信息安全管理基础

1、.,ISO27001标准探悉, 信息安全管理体系基础知识培训,.,2,信息安全概述 风险评估与管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望,内容目录,.,3,我们的目标,理解信息、信息安全和信息安全管理 理解信息安全风险评估与风险管理 理解ISO27001标准本身的条款内容 掌握一种实施ISMS的方法和途径 了解ISO27001认证的完整过程 用ISO27001指导企业进行信息安全的各项活动,.,4,信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望,.

2、,5,什么是信息？,信息安全概述,.,6,信息安全概述,什么是信息？,Information,消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护,有价值的内容 ISO9000,.,7,信息安全概述,企业信息安全管理关注的信息类型,内部信息,组织不想让其竞争对手知道的信息,客户信息,顾客/客户不想

3、让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,.,8,信息安全概述,信息的处理方式,创建,传递,销毁,存 储,使用,更改,.,9,什么是信息安全？,信息安全概述,.,10,信息安全概述,什么是信息安全？,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,.,11,信息安全概述,信息安全的发展历史,20世纪60年代前,60年代到80年代,20世纪80年代末以后,电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全，即COMSEC

4、,计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全，即INFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准,互联网技术飞速发展，信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保障（Information Assurance），从整体角度考虑安全体系建设 美国的IATF规范,.,12,信息安全基本目标,信息安全概述,.,13,企业重大泄密事件屡屡发生,信息安全概述,.,14,敏感信息遭受篡改也会导致恶劣后果,信息安全概述,.,15,破坏导致系统瘫痪后

5、果非常严重,信息安全概述,.,16,信息安全概述,C,保密性（Confidentiality） 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性（Integrity） 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。,可用性（Availability） 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：,C.I.A.和D.A.D.,I,A,.,17,Confidentiality 机密性,Avail

6、ability 可用性,Integrity 完整性,信息安全概述,.,18,其他概念和原则,私密性（Privacy） 个人和组织控制私用信息采集、存储和分发的权利。 身份识别（Identification） 用户向系统声称其真实身份的方式。 身份认证（Authentication） 测试并认证用户的身份。 授权（Authorization） 为用户分配并校验资源访问权限的过程。 可追溯性（Accountability） 确认系统中个人行为和活动的能力。 抗抵赖性（Non-repudiation） 确保信息创建者就是真正的发送者的能力。 审计（Audit） 对系统记录和活动进行独立复查和审核，确

7、保遵守性,信息安全概述,.,19,信息安全概述,信息安全的重要性,信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏 现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来

8、支持,.,20,法律法规与 合同要求,组织原则目标和业务需要,风险评估的结果,从什么方面考虑信息安全？,信息安全概述,.,21,常规的技术措施,信息安全概述,物理安全技术：环境安全、设备安全、媒体安全 系统安全技术：操作系统及数据库系统的安全性 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性 认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等 访问控制技术：防火墙、访问控制列表等 审计跟踪技术：入侵检测、日志审计、辨析取证 防

9、病毒技术：单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份,.,22,.,23,有没有更好的途径？,信息安全概述,.,24,信息安全管理,信息安全的成败取决于两个因素：技术和管理。 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理（Information Security Management）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大

10、多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 信息安全管理的核心就是风险管理。,信息安全概述,.,25,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识，即重技术，轻管理 安全管理缺乏系统管理的思想，还是就事论事式的静态管理,信息安全概述,.,26,调查显示有8成企业安全管理不理想,信息安全概述,.,27,各行业安全管理状况都不容乐观,信息安全概述,.,28,安全管理各方面能力都很低下,信息

11、安全概述,.,29,信息安全管理应该是体系化的,信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子 这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分,信息安全概述,务必重视信息安全管理 加强信息安全建设工作,.,30,怎样实现信息安全？,信息安全概述,.,31,通常的信息安全建设方法,采购各种安全产品，由产品厂商提供方案： 防病毒，防火墙，IDS，Scanner，VPN等 通常由IT部门的技术人员兼职负责日常维护，甚至根本没有日常维护 这是一种以产品为核心的信息安全解决方案 这种方法存在众多不足： 难以确

