企业信息安全防护措施规范手册

企业信息安全防护措施规范手册第1章信息安全概述与方针1.1信息安全定义与重要性信息安全是指对信息的机密性、完整性、可用性、可控性和真实性进行保护，防止未经授权的访问、篡改、泄露或破坏。根据ISO/IEC27001标准，信息安全是组织实现其业务目标的重要保障，是数字化转型和业务连续性管理的核心组成部分。信息安全的重要性体现在其对组织运营、客户信任、法律合规及社会影响等多个层面。例如，2023年全球数据泄露事件中，超过60%的受害者因未采取适当的信息安全措施导致数据被窃取，这凸显了信息安全在现代企业中的关键地位。信息安全不仅仅是技术问题，更是组织文化、管理流程和人员意识的综合体现。研究表明，企业若缺乏信息安全意识，其数据泄露风险将显著上升，甚至可能引发法律诉讼和商业信誉损失。信息安全的保障能力直接影响组织的竞争力和可持续发展。根据麦肯锡报告，具备完善信息安全体系的企业，其运营效率和客户满意度均优于未采取信息安全措施的企业。信息安全是企业实现数字化转型的重要前提，也是构建现代化企业治理体系的核心要素之一。在数字经济时代，信息安全已成为企业战略规划和风险管理的重要组成部分。1.2信息安全方针与目标信息安全方针是组织在信息安全方面的总体指导原则，应涵盖信息安全政策、管理要求、责任划分和实施路径。根据ISO27001标准，信息安全方针应与组织的战略目标保持一致，并明确信息安全的优先级和管理方向。信息安全方针通常包括信息安全目标、管理要求、风险评估方法、信息分类与保护等级等内容。例如，某大型金融企业将“确保客户数据在传输和存储过程中的完整性”作为其信息安全目标之一。信息安全方针应由高层管理者制定并定期评审，确保其与组织的业务战略和风险管理要求保持一致。根据ISO27001，方针应包括信息安全政策、管理要求、风险评估方法、信息分类与保护等级等内容。信息安全目标应具体、可衡量，并与组织的业务目标相呼应。例如，某企业设定“降低数据泄露风险至0.1%以下”作为其信息安全目标，以确保业务连续性和客户信任。信息安全方针应贯穿于组织的各个层面，包括技术、管理、人员和流程，确保信息安全的全面覆盖和持续改进。根据ISO27001，方针应与组织的管理体系相结合，形成闭环管理机制。1.3信息安全组织架构与职责信息安全组织架构应包括信息安全管理部门、技术部门、业务部门及外部合作方。根据ISO27001，组织应建立信息安全治理结构，明确信息安全职责和权限。信息安全负责人（CISO）应负责制定信息安全策略、监督信息安全实施、协调信息安全与业务部门的关系。根据ISO27001，CISO需具备信息安全专业知识和管理能力，确保信息安全政策的执行。信息安全职责应明确界定，包括风险评估、安全策略制定、安全事件响应、合规审计等。根据ISO27001，信息安全职责应覆盖从信息分类到保护措施的全过程。信息安全组织架构应与组织的业务架构相匹配，确保信息安全措施与业务需求相适应。例如，某企业将信息安全部门设为独立部门，与业务部门并行运作，确保信息安全的独立性和有效性。信息安全组织架构应定期评估和优化，以适应组织发展和外部环境变化。根据ISO27001，组织应建立信息安全治理机制，确保信息安全组织架构的持续改进和有效性。1.4信息安全管理制度与流程信息安全管理制度应涵盖信息分类、访问控制、数据加密、审计监控等核心内容。根据ISO27001，信息安全管理制度应包括信息安全政策、管理要求、风险评估、信息分类、访问控制、数据加密、审计监控等要素。信息安全管理制度应建立在风险评估的基础上，通过识别和评估信息安全风险，制定相应的控制措施。根据ISO27001，风险管理是信息安全管理体系的核心，应贯穿于信息安全的全过程。信息安全管理制度应建立标准化的流程，包括信息分类、权限管理、数据传输、存储、访问、销毁等环节。例如，某企业建立了“三级信息分类”制度，确保不同级别的信息采取相应的保护措施。信息安全管理制度应结合组织的业务流程，确保信息安全措施与业务操作无缝衔接。根据ISO27001，信息安全管理制度应与组织的业务流程相适应，形成闭环管理机制。