信息系统安全集成第章3

1信息系统安全集成确定安全需求与目标2本章摘要

本章从组织IT战略出发，根据业务特征、法律法规及合同要求，在充分考虑风险的基础上，确定组织的安全需求和目标，形成各方认可的安全需求文件。摘要主要内容一、概述二、组织IT战略与安全需求三、组织业务与安全需求四、符合性的安全需求五、基于风险的安全要求六、确定组织的安全需求七、确定信息安全目标4一、概述1.组织与信息安全需求从广义上说，组织是指由诸多要素按照一定方式相互联系起来的系统。从狭义上说，组织就是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组织等等。狭义的组织专门指人群而言，运用于社会管理之中。组织概述5一、概述1.组织与信息安全需求现代社会组织定义在现代社会生活中．组织是人们按照一定的目的、任务和形式编制起来的社会集团。组织是体现一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体。组织概述6一、概述1.组织与信息安全需求组织安全需求--组织需要保护什么？信息安全的需求，是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织业务并符合法律法规、安全监管要求、合同业务要求等，提出复合组织的基于风险管理的安全需求。组织应该将信息安全集成到业务运作的每一个层面。7一、概述1.组织与信息安全需求组织安全需求分析的层次需求分析的层次：目标性需求，定义了整个系统需要达到的目标；功能性需求，定义了整个系统必须完成的任务；操作性需求，定义了完成每个任务的具体的人机交互.8一、概述1.组织与信息安全需求组织安全需求挖掘的方法挖掘需求的方法：分析特定客户的业务流程和模型;与特定客户进行讨论与交流(或联合成立需求组)，包括：需求讨论会,与专家或代表讨论.通过调查获取需求，常见需求调查方式有：与用户交谈，向用户提问题等.9一、概述1.组织与信息安全需求组织安全需求分析的方法—风险评估法安全需求分析的方法：资产清册风险评估确定风险形成需求10一、概述2.组织安全风险安全威胁--引入相关数据图表介绍组织正在遭受越来越多的安全威胁和攻击破坏。由于组织越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。11一、、概概述述2.组织织安安全全风风险险风险险是是指指一一个个事事件件产产生生我我们们所所不不希希望望的的后后果果可可能能性性。。组织织的的风风险险是是指指组组织织未未来来发发生生损损失失的的不不确确定定性性。。这这些些安安全全风风险险主主要要包包括括了了业业务务的的连连续续性性、、业业务务流流程程安安全全、、法法律律安安全全要要求求、、合合同同安安全全、、隐隐私私保保护护要要求求等等。。组织织的的风风险险12一、、概概述述3.组织织信信息息安安全全目目标标根据据国国际际信信息息安安全全管管理理标标准准的的描描述述，，信信息息安安全全的的目目标标是是““通通过过防防止止和和减减小小安安全全事事故故的的影影响响，，保保证证业业务务连连续续性性，，使使业业务务损损失失最最小小化化。。””需要要进进行行IT规划划和和费费用用调调整整以以保保证证适适当当的的安安全全投投入入，，部部署署有有效效的的工工具具，，来来解解决决紧紧迫迫的的安安全全问问题题，，实实现现组组织织的的安安全全目目标标。。信息息安安全全的的目目标标13二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织战战略略组织织战战略略是是指指组组织织对对有有关关全全局局性性,长远远性性,纲领领性性目目标标的的谋谋划划和和决决策策.14二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织战战略略组织织战战略略是是表表明明组组织织如如何何达达到到目目标标，，完完成成使使命命的的整整体体谋谋划划,是提提出出详详细细行行动动计计划划的的起起点点,但它它又又凌凌驾驾于于任任何何特特定定计计划划的的各各种种细细节节之之上上.