信息安全管理体系建设交流

信息安全管理体系电话机件：yang_wei@管理你的风险.完全你的安全杨威目录一、实施方法论总体规划信息收集风险评估体系设计二、成功案例三、天融信公司简介质量管理

安全策略体系规划安全运维体系规划等级保障体系规划规划的实施（Act）规划的测试（Check）风险评估（Do）风险管理体系规划安全审计体系规划体系架构设计（Plan）安全现状调查安全意识访谈项目总体规划启动会议信息收集要素分析安全评估安全设计IS管理实施安全政策体系体系设计核心业务安全需求业务实施介绍资产安全风险安全现状关键资产安全关注远景规划沟通确认项目计划项目实施流程审计分析改善改善计划改善建议问题缺陷项目计划改善的IS体系建议的后续工作目录一、实施方法论总体规划信息收集风险评估体系设计二、成功案例三、天融信公司简介资产调查资产编号资产类型资产型号硬件配置厂商供应商用途所属区域IP资产管理员地理位置操作系统系统版本应用软件机器名所在部门目前状态联系电话序列号购买时间保修期保修类型备注题目文件编号文件所属单位文件更新计划资产汇总表文档编号：

HGXXZX-RA-FM-1海关总署信息中心每年最少一次，如有任何文件/记录的改动，按照信息中心的文档和记录管理步骤审核、更新和发放访谈计划对象人次方法目标CIO1人次直接面谈法明确高级管理层的安全意识，以及对中心重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。经理层IT经理1人次直接面谈法明确执行经理层的安全意识，对中心重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。业务经理1人次IT员工原则上每位直接负责一或多个信息系统的员工都要面谈直接面谈法或集体访谈法明确IT员工的安全意识，对中心重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。普通员工一或多人次针对员工代表的直接面谈或者针对代表小组的集体访谈明确普通员工的安全意识，对中心重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。目录一、实施方法论总体规划信息收集风险评估体系设计二、成功案例三、天融信公司简介风险评估工具评估对象评估方法基础设施信息系统组织远程脆弱性扫描√√√本地脆弱性扫描√√√渗透测试√√√Checklist复核√√√访谈×√√BS7799复核××√信息系统生命周期安全评估×√×风险评估工作方法客户访谈 通过客户访谈，顾问可以从技术、管理、策略等角度更深层次地了解客户信息资产相关的安全要素，挖掘出信息资产背后的风险；文档信息挖掘 顾问通过对系统相关资料以及客户信息资产相关的管理制度、规范、技术文档等的研究和剖析，从更高的层次上发现客户系统中存在的逻辑上的弱点、威胁和风险；专家分析 专家经验在安全顾问咨询服务中处于不可替代的关键地位，目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现。通过对收集的资料的分析，顾问会将自己的经验体现于最终输出。调查表 通过天融信设计的调查表对客户的信息安全状况进行调查。工具及手工评估 在风险评估阶段，通过多种安全工具以及手工检查的方式，对客户信息资产基础设施的风险状况进行检查，并给出解决方案。关键服务器评估制定评估方案确定检查项目用户确认评估代价分析评估工具选用NO实施评估YES主机系统评估网络系统评估应用系统评估数据系统评估评估报告主机系统评估报告网络系统评估报告应用系统评估报告数据系统评估报告用户确认NOYES安全指数评估报告汇总修补&加固脆弱性评估结果示例FDP用户数据保护FIA标识与鉴别FCO信息通信FPT功能保护FTA系统访问FAU安全审计FMT安全管理FPT可信路径/通道FCS密码支持FRU资源利用运维阶段（控制措施评估）实施阶段（安全环境评估）开发阶段（安全保证评估）设计阶段（安全功能评估）评估项SDLC阶段ALC生命周期支持ADV开发ACM配置管理ATE测试ADO交付AGD指导性文档AVA脆弱性评估EOP组织EPE人员ERM场地ESM软件管理EEQ设备管理ENC网络和通信ESR设备运行和维护ESK事件防范和处理应用系统评估风险管理安全控制核查生命周期认证（授权和证书）系统安全计划人员安全物理和环境安全输入输出控制意外计划软硬件维护数据完整性文档安全意识、教育和培训事件响应能力身份识别和验证逻辑访问控制审计跟踪网络架构评估全面提高整体网络的防护能力全局风险分析、评估和管理制定并配置全局安全策略安全设施重新部署或响应接入安全控制机制构筑“可信网络”安全边界实现“可信网络”的有效扩展信息保护机制管理和整合现有安全资源网络内部信息保护谨防机密信息泄露风险评估结果示例条目威胁弱点重要信息资产安全目标，安全控制XXX系统被非法使用软件内有安全漏洞域名服务器目标：提供管理指导，保证信息安全A.3.1InformationsecuritypolicyA.3.1.1InformationsecuritypolicydocumentA.3.1.2Reviewandevaluation目标：最大限度降低由于事故和故障而遭受的损失，对此类事故进行监控并吸取教训A.6.3RespondingtosecurityincidentsandmalfunctionsA.6.3.1ReportingsecurityincidentsA.6.3.2ReportingsecurityweaknessesA.6.3.3ReportingsoftwaremalfunctionsA.6.3.4LearningfromincidentsA.6.3.5Disciplinaryprocess目标：检测非法活动。应该对系统进行进行监控，检测与访问控制策略不符的情况，将可以监控的事件记录下来，在出现安全事故时作为证据使用。A.9.7MonitoringsystemaccessanduseA.9.7.1EventloggingA.9.7.2MonitoringsystemuseA.9.7.3Clocksynchronization总计1评估结果处理对业务的影响风险的可能性通过灾难恢复操作来减少组织所受的影响通过提高预防措施和冗余手段来降低风险预防准备风险高风险的高影响风险的控制事件保护方面的投资恢复成本常规操作恢复操作破坏发生的可能性数量级预防/准备措施计划与应对预案保护范围开销的增加恢复措施所用时间恢复范围危机管理风险/影响服务需求业务影响利润的损失客户/合作商的信任度是否受影响法律/法规业务持续性管理目录一、实施方法论总体规划信息收集风险评估体系设计二、成功案例三、天融信公司简介保障措施