12、定真正的需求：保护什么？保护对象的边界？保护到什么程度？ 管理和服务跟不上，对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估，对风险的认识很不全面 这种方法是“头痛医头，脚痛医脚”，很难实现整体安全 不同厂商、不同产品之间的协调也是难题,信息安全概述,.,32,真正有效的方法,技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全 根本上说，信息安全是个管

13、理过程，而不是技术过程,信息安全概述,.,33,信息安全概述,对信息安全的正确认识,安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程,.,34,基于风险分析的安全管理方法,信息安全概述,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。 制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证 信息安全策略方针为信息安全管理提供导向和支持。 控制目标与控制方式的选择应该建立在风险评估的基础上。 考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。 对风险实施动态管理。 需要全员参

14、与。 遵循管理的一般模式PDCA模型。,.,35,安全管理模型 PDCA,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施，改进安全状况。,依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。,信息安全概述,.,36,信息安全概述,ISO27001定义的信息安全管理体系,设定信息安全的方向和目标，定义管理层承诺的策略,确定安全需求,根据需求采取措施消减风险，以实现既定安全目标,.,37,信息安全概述,ISMS必须明确的内容,要保护的资产,控制目标和控制措施,需要保证的程度,风险管理的途径,.,38

15、,信息安全概述,实施ISMS的过程,定义ISMS的范围 定义ISMS策略 定义一个系统化的风险管理途径 识别风险 评估风险 识别并评价风险处理的可选方案 选择控制目标和控制措施，以便处理风险 准备适用性声明（SoA） 获得管理层批准,.,39,信息安全概述,ISMS是一个文档化的体系,对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明（SoA） 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件 证据 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 各种Records：在操作ISMS过程当中自然产生的证据，可识别过程并显现

16、符合性,.,40,信息安全概述,实施ISMS的关键成功因素（CSF）,安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进,.,41,练习1：信息安全管理的工作内容,请列举你认为信息安全管理所应关注的工作方面？,信息安全概述,.,

17、42,信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望,.,43,风险评估与管理,风险,风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。,风险评估,风险管理,风险评估（Risk Assessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,.,44,RISK,RISK,RISK,风险,基本的风险,采取措施后

18、剩余的风险,风险评估与管理,风险管理目标,.,45,绝对的零风险是不存在的，要想实现零风险，也是不现实的； 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的！,在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。,风险评估与管理,.,46,关键是实现成本利益的平衡,风险评估与管理,.,47,与风险管理相关的概念,资产（Asset） 任何对组织具有价值的东西，包括计算机硬件、

19、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk） 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood） 对威胁发生几率（Probability）或频率（Frequency）的定性描述。 影响（Imp

20、act） 后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard） 控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk） 在实施安全措施之后仍然存在的风险。,风险评估与管理,.,48,风险要素关系模型,风险评估与管理,.,49,风险管理概念的公式化描述,风险评估与管理,.,50,风险评估与管理,风险管理过程,.,51,风险评估与管理,定量与定性风险评估方法,定量风险评估：试图从数字上对安全风险进行分析评估

21、的一种方法。 定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或 高低程度定性分级。,.,52,风险评估与管理,采集数据的辅助工具： 调查问卷（Questionnaire） 检查列表（Checklist） 人员访谈（Interview） 漏洞扫描器（Scanner） 渗透测试（Penetration Test） 专用的风险评估工具： COBRA CRAMM ASSET CORA,风险评估工具,.,53,信息资产是我们要保护的对象！,风险评估与管理,.,54,识别信息资产,对资产进行保护是信息安全和风险管理的首要目标。 划入风险评估范围和边界的每项资产都应该被识

22、别和评价。 应该清楚识别每项资产的拥有者、保管者和使用者。 组织应该建立资产清单，可以根据业务流程来识别信息资产。 信息资产的存在形式有多种，物理的、逻辑的、无形的。 数据信息：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等 书面文件：合同，策略方针，企业文件，重要商业结果 软件资产：应用软件，系统软件，开发工具，公用程序 实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所 人员：承担特定职能和责任的人员 服务：计算和通信服务，其他技术性服务， 例如供暖、照明、水电、UPS等 组织形象与声誉：企业形象，客户关系等，属于无形资产,风险评估与管理,.

