)任分層（LayersofResponsibility）董事會（BoardofDirectors）董事會由企業(yè)股東選出的一組人員組成，負(fù)責(zé)監(jiān)督企業(yè)憲章的執(zhí)行情況。成立董事會的是為了確保股東的利益得到保護(hù)，并且企業(yè)能夠平穩(wěn)運(yùn)行。董事會成員應(yīng)該是沒有偏見的獨(dú)立個(gè)人，他們負(fù)責(zé)監(jiān)督行政人員在管理公司方面的表現(xiàn)。執(zhí)行管理層（ExecutiveManagement）執(zhí)行管理層由頭銜以字母C開頭的個(gè)人組成CEO通常由董事會主席擔(dān)任，是公司內(nèi)地位最高的人。擔(dān)任這個(gè)角色的人負(fù)責(zé)從宏觀絕度監(jiān)督公司的財(cái)務(wù)、戰(zhàn)略規(guī)劃和運(yùn)營。CFO（chieffinancialofficer，首席財(cái)務(wù)官）負(fù)責(zé)公司的賬目和財(cái)務(wù)活動以及組織機(jī)構(gòu)的總體財(cái)務(wù)結(jié)構(gòu)。他負(fù)責(zé)決定組織機(jī)構(gòu)的財(cái)務(wù)需求，以及如何為這些需求提供資金。第五十六頁，共七十四頁。執(zhí)行管理層CIO（ChiefInformationOfficer，首席信息官）處于公司組織結(jié)構(gòu)的較低層。根據(jù)企業(yè)結(jié)構(gòu)，他們負(fù)責(zé)向CEO或CFO上報(bào)，并且負(fù)責(zé)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)和技術(shù)的戰(zhàn)略使用與管理。越來越多的組織機(jī)構(gòu)要求CIO進(jìn)入高級管理層。CIO的職責(zé)已經(jīng)擴(kuò)展到在業(yè)務(wù)流程管理、收入來源以及如何利用公司的內(nèi)在技術(shù)實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略方面與CEO（和其他管理層）進(jìn)行合作CPO（ChiefPrivacyOfficer，首席隱私官）是一個(gè)較新的職位，設(shè)立該職位主要是因?yàn)楣驹诒Ｗo(hù)各種類型數(shù)據(jù)方面面臨日益增長的需求。這個(gè)角色負(fù)責(zé)確?？蛻?、公司和雇員數(shù)據(jù)的安全，避免公司陷入刑事和民事訴訟，并防止公司由于數(shù)據(jù)泄露而登上新聞頭條。這個(gè)職位通常由律師擔(dān)任，并直接參與有關(guān)數(shù)據(jù)的收集、保護(hù)盒將數(shù)據(jù)交付給第三方的策略制訂。第五十七頁，共七十四頁。執(zhí)行管理層CSO（ChiefSecurityOfficer，首席安全官）了解公司面臨的風(fēng)險(xiǎn)和將這些風(fēng)險(xiǎn)緩解至可接受的級別。這個(gè)角色要了解組織機(jī)構(gòu)的業(yè)務(wù)推動了，并為促進(jìn)這些推動力而制訂和維護(hù)一個(gè)安全計(jì)劃，同時(shí)還負(fù)責(zé)提供安全、確保遵守大量法律法規(guī)以及滿足客戶需求或合約義務(wù)。第五十八頁，共七十四頁。安全指導(dǎo)委員會

（SecuritySteeringCommittee）審計(jì)委員會（AuditCommittee）公司財(cái)務(wù)報(bào)表以及向股東和其他人提供的財(cái)務(wù)信息的完整性公司的內(nèi)部控制系統(tǒng)獨(dú)立審計(jì)員的雇傭和表現(xiàn)內(nèi)部審計(jì)功能實(shí)現(xiàn)遵守與道德有關(guān)的法律要求和公司策略數(shù)據(jù)屬主（Dataowners）確定數(shù)據(jù)的分類等級，確定訪問特權(quán)，維護(hù)信息系統(tǒng)中數(shù)據(jù)的正確性和完整性數(shù)據(jù)保管（DataCustodian）負(fù)責(zé)保管系統(tǒng)/數(shù)據(jù)庫，通常就是網(wǎng)絡(luò)和系統(tǒng)管理人員系統(tǒng)所有者（SystemOwner）包括網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用等的系統(tǒng)管理員根據(jù)安全管理的要求對自己所負(fù)責(zé)的系統(tǒng)進(jìn)行日常安全保障第五十九頁，共七十四頁。安全指導(dǎo)委員會

