信息安全管理
信息安全管理基本概念
信息安全管理概述
信息
有规律可以被利用的有价值的数据
信息安全
保障信息可以安全
管理
指挥和控制组织的协调的活动
管理这为了达到特定的目的而管理对象进行的计划、组织、指挥、协调和控制的一系列活动
信息安全管理
管理这为实现信息安全目标(信息资产的CIA特性,以及业务运作的持续)而进行的计划、组织、指挥、协调的控制的一系列的活动
信息安全管理的对象:包括人员在内的各类信息相关的资产。
以建立体系的方式实施信息安全管理的必要性
-
信息安全的攻击和防护严重不对称,相对来说攻击成功和容易,防护成功却极为困难
-
信息安全水平的高低遵循木桶原理:信息安全水平多高,取决于防护最弱的环节
体系
相互管理和相互作用的一组要素
管理体系
建立方针和目标并达到目标的体系
为达到组织目标的策略、程序、指南和相关资源的框架。
信息安全管理体系(ISMS:Information Security Management System)
整体管理体系的一部分,基于业务风险的方法,来建立、实施运作、监视、评审、保持和改进信息安全。
建立信息安全方针和目标并达到这些目标的体系
为达到组织信息安全目标的策略、程序、指南和相关资源的框架
信息安全管理基本概念和作用
信息安全管理体系,包括的要素有:
-
信息安全组织架构
-
信息安全方针
-
信息安全规划活动
-
信息安全职责
-
信息安全相关的实践、规程、过程和资源
这些要素即相互管理又相互作用
信息安全管理体系的特点
信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系
体系的建立基于系统、全面、科学的信息安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求
强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务的持续性
狭义和广义的信息安全管理体系
-
狭义的信息安全管理体系:指按照ISO027001标准定义的ISMS
-
广义的信息安全管理体系:泛指任何一种有关信息安全的管理体系
信息安全管理作用:
信息安全管理是组织整体管理的重要、固有组成成分,是组织实现其业务目标的重要保障。
如今,信息安全问题已经成为组织业务正常运营和持续发展的最大威胁
信息安全问题本质上是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的
实现信息安全是一个多层面 多因素的过程,也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力
如果组织想当然地制定一些控制措施和引入某些技术产品,难免存在挂一漏万、顾此失彼的问题,使信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全水平
信息安全管理,是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分
理解并重视管理对于信息安全的关键作用,制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要
组织建立一个管理框架,让好的安全策略在这个框架内实施,并不断得到修正,才可能为业务的正常持续运作提供可靠的信息安全保障
对内
-
能够保护关键信息资产和知识产权,维持竞争优势
-
在系统受侵袭时,确保业务持续开展并将损失降到最低程度建立起信息安全审计框架,实施监督检查
-
建立起文档化的信息安全管观范,实现有“法”可依,有章可循,有据可查
-
强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
-
按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性
对外
-
能够使各利益相关方对组织充满信心
-
能够帮助界定外包时双方的信息安全责任
-
可以使组织更好地满足客户或其他组织的审计要求
-
可以使组织更好地符合法律法规的要求
-
若通过了ISO27001认证,能够提高组织的公信度
-
可以明确要求供应商提高信息安全水平,保证数据交换中的信息安全
实施信息安全管理的关键成功因素
-
组织的信息安全方针和活动能够反映组织的业务目标
-
组织实施信息安全的方法和框架与组织的文化相一致
-
管理者能够给予信息安全实质性的、可见的支持和承诺
-
管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解
-
向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识
-
向全员和其他相关方分发并宣贯信息安全方针、策略和标准
-
管理者为信息安全建设提供足够的资金
-
向全员提供适当的信息安全培训和教育
-
建立有效的信息安全事件管理过程
-
建立有效的信息安全测量体系
信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
解决信息安全问题,成败通常取决于两个因素,一个是技术,另一个是管理
安全技术是信息安全控制的重要手段,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败
说安全技术是信息安全的构筑材料,信息安全管理就是粘合剂和催化剂
技术和产品是基础,管理才是关键
产品和技术,要通过管理的组织职能才能发挥最佳作用
技术不高但管理良好的系统远比技术高超但管理混乱的系统安全
