信息安全治理和风险管理

信息安全治理和风险管理

InformationSecurityGovernanceandRiskManagementCISSP第六版培训课件之一第一页，共七十四页。关键知识领域A.Understandandalignsecurityfunctiontogoals,missionandobjectivesoftheorganization理解安全功能并将其与机构目标、使命和宗旨相结合B.Understandandapplysecuritygovernance理解并运用安全治理B.1Organizationalprocesses(e.g.,acquisitions,divestitures,governancecommittees)组织过程（如收购、分拆、治理委员会）B.2Securityrolesandresponsibilities安全角色与职责B.3Legislativeandregulatorycompliance法律和监管的合规B.4Privacyrequirementscompliance隐私要求的合规B.5Controlframeworks控制框架B.6Duecare尽职关注B.7Duediligence尽职调查第二页，共七十四页。关键知识领域C.Understandandapplyconceptsofconfidentiality,integrityandavailability理解并运用保密性、完整性与可用性的概念D.Developandimplementsecuritypolicy制定并施行安全政策D.1Securitypolicies安全政策D.2Standards/baselines标准/基准D.3Procedures程序D.4Guidelines方针D.5Documentation文件编制E.Managetheinformationlifecycle(e.g.,classification,categorization,andownership)管理信息的生命周期（如分类、归类与所有权）F.Managethird-partygovernance(e.g.,on-siteassessment,documentexchangeandreview,process/policyreview)管理第三方治理（如现场评估、文件交换及审查，过程/政策审查）第三页，共七十四页。关键知识领域G.Understandandapplyriskmanagementconcepts理解并运用风险管理的概念G.1Identifythreatsandvulnerabilities身份识别的威胁与漏洞G.2Riskassessment/analysis(qualitative,quantitative,hybrid)风险评估/分析（定性型、定量型、混合型）G.3Riskassignment/acceptance风险分配/接纳G.4Countermeasureselection对策选择G.5Tangibleandintangibleassetvaluation对有形资产和无形资产的评估H.Managepersonnelsecurity管理人员安全H.1Employmentcandidatescreening(e.g.,referencechecks,educationverification)求职者甄选（如证明人核实、教育背景查证）H.2Employmentagreementsandpolicies雇佣协议与政策H.3Employeeterminationprocesses员工解雇流程H.4Vendor,consultantandcontractorcontrols销售方、顾问与承包商控制第四页，共七十四页。关键知识领域I.Developandmanagesecurityeducation,trainingandawareness发展并管理安全教育、安全培训与安全意识J.ManagetheSecurityFunction管理安全功能J.1Budget预算J.2Metrics衡量标准J.3Resources资源J.4Developandimplementinformationsecuritystrategies开发并实施信息安全策略J.5Assessthecompletenessandeffectivenessofthesecurityprogram评估安全项目的完整性与有效性第五页，共七十四页。目录安全基本原则（FundamentalPrinciplesofSecurity）安全定义（SecurityDefinitions）控制类型（SecurityDefinitions）安全架构（SecurityFrameworks）安全管理（SecurityManagement）风险管理（RiskManagement）风险评估和分析（RiskAssessmentandAnalysis）策略、标准、基线、指南和流程（Policies,Standards,Baselines,Guidelines,andProcedures）信息分级（InformationClassification）责任分层（LayersofResponsibility）安全指导委员会（SecuritySteeringCommittee）安全治理（SecurityGovernance）第六页，共七十四页。安全基本原则

FundamentalPrinciplesofSecurity保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：DisclosureAlterationDestruction泄漏破坏篡改第七页，共七十四页。安全基本原则可用性（Availability）确保授权的用户能够及时、可靠地访问数据和资源完整性（Integrity）保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改

保密性（Confidentiality）强制实施了必要的保密级别，防止为经授权的信息披露肩窥（Shouldersurfing）通过穿过别人的肩膀获取未经授权的信息的一种方法社会工程（Socialengineering）通过欺骗他人获取未经授权访问的信息第八页，共七十四页。安全基本原则平衡的安全安全目标SecurityObjectives可用性Availability保密性Confidentiality完整性Integrity第九页，共七十四页。安全定义