23、,55,信息资产登记表图例,风险评估与管理,.,56,资产评价时应该考虑： 信息资产因为受损而对业务造成的直接损失； 信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力； 信息资产受损对其他部门的业务造成的影响； 组织在公众形象和名誉上的损失； 因为业务受损导致竞争优势降级而引发的间接损失； 其他损失，例如保险费用的增加。 定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。 可以根据资产的重要性（影响或后果）来为资产划分等级。 应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。,评价信息资产,风险评估与管理,.,5

24、7,练习2：识别并评价信息资产,以我们现在的培训环境和培训活动（业务）为风险评估的范围 请举出5种信息资产的例子 描述这些信息资产对你组织的价值,风险评估与管理,.,58,高（3）：非常重要，缺了这个资产（CIA的丧失），业务活动将中断并且遭受不可挽回的损失 中（2）：比较重要，缺了这个资产（CIA的丧失或受损），业务活动将被迫延缓，造成明显损失 低（1）：不太重要，缺了这个资产，业务活动基本上不受影响,练习2续：资产重要性等级标准,风险评估与管理,.,59,风险评估与管理,.,60,我们的信息资产面临诸多外在威胁,风险评估与管理,.,61,识别并评估威胁,识别每项（类）资产可能面临的威胁。一

25、项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）： 人员威胁：故意破坏和无意失误 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。 对威胁的评估，主要考虑威胁源出现的可能性。评估威胁可能性时要考虑威胁源的动机（Motivation）和能力（Capability）这两个因素，可以用“高”、“中”、“低”三级

26、来衡量，有时候也可以和弱点结合起来考虑。,风险评估与管理,.,62,威胁评估表图例,风险评估与管理,.,63,对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，还是配置管理上的不善，都是因为人的参与（访问操作或攻击破坏），才给网络的安全带来了种种隐患和威胁。,人是最关键的威胁因素,风险评估与管理,.,64,威胁不仅仅来自公司外部,黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害 据权威部门统计，内部人员犯罪（或于内部人员有关的犯罪）占到了计算机犯罪总量的70%以上,员工误操作,蓄意破坏

27、,公司资源私用,风险评估与管理,.,65,练习3：识别并评价威胁,针对刚才列举的5项信息资产，分别指出各自面临的最突出的威胁（最多三个）？ 评价这些威胁出现的可能性,风险评估与管理,.,66,练习3续：评价威胁的标准,风险评估与管理,威胁可能性评估标准 高（3）：非常可能，在业务活动持续期间，时刻都有可能出现 中（2）：比较可能，在业务活动持续期间，有可能多次出现 低（1）：不太可能，在业务活动持续期间，不大可能出现,.,67,风险评估与管理,.,68,一个巴掌拍不响！,外因是条件 内因才是根本！,风险评估与管理,.,69,识别并评估弱点,针对每一项需要保护的资产，找到可被威胁利用的弱点，包括

28、： 技术性弱点：系统、程序、设备中存在的漏洞或缺陷。 操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。 管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。 弱点的识别途径： 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试 对弱点的评估，主要考虑其严重程度（Severity，即一旦被利用会对资产本身造成多大影响）或暴露程度（Exposure，即被利用的容易度或明显程度），也可以用“高”、“中”、“低”三级来衡量。 如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损

29、害。,风险评估与管理,.,70,信息系统存在诸多危及安全的漏洞,风险评估与管理, 摘自CERT/CC的统计报告 2003年12月,.,71,人最常犯的一些错误,将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，泄漏敏感信息 随便在服务器上接Modem，或者随意将服务器连入网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题,风险评估与管理,.,72,资产、威胁和弱点的关系,风险评估与