只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证
根本上说,信息安全是个管理过程,而不是技术过程
信息安全管理能预防、组织或减少信息安全事件的发生
统计结果显示,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的
统计结果表明,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术原因,不如说是管理不善造成的
因此,防止发生信息安全事件不应仅从技术着手,同时更应加强信息安全管理
安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。
信息安全管理方法与实施
风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行界定
信息安全管理体系的建立需要确定信息安全需求
信息安全需求获取的主要手段就是安全风险评估
信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据
风险处理是对风险评估活动识别出的风险进行决策采取适当的控制措施处理不能接受的风险,将风险控制在可按受的范围风险评估活动只能揭示组织面临的风险,不能改变风险状况
只有通过风险处理活动,组织的信息安全能力才会提升,信息安全需求才能被满足,才能实现其信息安全目标
信息安全管理的核心就是这些风险处理措施的集合
风险管理是信息安全管理的根本方法
风险管理是信息安全管理的根本方法应对风险评估的结果进行相应的风险处理。本质上,风险处理的最佳集合就是信息安全管理体系的控制措施集合
梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程
周期性的风险评估与风险处理活动即形成对风险的动态管理
动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法
控制措施是管理风险的具体手段
管理风险的具体手段是控制措施
分线处理时候,需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施,那些不可接受的高风险才能降低到可以接受的水平之内。
控制措施的类别
-
从手段来看,可以分为技术性、管理性、物理性、法律性等控制措施。
-
从功能来看,可以分为预防性、检测性、纠正性、威慑性等控制措施。
-
从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务员连续性管理和符合性11个类别、域
过程、过程方法的概念
过程 process
一组将输入转化为输出的相互关联或互相作用的活动
过程方法 process approach
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”
系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为“过程方法”。
系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为“过程方法”。
PDCA循环
PDCA
PDCA也称“戴明环”,由美国质量管理专家戴明提出
-
P(Plan):计划,确定方针和目标,确定活动计划
-
D(Do):实施,实际去做,实现计划中的内容
-
C(Check):检查,总结执行计划的结果,注意效果,找出问题
-
A(Act):行动,对总结检查的结果进行处理,成功地经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环
特征
特点一:按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
特点二:组织中的每个部分,甚至个人,均可以PCDA循环,大环套小环,一层一层地解决问题
特点三:每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
PDCA循环地作用
PDCA循环,能够提供一种优秀的过程方法,以实现持续性改进
遵循PDCA循环,能使任何一项活动都有效的进行
PDCA循环过程
信息安全管理体系
-
ISMS是一种常见的对组织信息安全进行全面、系统管理的方法
-
ISMS是由ISO27001定义的一种有关信息安全的管理体系,是一种典型的基于风险管理和过程方法的管理体系
-
周期性的风险评估、内部审核、有效性测量、管理评审,是ISMS规定的四个必要活动,能确保ISMS进入良性循环、持续自我改进
ISMS的核心内容可以被概括为四句话
1、规定你应该做什么并形成文件:Plan
2、做文件已规定的事情:Do
3、评审你所做的事情的符合性:Check
4、采取举证和预防措施,持续改进:Act
NIST SP 800规范
信息安全的风险管理
信息安全风险管理基础
-
风险,指事态的概率及其结果的组合
-
信息安全风险,指认为或自然的威胁利用信息系统及其管理系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响
-
信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性
风险的构成
风险的构成包括五个方面:起源(威胁源)、方式(威胁方式)、途径(脆弱性)、受体(资产)和后果(影响)
风险相关术语
资产(Asset)
业务战略 威胁(Threat)
安全事件 脆弱性(Vunerability)
安全需求 可能性(Likelihood,
