2-信息安全管理体系
信息安全管理体系要求
信息安全管理体系 要求一、安全生产方针、目标、原则信息安全管理体系要求我们必须坚持“安全第一,预防为主,综合治理”的方针,以保障信息系统的安全稳定运行。
我们的目标是实现以下三个方面:1. 保障信息系统的完整性、可用性和保密性,防止信息泄露、篡改和破坏。
2. 提高全体员工的信息安全意识,形成良好的信息安全文化。
3. 遵循国家相关法律法规,满足行业标准和公司要求。
原则如下:1. 分级负责:明确各级管理人员和员工的信息安全职责,实行逐级负责。
2. 全面防控:对信息安全风险进行全方位、全过程的识别、评估和管控。
3. 持续改进:不断完善信息安全管理体系,提高信息安全水平。
二、安全管理领导小组及组织机构1. 安全管理领导小组成立以公司总经理为组长,分管副总经理、总工程师为副组长,各部门负责人为成员的信息安全管理领导小组。
主要负责以下工作:(1)制定和审批信息安全政策和目标;(2)组织信息安全风险评估和应急预案制定;(3)指导、协调和监督各部门信息安全工作的开展;(4)审批信息安全投入和资源配置。
2. 工作机构设立以下工作机构,负责信息安全日常管理和具体实施:(1)信息安全部:负责组织、协调、监督和检查公司信息安全工作,制定信息安全管理制度和操作规程;(2)网络运维部:负责公司网络和信息系统的基础设施建设、运维及安全防护;(3)系统开发部:负责公司信息系统开发过程中的安全管理和安全编码;(4)人力资源部:负责组织信息安全培训,提高员工信息安全意识;(5)合规部:负责监督公司信息安全合规性,确保符合国家法律法规和行业标准。
三、安全生产责任制1、项目经理安全职责项目经理作为项目安全生产的第一责任人,其主要安全职责如下:(1)负责组织制定项目安全生产计划,并确保计划的实施;(2)负责项目安全生产资源的配置,确保安全生产投入得到保障;(3)组织项目安全生产教育和培训,提高项目团队成员的安全意识;(4)定期组织安全生产检查,对安全隐患进行排查和整改;(5)建立健全项目安全生产责任制,明确项目团队成员的安全职责;(6)对项目安全生产事故进行调查、分析,提出处理意见,并落实整改措施。
ISMS信息安全管理体系审核考前点题卷二(题库)
ISMS信息安全管理体系审核考前点题卷二(题库)[单选题]1.信息安全管理体系审核范围的确定需考(江南博哥)虑()A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部参考答案:D[单选题]2.确定资产的可用性要求须依据:A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案:A[单选题]3.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()A.资产归还B.资产分发C.资产的处理D.资产清单参考答案:B[单选题]4.关于认证机构的每次监督审核应至少审查的内容,以下说法错误的是()A.ISMS在实现客户信息安全方针的目标的有效性B.所确定的控制措施的变更,但不包括SOA的变更C.合规性的定期评价与评审情况D.控制措施的实施和有效性参考答案:B[单选题]5.信息安全管理体系认证是:()。
A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动参考答案:A[单选题]6.下列哪项不属于信息安全风险评估过程。
()A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险参考答案:B[单选题]7.信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()A.受审核方的业务系统相关的活动和数据B.受审核方场所中己确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部参考答案:C[单选题]8.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案:D[单选题]9.GB/T22080-2016标准中要求保护“测试数据”,以下符合这一要求的情况是()A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部参考答案:B[单选题]10.包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件己被删除或安全地覆盖A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息参考答案:D[单选题]11.