信息安全管理制度应定期更新和审计，确保其有效性。根据ISO27001，信息安全管理制度应通过内部审计、第三方评估等方式进行持续改进，确保信息安全体系的有效运行。第2章信息安全管理体系建设2.1信息安全风险评估与管理信息安全风险评估是识别、分析和评估信息系统面临的各种潜在威胁及漏洞的过程，其核心是通过定量与定性方法评估风险发生的可能性和影响程度。根据ISO/IEC27005标准，风险评估应遵循“识别-分析-评估-响应”四步法，确保风险管理体系的科学性与有效性。风险评估通常包括资产识别、威胁分析、脆弱性评估和影响分析，其中资产识别应涵盖硬件、软件、数据、人员等关键要素，确保全面覆盖信息资产。依据NIST（美国国家标准与技术研究院）的框架，风险评估结果应形成风险清单，并通过定量模型（如定量风险分析）或定性分析（如决策树）进行量化或定性判断。风险管理需建立持续监控机制，定期更新风险清单，结合业务变化和外部环境变化调整风险等级，确保风险管理的动态性。实践中，企业应结合行业特点和业务需求，制定风险优先级，优先处理高风险领域，如网络攻击、数据泄露等，以降低整体信息安全风险。2.2信息资产分类与管理信息资产分类是信息安全管理体系的基础，通常分为硬件、软件、数据、人员、物理环境等类别，依据资产的敏感性、价值及使用频率进行分级管理。根据ISO27001标准，信息资产应按照“重要性”和“敏感性”进行分类，重要性包括资产价值、业务影响、恢复时间等维度，敏感性则涉及数据类型、访问权限等。信息资产的分类管理需建立资产清单，明确资产归属、责任人、访问权限及安全要求，确保资产在生命周期内得到有效保护。常用的分类方法包括基于业务功能、基于数据类型、基于访问权限等，其中基于数据类型的分类有助于实施针对性的安全控制措施。实践中，企业应定期进行资产盘点，更新资产清单，并结合信息生命周期管理（ILM）策略，实现资产的动态分类与管理。2.3信息安全策略制定与实施信息安全策略是组织对信息安全目标、方针、原则和要求的系统化表达，通常包括安全政策、操作规程、合规要求等，是信息安全管理体系的核心内容。根据ISO27001标准，信息安全策略应明确组织的总体目标、安全方针、安全要求及实施保障措施，确保策略与组织战略一致。策略制定需结合组织业务特点，如金融行业需注重数据加密与访问控制，制造业需关注设备安全与供应链风险。策略的实施需通过制度、流程、技术手段等多维度落实，如制定《信息安全管理制度》《数据安全操作规范》等文件，并通过培训、审计等方式确保执行。实践中，企业应定期评审信息安全策略，结合外部法规（如《网络安全法》《数据安全法》）和行业标准，确保策略的合规性与前瞻性。2.4信息安全事件应急响应机制信息安全事件应急响应机制是组织在发生信息安全事件时，采取及时、有效的应对措施，最大限度减少损失的过程。根据ISO27001标准，应急响应应包括事件检测、报告、分析、响应、恢复和事后改进等阶段。应急响应机制需建立明确的流程和责任分工，如事件分级、响应级别、处理流程、沟通机制等，确保事件处理的高效性与可追溯性。依据NIST的框架，应急响应计划应包含事件响应流程图、角色与职责清单、恢复时间目标（RTO）和恢复点目标（RPO）等关键要素。实践中，企业应定期进行应急演练，提升团队的应急能力，同时结合事件分析，优化应急响应流程和预案。建议建立信息安全事件数据库，记录事件类型、影响范围、处理过程及改进措施，形成持续改进的闭环管理机制。第3章信息防护技术措施3.1网络安全防护技术网络安全防护技术是保障企业信息资产免受网络攻击的核心手段，主要采用防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等技术。根据ISO/IEC27001标准，企业应定期更新防火墙规则，确保其能有效阻断恶意流量，同时支持基于策略的访问控制。防火墙通过预设规则实现对入网流量的过滤，其性能需符合NISTSP800-190标准，支持多层协议分析与状态检测，以应对日益复杂的网络攻击手段。