SecurityDefinitions威胁因素（Threatagent）威胁（Threat）脆弱性（vulnerability

）风险（Risk）资产（Asset）暴露（exposure）安全措施（Safeguard）Givesriseto引起Exploits利用leadsto导致Candamage可以破壶Andcausesan并且引起Canbecountermeasuredbya能够被预防Directlyaffects直接作用到第十页，共七十四页。安全定义脆弱性（vulnerability）一种软件、硬件或者过程缺陷。并可以给攻击者提供便利，产生未授权的访问。威胁（threat）任何对信息或系统潜在的威胁风险（risk）威胁因素利用脆弱性所造成的损失的潜在的可能性。暴露（exposure）因威胁因素而遭受损失的一个案例对策（countermeasure,orsafeguard）可以减轻潜在风险的策略或者安全措施威胁threat

暴露exposure

脆弱性vulnerability

对策countermeasure风险risk

第十一页，共七十四页。控制类型

SecurityDefinitions控制类型Controltypes：管理控制、技术控制和物理控制控制功能Controlfunctionalities：威慑Deterrent—挫败潜在攻击者。预防Preventive—防止意外事件发生。纠正Corrective—事件发生后修复。恢复Recovery—恢复必要的组件到正常的操作状态。检测Detective—事件发生后识别其行为。补偿Compensating—向原来的控制措施那样提供类似保护要。深度防御Defense-in-depth

为使成功渗透和威胁更难实现而采用多种控制措施。第十二页，共七十四页。安全架构（SecurityFrameworks）SecurityBlueprints安全蓝图COSOITILRISFCOBITISO27000第十三页，共七十四页。安全框架COSO反舞弊财务报告委员会发起组织委员会（COSO）-成立于1985年，负责主持全美反虚假报告委员会工作，根据研究结果向上市公司及其审计师、证劵交易委员会以及其他监管机构提出建议。COBITCOBIT是由IT治理协会发布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT5框架的支持模块，使用术语“管理过程”代替了原来的“控制措施”。ITIL信息技术基础设施库（ITIL）第3版包括五本书，涵盖了服务管理的整个生命周期。ISO/IEC27000ISO/IEC27000系列标准提供了整个信息安全管理体系环境下的信息安全管理、风险和控制的最佳实践推荐。ISF信息安全论坛（ISF）-最佳实践标准给出了实践指南和解决方案来处理目前影响业务信息的大范围安全挑战。第十四页，共七十四页。安全管理（SecurityManagement）信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，其主要活动包括：识别信息资产及相关风险，采取恰当的策略和控制措施以消减风险，监督控制措施有效性，提升人员安全意识等。第十五页，共七十四页。

根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。

实施所选的安全控制措施。提升人员安全意识。

针对检查结果采取应对措施，改进安全状况。

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理模型第十六页，共七十四页。风险管理（RiskManagement）在信息安全领域，风险（Risk）就是指信息资产遭受到损坏并给企业带来负面影响的潜在可能性。风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。第十七页，共七十四页。风险管理相关要素资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threstsource）或威胁代理（Threstagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，及资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Freqiency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidlRisk）——在实施安全措施之后仍然存在的风险。第十八页，共七十四页。匹配以下的术语和定义暴露可能性威胁防护措施对策资产攻击/利用总风险脆弱性威胁来源/威胁源控制对组织实现方向和目标有价值的东西。有可能对IT系统产生损害的任何环境或事件。信息或信息系统的潜在危险。某个威胁导致损失的负面事件的影响，或某次攻击所导致损失的数量。在系统安全程序、设计、实施或内部控制方面的缺陷或弱项，可能被执行（无意的或有意的）导致安全违规或违反系统的安全策略。潜在脆弱性在相关威胁环境中利用的概率或几率。企图导致损害的活动。威胁源利用信息系统的脆弱性实现猥亵的行为。保护系统的行政的、技术的或物理的措施和活动。包括对策和防护措施。事后应用的控制措施，被动性的。事前应用的控制措施，主动性的。包括威胁、脆弱性和资产价值的所有因素。第十九页，共七十四页。风险管理各要素相互关系Safeguards安全措施Securityrequirement安全需求Protectagainst防范Metby采取Indicate提出Reduce减少threats威胁vulnerabilities脆弱性Exploit利用Increase导致Increase导致Expose暴露Increase增加Have具有Risk风险Assets资产Assetsvalue资产价值第二十页，共七十四页。风险管理的目标风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁弱点资产威胁弱点第二十一页，共七十四页。风险管理过程的逻辑方式Risk风险Threat威胁Vulnerability脆弱性AssetValue资产价值=××ResidualRisk残余风险Threat威胁Vulnerability脆弱性AssetValue资产价值=××（）×ControlGap控制差距第二十二页，共七十四页。风险评估和分析