战略略反反映映了了管管理理者者对对于于行行动动,环境境和和业业绩绩之之间间关关键键联联系系的的理理解解,用以以确确保保已已确确定定的的使使命命,愿景景,价值值观观的的实实现现。。15二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略IT战略略即即信信息息技技术术战战略略（（ITStrategy）是是组组织织经经营营战战略略的的有有机机组组成成部部分分，，和和财财务务战战略略、、人人力力资资源源战战略略、、运运作作战战略略等等一一样样，，是是公公司司的的职职能能战战略略。。IT战是是关关于于企企业业信信息息技技术术职职能能的的目目标标及及其其实实现现的的总总体体谋谋划划。。对于于大大的的组组织织公公司司而而言言，，子子公公司司或或大大的的业业务务单单元元也也会会有有其其相相对对独独立立的的信信息息技技术术战战略略。。16二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略的的部部分分组组成成使命命（（Mission）：：阐阐述述信信息息技技术术存存在在的的理理由由、、目目的的以以及及在在企企业业中中的的作作用用。。远景景目目标标（（Vision）：：信信息息技技术术的的发发展展方方向向和和结结果果。。中长长期期目目标标（（MediumtoLong-termObjectives）：：远远景景目目标标的的具具体体化化，，即即企企业业未未来来2~3年信信息息技技术术发发展展的的具具体体目目标标。。17二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略的的要要点点战略略要要点点：：是是实实现现上上述述中中长长期期目目标标的的途途径径或或路路线线。。组织织IT战略略的的规规划划主主要要围围绕绕信信息息技技术术内内涵涵的的四四个个方方面面展展开开：：硬件件与与组组建建网络络与与通通信信应用用与与数数据据组织织与与人人员员18二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求组织织信信息息资资产产要进进行行信信息息安安全全建建设设，，首首先先明明确确安安全全保保护护的的对对象象---组织织信信息息资资产产。。19二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求组织织信信息息资资产产明确确安安全全保保护护的的对对象象，，即即明明确确组组织织信信息息资资产产。。分析析业业务务流流程程识别别关关键键的的业业务务资资产产确定定业业务务资资产产的的安安全全所所有有人人和和责责任任人人明确确安安全全保保护护责责任任20二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求组织织信信息息资资产产建立立组组织织信信息息资资产产目目录录并并进进行行维维护护，，帮帮助助组组织织实实施施有有效效的的信信息息资资产产安安全全保保护护，，实实现现业业务务连连续续性性和和灾灾难难恢恢复复。。在信信息息资资产产目目录录中中应应该该定定义义资资产产的的安安全全等等级级和和安安全全责责任任人人。。21二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求组织织信信息息资资产产在以以业业务务为为核核心心的的组组织织内内部部，，信信息息资资产产包包括括：：业务务应应用用软软件件IT基础础设设施施（（硬硬件件、、组组件件、、网网络络通通讯讯等等））相关关的的数数据据和和信信息息关键键业业务务流流程程和和人人员员其他他信信息息资资产产。。22二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求安全全风风险险的的评评估估安全全风风险险评评估估的的目目的的在在于于定定义义核核心心信信息息资资产产，，并并且且分分析析应应用用环环境境中中可可能能存存在在的的风风险险。。安全全风风险险评评估估是是定定义义安安全全需需求求、、选选择择相相应应对对策策以以及及设设计计安安全全系系统统的的基基础础。。