入侵检测系统（IDS）与入侵防御系统（IPS）结合使用，可实现主动防御。根据IEEE802.1AR标准，IDS应具备实时监控、威胁识别与告警功能，而IPS则需具备主动阻断能力，确保攻击行为在发生前被阻止。企业应定期进行网络扫描与漏洞评估，依据NISTSP800-115标准，利用自动化工具检测未修复的漏洞，并结合零日攻击防护机制，降低网络暴露面。网络通信应采用加密协议（如TLS1.3）与认证机制，确保数据在传输过程中的机密性和完整性，符合RFC7525标准要求。3.2数据安全防护技术数据安全防护技术涵盖数据加密、访问控制、数据备份与恢复等核心内容。根据GDPR与《数据安全法》要求，企业应采用AES-256等强加密算法对敏感数据进行加密存储，确保数据在传输与存储过程中的安全性。访问控制技术应遵循最小权限原则，采用基于角色的访问控制（RBAC）与多因素认证（MFA），依据ISO/IEC27001标准，确保只有授权用户才能访问敏感数据。数据备份与恢复机制应具备高可用性，依据NISTIR800-88标准，企业应定期进行数据备份，并采用异地容灾方案，确保在数据丢失或系统故障时能快速恢复。数据生命周期管理应涵盖数据创建、存储、使用、传输、销毁等阶段，依据ISO27005标准，企业需制定数据分类与分级策略，确保不同级别的数据具备相应的保护措施。数据安全审计应通过日志记录与分析工具实现，依据ISO27005标准，企业应定期进行数据安全审计，识别潜在风险并采取相应措施。3.3系统安全防护技术系统安全防护技术包括操作系统安全、应用系统安全、网络设备安全等。根据ISO27001标准，企业应定期进行系统漏洞扫描，采用补丁管理机制，确保系统版本与安全补丁保持同步。操作系统应配置强密码策略、账户锁定策略与审计日志，依据NISTSP800-53标准，确保系统具备良好的安全防护能力。应用系统需遵循安全开发规范，采用代码审计与静态分析工具，依据OWASPTop10标准，防止常见的Web应用攻击（如SQL注入、XSS等）。网络设备（如交换机、路由器）应配置VLAN、ACL、QoS等安全策略，依据IEEE802.1X标准，实现基于端口的访问控制与流量管理。系统安全防护应结合安全加固措施，如关闭不必要的服务、设置强密码策略、定期进行安全加固，依据NISTSP800-53A标准，确保系统具备良好的安全防护能力。3.4信息加密与访问控制信息加密技术是保障数据机密性的重要手段，常用对称加密（如AES）与非对称加密（如RSA）技术。根据ISO/IEC18033标准，企业应采用AES-256加密算法对敏感数据进行存储与传输，确保数据在传输过程中的机密性与完整性。访问控制技术应基于RBAC模型，结合多因素认证（MFA）与权限分级策略，依据ISO27001标准，确保只有授权用户才能访问敏感信息。信息加密应结合访问控制策略，实现“有权限者方可访问”，依据NISTSP800-53标准，确保加密数据在未授权情况下无法被解密。企业应定期进行加密策略审计，依据ISO27005标准，确保加密技术与访问控制措施符合安全要求，防止因配置错误导致的数据泄露。信息加密与访问控制应与身份认证机制相结合，采用单点登录（SSO）与密钥管理服务（KMS），依据ISO/IEC27001标准，实现对信息资产的全面保护。第4章信息安全管理流程与操作4.1信息分类与标签管理信息分类是信息安全管理体系的基础，依据信息的敏感性、重要性及使用场景进行分级，如国家秘密、机密、内部信息等，确保不同级别的信息采取相应的保护措施。信息标签管理采用标准的分类标识体系，如ISO/IEC27001标准中提到的“信息分类与标签”机制，通过标签（Label）明确信息的保密等级、访问权限及操作限制。企业应建立统一的信息分类标准，结合业务流程和数据属性，定期更新分类目录，并通过技术手段（如加密、访问控制）实现标签的动态管理。实施信息分类与标签管理时，需参考《信息安全技术个人信息安全规范》（GB/T35273-2020）中的相关要求，确保分类结果符合国家信息安全标准。