企事业单位信息安全管理.ppt

第15章 企事业单位信息安全管理,15.1 信息安全管理概述 15.2 企事业单位信息安全管理模型 15.3 企事业单位信息安全管理中的关键环节15.4 ISO/IEC 27000系列标准简介 思考题 实验15 学院网站安全方案设计,内容导读 企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。,每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。,信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。,建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。ISO/IEC 27000系列标准中的27001信息安全管理体系要求和27002信息安全管理实用规则，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导意义。,15.1 信息安全管理概述,15.1.1 信息安全管理的概念,国家、组织或个人为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安全管理。,该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)，并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人们要用系统的观点来审视信息安全问题。,信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。,15.1.2 人们对信息安全管理重要性的认识 随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实践活动可划分为三个阶段来体现。,第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。 第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。,第三阶段，制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉了哪些方面”，信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。,15.1.3 信息安全管理的内容构成 不同的信息安全管理主体具有不同的信息安全管理目标和任务，因而其信息安全管理的内容构成也不相同。对于国家层面的信息安全管理机构和组织来说，主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施；,对于企业、公司和学校这种普通组织机构而言，其信息安全管理的主要任务则是通过信息安全体系规划、信息安全策略制定、信息分级保护、信息安全风险管理、信息安全措施实施与协调、信息安全危机与应急管理、信息安全文化培育等来保障组织业务的连续性；而对于用户而言，则更侧重于个人权力的行使和个人财产和隐私的保护。,另外，对于普通组织和机构而言，业务性质的不同，其信息安全管理的内容和侧重点也不相同。各行业或部门的信息安全管理均体现出本行业或部门的特点，反映其特殊规律。例如，我们可以根据行业特点把普通组织和机构的信息安全管理划分为电子政务信息安全管理、电子商务信息安全管理、军队信息安全管理、校园网信息安全管理和银行信息安全管理等。,总之，信息安全管理的内容构成非常广泛和丰富，随着时代的发展和技术的进步，信息安全管理的内容、方法和手段也都在不断地变化和更新。,下面对信息安全管理领域的一些内容构成作简单介绍。 (1) 信息安全战略管理。 在当前全球化、信息化、网络化的背景下，信息安全在整个国家安全中具有极其重要的战略地位与意义，因此，信息安全战略管理成为当前各国信息安全管理的一项基本内容。,信息安全战略管理主要通过战略的研究、制定、实施与评估等，对信息安全复杂多变与不确定性的环境预先规划好目标及应对措施；从维护国家安全和保障国家信息化建设健康发展的高度，提出信息安全战略发展的指导思想、战略目标、推进策略、运作机制和实施路线等，以利于统一思想、综合协调、形成合力。进而指导、动员和促进信息安全的全面建设。,(2) 信息安全政策及法律法规。 信息安全政策及法律法规是联结信息安全战略目标与信息安全工作成果的“中控环节”，是信息安全保障的具体规则及制度，明确反映了国家及组织高层对特定领域的信息安全意志或理念。这方面的管理主要涉及信息安全政策及法律法规的制定、实施、监控、评价、反馈与完善等。,(3) 信息安全标准与认证。 信息安全标准是由国家权威部门制定，相关机构遵守的一套具体规范及依据。管理内容主要包括信息安全技术与管理标准的制定、实施、评估及反馈等。