信息系统安全集成确定安全需求与目标概述(共77页).ppt

1、1信息系统平安集成信息系统平安集成确定平安需求与目标确定平安需求与目标2本章摘要本章从组织IT战略出发，根据业务特征、法律法规及合同要求，在充分考虑风险的根底上，确定组织的平安需求和目标，形成各方认可的平安需求文件 。摘 要主要内容一、概述一、概述二、组织二、组织IT战略与平安需求战略与平安需求三、组织业务与平安需求三、组织业务与平安需求四、符合性的平安需求四、符合性的平安需求五、基于风险的平安要求五、基于风险的平安要求六、确定组织的平安需求六、确定组织的平安需求七、确定信息平安目标七、确定信息平安目标4一、概述1.组织与信息平安需求组织与信息平安需求从广义上说，组织是指由诸多要素按照一定方式

2、相互联系起来从广义上说，组织是指由诸多要素按照一定方式相互联系起来的系统。的系统。从狭义上说，组织就是指人们为实现一定的目标，互相协作结从狭义上说，组织就是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组合而成的集体或团体，如党团组织、工会组织、企业、军事组织等等。狭义的组织专门指人群而言，运用于社会管理之中。织等等。狭义的组织专门指人群而言，运用于社会管理之中。n组织概述组织概述5一、概述1.组织与信息平安需求组织与信息平安需求现代社会组织定义现代社会组织定义在现代社会生活中组织是人们按照一定的目的、任务和形式在现代社会生活中组织是人们按照一定的目的、

3、任务和形式编制起来的社会集团。组织是表达一定社会关系、具有一定结编制起来的社会集团。组织是表达一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体。构形式并且不断从外部汲取资源以实现其目标的集合体。n组织概述组织概述6一、概述1.组织与信息平安需求组织与信息平安需求n组织平安需求组织平安需求-组织需要保护什么？组织需要保护什么？信息平安的需求，是由于本身或类似组织经历了信息损失之后信息平安的需求，是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织层面出发贯穿整个组织业务并符合法律法规、平安监管要求、

4、合同业务要求等，提出业务并符合法律法规、平安监管要求、合同业务要求等，提出复合组织的基于风险管理的平安需求。复合组织的基于风险管理的平安需求。组织应该将信息平安集成到业务运作的每一个层面。组织应该将信息平安集成到业务运作的每一个层面。7一、概述1.组织与信息平安需求组织与信息平安需求n组织平安需求分析的层次组织平安需求分析的层次需求分析的层次：需求分析的层次：目标性需求，定义了整个系统需要到达的目标；目标性需求，定义了整个系统需要到达的目标；功能性需求，定义了整个系统必须完成的任务；功能性需求，定义了整个系统必须完成的任务；操作性需求，定义了完成每个任务的具体的人机交互操作性需求，定义了完成每

5、个任务的具体的人机交互.8一、概述1.组织与信息平安需求组织与信息平安需求n组织平安需求挖掘的方法组织平安需求挖掘的方法挖掘需求的方法：挖掘需求的方法：分析特定客户的业务流程和模型分析特定客户的业务流程和模型;与特定客户进行讨论与交流与特定客户进行讨论与交流(或联合成立需求组或联合成立需求组)，包括：需求，包括：需求讨论会讨论会,与专家或代表讨论与专家或代表讨论.通过调查获取需求，常见需求调查方式有：与用户交谈，向通过调查获取需求，常见需求调查方式有：与用户交谈，向用户提问题等用户提问题等.9一、概述1.组织与信息平安需求组织与信息平安需求n组织平安需求分析的方法组织平安需求分析的方法风险评估

6、法风险评估法平安需求分析的方法：平安需求分析的方法：资产清册资产清册风险评估风险评估确定风险确定风险形成需求形成需求10一、概述2.组织平安风险组织平安风险n平安威胁平安威胁-引入相关数据图表介绍引入相关数据图表介绍组织正在遭受越来越多的平安威胁和攻击破坏。组织正在遭受越来越多的平安威胁和攻击破坏。由于组织越来越依靠信息资源，平安事件不断增长，而平安事由于组织越来越依靠信息资源，平安事件不断增长，而平安事件造成的损失以及用于事件处理的财力、人力以及件造成的损失以及用于事件处理的财力、人力以及IT资源的投资源的投入需要不断增长。入需要不断增长。11一、概述2.组织平安风险组织平安风险风险是指一个

