信息安全管理体系教材

信息安全管理体系培训大纲一、信息安全面临的风险二、保护信息安全的方法三、完善信息安全治理结构四、审视业务进行风险评估五、进行信息安全控制规划六、建立信息安全管理体系七、建立完备的“技术防火墙”八、建立有效的“人力防火墙”九、对信息安全的检查与审计信息系统固有的脆弱性信息本身易传播、易毁损、易伪造信息技术平台（如硬件、网络、系统）的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖，信息的风险加大信息的高附加值会引发盗窃、滥用等威胁一、信息安全面临的风险企业对信息的依赖程度：美国明尼苏达大学Bush-Kugel的研究报告指出，企业在没有信息资料可用的情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在5年后能够继续存活。层出不穷网络安全事件全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于未修补或防范软件漏洞所导致。据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。Baidu灰鸽子吧商业间谍无孔不入在走向现代市场经济的过程中，由于利益多元化格局的形成和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速增加。根据美国对本国1500家公司的调查，有1300家公司承认，它们对国外的竞争对手进行了间谍活动。据估计，美国企业每年投资在经济、科技情报方面的费用高达300亿美元。许多大公司设立专门的竞争情报部门，建立企业竞争情报系统，进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化，而且具有对环境的“早期预警”功能。向对手的商业机密说“不”商业机密泄露使企业遭受损失2004年的一项调查显示，名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元，平均每家公司每年发生2.45次泄密事件，损失超过50万美元。

景泰蓝、宣纸、青蒿素、维生素C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失，造成了无可挽回的影响。思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心的泄密事件信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包括：时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000－$530,000我国当前信息安全普遍存在的问题忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立；厂商主导的技术型解决方案为主，用户跟着厂商的步子走；安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；重视安全技术，轻视安全管理，信息安全可靠性没有保证；信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；信息安全人员变成“救火队员”

…

如何实现信息安全？信息安全＝反病毒软件＋防火墙＋入侵检测系统？管理制度？人的因素？环境因素？Ernst&Young及国内安全机构的分析：国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划66%的组织认为信息系统没有遵守必要的信息安全规则56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。二、保护信息安全的方法信息安全体系模型的演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS人们逐渐认识到安全管理的重要性，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。建立信信息安安全管管理体体系对信息息安全全建立立系统统工程程的观观念用制度度来保保证组组织的的信息息安全全更有有效信息安安全遵遵循木木桶原原理对信息息系统统的各各个环环节进进行统统一的的综合合考虑虑、规规划和和构架架并要时时时兼兼顾组组织内内不断断发生生的变变化，，任何何环节节上的的安全全缺陷陷都会会对系系统构构成威威胁。。