2-信息安全管理体系

信息安全组织结构示例
安全工作小组流程示例
四、 确定IT原则与安全方针

审视业务，确定IT原则和信息安全方针

在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业 务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的 前提。 组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要 出发，确定适宜的IT原则，才能指导信息安全方针的制定。
信息安全人员变成“救火队员” …
二、 保护信息安全的方法

如何实现信息安全？

信息安全＝反病毒软件＋防火墙＋入侵检测系统？


管理制度？人的因素？环境因素？
Ernst & Young及国内安全机构的分析：

国家政府和军队信息受到的攻击70%来自外部，银行和企业信息 受到的攻击70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了解是实 现信息安全的障碍之一 ,只有35%的组织有持续的安全意识教育 与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组织认为在信息安全的投入上不足，60%从不计算信息安全 的ROI，83%的组织认为在技术安全产品与技术上投入最多。
人们逐渐认识到安全管理的重要性， 作为信息安全建设蓝图的安全体系就应该 顾及安全管理的内容。

建立信息安全管理体系

对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效

信息安全遵循木桶原理

对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的安全缺 陷都会对系统构成威胁。
IT原则示例 信息安全方针示例

五、 进行风险评估

风险评估的常用方法

目前国内ISMS风险评估的方法主 要参照ISO13335的有关定义及国 信办9号文件《信息安全风险评估 指南》，这些标准把重点放在信 息资产上 。 缺点：风险评估人员一般最容易 找到的资产无非就是硬件类、软 件类的资产，而对安全来说至关 重要的IT治理、组织政策、人员 管理、职责分配、业务流程、教 育培训等问题，由于不能方便地 定义为信息资产，而往往被视而 不见。 因此，风险评估经常出现“捡了 芝麻、丢了西瓜”，“只见树木， 不见森林”的情况。


触目惊心的泄密事件 华为诉前员工窃密案

信息安全损失的“冰山”理论


信息安全直接损失只是冰由之一角， 间接损失是直接损失是6－53倍 间接损失包括：



时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏
$10,000
$60,000－$530,000
90.00% 80.00% 70.00% 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00%
64% 0%
67% 40%
资产管理 人力资源安全
62%
81% 56%
访问控制 通讯与操作管理
81%
60%
60%
70%
67%
系列1
符合性
安全政策
信息安全的组织
实体与环境安全

层出不穷网络安全事件

全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25% 被攻破;窃取商业信息的事件每月260%的速度增加。



公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显 示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其 中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于 未修补或防范软件漏洞所导致。 据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以 上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重 威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的 个人及企业用户中毒，直接及间接经济损失高达亿元以上。 据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其 中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行 为，严重威胁着互联网的安全。


在整个系统安全工作中,管理(包括管理和法律法规方面)所占比 重应该达到70%,而技术(包括技术和实体)应占30%。

信息安全体系模型的演变

ISO 7498-2(GB/T 9387.2－1995) PDR 模型


PDRR 安全模型(P2DR2)
IATF信息保障技术框架 信息安全管理体系ISMS
治理与控制环境

BHTP模型的关键要素

业务与策略

根据业务需要在组织中建立信息安全策略，以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命，也是组织进行有效安全管理的基础和依据。 “保护业务，为业务创造价值”应当是一切安全工作的出发点与归 宿，最有效的方式不是从现有的工作方式开始应用信息安全技术， 而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安 全技术手段支持新的工作方式的能力。

现场访谈

访谈提纲：管理层 、部门经理、员工， 某员工的访问示例

技术评估

工具扫描、渗透测试1 2 3
人工分析


系统安全配置完全检测、网络服务安全配置完全检测 包括用户安全、操作系统安全、 网络服务安全、系统程序安全

问卷调研


安全日常运维现状调研问卷： 针对组织中实际的应用、系 统、网络状况，从日常的管 理、维护、系统审计、权限 管理等方面全面了解组织在 信息系统安全管理和维护上 的现实状况。 从安全日常运维角度出发， 更贴近实际运维环境。


信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文 件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配 的规则和指示 。
在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应 用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、 安全策略程序及安全投资计划。
信息系统取得、 开发及维护
ISO27001调查问卷示例
需要对信息安全进行有效管理

BHTP－一种实施ISMS的有效方法

业务与策略(Business and Policy) 人员与管理(Human and management) 技术与产品(Technology and products) 流程与体系(Process and Framework)