7、事件产生我们所不希望的后果可能性。风险是指一个事件产生我们所不希望的后果可能性。组织的风险是指组织未来发生损失的不确定性。这些平安风险组织的风险是指组织未来发生损失的不确定性。这些平安风险主要包括了业务的连续性、业务流程平安、法律平安要求、合主要包括了业务的连续性、业务流程平安、法律平安要求、合同平安、隐私保护要求等。同平安、隐私保护要求等。n组织的风险组织的风险12一、概述3.组织信息平安目标组织信息平安目标根据国际信息平安管理标准的描述，信息平安的目标是根据国际信息平安管理标准的描述，信息平安的目标是“通过防通过防止和减小平安事故的影响，保证业务连续性，使业务损失最小化。止和减小平安事故的

8、影响，保证业务连续性，使业务损失最小化。需要进行需要进行IT规划和费用调整以保证适当的平安投入，部署有效的规划和费用调整以保证适当的平安投入，部署有效的工具，来解决紧迫的平安问题，实现组织的平安目标。工具，来解决紧迫的平安问题，实现组织的平安目标。n信息平安的目标信息平安的目标13二、组织IT战略与平安需求1.组织组织IT战略战略n组织战略组织战略组织战略是指组织对有关全局性组织战略是指组织对有关全局性,长远性长远性,纲领性目标纲领性目标的谋划和决策的谋划和决策.14二、组织IT战略与平安需求1.组织组织IT战略战略n组织战略组织战略组织战略是说明组织如何到达目标，完成使命的整体谋划组织战略是

9、说明组织如何到达目标，完成使命的整体谋划,是是提出详细行动方案的起点提出详细行动方案的起点,但它又凌驾于任何特定方案的各种但它又凌驾于任何特定方案的各种细节之上细节之上.战略反映了管理者对于行动战略反映了管理者对于行动,环境和业绩之间关键联系的理解环境和业绩之间关键联系的理解,用以确保已确定的使命用以确保已确定的使命,愿景愿景,价值观的实现。价值观的实现。 15二、组织IT战略与平安需求1.组织组织IT战略战略n组织组织IT战略战略IT战略即信息技术战略战略即信息技术战略ITStrategy是组织经营战略的有机组是组织经营战略的有机组成局部，和财务战略、人力资源战略、运作战略等一样，是公司成局

10、部，和财务战略、人力资源战略、运作战略等一样，是公司的职能战略。的职能战略。IT战是关于企业信息技术职能的目标及其实现的总体谋划。战是关于企业信息技术职能的目标及其实现的总体谋划。对于大的组织公司而言，子公司或大的业务单元也会有其相对独对于大的组织公司而言，子公司或大的业务单元也会有其相对独立的信息技术战略。立的信息技术战略。16二、组织IT战略与平安需求1.组织组织IT战略战略n组织组织IT战略的局部组成战略的局部组成使命使命Mission：阐述信息技术存在的理由、目的以及在企业：阐述信息技术存在的理由、目的以及在企业中的作用。中的作用。远景目标远景目标Vision：信息技术的开展方向和结果

11、。：信息技术的开展方向和结果。中长期目标中长期目标MediumtoLong-termObjectives：远景目标的：远景目标的具体化，即企业未来具体化，即企业未来23年信息技术开展的具体目标。年信息技术开展的具体目标。17二、组织IT战略与平安需求1.组织组织IT战略战略n组织组织IT战略的要点战略的要点战略要点：是实现上述中长期目标的途径或路线。战略要点：是实现上述中长期目标的途径或路线。组织组织IT战略的规划主要围绕信息技术内涵的四个方面展开：战略的规划主要围绕信息技术内涵的四个方面展开：硬件与组建硬件与组建网络与通信网络与通信应用与数据应用与数据组织与人员组织与人员18二、组织IT战略

12、与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n组织信息资产组织信息资产要进行信息平安建设，首先明确平安保护的对象要进行信息平安建设，首先明确平安保护的对象-组组织信息资产。织信息资产。19二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n组织信息资产组织信息资产明确平安保护的对象，即明确组织信息资产。分析业务流程分析业务流程识别关键的业务资产识别关键的业务资产确定业务资产的平安所有人和责任人确定业务资产的平安所有人和责任人明确平安保护责任明确平安保护责任20二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求