风险准则 Probability)
风险评估
安全措施/控制措施
风险处理 (Countermeasure,
风险管理 safeguard, control)
残余风险(Residental Risk)
信息安全风险评估
资产
资产任何对组织有价值的东西,是要保护的对象
资产以多种形式存在(多种分类方法)
物理的(如计算设备、网络设备和存储介质等)和逻辑的(如体系结构、通信协议、计算程序和数据文件等)
硬件的(如计算机主板、机箱、显示器、键盘和鼠标等)和软件的(如操作系统软件、数据库管理软件、工具软件和应用软件等)
有形的(如机房、设备和人员等)和无形的(如品牌、信心和名誉等)
静态的(如设施和规程等)和动态的(如人员和过程等)
技术的(如计算机硬件、软件和固件等)和管理的(如业务目标、战略、策略、规程、过程、计划和人员等)等
威胁
-
可能导致对系统或组织威海的不希望事故潜在起因
-
引起风险的外因
-
威胁源采取恰当的威胁方式才可能引发风险
威胁举例
威胁举例
漏洞利用
操作失误
拒绝服务
滥用授权
窃取数据
行为抵赖
物理破坏
社会工程
身份假冒
口令攻击
密钥分析
脆弱性
-
可能被威胁所利用的资产或若干资产的薄弱环节
-
造成风险的内因
-
脆弱性本身并不对资产构成危害,单是再一定条件得到满时,脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害
脆弱性举例
-
系统程序代码缺陷
-
系统设备安全配置错误
-
系统操作流程有缺陷
-
系统操作流程有缺陷
-
维护人员安全意识不足
可能性
-
某件事发生的机会
-
威胁源利用脆弱性造成不良后果的机会
可能性举例
-
脆弱性只有国家级测试人员采用专业工具才能利用,发生不良后果的机会很小
-
系统存在漏洞,但只在与互联网物理隔离的局域网运行,发生不良后果的机会较小
-
互联网公开漏洞且有相应的测试工具,发生不良后果的机会很大
对风险概念的理解
- 威胁源采用某种威胁方式利用脆弱性
网站存在SQl注入漏洞,普通攻击者利用自动化攻击工具很容易控制网站,修改网站内容,从而损害国际政府部分声誉
-
信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或所害的可能性
-
信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性
-
信息安全风险只考虑那些对组织有负面影响的事件
信息安全风险评估
-
是依据有关信息安全技术域管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程
-
它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响
安全措施/控制措施
-
保护资产,抵御威胁,减少脆弱性,降低安全事件的影响,以及打击信息犯罪而实施的各种事件,规程和机制,他说管理风险的具体手段和方法
-
根据安全需求部署,用来方法威胁,降低风险的措施
安全措施/安全实施举例
-
部署防火墙、入侵检测、审计系统
-
测试环节
-
操作审批环节
-
应急体系
-
终端U盘管理制度
残余风险
采取安全措施后,信息系统仍然可能存在的风险有些残余风险是在综合考虑了安全成本与效益后不去控制的风险
残余风险应受到密切监视,它可能会在将来诱发新的安全事件
残余风险举例
风险列表中有10项风险,根据风险成本效益分析只有前8项需要控制,则前8项处理后剩余的风险加上另2项风险为残余风险,一段时间内系统处于风险可接受水平
风险相关要素之间的关系
信息安全风险管理主要内容
实施风险管理的主要原则
风险管理创造和保护价值
风险管理是所有组织过程不可分割的一个部分,促进组织的持续改进
风险管理是透明的,参与人员应包含广泛,同时考虑人员和文化因素
分线管理是定制的,并具有体系化结构化的特点
风险管理是动态的、反复的和响应变化的
风险管理的范围和对象
-
信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全
-
信息载体指承载信息的媒介,即用于记录、传输、积累和保存信息的实体,如纸张、硬盘、网线等
-
信息环境指信息及信息载体所处的环境,包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境
-
-
信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象
-
对于一个具体的信息系统,风险管理选择的范围和对象重点应有所不同
我国有关信息安全风险管理的政策要求
《关于开展信息安全风险评估工作的意见》(国信办【2006】5号)的实施要求
《关于开展信息安全风险评估工作的意见》(国信办【2006】5号)的管理要求
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2071号)
信息安全风险管理相关的国内外标准
信息安全风险管理工作的主要内容
GB/Z 24364《信息安全风险管理指南》,四个阶段,两个贯穿
风险评估背景建立
-
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
-
风险管理准备:确立对象,组件团队,制定计划,获取支持
-
信息系统调查:信息系统的业务目标、技术和管理上的特点
-
信息系统分析:信息系统的体系构建、关机要素
-
信息安全分析:分析安全要求、分析安全环境
风险评估
-
信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
-