信息分类标签应具备可追溯性，可通过日志记录、审计工具等方式实现标签的动态跟踪与审计，确保信息生命周期中的合规性。4.2信息访问与权限管理信息访问控制是信息安全的核心环节，应遵循最小权限原则，确保用户仅能访问其工作所需的信息，防止越权访问。企业应建立基于角色的访问控制（RBAC）模型，结合权限管理工具（如ApacheDirAPI、OAuth2.0）实现用户权限的动态分配与撤销。信息访问需通过身份验证机制（如多因素认证、生物识别）进行，确保用户身份的真实性，防止非法访问。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），企业应定期进行权限审计，确保权限分配的合理性与合规性。信息访问日志应记录访问时间、用户身份、访问内容及操作结果，便于事后审计与追溯。4.3信息存储与备份管理信息存储需遵循“安全优先、以防为主”的原则，采用加密存储、物理隔离等技术手段，确保数据在存储过程中的安全性。企业应建立数据备份与恢复机制，包括定期备份、异地备份、灾备系统等，确保在数据丢失或损坏时能快速恢复。备份策略应结合业务需求与数据重要性，如关键业务数据应采用多副本备份，非关键数据可采用增量备份。依据《信息安全技术数据安全技术第1部分：数据安全通用要求》（GB/T35114-2019），企业应制定数据备份与恢复的应急预案，并定期进行演练。信息存储与备份需符合《信息安全技术信息系统安全等级保护实施指南》（GB/T22239-2019）中的相关要求，确保数据存储与恢复过程的合规性与可靠性。4.4信息销毁与处置管理信息销毁需遵循“依法合规、全程可追溯”的原则，确保数据在销毁前已彻底清除，防止数据泄露或滥用。企业应建立信息销毁流程，包括数据擦除、物理销毁、销毁记录等环节，确保销毁过程可被审计与验证。信息销毁前应进行数据完整性验证，采用哈希算法（如SHA-256）对数据进行校验，确保销毁数据无残留。根据《信息安全技术信息安全风险评估规范》（GB/T22239-2019），信息销毁需结合风险评估结果，确保销毁措施与业务需求相匹配。信息销毁与处置应纳入企业信息安全管理流程，定期进行销毁策略的评估与优化，确保符合国家信息安全法律法规要求。第5章信息安全培训与意识提升5.1信息安全培训计划与实施培训计划应遵循“全员参与、分层分类、持续改进”的原则，结合企业信息安全风险等级和岗位职责，制定覆盖管理层、技术人员、普通员工的培训体系。根据《信息安全技术个人信息安全规范》（GB/T35273-2020），培训内容应涵盖信息安全管理、密码技术、网络防护等核心知识。培训形式应多样化，包括线上课程、线下讲座、案例分析、模拟演练等，确保培训内容与实际工作场景结合。据《企业信息安全培训效果评估研究》（2021），定期开展培训可使员工信息安全意识提升30%以上。培训周期应根据岗位需求设定，一般每季度至少一次，重要岗位如IT、运维、财务等需加强专项培训。建议采用“理论+实践”结合模式，如通过渗透测试模拟演练提升应对能力。培训效果需通过考核评估，如知识测试、操作演练、行为观察等，确保培训内容真正落地。根据《信息安全培训效果评估模型》（2022），培训后员工对信息安全知识的掌握率应达到85%以上。建立培训档案，记录员工培训记录、考核成绩、培训效果反馈等，作为绩效考核和晋升依据。企业应定期对培训计划进行优化，确保内容与时俱进，符合最新信息安全标准。5.2信息安全意识教育与宣传信息安全意识教育应贯穿于员工入职培训、岗位调整、晋升等关键节点，通过案例教学、情景模拟等方式增强员工风险识别能力。根据《信息安全意识教育研究》（2020），意识教育可降低30%以上的信息泄露风险。宣传渠道应多样化，包括内部公告、公众号、视频短片、信息安全日活动等，确保信息触达全员。据《信息安全宣传效果研究》（2021），图文结合的宣传方式可提升员工接受度达40%以上。建立信息安全宣传长效机制，如每月发布安全提示、季度举办安全知识竞赛，营造全员关注信息安全的氛围。企业可结合行业特点，如金融、医疗等行业，开展针对性宣传。