Download
1 / 103
1.03k likes | 1.17k Views
基本安全管理措施. 培训机构名称 讲师名字. 人力资源安全. 访问控制. 安全 方针. 物理与环境安全. 信息 系统 获取、开发和维护. 信息安全 事件 管理 与应急响应. 信息安全组织. 资产管理. 符合 性. 通信 和 操作 管理. 业务连续性 管理与 灾难恢复. 课程 内容. 基本安全 管理措施. 信息安全管理 措施. 重要安全 管理过程. 知识体. 知识域. 知识子域. 基本安全管理措施. 信息安全管理措施 理解安全管理控制措施是管理风险的具体手段 了解 8 个基本安全管理控制措施的基本内容 知识子域:安全方针
E N D
基本安全管理措施 • 培训机构名称 • 讲师名字
人力资源安全 访问控制 安全方针 物理与环境安全 信息系统获取、开发和维护 信息安全事件管理与应急响应 信息安全组织 资产管理 符合性 通信和操作管理 业务连续性管理与灾难恢复 课程内容 基本安全 管理措施 信息安全管理 措施 重要安全 管理过程 知识体 知识域 知识子域
基本安全管理措施 • 信息安全管理措施 • 理解安全管理控制措施是管理风险的具体手段 • 了解8个基本安全管理控制措施的基本内容 • 知识子域:安全方针 • 知识子域:人力资源安全 • 知识子域:信息安全组织 • 知识子域:资产管理 • 知识子域:物理与环境安全 • 知识子域:通信和操作管理 • 知识子域:访问控制 • 知识子域:符合性
完整性 保密性 风险 可用性 信息安全的内涵与定义 • 内涵 • 保障企业各类信息资产免于“不可承受的风险”的所有战略、程序与机制 • 考虑所有信息资产的: • 保密性(Confidentiality):保证信息只让合法用户访问; • 完整性(Integrity):保障信息及其处理方法的准确性(accuracy)、完全性(completeness); • 可用性(Availability):保证合法用户在需要时可以访问到信息及相关资产。 • 范围: • 关心的群体(总/分/子公司)、信息系统设备、人员、信息记录、服务
为什么要信息安全管理 • 信息安全的成败取决于两个因素:技术和管理。 • 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。 • 一项令人沮丧的调查结果:虽然90%的系统安装有防病毒软件,但这些系统中依然有85%感染了计算机病毒;虽然89%的系统安装有防火墙,60%的系统安装有入侵检测系统,但这些系统中依然有90%有安全漏洞,40%遭受了外来的入侵。 “We've deployed firewalls, virus scanning, and even intrusion detection. Yet we are still getting hit. Hmmm, maybe technology is not the whole solution?” • 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。
信息安全管理 • 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。 • 信息安全管理(Information Security Management)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
基于风险分析的安全管理方法 • 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 • 信息安全方针方针为信息安全管理提供导向和支持。 • 控制目标与控制措施的选择应该建立在风险评估的基础上。 • 考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。 • 需要全员参与。 • 遵循管理的一般模式——PDCA模型。
什么是控制措施 • 什么是控制措施 • 管理风险的方法。为达成企业目标提供合理保证,并能预防、检查和纠正风险。 • 它们可以是行政、技术、管理、法律等方面的措施。 • 控制措施的分类: • 预防性控制 • 检查性控制 • 纠正性控制
控制措施分类 • 预防性控制措施:在问题发生前潜在问题,并作出纠正 • 仅雇佣胜任的人员 • 职责分工 • 使用访问控制软件,只允许授权用户访问敏感文件 • 检查性控制:检查控制发生的错误、疏漏或蓄意行为 • 生产作业中设置检查点 • 网络通信过程中的Echo控制 • 内部审计 • 纠正性控制:减少危害影响,修复检查性控制发现的问题 • 意外处理计划 • 备份流程 • 恢复运营流程
信息安全管理控制措施的作用 完善信息安全 治理结构 风险评估 安全规划 持续改进 信息安全 管理框架 调整 技术手段 管理措施 信息系统 安全审计 符合控制标准? 信息安全 管理框架