13、n组织信息资产组织信息资产建立组织信息资产目录并进行维护，帮助组织实施有效的信息资建立组织信息资产目录并进行维护，帮助组织实施有效的信息资产平安保护，实现业务连续性和灾难恢复。产平安保护，实现业务连续性和灾难恢复。在信息资产目录中应该定义资产的平安等级和平安责任人。在信息资产目录中应该定义资产的平安等级和平安责任人。21二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n组织信息资产组织信息资产在以业务为核心的组织内部，信息资产包括：在以业务为核心的组织内部，信息资产包括：业务应用软件业务应用软件IT根底设施硬件、组件、网络通讯等根底设施硬件、组件、网络通讯等相

14、关的数据和信息相关的数据和信息关键业务流程和人员关键业务流程和人员其他信息资产。其他信息资产。22二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n平安风险的评估平安风险的评估平安风险评估的目的在于定义核心信息资产，并且分析应用环境平安风险评估的目的在于定义核心信息资产，并且分析应用环境中可能存在的风险。中可能存在的风险。平安风险评估是定义平安需求、选择相应对策以及设计平安系统平安风险评估是定义平安需求、选择相应对策以及设计平安系统的根底。的根底。23二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n平安风险的评估平安风险的评

15、估简易风险评估模型：简易风险评估模型：从风险性质上从风险性质上,风险风险=威胁威胁+弱点弱点+影响影响 考虑风险的影线考虑风险的影线,风险风险=威胁威胁*弱点弱点*影响影响风险三个要素：风险三个要素：威胁威胁-事件或行为事件或行为,一般来自系统外部一般来自系统外部,可能在某些地方会影响固有可能在某些地方会影响固有的弱点的弱点,造成影响造成影响. 弱点弱点-系统内部考虑之中的弱点系统内部考虑之中的弱点,可能在某些地方受到威胁所利用。可能在某些地方受到威胁所利用。 影响影响-短期与长期组织影响短期与长期组织影响,威胁碰巧利用弱点。威胁碰巧利用弱点。24二、组织IT战略与平安需求2.基于战略的组织信

16、息平安需求基于战略的组织信息平安需求n平安风险的评估平安风险的评估通过平安风险评估，识别关键业务资产的平安威胁和风险，了解通过平安风险评估，识别关键业务资产的平安威胁和风险，了解企业的平安现状和风险水平，分析平安需求和平安改进方向。企业的平安现状和风险水平，分析平安需求和平安改进方向。平安需求必须基于风险评估，并且应该在设计阶段开始前确定。平安需求必须基于风险评估，并且应该在设计阶段开始前确定。25二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n基于战略的信息平安需求确实定基于战略的信息平安需求确实定组织需要制定与业务战略和组织需要制定与业务战略和IT战略一

17、致的平安战略，明确企业战略一致的平安战略，明确企业的平安建设目标和平安建设原那么。的平安建设目标和平安建设原那么。 通过风险评估了解了组织的平安现状和风险水平，企业明确了通过风险评估了解了组织的平安现状和风险水平，企业明确了各个层次的平安需求和改进方向。各个层次的平安需求和改进方向。信息平安战略是组织在一定时期内的一整套平安决策，这一决信息平安战略是组织在一定时期内的一整套平安决策，这一决策决定了企业的平安策略和制度、流程、行为和技术的建设。策决定了企业的平安策略和制度、流程、行为和技术的建设。 26二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n基于战略的

18、信息平安需求确实定基于战略的信息平安需求确实定制定组织信息平安战略的目标：支持组织战略。支持组织战略。平衡的信息平安风险。平衡的信息平安风险。谨慎而有效的信息平安投资。谨慎而有效的信息平安投资。信息平安建设能够与业务开展和信息平安建设能够与业务开展和IT能力建设同能力建设同步。步。促使信息平安成为业务开展的有力驱动。促使信息平安成为业务开展的有力驱动。27二、组织IT战略与平安需求2.基于战略的组织信息平安需求基于战略的组织信息平安需求n基于战略的信息平安需求确实定基于战略的信息平安需求确实定基于战略的信息平安需求的内容：范围需求范围需求平安的目标需求可用性、完整性、保密性、不可地耐性等要求平

19、安的目标需求可用性、完整性、保密性、不可地耐性等要求平安的组织需求平安的组织需求平安的资源需求平安的资源需求平安的管理流程需求突发事件与持续改进平安的管理流程需求突发事件与持续改进后续展开这些需求。28三、组织业务与平安需求1.组织业务描述模型组织业务描述模型组织的分类方法有多种，这里讲的组织按组织的目标分类，可组织的分类方法有多种，这里讲的组织按组织的目标分类，可以把组织分为：以把组织分为： 互益组织：如工会、俱乐部、政党等。互益组织：如工会、俱乐部、政党等。 工商组织：如工厂、商店、银行等。工商组织：如工厂、商店、银行等。 效劳组织：如医院、学校、社会机构等。效劳组织：如医院、学校、社会机

