2017-5-安全规划 中山大学信息安全管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.系统管理(存储材料的管理;雇主监控;病毒防护;物理安全
;加密)
5.策略违规(通报违规的过程;对违规的惩罚) 6.策略检查和修改(安排策略的检查,修改的过程) 7.责任的限制(责任的声明;拒绝对其它行为承担责任)
ISSP
目标声明
ISSP应该以一个清晰的目标声明开始,这个目标 概括了策略的范围和适用性。它解决一下问题:这 个策略服务于什么目标?由谁来负责实施策略?策 略文档涉及到那些技术问题?
11
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策(策略)从本质上来说是描述组 织具有哪些重要信息资产,并说明这些信息资 产如何被保护的一个计划。 制定信息安全策略的目的: 如何使用组织中的信息系统资源; 如何处理敏感信息; 如何采用安全技术产品; 用户在使用信息时应当承担什么责任 描述对员工安全意识与技能的要求 列出员工被禁止的行为
小偷顺着一楼的防护栏潜入办公室偷走了…… 保洁公司人员不小心弄脏了准备发给客户的设 计方案;错把掉在地上的合同稿当废纸收走了; 不小心碰掉了墙角的电源插销…… 某设计师张先生是公司的骨干,他嫌公司提供 的设计软件版本太旧,自己安装了盗版的新版 本设计程序。尽管这个盗版程序使用一段时间 就会发生莫名其妙的错误导致程序关闭,可是 张先生还是喜欢新版本的设计程序,并找到一 些办法避免错误发生时丢失文件。
信息安全政策的内容 安全政策(策略)涉及的问题: 敏感信息如何被处理? 如何正确地维护用户身份与口令,以 及其他账 号信息? 如何对潜在的安全事件和入侵企图进 行响应? 如何以安全的方式实现内部网及互联 网的连接? 怎样正确使用电子邮件系统?
14
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策的层次:
9
陈博士对张先生的不辞而别没有思想准备,甚 至还没来得及交接一下张先生离开时正负责的 几个设计项目。这几天他一闲下来就整理张先 生的设计方案,可是突然一天提示登录原来张 先生的那台计算机需要密码了。小李并不熟悉 Windows2000,只是说自己并没有设置密码。
10
尽管小李告诉陈博士已经把文件备份在陈博士 的计算机上,可是陈博士没有找到自己需要的 文件。 大家通过陈博士的计算机访问Internet,收集 了很多有用的资料。可是最近好几台计算机在 启动的时候就自动连接上Internet,陈博士收 到几封主题不同的电子邮件,内容竟然包括几 个还没有提交的设计稿,可是员工都说没有发 过这样的信。 ……
源自文库
策略检查和修改
每个策略应当包含定期检查步骤和时间表。这部分 应当包括ISSP的具体检查和修改方法,以便保证 用户手上总有反映机构当前技术和需求的指导方针
责任限制
对一般“责任声明”或者一些列的“拒绝承担责任 声明”做了概要说明。例如员工使用机构的设备从 事非法活动,管理者并不希望机构为这种情况负责 。
33
SysSP:技术规范
ACL包括用户、权限、客体,阐述了用户对客 体的权限。这里的ACL也包含了用户的特权管 理。 配置规则是输入到安全系统的具体配置代码。 配置代码支持的逻辑更多,比ACL更细化
设备的授权访问和使用
这一部分解释了谁可以使用策略所规定的技术,用 于什么目的。机构的信息系统是机构的专有财产, 用户没有使用特权。每项技术和过程都是为业务额 运转而准备的,任何意图的使用都会导致设备的滥 用
ISSP
设备的禁止使用
与授权使用相对,这部分明确了禁止使用的范围。 除非明确禁止在某个方面的使用,否则机构不能以 滥用为借口惩罚员工。
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策是为人定规矩、建标准,防风险 ,是安全程序的基础。要求:
目的明确 内容清楚 可广泛接受与遵守 可广泛涵盖各种数据、活动和资源
