企业IT安全管理实务.ppt

企业IT 安全管理实务,蝴蝶效应,1979年，洛伦斯教授在华盛顿所作的报告中说：他在研究中发现，巴西的一只蝴蝶翅膀挥动一下，会在美国的得克萨斯州形成飓风。这一理论称为“蝴蝶效应”。“蝴蝶效应”是说，有些小事可以糊涂；有些小事如经过系统会被放大，则对一个企业、一个国家至关重要，就不能糊涂。,青蛙现象,“青蛙现象”。“青蛙现象”是19世纪末康奈尔大学几个教授做的一个实验：先把一只青蛙扔进沸腾的油锅里，它非常敏捷，马上跳了出来。然后教授们把这只青蛙放进一只装有温水的铁锅里，下面点着小火。它感到暖洋洋很舒服，水温逐渐升高，它仍然悠然自在。等到它觉得烫了，体内能量已耗尽，肌肉已硬了，跳不出来了，就这样被煮死了。“青蛙现象”告诉我们，一些突变事件，往往容易引起人们警觉，而易致人于死地的却是在自我感觉良好的情况下，对实际情况的逐渐恶化，没有清醒的察觉，没能及时做出反应。当感到危机临头了，再想挽救已经来不及了。人的头脑习惯于注意幅度较大的变化，我们要学会看出缓慢、渐进的过程。用我们中国人的话来说就是要防微杜渐，把问题解决在萌芽状态。,压力篇,用户 管理层 同行 技术 成本 管理,压力,用户希望得到更多的信息、辅助、便利性； 尽量少的限制、操作复杂性。,管理层希望高效的组织结构，快速响应能力 政策上合规、支撑企业战略目标达成。,技术要求不断提高， 组织结构总是被新产品使用拖动,传统中用成本中心的眼光 看待IT服务支撑部,是否比对手领先一步，IT 不仅是基础平台， 已经成为战略资源，构成竞争力的主因,同样的问题还在出现 安全问题技术解决,PDCA In The ISMS,It 安全 管理体系,分析现状发现问题,执行风险评估（分析问题、找出原因、设定目标、定义策略,建立组织 定义计划,定义规则,PDCA In The ISMS,ISMS,It 安全 管理体系,落实责任、执行计划,培训、实践，形成核心能力,PDCA In The ISMS,It 安全 管理体系,执行监控过程,内部审计,风险动态预测,发现意外,PDCA In The ISMS,It 安全 管理体系,对比目标，对意外做出改进,矫正性和预防性活动,向下一个环节交付现存问题,关键环节有哪些？,HOW?,基线目标,可量化，可衡量，可以达到的目标,目标,完成国内上市公司的关于IT 管理的合规要求 完成国家对于重点行业实行信息系统等级保护的合规要求 完成ISO-27001 的认证 其它,Page,11,安全是管理层的责任,安全管理仅在It部门展开 安全的责任被委派到低层次的人员 主观的风险的衡量 无专门组织做风险管理,从传统的管理角度,过渡到董事会关注,是CEO的工作 (属于董事会的监管) It 是业务核心 是战略资源 安全管理要在整个企业范围内进行一体化管理 安全管理的责任由高级和部门管理人员承担 It 风险管理是企业风险管理的一部分,策略,针对不同对象的安全策略（原则、遵行标准、指导方针、底线） 针对各类技术的最低要求 针对功能的基础要求 执行组织的结构和目标 例如： 企业信息资产分类及管理策略 企业信息系统安全等级保护及管理策略 安全职能组织管理策略 IT 保障日常工作管理和突发情况处置策略,尽可能详尽的，涉及实体、组织、过程的做事指导方针,Policies 策略,详尽策略,组织,企业安全工作领导机构 IT 安全执行机构 IT 安全审计监督 IT 安全事件应急响应机构,健全的组织架构 清晰的职责边界、最小授权原则、有效制衡原则。 明确的决策规则和程序 有效的激励和监督机制,清晰组织,Regulation 规则,基于策略的、满足实际要求、以人为本的规章和制度,规则,通用的员工IT 操作的规则 通用的IT 维护规则 针对特殊环境中的规则 针对各应用系统的规则 针对特殊业务目标的规则,务实规则,认证合规,必要的认证、合规,Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳实践组成的国际标准，非技术性标准，重点在于IT安全管理控制，是信息安全管理必不可少的参考； COBIT，信息化全生命周期管理框架，重点在于IT控制和IT度量评价，强烈建议将其作为IT风险管理、IT审计标准的重要参考； ITIL，IT服务管理的最佳实践，重点在于IT流程管理，强调IT支持和IT价值交付，可以在实施IT运维和IT服务管理时作为参考； 企业内部控制基本规范 上交所内部控制指引、深交所内部控制指引、银行业金融机构信息系统风险管理指引 巴塞尔协议、萨班斯法案、 信息安全等级保护管理办法 ITIL IT服务管理最佳实践,(ISO/IEC 17799),COBIT 4.1,国内上市公司要求,美国上市公司要求,国家重点行业要求,Compliance 合规,ISO27001,通过认证带来全面价值的提升,遵守适用法律 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从一定角度讲，ISO27001:2005 标准是对适用法律法规的补充和注解，因为ISO27001:2005 标准本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在很多国家相关的信息保护法规中都有体现 很多国家所推行的相关的行业指导性文件及要求，又可能是参照BS7799 而拟定的。