20、构等。 公益组织：如政府机构、研究机构、消防队等。公益组织：如政府机构、研究机构、消防队等。 n组织的分类组织的分类29三、组织业务与平安需求1.组织业务描述模型组织业务描述模型n组织的业务描述模型组织的业务描述模型业务模型是描述业务用例实现的对象业务模型是描述业务用例实现的对象模型，它是对业务角色和业务实体之模型，它是对业务角色和业务实体之间如何联系和协作以执行业务的一种间如何联系和协作以执行业务的一种抽象。抽象。30三、组织业务与平安需求1.组织业务描述模型组织业务描述模型n组织的业务描述模型组织的业务描述模型业务流程描述模型刻画以业务表单为中心的应用系统业务流程，业务流程描述模型刻画以业

21、务表单为中心的应用系统业务流程，解决其业务流程建模中的问题解决其业务流程建模中的问题,包括包括:各类约束的严格描述、权限表各类约束的严格描述、权限表示、流程关系、流程推进过程以及业务对象被调度和执行的全过示、流程关系、流程推进过程以及业务对象被调度和执行的全过程描述。程描述。采用业务流程描述模型的业务系统更容易扩展和维护采用业务流程描述模型的业务系统更容易扩展和维护, 能较好地满能较好地满足用户的需求。足用户的需求。31三、组织业务与平安需求1.组织业务描述模型组织业务描述模型n业务描述模型例子业务描述模型例子-银行业务模型银行业务模型业务事件业务事件UML信号事件信号事件-指定的鼓励表格或文

22、档指定的鼓励表格或文档和过程和过程(UML 用例用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord32三、组织业务与平安需求1.组织业务描述模型组织业务描述模型n业务描述模型例子业务描述模型例子-银行业务模型银行业务模型Customer：客户；Teller：出纳员 ；withdraw：取款；account：账户；BankDB：银行数据库33三、组织业务与平安需求2.基于业务的组织平安需求基于业务的组织平安需求业务信息资产是

23、企业信息平安保护的核心目标，因此要进行信息业务信息资产是企业信息平安保护的核心目标，因此要进行信息平安建设，首先明确平安保护的对象。组织需要通过分析业务流平安建设，首先明确平安保护的对象。组织需要通过分析业务流程，识别关键的业务资产，确定业务资产的平安所有人和认责人，程，识别关键的业务资产，确定业务资产的平安所有人和认责人，明确平安保护责任。明确平安保护责任。 n业务信息资产平安是组织信息平安保护的核心业务信息资产平安是组织信息平安保护的核心34三、组织业务与平安需求2.基于业务的组织平安需求基于业务的组织平安需求n组织业务信息资产保护内容组织业务信息资产保护内容在以业务为核心的组织内部，信息

24、资产包括业务硬件与组件、系在以业务为核心的组织内部，信息资产包括业务硬件与组件、系统与网络通信、应用软件、相关的数据和信息，还包括相关的关统与网络通信、应用软件、相关的数据和信息，还包括相关的关键业务流程和人员。键业务流程和人员。35三、组织业务与平安需求2.基于业务的组织平安需求基于业务的组织平安需求n基于业务的组织平安需求基于业务的组织平安需求对业务相关信息资产清册，包括硬件与组件、系统与网络通信、对业务相关信息资产清册，包括硬件与组件、系统与网络通信、应用软件、相关的数据和信息，关键业务流程和人员。应用软件、相关的数据和信息，关键业务流程和人员。建立组织信息资产目录并进行维护，可以帮助企

25、业实施有效的信建立组织信息资产目录并进行维护，可以帮助企业实施有效的信息资产平安保护，业务连续性和灾难恢复。在信息资产目录中应息资产平安保护，业务连续性和灾难恢复。在信息资产目录中应该定义资产的平安等级和平安责任人。该定义资产的平安等级和平安责任人。36三、组织业务与平安需求2.基于业务的组织平安需求基于业务的组织平安需求n基于业务的组织平安需求基于业务的组织平安需求通过平安风险评估，识别关键业务信息资产的平安威胁和风险，通过平安风险评估，识别关键业务信息资产的平安威胁和风险，将平安需求列表并排出优先级。将平安需求列表并排出优先级。确定基于业务的组织平安需求和平安改进方向。确定基于业务的组织平

