信息安全管理第七章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
评审和审批信息安全方针 分配信息安全管理职责 确认风险评估的结果 对 与 信 息 安全 管 理有关的重大更改事项进行 决策 评审和监测信息安全事故 审批与信息安全管理有关的其他重要事项
--组织最高管理者在管理层指定一名信息安全管 理经理,分管组织的信息安全管理事宜,负责组织 的信息安全方针的贯彻与落实,就信息安全管理的 效果与有关重大问题及时与最高管理者进行沟通
--合同应强调
什么安排要到位,才能确保涉及外包的所有各方 包括分承包商意识到他们的安全责任。 如何确定和检测组织商务资产的完整性和保密性。 采用什么实物的和逻辑的控制,以限制和限定授 权用户对组织敏感商务信息的访问 发生灾难时,服务可用性怎样维持 要向外包设备提供什么级别的实物安全 审核的权利
(2) 在组织内部,建立一个内部协调机制便于信 息安全控制的具体实施
--对于规模较大的组织,一项安全控制活动需要 多个部门的共同参与才能得以实现,为能迅速解决 控制过程出现的问题,防止内部互相推诿的现象发 生,提高工作效率,由与信息安全有关的部门代表 组成的一个跨部门管理论坛,解决一些实际的问题
(3) 明确规定保护信息资产和执行具体安全过程 的责任
二、实物与环境安全
案例: 美国NASDAQ事故 1994年8月1日,由于一只松鼠通过位于康涅狄格 网络主计算机附近的一条电话线挖洞,造成电源紧 急控制系统损坏,NASDAQ电子交易系统日均超 过3亿股的股票市场暂停营业近34分钟
--实物与环 境 安 全是保护信息系统基础设施、 设备、媒体免受非法的实物访问、自然灾害和环境 危害
--职责缺乏或界定不清,最终导致控制得不到有 效的实施,形成管理风险 --组织最高管理者应确保对以下职责进行规定并 形成书面文件
管理层职责 部门职责 信息安全有关的管理、操作、验证等人员的职责
( 4 )建立信息wenku.baidu.com理设施授权程序
--信息处理设施包括计算机网络设施、通信设施、 电子办公设施、网络安全设施、实物安全保护设施 等等 --以下提供具体控制措施
对于长期访问(进行长期逻辑访问和常驻现场的) 第三方,通过签订信息安全合同或在商务合同中 明确规定经过双方确认的信息安全条款来进 行 安全控制
(3)外包控制
--组织根据商务运作的需要,可能把信息系统、 网络和桌面系统的管理和控 制 的部分或全部进行 外包 --有效的控制方法就是在双方的合同中,明确规 定信息系统、网络和桌面系统的风险。安全控制与 程序,并按照合同的要求进行实施
(7)对组织信息安全进行独立评审
--内部审核由组织内部接受信息安全管理体系审 核培训的、且有一定经验和技能的内部审核员进行。 在正式审核前应成立审核组,任命审核组长,对审 核方案进行策划,按计划进行审核 --所谓审核的独立性是指审核员与被审核方保持 适当的独立性,即审核员不应审核自己的工作,确 保审核结果的公正和可靠
( 5 )建立渠道,获取信息安全的建议
--信息安全性的某些方面对于外行来说是复杂的 和困难的,有时对内行来说同样是复杂的和困难的
--组织可通过以下方式,获取信息安全方面的建 议以支持信息安全管理
从组织内部挑选懂技术和管理的信息安全方面的 专家,为管理层提供信息安全解决方案,参与安 全事故的调查,解答内部员工工作遇到的实际问 题并及时提供预防性的安全咨询建议
--防止基础设施设备等资产的损坏、丢失、敏感 信息泄露及商务活动的中断,主要包括安全区域控 制(或物理访问控制)、设备安全及媒体安全三 个方面的安全控制
--信息可能由于安全管理不当而面临第三方访问 的风险,第三方访问所带来的典型的威胁是资源的 未经授权的访问和错误使用。组织应对第三方访问 的活动进行风险评估,具体确定控制要求
(2)第三方访问控制措施
--根据对第三方访问风险评估的结果,采取适宜 的控制方法对其进行安全控制
对第三方访问实行访问授权管理,未经授权的第 三方不得进行任何方式的访问 对于经过授权进行实物访问的第三方应佩带易于 识别的标志,在其访问重要信息安全场所应有专 人陪同,并告知访问人员有关的重要安全注意事 项等
对新购进的信息处理设施履行审批手续,审批内 容包括设施的使用目的、场所及安全技术要求
设施在正式安装或投入使用前进行安全技术方面 的验证,如检查软硬件兼容性问题。
对信息处理设施的使用者进行授权,明确使用者 保护信息处理设施的责任,防止信息处理设施的 滥用 对于在工作场所使用个人信息处理设施的情况进 行评定并予以授权
从外部专家那里获得信息安全建议,例如从网络 设备商、网络安全机构那里等。
从公开的信息渠道获取有关的信息安全建议,如 专业出版物、网络安全机构的定期公告等。
(6)加强与其他组织间的协作
--国家与信 息 安 全有 关 的执法机构、管理 机 关 有 公 安 部、安 全部、保密局、商用密码管理 办公室、信息产业部等 --组织有必要保持与当地执法机关、管理机关、 信息服务供应商和电信运营商的适当联系,以确保 在出现安全事故时尽快采取适当的行动和取得建议
--若组织规模小,也可以从外部聘请专业审核机 构或审核人员进行内部审核
--组织为寻求对外提供信息安全信任,可进行第 三方认证,对于外部的审核人员所带来的风险应予 以识别,并进行充分的控制
2.第三方访问安全
(1)识别出第三方访问的风险 --第三方访问是指除组织员工以外的其他组织或 人员对组织信息处理设施和信息资产的访问 --访问类型包括实物访问和逻辑访问 --第三方可能由于一系列原因被许可访问,包括 临时访问和常驻现场两种形式
第七章 机构与物理安全
电影:反求工程
一、安全组织
1.信息安全组织机构
--信息安全三分靠技术,七分靠管理,建立有效 的信息安全管理组织机构是信息安全管理的基础。 不健全的安全管理机制是信息安全最大的薄弱点
(1)建立信息安全管理的议事决策机构――信息 安全管理论坛
--信息安 全 管 理 论 坛由组织的最高管理层及 与信息安全管理有关的部门负责人、管理技术人员 组成,定期召开会议,就以下重要信息安全议题进 行讨论并做出决策,为组织信息安全管理提供导向 与支持