需要对对信息息安全全进行行有效效管理理BHTP－一种种实施施ISMS的有效效方法法业务与与策略略(BusinessandPolicy)人员与与管理理(Humanandmanagement)技术与与产品品(Technologyandproducts)流程与与体系系(ProcessandFramework)治理与与控制制环境境BHTP模型的的关键键要素素业务与与策略略根据业业务需需要在在组织织中建建立信信息安安全策策略，，以指指导对对信息息资产产进行行管理理、保保护和和分配配。确确定并并实施施信息息安全全策略略是组组织的的一项项重要要使命命，也也是组组织进进行有有效安安全管管理的的基础础和依依据。。“保护业业务，，为业业务创创造价价值”应当是是一切切安全全工作作的出出发点点与归归宿，，最有有效的的方式式不是是从现现有的的工作作方式式开始始应用用信息息安全全技术术，而而是在在针对对工作作任务务与工工作流流程重重新设设计信信息系系统时时，发发挥信信息安安全技技术手手段支支持新新的工工作方方式的的能力力。人员与与管理理人是信信息安安全最最活跃跃的因因素，，人的的行为为是信信息安安全保保障最最主要要的方方面。。从国家家的角角度考考虑有有法律律、法法规、、政策策问题题；从从组织织角度度考虑虑有安安全方方针政政策程程序、、安全全管理理、安安全教教育与与培训训、组组织文文化、、应急急计划划和业业务持持续性性管理理等问问题；；从个个人角角度来来看有有职业业要求求、个个人隐隐私、、行为为学、、心理理学等等问题题。技术与与产品品可以综综合采采用商商用密密码、、防火火墙、、防病病毒、、身份份识别别、网网络隔隔离、、可信信服务务、安安全服服务、、备份份恢复复、PKI服务、、取证证、网网络入入侵陷陷阱、、主动动反击击等多多种技技术与与产品品来保保护信信息系系统安安全考虑安安全的的成本本与效效益，，采用用“适度防防范”(Rightsizing)的原则则流程与与体系系建立良良好的的IT治理机机制是是实施施信息息安全全的基基础与与重要要保证证。在风险险分析析的基基本上上引入入恰当当控制制，建建立PDCA的安全全管理理体系系，从从而保保证组组织赖赖以生生存的的信息息资产产的安安全性性、完完整性性和可可用性性安全体体系统统还应应当随随着组组织环环境的的变化化、业业务发发展和和信息息技术术提高高而不不断改改进，，不能能一劳劳永逸逸，一一成不不变，，需要要建立立完整整的控控制体体系来来保证证安全全的持持续完完善。。BHTP的方法法论决策层层对信信息安安全看看法建立跨跨部门门的信信息安安全委委员会会良好的的治理理结构构要求求主体体单位位的IT决策必必须由由最了了解组组织整整体目目标与与价值值的权权威部部门来来决定定。三、完完善善信息息安全全治理理结构构信息安安全组组织结结构示示例安全工工作小小组流流程示示例审视业业务，，确定定IT原则和和信息息安全全方针针在进行行信息息安全全规划划与实实施安安全控控制措措施前前，首首先要要充分分了解解组织织的业业务目目标和和IT目标，，建立立IT原则，，这是是实施施建立立有效效的信信息安安全保保障体体系的的前提提。组织的的业务务目标标和IT原则将将直接接影响响到安安全需需求，，只有有从业业务发发展的的需要要出发发，确确定适适宜的的IT原则，，才能能指导导信息息安全全方针针的制制定。。信息安安全方方针就就是组组织的的信息息安全全委员员会或或管理理当局局制定定的一一个高高层文文件，，用于于指导导组织织如何何对资资产，，包括括敏感感性信信息进进行管管理、、保护护和分分配的的规则则和指指示。在安全全方针针的指指导下下，通通过了了解组组织业业务所所处的的环境境，对对IT基础设设施及及应用用系统统可能能存在在的薄薄弱点点进行行风险险评估估，制制定出出适宜宜的安安全控控制措措施、、安全全策略略程序序及安安全投投资计计划。。IT原则示示例信息安安全方方针示示例四、确确定定IT原则与与安全全方针针五、进进行行风险险评估估风险评评估的的常用用方法法目前国国内ISMS风险评评估的的方法法主要要参照照ISO13335的有关关定义义及国国信办办9号文件件《信息安安全风风险评评估指指南》，这些些标准准把重重点放放在信信息资资产上上。。缺点：：风险险评估估人员员一般般最容容易找找到的的资产产无非非就是是硬件件类、、软件件类的的资产产，而而对安安全来来说至至关重重要的的IT治理、、组织织政策策、人人员管管理、、职责责分配配、业业务流流程、、教育育培训训等问问题，，由于于不能能方便便地定定义为为信息息资产产，而而往往往被视视而不不见。。因此，，风险险评估估经常常出现现“捡捡了芝芝麻、、丢了了西瓜瓜”，，“只只见树树木，，不见见森林林”的的情况况。完备的的风险险评估估方法法信息安安全涉涉及的的内容容决不不仅仅仅是信信息安安全、、技术术安全全的问问题，，它还还会涉涉及到到治理理机制制、业业务流流程、、人员员管理理、企企业文文化等等内容容。