在颁布标准的基础上，权威部门还建立了信息安全测评认证体系，实行“准入”制度，要求对信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质等实施认证，对符合标准与达到要求者，颁发相应证书。,(4) 信息安全组织结构。 信息安全组织结构作为信息安全管理体制和机制层面的问题，是信息安全管理的重要内容之一。该方面的管理主要通过信息安全组织结构的设立、精简、整合或撤销等，以优化结构、理顺关系、明确职责，进而支撑信息安全战略的顺利实施。,信息安全领导是引领信息安全事业实现持续快速发展的前提。只有通过科学合理、坚强有力的引导，促使信息安全工作人员安心并不遗余力地工作，才能有效保障信息安全战略的顺利实现，进而带动信息安全事业的发展。,(5) 信息安全人力资源开发与管理。 人力资源开发与管理是现代信息安全管理的核心。加强信息安全人力资源管理，有利于扭转重技术轻管理、重物质资源轻人力资源的倾向，并有利于消除内部人员管理上的漏洞，解决信息安全人才不足的问题。这方面的具体内容包括：信息安全工作分析与设计，信息安全人力资源规划，信息安全人员招聘，信息安全人员绩效管理，信息安全人员薪酬管理，信息安全人员培训开发，信息安全人员职业发展，信息安全人员使用、调配与离职管理，信息安全团队建设，信息安全人才教育与管理等。,(6) 信息安全等级保护。 信息安全等级保护是我国信息安全保障的一项基本制度，主要是指有关方面对信息系统进行安全等级分级，并加以贯彻落实、监控与评估等。,(7) 信息安全治理。 信息安全治理就是落实“综合防范”的方针，即综合运用行政、法律、技术等多种手段，强调国家、企业和个人共同的责任，各个部门齐抓共管，用系统工程和体系建设的思路来抓信息安全。它的基本内容或要求是统筹规划、群防群治、多方联动、责任分担、成果共享。,(8) 信息安全策略。 信息安全策略一般也称作信息安全方针，是有关信息安全的行为规范。它是整个安全管理体系的起始点和基本原则，是实现信息系统安全目标的根本保证。与宏观层面的信息安全政策相比，信息安全策略更侧重于组织内部微观的信息安全管理，是一个组织所颁布的对组织信息安全的定义和理解，主要内容是界定与管理组织的安全目标、安全范围、安全技术、安全标准和安全责任等。,(9) 信息安全风险管理。 目前，风险管理已经是信息安全管理的一个主流范式。它以风险为主线，通过风险战略规划、风险评估、风险控制、风险防范等基本环节，对信息、信息载体、信息环境进行安全管理以达到安全目标。其中，风险评估为关键，但又不否定其他环节的重要性，它们相辅相成，共同构成一个完整的信息安全风险管理体系。信息安全风险管理与信息安全标准关系尤为密切，往往以标准为依据，实施针对性的管理。,(10) 信息安全危机与应急管理。 安全问题必定涉及到危机与应急问题，因此危机与应急管理是信息安全管理必然具备的基本内容。这方面主要通过构建信息安全应急响应与处置体系，在预警、应急、响应、处置等方面实现联动，通过事前预警、灾难备份、事中应急协调、事后灾难恢复等，来提高应对信息安全危机或突发事件的处理能力。,(11) 信息安全文化培育。 安全文化是以精神、价值观为导向，反映个人和集体的价值观、态度、能力和行为方式的综合产物。安全文化作为组织文化的一个子概念，具有无形管理、全面管理、能动管理的特点。把安全管理放到社会文化背景的大视野中去研究思考，用文化的核心元素，用文化管理的更高境界，创新和提升安全管理的水平，这是“以人为本”的科学发展观对安全生产提出的客观要求。,通过信息网络安全文化建设，能够实现安全认识的导向功能、安全思想的凝聚功能、安全行为的规范功能。通过加大信息网络安全文化宣传力度，能够使上网人员主动接受正确的安全意识、态度和信念；通过信息网络安全文化知识的传播、教育，能够形成人人需要网络安全的共识，使上网人员从“要我安全”变为“我要安全”；,通过加强信息网络安全文化建设，将会使上网人员加深对网络安全法律、法规、标准的理解和认识，学习网络安全知识及技能，增强信息素质，从而对上网人员起到重要规范作用或产生自觉的约束功能。,(12) 信息安全国际合作。 当前，信息安全问题不只是某个国家的国内安全问题，也不单是凭一个国家、一个企业或一种技术就能解决得了的问题，而是需要通过各国政府、各种国际组织、民间团体、私营企业和个人之间的充分合作，才有可能解决的全球性安全问题。信息安全国际合作的内容包括参加国际性的安全会议、加入国际安全组织、把中国的信息安全技术和理念推向世界等。,15.2 企事业单位信息安全管理模型,企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。由于新的风险在不断出现，系统的安全需求也在不断变化，因此，企事业单位的信息安全管理应该是一个动态的不断改进的持续发展过程。,由美国管理学博士戴明(W.E.Deming)于20世纪50年代初提出的戴明环，即规划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模型(简称PDCA模型)，是进行质量管理的基本方法。