26、安需求和平安改进方向。37四、符合性的平安需求1 .符合性概述符合性概述n符合性需求的意义符合性需求的意义为了防止任何违反法律、法令、法定的或者合同的义为了防止任何违反法律、法令、法定的或者合同的义务，使信息系统平安集成和运行置于法律、法规或者务，使信息系统平安集成和运行置于法律、法规或者合同的约定的要求之下，以防止或减少平安风险。合同的约定的要求之下，以防止或减少平安风险。38四、符合性的平安需求1 .符合性概述符合性概述符合性是指符合现行法规、规章、制度，技术标准等。符合性是指符合现行法规、规章、制度，技术标准等。符合性要求组织所有行为必须合法，符合相关的规章制度及规那符合性要求组织所有行

27、为必须合法，符合相关的规章制度及规那么。就是不但要遵守法律，而且也要符合组织内部、行业等的规么。就是不但要遵守法律，而且也要符合组织内部、行业等的规章制度。章制度。 符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素，符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素，如环境法规，在某些方面对于整个组织、或整个行业是类似的。如环境法规，在某些方面对于整个组织、或整个行业是类似的。n什么是符合性什么是符合性39四、符合性的平安需求2.法律法规要求法律法规要求n法律法规的识别法律法规的识别识别识别收集与平安集成有关的法律法规并对适应性进行评价，收集与平安集成有关的法律法规并对适应性进行

28、评价，确定其适用范围和具体适应条款，形成适应的法律法规确定其适用范围和具体适应条款，形成适应的法律法规清单。清单。40四、符合性的平安需求2.法律法规要求法律法规要求n法律法规的识别法律法规的识别评估评估法律法规复合性的需要定期评估，保持适应的法律、法法律法规复合性的需要定期评估，保持适应的法律、法规的有效最新版本。规的有效最新版本。法律法规复合性的需要定期评价，保持适应的法律、法法律法规复合性的需要定期评价，保持适应的法律、法规的符合性。规的符合性。41四、符合性的平安需求2.法律法规要求法律法规要求n知识产权保护需求知识产权保护需求严格执行国家有关知识产权方面的法律法规，保证使用合法的正严

29、格执行国家有关知识产权方面的法律法规，保证使用合法的正版地软件。这些需要，版地软件。这些需要，确定合法获得软件的途径合法；确定合法获得软件的途径合法；审查软件资产清单，确保使用的软件已经被授权；审查软件资产清单，确保使用的软件已经被授权；列出需要的软件或未被授权软件清单；列出需要的软件或未被授权软件清单；确保用户数不超出允许的上限；确保用户数不超出允许的上限；严禁员工私自安装任何软件。严禁员工私自安装任何软件。42四、符合性的平安需求2.法律法规要求法律法规要求n记录的保护需求记录的保护需求应按照法律法规要求和组织规定，明确重要记录的保存期限并适应按照法律法规要求和组织规定，明确重要记录的保存

30、期限并适当保护，防止丧失、损坏和伪造；当保护，防止丧失、损坏和伪造；处理与个人数据与信息应按照国家法律法规的规定和相关合同约处理与个人数据与信息应按照国家法律法规的规定和相关合同约束，对个人信息进行妥善管理与保护，防止丧失或泄漏个人信息；束，对个人信息进行妥善管理与保护，防止丧失或泄漏个人信息；将需要保护记录和个数据与人信息列出清单，并明确保护要求。将需要保护记录和个数据与人信息列出清单，并明确保护要求。43四、符合性的平安需求3.平安监管要求平安监管要求平安监管平安监管是为预防和遏制组织内信息系统缺陷、或用户滥权、或是为预防和遏制组织内信息系统缺陷、或用户滥权、或管理不善导致信息平安事件的发

31、生，并保证及时处理由管理不善导致信息平安事件的发生，并保证及时处理由此引起的各类平安事件，减轻或消除信息平安事件造成此引起的各类平安事件，减轻或消除信息平安事件造成的经济损失或信誉损失，确保组织业务的连续性。的经济损失或信誉损失，确保组织业务的连续性。44四、符合性的平安需求3.平安监管要求平安监管要求平安监管的要求主要分为：平安监管的要求主要分为：国家要求；国家要求；行业要求；行业要求；组织内部；组织内部；其他监管要求。其他监管要求。45四、符合性的平安需求3.平安监管要求平安监管要求n信息平安等级保护管理的要求信息平安等级保护管理的要求什么是信息平安等级保护什么是信息平安等级保护信息平安等