ISO/IEC 27002:2005 Part 1–提供一套由最佳惯例构成的安全控制,涉及11个方面,包括39个控制目标和133项控制措施,可作为参考文件使用,但并不是认证评审的依据。 信息安全实施细则 • 信息安全方针 • 安全组织 • 资产分类和控制 • 人员安全 • 物理和环境安全 • 通信和操作管理 • 访问控制 • 系统获得、开发和维护 • 信息安全事件管理 • 业务连续性管理 • 依从性
信息安全实施细则——组织结构 • 每个主要安全类别,包括: • 一个控制目标,声明要实现什么 • 一个或多个控制措施,可被用于实现该控制目标 • 控制:是对该控制措施的定义 • 实施指南:是对实施该控制措施的指导性说明 • 其它信息:其它需要说明的补充信息 不是所有的控制措施适用于任何场合,它也不会考虑到使用者的具体环境和技术限制,也不可能对一个组织中所有人都适用。
11个方面 39个目标 133个控制措施 信息安全实施细则
信息安全实施细则 • ISO/IEC 27002:2005 • 前言 • 简介 什么是信息安全 (信息是一种资产,有多种存在形式,应该通过有效控制加以保护) 为什么需要信息安全 如何建立安全需求 (安全需求的三个来源) 评估安全风险 (安全需求经过系统地评估安全风险而得到确认 ) 选择控制 (安全控制可以从7799或其它有关标准选择,也可以自己设计满足特定要求的控制 ) 信息安全起点 (基于法律要求和信息安全最佳实践来选择控制措施) 关键的成功因素 开发你自己的指南 • 范围 • 术语和定义 • 2.1 定义 • 本标准的结构 • 3.1 条款 • 3.2 主安全目录 • 4 风险评估和处理 • 4.1 评估安全风险 • 4.2 处理安全风险
Why? • 有没有遇到过这样的事情? • 案例1 有单位领导说:“听说信息安全工作很重要,可是我不知道对于我们单位来说到底有多重要,也不知道究竟有哪些信息是需要保护的。” • 案例2 据说作为管理人员要把个人计算机的登录口令设置好,怎么设置才符合要求呢? 这些问题需要在“安全方针”中寻找答案
具体解释-1 • 信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件 • 信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求,为安全管理工作提供指导和支持 • 信息安全方针应当说明以下问题: • 本单位信息安全的整体目标、范围以及重要性; • 信息安全工作的基本原则; • 风险评估和风险控制措施的架构; • 需要遵守的法规和制度; • 信息安全责任分配; • 信息系统用户和运行维护人员应该遵守的规则
安全方针目标 • 目标: • 信息安全方针——为信息安全提供与业务需求和法律法规相一致的管理指示及支持 • 评审信息安全方针 • 安全方针应该做到: • 对信息安全加以定义 • 陈述管理层的意图 • 分派责任 • 约定信息安全管理的范围 • 对特定的原则、标准和遵守要求进行说明 • 对报告可疑安全事件的过程进行说明 • 定义用以维护策略的复查过程
具体解释-2 • 策略的种类: • 规章性策略 • 建议性策略 • 指示性策略 • 可以包括: • 服从法律和合同要求 • 避免病毒 • 安全教育要求 • 系统和数据访问控制 • 报告安全事故 • 对恶意行为和不适当访问及使用的惩处行动
关键点 信息安全方针主要阐述信息安全工作的原则,具体的技术实现问题,如设备的选型,系统的安全技术方案一般不写在安全方针中 信息安全方针应符合实际情况,切实可行。对策略的落实尤为重要 信息安全方针不是一成不变的,要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整
举例——《XX系统信息安全总体策略》 • 安全方针概述 • XX系统相关信息和支撑系统、程序等,不论它们以何种形式存在,均是XX系统的关键资产。 • 信息的可用性、完整性和保密性是信息安全的基本要素,关系到XX机关的形象和业务的持续运行。 • 必须保护这些资产不受威胁侵害。 • 定义和监督执行XX系统网络与信息安全总体策略是XX部门的责任。
举例——《XX系统信息安全总体策略》 • 安全方针概述 • 资产分类和控制 • 信息分类 • 资产分类:信息资产,包括计算机和网络,应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法,并根据分级和分类办法制定明晰的资产清单。 • 敏感信息、关键信息 • 资产的可审计性 • 计算机和网络的运行管理
Why? • 有没有遇到过这样的事情? • 案例1 我是一名网络管理员,发现最近来自外部的病毒攻击很猖獗,要是有15万买个防毒墙就解决问题了,找谁要这笔钱,谁来采购? • 案例2 我是一名普通工作人员,我的内网计算机上不了外网没办法打补丁,我该找谁获得帮助? 应该有一群人,至少包括单位领导、技术部门和行政部门的人组织在一起,专门负责信息安全的事
