面向电子政务的信息安全管理体系建设课件

面向电子政务的

信息安全管理体系建设上海市信息中心陆国樑2005年5月12日面向电子政务的

信息安全管理体系建设上海市信息中心陆国1一、我国电子政务发展框架一、我国电子政务发展框架21、电子政务网络架构我国电子政务网络架构分为内网、外网、互联网网路安全策略涉密内网与政务外网采用物理隔离政务外网与互联网采用逻辑隔离1、电子政务网络架构我国电子政务网络架构分为32、电子政务应用架构在涉密内网中提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统在政务外网中提供面向政务机关之间的业务协同系统、资源共享系统在互联网政府门户网站提供面向社会公众的信息发布系统和面向企业的业务应用系统2、电子政务应用架构在涉密内网中43、信息资源的开发利用面向政府内部的涉密信息服务严格按流程在授权人范围内进行信息的传递面向政府之间的共享信息服务按授权的访问控制在指定范围内进行信息共享与交换面向社会公众的信息服务提供政务公开、行政审批等方面的信息服务3、信息资源的开发利用面向政府内部的涉密信息服务5二、电子政务信息安全风险分析二、电子政务信息安全风险分析61、电子政务信息安全管理的目标确保对信息“机密性、完整性、可用性”的保护确保政务信息的保密性、保证身份正确识别确保政务流程安全、明确责任和用户权限的控制确保政务业务连续运转、维护政府形象1、电子政务信息安全管理的目标确保对信息“机密性、完整性、可72、电子政务系统常见的安全威胁（1）非人为的安全威胁自然灾害（洪水、地震、台风、火灾等）信息技术的局限性、漏洞和缺陷2、电子政务系统常见的安全威胁（1）非人为的安全威胁自然灾害8（2）人为的安全威胁内部人员的安全威胁：恶意破坏、无意损坏外部人员的安全威胁：主动攻击、被动攻击（2）人为的安全威胁内部人员的安全威胁：恶意破坏、无意损坏9（3）信息泄漏的风险案例通过网络传播（拨号、在可连接互联网的电脑上处理内部非公开信息）通过介质扩散（磁盘、胶片等）无意中传播（信息发布、对外交流）通过电波扩散（电磁泄漏）传输中被窃取（搭线窃听）介质输出扩散（打印）非授权访问（多人使用设备、身份冒用）通过笔记本电脑接入（或私接设备）利用系统漏洞进行攻击（病毒等）（3）信息泄漏的风险案例通过网络传播（拨号、在可连接互联网的103、系统风险分析线路窃听非法访问业务数据导入时窃取病毒人员犯罪（1）机密性威胁3、系统风险分析线路窃听（1）机密性威胁11（2）完整性威胁传输过程中篡改数据病毒业务数据导入时修改数据库数据非法修改采用不可信系统（2）完整性威胁传输过程中篡改数据12（3）可用性威胁阻断通信线路攻击中心数据库DNS无法使用病毒（3）可用性威胁阻断通信线路13三、实施有效的信息安全策略三、实施有效的信息安全策略141、机构管理安全（1）建立安全保密管理组织机构（2）制定安全保密管理制度（3）实施人员安全管理培训与教育1、机构管理安全（1）建立安全保密管理组织机构152、物理环境安全（1）环境安全（2）设备安全（3）介质安全2、物理环境安全（1）环境安全163、信息资产安全（1）身份鉴别（2）访问控制（3）信息传输保密（4）电磁泄露防护（5）安全审计（6）入侵检测（7）划分安全域3、信息资产安全（1）身份鉴别174、系统运行安全（1）病毒的防治（2）信息备份与恢复（3）安全监管系统（4）应急响应系统4、系统运行安全（1）病毒的防治18四、构建有效的信息安全管理体系四、构建有效的信息安全管理体系19按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2：2000标准，我们提出了报国家认可委备案的《信息安全管理体系规范》（2004）按照GB/T19000-2000质量管理体系和ISO20《信息安全管理体系规范》(2004)

十大控制目标（1）信息安全方针（2）组织的信息安全（3）资产分类与控制（4）人事安全（5）设备与环境安全（6）通信和运作管理（7）访问控制（8）系统开发与维护（9）业务连续性管理（10）符合性要求《信息安全管理体系规范》(2004)

