信息安全项目成果培训信息安全管理政策

信息安全项目成果培训信息安全管理政策,信息安全管理体系的建立 范围的订定,订定政策Define the Policy,订定ISMS 范围Define the Scopeof the ISMS,风险评估Undertake a risk assessment,风险管理Manage the risk,选出控制目标与执行控制点Select control objectives and controls to be implemented,制作适用性声明书Prepare a SOA,审查与更新Review and Update,1,2,3,4,5,6,7,ISMS 的范围,ISMS 的范围 Scope of an ISMS:ISMS 适用范围 界线 Scope of ISMS Boundaries组织特性 Organisational Characteristics地点Location资产 Assets信息技术 Technology,ISMS 的范围 范例,ISMS 范围- 范例 Scope of an ISMS - Example:“信息安全管理系统包括所有在XXX中心之信息系统及与提供员工福利及精算服务相关之所有业务程序及资源. 包括支持接到客户端LAN 与 WAN 的通讯作业, 上述信息安全管理系统范围与适用声明书 (Statement of Applicability) 中之叙述是一致的.”“The Information Security Management System covering all the business processes and resources associated with the information systems and services used to provide employee benefit and actuary advisory services, at “Taipei House in London”. This include?,ISMS 的范围 考虑因素,ISMS 范围 Scope of an ISMS:信息安全需求来源 ISO/IEC 17799:2000Security Requirement sources ISO/IEC 17799:2000针对信息资产所执行之风险评估结果Risk assessment to organisation assets法律, 法令, 管制与契约Legal, statutory, regulatory and contractual企业组织的作业原则, 目标与需求Organisational set of principles, objectives and requirements,ISMS 的范围 资产种类,组织里与信息安全相关的资产 Organisational Assets:资产种类 Inventory信息资产Information Assets软件资产Software Assets实体资产Physical Assets服务Services信息分类Information Classification分类的指引Classification Guidelines信息标示及处理Information Labelling and Handling资产拥有者Asset Owners,ISMS 的范围 资产范例,信息资产- 范例 :信息资产 Information Assets数据库, 系统文件, 训练教材Databases, System Documentation, Training Material软件资产 Software Assets应用软件, 开发工具Application Software, Utilities实体资产 Physical Assets计算机设备, 储存媒体Computer Equipment, Media服务 Services冷气机, 电力供应Air-Conditioning, Power,ISMS 的范围 资产价值,决定资产价值 Asset Value:重要性 Importance赋予价值 Equating the value,ISMS 的范围 资产的拥有者,信息资产拥有者 Asset Owners:Accountability维护控制 Maintenance of controls管理风险 Risk ManagementResponsibility建置控制 Implementing controls,信息安全管理体系的建立 风险评估,订定政策Define the Policy,订定ISMS 范围Define the Scopeof the ISMS,风险评估Undertake a risk assessment,风险管理Manage the risk,选出控制目标与执行控制点Select control objectives and controls to be implemented,制作适用性声明书Prepare a SOA,审查与更新Review and Update,1,2,3,4,5,6,7,风险评估,何为风险评估 ?What is Risk Assessment ?