32、级保护是指国家秘密信息、法人和其他组织及公民的信息平安等级保护是指国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行平安保护，对信息系统中使用的信息平安产品实行按分等级实行平安保护，对信息系统中使用的信息平安产品实行按等级管理，对信息系统中发生的信息平安事件分等级响应、处置。等级管理，对信息系统中发生的信息平安事件分等级响应、处置。46四、符合性的平安需求3.平安监管要求平安监管要求n信息平安等级保护管理的要求信息平安等级保护管理的要求组织对信息和信息系统分等级进行保护的需求：组织对信息

33、和信息系统分等级进行保护的需求：信息平安等级保护管理要求信息和信息系统分等级进行保护，按信息平安等级保护管理要求信息和信息系统分等级进行保护，按组织的利益，社会公众利益，对国家平安的影响一共分为五级，组织的利益，社会公众利益，对国家平安的影响一共分为五级，第一级是最低的，第五级是最高。第一级是最低的，第五级是最高。确定组织是否强制或自愿纳入信息平安等级保护管理，明确纳入确定组织是否强制或自愿纳入信息平安等级保护管理，明确纳入分级保护的级别。分级保护的级别。47四、符合性的平安需求3.平安监管要求平安监管要求n信息平安等级保护管理的要求信息平安等级保护管理的要求组织对信息系统平安专用产品分等级的

34、需求：组织对信息系统平安专用产品分等级的需求：信息平安等级保护管理要求对信息系统平安专用产品分等级进行管理，信息平安等级保护管理要求对信息系统平安专用产品分等级进行管理，根据可控性、可靠性、平安性和可监督性这四个属性确定信息系统使根据可控性、可靠性、平安性和可监督性这四个属性确定信息系统使用的平安产品等级，各个单位使用的平安产品应该是分等级的。定了用的平安产品等级，各个单位使用的平安产品应该是分等级的。定了三级的系统不能使用二级以下的平安产品；三级的系统不能使用二级以下的平安产品； 确定组织纳入分级保护的级别，明确使用信息平安产品的等级需求。确定组织纳入分级保护的级别，明确使用信息平安产品的等

35、级需求。48四、符合性的平安需求3.平安监管要求平安监管要求n信息平安等级保护管理的要求信息平安等级保护管理的要求组织对所发生的信息平安事件分等级进行响应和处置的需求：组织对所发生的信息平安事件分等级进行响应和处置的需求：信息平安等级保护管理要求，对所发生的信息平安事件分等级进信息平安等级保护管理要求，对所发生的信息平安事件分等级进行响应和处置，对不同的信息平安事件，由监管部门牵头组织全行响应和处置，对不同的信息平安事件，由监管部门牵头组织全社会的应急响应和单位的应急响应相结合，最大限度的减轻信息社会的应急响应和单位的应急响应相结合，最大限度的减轻信息平安事件造成的损失。平安事件造成的损失。确

36、定组织纳入分级保护的级别，明确信息平安事件响应的等级需确定组织纳入分级保护的级别，明确信息平安事件响应的等级需求。求。49四、符合性的平安需求3.平安监管要求平安监管要求n组织内部信息平安监管要求组织内部信息平安监管要求监管范围与内容：监管范围与内容：定义监管范围，明确定义组织物理边界，信息系统部定义监管范围，明确定义组织物理边界，信息系统部署的物理边界，应用运行的区域；署的物理边界，应用运行的区域；明确监管设备，包括防火墙、入侵检测系统、鉴权系明确监管设备，包括防火墙、入侵检测系统、鉴权系统、效劳器、路由器、交换机等；统、效劳器、路由器、交换机等；50四、符合性的平安需求3.平安监管要求平安

37、监管要求n组织内部信息平安监管要求组织内部信息平安监管要求监管范围与内容：监管范围与内容：操作系统与应用系统日志，包括操作系统、数据库操作系统与应用系统日志，包括操作系统、数据库管理系统、应用系统及设备运行域操作日志的监管要管理系统、应用系统及设备运行域操作日志的监管要求；求；网站内容监管，网站内容发布的监控与审计要求，网站内容监管，网站内容发布的监控与审计要求，非法、敏感类信息以及克访问性的适时监管要求。非法、敏感类信息以及克访问性的适时监管要求。51四、符合性的平安需求3.平安监管要求平安监管要求n组织内部信息平安监管要求组织内部信息平安监管要求监管职责：监管职责：内部监管机构的指定与监管