RiskAssessmentandAnalysis风险评估（RiskAssessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括：识别机构风险的各种因素评估风险发生的可能性和造成的影响，并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析（RiskAnalysis）和风险评价（RiskEvaluation）两部分，但一般来说，风险评估和风险分析同义。第二十三页，共七十四页。风险评估一般过程第二十四页，共七十四页。定量评估和定性评估定量风险评估：试图从数字上对安全风险及其构成因素进行分析评估的一种方法。定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，较难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析优点评估结果是建立在独立客观的程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点输入数据的可靠性和精确性难以保证没有一种标准化的知识库，依赖于提供工具或实施调查的厂商信息计算量大，方法复杂，费时费力第二十五页，共七十四页。定量风险评估概述对构成风险的各个要素和潜在损失水平赋予数值或货币金额。当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，，风险评估的整个过程和结果就都可以被量化。定量分析有两个关键指标：事件发生的频率（用ARO来表示）和威胁事件可能引起的损失（用EF来表示）。理论上讲，通过定量分析可以对安全风险进行准确分级，但这有个前提，那就是可供参考的数据指标是准确的。定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难。实际风险分析时，采用定量分析或者纯定量分析方法比较少第二十六页，共七十四页。定量分析基本概念暴露因子（ExposureFactor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（SingleLossExpectancy，SLE）——或者称作SOC（SingleOccuranceCosts），即特定威胁单次发生可能造成的潜在损失量。年度发生率（AnnualizedRateofOccurrence，ARO）——即威胁在一年内估计会发生的次数。年度损失期望（AnnualizedLossExpectancy，ALE）——或者称作EAC（EstimatedAnnualCost），表示特定资产在一年内遭受损失的预期值。第二十七页，共七十四页。定量分析基本过程识别资产并为资产赋值；评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%~100%之间）；计算特定威胁发生的次数（频率），即ARO；计算资产的SLE；计算资产的ALE。资产价值（AV）×暴露因子（EF）=单一损失期望（SLE）单一损失期望（SLE）×年发生比率（ARO）=ALE（年度损失期望）第二十八页，共七十四页。定量分析举例假定某公司投资500,000美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45%。根据消防部门推断，该网络运营中心所在的地区每5年会发生一次火灾，于是我们得出了ARO为0.20的结果。基于以上数据，该公司网络运营中心的ALE将是45,000美元。AssetThreatAssetValueEFSLEAROALE网络运营中心火灾$500,0000.45225,0000.20$45,000Web服务器电源故障$25,0000.25$6,2500.50$3,125Web数据病毒%150,0000.33$50,0002.00$1000,000客户数据泄漏$250,0000.75$187,5000.66$123,750第二十九页，共七十四页。定性风险评估概述定性分析方法目前采用最为广泛，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反‘定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。第三十页，共七十四页。识别信息资产对资产进行保护是信息安全的直接目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。组织应该建立资产清单，根据业务流程来识别信息资产。信息资产的存在形式多种，物理的、逻辑的、无形的。

电子数据：数据库和数据文件，系统文件，用户手册，培训资料，计划等。

书面文件：合同，策略方针，归档文件，重要商业结果。

软件资产：应用软件，系统软件，开发工具，工具程序。

实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，基础设施。

人员：承担特定职能和责任的人员或角色。

服务：计算和通信服务，外包服务，其他技术性服务。

组织形象与声誉：无形资产。第三十一页，共七十四页。评价信息资产资产评价时应该考虑：信息资产因为受损而对业务造成的直接损失信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力组织公众形象和名誉上的损失，因业务受损导致竞争优势降级而引发的间接损失其他损失，例如保险费用的增加定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或成果。可以根据资产的重要性（影响或后果）来为资产划分等级，例如：灾难性、较大、中等、较小、可忽略应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。第三十二页，共七十四页。识别并评估威胁识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，ThreatAgent）。威胁通常包括（来源）：