安全策略保障安全组织保障安全技术保障安全运维保障审计业务流程审计系统运行审计安全策略审计基础设施审计IT保障环境可信网络架构IT安全意识信息与沟通信息的记录安全事件预警安全事件通告违规行为预警违规行为通告异常事件预警异常事件通告风险管理

制定范围风险评估风险分析风险缓解监控信息和沟通控制活动风险评估营运财务报告合规性业务单位A业务单位B活动2活动1审计信息与沟通保障措施风险管理IT保障环境机密性完整性可用性监督保护级指导保护级自主保护级信息安全保障体系框架BS7799-2公司治理PLANDOACTCHECK风险管理体系控制措施安全审计体系BS7799-1ISMS设计依据1.安全方针2.范围ISO/IEC270015.实施控制6.适用性声明----------------------------------------文档化-----定义定义风险范围适用性声明选择的控制要点选择的控制措施評估评估3.安全管理审计结果资产分类与识别4.风险管理选择依据ISMS建设ISMS建设步骤定义信息安全方针定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域从BS7799第二部分选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对不适用的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。

ISMS建设工作流程ISMS建设工作流程ISMS文档体系策略体系安全管理手册程序文件表单适用性声明ISMS范围信息安全方针风险评估方法风险管理步骤内部审计步骤文档和记录管理步骤变更管理手册信息安全管理手册安全策略组织信息安全资产管理人力资源安全物理与环境安全通信与操作安全访问控制系统获取、开发与维护信息安全事件管理业务连续性管理符合性ISMS的审核ISMS的持续改善业务持续计划业务影响分析团队和责任恢复策略和流程备份程序和信息灾难应对措施实施计划BCP计划的测试应急方案灾备步骤BCP计划的维护资产分类管理策略安全事故处理策略授权使用软件策略防病毒策略物理安全策略网络安全策略个人资料保密策略人员安全策略移动介质处置表安全管理审计表资产汇总表变更申请表第三方访问申请表第三方系统访问申请表内审记录表防火墙策略更改申请表……2001年1994年2003年等级保护政策标准1999年计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定强制性国家标准，将计算机信息系统的保护等级分为5级，来源于TCSEC推荐性标准，将IT系统安全性分为7级，来源于CC2.1，即ISO/IEC15408实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统