38、责任的定义，如谁分管，哪个部门承内部监管机构的指定与监管责任的定义，如谁分管，哪个部门承担监管责任，对监管对象、平安事件处理，上下协调等责任的定担监管责任，对监管对象、平安事件处理，上下协调等责任的定义；义；监管人员的监管职责的明确，日常监管要求，问题处理方式与报监管人员的监管职责的明确，日常监管要求，问题处理方式与报告流程；告流程；事件分类及事件处理流程定义。事件分类及事件处理流程定义。52四、符合性的平安需求4. 合同业务要求合同业务要求合同受到法律保护：合同受到法律保护：合同是当事人之间设立、变更、终止民事关系的协议。合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律

39、保护。依法成立的合同，受法律保护。组织明确双方合同协议中对信息平安的要求。组织明确双方合同协议中对信息平安的要求。n组织在合同业务中对信息平安的要求组织在合同业务中对信息平安的要求53四、符合性的平安需求4. 合同业务要求合同业务要求将双方合同协议中对信息平安的要求列出作为平安集成中的需求将双方合同协议中对信息平安的要求列出作为平安集成中的需求管理；管理；组织也需要明确提出第三方机构及人员的信息平安要求，涉及第组织也需要明确提出第三方机构及人员的信息平安要求，涉及第三方接触本组织的信息处理设备应当基于正式的合同提出所有的三方接触本组织的信息处理设备应当基于正式的合同提出所有的基于信息平安的要求

40、，以便确保符合组织的平安政策和标准。基于信息平安的要求，以便确保符合组织的平安政策和标准。n组织在合同业务中对信息平安的要求组织在合同业务中对信息平安的要求54五、基于风险的平安要求1.风险管理综述风险管理综述n风险的定义风险的定义风险大致有两种定义：一种定义强调了风险风险大致有两种定义：一种定义强调了风险表现为不确定性；而另一种定义那么强调风表现为不确定性；而另一种定义那么强调风险表现为损失的不确定性。险表现为损失的不确定性。学术界对风险的内涵还没有统一的定义，由学术界对风险的内涵还没有统一的定义，由于对风险的理解和认识程度不同，或对风险于对风险的理解和认识程度不同，或对风险的研究的角度不同

41、，不同的学者对风险概念的研究的角度不同，不同的学者对风险概念有着不同的解释。有着不同的解释。55五、基于风险的平安要求1.风险管理综述风险管理综述n信息平安风险信息平安风险在信息平安领域来讲我们这样来定义风险：在信息平安领域来讲我们这样来定义风险：风险就是发生损失事件的概率，风险就是发生损失事件的概率，也可以说是损失发生的不确定性，也可以说是损失发生的不确定性，即信息资产遭受破坏或被非正常利用给组织带来损失的可能即信息资产遭受破坏或被非正常利用给组织带来损失的可能性。性。56五、基于风险的平安要求1.风险管理综述风险管理综述n风险管理风险管理风险管理是指通过风险识别、风险评估与分析、风险处置、

42、风险监控等一系列活动来消除或减少风险的管理过程。风险识别风险识别风险评估与分析风险评估与分析风险处置风险处置风险监控风险监控57五、基于风险的平安要求1.风险管理综述风险管理综述n风险管理风险管理风险管理必须识别、分析风险，风险识别是确定何种风险可能会对组风险管理必须识别、分析风险，风险识别是确定何种风险可能会对组织产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失织产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。的程度。风险管理要着眼于风险控制，组织通常采用积极的措施来控制风险。风险管理要着眼于风险控制，组织通常采用积极的措施来控制风险。通过降低其损失发生的概率

43、，缩小其损失程度来到达控制目的。通过降低其损失发生的概率，缩小其损失程度来到达控制目的。风险管理要学会躲避风险，在既定目标不变的情况下，改变方案的实风险管理要学会躲避风险，在既定目标不变的情况下，改变方案的实施路径，从根本上消除特定的风险因素。施路径，从根本上消除特定的风险因素。58五、基于风险的平安要求1.风险管理综述风险管理综述n风险评估风险评估对信息和信息处理设施面临的威胁、受到的影响、存对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。在的弱点以及威胁发生的可能性的评估。风险评估是确定风险优先级的方法。风险评估是确定风险优先级的方法。大多数风险评估都基于