人员威胁：故意破坏和无意失误系统威胁：系统、网络或服务出现的故障

环境威胁：电源故障、污染、液体泄漏、火灾等

自然威胁：洪水、地震、台风、雷电等评估威胁可能性时要考虑到威胁源的动机和能力因素（内因）。威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。第三十三页，共七十四页。识别并评估弱点针对每一项需要保护的资产，找到到可被威胁利用的弱点，包括：技术性弱点：系统、程序、设备中存在的漏洞或缺陷操作性弱点：配置、操作和使用中的缺陷，包括人的不良习惯、操作过程的漏洞管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足弱点的识别途径：审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试评估弱点时需要考虑其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三级来衡量。第三十四页，共七十四页。资产、威胁及弱点关系弱点威胁影响的资产没有逻辑访问控制蓄意破坏软件软件，信誉窃取软件数据完整性，信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性，信誉第三十五页，共七十四页。风险评价之前需要确定两个指标风险影响：

可以通过资产的价值评估来确定

分级方式根据需要来定，例如：

（1，2，3，4，5），即：

（可忽略，较小，中等，较大，灾难性）风险可能性：

可以通过威胁可能性、弱点暴露度的评价来综合得出

需要考虑到现有控制措施的效力（控制措施会影响对威胁及弱点的判断）

分级方式根据需要来定（取决于威胁和弱点的评价标准），例如：

（1，2，3，4，5），即：

（几乎肯定，很可能，有可能，不太可能，很罕见）第三十六页，共七十四页。对现有控制措施的考虑从针对性和实施方式来看，控制措施包括三类：管理性（Administrative）：对系统开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。从功能来看，控制措施类型包括：威慑性（Deterrent）预防性（Preventive）检测性（Detective）纠正性（Corrective）第三十七页，共七十四页。风险评估矩阵可能性影响可忽略1较小2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）等级取值范围名称描述H25,20High，高风险最高等级的风险，需要立即采取应对措施。不可接受。S12,15,16Significant，严重风险需要高级管理层注意。不可接受M6,8,9,10Moderate，中等风险必须规定管理责任。通常需要综合考虑取舍。L1,2,3,4,5Low，低风险可以通过例行程序来处理。可接受。第三十八页，共七十四页。定性风险评估举例风险场景：一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手。确定风险因子：影响为3（中等）可能性为4（很可能）评估风险：套用风险分析矩阵，该风险被定为S级（严重风险）应对风险：根据公司确定的风险接受水平，应该对该风险采取措施予以消减。可能性影响可忽略1较小2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）12（S）第三十九页，共七十四页。确定风险消减策略RiskMitigation降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，实施恶意软件控制程序，减少信息系统恶意软件攻击的机会减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份规避风险（AvoidRisk）——或者RejectingRisk。有时候，组织可以选择放弃某些可能引来风险业务或资产，以此来规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转嫁风险（TransferRisk）——也称作RiSkAssignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。第四十页，共七十四页。选择控制措施以降低风险选择安全措施时首先关注的是其基本功能，其次还有效力。选择安全措施（对策）时需要进行成本效益分析：基本原则：实施安全措施的代价不应该大于所要保护资产的价值对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等控制价值=实施控制之前的ALE-控制的年成本-实施控制之后的ALE除了成本效益，还应该考虑到以下约束条件：时间约束，技术约束，环境约束法律约束，社会约束确定所选安全措施的效力，是看实施新措施之后还有什么残留风险第四十一页，共七十四页。评价残留风险绝对安全（即零风险）是不可能的。实施安全控制后有残留风险或残存风险（ResidualRisk）。为了实现信息安全，应该确保残留风险在可接受的范围内：残留风险Rr=原有风险R0-控制效力ΔR残留风险Rr≤可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的成果。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。第四十二页，共七十四页。残留风险计算举例风险场景：一个个人经济上那个存在问题的公司职员有权独立访问某类高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手。实施控制之前：影响为3（中等），可能性为4（很可能），风险为12（S级）。实施控制之后：影响为3不变，可能性降为1，残留风险为3（L级）。应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的。可能性影响可忽略1较小2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）3（L）第四十三页，共七十四页。策略、标准、基线、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方针Policy程序Procedure标准Standard强制性指南Guideline建议性基线Baseline最低标准目标要求具体步骤实现方法战略层次战术层次第四十四页，共七十四页。策略、标准、基线、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方针——处于策略链的最高层次，它是由组织的高级管理层发布的、关于信息安全最一般性的声明。方针应该代表着高级管理层对信息安全承担责任的一种承诺。一旦发布，要求组织成员必须遵守。方针的实施要依靠标准、指南和程序。标准——标准规定了在组织范围内强制执行的对特定技术和方法的使用。标准起着驱动方针的作用，标准可以用来建立方针执行的强制机制。指南——类似于标准，也是关于加强系统安全的方法，但它是建议性的。指南比标准更灵活，考虑到了不同信息系统的特点。指南也可用来规定标准的的开发方式，或者保证对一般性安全原则的遵守。彩虹系列、CC、BS7799等，都可以看作是此类。基线——基线建立的是满足方针要求的最低级别的安全需要。在建立信息安全整体框架之前，基线是需要考虑的最低标准。标准的开发通常都是以基线为基础的，基线可以看作是抽象的简单化的标准。大多数基线都是很具体的，或者与系统相关，或者是陈述某种配置。程序——是执行特定任务的详细步骤。位于策略链的最低层次，是实现方针、标准和指南的详细步骤第四十五页，共七十四页。策略的种类规章性策略用于确保组织机构遵守特定的行业规章建立的标准建议性策略强烈推荐雇员在组织机构中应该采取的某些行为和活动指示性策略告知雇员相关信息第四十六页，共七十四页。信息分级（InformationClassification）并不是所有的数据都有相同的价值，不同数据的敏感程度也不同，组织需要判断应该投入多少资金和资源去保护不同的数据为此，通过数据分类，识别最敏感最关键的数据，从而对应选择保护措施，确保对cel各类数据的保护达到合适的水平数据分类能够宣示组织在信息安全保护方面所做的承诺通过数据分类和实施恰当的保护，可以保证信息资产的CIA政府机构沿用数据分类已经很久，但主要强调保密性，侧重于防泄密数据分类也是符合隐私或数据保护相关法律的必要活动识别信息对篡改的敏感度：以便将注意力集中在完整性控制上识别需要保护的机密性信息的敏感度：理解信息的价值满足法律要求第四十七页，共七十四页。信息分级