“评估对信息及信息处理设备之威胁弱点影响及发生的可能性” (ISO/IEC 17799:2000)”“assessment of threats to, impacts on and the vulnerabilities of information and information processing facilities and the likelihood of their occurrence” (ISO/IEC 17799:2000),风险评估的相关概念,风险评估Risk Assessment 对信息资产和信息处理设施的威胁(Threat)，弱点，(Vulnerability)，及其发生的可能性（风险程度）的评估，对其导致的业务影响(Business Impact)的评估。 资产与范围Assets and Scope 对企业信息资产的内容和范围的定义威胁Threats 可能对资产或组织造成损害的事故的潜在原因弱点Vulnerability 资产或资产组中能被威胁利用的弱点风险程度Degree of risk 特定的威胁利用资产的一种或一组弱点，导致资产丢失或损害的潜在可能性。业务影响Business Impact 威胁一旦发生，给组织所带来的直接或间接的损失。,威胁,环境,非故意,故意,内部,外部,firefloodsEarthquakeHeatHurricanes,Software bugsSystem overloadsHardware failerrors & accidentsIncompetent custodians,Disgruntledformercontractemployee,hacker,spycompetitor,威胁的种类,威胁来源,信息安全的风险分析路径,安全控制,可用性,完整性,业务,业务影响,弱点,保密性,信息资产,环境,安全威胁,故意,非故意,作用于,防范于,风险程度,竞争优势,投资回报,永续经营,风险评估 威胁与弱点,风险评估 威胁 Risk Assessment Threats侵害信息资产的隐密性To breach confidentiality of information assets破坏信息资产的完整性 故意或无意的To damage the integrity of information assets deliberate or accidental corruption中断信息资产的可用性To interrupt the availability of information assets风险评估 弱点 Risk Assessment Vulnerabilities组织或信息系统的弱点可能被威胁影响到以致引起对资产潜在的伤害Weaknesses in the Organisation or Information Systems that may be exploited (by a threat) to cause potential harm to assets,风险评估 威胁的范例,风险评估 威胁 范例 :技术面 (Technical)网络中断, 不良系统绩效逻辑面 (Logical)伪装, 通讯渗透人员 (Human)使用错误, 引进病毒实体 (Physical)偷窃, 故意破坏环境 (Environmental)电力中断, 火灾, 水灾,风险评估 弱点的范例,风险评估 弱点 范例 :技术面 (Technical)无保护的网络联机逻辑面 (Logical)不当的密码设定人员 (Human)不足的信息安全教育训练实体 (Physical)无适当的实体安全保护环境 (Environmental)缺乏备援电力系统,风险评估 风险程度和影响,风险评估 风险程度威胁破坏信息资产发生的可能性The likelihood of a threat harming information assets风险评估 影响当威胁来临而无法保护资产时所产生对企业的伤害程度 The degree of business harm and potential consequences likely to result from a failure to protect assets from threats,风险评估 风险程度的范例,风险评估 业务影响的范例,此表可用来算资产值,风险评估 方法,Risk Assessment Approach取决于公司组织型态 Dependent on type of organisation取决于公司客户型态 Dependent on type of customers取决于公司信息资产型态 Dependent on type of information assetsRisk Assessment Information Security Policy风险范围 Areas of Risk需要确保的程度 Degree of assurance required,风险评估 