信息安全管理体系课件

信息安全管理体系IT治理与信息安全咨询顾问：陈伟信息安全管理体系IT治理与信息安全咨询顾问：陈伟培训大纲一、信息安全面临的风险二、保护信息安全的方法三、完善信息安全治理结构四、审视业务进行风险评估五、进行信息安全控制规划六、建立信息安全管理体系七、建立完备的“技术防火墙”八、建立有效的“人力防火墙”九、对信息安全的检查与审计培训大纲一、信息安全面临的风险信息系统固有的脆弱性信息本身易传播、易毁损、易伪造信息技术平台（如硬件、网络、系统）的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖，信息的风险加大信息的高附加值会引发盗窃、滥用等威胁一、信息安全面临的风险企业对信息的依赖程度：美国明尼苏达大学Bush-Kugel的研究报告指出，企业在没有信息资料可用的情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在5年后能够继续存活。信息系统固有的脆弱性一、信息安全面临的风险企业对信息的依赖层出不穷网络安全事件全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于未修补或防范软件漏洞所导致。据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。Baidu灰鸽子吧层出不穷网络安全事件Baidu灰鸽子吧商业间谍无孔不入在走向现代市场经济的过程中，由于利益多元化格局的形成和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速增加。根据美国对本国1500家公司的调查，有1300家公司承认，它们对国外的竞争对手进行了间谍活动。据估计，美国企业每年投资在经济、科技情报方面的费用高达300亿美元。许多大公司设立专门的竞争情报部门，建立企业竞争情报系统，进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化，而且具有对环境的“早期预警”功能。向对手的商业机密说“不”商业间谍无孔不入向对手的商业机密说“不”商业机密泄露使企业遭受损失2004年的一项调查显示，名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元，平均每家公司每年发生2.45次泄密事件，损失超过50万美元。

景泰蓝、宣纸、青蒿素、维生素C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失，造成了无可挽回的影响。思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心的泄密事件商业机密泄露使企业遭受损失华为诉前员工窃密案触目惊心的泄密事信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包括：时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000－$530,000信息安全损失的“冰山”理论$10,000$60,000－$5我国当前信息安全普遍存在的问题忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立；厂商主导的技术型解决方案为主，用户跟着厂商的步子走；安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；重视安全技术，轻视安全管理，信息安全可靠性没有保证；信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；信息安全人员变成“救火队员”

…

我国当前信息安全普遍存在的问题如何实现信息安全？信息安全＝反病毒软件＋防火墙＋入侵检测系统？管理制度？人的因素？环境因素？Ernst&Young及国内安全机构的分析：国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划66%的组织认为信息系统没有遵守必要的信息安全规则56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。二、保护信息安全的方法如何实现信息安全？在整个系统安全工作中,管理(包括管理和信息安全体系模型的演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS人们逐渐认识到安全管理的重要性，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。信息安全体系模型的演变人们逐渐认识到安全管理的重要性，作建立信息安全管理体系对信息安全建立系统工程的观念用制度来保证组织的信息安全更有效信息安全遵循木桶原理对信息系统的各个环节进行统一的综合考虑、规划和构架并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。需要对信息安全进行有效管理建立信息安全管理体系需要对信息安全进行有效管理BHTP－一种实施ISMS的有效方法业务与策略(BusinessandPolicy)人员与管理(Humanandmanagement)技术与产品(Technologyandproducts)流程与体系(ProcessandFramework)治理与控制环境BHTP－一种实施ISMS的有效方法治理与控制环境BHTP模型的关键要素业务与策略根据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。“保护业务，为业务创造价值”应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。人员与管理人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。BHTP模型的关键要素技术与产品可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原则

流程与体系建立良好的IT治理机制是实施信息安全的基础与重要保证。在风险分析的基本上引入恰当控制，建立PDCA的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要建立完整的控制体系来保证安全的持续完善。技术与产品BHTP的方法论决策层对信息安全看法BHTP的方法论决策层对信息安全看法建立跨部门的信息安全委员会良好的治理结构要求主体单位的IT决策必须由最了解组织整体目标与价值的权威部门来决定。三、完善信息安全治理结构信息安全组织结构示例安全工作小组流程示例建立跨部门的信息安全委员会三、完善信息安全治理结构信息安全审视业务，确定IT原则和信息安全方针在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的前提。组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要出发，确定适宜的IT原则，才能指导信息安全方针的制定。信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、安全策略程序及安全投资计划。IT原则示例信息安全方针示例四、确定IT原则与安全方针审视业务，确定IT原则和信息安全方针IT原则示例信息安全方五、进行风险评估风险评估的常用方法目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件《信息安全风险评估指南》，这些标准把重点放在信息资产上。缺点：风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产，而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，由于不能方便地定义为信息资产，而往往被视而不见。因此，风险评估经常出现“捡了芝麻、丢了西瓜”，“只见树木，不见森林”的情况。五、进行风险评估风险评估的常用方法完备的风险评估方法信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风险评估，根据三方面的评估得到最终的风险评估报告。完备的风险评估方法现状调查的主要内容文档收集与分析组织的基本信息、组织结构图组织人员名单、机构设置、岗位职责说明书业务特征或服务介绍与信息安全管理相关的政策、制度和规范现场访谈安排与相关人员的面谈对员工工作现场的观察加强项目组对企业文化的感知访谈提纲：管理层、部门经理、员工，某员工的访问示例现状调查的主要内容访谈提纲：管理层、部门经理、员工，某员工技术评估工具扫描、渗透测试1