信息安全组织目标 • 目标: • 信息安全基础设施——在组织内部管理信息安全 • 外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全 • 包含的内容: • 与第三方签订的协议中应覆盖所有相关的安全要求 • 建立管理委员会,定义安全管理的角色和责任 • 对软硬件的采购建立授权过程 • 外包合同中的安全需求 • 包括内部组织和外部伙伴
具体解释 • 为有效实施信息安全管理,保障和实施系统的信息安全,在系统内部建立的组织架构。 • 信息安全责任的重要性 在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。
具体解释-内部组织 • 内部组织 • 目标:在组织内管理信息安全。 • 8个控制措施: • 信息安全的管理承诺 • 信息安全协调 • 信息安全职责的分配 • 信息处理设施的授权过程 • 保密性协议 • 与政府部门的联系 • 与特定利益集团的联系 • 信息安全的独立评审 1.企业内部达成共识 2.组织的安全建立责任分工划分,不同责任有不同指导原则 3.避免流于形式或作假
关键点 • 高层管理者参与(如本单位信息化领导小组),负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明 高层管理者就是说了算的,可以给人、给钱、给设备,提出工作要求还给与资源保障的人。
关键点 • 不仅仅由信息化技术部门参与,与信息安全相关的部门(如行政、人事、安保、采购、外联)都应参与到组织体系中各司其责,协调配合 信息安全工作和其他工作一样不是某个个人,某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构,但不是全部。
外部股东 策略 董事会 风险差距 战略发展 委员会 企业管理 性能 执行 委员会 性能 关键风险 风险控制措施 业务单元 不同的部门和层次都必须参与进来
举例——XX系统领导干部的信息安全责任 • 信息安全领导小组 • 信息安全领导小组是各级系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构。(负责本单位信息安全工作的宏观管理)。 • 各级信息安全领导小组的组长一般由各级系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。
信息安全领导小组 信息技术部门 业务应用部门 安全保卫部门 人事行政部门 其他有关部门 领导小组责任 • 领导小组责任 • 落实XX系统安全建设的总体规划 • 制定本单位安全规划并监督落实 • 负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度 • 负责本单位信息系统安全管理层以上的人员权限授予工作 • 审阅本单位信息安全报告 • 组织重大安全事故查处与汇报工作
责任划分 • 信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。 • 业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。 • 安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。 • 行政部门从行政上对信息安全保障执行管理工作。 • 各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
信息安全领导小组 信息技术部门 业务应用部门 安全保卫部门 人事行政部门 其他有关部门 信息技术部门岗位及其职责 • 信息技术部门岗位与职责举例
具体解释-外部各方 • 外部各方 • 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 • 3个控制措施: • 与外部各方相关风险的识别 • 处理与顾客有关的安全问题 • 处理第三方协议中的安全问题 访问风险: 1.维护软件设备的承包商 2.清洁、送餐人员 3.外部咨询人员
关键点 • 要注意充分理由外部资源,与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系 • 要注意外来风险,如与第三方机构签订保密协议,监督和限制其活动等 例如与电力部门建立良好的协作关系,停电了,UPS的电也要用光了,电力部门可以开个发电车来解决关键信息系统临时电力供应
Why? • 那些曾经发生过的事: • 案例一:2010年3月中旬,汇丰控股发布公告,其旗下汇丰私人银行(瑞士)的一名IT员工,曾于三年前窃取了银行客户的资料,失窃的资料涉及1.5万名于2006年10月前在瑞士开户的现有客户。有鉴于此,汇丰银行三年来共投放1亿瑞士法郎,用来将IT系统升级并加强保安。这让人想起了《论语》中的一句话:“吾恐季孙之忧,不在颛(zhuan)臾(yu),而在萧墙之内也。”萧墙之祸比喻灾祸、变乱由内部原因所致。 • 案例二:某单位负责信息化工作的领导说:“为什么要买防火墙?我们盖楼时是严格按照国家消防有关规定施工的呀!”