23二、组织织IT战略略与与安安全全需需求求2.基于于战战略略的的组组织织信息息安全全需需求求安全全风风险险的的评评估估简易易风风险险评评估估模模型型：：从风风险险性性质质上上,风险险=威胁胁+弱点点+影响响考虑虑风风险险的的影影线线,风险险=威胁胁*弱弱点点*影影响响风险险三三个个要要素素：：威胁胁--事件件或或行行为为,一般般来来自自系系统统外外部部,可能能在在某某些些地地方方会会影影响响固固有有的的弱弱点点,造成影响.弱点--系统内部考考虑之中的的弱点,可能在某些些地方受到到威胁所利利用。影响--短期与长期期组织影响响,威胁碰巧利利用弱点。。24二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求安全风险的的评估通过安全风风险评估，，识别关键键业务资产产的安全威威胁和风险险，了解企企业的安全全现状和风风险水平，，分析安全全需求和安安全改进方方向。安全需求必必须基于风风险评估，，并且应该该在设计阶阶段开始前前确定。25二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定组织需要制制定与业务务战略和IT战略一致的的安全战略略，明确企企业的安全全建设目标标和安全建建设原则。。通过风险评评估了解了了组织的安安全现状和和风险水平平，企业明明确了各个个层次的安安全需求和和改进方向向。信息安全战战略是组织织在一定时时期内的一一整套安全全决策，这这一决策决决定了企业业的安全策策略和制度度、流程、、行为和技技术的建设设。26二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定制定组织信信息安全战战略的目标标：支持组织战战略。平衡的信息息安全风险险。谨慎而有效效的信息安安全投资。。信息安全建建设能够与与业务发展展和IT能力建设同同步。促使信息安安全成为业业务发展的的有力驱动动。27二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定基于战略的的信息安全全需求的内内容：范围需求安全的目标标需求（可可用性、完完整性、保保密性、不不可地耐性性等要求））安全的组织织需求安全的资源源需求安全的管理理流程需求求（突发事事件与持续续改进）后续展开这这些需求。。。。。28三、组织业务与与安全需求求1.组织业务描描述模型组织的分类类方法有多多种，这里里讲的组织织按组织的的目标分类类，可以把把组织分为为：互益组织：：如工会、、俱乐部、、政党等。。工商组织：：如工厂、、商店、银银行等。服务组织：：如医院、、学校、社社会机构等等。公益组织：：如政府机机构、研究究机构、消消防队等。。组织的分类类29三、组织业务与与安全需求求1.组织业务描描述模型组织的业务务描述模型型业务模型是是描述业务务用例实现现的对象模模型，它是是对业务角角色和业务务实体之间间如何联系系和协作以以执行业务务的一种抽抽象。30三、组织业务与与安全需求求1.组织业务描描述模型组织的业务务描述模型型业务流程描描述模型刻刻画以业务务表单为中中心的应用用系统业务务流程，解解决其业务务流程建模模中的问题题,包括:各类约束的的严格描述述、权限表表示、流程程关系、流流程推进过过程以及业业务对象被被调度和执执行的全过过程描述。。采用业务流流程描述模模型的业务务系统更容容易扩展和和维护,能较好地满满足用户的的需求。31三、组织业务与与安全需求求1.组织业务描描述模型业务描述模模型例子---银行业务模模型业务事件[UML信号事件-指定的激励励表格或文文档]和过程(UML用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