30、管理,.,73,练习4：识别并评价弱点,考虑到面临的威胁，找到每一项资产可能存在并被威胁利用的弱点？只选择最明显并最严重的,风险评估与管理,.,74,练习4续：评价弱点的标准,风险评估与管理,弱点严重性评估标准 高（3）：很容易被利用 中（2）：可被利用，但不是太容易 低（1）：基本上不可能被利用,.,75,风险评估与管理,.,76,风险评价,风险评估与管理,确定风险的等级，需要综合考虑以下因素： 资产价值，也就是威胁一旦利用资产弱点对资产进行破坏，对组织造成的影响 威胁本身出现的可能性 弱点将资产暴露在外的严重性 三个因素可以简单相乘，得到最终的风险值。 或者通过风险评估矩阵来确定最终的风险

31、水平。 需要注意的是，通常在评价威胁和弱点时，都考虑到了现实环境中已经采取的各种控制措施。 实际操作时，有时候也可以把威胁和弱点综合起来考虑，得出风险发生的可能性，这样以来，最终计算风险时，只有两个指标要考虑：风险影响和风险可能性。,.,77,风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。 确定风险因子：后果为2，弱点值为3，威胁值为3 评估风险：套用风险分析矩阵，该风险被定为高风险（18） 应对风险：根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。,风险评价示例,风险评估与管理,

32、.,78,练习5：进行风险评估,资产、威胁、弱点，构成一个风险场景 从资产价值去考虑影响因素 从威胁和弱点去考虑可能性因素 用风险评估矩阵评估风险,风险评估与管理,.,79,练习5续：风险评估矩阵,风险评估与管理,.,80,风险评估与管理,.,81,确定风险消减策略,降低风险（Reduce Risk） 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。 减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。 降低影响：例如，制定灾难恢复计划和业务连续性

33、计划，做好备份。 规避风险（Avoid Risk） 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转嫁风险（Transfer Risk） 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。,风险评估与管理,.,82,风险评估与管理,从针对性和实施方式来看，控制措施包括三类： 管理性（Administrative）

34、：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。 从功能来看，控制措施类型包括： 威慑性（Deterrent） 预防性（Preventive） 检测性（Detective） 纠正性（Corrective） 对于现有的控制措施，可以 取消、替换或保持。,对控制措施的考虑,.,83,风险评估与管理,选择控制措施,依

35、据风险评估的结果来选择安全控制措施。 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）： 基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 除了成本效益，还应该考虑： 控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正） 可以从ISO17799规定的控制目标范围中选择控制。 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。,.,84,评价残留风险,绝对安全（即

36、零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,风险评估与管理,.,85,风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。 实施控制之前：后果为2，弱点值为3，威胁值为3，风险值为18 实施控制之后：后果为2

37、，弱点值降为1，威胁值降为1，残留风险值为2 应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的,残留风险示例,风险评估与管理,.,86,练习6：选择控制，评价残留风险,首先，要确定一个风险接受的标准 针对之前识别出来的风险，选择最合适的控制措施 评价实施控制措施之后的残留风险,风险评估与管理,.,87,练习6续：风险评估矩阵,风险评估与管理,.,88,风险评估与管理,风险接受水平：_,.,89,风险评估与管理,接下来。,制定风险处理计划：确定实施人员，规划实施时间，进行实施效果复查 编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等 按照计划实施Review和内部审

38、核，检查控制实施效果 如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点,.,90,.,91,信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望,.,92,ISO27001简介,英国标准协会（BSI）,英国标准学会（British Standards Institution，BSI） 著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构 英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。 BSI不断发展自己的工作队伍，

39、完善自己的工作机构和体制， 把标准化和质量管理以及对外贸易紧密结合起来开展工作 BSI的宗旨： 1. 为增产节约努力协调生产者和用户之间的关系，促进生产， 达到标准化（包括简化） 2. 制定和修订英国标准，并促进其贯彻执行 3. 以学会名义，对各种标志进行登记，并颁发许可证 4. 必要时采取各种行动，保护学会利益,.,93,国际标准化组织（ISO）,国际标准化组织（International Organization for Standardization，ISO） 国际标准化组织是世界上最大的非政府性标准化专门机构， 它在国际标准化中占主导地位。 ISO的主要活动是制定国际标准，协调世界范围