逐渐的管理实践表明，PDCA循环管理模式是能使任何一项活动有效进行的一种合乎逻辑的工作程序，是管理学中的一个通用模型。,上述持续改进PDCA过程模式同样适用于企事业单位的信息安全管理，只不过这里P、D、C、A的具体涵义均应体现信息安全管理特色，如图15-1所示。,图15-1 企事业单位信息安全管理PDCA模型,Plan(规划)。规划阶段的活动包括：建立组织机构，明晰责任，确定安全目标、战略和策略，进行风险评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。规划是信息安全管理周期的起点，作为安全管理的准备阶段，为后续活动提供基础和依据。,Do (执行)。实施阶段是实现计划阶段确定目标的过程，包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。 Check(检查)。信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法律法规和实践经验，检查的结果是进一步采取措施的依据。,Action(改进)。如果检查发现安全实施的效果不能满足计划阶段建立的需求，或者有意外事件发生和由某些因素引起了新的变化，可经过管理层认可，采取相应的措施进行改进，并按照已经建立的响应机制来行事，必要时进入新一轮的信息安全管理周期，以便持续改进和发展信息安全。,上述每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。,15.3 企事业单位信息安全管理中的 关键环节,15.3.1 企业信息安全管理策略的制订,企业信息安全管理策略的制订依据来源于如下三个方面： (1) 法律法规与合同条约的要求。与信息安全相关的法律法规是对组织的强制性要求。,(2) 组织的原则、目标和规定。组织从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些方针、目标、原则和要求，据此明确自己的信息安全要求，确保支持业务运作的信息处理活动的安全性。,(3) 风险评估的结果。组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素，组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。,15.3.2 企事业单位信息安全风险评估,信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成相当的危害，必须提出有针对性的抵御威胁的防护对策和整改措施，将风险控制在可接受的水平，从而最大限度地保障网络和信息的安全。,信息安全风险评估过程是依据信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。,信息安全风险评估的实施步骤如下： (1) 风险评估的准备； (2) 资产识别； (3) 威胁识别； (4) 脆弱性识别；,(5) 已有安全措施的确认； (6) 风险分析； (7) 风险评估文件记录。 风险评估的实施流程如图15-2所示。,图15-2 风险评估的实施流程,信息安全风险评估的具体方法可参见国家标准信息安全风险评估指南。,15.3.3 企事业单位信息系统的安全运行管理 为确保信息系统安全稳定运行，企事业单位的相关业务部门应根据业务特点，对信息系统安全生产运行提前做出安排，确保信息系统平稳安全运行。具体做法应强调如下几点： (1) 加强信息运作队伍建设，努力提升信息运行人员的业务能力。,(2) 分级控制，责任到人。组织管理和运行维护管理应按不同层次分别负责。 (3) 加强值班制度，确保信息联系渠道畅通。 (4) 加强网络系统监控，及时发现问题并及时排除。,15.3.4 企事业单位信息安全应急管理 所谓的应急管理，就是指一旦危机爆发，如何用最小的成本、以最快的速度把损失降到最低。以“一案三制”为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。,1. 一案 一案指信息安全应急响应预案。应急响应预案实际上是一个透明和标准化的反应程序,使应急响应活动能按照预先周密的计划和最有效的实施步骤有条不紊地进行。这些计划和步骤是快速响应和有效防护的基本保证。制订、修订应急预案是加强应急体系建设的基础性工作和首要任务。应急预案的完整框架包括：,(1) 目的、工作原则、法律法规依据、适用范围； (2) 应急处置指挥机构的组成和相关部门的职责及权限，包括各类应急组织机构与职责、组织体系的框架等； (3) 信息安全事件监测与预警，包括预测与预警系统、预警级别、预警行动、预警支持系统等； (4) 信息安全事件信息的收集；包括信息收集、分析、报告、通报和新闻发布的制度；,(5) 信息安全事件的应急响应，包括事件的分级、分级负责、指挥协调、先期处置、控制等； (6) 信息安全事件应急保障，包括人力资源、财力、通讯、应急技术、应急设施设备的保障； (7) 信息安全事件后的恢复与重建等； (8) 应急预案的管理，包括预案演练、培训教育、责任与奖励、预案更新等。