表示客体安全级别并描述客体敏感性的一组信息,是()A.敏感性标记,是可信计算机基中强制访问控制决策的依据B.关键性标记,是可信计算机基中强制访问控制决策的依据C.关键性等级标记,是信息资产分类分级的依据D.敏感性标记,是表明访问者安全权限级别参考答案:A[单选题]12.不属于WEB服务器的安全措施的是()A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码参考答案:D[单选题]13.末次会议包括()A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案:C[单选题]14.认证审核时,审核组应()A.在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可参考答案:A[单选题]15.认证审核时,审核组拟抽查的样本应()A.由受审核方熟悉的人员事先选取,做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样参考答案:B[单选题]16.对于“监控系统”的存取与使用,下列正确的是()A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略参考答案:B[单选题]17.开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
公司信息安全管理制度[2]
![公司信息安全管理制度[2]](https://img.taocdn.com/s3/m/c078a922793e0912a21614791711cc7931b778c6.png)
公司信息安全管理制度第一章总则第一条目的与依据为了确保公司的信息系统和数据安全,保护公司的核心业务活动和商业机密,维护公司的声誉,保障客户的利益,制定本公司信息安全管理制度(以下简称“本制度”)。
本制度依据国家相关法律法规、政策和公司的实际情况制定,适用于公司全体员工、合作伙伴以及与公司相关的外部机构。
第二条适用范围本制度适用于公司内部所有的信息系统和数据,包括但不限于公司的网络系统、计算机设备、存储设备、通讯设备、软件系统及其相关资料等。
第三条定义和缩写1.信息安全:指对信息系统和数据的保护性措施,包括机密性、完整性、可用性等方面的保障。
2.敏感信息:指公司的商业秘密、客户信息、合作伙伴的商业信息、技术信息等。
3.攻击:指针对信息系统的非法入侵、破坏、窃取等行为。
4.安全意识:指员工对信息安全的认知和意识。
5.密码:指用于保护信息系统和数据访问权限的密码字符串。
6.弱口令:指容易被猜测、破解的密码。
7.权限管理:指对信息系统和数据访问、使用权限的管理。
第二章信息安全管理第四条责任分工1. 公司高层管理人员作为公司信息安全的最高责任人,应制定公司信息安全策略和风险管理措施,并监督其执行情况。
#### 2. 法务部门负责起草和修订公司的信息安全相关制度和规范,制定信息安全培训计划,并负责信息安全事件的应对与处理。
#### 3. IT部门负责信息系统的建设、维护、运营和安全管理,包括但不限于网络安全、系统安全、数据备份与恢复等。
#### 4. 各部门负责人负责本部门的信息安全,制定和执行本部门的信息安全制度和规程,监督员工的信息安全工作。
第五条信息安全控制1. 权限管理1.员工应按照所属岗位和工作需要,被授予适当的信息系统和数据访问权限。
2.离职员工的账号和权限应及时注销或修改,以防止数据泄露或不当使用。
3.系统管理员应定期审核并维护权限管理系统,确保权限的准确性和合理性。
2. 密码管理1.员工应使用强密码,密码复杂度要求包括至少8位字符、大小写字母、数字和特殊字符的组合,且不得使用弱口令。
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
信息安全管理体系标准
信息安全管理体系标准信息安全管理体系标准是指为了保护信息系统和信息资产而建立的一套完整的管理体系。
随着信息技术的飞速发展,信息安全问题日益突出,各种网络攻击、数据泄露事件层出不穷,因此建立和实施信息安全管理体系标准显得尤为重要。
首先,信息安全管理体系标准应当建立在国家法律法规和政策的基础上,充分考虑国家和行业的特点,确保信息安全管理体系的合规性和有效性。