通过““现状状调查查”获获得对对组织织信息息安全全现状状和控控制措措施的的基本本了解解；通通过““基线线风险险评估估”了了解组组织与与具体体的信信息安安全标标准的的差距距，得得到粗粗粒度度的安安全评评价。。通过过“资资产风风险评评估””和““流程程风险险评估估”进进行详详细风风险评评估，，根据据三方方面的的评估估得到到最终终的风风险评评估报报告。。现状调调查的的主要要内容容文档收收集与与分析析组织的的基本本信息息、组组织结结构图图组织人人员名名单、、机构构设置置、岗岗位职职责说说明书书业务特特征或或服务务介绍绍与信息息安全全管理理相关关的政政策、、制度度和规规范现场访访谈安排与与相关关人员员的面面谈对员工工工作作现场场的观观察加强项项目组组对企企业文文化的的感知知访谈提提纲：：管理层层、部门经经理、员工，某员工工的访访问示示例技术评评估工具扫扫描、渗透测测试123人工分分析系统安安全配配置完完全检检测、、网络络服务务安全全配置置完全全检测测包括用用户安安全、、操作作系统统安全全、网络服服务安安全、、系统统程序序安全全人工评评估记记录示示例技术评评估综综述问卷调调研安全日日常运运维现现状调调研问问卷：：针对对组织织中实实际的的应用用、系系统、、网络络状况况，从从日常常的管管理、、维护护、系系统审审计、、权限限管理理等方方面全全面了了解组组织在在信息息系统统安全全管理理和维维护上上的现现实状状况。。从安全全日常常运维维角度度出发发，更更贴近近实际际运维维环境境。安全日日常运运维现现状调调研问问卷《信息安安全现现状分分析报报告》基线风风险评评估所谓基基线风风险评评估，，就是是确定定一个个信息息安全全的基基本底底线，，信息息安全全不仅仅仅是是资产产的安安全，，应当当从组组织、、人员员、物物理、、逻辑辑、开开发、、业务务持续续等各各个方方面来来确定定一个个基本本的要要求，，在此此基础础之上上，再再选择择信息息资产产进行行详细细风险险分析析，这这样才才能在在兼顾顾信息息安全全风险险的方方方面面面的的同时时，对对重点点信息息安全全风险险进行行管理理与控控制。。ISO27001确立了了组织织机构构内启启动、、实施施、维维护和和改进进信息息安全全管理理的指指导方方针和和通用用原则则，以以规范范组织织机构构信息息安全全管理理建设设的内内容，，因此此，风风险评评估时时，可可以把把ISO27001作为安全基基线，与组组织当前的的信息安全全现状进行行比对，发发现组织存存在的差距距，这样一一方面操作作较方便，，更重要的的是不会有有遗漏ISO27001调查问卷示示例《信息安全管管理体系风风险评估与与处置建议议报告》信息资产风风险评估针对重要的的信息资产产进行安全全影响、威威胁、漏洞洞及可能性性分析，从从而估计对对业务产生生的影响，，最终可以以选择适当当的方法对对风险进行行有效管理理。《安全风险险评估与处处置建议报报告》安全风险评评估表示例资产定义及及估值确定现有控控制威胁评估确定风险水水平风险评估过过程脆弱性评估估安全控制措措施的识别别与选择降低风险风险管理过过程接受风险电子政务风风险评估案案例IT流程风险评评估信息安全不不仅仅要看看IT资产本身是是否安全可可靠，而且且还应当在在其所运行行的环境和和经历的流流程中保证证安全。没有可靠的的IT流程的保证证，静态的的安全是不不可靠的，，而且IT的风险也不不仅仅是信信息安全的的问题，IT的效率与效效果也同样样是需要考考虑的问题题，因此评评估IT流程的绩效效特性并加加以完善是是风险控制制中必不可可少的内容容。《IT相关业务流流程风险评评估与处置置建议报告告》确定风险控控制策略风险控制策策略举例六、信息安安全控制规规划选择安全控控制措施风险控制措措施防止商业活活动中断和和灾难事故故的影响。。业务持续性性管理信息安全事事件管理保证系统开开发与维护护的安全系统开发与与维护控制对业务务信息的访访问。访问控制保证通讯和和操作设备备的正确和和安全维护护。通信与运营营管理防止对关于于IT服务的未经经许可的介介入，损伤伤和干扰服服务。物理与环境境安全减少人为造造成的风险险。人员安全维护组织资资产的适当当保护系统统。资产管理建立组织内内的管理体体系以便安安全管理。。安全组织为信息安全全提供管理理方向和支支持。安全方针目的ISO27001十一个域避免任何违违反法令、、法规、合合同约定及及其他安全全要求的行行为。符合性确保保与与信信息息系系统统有有关关的的安安全全事事件件和和弱弱点点的的沟沟通通能能够够及及时时采采取取纠纠正正措措施施进行行安安全全控控制制规规划划安全全规规划划针针对对组组织织面面临临的的主主要要安安全全风风险险，，在在安安全全管管理理控控制制框框架架和和安安全全技技术术控控制制框框架架方方面面进进行行较较为为详详尽尽的的规规划划。。