评估表范例,威胁程度=针对某资产而违反信息安全的可能性Threat Level = Likelihood of Security Breach/Incident affecting an asset,资产价值= 根据信息安全事件所导致之影响而决定Asset Value equated from impact analysis of a Security Breach,信息安全管理体系的建立 风险管理,订定政策Define the Policy,订定ISMS 范围Define the Scopeof the ISMS,风险评估Undertake a risk assessment,风险管理Manage the risk,选出控制目标与执行控制点Select control objectives and controls to be implemented,制作适用性声明书Prepare a SOA,审查与更新Review and Update,1,2,3,4,5,6,7,风险管理的定义,何谓风险管理? What is Risk Management ?“在可接受的成本范围内, 对可能影响信息安全风险进行确认, 控管, 以降低或消除这些风险” (ISO/IEC 17799:2000)“process of identifying, controlling and minimizing or eliminating security risks that may affect information systems, for an acceptable cost” (ISO/IEC 17799:2000),弱點、威胁与控制,攻擊,遏制性的控制,偵測性的控制,預防性的控制,影響,矯正性的控制,威脅,弱點,建立,降低可能性,發現,引起,保護,結果,利用,降低,风险管理,风险管理 Risk Management方法 Approach信息安全政策Information Security Policy对策 Countermeasures持续执行 Repeatability,风险管理 方法和政策,风险管理 方法 Risk Management Approach取决于公司组织型态 Dependent on type of organisation取决于公司客户型态 Dependent on type of customers取决于公司信息资产型态 Dependent on type of information assets高阶主管的承诺 Management commitment风险管理 信息安全政策 Risk Management Information Security Policy风险区域 Areas of Risk信赖程度 Degree of assurance,信息安全管理体系的建立 执行控制,订定政策Define the Policy,订定ISMS 范围Define the Scopeof the ISMS,风险评估Undertake a risk assessment,风险管理Manage the risk,选出控制目标与执行控制点Select control objectives and controls to be implemented,制作适用性声明书Prepare a SOA,审查与更新Review and Update,1,2,3,4,5,6,7,风险管理 对策,风险管理 对策 Risk Management Countermeasures选择与导入控制措施以将风险降低到可接受的程度内Controls selected and implemented to reduce the risks to an acceptable level预防 (Preventive), 侦测 (Detective) 或矫正 (Corrective)ISO 17799:2000评估可以是实体, 程序或产品面的Measures can be Physical, Procedural or Product平衡风险及潜在的影响与成本Cost balance with Risks and potential impacts需要企业营运决策的参与Business decision is required,风险管理 对策的范例,持续风险管理,风险管理 Risk Management 持续风险管理 Repeatability企业需求与优先级变动时Changes to business requirements and priorities新的资产, 威胁与弱点出现时New assets, threats and vulnerabilities定期审查并确认控制点是适当与有效的Periodic reviews to confirm controls remain effective and appropriate,会议内容,信息安全保障体系回顾管理政策成果培训,毕博管理咨询的信息安全保障体系概览,毕博管理咨询的信息安全保障体系概览（续）,通过上图可以看出，信息安全保障主要通过技术和管理相结合的方式实现，其中技术手段是核心，管理手段分为组织相关的管理和运作相关的管理两大部分的内容配合技术手段一起确保企业的信息安全。