风险评估准备:制定风险方案、选择评估方法
-
风险要素识别:发现系统存在的威胁、脆弱性和控制措施
-
风险分析:判断风险发生的可能性和影响的程度
-
风险结果判定:综合分析结果判断风险等级
风险处理
-
风险处理是为了将风险始终控制在可接受的范围内。
-
现存风险判断:判断信息系统中哪些风险可以接受, 哪些不可以
-
处理目标确认:不可接受的风险需要控制到怎样的 程度
-
处理措施选择:选择风险处理方式,确定风险控制 措施
-
处理措施实施:制定具体安全方案,部署控制措施
风险处理过程
常用的四类风险处置方法
-
减低风险
-
转移风险
-
规避风险
-
接受风险
减少风险
通过对面临风险的资产采取保护措施来降低风险
首先应当考虑的风险处置措施,通常再安全投入小于负面影响的价值的情况下使用
保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险
转移风险
通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险
通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险
购买保险 服务外包
规避风险
-
通过不使用面临风险的资产来避免风险。比如:
-
在没有足够安全保障的信息系统中,不处理特别敏 感的信息,从而防止敏感信息的泄漏
-
对于只处理内部业务的信息系统,不使用互联网, 从而避免外部的有害入侵和不良攻击
-
-
通常在风险的损失无法接受,又难以通过控制措施 减低风险的情况下
接受风险
-
接受风险是选择对风险不采取进一步的处理措施, 接受风险可能带来的结果
-
用于那些在采取了降低风险和避免风险措施后,出 于实际和经济方面的原因,只要组织进行运营,就 必然存在并必须接受的风险
-
接受风险不意味着不闻不问,需要对风险态势变化 进行持续的监控,一旦发展为无法接受的风险就要 进一步采取措施
批准监督
批准:是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定
监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险
监控审查
- 监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保障信息安全风险管理主循环的有效性
类似信息系统工程中的监理
沟通资讯
信息系统生命周期与信息安全风险管理的关系
-
信息系统生命周期的每个阶段,有不同的信息安全目标
-
为了达到其安全目标,每一阶段都需要相应的风险管理手段作为支持
-
信息安全目标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别
系统规划阶段的安全目标
规划
设计
实施
运维
废弃
信息安全风险评估
风险评估工作方式
-
信息安全风险评估分为自评估、检查评估两种形式
-
自评估为主,自评估和检车评估相互结婚、互为补充
-
自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持
自评估
- 信息系统拥有、运营或使用耽误发起的对本单位信息系统进行的风险评估
检查评估
-
信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估
-
优点
-
具有权威性
-
通过行政手段加强信息安全,具有强制性
-
-
缺点
-
间隔时间较长,难以贯穿信息系统的生命周期
-
一般是以抽样的方式进行,难以覆盖全部评价对象
-
风险评估、检查评估和等级保护测评之间的关系
-
等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评,其中等保测评是符合国家安全要求的测评,安全检查是符合行业主管安全要求的符合性测评
-
而风险评估是在国家、行业安全要求的基础上,以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动
定性分析
-
定性分析在风险评价时,往往需要凭借分析者的经验和直觉,或者业界标准和惯例,为风险诸多要素的大小或高低程度定性分析
-
定性风险分析更具主观性
-
后果或影响的定性度量(示例)
定量风险分析
定量风险分析——年度预期损失法
定量评估计算案例
定性分析与定量分析的对比
半定量风险分析
-
在风险分析过程中综合使用定性和定量风险分析技术对风险要素赋值的方式,实现对风险各要素的度量数值化
-
在实际的风险分析活动中,经常采用半定量的风险分析方法
风险评估实施流程
-
风险评估准备
-
风险要素识别
-
风险分析
-
风险结果判断
风险评估准备
风险要素识别
资产识别
威胁识别
威胁识别与资产识别是何关系?
- 点和面:重点识别和全面识别
威胁识别的重点和难点是什么?
- 三问: “敌人”在哪儿?效果如何?如何取证?
威胁识别的方法有哪些?
-
日志分析
-
历史安全事件
-
专家经验
-
互联网信息检索
确认已有的安全控制措施
-
预防性措施
-
检测性措施
-
纠正性措施
-
威慑性措施
风险分析
风险结果判定
风险评估工具
信息安全管理体系
信息安全管理体系四项重要工作
管理者履行管理职责的重要作用
-
管理层切实履行相应的管理职责是ISMS能够成功实施的最关键因素,会对ISMS建设产生推动作用
-
管理者提供足够的资源是对ISMS建设实质性的支持
主要管理职责
-
制定并颁布信息安全方针
-
确保ISMS目标和相应的计划得以制定
-
建立信息安全的角色和职责
-