安全全规规划划对对组组织织未未来来几几年年的的网网络络架架构构、、威威胁胁防防护护、、策策略略、、组组织织、、运运行行等等方方面面的的安安全全，，进进行行设设计计、、改改进进和和加加强强，，是是进进行行安安全全建建设设的的总总体体指指导导。。序号项目内容紧迫性可实施性难易程度效果分析综合分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14……安全全规规划划方方法法《信息息安安全全实实施施总总体体规规划划报报告告》《信息息安安全全实实施施总总体体规规划划图图表表》安全全预预算算计计划划所以以安安全全预预算算计计划划是是一一项项具具有有挑挑战战性性的的工工作作，，要要采采用用““适适度度防防范范””的的原原则则，，把把有有限限的的资资金金用用在在刀刀刃刃上上。。一般般来来说说，，没没有有特特别别的的需需要要，，为为信信息息安安全全的的投投入入不不应应超超过过信信息息化化建建设设总总投投资资额额的的20%，过过高高的的安安全全成成本本将将使使安安全全失失去去意意义义。。投资资回回报报计计划划信息息安安全全投投资资回回报报计计划划就就是是要要研研究究信信息息安安全全的的成成本本效效益益，，其其成成本本效效益益组组成成如如下下：：从系系统统生生命命周周期期看看信信息息安安全全的的成成本本：：获获取取成成本本和和运运行行成成本本从安安全全防防护护手手段段看看信信息息安安全全的的成成本本：：技技术术成成本本和和管管理理成成本本信息息安安全全的的价价值值效效益益：：减减少少信信息息安安全全事事故故的的经经济济损损失失信息息安安全全的的非非价价值值效效益益：：增增加加声声誉誉、、提提升升品品牌牌价价值值信息息安安全全体体系系模模型型的的演演变变ISO7498-2(GB/T9387.2－1995)PDR模型型PDRR安全全模模型型(P2DR2)IATF信息息保保障障技技术术框框架架信息息安安全全管管理理体体系系ISMS七、、建建立立信信息息安安全全管管理理体体系系人们们逐逐渐渐认认识识到到安安全全管管理理的的重重要要性性，，作作为为信信息息安安全全建建设设蓝蓝图图的的安安全全体体系系就就应应该该顾顾及及安安全全管管理理的的内内容容。。信息息安安全全管管理理体体系系的的定定义义信息息安安全全管管理理体体系系（（ISMS：InformationSecurityManagementSystem）是是组组织织在在整整体体或或特特定定范范围围内内建建立立的的信信息息安安全全方方针针和和目目标标，，以以及及完完成成这这些些目目标标所所用用的的方方法法和和体体系系。。ISMS相对对应应的的BS7799标准准在在国国际际上上得得到到了了广广泛泛的的应应用用，，目目前前引引标标准准已已被被采采纳纳为为国国际际标标准准ISO17799:2005ISO27001:2005。在ISO17799中信信息息安安全全主主要要指指信信息息的的机机密密性性(Confidentiality)、完完整整性性(Integrity)和可可用用性性(Availability)的保保持持。。用木木桶桶原原理理说说明明ISMSISMS“木桶桶”由哪哪些些“板”组成成？？类似似于于质质量量管管理理体体系系的的ISO9000标准准，，ISMS也有有相相应应的的国国际际标标准准ISO27001，它它确确定定了了ISMS的11个安安全全领领域域及及133个相相应应的的控控制制措措施施。。ISO17799及ISO27001的内内容容ISO17799:2005信息息安安全全管管理理实实施施规规范范，，主主要要是是给给负负责责开开发发的的人人员员作作为为参参考考文文档档使使用用，，从从而而在在组组织织中中实实施施和和维维护护信信息息安安全全；；ISO27001:2005信息息安安全全管管理理体体系系规规范范，，详详细细说说明明了了建建立立、、实实施施和和维维护护信信息息安安全全管管理理系系统统的的要要求求，，指指出出实实施施组组织织需需要要通通过过风风险险评评估估来来鉴鉴定定最最适适宜宜的的控控制制对对象象，，并并对对自自己己的的需需求求采采取取适适当当的的控控制制。。获得得BS7799和ISO27001认证证的的组组织织ISO17799信息息安安全全BS15000IT服务务管管理理职业业安安全全健健康康管管理理体体系系指指导导意意见见OHSAS18000财务务管管理理体体系系BS8600客户户满满意意管理理体体系系Finance财务务管管理理质量量管管理理业务务管管理理IT信息息管管理理人力力资资源源环境境管管理理ISO100015培训训体体系系人力力资资源源管管理理体体系系ISO9000市场场/客客户户满满意管管理理ISO14001综合合管管理理体体系系职业业安全全战略略和和投投资资管管理理战略略和和投投资资管管理理体体系系行业业强强制制性性管管理理体体系系及及产产品品认认证证如如QS9000，ISMC，党务务管管理理ISO17799与其其他他标标准准对对比比ISO27001与其其他他标标准准的的融融合合ISMS体系系设设计计在组组织织中中要要实实现现信信息息安安全全，，比比较较切切实实可可行行的的第第一一步步的的是是按按照照PDCA的原原则则建建立立信信息息安安全全管管理理体体系系。。