其次,信息安全管理体系标准应当包括信息安全政策、组织结构、人员安全、物理安全、通讯安全、应用系统安全、数据安全、供应商管理、风险管理、应急响应等内容,全面覆盖信息系统和信息资产的安全保护。
在信息安全管理体系标准中,信息安全政策是首要的一环。
信息安全政策应当由高层管理者制定,明确规定信息安全的目标、原则、责任和义务,为信息安全管理体系的建立和实施提供指导和保障。
组织结构和人员安全是信息安全管理体系的重要组成部分,应当明确组织的信息安全管理机构和人员的安全责任,确保信息安全管理体系的有效运行。
物理安全和通讯安全是信息安全管理体系的重点内容,包括机房、设备、网络等的安全保护,防止未经授权的人员和设备进入和访问信息系统,保障信息系统和信息资产的完整性和可靠性。
应用系统安全和数据安全是信息安全管理体系的核心内容,包括应用系统的安全设计、开发、测试和运行,以及数据的安全存储、传输和处理,确保信息系统和信息资产不受恶意攻击和非法访问。
供应商管理、风险管理和应急响应是信息安全管理体系的补充内容,包括供应商的信息安全要求、风险的识别、评估和控制,以及信息安全事件的应急预案和演练,确保信息系统和信息资产在面临各种内外部威胁和风险时能够及时有效地做出应对和处置。
综上所述,信息安全管理体系标准是企业和组织保护信息系统和信息资产的重要手段,建立和实施信息安全管理体系标准能够有效预防和应对各种信息安全威胁和风险,保障信息系统和信息资产的安全可靠运行,提升企业和组织的竞争力和可持续发展能力。
ISO20000-2018《信息安全管理规范》
信息安全管理规范广东广凌计算机科技股份有限公司档案号:目录1目的 (3)2范围 (3)3访问控制策略 (3)4系统使用策略 (3)5电子邮件 (3)6口令管理策略 (4)7备份策略 (4)8保密策略 (4)9桌面清理和清除屏幕策略 (5)10防病毒策略 (5)11相关文件 (5)12文档说明 (7)13附加说明 (7)14文件历史记录 (7)1目的本策略的目的是规范广凌软件XXXX运维项目运行和客户服务过程中的信息安全性,包含公司及客户信息的保密性、可用性和完整性。
2范围本策略适用于公司运作所覆盖的信息安全的范围。
针对不同的用户,本规范可以部分删减或增加,以符合级别协议要求为准绳。
系统范围:广凌软件XXXX运维项目、数据库系统、中间件、操作系统、CRM设施范围:服务器、网络设备、个人计算机、办公设施人员安全:一线支持数据范围:客户信息、CRM数据、广凌软件XXXX运维项目数据文件范围:各种操作规范、纸质的记录表等3访问控制策略公司采取强访问控制策略,即规定“除非得到明确的许可,否则一切访问都是禁止的”。
权限配置应遵守“最小范围”原则,每个岗位得到的授权应仅限于其工作需要;当员工岗位发生变化时,权限配置人员应重新评审并及时更新权限配置情况;权限配置人员应至少每季度作对由本人负责的权限分配情况进行一次评审;员工不能滥用其获得的权限做有损公司利益的事或做出与其岗位要求不一致的操作,也不能试图访问未获得许可的信息。
4系统使用策略广凌软件XXXX运维项目和CRM系统应能根据处理信息的不同安全等级而提供相应的保护,并制定访问控制列表。
广凌软件XXXX运维项目和CRM系统应能根据不同的使用人提供权限区分功能;新增的信息系统应充分考虑与现有系统的兼容性和扩展性;广凌软件XXXX运维项目和CRM系统应满足现行的各种安全标准和详尽的日志功能;5电子邮件网络管理员为公司人员分配邮件帐号和权限;员工只应使用公司规定的邮件系统,禁止私设邮件系统;禁止利用个人邮箱处理公司事务;在发送邮件前应该审查拼写和语法,检查发送地址是否正确;在公司应尽量减少私人邮件的使用;通过电子邮件在发送敏感及密级信息时必须进行加密;在对发件人和附件标识不明确的情况下禁止打开附件;禁止通过邮件发送秘级标识“绝密”、“机密”类的相关文档;附件信息如有加密或需要口令时,不得在邮件正文内发送相关密钥或相关口令信息;不应该给任何人发送垃圾邮件;不应该给任何人发送骚扰或恐怖邮件;不应该发送任何含有非法或不道德内容的邮件;对外单位发送电子邮件时,文档的格式应转换为pdf格式;员工收发电子邮件时,应使用公司规定的病毒扫描软件进行扫描;员工应自行定期对重要的邮件信息进行备份;公司可考虑对进出邮件进行备份、监控、过滤和收发控制处理;员工离职时网管应及时将其邮件帐号注销。
信息安全管理体系的建设与评估
信息安全管理体系的建设与评估随着互联网的快速发展,信息安全问题日益凸显,信息安全管理也变得至关重要。
信息安全管理体系的建设与评估成为了解决信息安全问题的关键。
信息安全管理体系是指组织制定和实施的为管理信息安全而建立的制度、政策、流程、措施等一系列相关要素的组合体。