计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度2004年GB17859GB/T1833666号文国务院147号令27号文明确了信息安全等级保护的管理方法和法律责任7号文2006年等级保护相关政策及标准等级化信息安全保障体系建设等级化信息安全保障体系建设目录一、实施方法论总体规划信息收集风险评估体系设计二、成功案例三、天融信公司简介大商所信息安全建设项目项目名称大连商品交易所信息安全建设项目用户名称大连商品交易所项目中标时间2005.8项目合同签约日2005.8工期3个月项目负责人杨威项目主要内容设计大连商品交易所等级化信息安全保障体系，包括安全策略体系、安全组织体系、安全技术体系、安全运维体系，并在该体系的指导下，进行六期交易系统生命周期安全保障建设。项目简介该项目包括三个部分，第一个部分是设计大商所等级化信息安全保障体系，第二个部分是在六期交易系统的设计、开发、实施、运维各个阶段提供信息安全评估及保障，第三个部分是设计大商所的ISMS。项目输出1）大商所等级化信息安全保障体系设计

2）六期系统安全风险评估报告

3）大商所信息安全管理体系4）大商所安全集成设计

项目成果等级化信息安全保障体系已经投入使用，获得证监会检查组的高度认可。六期交易系统设计、开发、实施阶段的安全保障顺利进行，获得客户的高度认可。注：该项目完成后提供一年的信息安全管理体系维护。

中原油田信息安全建设项目项目名称中原油田信息安全建设项目用户名称中原油田项目中标时间2005.10项目合同签约日2005.10工期2个月项目负责人杨威项目主要内容设计中原油田等级化信息安全保障体系，帮助中原油田制定业务持续性计划，在中原油田ERP建设过程中提供安全咨询。项目简介该项目包括两个部分，第一个部分是设计中原油田等级化信息安全保障体系，第二个部分是在中原油田ERP系统实施过程中对其安全功能、安全保证以及安全环境进行评估，并提供安全保障。项目输出1）中原油田等级化信息安全保障体系