如果果没没有有一一个个完完整整的的管管理理体体系系和和有有效效的的过过程程来来保保证证组组织织中中的的人人员员能能理理解解他他们们的的安安全全责责任任与与义义务务，，并并建建立立基基本本的的有有效效的的控控制制措措施施，，那那么么再再好好的的安安全全技技术术也也不不能能保保证证组组织织的的信信息息安安全全。。ISMS建设设过过程程：：建立立ISMS首先先要要建建立立一一个个合合理理的的信信息息安安全全管管理理框框架架，，要要从从整整体体和和全全局局的的视视角角，，从从信信息息系系统统的的所所有有层层面面进进行行整整体体安安全全建建设设从信信息息系系统统本本身身出出发发，，通通过过建建立立资资产产清清单单，，进进行行风风险险分分析析和和需需求求分分析析和和选选择择安安全全控控制制等等步步骤骤，，建建立立安安全全体体系系并并提提出出安安全全解解决决方方案案。。体系系运运行行体系系审审核核管理理评评审审体系系认认证证第七七步步第八八步步第九九步步第十十步步运行行说说明明内审审报报告告外审审报报告告认证证证证书书ISMS体系系文文件件编编写写对ISMS体系系的的设设计计首首先先是是以以规范范化化的的ISMS体系系文文件件的的形形式式表表现现出出来来。。把有有关关ISMS的重重要要内内容容用用文文件件的的形形式式表表述述出出来来，，就就形形成成了了组组织织的的ISMS体系系文文件件。。ISMS体系系文文件件是是实实施施信信息息安安全全管管理理所所必必需需的的结结构构、、规规则则、、过过程程和和资资源源等等因因素素所所组组成成的的有有机机总总体体，，有有效效的的信信息息安安全全管管理理需需要要明明确确管管理理的的具具体体目目标标与与范范围围、、流流程程与与活活动动、、人人员员与与职职责责、、资资源源与与条条件件等等内内容容ISMS体系系文文件件的的作作用用保护护信信息息安安全全的的指指南南对信信息息安安全全进进行行审审核核的的依依据据安全全管管理理水水平平不不断断改改进进的的保保障障促进进安安全全培培训训工工作作的的开开展展ISMS体系系文文档档的的组组成成四级级文文件件三级文文件二级文文件一级方针、、策略略文件件ISMS体系文文件规范、、程序序作业指指导书书、记记录、、表单单ISMS的正式式运行行ISMS体系文文件编编制完完成后后，组组织应应按照照文件件的控控制要要求进进行审审核与与批准准并发发布实实施，，至此此，信信息安安全管管理体体系将将进入入运行行阶段段在试运运行的的基础础上，，总结结经验验，进进行认认真的的部署署，选选择恰恰当的的时机机进行行ISMS体系的的正式式运行行。正式运运行前前，需需要领领导层层进行行动员员，并并进行行全员员培训训，签签定相相关协协议，，方针针策略略、规规章制制度正正式起起用。。只有保保证ISMS持续运运行，，才能能使ISMS的制度度真正正落到到实处处，使使组织织的安安全状状况得得到改改观。。ISMS体系建建设案案例“技术术防火火墙””的总总体要要求技术结结构方方面：完备备的安安全技技术防防御系系统应应该具具备评评估，，保护护，检检测，，反应应和恢恢复的的五种种技术术能力力。实实现ISO7498-2所定义义的鉴鉴别，，访问问控制制，数数据完完整性性，数数据保保密性性，抗抗抵赖赖五类类安全全功能能。技术产产品方方面：综合合利用用商用用密码码、防防火墙墙、防防病毒毒、身身份识识别、、网络络隔离离、可可信服服务、、安全全服务务、备备份恢恢复、、PKI服务、、取证证、网网络入入侵陷陷阱、、主动动反击击等多多种技技术与与产品品来保保证企企业的的信息息系统统的机机密性性、完完整性性和可可靠性性。集中管管理方方面：实现现集成成化安安全管管理和和安全全信息息共享享机制制，以以集中中管理理安全全控制制、安安全策策略、、安全全配置置、安安全事事件审审计、、安全全事故故应急急响应应，可可管理理的安安全才才是真真正意意义上上的安安全。。灾难恢恢复与与业务务持续续性方方面：对于于突发发性的的重大大灾难难，日日常安安全控控制措措施不不再起起作用用，此此时要要采取取适当当和有有效的的措施施来减减轻相相关威威胁实实际发发生时时所带带来的的破坏坏后果果，这这是组组织信信息安安全的的最后后一道道防线线。