32三、组织业务与与安全需求求1.组织业务描描述模型业务描述模模型例子---银行业务模模型Customer：客户；Teller：出纳员；；withdraw：取款；account：账户；BankDB：银行数据据库33三、组织业务与与安全需求求2.基于业务的的组织安全全需求业务信息资资产是企业业信息安全全保护的核核心目标，，因此要进进行信息安安全建设，，首先明确确安全保护护的对象。。组织需要要通过分析析业务流程程，识别关关键的业务务资产，确确定业务资资产的安全全所有人和和认责人，，明确安全全保护责任任。业务信息资资产安全是是组织信息息安全保护护的核心34三、组织业务与与安全需求求2.基于业务的的组织安全全需求组织业务信信息资产保保护内容在以业务为为核心的组组织内部，，信息资产产包括业务务硬件与组组件、系统统与网络通通信、应用用软件、相相关的数据据和信息，，还包括相相关的关键键业务流程程和人员。。35三、组织业务与与安全需求求2.基于业务的的组织安全全需求基于业务的的组织安全全需求对业务相关关信息资产产清册，包包括硬件与与组件、系系统与网络络通信、应应用软件、、相关的数数据和信息息，关键业业务流程和和人员。建立组织信信息资产目目录并进行行维护，可可以帮助企企业实施有有效的信息息资产安全全保护，业业务连续性性和灾难恢恢复。在信信息资产目目录中应该该定义资产产的安全等等级和安全全责任人。。36三、组织业务与与安全需求求2.基于业务的的组织安全全需求基于业务的的组织安全全需求通过安全风风险评估，，识别关键键业务信息息资产的安安全威胁和和风险，将将安全需求求列表并排排出优先级级。确定基于业业务的组织织安全需求求和安全改改进方向。。37四、符合性的安安全需求1.符合性概述述符合性需求求的意义为了避免任任何违反法法律、法令令、法定的的或者合同同的义务，，使信息系系统安全集集成和运行行置于法律律、法规或或者合同的的约定的要要求之下，，以避免或或减少安全全风险。38四、符合性的安安全需求1.符合性概述述符合性是指指符合现行行法规、规规章、制度度，技术规规范等。符合性要求求组织所有有行为必须须合法，符符合相关的的规章制度度及规则。。就是不但但要遵守法法律，而且且也要符合合组织内部部、行业等等的规章制制度。符合性与遵遵守组织适适用的法律律和法规有有关。它们们依赖于外外部因素，，如环境法法规，在某某些方面对对于整个组组织、或整整个行业是是类似的。。什么是符合合性39四、符合性的安安全需求2.法律法规要要求法律法规的的识别识别收集与安全全集成有关关的法律法法规并对适适应性进行行评价，确确定其适用用范围和具具体适应条条款，形成成适应的法法律法规清清单。40四、符合性的安安全需求2.法律法规要要求法律法规的的识别评估法律法规复复合性的需需要定期评评估，保持持适应的法法律、法规规的有效最最新版本。。法律法规复复合性的需需要定期评评价，保持持适应的法法律、法规规的符合性性。41四、符合性的安安全需求2.法律法规要要求知识产权保保护需求严格执行国国家有关知知识产权方方面的法律律法规，保保证使用合合法的正版版地软件。。这些需要要，确定合法获获得软件的的途径合法法；审查软件资资产清单，，确保使用用的软件已已经被授权权；列出需要的的软件或未未被授权软软件清单；；确保用户数数不超出允允许的上限限；严禁员工私私自安装任任何软件。。42四、符合性的安安全需求2.法律法规要要求记录的保护护需求应按照法律律法规要求求和组织规规定，明确确重要记录录的保存期期限并适当当保护，防防止丢失、、损坏和伪伪造；处理与个人人数据与信信息应按照照国家法律律法规的规规定和相关关合同约束束，对个人人信息进行行妥善管理理与保护，，防止丢失失或泄漏个个人信息；；将需要保护护记录和个个数据与人人信息列出出清单，并并明确保护护要求。43四、符合性的安安全需求3.安全监管要要求安全监管是为预防和和遏制组织织内信息系系统缺陷、、或用户滥滥权、或管管理不善导导致信息安安全事件的的发生，并并保证及时时处理由此此引起的各各类安全事事件，减轻轻或消除信信息安全事事件造成的的经济损失失或信誉损损失，确保保组织业务务的连续性性。44四、符合性的安安全需求3.安全监管要要求安全监管的的要求主要要分为：国家要求；；行业要求；；组织内部；；其他监管要要求。45四、符合性的安安全需求3.安全监管要要求信息安全等等级保护管管理的要求求什么是信息息安全等级级保护信息安全等等级保护是是指国家秘秘密信息、、法人和其其他组织及及公民的专专有信息以以及公开信信息和存储储、传输、、处理这些些信息的信信息系统分分等级实行行安全保护护，对信息息系统中使使用的信息息安全产品品实行按等等级管理，，对信息系系统中发生生的信息安安全事件分分等级响应应、处置。。