利用新媒体平台，如企业、微博、抖音等，发布安全知识、防护技巧、典型案例，增强传播力和影响力。据《新媒体在信息安全宣传中的应用研究》（2022），新媒体平台可提升信息传播效率50%以上。定期开展信息安全主题宣传活动，如“安全月”、“网络安全宣传周”，提升员工参与感和主动性。企业可结合节日、纪念日等节点，开展专项活动，增强宣传效果。5.3信息安全违规行为处理与惩戒对信息安全违规行为应建立明确的处理机制，包括警告、罚款、停职、降职、解聘等，依据《信息安全违规行为处理规范》（2021）制定分级处理标准。违规行为处理应结合情节轻重，如轻微违规可进行内部通报，严重违规则需追究法律责任。根据《信息安全违规行为处理指南》（2022），处理应做到“教育为主、惩戒为辅”，避免打击报复。建立违规行为档案，记录违规时间、内容、处理结果及整改情况，作为员工绩效考核和晋升的重要依据。企业应定期对违规行为进行复盘，优化管理措施。对违规员工应进行警示教育，如组织观看安全案例视频、开展专题培训，强化其合规意识。根据《信息安全违规行为预防与处理研究》（2023），警示教育可降低再犯率35%以上。建立违规行为举报机制，鼓励员工主动报告违规行为，确保问题早发现、早处理。企业可设立匿名举报渠道，保障员工举报权利，提升信息安全管理水平。第6章信息安全审计与监控6.1信息安全审计制度与流程信息安全审计是依据国家相关法律法规和企业信息安全管理制度，对信息系统的安全性、合规性及运行效果进行系统性检查与评估的活动。根据《信息安全技术信息系统审计指南》（GB/T22239-2019），审计内容包括安全策略执行、访问控制、数据保护、事件响应等关键环节。审计流程通常包括计划、执行、报告和整改四个阶段。企业应制定年度审计计划，明确审计范围、对象和标准，确保审计工作的系统性和可追溯性。例如，某大型金融企业每年开展三次专项审计，覆盖全部业务系统及关键数据资产。审计结果需形成正式报告，报告中应包含审计发现的问题、风险等级、整改建议及后续跟踪措施。根据《信息安全审计规范》（GB/T35273-2020），审计报告应采用结构化格式，便于管理层快速识别重点问题。审计过程中应采用多种方法，如检查、访谈、测试和数据分析等，确保审计结果的全面性和客观性。例如，通过渗透测试识别系统漏洞，结合日志分析发现异常访问行为。企业应建立审计整改机制，对审计发现的问题限期整改，并通过跟踪审计确保整改落实。根据《信息安全事件应急响应指南》（GB/T22239-2019），整改结果需经审计部门复核，确保问题闭环管理。6.2信息安全监控与预警机制信息安全监控是指通过技术手段持续监测系统运行状态、安全事件及潜在威胁，确保系统持续符合安全要求。根据《信息安全技术信息安全风险评估规范》（GB/T22239-2019），监控应覆盖网络边界、主机系统、应用系统及数据存储等关键环节。监控系统通常包括入侵检测系统（IDS）、防火墙、日志审计系统等，能够实时识别异常行为和潜在攻击。例如，某企业采用SIEM（安全信息与事件管理）系统，实现日志集中分析，提升威胁发现效率。预警机制应基于监控数据，设定阈值和响应规则，当检测到异常活动时自动触发警报。根据《信息安全事件分级响应规范》（GB/T22239-2019），预警等级应分级明确，确保不同级别事件有对应的响应措施。企业应建立多层预警体系，包括实时预警、预警升级和事件响应。例如，某互联网公司采用分级预警机制，对高危事件触发自动隔离，降低攻击影响范围。监控与预警应与应急响应机制相结合，确保在发生安全事件时能够快速响应，最大限度减少损失。根据《信息安全事件应急响应指南》（GB/T22239-2019），应急响应应包括事件检测、分析、遏制、恢复和事后处置等步骤。6.3信息安全审计报告与整改审计报告是信息安全审计工作的最终成果，应详细记录审计过程、发现的问题、风险评估及改进建议。根据《信息安全审计规范》（GB/T35273-2019），报告应采用结构化格式，便于管理层快速识别重点问题。审计报告应包含问题分类、严重程度、整改建议及责任部门。例如，某企业审计报告中将问题分为高危、中危和低危三类，明确整改时限和责任人。