40、内的标准化工作，组织各成员国和技术委员会进行交流，以及与其他国际性组织进行合作，共同研究有关标准问题。 随着国际贸易的发展，对国际标准的要求日益提高，ISO的作用也日趋扩大，世界上许多国家对ISO也越加重视。 ISO的目的和宗旨是：在世界范围内促进标准化工作的发展， 以利于国际物资交流和互助，并扩大在知识、科学、技术和经济 方面的合作。,ISO27001简介,.,94,什么是ISO27001？,ISO27001简介,最早是英国标准协会（British Standards Institute，BSI）制定的信息安全标准。目前已经成为国际标准。 由信息安全方面的最佳惯例组成的一套全面的控制集。 信

41、息安全管理方面最受推崇的国际标准。,.,95,ISO27001的历史沿革,1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。 BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的,BS7799,BS7799-1,BS7799-2,在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。,ISO17799,ISO27001,2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。 2005年对ISO/IEC17799：2000版进行了修订，

42、于6月15日发布了ISO/IEC17799：2005版。,2001年修订BS7799-2：1999，同年BS7799-2：2000发布。 2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。 ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。,ISO27001简介,.,96,截至2011年1月，全球通过BS7799/ISO27001认证的有7205多家机构 /,.,97,建立ISMS并通过认证的意义,ISO27001简介,对内： 按照风险管理思想建立可自我改进和发展（PDCA）的ISMS 对关键信息

43、资产进行全面系统的保护，保障自身知识产权和市场竞争力 在信息系统受到侵害时，确保公司业务能够持续开展并将损失降低到最低程度 建立IT审计/信息安全审计的框架，实现监督检查机制 建立起文件化的信息安全管理规范，让所有人员做事“有法可依” 强化员工的信息安全意识，建立安全习惯，形成具有自己特点的信息安全企业文化 对外： 通过ISO27001认证，表明公司的ISMS符合国际标准，证明公司有能力保障重要信息，提高公司的知名度与公信度 使客户、业务伙伴、投资人对公司保障其业务平台和数据信息的安全充满信心 界定外包双方的信息安全责任，在自我责任实现基础上向委包方提出合理建议 更好地满足客户或其他组织的审计

44、要求 通过ISO27001认证，公司可以明确要求其他供应商提高相应的信息安全水平，保证数据交换中的信息安全,.,98,ISO17799/ISO27001的内容框架,ISO17799：源自BS7799-1。工具包，体现了三分技术七分管理的思想 ISO27001：源自BS7799-2。框架体系，是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案,ISO27001简介,.,99,ISO27001指导下的ISMS,ISO27001简介,.,100,其他信息安全相关标准规范1,ISO7498-2（GB/T9387-2,1995） 1989年ISO组织制定的信息处理系统 开放系统互连 基本参

45、考模型 第2部分 安全体系结构，该标准对安全服务及相关机制进行了一般描述 ISO15408（GB/T18336,2001，即CC标准） 1993年6月，美国、加拿大及欧洲四国共同协商并起草通过了CC标准，最终将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准 SSE-CMM（ISO/IEC DIS 21827） 美国国家安全局（NSA）于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征，这些特征是完善安全工程的根本保证 IATF 美国国家安全局（NSA）制定的Information Assurance

46、Technical Framework，为保护美国政府和工业界的信息与信息技术设施提供技术指南 ISO/TR 13569 银行和相关金融服务信息安全指南,ISO27001简介,.,101,其他信息安全相关标准规范2,BSI DISC提供了一组关于BS 7799的系列指导文件（PD3000系列）： PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Management PD 3003 “Are you ready for a BS7799 Audit?” PD 3004 Gui