46四、符合性的安安全需求3.安全监管要要求信息安全等等级保护管管理的要求求组织对信息息和信息系系统分等级级进行保护护的需求：：信息安全等等级保护管管理要求信信息和信息息系统分等等级进行保保护，按组组织的利益益，社会公公众利益，，对国家安安全的影响响一共分为为五级，第第一级是最最低的，第第五级是最最高。确定组织是是否强制或或自愿纳入入信息安全全等级保护护管理，明明确纳入分分级保护的的级别。47四、符合性的安安全需求3.安全监管要要求信息安全等等级保护管管理的要求求组织对信息息系统安全全专用产品品分等级的的需求：信息安全等等级保护管管理要求对对信息系统统安全专用用产品分等等级进行管管理，根据据可控性、、可靠性、、安全性和和可监督性性这四个属属性确定信信息系统使使用的安全全产品等级级，各个单单位使用的的安全产品品应该是分分等级的。。定了三级级的系统不不能使用二二级以下的的安全产品品；确定组织纳纳入分级保保护的级别别，明确使使用信息安安全产品的的等级需求求。48四、符合性的安安全需求3.安全监管要要求信息安全等等级保护管管理的要求求组织对所发发生的信息息安全事件件分等级进进行响应和和处置的需需求：信息安全等等级保护管管理要求，，对所发生生的信息安安全事件分分等级进行行响应和处处置，对不不同的信息息安全事件件，由监管管部门牵头头组织全社社会的应急急响应和单单位的应急急响应相结结合，最大大限度的减减轻信息安安全事件造造成的损失失。确定组织纳纳入分级保保护的级别别，明确信信息安全事事件响应的的等级需求求。49四、符合性的安安全需求3.安全监管要要求组织内部信信息安全监监管要求监管范围与与内容：定义监管范范围，明确确定义组织织物理边界界，信息系系统部署的的物理边界界，应用运运行的区域域；明确监管设设备，包括括防火墙、、入侵检测测系统、鉴鉴权系统、、服务器、、路由器、、交换机等等；50四、符合性的安安全需求3.安全监管管要求组织内部部信息安安全监管管要求监管范围围与内容容：操作系统统与应用用系统日日志，包包括操作作系统、、数据库库管理系系统、应应用系统统及设备备运行域域操作日日志的监监管要求求；网站内容容监管，，网站内内容发布布的监控控与审计计要求，，非法、、敏感类类信息以以及克访访问性的的适时监监管要求求。51四、符合性的的安全需需求3.安全监管管要求组织内部部信息安安全监管管要求监管职责责：内部监管管机构的的指定与与监管责责任的定定义，如如谁分管管，哪个个部门承承担监管管责任，，对监管管对象、、安全事事件处理理，上下下协调等等责任的的定义；；监管人员员的监管管职责的的明确，，日常监监管要求求，问题题处理方方式与报报告流程程；事件分类类及事件件处理流流程定义义。52四、符合性的的安全需需求4.合同业务务要求合同受到到法律保保护：合同是当当事人之之间设立立、变更更、终止止民事关关系的协协议。依依法成立立的合同同，受法法律保护护。组织明确确双方合合同协议议中对信信息安全全的要求求。组织在合合同业务务中对信信息安全全的要求求53四、符合性的的安全需需求4.合同业务务要求将双方合合同协议议中对信信息安全全的要求求列出作作为安全全集成中中的需求求管理；；组织也需需要明确确提出第第三方机机构及人人员的信信息安全全要求，，涉及第第三方接接触本组组织的信信息处理理设备应应当基于于正式的的合同提提出所有有的基于于信息安安全的要要求，以以便确保保符合组组织的安安全政策策和标准准。组织在合合同业务务中对信信息安全全的要求求54五、基于风险险的安全全要求1.风险管理理综述风险的定定义风险大致致有两种种定义：：一种定定义强调调了风险险表现为为不确定定性；而而另一种种定义则则强调风风险表现现为损失失的不确确定性。。学术界对对风险的的内涵还还没有统统一的定定义，由由于对风风险的理理解和认认识程度度不同，，或对风风险的研研究的角角度不同同，不同同的学者者对风险险概念有有着不同同的解释释。55五、基于风险险的安全全要求1.