八、建建立“技术防防火墙墙”“技术术防火火墙””的实实现框框架信息安安全框框架可可通过过基础础技术术系统统、安安全运运维管管理系系统、、应用用支撑撑系统统来实实现，，其最最终目目的是是保证证应用用系统统和数数据的的安全全。基础技技术系系统安全防防护系系统应用支支撑系系统安全运维管理系统基础技技术系系统纵深防防御架架构可信网网和不不可信信网要要物理理层隔隔断，，网络络逻辑辑连接接要割割断，，应用用数据据要净净化，，不可可信网网络上上的计计算机机不能能直接接到达达可信信网络络。使用““应用用分层层、服服务分分区、、安全全分级级”的的思路路，指指导网网络结结构化化建设设，根根据应应用类类型、、物理理位置置、逻逻辑位位置等等的不不同，，划分分不同同的网网络安安全区区域和和边界界。IATF安全域域安全基基础设设施一个为为整个个安全全体系系提供供安全全服务务的基基础性性平台台，为为应用用系统统和安安全支支撑平平台提提供包包括数数据完完整性性、真真实性性、可可用性性、不不可抵抵赖性性和机机密性性在内内的安安全服服务。。包括括：数字证证书认认证体体系（（CA/PKI）密钥管管理基基础设设施（（KMI）授权管管理基基础设设施（（AA/PMI）灾难恢恢复及及业务务连续续性基基础设设施（（DRI/BCP）CARA证书认认证中中心注册授授权机机构Internet或专网网申请证证书应用系系统用户终终端使用证证书访问鉴别证书鉴鉴别与与访问控控制系系统LDAP数字证证书证书查查询服服务利用PKI数字证证书进进行访访问控控制用户CA系统AA系统数据库库服务访问他是谁谁？有什么么权限限？认证系系统授权系系统用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书PKI与PMI的应用用：安安全认认证与与授权权安全防防护系系统网络安安全控控制采采用入入侵检检测、、漏洞洞扫描描、病病毒防防治、、防火火墙、、网络络隔离离、安安全虚虚拟专专网（（VPN）等成成熟技技术，，利用用物理理环境境保护护、边边界保保护、、系统统加固固、节节点数数据保保护、、数据据传输输保护护等手手段，，通过过对网网络的的安全全防护护的统统一设设计和和统一一配置置，实实现全全系统统统一一、高高效、、可靠靠的网网络安安全防防护。。省级局域网上级级接接口口下级级接接口口横向接口互联网接口加密密机机：：保保护护离离开开局局域域网网的的信信息息安安全全，，同同时时防防止止非非法法接接入入。。防火火墙墙：：防防止止来来自自总总部部内内部部的的攻攻击击。。防火火墙墙：：防防止止来来自自外外部部的的攻攻击击。。防火火墙墙：：即即防防止止来来自自外外部部的的攻攻击击，，也也要要防防止止来来自自地地市市局局的的内内部部攻攻击击。。入侵侵检检测测：：发发现现非非法法入入侵侵行行为为。。防病病毒毒网网关关：：防防止止外外部部病病毒毒入入侵侵。。防非非法法外外联联：：堵堵住住非非法法网网络络接接口口。。系统统加加固固：：设设置置运运行行环环境境的的最最后后一一道道防防线线。。（（网网络络及及主主机机操操作作系系统统、、数数据据库库、、应应用用平平台台的的加加固固））安全边界网络络行行为为审审计计：：加加强强网网络络安安全全管管理理，，追追查查安安全全事事件件。。构造造网网络络安安全全边边界界入侵侵检检测测组织织中中心心备份份中中心心二级级部部门门三级级部部门门四级级部部门门线路路密密码码机机防火火墙墙防病病毒毒网网关关防非非法法外外联联网络络行行为为审审计计操作作系系统统加加固固高安安全全区区域域安全全防防护护系系统统的的层层次次终端端安安全全控控制制由于于普普通通用用户户缺缺乏乏应应有有的的网网络络安安全全常常识识，，通通过过浏浏览览隐隐藏藏恶恶意意代代码码的的网网站站，，下下载载有有木木马马的的软软件件到到内内部部网网运运行行，，打打开开邮邮件件中中不不明明来来历历的的附附件件等等给给组组织织的的内内部部网网络络带带来来的的极极大大的的危危害害，，终终端端用用户户触触发发产产生生的的安安全全事事件件逐逐渐渐成成为为企企业业IT安全全问问题题的的主主要要原原因因。。应用用支支撑撑系系统统应用用支支撑撑系系统统构构建建在在基基础础技技术术系系统统的的基基础础上上，，利利用用安安全全基基础础设设施施提提供供的的基基于于PKI/PMI/KMI技术术的的安安全全服服务务；；采用用安安全全中中间间件件及及一一站站式式服服务务理理论论和和技技术术，，实实现现包包括括安安全全门门户户、、安安全全认认证证和和访访问问控控制制、、数数据据安安全全传传输输、、数数据据保保密密、、完完整整性性保保护护、、真真实实性性保保护护等等应应用用安安全全功功能能和和服服务务，，支支持持面面向向组组织织和和各各类类专专网网和和互互连连网网的的各各类类安安全全应应用用，，是是安安全全应应用用系系统统所所依依托托的的主主要要安安全全平平台台。。