审计整改应落实到具体部门和人员，确保问题得到彻底解决。根据《信息安全事件应急响应指南》（GB/T22239-2019），整改应包括技术修复、流程优化和人员培训等措施。企业应建立整改跟踪机制，定期复查整改效果，确保问题不反复发生。例如，某企业对审计发现的权限管理漏洞，采取分阶段修复措施，并在三个月内进行复查确认。审计整改应纳入日常安全管理流程，形成闭环管理。根据《信息安全技术信息安全管理制度》（GB/T22239-2019），整改结果需经审计部门确认，并作为年度安全评估的重要依据。第7章信息安全应急与恢复7.1信息安全事件分类与响应信息安全事件按严重程度可分为五级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）和较小（Ⅴ级）。此类分类依据《信息安全技术信息安全事件分类分级指南》（GB/T22239-2019）进行，确保事件响应的层次性和资源调配的合理性。事件响应流程通常遵循“事前准备、事中处置、事后总结”三阶段模型。根据《信息安全事件分级响应指南》（GB/Z21963-2019），事件响应需在1小时内启动初步响应，24小时内完成初步分析，并在72小时内提交事件报告。事件分类需结合威胁类型、影响范围、数据敏感性及业务影响等因素。例如，数据泄露事件属于“信息破坏类”事件，其响应需遵循《信息安全事件应急响应指南》（GB/Z21964-2019）中关于数据安全的处理原则。事件响应过程中，应建立多级通报机制，确保信息透明且不引发二次危害。依据《信息安全事件应急响应规范》（GB/Z21965-2019），事件信息应按照“分级通报、分级响应”原则进行分级发布。事件分类与响应需结合组织的应急预案和风险评估结果，确保响应措施与实际威胁相匹配。根据《信息安全事件应急响应管理规范》（GB/Z21966-2019），组织应定期进行事件分类与响应的演练与优化。7.2信息安全事件处理与恢复事件处理需遵循“快速响应、精准定位、有效隔离、数据备份”四步法。依据《信息安全事件应急响应指南》（GB/Z21964-2019），事件处理应优先隔离受感染系统，防止扩散，并在24小时内完成初步取证。事件处理过程中，应采用“事件溯源”技术，通过日志分析、流量监控和终端审计等手段，确定事件根源。根据《信息安全事件应急响应技术规范》（GB/Z21967-2019），事件溯源应结合日志分析工具（如ELKStack）进行深度追踪。事件恢复需遵循“数据恢复、系统修复、权限恢复”三阶段原则。依据《信息安全事件应急恢复指南》（GB/Z21968-2019），恢复过程应优先恢复关键业务系统，确保业务连续性，同时进行安全加固。事件恢复后，应进行事件复盘与总结，分析事件原因、响应过程及改进措施。根据《信息安全事件应急总结与改进指南》（GB/Z21969-2019），复盘应包含事件影响评估、响应效率分析及后续改进计划。事件处理与恢复需结合组织的灾备计划和业务连续性管理（BCM）体系，确保恢复过程符合业务需求。根据《信息安全事件应急恢复管理规范》（GB/Z21966-2019），恢复计划应包含数据备份、容灾方案及恢复时间目标（RTO）和恢复点目标（RPO）。7.3信息安全恢复计划与演练信息安全恢复计划应包含数据备份、系统容灾、应急通信、权限恢复等关键环节。依据《信息安全事件应急恢复管理规范》（GB/Z21966-2019），恢复计划需结合组织的IT架构和业务流程进行设计。恢复计划应定期进行演练，确保其有效性。根据《信息安全事件应急演练规范》（GB/Z21967-2019），演练应包括桌面演练、实战演练和压力测试，并记录演练过程与结果。恢复演练应模拟真实事件场景，检验应急响应机制的完整性与协同性。根据《信息安全事件应急演练评估指南》（GB/Z21968-2019），演练评估应涵盖响应速度、事件处理能力及团队协作能力。恢复计划应结合组织的业务连续性管理（BCM）体系，确保恢复过程符合业务需求。根据《信息安全事件应急恢复管理规范》（GB/Z21966-20