（SecuritySteeringCommittee）安全管理員（SecurityAdministrator）負(fù)責(zé)實(shí)施、監(jiān)視并執(zhí)行安全規(guī)定和策略各部門可以設(shè)立自己的安全管理員，負(fù)責(zé)執(zhí)行本部門安全管理事務(wù)向安全委員會/信息安全主管報(bào)告安全分析員（SecurityAnalyst）幫助制訂策略、標(biāo)準(zhǔn)和指南，并設(shè)立各種基準(zhǔn)應(yīng)用程序所有者（ApplicationOwner）業(yè)務(wù)部門經(jīng)理，負(fù)責(zé)規(guī)定哪些人有權(quán)訪問他們的應(yīng)用程序監(jiān)督員（Supervisor）也稱為用戶經(jīng)歷，主要負(fù)責(zé)所有用戶活動以及由這些用戶建立并擁有的資產(chǎn)第六十頁，共七十四頁。安全指導(dǎo)委員會（SecuritySteeringCommittee）變更控制分析員（ChangeControlAnalyst）負(fù)責(zé)批準(zhǔn)或否決變更網(wǎng)絡(luò)、系統(tǒng)或軟件的請求數(shù)據(jù)分析員（DataAnalyst）保證以最佳方式存儲數(shù)據(jù)，從而為需要訪問和應(yīng)用數(shù)據(jù)的公司與個(gè)人提供最大的便利流程所有者（ProcessOwner）負(fù)責(zé)正確定義、改進(jìn)并監(jiān)控這些過程方案解決商（SolutionProvider）用戶（User）具備應(yīng)有的安全意識遵守安全策略，恰當(dāng)使用信息和系統(tǒng)，通報(bào)安全事件第六十一頁，共七十四頁。安全指導(dǎo)委員會

（SecuritySteeringCommittee）生產(chǎn)線經(jīng)理（ProductLineManager）審計(jì)員（Auditor）向安全目標(biāo)管理提供獨(dú)立保障檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效第六十二頁，共七十四頁。安全指導(dǎo)委員會

（SecuritySteeringCommittee）人員安全職責(zé)分離（Separationofduties）不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)。例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易。雙重控制：開發(fā)/生產(chǎn)；安全管理/審計(jì)；加密密鑰管理/密鑰更改。知識分割：加密密鑰分成兩個(gè)組件，任何一個(gè)都不會泄漏另一個(gè)。工作輪換（Jobrotation）不允許某人過長時(shí)間地?fù)?dān)任某個(gè)固定的職位，其目的是避免個(gè)人獲得過多的控制。設(shè)置人員備份，有利于交叉培訓(xùn)，有利于發(fā)現(xiàn)欺詐行為。強(qiáng)制度假（Mandatoryvacation）要求擔(dān)任敏感職位的人員度假。讓某些職員離開崗位一段時(shí)間，其他人就能介入并檢查其疏漏第六十三頁，共七十四頁。安全指導(dǎo)委員會

（SecuritySteeringCommittee）人員離職（Termination）人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動辭職時(shí)解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動前使用標(biāo)準(zhǔn)的檢查列表（Checklist）來實(shí)施離職訪談離職者需在陪同下清理個(gè)人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時(shí)，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán)解除電話，注銷電子郵箱，鎖定Internet賬號

通知外部伙伴或客戶，聲明此人已離職第六十四頁，共七十四頁。背景檢查（BackgroundCheck）背景檢查是工作申請過程的一個(gè)部分，組織至少會審查申請人簡歷中的基本信息。可以通過ReferenceCheck來了解其真實(shí)履歷。對于敏感職位，可能還會考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因?yàn)槿藛T解雇而導(dǎo)致法律訴訟因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對其進(jìn)行檢查，對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。第六十五頁，共七十四頁。保密協(xié)議

（ConfidentialityAgreement）組織應(yīng)與所有員工簽訂保密協(xié)議（或者NDA