47、de to BS7799 Auditing PD 3005 Guide to the selection of BS7799 controls AS/NZS 4444 澳大利亚和新西兰等同采用的BS7799（后来，根据ISO/IEC 17799:2000颁布了AS/NZS ISO/IEC 17799:2001，根据BS7799-2:2002又颁布了AS/NZS 7799.2:2003） AS/NZS 4360 澳大利亚和新西兰自己的信息安全管理标准 ISO/IEC TR 13335 即IT安全管理指南（Guidelines for the Management of IT Security，G

48、MITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证,ISO27001简介,.,102,练习7：关于ISO27001的认识,提问：您知道ISO27001最早源自什么标准？由哪两个部分构成？,ISO27001简介,.,103,信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望,.,104,ISO17799:2005 信息安全管理实施细则,安全策略 组织信息安全 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续

49、性管理 符合性,.,105,11个方面,39个目标,133个控制措施,ISO17799:2005 信息安全管理实施细则,10个方面,36个目标,127个控制措施,对比ISO17799:2000老版,.,106,“ Not all of the controls described in this document will be relevant to every situation. It cannot take account of local system, environmental or technological constraints. It may not be in a fo

50、rm that suits every potential user in an organization. Consequently the document may need to be supplemented by further guidance. It can be used as a basis from which, for example, a corporate policy or an inter-company trading agreement can be developed.” 并不是所有此处描述的控制都与各种环境相关，这里并没有考虑本地系统、环境或者技术性的约束

51、，不大可能以一种适合组织内部各类潜在用户的形式展现。因此，还需要通过进一步的指导方针来补充此文，组织可以将其作为基础，继而开发自己的策略或者公司间贸易协议。,ISO17799:2005 信息安全管理实施细则,.,107,ISO17799:2005 前言 简介 什么是信息安全 （信息是一种资产，有多种存在形式，应该通过有效控制加以保护） 为什么需要信息安全 如何建立安全需求 （安全需求的三个来源） 评估安全风险 （安全需求经过系统地评估安全风险而得到确认 ） 选择控制 （安全控制可以从7799或其它有关标准选择，也可以自己设计满足特定要求的控制 ） 信息安全起点 （基于法律要求和信息安全最佳实践

52、来选择控制措施） 关键的成功因素 开发你自己的指南 范围 术语和定义 2.1 定义 本标准的结构 3.1 条款 3.2 主安全目录 4 风险评估和处理 4.1 评估安全风险 4.2 处理安全风险,ISO17799:2005 信息安全管理实施细则,.,108,法律要求和最佳实践控制措施,与法律相关的控制措施： 知识产权（Intellectual Property Rights）：遵守知识产权保护和软件产品保护的法律（15.1.2） 保护组织的记录：保护重要的记录不丢失、破坏和伪造（15.1.3） 数据保护和个人信息隐私：遵守所在国的数据保护法律（15.1.4） 与最佳实践相关的控制措施： 信息安

53、全策略文件：高管批准发布信息安全策略文件，并广泛告知（5.1.1） 信息安全责任的分配：清晰地定义所有的信息安全责任（6.1.3） 信息安全意识、教育和培训：全员员工及相关人员应该接受恰当的意识培训（8.2.2） 正确处理应用程序：防止应用程序中的信息出错、损坏或被非授权篡改及误用（12.2） 漏洞管理：防止利用已发布的漏洞信息来实施破坏（12.6） 管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件（13.2） 业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响（14） 尽管选择以上控制是信息安全很好的起点，但还是不能代替基于风险评估选择合适的安全控制。

54、,ISO17799:2005 信息安全管理实施细则,.,109,各种安全控制措施的作用,ISO17799:2005 信息安全管理实施细则,.,110,控制目标和控制措施描述结构,ISO17799:2005 信息安全管理实施细则,每一个主安全目录都包括： 一个控制目标（Control objective)，指出应该实现什么 若干项控制措施（Controls），可用来实现控制目标 对控制措施的描述格式是：,.,111,5 安全策略 5.1 信息安全策略 5.1.1 信息安全策略文件 5.1.2 信息安全策略复查,目标：为信息安全提供与业务需求和法律法规相一致的管理指示及支持。,ISO17799:2