它的主要目标是确保组织的信息资产得到合理保护,防止信息泄露、损毁和未经授权的访问。
下面将介绍信息安全管理体系的建设和评估的具体步骤。
信息安全管理体系的建设需要明确的目标和策略。
组织需要根据自身的需求和风险评估来确定期望的安全目标,并制定相应的策略来实现这些目标。
例如,制定保密政策、密码策略和数据备份策略等。
建设信息安全管理体系需要制定相应的制度和流程。
这些制度和流程应包括组织内信息安全责任的明确、相关人员的培训和教育、安全事件报告和处理的机制等。
通过建立明确的制度和流程,可以为信息安全管理提供规范和操作指南。
第三,建设信息安全管理体系还需要进行风险评估和治理。
风险评估是确定可能出现的风险和漏洞,并提出相应的治理措施的过程。
组织可以采用多种方法来进行风险评估,如安全漏洞扫描、渗透测试和安全演练等,以确保信息系统的安全性。
第四,建设信息安全管理体系还需要制定安全控制措施。
安全控制措施是指基于风险评估的结果,采取相应的措施来保障信息安全。
这些措施可以包括技术措施(如网络防火墙、入侵检测系统等)、物理措施(如门禁、视频监控等)和管理措施(如权限管理、安全审计等)等。
信息安全管理体系的评估是对建设的成果进行检查和评估的过程。
评估的目的是确认信息安全管理体系的有效性和合规性,并提出改进建议。
评估可以通过内部审计、第三方评估或合规认证等方式进行。
总之,信息安全管理体系的建设与评估是组织保护信息资产安全的基础工作。
通过制定明确的目标和策略,建立制度和流程,进行风险评估和治理,制定安全控制措施,并进行评估和改进,组织可以建立一个稳定、可靠的信息安全管理体系,提高信息安全保护的能力。
信息安全管理体系介绍
信息安全管理体系介绍信息安全管理体系(Information Security Management System,ISMS)是指一个组织为了保护其信息资产而采取的一系列管理措施、政策和程序。
它是针对一个组织内部的信息资产和信息系统而设计的,旨在确保其保密性、完整性和可用性的一种运营管理方法。
以下是对信息安全管理体系的详细介绍。
1.信息安全管理体系的定义和目的2.信息安全管理体系的特点(1)综合性:信息安全管理涉及到组织的各个层面和方面,包括技术、人员、流程和制度等。
信息安全管理体系需要综合考虑各种因素,制定相应的措施。
(2)持续性:信息安全管理体系需要持续进行评估和改进,以适应不断变化的威胁环境和技术条件。
(3)风险导向:信息安全管理体系的核心是风险管理,需要根据实际情况进行风险评估和风险控制。
3.信息安全管理体系的要素(1)组织结构和责任:建立信息安全管理委员会或类似的组织机构,明确各级管理者的职责和权力。
(2)策略和目标:明确组织的信息安全策略和目标,制定相应的政策和程序。
(3)风险管理:对组织的信息资产进行风险评估和风险管理,采取相应的控制措施。
(4)资源管理:合理配置信息安全管理的资源,包括人员、设备、技术和资金等。
(5)安全控制措施:制定相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(6)运营和绩效评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
4.信息安全管理体系的实施过程(1)确定信息安全策略和目标:根据组织的需求和风险评估结果,制定信息安全策略和目标。
(2)编制安全管理计划:根据信息安全策略和目标,制定详细的安全管理计划,包括资源配置、控制措施和绩效评估等。
(3)实施安全控制措施:按照安全管理计划,实施相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(4)监控和评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IT治理与信息安全咨询顾问:陈伟
培训大纲
一、信息安全面临的风险 二、保护信息安全的方法 三、 完善信息安全治理结构 四、审视业务进行风险评估
五、进行信息安全控制规划
六、建立信息安全管理体系 七、建立完备的“技术防火墙”
八、建立有效的“人力防火墙”
九、对信息安全的检查与审计
一、 信息安全面临的风险
治理与控制环境
BHTP模型的关键要素
业务与策略
根据业务需要在组织中建立信息安全策略,以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命,也是组织进行有效安全管理的基础和依据。 “保护业务,为业务创造价值”应当是一切安全工作的出发点与归 宿,最有效的方式不是从现有的工作方式开始应用信息安全技术, 而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安 全