风险管理理综述信息安全全风险在信息安安全领域域来讲我我们这样样来定义义风险：：风险就是是发生损损失事件件的概率率，也可以说说是损失失发生的的不确定定性，即信息资资产遭受受破坏或或被非正正常利用用给组织织带来损损失的可可能性。。56五、基于风险险的安全全要求1.风险管理理综述风险管理理风险管理理是指通通过风险险识别、、风险评评估与分分析、风风险处置置、风险险监控等等一系列列活动来来消除或或减少风风险的管管理过程程。风险识别别>>风险评估估与分析析>>风险处置置>>风险监控控57五、基于风险险的安全全要求1.风险管理理综述风险管理理风险管理理必须识识别、分分析风险险，风险险识别是是确定何何种风险险可能会会对组织织产生影影响，最最重要的的是量化化不确定定性的程程度和每每个风险险可能造造成损失失的程度度。风险管理理要着眼眼于风险险控制，，组织通通常采用用积极的的措施来来控制风风险。通通过降低低其损失失发生的的概率，，缩小其其损失程程度来达达到控制制目的。。风险管理理要学会会规避风风险，在在既定目目标不变变的情况况下，改改变方案案的实施施路径，，从根本本上消除除特定的的风险因因素。58五、基于风险险的安全全要求1.风险管理理综述风险评估估对信息和和信息处处理设施施面临的的威胁、、受到的的影响、、存在的的弱点以以及威胁胁发生的的可能性性的评估估。风险评估估是确定定风险优优先级的的方法。。大多数风风险评估估都基于于定量风风险评估估和定性性风险评评估这两两种方法法或这两两种方法法的组合合。59五、基于风险险的安全全要求2.风险与安安全需求求组织需要要根据对对信息资资产风险险评估的的结果，，结合业业务需求求来确定定组织安安全需求求。安全需求求中不仅仅包括具具体信息息资产对对安全的的要求，，还应包包括软件件功能方方面的安安全需求求，以及及物理安安全、管管理流程程、系统统管理等等非软件件方面的的需求。。风险评估估与安全全需求60五、基于风险险的安全全要求2.风险与安安全需求求组织根据据应用以以及关键键数据的的重要程程度，确确定所需需要采用用的安全全机制。。通过安全全风险评评估明确确存在风风险的关关键的业业务资产产和业务务流程，，识别其其安全需需求和安安全现状状。风险评估估与安全全需求61五、基于风险险的安全全要求2.风险与安安全需求求安全风险险的可接接受水平平以及安安全需求求的确认认，需要要业务人人员和管管理层来来确认，，应该将将实施控控制措施施的支出出与安全全故障可可能造成成的业务务损失进进行权衡衡考虑，，对安全全建设的的方向和和目标进进行决策策。风险评估估与安全全需求62六、确定组织织的安全全需求1.安全需求求的协商商协商协商是利利益关系系者共同同商量以以便取得得一致意意见。63六、确定组织织的安全全需求1.安全需求求的协商商安全需求求的协商商对于信息息安全的的需求，，在符合合国家法法律、行行业规定定、以及及上级主主管部门门、组织织内部不不同机构构、以及及客户等等的需求求重点不不一样，，同时组组织建设设信息系系统，保保证信息息安全还还受投资资限制，，因此需需要对信信息安全全的需求求进行商商量，以以最终求求得各方方一致认认同的适适合组织织建设的的安全需需求。需求平衡衡投资平衡64六、确定组织的的安全需求求1.安全需求的的协商整理需求有优先顺序序的安全需需求清单业务的组织织安全需求求符合性的安安全需求合同业务要要求风险的安全全要求65六、确定组织的的安全需求求1.安全需求的的协商利益关系者者间沟通沟通是为了了一个设定定的目标，，把信息、、思想和情情感在个人人或群体间间传递，并并且达成共共同协议的的过程。信息安全需需求的沟通通，是将将将组织业务务的组织安安全需求、、符合性的的安全需求求、合同业业务要求，，以及风险险的安全要要求综合处处理成有优优先顺序的的安全需求求清单，用用这个清单单去向各利利益关系者者传达，收收集意见和和建议，以以达成一致致意见。66六、确定组织的的安全需求求1.安全需求的的协商与利益关系系者沟通的的步骤：第一步事事前准备备第一步阐阐述观点点第一步收收集信息息第一步处处理异议议第一步达达成一致致67六、确定组织的的安全需求求1.