十大控制目标（1）信息21构建信息安全管理体系的四大环节P、建立信息安全管理体系D、实施和运行信息安全管理体系C、监督和评审信息安全管理体系A、维护并改进信息安全管理体系构建信息安全管理体系的四大环节P、建立信息安全管理体系221、建立信息安全管理体系（1）确定信息安全管理体系的范围（2）建立信息安全方针（3）明确风险管理的步骤（4）风险识别（5）风险评估（6）识别并评价风险处理的方法（7）选择处理风险的控制目标和控制措施

包括10个控制方面、36项控制目标和127项控制措施（8）适用性声明（9）获得管理层的批准1、建立信息安全管理体系（1）确定信息安全管理体系的范围232、实施和运行信息安全管理体系（1）形成风险处理方案（2）实施风险处理方案（3）实施控制措施（4）进行培训和教育（5）运行控制（6）管理资源（7）检测和应对安全事故2、实施和运行信息安全管理体系（1）形成风险处理方案243、监督和评审信息安全管理体系（1）启动监督程序和控制措施（2）定期进行信息安全管理体系有效性的评审（3）评审可接受风险认可的程度（4）定期进行信息安全管理体系的内部审核（5）记录对管理体系有效性或产生影响的行动和事件3、监督和评审信息安全管理体系（1）启动监督程序和控制措施254、维护并改进信息安全管理体系（1）实施已明确的改进措施（2）利用在安全事故中的经验教训（3）与所有相关方交流结果并取得一致同意（4）确保改进措施达到预期目标4、维护并改进信息安全管理体系（1）实施已明确的改进措施26建立信息安全管理体系文件的四个层次1、方针文件2、程序文件3、作业指导性文件4、记录建立信息安全管理体系文件的四个层次1、方针文件27根据《信息安全管理体系规范》编制的体系文件有第一层文件：《信息安全方针和适用性声明文件》《信息安全管理手册》《风险评估报告》《信息安全策略》根据《信息安全管理体系规范》编制的体系文件有第一层文件：28第二层文件《信息安全管理体系程序文件》《管理制度》《应急预案》根据《信息安全管理体系规范》编制的体系文件有第二层文件根据《信息安全管理体系规范》编制的体系文件有29第三层文件《作业指导书》《检查清单、表格》等根据《信息安全管理体系规范》编制的体系文件有第三层文件根据《信息安全管理体系规范》编制的体系文件有30第四层文件《记录》作为信息安全管理体系运行结果的证据根据《信息安全管理体系规范》产生的文件有第四层文件根据《信息安全管理体系规范》产生的文件有31五、信息安全管理体系的

实施与审核认证五、信息安全管理体系的

实施与审核认证32（1）策划建立信息安全管理体系（2）信息安全管理体系文件获得审核方的评审

涉密信息系统的建设方案须获得国家保密局的评审（3）实施信息安全管理体系的建设

实施建设的涉密信息系统须通过国家保密局的安全保密测评（4）运行信息安全管理体系

通过安全保密测评的涉密信息系统可正式投入使用信息安全管理体系实施与认证过程（1）策划建立信息安全管理体系信息安全管理体系实施与认证过程33（5）监督和评审信息安全管理体系（内审、管理评审）（6）维护和改进信息安全管理体系（7）申请信息安全管理体系认证（8）进行信息安全管理体系的外部审核（9）获得信息安全管理体系认证证书信息安全管理体系实施与认证过程（5）监督和评审信息安全管理体系（内审、管理评审）信息安全管34监督信息安全管理体系的四个节点1、体系监控2、内部审核3、管理评审4、外部审核监督信息安全管理体系的四个节点1、体系监控35改进信息安全管理体系的四种措施1、改进措施2、预防措施3、纠正措施4、风险再评估改进信息安全管理体系的四种措施1、改进措施36六、我们的实践六、我们的实践372004年初，上海市信息中心、上海质量体系审核中心、上海质量教育培训中心三家单位牵头，在参考了《ISO/IEC17799信息安全管理业务规范》的基础上开始进行了《信息安全管理体系规范》编撰与培训、咨询等工作2004年初，上海市信息中心、上海质量体系审核中心、382004年5月中旬形成了《信息安全管理体系规范》（1.0版本）和相应的培训教材2004年7月底完成了《信息安全管理体系规范》（1.1版本）的专家评审2004年我们举办了为期六天共两期的《信息安全管理体系规范审核员培训班》，有近40名学员考试合格获得证书，并得到了国家认证认可监督委员会的认可备案2004年5月中旬形成了《信息安全管理体系规范》（1.0版本39同时，我们选择了一家企业根据《信息安全管理体系规范》建立信息安全管理体系的试点工作上海质量体系审核中心作为《信息安全管理规范》审核单位，获得了审核资质的认可备案今年四月份，上海一著名信息技术股份有限公司经过上海市信息中心的咨询和上海质量体系审核中心的审核，获得了首张《信息安全体系规范（2004）认证证书》同时，我们选择了一家企业根据《信息安全管理体系规范》建立信息40在此，我们希望与大家一起，为加快我国与国际信息安全管理体系接轨，使信息安全管理步入“标准化、规范化”的轨道，共同进行积极的探索，并为最终诞生中国信息安全管理体系规范标准，做出我们的贡献在此，我们希望与大家一起，为加快我国与国际信息安全管41谢谢!

