企业IT安全管理实务课件

1、企业IT 安全管理实务蝴蝶效应1979年，洛伦斯教授在华盛顿所作的报告中说：他在研究中发现，巴西的一只蝴蝶翅膀挥动一下，会在美国的得克萨斯州形成飓风。这一理论称为“蝴蝶效应”。“蝴蝶效应”是说，有些小事可以糊涂；有些小事如经过系统会被放大，则对一个企业、一个国家至关重要，就不能糊涂。 青蛙现象“青蛙现象”。“青蛙现象”是19世纪末康奈尔大学几个教授做的一个实验：先把一只青蛙扔进沸腾的油锅里，它非常敏捷，马上跳了出来。然后教授们把这只青蛙放进一只装有温水的铁锅里，下面点着小火。它感到暖洋洋很舒服，水温逐渐升高，它仍然悠然自在。等到它觉得烫了，体内能量已耗尽，肌肉已硬了，跳不出来了，就这样被煮死了

2、。“青蛙现象”告诉我们，一些突变事件，往往容易引起人们警觉，而易致人于死地的却是在自我感觉良好的情况下，对实际情况的逐渐恶化，没有清醒的察觉，没能及时做出反应。当感到危机临头了，再想挽救已经来不及了。人的头脑习惯于注意幅度较大的变化，我们要学会看出缓慢、渐进的过程。用我们中国人的话来说就是要防微杜渐，把问题解决在萌芽状态。 压力篇用户管理层同行技术成本管理压力用户希望得到更多的信息、辅助、便利性；尽量少的限制、操作复杂性。管理层希望高效的组织结构，快速响应能力政策上合规、支撑企业战略目标达成。技术要求不断提高，组织结构总是被新产品使用拖动传统中用成本中心的眼光看待IT服务支撑部是否比对手领先一

3、步，IT 不仅是基础平台，已经成为战略资源，构成竞争力的主因同样的问题还在出现安全问题技术解决PDCA In The ISMS设计 ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划执行检查反应It 安全管理体系分析现状发现问题执行风险评估（分析问题、找出原因、设定目标、定义策略建立组织定义计划定义规则PDCA In The ISMSDesign the ISMS执行和使用 ISMSMonitoring and review the ISMSImprove and u

4、pdate the ISMSPLAN行动CHECKACTISMSIt 安全管理体系落实责任、执行计划培训、实践，形成核心能力PDCA In The ISMSDesign the ISMSImplement and use the ISMS监控和检查ISMSImprove and update the ISMSPLANDO检查ACTIt 安全管理体系执行监控过程内部审计风险动态预测发现意外PDCA In The ISMSDesign the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级ISMSPLANDOCHE

5、CKACTIt 安全管理体系对比目标，对意外做出改进矫正性和预防性活动向下一个环节交付现存问题关键环节有哪些？HOW?基线目标可量化，可衡量，可以达到的目标Objective目标目标完成国内上市公司的关于IT 管理的合规要求完成国家对于重点行业实行信息系统等级保护的合规要求完成ISO-27001 的认证其它安全是管理层的责任安全管理仅在It部门展开安全的责任被委派到低层次的人员主观的风险的衡量无专门组织做风险管理从传统的管理角度过渡到董事会关注是CEO的工作 (属于董事会的监管)It 是业务核心 是战略资源安全管理要在整个企业范围内进行一体化管理安全管理的责任由高级和部门管理人员承担It 风险

6、管理是企业风险管理的一部分11Page 策略针对不同对象的安全策略（原则、遵行标准、指导方针、底线）针对各类技术的最低要求针对功能的基础要求执行组织的结构和目标例如：企业信息资产分类及管理策略企业信息系统安全等级保护及管理策略安全职能组织管理策略IT 保障日常工作管理和突发情况处置策略尽可能详尽的，涉及实体、组织、过程的做事指导方针Policies策略详尽策略组织企业安全工作领导机构IT 安全执行机构IT 安全审计监督IT 安全事件应急响应机构健全的组织架构清晰的职责边界、最小授权原则、有效制衡原则。明确的决策规则和程序 有效的激励和监督机制 Organise组织清晰组织Regulation规

7、则基于策略的、满足实际要求、以人为本的规章和制度规则通用的员工IT 操作的规则通用的IT 维护规则针对特殊环境中的规则针对各应用系统的规则针对特殊业务目标的规则务实规则认证合规必要的认证、合规Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳实践组成的国际标准，非技术性标准，重点在于IT安全管理控制，是信息安全管理必不可少的参考；COBIT，信息化全生命周期管理框架，重点在于IT控制和IT度量评价，强烈建议将其作为IT风险管理、IT审计标准的重要参考；ITIL，IT服务管理的最佳实践，重点在于

8、IT流程管理，强调IT支持和IT价值交付，可以在实施IT运维和IT服务管理时作为参考；企业内部控制基本规范 上交所内部控制指引、深交所内部控制指引、银行业金融机构信息系统风险管理指引巴塞尔协议、萨班斯法案、信息安全等级保护管理办法ITIL IT服务管理最佳实践(ISO/IEC 17799)COBIT 4.1国内上市公司要求美国上市公司要求国家重点行业要求Compliance合规ISO27001通过认证带来全面价值的提升遵守适用法律证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从一定角度讲，ISO27001:2005 标准是对适用法律法规的补充和注解，因为ISO27001:200