向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性
-
决定风险可接受级别的风险可接受准则
-
确保ISMS内部审核的执行
-
实施ISMS的管理评审
-
提供足够资源
-
资金
-
能胜任相关工作的人员(通过提供培训、教育)
-
文档化对实施ISMS的重要性
-
文档包括文件(如方针、策略、标准、指南等)和记录
-
文件是ISMS的一个关键要素,是组织内部的“法”,也是ISMS审核的依据
-
记录是文件执行情况的客观证据,为各项控制措施是否有效实施、ISMS是否有效运行提供客观证据层次化的文档是ISMS建设的直接体现,也是ISMS建设的成果之一
-
应对文件和记录进行控制
文件编制依据
-
风险评估的结果是文件编制的直接依据
-
有风险的地方才需要管理和控制
-
依据分线评估结果编制的文件体系才是最适合的、最需要的
易于管理的维护的ISMS层次化文档结构
文件控制
-
文件在发布以前,应得到相应级别管理层的批准
-
定期评审、更新并再次得到批准,当发生重大变化或重大信息安全事件时应及时评审和修订
-
对文件的修订和修订状态、版本进行标识,确保员工使用文件的最新版本
-
标明每份文件的密级和分发范围
记录控制
-
明确记录的保存环境要求
-
明确保存期限要求
-
明确访问控制要求
-
明确检索要求(比如,支持按特定条件进行查询和统计)
内部审核
-
是用于内部目的,由组织自己或以组织的名义所进行的审核
-
也称第一方审核
-
是ISMS能够持续改进的重要动力之一
-
组织应按照既定的周期实施ISMS内部审核
目的
-
确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求
-
确定各项控制措施是否得到有效的实施和保持
-
确定员工的业务行为是否符合组织ISMS文件所规定的要求
实施主体
- ISMS内审小组
实施方式
- 文件审核、现场审核
审核准则
- 相关标准、法规法规、合同条款、ISMS文件
管理评审
目的
- 确保组织的ISMS持续具有适应性,充分性和有效性
实施主题
- 组织的高级管理层
实施对象
- ISMS文件体系,各种管理评审输入材料
实施方式
- 最常见的是召开管理评审会议,由组织的高级来管理层亲自主刀实施
ISMS认证
-
ISMS认证,是由ISMS认证机构依据ISO/IEC 27001对申请组织的ISMS进行审核,并向通过审核的申请组织颁发ISMS认证证书的活动
-
认证机构是指那些从事对产品(服务)、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构
-
ISMS认证是证明一个组织的信息安全水平达到并满足ISMS国际/国家标准要求的有效途径
-
ISMS认证活动,能从第三方客观公正的角度,发现ISMS存在的不足和问题,是促进ISMS持续改进的一种外部驱动力
ISMS认证通常包含一组审核,包括初次认证审核、年度监督审核和复审
- ISMS认证证书有效期一般为三年,颁发认证证书后的第一、第二年需要进行年度监督审核,第三年进行复审,复审通过后重新颁发认证
信息安全管理体系PDCA建设
规划与建立ISMS
-
P1 - 定义ISMS规范和边界
-
P2 - 制定ISMS方针
-
P3-确定风险评估方法
-
P4-实施风险评估
-
P5-选择、评价和确定风险处理方式、处理目标和处理措施
-
P6-获得管理者对建议的残余风险的批准
-
P7-获得管理者对实施和运行ISMS的授权
-
P8-编制实用性声明(SoA)
实施和运行ISMS
-
D1-制定风险处理计划
-
D2-实施风险处理计划
-
D3-开发有效性测量程序
-
D4-实施培训和意识教育计划
-
D5-管理ISMS的运行
-
D6-管理ISMS的资源
-
D7-执行检测师太和响应事件的程序
监视和评审ISMS
-
C1-日常监视和检查
-
C2-进行有效性测量
-
C3-实施内部审核
-
C4-实施风险再评估
-
C5-实施管理评审
保持和改进ISMS
-
A1-实施纠正和预防措施
-
A2-沟通措施和改进情况
信息安全控制措施
内容组织结构
-
每个主要安全控制措施类别,包括
-
一个或多个控制目标,生命要实现什么
-
对于每个控制目标,包含一项或多项控制措施,可被用于实现该控制目标
-
信息安全控制措施
控制目标
组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全
控制措施
-
信息安全方针文件
- 信息安全方针文件由管理者批准,发布并传达给所有员工和外部相关方
-
信息安全方针评审
- 应按计划的事件间隔或当重大变化发生时进行信息安全方针评审,以确保其持续的适宜性、充分性和有效性
信息安全方针文件
- 信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件
控制组织
-
内部组织
-
实现对组织内部的信息安全管理
-
控制目标:实现对组织内部的信息安全管理
-
控制措施:信息安全的管理承诺
-
信息安全协调
-
信息安全职责的分配
-
信息处理设施的授权过程
-
保密性协议
-
与政府部门的联系
-
与特定利益集团的联系
-
信息安全的独立评审
-
-
职责分配
-
为有效实施信息安全管理,保障和实施系统的信息安全,应在机构内部建立信息安全组织,明确角色和职责
-
信息安全责任的重要性
-
在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步
-
-
信息安全的管理承诺
- 高层管理者参与信息安全建设,负责重大决策提供资源,并对工作方向、职责分配给出清晰的说明
-