应用用系系统统常常见见安安全全方方案案业务务系系统统本本身身必必须须能能够够准准确确地地识识别别使使用用者者的的真真实实身身份份，，防防止止与与业业务务无无关关的的人人员员非非法法使使用用系系统统。。解决方案案:使用统一一的身份份认证证证书业务系统统本身必必须能够够对自己己的资源源进行控控制，能能够动动态地分分配权限限，控制制使用者者的操作作行为，，防止越越岗位操操作或越越权限操操作。解决方案案:基于角色色的访问问控制业务系统统本身必必须能够够对数据据或文件件进行保保护，防防止由于于数据的的安全得得不到保保证而失失去业务务系统本本身的可可用性。。解决方案案:基于密码码业务系统统本身必必须能够够对操作作者行为为进行跟跟踪、记记录、统统计和审审计，及及时发现现工作中中出现的的问题，，使系统统可管理理，事件件可追查查。解决方案案:日志与安安全事件件审计在电子商商务或电电子政务务环境下下，需要要利用身身份证书书对主要要核心业业务与交交易的凭凭证进行行数字签签名，以以保证重重要对已已完成的的业务与与交易的的无否定定性。解决方案案:基于数字字签名安全运维维系统安全运维维管理系系统对整整个安全全系统起起管理、、监控、、调度和和应急报报警等作作用，负负责对全全网络安安全防护护设备进进行管理理，为各各个应用用系统提提供安全全管理接接口，对对需要特特别关注注的应用用系统进进行应用用审计。。安全运维维管理系系统通过过建立安安全运维维管理中中心（SOC）对组织织的安全全技术与与流程进进行集中中式的管管理。什么是人人力防火火墙在信息安安全的所所有相关关因素中中，人是是最活跃跃的因素素，人的的行为是是信息安安全保障障最主要要的方面面。组织织相关人人员特别别是内部部员工既既可以是是对信息息系统的的最大潜潜在威胁胁，也可可以是最最可靠的的安全防防线。我我们把信信息安全全中对人人的有效效管理称称为“人人力防火火墙”。。通过建立立“人力力防火墙墙”，不不仅建立立起一套套有效的的管理体体系，而而且还能能形成““信息安安全，人人人有责责”的企企业文化化氛围，，从而使使员工成成为企业业信息安安全的一一道“最最可靠防防线”，，实现组组织信息息系统的的长治久久安。八、建立立“人力防火火墙”建立人力力防火墙墙的过程程得到组织织最高管管理层的的支持得到高层层管理人人员的认认同和承承诺有两两个作用用一是相相应的安安全方针针政策、、控制措措施可以以在组织织的上上上下下得得到有效效的贯彻彻；二是可以以得到有有效的资资源保证证，比如如实施有有效安全全过程的的必要的的资金与与人力资资源的支支持，及及跨部门门之间的的协调问问题都必必须由高高层管理理人员来来推动。。建立信息息安全组组织，明明确角色色与责任任安全角色色与责任任的不明明确是实实施信息息安全过过程中的的最大障障碍，建建立安全全组织与与落实责责任是实实施信息息安全管管理的第第一步。。信息安全全指导委委员会信息安全全主管为为核心的的、专业业的信息息安全管管理的队队伍把相应的的安全责责任落实实到每一一个员工工身上员工ISMS职责表ISMS文件与工工作人员员矩阵信息安全全管理员员职责矩矩阵、工作流程程制定计划划行动计划划主要有有：信息安全全政策制制订与实实施与信息安安全相关关的人力力资源政政策的制制订安全事件件响应计计划监控日常常安全事事务及员员工对安安全政策策的遵循循业务连续续性计划划及灾难难恢复计计划安全教育育计划建设企业业安全文文化预算计划划有足够资资金支持持的计划划才是切切实可行行的计划划，才能能有效地地落实信信息安全全所需要要的人、、财、物物等资源源的配置置。预算计划划一定要要合理，，过高的的安全预预算会使使安全失失去意义义，最好好是结合合投资回回报分析析。制定信息息系统安安全政策策信息系统统安全政政策就是是为防止止信息资资产意外外损失及及被有意意滥用而而制订的的规则，，这些政政策是应应该涵盖盖组织中中生成、、加工、、使用、、储存信信息的各各个方面面，并符符合ISO27001对信息系系统安全全的要求求。信息安全全政策要要符合组组织的业业务目标标及特定定的环境境要求，，并使之之被每个个员工所所理解和和执行，，这是实实施信息息安全的的重要环环节，是是建立人人力防火火墙的政政策依据据。人力资源源政策因此除了了技术的的控制手手段外，，要制定定合适的的人力资资源政策策，加强强对“人人”的管管理，对对潜在的的安全入入侵者也也是一种种威慑及及惩戒措措施，这这是建立立人力防防火墙的的有效控控制手段段。人力资源源管理在在信息安安全的管管理中充充分十分分重要的的作用，，信息安安全管理理人员要要与人务务资源管管理人员员密切合合作，协协同作战战，才能能实现信信息安全全中对““人”的的有效管管理。人力资源源政策举举例实施安全全教育计计划要制定各各种不同同范围、、不同层层次的安安全教育育计划。。