与此同时，还有一些其他的考虑因素会从不同程度上影响企业的信息安全：,企业IT技术的层次分布，将企业中所需要受到保护的系统对象分为6个层次。信息安全的5个要素，确保从各个不同的安全角度全面考虑信息的安全特性。通过各种从政策到策略到标准到流程到步骤的不同的安全管理方式，从宏观到微观，从概括到具体，全方位的有机的管理确保信息安全。外部对企业信息安全的影响也不容忽视，如知识产权，相关法律法规以及政策的符合度，以及行业趋势对安全的影响。,信息安全政策与标准的总体框架,毕博信息安全管理架构,整体信息安全政策共分为总则，3大管理政策（信息安全管理政策、信息安全审计政策和信息安全体系评估政策）和17个具体的管理规范。图中带阴影的方框中带书名号的为单独成册的部分。其中：信息安全政策总则明确了中国石油战略性的安全指导方针、目标和信息安全管理体系的基本架构。信息安全管理政策包括信息安全组织管理和信息安全运作管理两个部分，分别从组织和流程运作的管理为中国石油的信息安全提供保障信息安全的审计政策是用来监督中国石油信息安全相关政策、规范、标准等的执行情况。信息安全的体系评估政策主要是用以评估、完善中国石油信息安全管理体系。,毕博信息安全管理架构（续）,信息安全管理信息安全组织管理信息安全组织架构信息安全关键岗位设置信息安全运作管理员工信息安全管理信息安全资产管理业务持续性管理信息安全事件通报管理对外（第三方）安全管理信息安全政策与标准的管理,信息安全审计信息安全审计范围信息安全审计责任制度信息安全审计制度信息安全审计运作制度信息安全管理体系评估信息安全管理体系评估办法信息安全管理体系评估-核心流程信息安全管理体系评估-资产评估,通过上图可以看出，信息安全管理架构主要由三部分的内容组成：,会议内容,信息安全保障体系回顾管理政策成果培训,信息安全管理政策内容,管理基本概念介绍信息安全管理政策框架说明中国石油信息安全策略信息安全政策介绍信息安全组织管理政策信息安全运作管理政策信息安全审计政策信息安全管理体系评估政策,企业管理的基本框架,现代企业管理是由企业战略、组织架构、业务流程、绩效管理和信息技术这五种要素构成的。这五种要素与外部环境共同作用的结果最终影响企业的发展,组织架构,信息技术,绩效管理,业务流程,企业战略,外,部,环,境,安全管理的核心-风险管理,风险管理的目的：有效的控制风险，而非杜绝风险风险管理中时常遇到的几个问题：风险在哪里？风险的大小？采取手段来控制风险了吗？风险是否降低到可以接受的程度了？风险管理的常用方法消除降低回避,识别风险,评估风险,采取措施,检验,风险管理,从企业管理看信息安全,战略管理,业务流程重整,组织架构重组,平衡分数卡,信息安全管理政策内容,管理基本概念介绍信息安全管理政策框架说明中国石油信息安全策略信息安全政策介绍信息安全组织管理政策信息安全运作管理政策信息安全审计政策信息安全管理体系评估政策,信息安全管理体系建立模型,信息安全管理体系建立模型是一个不断循环的系统，借以持续完善信息安全管理体系，适应环境的变化。主要思想是从风险管理的角度出发，按照预防为主的思想，遵循管理的一般循环模式对风险实施动态管理。,中国石油信息安全政策与标准的总体框架,中国石油信息安全政策的内容概要,整体信息安全政策共分为总则，3大管理政策（信息安全管理政策、信息安全审计政策和信息安全管理体系评估政策）和16个具体的管理规范。图中带阴影的方框中带书名号的为单独成册的部分。其中：信息安全政策总则明确了中国石油战略性的安全指导方针、目标和信息安全管理体系的基本架构。信息安全管理政策包括信息安全组织管理和信息安全运作管理两个部分，分别从组织和流程运作的管理为中国石油的信息安全提供保障信息安全的审计政策是用来监督中国石油信息安全相关政策、规范、标准等的执行情况。信息安全的体系评估政策主要是用以评估、完善中国石油信息安全管理体系。,信息安全管理政策内容,管理基本概念介绍信息安全管理政策框架说明中国石油信息安全策略信息安全政策介绍信息安全组织管理政策信息安全运作管理政策信息安全审计政策信息安全管理体系评估政策,中国石油信息安全的策略,中国石油信息安全策略是在中国石油信息战略的指导下建立的，是中国石油信息安全体系建立的最高纲领，中国石油所有信息系统的建立者、维护者、管理者、使用者（包括组织与个人）都必须遵循。信息安全策略的适用范围包括但不限于中国石油总部、各专业公司、地区公司及下属单位、各研究机构以及相关第三方组织或个人。信息安全策略主要包含以下两方面内容：总体目标，中国石油信息安全的总体目标是为中国石油的可持续性发展提供保障，具体内容体现在以下七个方面：保护企业信息的保密性、完整性和有效性；强化员工的信息安全意识，规范中国石油的信息安全行为；对中国石油的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统收到侵袭时，确保业务持续开展并将损失降到最低程度；使得中国石油的合作伙伴和客户对中国石油充满信心；证明中国石油有能力保障重要信息，提高中国石油的知名度与信任度；促使管理层坚持贯彻信息安全保障体系。