在走向现代市场经济的过程中,由于利益多元化格局的形成 和利益驱动机制的强化,侵犯企业商业秘密的事件正在迅速 增加。 根据美国对本国1500家公司的调查,有1300家公司承认,它 们对国外的竞争对手进行了间谍活动。据估计,美国企业每 年投资在经济、科技情报方面的费用高达300亿美元。 许多大公司设立专门的竞争情报部门,建立企业竞争情报系 统,进入世界500强的美国公司中90%设有竞争情报部。如 IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅 能够时刻监视竞争对手的动向和环境的变化,而且具有对环 境的“早期预警”功能。
我国当前信息安全普遍存在的问题
忽略了信息化的治理机制与控制体系的建立,和信息化“游戏 规则”的建立; 厂商主导的技术型解决方案为主,用户跟着厂商的步子走;
安全只重视边界安全,没有在应用层面和内容层面考虑业务安 全问题;
重视安全技术,轻视安全管理,信息安全可靠性没有保证;
信息安全建设缺乏绩效评估机制,信息安全成了“投资黑洞”;
触目惊心的泄密事件 华为诉前员工窃密案
信息安全损失的“冰山”理论
信息安全直接损失只是冰由之一角, 间接损失是直接损失是6-53倍 间接损失包括:
时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏
$10,000
$60,000-$530,000
技术评估综述 人工评估记录示例 安全日常运维现状调研问卷
《信息安全现状分析报告》
基线风险评估
所谓基线风险评估,就是确定一个信息安全的基本底线,信息安全不仅 仅是资产的安全,应当从组织、人员、物理、逻辑、开发、业务持续等 各个方面来确定一个基本的要求,在此基础之上,再选择信息资产进行 详细风险分析,这样才能在兼顾信息安全风险的方方面面的同时,对重 点信息安全风险进行管理与控制。 ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指 导方针和通用原则,以规范组织机构信息安全管理建设的内容,因此, 风险评估时,可以把ISO27001作为安全基线,与组织当前的信息安全现 状进行比对,发现组织存在的差距,这样一方面操作较方便,更重要的 是不会有遗漏
可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔 离、可信服务、安全服务、备份恢复、PKI服务、取证、网络 入侵陷阱、主动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益,采用“适度防范”(Rightsizing)的原 则 建立良好的IT治理机制是实施信息安全的基础与重要保证。 在风险分析的基本上引入恰当控制,建立PDCA的安全管理体 系,从而保证组织赖以生存的信息资产的安全性、完整性和可 用性 安全体系统还应当随着组织环境的变化、业务发展和信息技术 提高而不断改进,不能一劳永逸,一成不变,需要建立完整的 控制体系来保证安全的持续完善。
信息系统取得、 开发及维护
ISO27001调查问卷示例
IT原则示例 信息安全方针示例
五、 进行风险评估
风险评估的常用方法
目前国内ISMS风险评估的方法主 要参照ISO13335的有关定义及国 信办9号文件《信息安全风险评估 指南》,这些标准把重点放在信 息资产上 。 缺点:风险评估人员一般最容易 找到的资产无非就是硬件类、软 件类的资产,而对安全来说至关 重要的IT治理、组织政策、人员 管理、职责分配、业务流程、教 育培训等问题,由于不能方便地 定义为信息资产,而往往被视而 不见。 因此,风险评估经常出现“捡了 芝麻、丢了西瓜”,“只见树木, 不见森林”的情况。
需要对信息安全进行有效管理
BHTP-一种实施ISMS的有效方法
业务与策略(Business and Policy) 人员与管理(Human and management) 技术与产品(Technology and products) 流程与体系(Process and Framework)
人们逐渐认识到安全管理的重要性, 作为信息安全建设蓝图的安全体系就应该 顾及安全管理的内容。
建立信息安全管理体系
对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效