人力资源安全目标 • 目标: • 雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色,减少盗窃、滥用或设施误用的风险。 • 雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。 • 解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。 • 包含的内容: • 故意或者无意的人为活动可能给数据和系统造成风险 • 在正式的工作描述中建立安全责任,员工入职审查
具体解释-1 • 雇佣(上岗)前 • 明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任 • 对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录 • 要在合同或专门的协议中,明确其信息安全职责
具体解释-2 • 雇佣中 • 保证其充分了解所在岗位的信息安全角色和职责 • 有针对性地进行信息安全意识教育和技能培训 • 及时有效的惩戒措施
举例——一些终端管理的现状 • 员工缺乏基本的安全意识,特别是一些业务人员等,没有进行统一的、系统的安全培训和学习的机会。 • 由于员工对发生安全问题后造成的后果不负任何责任,从而也就不能有效的督促员工提高自己的安全意识,最终形成恶性循环、导致员工不能严格遵循公司的安全管理制度。 • 个人电脑的密码设置为空或者非常脆弱 • 系统默认安装,从不进行补丁升级 • 拨号上网,给个人以及整个公司带来后门 • 启动众多不用的服务 人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举。
具体解释-3 • 离职人员存在的安全隐患 • 未删除的帐户 • 未收回的各种权限 • VPN、远程主机、企业邮箱和VoIP等应用 • 其它隐含信息 • 网络机构、规划,存在的漏洞 • 同事的帐户、口令和使用习惯等 这些信息和权限如果被离职的员工和攻击者们恶意利用,很容易导致信息安全故障
具体解释-4 • 离职 • 终止职责,通知相关人员人事变化,明确离职后仍需遵守的责任规定 • 归还资产,保证离职人员归还软件、电脑、存储设备、文件和其他设备 • 撤销访问权限,撤销用户名、门禁卡、秘钥、数字证书等
Why? • 那些曾经发生过的事: • 案例1:某单位欲安装一台网络防火墙,却发现没有人可以说清楚当前的真实网络拓扑情况,也没有人能说清楚系统中有哪些服务器,这些服务器运行了哪些应用系统。 • 案例2:某单位信息安全评估,发现大部分服务器安全状况良好,只有一台服务器存在严重安全漏洞。研究整改措施时,发现平时没有人对该服务器的安全负责。
资产管理目标 • 目标: • 资产责任——实现并保持组织资产的适当保护 • 信息分类——确保对信息资产的保护达到恰当的水平 • 包含的内容: • 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。 • 按照信息资产所属系统或所在部门列出资产清单。 • 所有的信息资产都应该具有指定的属主并且可以被追溯责任。 • 信息应该被分类,以标明其需求、优先级和保护程度。 • 根据组织采用的分类方案,为信息标注和处理定义一套合适的程序。
具体解释-1 • 信息安全管理工作的根本目的是保护系统中的资产 • 资产包括: • 信息:业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等 • 软件:应用软件、系统软件、开发工具 • 物理资产:计算机设备、通信设备、存储介质等 • 安全防护设备 • 服务:通信服务、供暖、照明、能源等 • 人员 • 无形资产,如品牌、声誉和形象
具体解释-2 • 明确资产责任: • 列出资产清单,明确保护对象 • 明确资产受保护的程度 • 明确谁对资产的安全负责
具体解释-3 • 信息分类 • 根据信息的价值、法律要求和对组织的敏感程度进行分类 • 信息类别标识,如表明文件的密级、存储介质的种类(内网专用U盘) • 规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序