,制订和修订信息安全应急预案的过程是一个不断总结经验教训的过程，一个查找薄弱环节的过程，一个改进工作的过程，一个拓宽视野不断学习的过程，一个与时俱进的过程。,2. 三制 三制指加强应急机制建设、建立健全应急体制、依据相关法制。 企事业单位的信息安全管理不仅需要制订和完善信息安全应急预案，还需要建立健全应急信息传递机制，坚持早发现、早报告、早控制、早解决的应急处置原则，同时落实领导、相关部门和个人的责任，建立健全社会预警体系，形成统一指挥、功能齐全、反应灵敏、运转高效的应急机制，提高保障公共安全和处置突发事件的能力；最后还要依法行事，努力使应急处置逐步走向规范化、制度化和法制化轨道。,突发事件应对法是应对严峻公共安全形势的法宝。信息安全事件分类分级指南和信息安全事件管理两项国家标准，是指导用户对信息安全事件进行分类、定级、管理，对信息安全事件进行应急处理和通报的指导性标准。,应急事件处理流程：准备工作事件认定控制事态发展事件消除事件恢复事件追踪。 例15-1 病毒事件处理流程如图15-3所示。,图15-3 病毒事件处理流程,15.4 ISO/IEC 27000系列标准简介,15.4.1 企业信息安全管理与ISO / IEC 27000系列标准,建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。,ISO/IEC 27000系列标准中的27001信息安全管理体系要求和27002信息安全管理实用规则，从一个组织如何建立信息安全管理体系的角度阐述了相关的过程和活动，以及过程活动中需要完成的输入输出。ISO/IEC 27001标准已在世界范围内被公认为认证、合同及法规要求标准，对提高组织的实际安全管理水平具有重要指导意义。,ISO/IEC 27001，即信息安全管理体系要求，是ISO27000系列的主标准，该标准规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求。它基于风险管理的思想，旨在通过持续改进的过程(PDCA模型)使组织达到有效的信息安全。ISO/IEC 27001使用了和ISO 9001、ISO 14001相同的管理体系过程模型，是一个用于认证和审核的标准。ISO/IEC 27001标准与ISO/IEC 27002共同使用，一个组织在按照27001实施其信息安全管理体系的过程中，应选择27002中推荐的控制措施。,ISO/IEC 27002信息技术-安全技术-信息安全管理实施细则包括11个安全控制要项、39个控制目标、133项控制措施，给负责开发的人员作为参考文档使用，作为组织的安全标准和有效的安全管理实施指南。,15.4.2 ISO/IEC 27000系列其他标准简介 2005年4月，国际上正式通过了信息安全管理体系系列标准的开发计划，即ISO/IEC 27000系列标准。ISO/IEC 27000系列标准目前共有10余个，前面已经对27001和27002作了描述，其他标准简介如下：,ISO/IEC 27000，即信息安全管理体系 基础和词汇。它将主要以ISO/IEC 13335-1:2004信息和通信技术安全管理 第1部分：信息和通信技术安全管理的概念和模型为基础进行研究。该标准将规定27000系列标准所共用的基本原则、概念和词汇,ISO/IEC 27003，即信息安全管理体系 实施指南，目前处于工作草案阶段。该标准提供了27001具体实施的指南，包括PDCA 过程的详细指导和帮助。 ISO/IEC 27004，即信息安全管理测量。目前处于工作草案阶段。该标准主要是测量组织信息安全管理体系实施的有效性、过程的有效性和控制措施的有效性。,ISO/IEC 27005，即信息安全风险管理。目前处于委员会草案阶段。该标准主要以ISO/IEC 13335-2信息技术信息和通信技术安全管理 第2部分：信息安全风险管理为基础进行制定。描述了信息安全风险管理的一般过程及每个过程的详细内容，包括风险分析、风险评价、风险处理、监视和评审风险、保持和改进风险等。,ISO / IEC 27015-金融和保险服务部门。该标准是ISO/IEC27001标准在金融和保险业的特殊运用。,15.4.3 ISO/IEC 27000 标准展望 从信息安全管理体系国际标准的发展形势来看，ISO/IEC 27000将用于国际互认，可以使面向市场的社会企业向合作方及用户证明其信息安全管理水平，成为组织彼此之间信任的基础。就其影响范围来看，不管是出于认证考虑，还是以提高组织的实际安全管理水平为出发点，该系列标准都将受到越来越多的关注和应用。,思 考 题 (1) 信息安全管理的内容构成主