9、5 标准本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在很多国家相关的信息保护法规中都有体现很多国家所推行的相关的行业指导性文件及要求，又可能是参照BS7799 而拟定的。因此，通过ISO27001:2005认证，可以使组织更有效地履行国家法律和行业规范的要求主体本身组织高效运作证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任财务状况ISMS 的实施，本身也能降低因为潜在安全事件发生而给组织带来的损失，另外，也有可能减少保险金支出通过认证带来全面价值的提升人员素质以及意识提升职员的安全意识，增强其责任感风险管理有助于更好地了解信息

10、系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护。商业信誉和信心当合作伙伴、股东和客户看到组织为保护信息而付出的努力时，其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织，在同行业内的竞争优势，提升其市场地位。商业运营符合型符合企业的自身远期发展需要，事实上，现在很多国际性的投标项目已经开始要求ISO27001:2005 符合性了，通过认证已经是众多企业提升核心竞争力的必要手段关于ISO27001认证流程ISO27001 规定了很多与建立、实施、维护和改进ISMS 相关的要求，组织是否符合这些要求，要在认证审核过程中予以验证组织在建

11、立并实施ISMS 之后应该运行一段时间，确保体系功能正常、用户得到有效培训、文件和记录系统运转正确，一旦ISMS 根据设计规范运转达到了令组织满意的状态，就可以联系一家被认可的认证机构，准备相关资料，提出认证申请ISO27001认证审核的过程大致分两个阶段，即文件审核阶段和现场审核阶段认证申请流程：如左图投资等级保护操作实务有哪些系统系统中的信息分类系统的服务分类服务的对象受害客体邮件系统财务系统OA系统稳定存储安全管理商业敏感信息内部敏感信息公开信息合作伙伴员工VIP开放个人隐私公司商业利益企业公众形象侵害程度定级(信息安全/服务安全) 一般严重非常严重信息实体标识密级标识绝密信息机密信息秘

12、密信息内部信息公开信息控制标识操作权限保密存储受控存储不可通过邮件发送，复制载体登记，集中管理不可复制必须通过邮件加密发送，不可打印，不可复制授权复制PDF 格式,可以通过邮件发送，授权打印，授权复制自由复制处理标识创建者复制人（使用受权人）抄送到（被授权人）介质标识纸介纸介+数字数字系统等级保护划分标准等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级国家安全社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级划分实例信息系统安

13、全保护等级定级定级系统名称侵害程度监管强度一级互联网邮件系统企业和个人合法权益受损自主保护二级内部OA企业合法权益严重损害公共利益损害指导互联网门户三级企业ERP危及企业运行，公共利益严重损害监督检查四级钻井数据存储系统国家战略资源信息严重损害，国家安全损害或严重损害强制监督检查策略的实务借助咨询公司针对于某种目标的专家丰富业界的经验教育的背景擅长策略和计划为客户穷尽问题的可能提供各种解决方案为客户的想法提供理由提升决策的公信力提供创新的建议规则务实参考COBIT4.0 建立管理和控制及评估机制COBIT4.0一共有209页，囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、

14、100多个控制管理目标，针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型（5个级别，每个级别有专门的定义描述）。关于COBIT4.0计划和组织定义IT 战略计划定义信息架构决定技术方向定义IT 过程、组织和关系管理IT 投资沟通管理目标和方向管理IT人力资源管理质量管理IT 风险管理项目（PO1-PO10共计10个过程）获得和执行确定自动的方案获得和运维应用软件获得和运维技术架构授权操作和使用获得IT 资源管理变化安装和授权方案和变化。（AI1-AI7 共计7过程）提交和支持定义和管理服务水平管理第三方服务管理性能和适应性保障不间断服务保障系统安全。DS1-DS13共计 13过程监视

15、监视和评估it 性能监视和评估内控以外部要求确认合规提供IT 控制M1-M4 共计4个过程组织实务Windows 系统专家Unix/linux 系统专家安全专家网络专家Internet 专家存储专家系统集成专家数据库专家应用系统专家系统网络应用访问控制保密管理认证授权管理弱点风险分析网络管理安全补订管理事故响应管理外部风险管理安全事件管理安全审计安全控制安全策略应急响应系统管理应用管理风险管理组织架构实务董事会、监事会总裁、执委会IT 保障部总经理系统安全审计员IT 审计经理IT安全 部经理安全架构师安全分析师项目组安全专员网络部经理项目部 部经理组织架构（合规）董事会、监事会总裁、执委会IT

16、 保障部总经理系统安全审计员IT 审计经理安全 部经理安全架构师安全分析师项目组安全专员审计委员会企业内审经理网络部经理项目部 部经理安全岗位安全架构师根据策略构建安全控制机制：域管理、 访问控制管理、 VPN 管理、桌面安全管理 门户策略管理 、 数字证书、实体授权安全分析师根据策略建立风险控制机制 IPS/IDS 管理 防病毒病毒管理 行为管理项目组安全专员平台的安全架构师或安全分析师项目组安全架构师或安全分析师保障岗位网络架构师构架网络（1层-3层）维护网管手册、地址表维护内部网络环境系统架构师构建维护应用软件的运行系统，维护系统管理手册应用架构师构建维护应用系统的运行维护各项应用系统的管理手册借助域做授权管理完整的认证授权过程人力资源部系统企业安全架构师安全策略安全审计部系统架构师项目管理部增加删除用户创建 策略组定义 组的属性创建 分系统中的 角色组 定义 角色组在系 统中的权限绑定 角色与 策略组将用户放入角色组C: 文化认同 (culture)O: 组织运营 (organize)R: 岗位职责 (responsibility)P: 考核激励 (promotion)E: 知识结构 (episteme)T: 团队建设 (team)E: 学习发展 (enterprising)危机意识、权限与授权战略目标、核心能力、价值理念、组织认同组织体制、职位积极性、创新意识、危机意识