实施原则：制定信息安全政策总则，为信息安全管理提供导向和支持；信息安全政策与标准的制定建立在风险评估的基础之上；考虑控制费用、业务开展与风险平衡的原则，将风险降至中国石油可接受的水平；以预防控制为主的思想原则；业务持续性原则，即从故障与灾难中恢复业务运作，减少故障与灾难对关键业务过程的影响；动态管理原则，即对风险实施动态管理；全员参与的原则；遵循管理的一般循环模式持续改进模式（PDCA），即Plan（规划）Do（执行）Check（检查）Action（措施）。,信息安全管理政策内容,管理基本概念介绍信息安全管理政策框架说明中国石油信息安全策略信息安全政策介绍信息安全组织管理政策信息安全运作管理政策信息安全审计政策信息安全管理体系评估政策,信息安全组织管理政策,信息安全组织管理政策,内容概要,信息安全组织架构信息安全组织架构信息安全组织架构与中国石油组织架构的关系中国石油信息安全组织架构中国石油信息安全组织各机构职责与分工勘探院和规划院的信息安全管理组织关于设立信息技术支持中心的设想中国石油信息安全关键岗位设置中国石油信息安全关键岗位设置信息安全管理部门关键岗位设置信息安全技术维护/支持部门关键岗位设置中国石油信息安全关键岗位职责中国石油信息安全管理关键岗位职责中国石油信息安全技术关键岗位职责,中国石油信息安全考核制度信息安全关键岗位考核指标信息安全关键岗位考核指标定义信息安全关键岗位考核指标计算方法关键考核指标与信息安全关键岗位的对应关系信息安全关键岗位考核责任制度中国石油信息安全关键岗位的考核指标和具体目标的制订和审批：中国石油信息安全各关键岗位考核关系：信息安全关键岗位考核流程中国石油信息安全组织运作信息安全论坛信息安全协调机制,信息安全组织架构,信息安全组织架构的说明,企业信息安全组织是根据企业的业务发展要求，在企业原有组织架构的基础上针对信息安全管理的需求进行提炼、完善的结果。在完整的信息安全组织中必须明确三个重要组成部分：用户、管理者、技术维护/支持者用户是运用信息系统收集、处理、存储、管理信息的组织或人员，他们是信息的使用者，同时也可以是信息的维护、管理者。管理者是信息安全组织中负责组织运作、法规制定、监督管理的组织或人员。技术维护/支持者是维护信息系统、保证信息系统的正常运行，并为信息系统错误的解决提供技术支持、服务的组织或个人。,管理者和技术维护/支持者同时可能是用户，但用户不一定同时具有管理者或者技术维护/支持者的身份。,中国石油组织架构,中国石油的组织架构设计体现两大特点：三级管理模式主要分为总部、专业公司和地区公司三级事业部制的管理模式对于以上特点，我们在设计中国石油信息安全组织架构时给予了充分的考虑,信息安全组织架构与中国石油组织架构关系,中国石油的信息安全组织在管理和运行中是依托于中国石油的组织架构而存在的，两者之间的关系如下所述：用户组织是与中国石油组织架构一致的。管理组织是在中国石油组织架构的基础上设立的。其日常管理机构与中国石油组织架构保持一致，进行三级管理，但委员会可以跨层次、跨部门建立。考虑到地域分布，技术维护/支持组织结构与用户的组织结构不一定要一一对应，例如中国石油总部与专业公司的机关都设在同一幢写字楼，完全可以共享技术维护/支持服务，相应的也只需要建立一个技术维护/支持组织。,中国石油信息安全组织架构图,信息安全专家委员会,在中国石油信息安全组织中设立了两个委员会信息安全管理委员会和信息安全专家委员会分别作为中国石油信息安全的最高决策机构和决策支持组织。信息安全管理委员会由总裁主持，并由涉及企业信息安全的关键业务及管理部门的高层管理人员组成。需考虑到业务需求、信息管理、技术管理（专家身份）以及资源方面的要求。（见图：中国石油信息安全管理委员会构成）以中国石油目前的管理架构来看，总部的科技信息委员会无疑是信息安全管理委员会最合适的对象。信息安全专家委员会的成员来自于中国石油的各个层面，能够保证其意见体现各个层次的管理、业务需求。另外由于参与人员同时也是各个层级的信息安全的关键岗位人员，便于委员会所作决策的实施推广。,总部,专业公司,地区公司,地区公司,科技信息部,专业公司科技信息管理部门,地区公司科技信息管理部门,信息安全管理委员会,用户组织,管理组织,技术维护/支持组织,信息安全专家委员会,技术支持部门,技术支持部门,技术支持团队,用户组织、管理组织、技术维护/支持组织结构图,地区公司科技信息管理部门,.,注：鉴于信息系统的特殊性，信息技术维护/支持组织不必完全按照3级管理的模式。从地域分布考虑，总部和专业公司可以共享一个技术支持团队。因此中国石油的信息技术维护支持组织实行2级模式。,信息安全组织架构,信息安全管理关键岗位,中国石油各级信息安全管理部门下设3个信息安全关键岗位和若干一般信息安全管理岗位。3个信息安全关键岗位分别是：信息安全管理负责人信息安全培训员信息资产管理员,信息安全技术关键岗位,中国石油各级信息安全技术维护/支持部门下设5个信息安全关键岗位和若干一般信息安全管理岗位。