信息安全遵循木桶原理
对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化,任何环节上的安全缺 陷都会对系统构成威胁。
完备的来自险评估方法 信息安全涉及的内容决不仅仅是信息安全、技术安全的问题,它还会涉 及到治理机制、业务流程、人员管理、企业文化等内容。 通过“现状调查”获得对组织信息安全现状和控制措施的基本了解;通 过“基线风险评估”了解组织与具体的信息安全标准的差距,得到粗粒 度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风 险评估,根据三方面的评估得到最终的风险评估报告。
现状调查
基线风险评估
详细风险评估
资产风险评估 流程风险评估
风险评估报告
现状调查的主要内容
文档收集与分析
组织的基本信息、组织结构图 组织人员名单、机构设置、岗位职责说明书 业务特征或服务介绍 与信息安全管理相关的政策、制度和规范 安排与相关人员的面谈 对员工工作现场的观察 加强项目组对企业文化的感知
层出不穷网络安全事件
全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25% 被攻破;窃取商业信息的事件每月260%的速度增加。
公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显 示,54%的被调查单位发生过信息网络安全事件,比去年上升5%,其 中发生过3次以上的占22%,比去年上升7%。73%的安全事件是由于 未修补或防范软件漏洞所导致。 据统计2006年产生的电脑病毒和木马的数量达到23万个,其中90%以 上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重 威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的 个人及企业用户中毒,直接及间接经济损失高达亿元以上。 据统计,2008年初全球产生的电脑病毒和木马的数量达到50万个,其 中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行 为,严重威胁着互联网的安全。
信息安全组织结构示例
安全工作小组流程示例
四、 确定IT原则与安全方针
审视业务,确定IT原则和信息安全方针
在进行信息安全规划与实施安全控制措施前,首先要充分了解组织的业 务目标和IT目标,建立IT原则,这是实施建立有效的信息安全保障体系的 前提。 组织的业务目标和IT原则将直接影响到安全需求,只有从业务发展的需要 出发,确定适宜的IT原则,才能指导信息安全方针的制定。
流程与体系
BHTP的方法论
完善信息安全 治理结构 审视业务 风险评估 确定政策 安全计划 建立信息安全 管理体系
持 续 改 进
人力防火墙
技术防火墙
调 整
信息系统 审计
符合安全 控制标准?
监控业务与 安全环境
决策层对信息安全看法
三、 完善信息安全治理结构
建立跨部门的信息安全委员会
良好的治理结构要求主体单位的IT 决策必须由最了解组织整体 目标与价值的权威部门来决定。
信息系统固有的脆弱性
信息本身易传播、易毁损、易伪造 信息技术平台(如硬件、网络、系统)的复杂性与脆弱性 行动的远程化使安全管理面临挑战
信息具有的重要价值
信息社会对信息高度依赖,信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁
企业对信息的依赖程度: 美国明尼苏达大学Bush-Kugel的研究报告指出, 企业在没有信息资料可用的情况下,金融业至多 只能运行2天,商业则为3.3天,工业则为5天, 保险业为5.6天。而以经济情况来看,有25%的 企业,因为的毁损可能立即破产,40%会在两 年内宣布破产,只有7%不到的企业在5年后能 够继续存活。
向对手的商业机密说“不”
商业机密泄露使企业遭受损失
2004年的一项调查显示,名列《财富》杂志前1000名的公司每 年因泄露商业机密而出现的损失高达450亿美元,平均 每家公司 每年发生2.45次泄密事件,损失超过50万美元。 景泰蓝、宣纸、青蒿素 、维生素C生产技术的泄密和铷铁硼专 利被封杀都给我国企业和国家带来了重大的经济损失,造成了 无可挽回的影响。 思科诉华为,华为诉沪科等知识产权案,使企业和人员都蒙受 了损失。
信息安全人员变成“救火队员” …
二、 保护信息安全的方法
如何实现信息安全?
信息安全=反病毒软件+防火墙+入侵检测系统?