根据信息的用途、价值、敏感程度等属性的不同，将信息分为不同的级别和类别，制定针对不同级别和类别的信息安全保护办法，这样在工作中只要正确标定和执行相关的保护措施，就可以比较方便、有效地保障信息的安全传统上，政府和军方比较关注信息的保密性，通常把信息分为绝密（TopSecret）、机密（Secret）、保密（Confidential）、敏感非保密（SensitiveButUnclassified）、非保密（Unclassified）民间机构对隐私保护、完整性、可用性要求比较突出，可以把信息分为保密（Confidential）、私密（Private）、敏感（Sensitive）、公开（Public）信息资产应由其拥有者（Owner）负责确定其保护级别，由保管者（Custodian）和使用者（User）应遵循与级别相关的保护要求和措施第四十八页，共七十四页。政府机构数据分类方案示例类别描述绝密（TopSecret）绝密信息的泄漏会对国家安全造成极大的破坏。在美国，此等级对应的只有总统。秘密（Secret）泄漏秘密的数据会给国家安全造成严重损害，只是这些信息的敏感程度不如绝密数据那么大。机密（Confidential）通常指那些受法律保护不得泄漏的数据，例如美国的信息自由法，但此类数据并不属国家安全数据。敏感但非常（SensitiveButUnclassified，SBU）SBU数据对国家安全并不重要，但泄漏这些数据可能会带来某些危害。许多机构将其得到的公民数据归类为SBU，例如保健信息。非密（Unclassified）没有进行分类或并不敏感的数据。此类数据的公开发布并不影响保密性。第四十九页，共七十四页。商业机构数据分类方案示例类别描述机密（Confidential）非常敏感，只应内部使用。未授权泄漏将对公司造成严重的、负面的影响。例如，有关新产品开发的信息，商业秘密，合并谈判等。私秘（Private）与个人相关的信息，只应被公司使用。其泄漏可能对公司或其职员造成消极影响。例如，薪资和医疗信息。敏感（Sensitive）此类信息要求比正常数据具有更高的分类等级。要求具有高度的完整性和保密性。公共（Public）类似未分类信息。所有并不适合上述类别的公司信息都归为此类。公共数据是最不敏感的数据，如果泄漏，不会对公司造成严重或者消极影响。第五十页，共七十四页。三级数据分类方案示例类别描述（强调保密性）机密（Confidential）最敏感的，应遵循need-to-know原则内部使用（Internaluseonly）在内部传播是安全的，但不能对外泄漏公共（Public）公开泄漏也没关系类别描述（强调完整性和可用性）高（High）如果信息遭受破坏，可能带来人身伤亡、严重的经济损失或刑罚中（Medium）如果信息遭受破坏，会带来显著地经济损失低（Low）如果信息遭受破坏，只会造成轻微的损失，需要最少的管理措施来予以纠正第五十一页，共七十四页。数据分类标准价值（Value）：价值是最通常的数据分类标准，如果信息对一个组织或者其竞争对手有价值，就需要分类寿命（Age）：随着时间的推移，信息价值会降低，其分类也会降低。例如，政府部门，某些分类档案会在预定的时间期限过后自动解除分类使用期（UsefulLife）：如果由于新信息的替代、公司发生的真实变化或者其他原因，信息过时了，可以对其解除分类人员关联（PersonalAssociation）：如果信息与特定个人相关，或者是法律（比如隐私法）、规章和责任要求中指出的，需要分类。例如，如果调查信息揭示了调查者的名字，就需要保留分类第五十二页，共七十四页。数据分类相关角色和责任属主（Owner）：信息属主可能是组织的某个决策者或者管理者，或者部门负责人，或者是信息的创建者，对必须保护的信息资产负责，承担着“duecare”的责任，但日常的数据保护工作则由保管者承担。