2）中原油田业务持续性计划

3）中原油田ERP系统安全风险评估报告4）中原油田ERP系统安全解决方案

项目成果等级化信息安全保障体系已经投入使用，获得客户的高度认可。ERP系统安全保障顺利实施，获得中石化以及SAP的高度认可。太平人寿信息安全咨询项目项目名称太平人寿信息安全咨询项目用户名称太平人寿保险有限公司项目中标时间2004.12项目合同签约日2005.1工期3个月项目负责人周斌项目主要内容评估太平人寿现有的安全体系和现状，完善安全策略和体系制度，帮助太平人寿建立长远的信息安全规划。重点加强网络系统和应用系统的安全，针对潜在的安全威胁和风险，采取有效的安全保护措施，保证信息的机密性、完整性和可用性。项目简介本项目的工作物理范围以太平人寿上海总公司为主，同时抽样北京和成都两个分公司作为评估对象。天融信的主要工作为了解太平人寿的业务流程、统计各类信息资产、评估并设计安全策略，对相关网络设备、安全设备、主机系统、应用系统进行全面的威胁和弱点评估，给出安全风险报告，制定了一系列包括安全整体规划、安全保障建议、应急响应预案、安全知识培训等规划文档。项目输出《太平人寿信息安全整体规划报告》《太平人寿信息安全保障技术方案建议书》《太平人寿信息系统安全管理规范》《太平人寿信息安全保障策略建议书》《太平人寿安全组织管理体系和职责划分建议书》《太平人寿安全知识培训计划建议书》《太平人寿信息安全应急响应预案》项目成果达到了项目设计的预期目标，完善了太平人寿企业安全组织和安全管理制度，初步建立了太平人寿保险有限公司信息系统安全保障体系的思想框架，从而确保了太平人寿信息系统安全、稳定、可靠的运行。中国航空结算中心风险评估项目项目名称中国航空结算中心国际清算系统风险评估项目用户名称中国航空结算中心项目中标时间2004.9项目合同签约日2004.10工期1个月项目负责人周斌项目主要内容对国际清算系统进行风险评估，提供风险评估报告，并给出风险控制计划。项目简介天融信对国际清算系统涉及到的各类资产进行了识别和赋值，评估面临的威胁，并对国际清算系统进行了全面深入的弱点评估与调查，通过各种手段收集汇总，最终得到了国际清算系统所面临的真实安全风险。在对国际清算系统安全风险进行进一步分析的基础上，依照风险管理的基本原则，评估小组开发并提供了国际清算系统风险控制计划。项目输出国际清算系统评估流程/业务系统应用现状报告/业务系统安全策略现状/国际清算系统信息资产统计报告安全组织调查评估报告/安全意识调查评估报告/安全技能调查评估报告AS/400安全评估报告安全管理评估报告国际清算系统弱点评估报告现有安全控制措施分析报告国际清算系统综合风险评估报告国际清算系统风险控制建议项目成果通过发现风险，提出风险控制措施，保障了国际清算系统的安全运营。甲方专家组一致评定该项目为“国际先进水平”，得到了客户的高度评价。深交所证券通信系统信息安全体系评估与认证项目名称深圳证券交易所证券通信系统信息安全体系评估与认证用户名称深圳证券通信有限公司项目中标时间2004.6项目合同签约日2004.6工期6个月项目负责人蒋鲁宁项目主要内容深圳证券交易所证券通信系统信息安全资产分析及风险评估、信息安全体系架构的建立、人员的培训以及协助其通过国家标准的2级认证。项目简介深圳证券通信公司是一家为证券市场提供数据通信服务的高科技企业，其业务是研发、建设、运行维护和管理一个覆盖全国的、安全高效运行的证券通信网。深圳证券通信网络基本的安全需求是在企业内建立一个信息安全体系架构，因此项目的目标是在对现有的信息资产进行统计、分类的基础上进行信息系统的风险评估，根据风险评估的结果建立一个完善的信息安全体系，该体系能系统化地满足证券通信的安全需求，可适应不断变化的安全态势并能结构化地进行管理。

深圳证券交易所证券通信系统信息安全体系基于BS7799，项目历时6个月。项目输出1、保护资产手册

2、风险评估报告

3、安全体系架构

4、认证内审

5、协助通过认证项目成果

深圳证券交易所证券通信系统于2004年12月经审核后获得国家信息安全系统认证证书（安全管理保障2级），在当时为国内首家获得此证书的企业。

认证证书注册号：CNITSEC2004SYS004华为公司信息安全体系架构设计项目名称企业信息安全体系架构设计用户名称华为技术公司项目中标时间2002.4项目合同签约日2002.4工期6个月项目负责人蒋鲁宁项目主要内容设计一个集成化的、适用于大型企业的综合信息安全管理体系架构，该架构可适应企业的发展和变化。项目简介该项目包括两个部分，第一个部分是给出适当的信息安全模型和信息安全管理体系框架(Framework)，第二个部分是基于给出的模型和框架的应用和维护过程，并提供样板安全安全组件设计与实现。项目输出1、企业信息安全管理体系白皮书

2、企业信息安全管理体系框架设计

3、企业信息安全管理体系应用与维护过程项目成果该企业安全管理体系已得到应用，并基于该体系的应用通过了BS7799的国际认证。

注：该项目完成后又延续了两年体系的实施。项目推进（阶段培训）质量管理项目阶段工作内容：启动和规划现状调查体系设计解决方案验收信息资产调查汇总信息系统调查CIO访谈IT及业务经理访谈IT员工访谈非IT员工访谈安全管理及审计现状调查安全控制措施现状调查调查结果汇总阶段性验收关键服务器评估应用系统基础设施评估网络架构评估现有信息安全制度评估信息安全管理评估信息安全审计评估评估报告汇总阶段性验收ISMS建设信息安全运维体系建设等级化保障体系建设风险管理体系建设信息安全审计体系建设阶段性验收