信息安全协调
-
不仅仅由信息化技术部门参与,与信息安全相关的部门(如行政、人事、安保、采购、外联)都应参与到组织
-
体系中各司其责,协调配合。因此需要协调
-
-
与政府不忙的联系、与特定利益集团的联系
- 要注意充分利用外部资源,与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系
-
-
外部组织
-
控制目标:保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全
- 控制措施:与外部各方相关风险的识别处理外部各方协议中的安全问题
-
访问风险
-
维护软件设备的承包商
-
清洁、送餐人员
-
外部资讯人员
-
审核人员
-
-
信息安全控制措施
1.资产管理
控制目标
对资产负责
控制目标:实现和保持对组织资产的适当保护
控制措施:资产清单
资产负责人
资产的可接受性
2.信息分类
控制目标:确保信息受到适当级别的保护
控制措施:
分类指南
3.信息的标记和处理
4.人力资源安全
控制目标
任用前
任用中
任用的终止或变化
5.物理和环境安全
安全区域
设备安全
6.人身安全的重要性
7.通信和操作管理
控制目标
(1)操作程序和职责
(2)第三方服务交付管理
(3)系统规划和验收
(4)防范恶意代码
(5)备份
(6)网络安全管理
(7)介质处置
(8)信息的交换
(9)电子商务服务
(10)监视
(1)操作程序和职责
控制目标:确保正确、安全地操作信息处理设
施控制措施:文件化的操作程序变更管理 责任分割开发、测试和运行设施分离
(2)第三方服务交付管理
控制目标:对第三方服务进行管理,使其交付的服务符合第三方服务交付协议,并保持在适当水平
控制措施:服务交付
第三方服务的监视和评审第三方服务的变更管理
(3)系统规划和验收
控制目标:将系统识别的风险降到最小
控制措施:容量管理 系统验收
(4)防范恶意代码
控制目标:保护软件和信息的完整性
控制措施:控制恶意代码
(5)备份
控制目标:保持信息和信息处理设施的完整性及可用性
控制措施:信息备份
-
备份资料必须给予舒适级别与保护
-
定期测试备份介质
-
定期检查与测试恢复步骤
(6)网络安全管理
控制目标:确保网络在信息和支持性基础设施安全性
控制措施:网络控制 网络服务安全
(7)介质处置
控制目标:防止资产遭受未授权泄露、修改、移动、销毁及业务活动的中断
控制措施:可移动介质的管理 介质的处置
(8)信息交互
控制目标:保持组织内以及与外部组织信息和软件交换的安全
控制措施:信息交换策略和规划 交换协议 运输中的物理介质 电子信息发送
(9)电子善舞服务
控制目标:确保电子商务服务及使用的安全
控制措施:电子商务 在线交易
(10)监视
控制目标:检测未经授权的信息处理活动
控制措施:审计日志 监视系统的使用 日志信息的保护 管理员和操作员日志 故障日志 时钟同步
8.访问控制
(1)访问控制的业务要求
-
控制目标:基于业务目标和业务原则来控制对信息的访问
-
控制措施:访问控制策略
(2)用户访问管理
-
控制目标:确保授权用户能够访问信息系统,防止非授权的访问
-
控制措施:用户注册 特殊权限管理 用户口令管理 用户访问权的复查
(3)用户职责
-
控制目标:防止未授权用户对信息和信息处理设施的访问、威海或窃取
-
控制措施:口令使用 无人值守的用户设备 清空桌面和屏幕策略
(4)网络访问控制
-
控制目标:防止对网络服务的未授权访问
-
控制措施:使用网络服务策略 网络隔离
(5)操作系统访问控制
-
控制目标:防止对操作系统的未授权访问
-
控制措施:安全登录规程 用户标识和鉴别 口令管理系统 系统实用工具的使用
(6)应用和信息访问控制
-
控制目标:防止对应用系统中信息的未授权访问
-
控制措施:信息访问限制
(7)移动计算和远程工作
-
控制目标:确保使用移动计算和远程工作设施时的信息安全
-
控制措施:移动计算和通信 远程工作
信息系统获取、开发和维护
控制目标
(1)信息系统的安全要求
(2)应用中的正确处理
(3)密码控制
(4)系统文件的安全
(5)开发和支持过程中的安全
(6)技术脆弱性管理
(1)信息系统的安全需求
控制目标:确保安全是信息系统的一个有机组成部分
控制措施:安全需求分析和说明
安全信息系统获取的基本原则和方法
安全信息系统获取的基本原则
-
符合国家、地区及行业的法律法规
-
量力而行,达到经济性与安全性间的平衡
-
符合组织的安全策略与业务目标
安全信息系统的获取策略
-
外部采购
-
自主开发或者自主开发与外包相结合
-
采取何种获取策略在项目立项与可行性分析过程中
-
得出结论
信息系统购买流程
(2)应用中的正确处理
控制目标:防止应用系统中信息的错误、遗失、非授权修改及误用
控制措施:输入数据验证 内部处理的控制消息完整性 输出数据验证
(3)密码控制
控制目标:通过密码方法保护信息的保密性、真实性或完整性
控制措施:使用密码控制的策略 密钥管理
(4)系统文件的安全
控制目标:确保系统文件的安全
控制措施:运行软件的控制 系统测试数据的保护 对程序源代码的访问控制
(5)开发和支持过程中的安全
控制目标:维护应用系统软件和信息的安全
控制措施:变更控制程序 操作系统变更后应用的技术评审 软件包变更的限制 外包软件开发
(6)技术脆弱性管理
控制目标:降低利用公布的技术脆弱性导致的风险
控制措施:技术脆弱性控制
符合性
控制目标
(1)符合法律要求
(2)符合安全策略和标准以及技术符合性
(3)信息系统审核考虑
可用法律的识别
一般通过以下步骤来确定组织对法律、法规的符合性 指派专人负责跟踪国家法律法规的发布情况