信息属主的责任在于：基于业务需求，对信息分类等级作出最初决定；定期复查分类方案，根据业务需求的变化作出更改；向保管者委派承担数据保护任务的责任保管者（Custodian）:受信息属主委托而负责保护信息，通常由IT系统人员来承担，其职责包括：定期备份，测试备份数据的有效性；必要时对数据进行恢复；根据既定的信息分类策略，维护保留下来的记录用户（User）：任何在日常工作中使用信息的人（操作员、雇员或外部伙伴），即数据的消费者，应该注意：用户必须遵守安全策略中定义的操作程序；用户必须在工作期间承担保护信息安全的责任；用户必须只将公司的计算资源用作公司目的，不能做个人使用第五十三页，共七十四页。分级控制数据分级措施定义分级级别指定确定如何分类数据的准则由数据所有者指明负责的数据的分类任命负责维护数据及其安全级别的数据管理员制定每种分类级别所需的安全控制或保护机制记录上述分类问题的例外情况说明可用于将信息保管转交给其他数据所有者的方法建立一个定期审查信息分类和所有权的措施。向数据管理员通报任何变更指明信息解密措施将这些安全问题综合为安全意识计划，让所有员工都了解如何处理不同分类级别的数据第五十四页，共七十四页。分类数据对外分发分类信息往往需要对外分发，随即带来的隐患应该引起注意。以下是一些需要对外分类信息进行分发的例子：法律程序：为了遵守某些法律程序，分类信息可能需要泄漏出来政府合同：政府订约人可能需要根据与政府项目相关的采购协议而泄漏分类信息高层批准：高级决策层可能授权向外部实体或组织发布分类信息，此类发布可能要求外部伙伴签署保密协议第五十五页，共七十四页。责任分层（LayersofResponsibility）董事会（BoardofDirectors）董事会由企业股东选出的一组人员组成，负责监督企业宪章的执行情况。成立董事会的是为了确保股东的利益得到保护，并且企业能够平稳运行。董事会成员应该是没有偏见的独立个人，他们负责监督行政人员在管理公司方面的表现。执行管理层（ExecutiveManagement）执行管理层由头衔以字母C开头的个人组成CEO通常由董事会主席担任，是公司内地位最高的人。担任这个角色的人负责从宏观绝度监督公司的财务、战略规划和运营。CFO（chieffinancialofficer，首席财务官）负责公司的账目和财务活动以及组织机构的总体财务结构。他负责决定组织机构的财务需求，以及如何为这些需求提供资金。第五十六页，共七十四页。执行管理层CIO（ChiefInformationOfficer，首席信息官）处于公司组织结构的较低层。根据企业结构，他们负责向CEO或CFO上报，并且负责组织机构内部信息系统和技术的战略使用与管理。越来越多的组织机构要求CIO进入高级管理层。CIO的职责已经扩展到在业务流程管理、收入来源以及如何利用公司的内在技术实现业务战略方面与CEO（和其他管理层）进行合作CPO（ChiefPrivacyOfficer，首席隐私官）是一个较新的职位，设立该职位主要是因为公司在保护各种类型数据方面面临日益增长的需求。这个角色负责确保客户、公司和雇员数据的安全，避免公司陷入刑事和民事诉讼，并防止公司由于数据泄露而登上新闻头条。这个职位通常由律师担任，并直接参与有关数据的收集、保护盒将数据交付给第三方的策略制订。第五十七页，共七十四页。执行管理层CSO（ChiefSecurityOfficer，首席安全官）了解公司面临的风险和将这些风险缓解至可接受的级别。这个角色要了解组织机构的业务推动了，并为促进这些推动力而制订和维护一个安全计划，同时还负责提供安全、确保遵守大量法律法规以及满足客户需求或合约义务。第五十八页，共七十四页。安全指导委员会