55、005 信息安全管理实施细则,.,112,信息安全策略的定义,信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程。,策略方针的目的和意义,为组织提供了关注的焦点，指明了方向，确定了目标 确保信息安全管理体系被充分理解和贯彻实施 统领整个信息安全管理体系,ISO17799:2005 信息安全管理实施细则,方针文件的内容,信息安全的定义、整体目标和范围； 对管理层支持信息安全目标和原则的意图的声明和承诺； 建立控制目标和控制的框架，包括风险评估和风险管理的框架； 对安全策略、原则、标准以及符合性需求的简单说明； 信息安全管理责任

56、，包括报告安全事件； 对策略支持文档的引用参考； 由管理者批准，正式发布，并得到全员贯彻。,安全策略的复查,策略应有一个属主，负责按复查程序维护和复查该策略。 如果发生任何影响最初风险评估基础的变化，都应复查策略。也应定期复查安全策略。 策略复审应该考虑到管理评审的结果,.,113,要点提示,用最简单、明确的语言直击主题 保持与具体规范、指南、记录等文件的区别 信息安全策略应该人手一份，并保证充分理解 要定期评审和修订,ISO17799:2005 信息安全管理实施细则,.,114,信息安全策略体系的层次性,ISO17799:2005 信息安全管理实施细则,.,115,最高方针示例,.,116,

57、练习8：关于信息安全策略,请说出几条贵公司对个人使用信息系统的安全要求？ 你认为在实际工作当中接触到的哪些方面应该归入安全策略的范畴？ 请拟定一份简洁的信息安全策略？,ISO17799:2005 信息安全管理实施细则,.,117,6 组织信息安全 6.1 内部组织 6.1.1 管理层对信息安全的责任 6.1.2 信息安全协调机制 6.1.3 分派信息安全责任 6.1.4 信息处理设施的批准程序 6.1.5 保密协议 6.1.6 保持和权威机构的联系 6.1.7 保持和专业团队联系 6.1.8 对信息安全做独立评审,目标：在组织内建立发起和控制信息安全实施的管理框架。,6.2 外部伙伴 6.2.

58、1 识别与外部伙伴相关的风险 6.2.2 和客户交往时注意安全 6.2.3 在第三方协议中注明安全,目标：维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。,ISO17799:2005 信息安全管理实施细则,.,118,组织应该建立起有效的信息安全管理框架，以便发起并控制组织内部信息安全的实施。,ISO17799:2005 信息安全管理实施细则,.,119,识别与外部伙伴相关的风险,ISO17799:2005 信息安全管理实施细则,外部伙伴可能包括： 服务提供商（例如ISP、网络和通信服务、维护和支持服务提供商等），管理安全服务（MSS） 客户 外包服务（IT系统设施和运维、

59、数据采集、呼叫中心） 管理和业务咨询顾问、审计师 软件产品和IT系统的开发者和供应商 保洁快餐等外部服务 临时工、短期兼职人员等 如果需要让外部伙伴访问组织的信息处理设施或信息，有必要先做一次风险评估，找到特别的安全控制需求。应该考虑到是物理访问，还是逻辑访问，是现场访问还是非现场访问。还应考虑需要访问哪些设施和信息？信息的价值，必要的控制，授权以及监督方式，出错可能造成的影响，对安全事件的响应，法律法规等。 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。,.,120,在第三方协议中体现安全,ISO17799:2005 信息安全管理实施细则,信息安全方针 用来保护资产的各种控制措施 描述将被提供的产品和服务 确保用户意识到信息安全责任 对人员调换做出规定 硬件和软件安装及维护的责任 清晰的Report结构和格式 变更管理流程 任何必要的物理保护措施和机制 访问控制策略： 允许的访问方法，授权流程，禁止声明,信息安全事件及问题处理机制 期望的SLA及监督报