5个信息安全关键岗位分别是：信息安全技术负责人物理环境与设备安全管理员网络安全管理员系统安全管理员数据和文档安全管理员,信息安全组织架构,信息安全关键岗位考核指标,信息安全关键岗位考核指标（续）,注：在平衡分数卡体系中，一个部门或岗位的考核指标数量不宜太多，7-10个指标为最佳。鉴于信息安全考核指标仅仅是中国石油绩效考核指标体系中的一个部分，信息安全工作也只是某些岗位所负责的工作的一个方面，因此建议指标数量严格控制，各信息安全关键岗位有1-3个指标进行信息安全工作考核即可。,信息安全关键岗位考核指标计算方法,信息安全政策规范遵守执行情况信息安全政策规范遵守执行情况 1（被考核岗位违反安全政策规范总计项数/被考核岗位应遵守安全政策规范总计项数）100参加安全相关培训时间参加安全相关培训时间（各关键岗位人员当年参加培训的实际小时数/各关键岗位人员当年参加培训的目标小时数）/信息安全管理岗位总人数100参加安全相关培训成绩参加安全相关培训成绩（参加本次培训的实际小时数/当年参加培训的总小时数）本次培训取得的成绩注：本计算公式仅当员工所参加的信息安全相关培训时间超过全年工作时间的10时有效；,所有时间超过1周（5个工作日）的培训应当进行培训效果考核，可以用测验、培训导师评估等方式进行。因此本计算公式中所涉及的培训均指培训时间超过1周（5个工作日）的信息安全相关培训。网络连通率网络连通率（当年网络保持连通的总时间/24365）100系统宕机时间系统宕机时间当年信息系统宕机、中断服务的累计时间,关键考核指标与信息安全关键岗位对应关系,信息安全关键岗位考核流程,确定绩效目标、考核指标,由上一级的管理部门/管理人员进行考核,队考核结果进行纪录、跟踪,目标管理的考核流程,信息安全组织架构,信息安全组织管理政策,建立信息安全论坛，该论坛以信息安全专题网站的形式存在，由科技信息部负责论坛的建立与维护，面向中国石油信息安全组织中的所有用户。,静态信息发布,动态信息交流,建立信息安全协调机制,信息安全组织运作,信息安全运作管理政策,信息安全组织管理政策,内容提纲,员工信息安全管理信息安全资产管理业务持续性管理信息安全事件通报管理对外（第三方）安全管理信息安全政策与标准的管理,员工信息安全管理,个人信息安全责任制度人员选拔聘用制度员工保密协议制度员工信息安全培训制度,内容概要,人是企业信息安全管理的主要参与者，因此人员管理是企业信息安全管理的重要组成部分。在企业信息安全管理体系中充斥着人员管理的内容，这里主要是针对以中国石油的员工为对象的信息安全管理工作作出明确的规定，目标是降低设施误操作、偷窃、诈骗或滥用等方面的人为风险。具体内容包括：个人信息安全责任制度人员选拔聘用制度员工保密合约制度员工信息安全培训制度,个人信息安全责任制度,适用范围个人信息安全责任制度主要是针对以用户身份接触中国石油组织资产的个人而制定的，对于信息安全管理者和信息安全技术维护/支持者的责任制度则在中国石油信息安全关键岗位的岗位职责描述中提及。中国石油组织全体员工都必须严格遵守个人信息安全规范，以及公司关于组织信息资产使用的各项安全管理规定。对因违反公司个人信息安全规范而导致的损失，应由违反规范的个人承担相应责任。,主要内容信息安全保密制度 资产使用职责违禁操作规定信息管理者职责中国石油的信息管理者是指信息的所有者。信息管理者对信息本身的来源、真实性负责，并需要及时对信息的使用进行授权，以保障业务的正常开展。,人员选拔聘用制度,目标中国石油有专门的人员选拔聘用制度，这里仅仅从信息安全需求的角度提出在人员选拔聘用中的要求，以申明受雇人在信息安全方面应负的责任。范围与说明本制度适用于所有向中国石油提出就业申请的外部人员以及需要进行内部提升的员工。,员工保密协议制度,目标为加强中国石油员工对组织信息安全所应承担的责任，并将组织机密泄漏的风险将至最低，中国石油所有员工都必须与公司签订保密协议。保密协议中将明确规定中国石油员工对组织信息安全的责任、保密要求以及违约后所应付的法律责任。范围与说明中国石油员工将在下列情况下签订保密协议：中国石油所有员工都必须与公司签订保密协议，可作为雇用合同基本条款和条件的一部分；个别关键岗位或者临时参与机密性工作的人员，需要另行签订更为严格的附加保密协议，具体条款视具体情况而定；处于试用期的新员工，要求签订保密承诺；当雇用期或合同期发生变更，特别是中国石油雇用员工到期或合同要终止时，必须重申保密协议。,员工信息安全培训制度,目标保证员工遵循中国石油的信息安全管理的各项规章制度，正确的使用企业的信息处理设备，将可能的风险降到最低，具体内容包括：保证员工了解信息安全存在的威胁问题，理解中国石油的信息安全政策，在正常工作中切实遵照执行。保证员工掌握必要的组织信息资产使用知识和技能，能够在实际工作中采用适当的技术手段保障所使用或管理的组织信息资产的安全。保证信息技术人员能够及时掌握必要的信息技术知识和技能。范围与说明中国石油信息安全培训工作是中国石油员工培训工作的一个组成部分，需遵从相关的政策、制度。