44、定量风险评估和定性风险评估大多数风险评估都基于定量风险评估和定性风险评估这两种方法或这两种方法的组合。这两种方法或这两种方法的组合。59五、基于风险的平安要求2.风险与平安需求风险与平安需求组织需要根据对信息资产风险评估的结果，结合业务组织需要根据对信息资产风险评估的结果，结合业务需求来确定组织平安需求。需求来确定组织平安需求。平安需求中不仅包括具体信息资产对平安的要求，还平安需求中不仅包括具体信息资产对平安的要求，还应包括软件功能方面的平安需求，以及物理平安、管应包括软件功能方面的平安需求，以及物理平安、管理流程、系统管理等非软件方面的需求。理流程、系统管理等非软件方面的需求。 n风险评估与

45、平安需求风险评估与平安需求60五、基于风险的平安要求2.风险与平安需求风险与平安需求组织根据应用以及关键数据的重要程度，确定所需要采组织根据应用以及关键数据的重要程度，确定所需要采用的平安机制。用的平安机制。 通过平安风险评估明确存在风险的关键的业务资产和业通过平安风险评估明确存在风险的关键的业务资产和业务流程，识别其平安需求和平安现状。务流程，识别其平安需求和平安现状。n风险评估与平安需求风险评估与平安需求61五、基于风险的平安要求2.风险与平安需求风险与平安需求平安风险的可接受水平以及平安需求确实认，需要业平安风险的可接受水平以及平安需求确实认，需要业务人员和管理层来确认，应该将实施控制措

46、施的支出务人员和管理层来确认，应该将实施控制措施的支出与平安故障可能造成的业务损失进行权衡考虑，对平与平安故障可能造成的业务损失进行权衡考虑，对平安建设的方向和目标进行决策。安建设的方向和目标进行决策。 n风险评估与平安需求风险评估与平安需求62六、确定组织的平安需求1.平安需求的协商n协商协商协商是利益关系者共同商量以便取得一致意见。协商是利益关系者共同商量以便取得一致意见。63六、确定组织的平安需求1.平安需求的协商n平安需求的协商平安需求的协商对于信息平安的需求，在符合国家对于信息平安的需求，在符合国家法律、行业规定、以及上级主管部法律、行业规定、以及上级主管部门、组织内部不同机构、以及

47、客户门、组织内部不同机构、以及客户等的需求重点不一样，同时组织建等的需求重点不一样，同时组织建设信息系统，保证信息平安还受投设信息系统，保证信息平安还受投资限制，因此需要对信息平安的需资限制，因此需要对信息平安的需求进行商量，以最终求得各方一致求进行商量，以最终求得各方一致认同的适合组织建设的平安需求。认同的适合组织建设的平安需求。需求平衡投资平衡64六、确定组织的平安需求1.平安需求的协商n整理需求整理需求有优先顺序的有优先顺序的平安需求清单平安需求清单业务的组织平安需求业务的组织平安需求符合性的平安需求符合性的平安需求合同业务要求合同业务要求风险的平安要求风险的平安要求65六、确定组织的平

48、安需求1.平安需求的协商n利益关系者间沟通利益关系者间沟通沟通是为了一个设定的目标，把信息、思想和情感在沟通是为了一个设定的目标，把信息、思想和情感在个人或群体间传递，并且达成共同协议的过程。个人或群体间传递，并且达成共同协议的过程。信息平安需求的沟通，是将将组织业务的组织平安需信息平安需求的沟通，是将将组织业务的组织平安需求、符合性的平安需求、合同业务要求，以及风险的求、符合性的平安需求、合同业务要求，以及风险的平安要求综合处理成有优先顺序的平安需求清单，用平安要求综合处理成有优先顺序的平安需求清单，用这个清单去向各利益关系者传达，收集意见和建议，这个清单去向各利益关系者传达，收集意见和建议，以达成一致意见。以达成一致意见。66六、确定组织的平安需求1.平安需求的协商n与利益关系者沟通的步骤：与利益关系者沟通的步骤：第一步第一步 事前准备事前准备第一步第一步 阐述观点阐述观点第一步第一步 收集信息收集信息第一步第一步 处理异议处理异议第一步第一步 达成一致达成一致67六、确定组织的平安需求1.平安需求的协商n与利益关系者有效沟通的根本技巧与利益关系者有效沟通的根本技巧组织清晰语言