安全需求的的协商与利益关系系者有效沟沟通的基本本技巧组织清晰语语言简洁关注非语言言的暗示倾听沟通对对象表达求同存异有有效反馈68六、确定组织的的安全需求求2.安全需求的的确定根据沟通结结果重新整整理需求清清单意见建议需求清单经多方协商商后的达成成基本一致致的需求清清单69六、确定组织的的安全需求求2.安全需求的的确定召开会议形形成多方认认可的需求求清单在与各方充充分沟通的的达成基本本一致的基基础上，召召开关系者者代表全体体会议，传传达沟通结结果，形成成多方认可可的需求清清单，并签签注确认。。召开关系者代表会议经多方认可可的需求清单单签字确认70七、确定信息安安全目标总体目标的的起草与确确定组织定义信信息安全总总目标：确保组织的信息资产产的机密性性、完整性性和可用性性（不同的组组织可能会会还有不可可抵赖性等等），为组织业务应用提提供安全、、稳定、连连续的IT支撑。起草总目标形成经确认认的总体目目标高层会议确确认71七、确定信息安安全目标分目标的起起草与确定定分目标的起起草与确定定在确认总目目标的基础础上，分解解具体管理目目标，可按照可用性性、完整性性和机密性性以及其他如如不可抵赖赖性等面定义安全目标。组织安全总总体目标可用性目标完整性目标机密性目标其他安全目目标72七、确定信息安安全目标可用性目标分目标的起起草与确定定在多方认可可的需求清清单形成组组织的可用用性目标，，例如：序号目标测量方式1互联网系统需达到99.5%的可用性每月通过提交服务报告方式，统计的服务时间，来计算服务可用性。2内联网系统需达到99.5%的可用性每月通过提交服务报告方式，统计的服务时间，来计算服务可用性。3系统管理服务可用性的目标：关键业务服务器系统每年故障不超过12次，其他系统每月故障不超过8次。每月通过提交服务报告方式，统计的服务时间，来计算服务可用性。73七、确定信息安安全目标完整性目标分目标的起起草与确定定在多方认可可的需求清清单形成组组织的完整整性目标，，例如：序号目标测量方式1保证收费信息的完整。在内审中进行评审，评估信息的有效性。未经授权的破坏或修改的件数少于10件/年。2保证重要文档信息的完整。在内审中进行评审，评估信息的有效性。未经授权的破坏或修改的件数少于10件/年。374七、确定信息安安全目标机密性目标分目标的起起草与确定定序号目标测量方式1不同密级的信息资产应得到适当程度的保护,不会被非授权访问。无信息泄密事件1）在控制措施有效性测量中完成。随机抽查10个人的访问权限，是否和访问权限表里的一致。百分比参数取决于:达到要求的数量/抽查的数*100%2）信息泄密控制在5件/年以下。在多方认可可的需求清清单形成组组织的机密密性目标，，例如：75七、确定信息安安全目标分目标确定定分目标的起起草与确定定分目标与测量方法清单形成经确认认的组织信信息安全具具体目标高层会议确确认76七、确定信息安安全目标汇总组织具具体安全目目标汇总安全目目标组织信息安全总体目标确定组织信信息安全目目标分目标与测量方法清单+77谢谢！9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Thursday,December29,202210、雨中黄黄叶树，，灯下白白头人。。。03:49:1703:49:1703:4912/29/20223:49:17AM11、以我独沈沈久，愧君君相见频。。。12月-2203:49:1703:49Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。03:49:1703:49:1703:49Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2203:49:1703:49:17December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20223:49:17上午午03:49:1712月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、行动出成成果，工作作出财富。。。2022/12/293:49:1703:49:1729December20