完备的安安全教育育计划可可以提高高员工的的安全意意识与技技能，改改变他们们对待安安全事件件的态度度，使他他们具有有一定的的安全保保护技能能，以更更好地保保护组织织的信息息资产。。好的安全全教育计计划应该该让员工工知道组组织的信信息安全全面临的的威胁及及信息安安全事件件带来的的后果，，使员工工切身感感觉到安安全事件件与自己己息息相相关。信息安全全教育内内容ISO27001培训计划划举例制定安全全事件响响应机制制组织应明确确出现事故故、故障和和薄弱点的的有关部门门的责任，，并根据安安全事故与与故障的反反应过程建建立一个报报告、反应应、评价和和惩戒的机机制，这也也可称为人人力防火墙墙的反应机机制。目的是把安安全事件的的损害降到到最低的程程度，追踪踪并从事件件中吸取教教训。安全事件报报告程序营造组织信信息安全文文化信息安全文文化从属于于组织文化化，倡导良良好的组织织信息安全全文化就是是要在组织织中形成团团队共同的的态度、认认识和价值值观，形成成规范的思思维和行为为模式，最最终转化为为行动，实实现组织信信息安全目目标。人的的这种对安安全价值的的认识以及及使自己的的一举一动动符合安全全的行为规规范的表现现，正是所所谓的“安安全修养””。如果一个组组织建立起起浓厚的安安全文化环环境，不论论决策层、、管理层还还是一般员员工，都会会在安全文文化的约束束下规范自自己的行为为，安全文文化就像一一支看不见见的手，凡凡是不安全全的行为都都会被这支支手拉回到到安全操作作的轨道上上来。信息安全文文化的三个个阶段检查与审计计的内容对于安全框框架是否已已有效的建建立起来，，技术防火火墙、人力力防火墙及及IT流程控制框框架能否起起到了应有有的作用，组织可以以通过定期期的自我检检查或独立立的审核来来验证安全全控制措施施的有效性性，并对发发现的问题题采取有效效的纠正措措施并实施施，对纠正正措施实施施的结果进进行验证。。安全检查工工作一般由由信息安全全管理部门门来负责实实施，经常常性的检查查，有利于于落实信息息安全方针针与策略，，及时发现现信息安全全在技术、、人员及流流程方面存存在的隐患患，也有利利于提高员员工安全意意识，保证证业务的持持续运行。。审核工作是是审计机构构对组织的的信息安全全控制措施施是否完备备所做的鉴鉴证过程。。利用审核核机制进行行独立的体体系审核是是一种强有有力的监督督机制。可可以由组织织的内部稽稽核部门阶阶段性地组组建立审核核组，培训训审核员，，有效地管管理在组织织中开展的的信息安全全审核工作作，也可外外聘的第三三方审计机机构对组织织进行外部部审计。九、对安全全的检查与与审计检查的步骤骤信息安全管管理部门根根据检查的的需要组成成信息安全全检查小组组，定期或或不定期地地对组织的的信息安全全管理措施施、技术措措施的落实实情况进行行检查。检查小组根根据组织的的信息安全全方针、策策略及程序序要求，编编写各类安安全检查列列表，进行行符合性检检查。检查小组在在符合性检检查的基础础上，进行行网络扫描描、口令破破解、流量量分析、日日志检查等等实质性测测试；在适适当的条件件下可以进进行渗透测测试。对检查的内内容进行分分析与整理理，编写信信息安全检检查报告。。审计的步骤骤信息安全在在每次检查查审计前，，由管理层层任命适当当资质的合合适人选组组成审计小小组，审计计小组由2名或以上人人员组成，，包括但不不限于稽核核审计部的的内审员，，并由管理理层指定内内审组长。。内审小组负负责编写本本次内审的的《内部审计方方案》，其内容一一般为:被审部门、、审计时间间、内容、、范围、审审计依据、、目的、方方法；内审审小组成员员及其分工工；审计活活动日程安安排。《内部审计方方案》经批准后，，至少提前前二周通知知被审计部部门，以便便被审计部部门有充分分时间进行行内审，若若被审计部部门对时间间等安排有有异议时，，应在三天天内通知内内审小组协协商调整具具体安排；；内审小组在在完成了全全部的审计计准备工作作后，就可可按预先约约定的日期期和时间实实施审计。。内部审计计实施可划划分为首次次会议、现现场审计和和末次会议议三个阶段段进行。AnyQuestion?陈伟，CIOtimes高级咨询顾顾问，国际际注册信息息系统审计计师(CISA)，BS7799主任审核员员，国际信信息系统审审计与控制制协会会员员，管理信信息系统硕硕士。在IT行业系统集集成、软件件开发、信信息安全与与控制领域域有十五年年工作经验验，精通网网络技术、、软件开发发技术、信信息安全技技术，长期期从事企业业信息化建建设，对国国内大中型型企业的计计算机网络络、应用系系统、安全全系统的规规划、设计计、实施有有较丰富的的经验。目前的工作作专业领域域集中于IT管理控制领领域(ISO27001、ITIL、COBIT)理论与方法法研究，并并为深圳