联系地址：上海市华山路１０７６号联系电话：０２１－６２５３７９８９电子邮件：luxm@谢谢!

联系地址：上海市华山42面向电子政务的

信息安全管理体系建设上海市信息中心陆国樑2005年5月12日面向电子政务的

信息安全管理体系建设上海市信息中心陆国43一、我国电子政务发展框架一、我国电子政务发展框架441、电子政务网络架构我国电子政务网络架构分为内网、外网、互联网网路安全策略涉密内网与政务外网采用物理隔离政务外网与互联网采用逻辑隔离1、电子政务网络架构我国电子政务网络架构分为452、电子政务应用架构在涉密内网中提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统在政务外网中提供面向政务机关之间的业务协同系统、资源共享系统在互联网政府门户网站提供面向社会公众的信息发布系统和面向企业的业务应用系统2、电子政务应用架构在涉密内网中463、信息资源的开发利用面向政府内部的涉密信息服务严格按流程在授权人范围内进行信息的传递面向政府之间的共享信息服务按授权的访问控制在指定范围内进行信息共享与交换面向社会公众的信息服务提供政务公开、行政审批等方面的信息服务3、信息资源的开发利用面向政府内部的涉密信息服务47二、电子政务信息安全风险分析二、电子政务信息安全风险分析481、电子政务信息安全管理的目标确保对信息“机密性、完整性、可用性”的保护确保政务信息的保密性、保证身份正确识别确保政务流程安全、明确责任和用户权限的控制确保政务业务连续运转、维护政府形象1、电子政务信息安全管理的目标确保对信息“机密性、完整性、可492、电子政务系统常见的安全威胁（1）非人为的安全威胁自然灾害（洪水、地震、台风、火灾等）信息技术的局限性、漏洞和缺陷2、电子政务系统常见的安全威胁（1）非人为的安全威胁自然灾害50（2）人为的安全威胁内部人员的安全威胁：恶意破坏、无意损坏外部人员的安全威胁：主动攻击、被动攻击（2）人为的安全威胁内部人员的安全威胁：恶意破坏、无意损坏51（3）信息泄漏的风险案例通过网络传播（拨号、在可连接互联网的电脑上处理内部非公开信息）通过介质扩散（磁盘、胶片等）无意中传播（信息发布、对外交流）通过电波扩散（电磁泄漏）传输中被窃取（搭线窃听）介质输出扩散（打印）非授权访问（多人使用设备、身份冒用）通过笔记本电脑接入（或私接设备）利用系统漏洞进行攻击（病毒等）（3）信息泄漏的风险案例通过网络传播（拨号、在可连接互联网的523、系统风险分析线路窃听非法访问业务数据导入时窃取病毒人员犯罪（1）机密性威胁3、系统风险分析线路窃听（1）机密性威胁53（2）完整性威胁传输过程中篡改数据病毒业务数据导入时修改数据库数据非法修改采用不可信系统（2）完整性威胁传输过程中篡改数据54（3）可用性威胁阻断通信线路攻击中心数据库DNS无法使用病毒（3）可用性威胁阻断通信线路55三、实施有效的信息安全策略三、实施有效的信息安全策略561、机构管理安全（1）建立安全保密管理组织机构（2）制定安全保密管理制度（3）实施人员安全管理培训与教育1、机构管理安全（1）建立安全保密管理组织机构572、物理环境安全（1）环境安全（2）设备安全（3）介质安全2、物理环境安全（1）环境安全583、信息资产安全（1）身份鉴别（2）访问控制（3）信息传输保密（4）电磁泄露防护（5）安全审计（6）入侵检测（7）划分安全域3、信息资产安全（1）身份鉴别594、系统运行安全（1）病毒的防治（2）信息备份与恢复（3）安全监管系统（4）应急响应系统4、系统运行安全（1）病毒的防治60四、构建有效的信息安全管理体系四、构建有效的信息安全管理体系61按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2：2000标准，我们提出了报国家认可委备案的《信息安全管理体系规范》（2004）按照GB/T19000-2000质量管理体系和ISO62《信息安全管理体系规范》(2004)