中国石油的信息安全培训工作主要分为用户培训和专业技术培训，分别针对所有接触中国石油组织信息资产的人员和中国石油信息技术人员：,用户培训主要分为安全意识培训和安全技能培训安全意识培训会因不同的对象有所调整，但需要全员参与，在某些情况下可以要求有关的第三方组织参加。培训的内容可以包括：组织信息安全方针与控制目标安全职责、程序与各项安全管理规章制度适用的法律法规与安全有关的其他内容安全技能培训主要是针对中国石油信息处理设备使用者进行的。考虑到信息技术的普及程度和中国石油在技术方面可能采用的一些特殊规定，原则上所有的员工都必须参加该类培训。专业技术培训专业技术培训是专门针对信息技术人员工作需要设立的，其他人员根据需要经相关领导审批同意后也可参加。,信息安全培训课程清单,说明：课程类型是指安全意识培训、安全技能培训或专业技能培训授课方式信息安全培训可以采取多种方式，包括网上授课、自学、外包、供应商授课、课堂讲习等教材教材应当标明教材名称和可获取的渠道培训对象是指适合参加该项培训的人员群体，例如职务级别等。一些针对特殊岗位的培训应当特别标明。,内容概要,信息安全资产管理信息资产清单管理制度信息资产责任制度信息安全资产管理制度,从资产的角度看待信息的价值,随着人类社会的发展，信息的价值在不断上升。时至今日，信息已经成为影响企业生存的关键因素。因此对中国石油而言，有必要将信息视为对企业有价值的商业资产进行妥善的管理。另外，由于信息技术的发展和中国石油在经营活动中利用信息技术的水平不断提升，组织的信息资产将不再仅仅是单纯的、抽象的信息，还应当包括处理、承载、传递信息的工具、设备以及保障其正常运行的环境基础。信息安全资产管理的目标主要是通过对中国石油的信息资产进行有效的管理，为中国石油信息安全工作提供支持和保障，其内容主要包括以下三个方面：明确信息安全资产管理的对象明确信息安全资产管理的责任人和相应责任确定进行信息安全资产管理的主要制度、方法,建立信息资产清单,进行信息安全资产管理的前提是明确管理对象，因此中国石油首先需要建立一套正确、有效的信息资产清单，并定期对其进行维护、更新，从而保证组织清楚需要妥善保护的资产内容。 信息资产清单的建立是一个复杂的过程，这牵涉到信息安全管理部门、产生/管理信息的各业务部门、使用信息的各业务部门或人员。这不是信息安全管理部门或者技术部门能够独立完成的，而需要在各个业务部门的配合下共同完成。,信息资产责任制度,信息资产所有者职责信息资产的所有者是指负责该项信息资产的使用和保护的人员，由信息资产所属部门的管理层指定。信息资产代管者职责管理层在指定信息资产所有者的同时，必须同时指定该项信息资产的代管者，即在信息资产的所有者无法履行其职责时接替信息资产所有者的角色。信息资产使用者职责信息资产的使用者是指经信息资产所有者授权，允许访问或使用该项信息资产的部门或人员。,信息安全资产管理制度,信息安全资产管理制度就是信息资产的安全管理，是信息安全资产管理政策的重要组成部分，是在明确信息安全资产和责任的基础上对信息安全资产管理工作的具体规定。信息安全资产管理制度主要是从资产管理的角度确定中国石油信息安全管理控制措施。,主要内容：知识产权数据传输数据隐私和保护客户资料保护信息类资产的保密管理信息类资产可用性控制措施信息类资产完整性控制措施信息类资产的不可否认性管理根据信息资产所有者分类信息资产销毁,内容概要,业务持续性管理中国石油业务持续性管理总论中国石油业务持续性管理方法业务持续性管理制度,业务持续性管理,鉴于信息安全预防、保护控制措施不可能完全避免灾害事件的发生，企业必须采取相应的措施最大限度的降低灾难事件或重大信息安全事故对业务造成的影响。根据中国石油与天然气股份有限公司信息安全政策总则，为了保证中国石油关键业务连续的、顺利的开展，中国石油总部及下属各单位必须实施业务持续性管理。中国石油开展业务持续性管理的目标是：通过对威胁识别、对业务影响评估和对恢复控制方法的设立，使得由灾难和安全故障所引起的破坏，降至中国石油可以接受的水平。其中包括：确认关键业务受到的威胁与其影响；采取适当保护性措施以降低业务中断的可能性；采取适当保护性措施以确保关键性业务一旦被迫中断后能够在预期的时间内恢复至可接受的水平。,中国石油业务持续性管理政策主要内容,中国石油的业务持续性管理分为三个部分：中国石油业务持续性管理总论明确中国石油业务连贯性管理的目标和内容中国石油业务持续性管理方法阐述中国石油实施业务持续性管理的方法论。中国石油各单位必须在该方法的指导下，按照其要求建立相应的业务持续性管理制度。业务持续性管理制度中国石油业务持续性管理制度应当是各单位根据自身情况，按照“中国石油业务持续性管理方法”的要求制定的，其内容包括三部分：关键业务受到威胁与影响分析报告业务持续性计划业务持续性计划测试报告注：鉴于需要中国石油各业务单位对自身的关键业务流程和威胁事件进行深入的分析、评估，在本政策中将规定业务持续性管理制度的内容规范，而非具体内容。