毕竟是对人的管理,希望员工通过信息安全政 策了解自己的责任、理解信息安全的重要性
什么是信息安全政策与程序
有效实施需要详细的 执行程序
为什么要制定安全政策与程序
1.组织应该有一个完整的信息安全策略 我们可以通过下面一个例子来理解这种情况。 某设计院有工作人员25人,每人一台计算机, Windows 98对等网络通过一台集线器连接起来,公 司没有专门的IT管理员。公司办公室都在二楼,同一 楼房内还有多家公司,在一楼入口处赵大爷负责外来 人员的登记,但是他经常分辨不清楚是不是外来人员。 设计院由市内一家保洁公司负责楼道和办公室的清洁 工作。总经理陈博士是位老设计师,他经常拨号到 Internet访问一些设计方面的信息,他的计算机上还 安装了代理软件,其他人员可以通过这个代理软件访 问Internet。如果该设计院的信息安全管理停留在一 种放任的状态,会发生什么问题呢?下列情况都是有 可能的: 7
模块化允许特定解决问题的人制定和更新策略,并 通过管理中心汇总,获得全面的策略
ISSP的一般性框架
1.目标声明(范围和适用性;定义所设计的技术;责任) 2.授权访问和设备的使用(用户访问;公正且负责人的使
用;隐私的保护)
3.设备的禁止使用(破坏性的使用或者误用;用于犯罪;冒
充或者侵扰的材料;侵权的、未经批准的或者涉及其他侵犯知识产权的 ;其它限制)
8
后来张先生离开设计院,新员工小李使用原来 张先生的计算机。小李抱怨了多次计算机不正 常,没有人理会,最后决定自己重新安装操作 系统和应用程序。 小李把自己感觉重要的文件备份到陈博士的计 算机上,听朋友介绍Windows2000比较稳定, 他决定安装Windows2000,于是他就重新给 硬盘分区,成功完成了安装。
17
EISP一般性框架
EISP一般性框架
小例子
小例子
小例子
小例子
小例子
1.信息保护必须与他的敏感性,价值和重要性 相称。技术人员。 2.公司的某一信息必须只用于管理层明确授权 的业务目标。所有人员。 3.信息是机构的重要资产,所有对公司信息的 访问,使用和处理必须遵从策略和标准的规定 。所有人员。 4.对于由计算机和通信系统负责处理的信息, 如果公司已经为保护它们的机密性、完整性、 可用性做出了努力,那么就可以否认对数据或 者软件的丢失或损坏负责任。所有人员。
小例子
5.公司的安全策略必须满足现有法律法规所规 定的保护条例,或者提出比之更严格的要求。 当公司的信息安全策略与现有的法律法规冲突 时,必须迅速向信息安全管理部门报告。终端 用户。 6.信息安全策略只有在极少的情况下才发生异 常。当发生异常时,应当进行风险评估以调查 引起一场的原因。数据所有者也应当制定一个 标准的风险容许表,并且该表要经过信息安全 管理部门和内部审计部门的审批。管理层 7.不能因为没有管理层实施安全策略的要求, 就允许异常状况持续下去。终端用户
27
ISSP
ISSP常见的3类建立方式
独立的ISSP文件,每份文件针对一个特定问题 一个包括所有问题的全面的ISSP文件 一个模块化ISSP文档,它统一了政策(策略)的 制定和管理,并考虑了每个特定问题的需求 独立文件意味着策略独立,往往效果不理想 一个文件可能导致考虑不周,存在漏洞
15
实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策的层次:
信息安全方针
具体的信息安全策略
定义:具体的信息安全策略是在信息安全方针 的框架内,根据风险评估的结果,为保证控制 措施的有效执行而指定的明确具体的信息安全 实施规则 分类: 1)企业信息安全策略(EISP) 2)特定问题的安全策略(ISSP) 3)特定系统策略(SysSP)
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策的层次:
信息安全方针
具体的信息安全策略