计算机的运行与控制
计算机、程序及数据的存放方式 信息服务的活动及组织
记录相关法律与法规的要求
组织在制定信息系统计划、策略、标准及程序时落实法律、 法规的要求
建立检查程序,检查执行法律、法规的情况
符合安全策略和标准以及技术符合性
控制目标:确保系统和业务活动符合组织的安全策略及标准
控制措施:符合安全策略和标准技术符合性检查
信息系统审核考虑
控制目标:将信息系统审核过程的有效性最大化,干扰最小化
控制措施:信息系统审核控制
应急响应与灾难恢复
应急响应概况
基本概念
GB/T 24363—2009信息安全应急响应计划规范
信息安全事件
由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会
造成负面影响的事件
应急响应
组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
信息安全事件响应组
由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的全部工作,有时小组可能有外部专家加入
CERT 计算机应急响应组
国际或国家公认的计算机应急响应组织
国际信息安全响应组织
我国信息安全应急响应组织
应急响应组织的一般构成
国际政策要求和相关标准
我国信息安全事件分类方法
我国信息安全事件分级方法
-
分级要素 GB/Z 20986-2007 《信息安全事件分级指南》
-
系统重要程度
-
系统安全损失
-
社会影响
应急响应
应急响应六个阶段
第一阶段——准备
-
预防为主
-
微观
-
确定重要资产和风险,实施针对风险的防护措施
-
编制和管理应急响应计划
-
建立和训练应急响应组织
-
准备相关的资源
- 人力资源、财力资源、物质资源、技术资源、社会关系资源
-
宏观
-
建立协作体系和应急制度
-
建立信息沟通渠道和通报机制
-
如有条件,建立数据汇总分析的体系和能力
-
有关法律法规的制定
-
-
-
编制和管理应急相应计划
-
应急响应计划,是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程
-
应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段
-
(1)应急响应需求分析和应急响应策略的确定
-
(2)编制应急响应计划文档
-
(3)应急响应计划的测试、培训、演练和维护应急响
-
-
应计划主要内容
- 总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件
-
第二阶段——检测
-
检测事件、确定事件性质和处理人
-
微观
-
进行监测、报告及信息收集确定事件类别和级别
-
指定事件处理人,进行初步响应评估事件的影响范围
-
事件通告(信息通报、信息上报、信息披露)
-
-
宏观:
- 通过汇总,确定是否发生了全网的大规模事件确定应急等级,以决定启动哪一级应急方案
第三阶段——遏制
-
限制事件影响的范围、损失
-
微观
-
启动应急响应计划 确定适当的响应方式 实施遏制行动
-
要求用户按应急行为规范要求配合遏制工作
-
-
宏观
- 确保封锁方法对各网业务影响最小通过协调争取各网一致行动,实施隔离汇总数据,估算损失和隔离效果
第四阶段——根除
-
长期的补救措施
-
微观
- 详细分析,确定原因 实施根除措施,消除原因
-
宏观
-
加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题
-
加强检测工作,发现和清理行业与重点部门的问题
-
第五阶段——恢复
微观
-
根据破坏程度决定是在原系统还是备份系统中恢复
-
按恢复优先顺序恢复系统和业务运行
-
可能需要执行以下事务性步骤和技术性恢复操作
-
获得访问相关区域和资源的授权
-
获取备份介质等相关资源
-
恢复系统数据
-
启用备份系统
-
重建主系统
-
宏观
-
持续汇总分析,判断遏制、根除效果
-
通过汇总分析的结果判断仍然受影响的终端的规模
-
适当时解除封锁措施
第六阶段——跟踪总结
-
关注系统恢复以后的安全状况,记录跟踪结果评估损失、响应措施效果
-
分析和总结经验、教训
-
重新评估和修改安全策略、措施和应急响应计划
-
对进入司法程序的事件,进行进一步调查,打击违法犯罪活动
-
编制并提交应急响应报告
-
处理人
-
事件的类类别、级别
-
时间和时段
-
对事件的处置情况
-
地点
-
损失
-
工作量
-
经验、教训
-
计算机取证
计算机取证的概念、目的、原则
计算机取证
使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据,相关工作主要围绕两个方面进行:证据的获取和证据的分析
目的
查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持
原则
合法 充分授权、优先保护、全程监督原则
计算机取证-准备
获取授权
- 取证工作获得明确的授权(授权书)
目标明确
- 对取证的目的有清晰的认识
工具准备
- 对取证环境的了解及需要准备的工具
软件准备
- 对取证的软件进行过有效的验证
介质准备
- 确保有符合要求的干净的介质可用于取证
计算机取证—保护
保证数据安全性
- 制作磁盘映像——不在原始磁盘上操作
保证数据完整性
- 取证中不使用可能破坏完整性的操作
第三方监督
- 所有操作都有第三方在场监督
计算机取证—分析及提交
证据在什么地方?
日志、删除的文件、临时文件、缓存
从证据中能发现什么?
如何关联证据?
电子取证提交?