因此，通过ISO27001:2005认证，可以使组织更有效地履行国家法律和行业规范的要求 主体本身组织高效运作 证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任 财务状况 ISMS 的实施，本身也能降低因为潜在安全事件发生而给组织带来的损失，另外，也有可能减少保险金支出,通过认证带来全面价值的提升,人员素质以及意识 提升职员的安全意识，增强其责任感 风险管理 有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护。 商业信誉和信心 当合作伙伴、股东和客户看到组织为保护信息而付出的努力时，其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织，在同行业内的竞争优势，提升其市场地位。 商业运营符合型 符合企业的自身远期发展需要，事实上，现在很多国际性的投标项目已经开始要求ISO27001:2005 符合性了，通过认证已经是众多企业提升核心竞争力的必要手段,关于ISO27001认证流程,ISO27001 规定了很多与建立、实施、维护和改进ISMS 相关的要求，组织是否符合这些要求，要在认证审核过程中予以验证 组织在建立并实施ISMS 之后应该运行一段时间，确保体系功能正常、用户得到有效培训、文件和记录系统运转正确，一旦ISMS 根据设计规范运转达到了令组织满意的状态，就可以联系一家被认可的认证机构，准备相关资料，提出认证申请 ISO27001认证审核的过程大致分两个阶段，即文件审核阶段和现场审核阶段 认证申请流程：如左图,投资,等级保护操作实务,有哪些系统,系统中的信息分类,系统的服务分类,服务的对象,受害客体,邮件系统财务系统OA,系统稳定存储安全管理,商业敏感信息内部敏感信息公开信息,合作伙伴员工VIP开放,个人隐私公司商业利益企业公众形象,侵害程度,定级(信息安全/服务安全),一般严重非常严重,信息实体标识,系统等级保护划分标准,等级划分实例,策略的实务,借助咨询公司,针对于某种目标的专家 丰富业界的经验 教育的背景 擅长策略和计划,为客户,穷尽问题的可能 提供各种解决方案 为客户的想法提供理由 提升决策的公信力 提供创新的建议,规则务实,参考COBIT4.0 建立管理和控制及评估机制 COBIT4.0一共有209页，囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标，针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型（5个级别，每个级别有专门的定义描述）。,关于COBIT4.0,计划和组织 定义IT 战略计划 定义信息架构 决定技术方向 定义IT 过程、组织和关系 管理IT 投资 沟通管理目标和方向 管理IT人力资源 管理质量 管理IT 风险 管理项目 （PO1-PO10共计10个过程）,获得和执行 确定自动的方案 获得和运维应用软件 获得和运维技术架构 授权操作和使用 获得IT 资源 管理变化 安装和授权方案和变化。 （AI1-AI7 共计7过程）,提交和支持 定义和管理服务水平 管理第三方服务 管理性能和适应性 保障不间断服务 保障系统安全 。 DS1-DS13共计 13过程,监视 监视和评估it 性能 监视和评估内控 以外部要求确认合规 提供IT 控制 M1-M4 共计4个过程,组织实务,系统,网络,应用,安全审计,安全控制,安全策略,应急响应,风险管理,组织架构实务,董事会、监事会,总裁、执委会,IT 保障部总经理,系统安全审计员,IT 审计经理,IT安全 部经理,安全架构师,安全分析师,项目组安全专员,网络部经理,项目部 部经理,组织架构（合规）,董事会、监事会,总裁、执委会,IT 保障部总经理,系统安全审计员,IT 审计经理,安全 部经理,安全架构师,安全分析师,项目组安全专员,审计委员会,企业内审经理,网络部经理,项目部 部经理,安全岗位,安全架构师,根据策略构建安全控制机制： 域管理、 访问控制管理、 VPN 管理、桌面安全管理 门户策略管理 、 数字证书、实体授权,安全分析师,根据策略建立风险控制机制 IPS/IDS 管理 防病毒病毒管理 行为管理,项目组安全专员,平台的安全架构师或安全分析师 项目组安全架构师或安全分析师,保障岗位,网络架构师,构架网络（1层-3层） 维护网管手册、地址表 维护内部网络环境,系统架构师,构建维护应用软件的运行系统， 维护系统管理手册,应用架构师,构建维护应用系统的运行 维护各项应用系统的管理手册,借助域做授权管理,完整的认证授权过程,增加 删除 用户,创建 策略组 定义 组的属性,创建 分系统中的 角色组 定义 角色组在系 统中的权限,绑定 角色与 策略组,将 用户放 入角色组,C: 文化认同 (culture) O: 组织运营 (organize) R: 岗位职责 (responsibility) P: 考核激励 (promotion) E: 知识结构 (episteme) T: 团队建设 (team) E: 学习发展 (enterprising),危机意识、权限与授权,战略目标、核心能力、价值理念、组织认同,组织体制、职位,积极性、创新意识、危