,业务持续性计划模型,业务持续性计划模型是基于风险管理的理念设计的，基本上遵循发现问题、采取措施和验证有效性的思路进行，其内容框架如下：,A、业务持续性与影响分析,B、业务持续性计划的制定与实施,C、业务持续性计划的测试与维护,关键业务受到威胁与影响分析报告,业务持续性计划,业务持续性计划测试报告,对于中国石油的关键业务流程以及可能引起关键业务中断的威胁进行识别，在此基础上判断各项业务中断所造成的业务影响范围级别以及损失程度级别，最终根据业务影响程度评估矩阵确定出各项业务中断对于中国石油总体的业务影响程度。,为确保在关键业务过程出现中断或发生故障之后，能够继续维持业务运作并尽快恢复，需要根据业务影响分析所得出的优先级别，针对各项业务中断建立业务持续性计划。为确保各种业务持续性计划的一致性，还需要根据业务持续性与影响分析的结果确定进行测试和维护的优先权。,为保证业务持续性计划不会因为不正确的假设、疏忽，设备或人员的更改而导致失效，应当定期进行测试，并根据测试评审的结果对业务持续性计划作相应的维护和更新，以确保计划是最新和最有效的。,安全运作管理业务连续性计划业务持续性计划建立/维护与实施流程,识别计划与职责,建立/修改程序,审批,培训和教育,执行,有效性测试,定期测试,识别计划的目标、范围、假设和组织的基本职责；,对于所有的应急、备用及恢复程序建立一致的程序及过程文档；,选择具体的测试技术，对于计划的有效性进行测试；,中国石油的安全部门领导对于计划进行审批；,对于员工进行计划的培训和教育；,执行计划，以在要求的时间范围内实现对于业务的恢复和复原 ；,对于计划进行定期的测试，并根据测试结果进行相应的更新与维护，以确保其最新且最有效。,更新与维护,内容概要,4 信息安全事件通报管理总则信息安全事件处理准备信息安全事件反应制度信息安全事件事后处理,信息安全事件通报管理,信息安全事件是泛指可能对信息系统造成实质损害、无法使用或不当外泄的事件，如病毒、恶意攻击、未经授权的信息存取、网络服务瘫痪、不当使用电脑或服务、欺骗或窃取信息、系统本身存在的缺陷等。对安全事件的有效管理是信息安全工作的重要内容之一。进行信息安全意外事件通报处理管理的目的在于：协助组织在信息安全意外事件发生后，配合业务持续性计划，快速而有效地回复正常作业。遵循经过验证的系统化处理程序，能够使问题再发生的机率降低。,信息安全事件通报处理管理框架,内容概要,5 对外（第三方）安全管理对外（第三方）安全管理概述第三方合作安全管理外包管理,对外（第三方）安全管理,对外（第三方）主要是指因业务需要与中国石油发生关系的中国石油组织以外的组织和人员，包括中国石油的供应商、客户和合作伙伴。第三方信息安全则是指中国石油的第三方对中国石油信息处理设施和信息资产的访问的安全性。如果不进行充分的安全管理就允许第三方访问，则信息资产会置于非常危险的境地。对中国石油的第三方访问的主要的威胁包括资源未经授权的访问和错误使用。对因业务需要而与第三方接触的各种方式，需综合考虑访问的类型、第三方所使用的控制措施以及该访问对该组织信息的安全性可能带来的影响等因素以确定具体的控制措施要求。,目的制订本政策目的就在于在第三方访问中国石油信息资产的过程中，采取必要措施防止中国石油的信息资产被破坏破坏或滥用。适用范围本规是范针对中国石油的第三方的信息安全管理，第三方包括所有中国石油之外的对中国石油的信息资产进行访问的组织和个人。不同的访问类型带来的的风险是截然不同的。因此应该针对不同的访问类型制定相应的措施，第三方访问的主要类型包括：现场访问，在中国石油公司的区域内进行的信息访问；远程访问，通过互联网或者其它网络系统对中国石油的系统进行访问。需要注意，本文的使用范围是指中国石油和各合作方在合作过程中产生的第三方人员信息接触的安全问题，对于合作本身的安全问题，例如提供的软件、硬件或服务的质量问题不在本文的考虑范围内。,主要内容,根据第三方的不同特征和不同的访问类型确定安全管理要求，并根据这些要求结合目前以及规划中的中国石油的信息安全技术和管理特征制订第三方信息安全政策，其中包括技术规范和管理规定。主要有以下几个方面：第三方安全管理政策供应商本政策中的供应商包括了为中国石油提供各种硬件、软件和服务的组织和个人。合作伙伴本政策中的合作伙伴主要是指中国石油业务活动中共同参与的中国石油以外的组织和个人。客户本政策中的客户主要包括购买中国石油各业务单元的产品、服务的中国石油以外的组织和个人。以上各部分都根据其特性分别从长期、短期，现场访问、远程访问的角度进行了考虑,外包管理外包商在严格意义上属于中国石油的供应商，但是由于外包业务本身的独特性和重要性需要区别对待该问题。首先外包商一般而言和中国石油具有固定的长期业务联系，并且外包商的业务一般都在中国石油本身的场所以外，同时外包商负责经营和维护中国石油的资产（包括信息资产），因此外包商不仅有义务保证自身不损害中国石油的信息资产安全，同时还有义务保护所经营的中国石油信息资产不受第三方的侵害，帮助中国石油的持续经营。因此本文的最后一部分也确定了外包业务安全注意事项。,内容概要,6 信息安全政策与标准的管理总则信息安全政策与标准的制定与修改信息安全政策与标准的法律、法规符合性信息安全政策与标准的文档管理,信息安全政策与标准的管理,制定信息安全政策与标准的管理政策的主要目标在于：确保中国石油信息安全