信息系统固有的脆弱性

信息本身易传播、易毁损、易伪造 信息技术平台（如硬件、网络、系统）的复杂性与脆弱性 行动的远程化使安全管理面临挑战

信息具有的重要价值

信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁
企业对信息的依赖程度： 美国明尼苏达大学Bush-Kugel的研究报告指出， 企业在没有信息资料可用的情况下，金融业至多 只能运行2天，商业则为3.3天，工业则为5天， 保险业为5.6天。而以经济情况来看，有25%的 企业，因为的毁损可能立即破产，40%会在两 年内宣布破产，只有7%不到的企业在5年后能 够继续存活。


可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔 离、可信服务、安全服务、备份恢复、PKI服务、取证、网络 入侵陷阱、主动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原 则 建立良好的IT治理机制是实施信息安全的基础与重要保证。 在风险分析的基本上引入恰当控制，建立PDCA的安全管理体 系，从而保证组织赖以生存的信息资产的安全性、完整性和可 用性 安全体系统还应当随着组织环境的变化、业务发展和信息技术 提高而不断改进，不能一劳永逸，一成不变，需要建立完整的 控制体系来保证安全的持续完善。

我国当前信息安全普遍存在的问题

忽略了信息化的治理机制与控制体系的建立，和信息化“游戏 规则”的建立； 厂商主导的技术型解决方案为主，用户跟着厂商的步子走；


安全只重视边界安全，没有在应用层面和内容层面考虑业务安 全问题；
重视安全技术，轻视安全管理，信息安全可靠性没有保证；



信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；
信息安全管理体系
IT治理与信息安全咨询顾问：陈伟
培训大纲
一、信息安全面临的风险 二、保护信息安全的方法 三、 完善信息安全治理结构 四、审视业务进行风险评估
五、进行信息安全控制规划
六、建立信息安全管理体系 七、建立完备的“技术防火墙”
八、建立有效的“人力防火墙”
九、对信息安全的检查与审计
一、 信息安全面临的风险
Baidu灰鸽子吧

商业间谍无孔不入

在走向现代市场经济的过程中，由于利益多元化格局的形成 和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速 增加。 根据美国对本国1500家公司的调查，有1300家公司承认，它 们对国外的竞争对手进行了间谍活动。据估计，美国企业每 年投资在经济、科技情报方面的费用高达300亿美元。 许多大公司设立专门的竞争情报部门，建立企业竞争情报系 统，进入世界500强的美国公司中90%设有竞争情报部。如 IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅 能够时刻监视竞争对手的动向和环境的变化，而且具有对环 境的“早期预警”功能。
技术评估综述 人工评估记录示例 安全日常运维现状调研问卷
《信息安全现状分析报告》

基Hale Waihona Puke Baidu风险评估


所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅 仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等 各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行 详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重 点信息安全风险进行管理与控制。 ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指 导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此， 风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现 状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的 是不会有遗漏



完备的风险评估方法

信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉 及到治理机制、业务流程、人员管理、企业文化等内容。 通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通 过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒 度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风 险评估，根据三方面的评估得到最终的风险评估报告。

流程与体系



BHTP的方法论
完善信息安全 治理结构 审视业务 风险评估 确定政策 安全计划 建立信息安全 管理体系
持 续 改 进
人力防火墙
技术防火墙
调 整
信息系统 审计
符合安全 控制标准？
监控业务与 安全环境
决策层对信息安全看法
三、 完善信息安全治理结构

建立跨部门的信息安全委员会

良好的治理结构要求主体单位的IT 决策必须由最了解组织整体 目标与价值的权威部门来决定。
现状调查
基线风险评估
详细风险评估
资产风险评估 流程风险评估
风险评估报告

现状调查的主要内容

文档收集与分析

组织的基本信息、组织结构图 组织人员名单、机构设置、岗位职责说明书 业务特征或服务介绍 与信息安全管理相关的政策、制度和规范 安排与相关人员的面谈 对员工工作现场的观察 加强项目组对企业文化的感知


向对手的商业机密说“不”

商业机密泄露使企业遭受损失

2004年的一项调查显示，名列《财富》杂志前1000名的公司每 年因泄露商业机密而出现的损失高达450亿美元，平均 每家公司 每年发生2.45次泄密事件，损失超过50万美元。 景泰蓝、宣纸、青蒿素 、维生素C生产技术的泄密和铷铁硼专 利被封杀都给我国企业和国家带来了重大的经济损失，造成了 无可挽回的影响。 思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受 了损失。


人员与管理

人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方 面。 从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安 全方针政策程序、安全管理、安全教育与培训、组织文化、应急计 划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐 私、行为学、心理学等问题。


技术与产品