ISSP:在使用特定的技术时所定义的可被接受 的行为规则。 通常涉及以下特定技术领域: 1.电子邮件。2.互联网的使用。3.防御病毒时计 算机的最低配置。4.禁止攻击或者测试机构的 安全控制。5.在家中使用公司的计算机设备。 6.在公司网络上使用个人设备。7.电讯技术的 使用(传真和电话)。8.影印设备的使用
系统管理
侧重用户和系统管理层的关系。例如发布规则知道 员工如何使用电子邮件和电子文档,如何存储电子 文档,授权雇主如何监控,以及如何保护电子邮件 和其它电子文档的物理和电子安全。这部分需要知 名用户和系统管理员的职责,以便双方能够明确知 道他们应该负责什么
ISSP
违反策略
规定了对违规行为的惩罚和员工的反馈方式。惩罚 应当针对每种违规类型而设计。针对怎样报告已观 察到的或可疑的违规行为,这部分也应该提供指南
信息安全方针
具体的信息安全策略
定义:信息安全方针是组织、机构或部门的信息安全委员会或管理当局 制定的一个高层文件,用于指导如何对资产,包括敏感性信息进行管理 、保护和分配的规则和指示。 生成:信息安全方针应当阐明管理层的承诺,提出管理信息安全的方法 ,并由管理层批准,采用适当的方法传达给每一个员工。 内容: 1)信息安全的定义,总体目标、范围,安全对信息共享的重要性 2)管理层意图,支持目标和信息安全原则的阐述 3)信息安全控制的简要说明,以及依从法律、法规要求对对组织的重要 性 4)信息安全管理的一般和具体责任定义包括报告安全事故
小例子
8.公司的管理层必须慎重考虑对所有违法行为的起诉 活动。管理层 9.公司保留随时可撤销用户对信息技术的使用权。终 端用户。 10.公司的信息系统必须采用具体行业信息安全标准 。技术人员。 11.公司的所有信息安全文档,包括策略标准和过程 ,除非是明确用于外部业务过程或者合伙人的文档, 其它的都必须归类为“仅供内部使用”。所有人 12.所有信息系统安全控制,在作为标准操作过程的 一部分之前,必须是可实施的。管理层和技术人员
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策的层次:
信息安全方针
具体的信息安全策略
SysSP:通常在设备配置和维护系统时起到标准 和知道过程的作用。例如一个文档描述了网络 防火墙的配置和操作规程。 SysSP可以分成两个部分:管理指南和技术规 范。
1.管理指南由管理层制定,指导技术的实现和配置。例如一个机构不希望 它的员工利用机构的网络访问互联网。这种情况下,应该按照这种规则 来配置防火墙。 2.技术规范用于把管理目标转变为可以实施的方法。一般分为ACL和配置 规则
第四章 安全规划
田海博
内容纲要
信息安全政策与程序 信息安全管理标准 安全管理策略的制定与实施 安全教育培训和意识提升 持续性策略
学习目标
管理人员在信息安全政策、标准、实践、过程 及方针的发展、维护和实施中的作用 英国标准协会制定的《信息安全管理标准》 组织、机构或部门如何通过教育、培训和意识 提升计划,使它的政策、标准和实践制度化 什么事意外事故计划、它与事件响应计划、灾 难恢复计划和业务持续性计划有什么关系
16
什么是信息安全政策与程序
信息安全政策的内容 信息安全政策的层次:
信息安全方针 具体的信息安全策略 EISP: 大多数EISP文档包括以下要素: 1)关于企业安全理念的总体看法 2)机构的信息安全部门结构和实施安全策略 人员信息 3)机构所有成员共同的安全责任(员工、承 包人、顾问、合伙人和访问者) 4)机构所有成员明确的、特有的安全责任
一、信息安全政策与程序
4
信息安全政策与程序
要建立信息安全计划
应首先建立和检查组织、机构、或者部门的信息安 全政策和程序 然后选择或建立信息安全体系结构 开发和使用详细的信息安全蓝本,为将来的成功制 定计划
为什么要制定安全政策与程序
人力资源管理措施 信息安全很重要 企业文化的熏陶 信息安全中最活跃的 因素是人,人的因素 可对人管理 比技术因素更重要 可促进全体员工参与 对人的管理包括 可有效降低人为因素 法律、法规 所造成的对安全的损 政策的约束 害 安全指南的帮助 安全意识的提高 安全技能的培训