十大控制目标（1）信息安全方针（2）组织的信息安全（3）资产分类与控制（4）人事安全（5）设备与环境安全（6）通信和运作管理（7）访问控制（8）系统开发与维护（9）业务连续性管理（10）符合性要求《信息安全管理体系规范》(2004)

十大控制目标（1）信息63构建信息安全管理体系的四大环节P、建立信息安全管理体系D、实施和运行信息安全管理体系C、监督和评审信息安全管理体系A、维护并改进信息安全管理体系构建信息安全管理体系的四大环节P、建立信息安全管理体系641、建立信息安全管理体系（1）确定信息安全管理体系的范围（2）建立信息安全方针（3）明确风险管理的步骤（4）风险识别（5）风险评估（6）识别并评价风险处理的方法（7）选择处理风险的控制目标和控制措施

包括10个控制方面、36项控制目标和127项控制措施（8）适用性声明（9）获得管理层的批准1、建立信息安全管理体系（1）确定信息安全管理体系的范围652、实施和运行信息安全管理体系（1）形成风险处理方案（2）实施风险处理方案（3）实施控制措施（4）进行培训和教育（5）运行控制（6）管理资源（7）检测和应对安全事故2、实施和运行信息安全管理体系（1）形成风险处理方案663、监督和评审信息安全管理体系（1）启动监督程序和控制措施（2）定期进行信息安全管理体系有效性的评审（3）评审可接受风险认可的程度（4）定期进行信息安全管理体系的内部审核（5）记录对管理体系有效性或产生影响的行动和事件3、监督和评审信息安全管理体系（1）启动监督程序和控制措施674、维护并改进信息安全管理体系（1）实施已明确的改进措施（2）利用在安全事故中的经验教训（3）与所有相关方交流结果并取得一致同意（4）确保改进措施达到预期目标4、维护并改进信息安全管理体系（1）实施已明确的改进措施68建立信息安全管理体系文件的四个层次1、方针文件2、程序文件3、作业指导性文件4、记录建立信息安全管理体系文件的四个层次1、方针文件69根据《信息安全管理体系规范》编制的体系文件有第一层文件：《信息安全方针和适用性声明文件》《信息安全管理手册》《风险评估报告》《信息安全策略》根据《信息安全管理体系规范》编制的体系文件有第一层文件：70第二层文件《信息安全管理体系程序文件》《管理制度》《应急预案》根据《信息安全管理体系规范》编制的体系文件有第二层文件根据《信息安全管理体系规范》编制的体系文件有71第三层文件《作业指导书》《检查清单、表格》等根据《信息安全管理体系规范》编制的体系文件有第三层文件根据《信息安全管理体系规范》编制的体系文件有72第四层文件《记录》作为信息安全管理体系运行结果的证据根据《信息安全管理体系规范》产生的文件有第四层文件根据《信息安全管理体系规范》产生的文件有73五、信息安全管理体系的

实施与审核认证五、信息安全管理体系的

实施与审核认证74（1）策划建立信息安全管理体系（2）信息安全管理体系文件获得审核方的评审

涉密信息系统的建设方案须获得国家保密局的评审（3）实施信息安全管理体系的建设

实施建设的涉密信息系统须通过国家保密局的安全保密测评（4）运行信息安全管理体系

通过安全保密测评的涉密信息系统可正式投入使用信息安全管理体系实施与认证过程（1）策划建立信息安全管理体系信息安全管理体系实施与认证过程75（5）监督和评审信息安全管理体系（内审、管理评审）（6）维护和改进信息安全管理体系（7）申请信息安全管理体系认证（8）进行信息安全管理体系的外部审核（9）获得信息安全管理体系认证证书信息安全管理体系实施与认证过程（5）监督和评审信息安全管理体系（内审、管理评审）信息安全管76监督信息安全管理体系的四个节点1、体系监控2、内部审核3、管理评审4、外部审核监督信息安全管理体系