- 必须与现实取证结合,文档化很重要
信息系统灾难恢复
灾难恢复的历史和背景
我国灾难恢复进展情况
恢复点目标-RPO/恢复时间目标RTO
主中心与灾难备份中心、主系统与灾难备份系统
灾难恢复组织
灾难恢复战略
灾难恢复管理工作的主要内容
灾难恢复规划
灾难恢复规划:是一个周而复始的、持续改进的过程,包含以下四个阶段
-
灾难恢复需求分析
-
灾难恢复策略制定
-
灾难恢复策略实现
-
灾难恢复预案的制定和管理
灾难恢复规划管理过程
灾难恢复需求分析
-
风险分析
-
业务影响分析
-
确定灾难恢复目标(RTO,RPO)
业务影响风险(BIA)
-
明确关键业务功能和支持关键业务功能的关键应用系统
-
明确系统中断对业务的损失和影响
-
明确各业务系统的恢复目标和内外部依赖关系
-
确定各业务功能灾难恢复指标(RTO/RPO)
-
明确各业务功能恢复的最小资源需求及恢复策略
确定灾难恢复目标
灾难恢复策略制定
例如:灾难恢复资源的获取方式
备用基础设施
-
由单位所有或运行
-
多方共建或通过互惠协议获取
-
租用商业化灾难备份中心的基础设施
备用数据处理系统
-
事先与厂商签订紧急供货协议
-
事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库
-
利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备
灾难恢复策略的实现
灾难备份中心的选择和建设
-
选址原则
-
基础设施要求
灾难备份系统技术方案的实现
- 技术方案的设计、验证、开发、安装和测试
专业技术支持能力的实现
-
明确灾难恢复策略的要求
-
建立技术支持组织,定期技能培训
运行维护管理能力的实现
-
灾难备份中心应建立各种操作规程和管理制度
-
保证备份的及时性和有效性
-
保证有效的应急响应、处理能力
灾难备份中心的选择和建设
选址原则
-
避免灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件
-
统筹规划、资源共享、平战结合
基础设施要求
-
计算机机房应符合有关国家标准
-
工作辅助设施和生活设施要符合灾难恢复目标的要求
灾难备份系统技术方案的实现
-
三个主要步骤:技术方案的设计,技术方案的验证、确认和系统开发,系统安卓和测试
-
典型的灾难备份系统技术方案架构
专业技术支持能力的实现、运行维护管理能力的实现
-
灾难备份中心应建立相应的技术支持组织,定期对技术支持人员进行技能的教育和培训,以实现专业技术支持能力
-
灾难备份中心应建立各种操作规程和管理制度,以实现运行维护管理能力
灾难恢复预案的制定和管理
-
灾难恢复预案的制定
-
灾难恢复预案的教育、培训和演练
-
灾难恢复预案的管理
灾难恢复预案的制定
灾难恢复预案包括的主要内容
-
确定风险场景
-
描述可能受到的业务影响
-
描述使用的预防性策略
-
描述灾难恢复策略
-
识别和排列关键应用系统
-
行动计划
-
团队和人员的职责
-
联络清单
-
所需资源配置
灾难恢复预案的制定
灾难恢复预案的教育、培训和演练
目的:在灾难来临前使相关人员了解灾难恢复的目标和流程,熟悉恢复操作规程
教育:在规划初期即开始进行灾难恢复观念的宣传教育
培训:评估培训需求,确定培训的频次和范围,开发培训课程,保留培训记录
演练:制定演练计划,说明演练场景,记录演练过程,编制演练报告
演练与演习的类型
演练和演习的主要方式
-
桌面演练
-
模拟演练
-
实战演练等
根据演练和演习的深度,可分为
-
数据级演练
-
应用级演练
-
业务级演练等
根据演练和演习的准备情况,可分为
-
计划内的演练和演习
-
计划外的演练和演习等
灾难恢复预案的管理
按以下原则保存和分发
-
指派专人负责
-
制作多份拷贝,保存在不同地点
-
分发给参与恢复工作的所有人员
-
每次修订后统一更新所有拷贝按
-
有关规定销毁旧版本
为保证预案的有效性
-
在发生各种变化后,及时更新预案
-
在测试、演练、灾难发生后实际执行过预案以后,评估并修订
-
定期评审和修订
灾难恢复相关技术
灾难恢复资源要素与恢复能力等级划分
第一级 —— 基础支持
第二级 —— 备用场地支持
第三级 —— 电子传输和部分设备支持
第四级 —— 电子传输及完整设备支持
第五级 —— 实时数据传输及完整设备支持
第六级 —— 数据零丢失和远程集群支持
备份类型
-
全备份
- 对整个系统的所有文件进行完全备份
-
增量备份
- 每次备份的数据只是上一次备份后增加和修改过的数据
-
差分备份
- 每次备份的数据是上一次全备份之后新增加和修改过的数据
不同备份方式的特点
-
全备份
- 备份量最低,恢复最简单
-
增量备份
- 备份量最小,恢复最麻烦
-
差分备份(差异备份)
- 备份量、恢复繁琐度介于前两者之间
-
备份策略
- 重要时间的执行完全备份、经常进行增量备份、定期执行差分备份
各种备用场所的对比