（SecuritySteeringCommittee）审计委员会（AuditCommittee）公司财务报表以及向股东和其他人提供的财务信息的完整性公司的内部控制系统独立审计员的雇佣和表现内部审计功能实现遵守与道德有关的法律要求和公司策略数据属主（Dataowners）确定数据的分类等级，确定访问特权，维护信息系统中数据的正确性和完整性数据保管（DataCustodian）负责保管系统/数据库，通常就是网络和系统管理人员系统所有者（SystemOwner）包括网络、主机、数据库、应用等的系统管理员根据安全管理的要求对自己所负责的系统进行日常安全保障第五十九页，共七十四页。安全指导委员会

（SecuritySteeringCommittee）安全管理员（SecurityAdministrator）负责实施、监视并执行安全规定和策略各部门可以设立自己的安全管理员，负责执行本部门安全管理事务向安全委员会/信息安全主管报告安全分析员（SecurityAnalyst）帮助制订策略、标准和指南，并设立各种基准应用程序所有者（ApplicationOwner）业务部门经理，负责规定哪些人有权访问他们的应用程序监督员（Supervisor）也称为用户经历，主要负责所有用户活动以及由这些用户建立并拥有的资产第六十页，共七十四页。安全指导委员会（SecuritySteeringCommittee）变更控制分析员（ChangeControlAnalyst）负责批准或否决变更网络、系统或软件的请求数据分析员（DataAnalyst）保证以最佳方式存储数据，从而为需要访问和应用数据的公司与个人提供最大的便利流程所有者（ProcessOwner）负责正确定义、改进并监控这些过程方案解决商（SolutionProvider）用户（User）具备应有的安全意识遵守安全策略，恰当使用信息和系统，通报安全事件第六十一页，共七十四页。安全指导委员会

（SecuritySteeringCommittee）生产线经理（ProductLineManager）审计员（Auditor）向安全目标管理提供独立保障检查系统，判断系统是否满足安全需求，以及安全控制是否有效第六十二页，共七十四页。安全指导委员会

（SecuritySteeringCommittee）人员安全职责分离（Separationofduties）不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的任务。例如金融交易中，一个人负责数据录入，另一个人负责检查，第三人确认最终交易。双重控制：开发/生产；安全管理/审计；加密密钥管理/密钥更改。知识分割：加密密钥分成两个组件，任何一个都不会泄漏另一个。工作轮换（Jobrotation）不允许某人过长时间地担任某个固定的职位，其目的是避免个人获得过多的控制。设置人员备份，有利于交叉培训，有利于发现欺诈行为。强制度假（Mandatoryvacation）要求担任敏感职位的人员度假。让某些职员离开岗位一段时间，其他人就能介入并检查其疏漏第六十三页，共七十四页。安全指导委员会

（SecuritySteeringCommittee）人员离职（Termination）人员离职往往存在安全风险，特别是雇员主动辞职时解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前使用标准的检查列表（Checklist）来实施离职访谈离职者需在陪同下清理个人物品确保离职者返还所有的公司证章、ID、钥匙等物品与此同时，立即消除离职者的访问权限，包括：解除对系统、网络和物理设施的访问权解除电话，注销电子邮箱，锁定Internet账号

通知外部伙伴或客户，声明此人已离职第六十四页，共七十四页。背景检查（BackgroundCheck）背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。可以通过ReferenceCheck来了解其真实履历。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。通过背景检查，可以防止：因为人员解雇而导致法律诉讼因为雇用疏忽而导致第三方的法律诉讼雇用不合格的人员丧失商业秘密员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。第六十五页，共七十四页。保密协议

（ConfidentialityAgreement）组织应与所有员工签订保密协议（或者NDA