2

3人工分析系统安全配置完全检测、网络服务安全配置完全检测包括用户安全、操作系统安全、

网络服务安全、系统程序安全人工评估记录示例技术评估综述问卷调研安全日常运维现状调研问卷：针对组织中实际的应用、系统、网络状况，从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。从安全日常运维角度出发，更贴近实际运维环境。安全日常运维现状调研问卷《信息安全现状分析报告》技术评估人工评估记录示例技术评估综述问卷调研安全日常运维现状基线风险评估所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏

ISO27001调查问卷示例《信息安全管理体系风险评估与处置建议报告》基线风险评估ISO27001调查问卷示例《信息安全管理体系风信息资产风险评估针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。《安全风险评估与处置建议报告》安全风险评估表示例资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估安全控制措施的识别与选择降低风险风险管理过程接受风险电子政务风险评估案例信息资产风险评估《安全风险评估与处置建议报告》安全风险评估表IT流程风险评估信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经历的流程中保证安全。没有可靠的IT流程的保证，静态的安全是不可靠的，而且IT的风险也不仅仅是信息安全的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。《IT相关业务流程风险评估与处置建议报告》IT流程风险评估《IT相关业务流程风险评估与处置建议报告》确定风险控制策略风险控制策略举例六、信息安全控制规划确定风险控制策略风险控制策略举例六、信息安全控制规划选择安全控制措施风险控制措施防止商业活动中断和灾难事故的影响。业务持续性管理信息安全事件管理保证系统开发与维护的安全系统开发与维护控制对业务信息的访问。访问控制保证通讯和操作设备的正确和安全维护。通信与运营管理防止对关于IT服务的未经许可的介入，损伤和干扰服务。物理与环境安全减少人为造成的风险。人员安全维护组织资产的适当保护系统。资产管理建立组织内的管理体系以便安全管理。安全组织为信息安全提供管理方向和支持。安全方针目的ISO27001十一个域避免任何违反法令、法规、合同约定及其他安全要求的行为。符合性确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施选择安全控制措施风险控制措施防止商业活动中断和灾难事故的影响进行安全控制规划安全规划针对组织面临的主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全，进行设计、改进和加强，是进行安全建设的总体指导。序号项目内容紧迫性可实施性难易程度效果分析综合分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14……安全规划方法《信息安全实施总体规划报告》《信息安全实施总体规划图表》进行安全控制规划序号项目内容紧迫性可实施性难易程度效果分析综安全预算计划所以安全预算计划是一项具有挑战性的工作，要采用“适度防范”的原则，把有限的资金用在刀刃上。一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设总投资额的20%，过高的安全成本将使安全失去意义。

投资回报计划信息安全投资回报计划就是要研究信息安全的成本效益，其成本效益组成如下：从系统生命周期看信息安全的成本：获取成本和运行成本从安全防护手段看信息安全的成本：技术成本和管理成本信息安全的价值效益：减少信息安全事故的经济损失信息安全的非价值效益：增加声誉、提升品牌价值安全预算计划信息安全体系模型的演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS七、建立信息安全管理体系人们逐渐认识到安全管理的重要性，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。信息安全体系模型的演变七、建立信息安全管理体系人们逐渐认信息安全管理体系的定义信息安全管理体系（ISMS：InformationSecurityManagementSystem）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。ISMS相对应的BS7799标准在国际上得到了广泛的应用，目前引标准已被采纳为国际标准ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。用木桶原理说明ISMS信息安全管理体系的定义用木桶原理说明ISMSISMS

“木桶”由哪些“板”组成？类似于质量管理体系的ISO9000标准，ISMS也有相应的国际标准ISO27001，它确定了ISMS的11个安全领域及133个相应的控制措施。ISMS“木桶”由哪些“板”组成？ISO17799及ISO27001的内容ISO17799:2005

信息安全管理实施规范，主要是给负责开发的人员作为参考文档使用，从而在组织中实施和维护信息安全；ISO27001:2005

信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。获得BS7799和ISO27001认证的组织ISO17799及ISO27001的内容获得BS7799和IISO17799信息安全BS15000IT服务管理职业安全健康管理体系指导意见OHSAS18000财务管理体系BS8600客户满意管理体系Finance财务管理质量管理业务管理IT信息管理人力资源环境管理ISO100015培训体系人力资源管理体系ISO9000市场/客户满意管理ISO14001

综合管理体系职业安全战略和投资管理

战略和投资管理体系行业强制性管理体系及产品认证如QS9000，ISMC，党务管理ISO17799与其他标准对比ISO27001与其他标准的融合ISO17799职业安全健康管理体系指导意见BS8600ISMS体系设计在组织中要实现信息安全，比较切实可行的第一步的是按照PDCA的原则建立信息安全管理体系。如果没有一个完整的管理体系和有效的过程来保证组织中的人员能理解他们的安全责任与义务，并建立基本的有效的控制措施，那么再好的安全技术也不能保证组织的信息安全。

ISMS体系设计ISMS建设过程：建立ISMS首先要建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设从信息系统本身出发，通过建立资产清单，进行风险分析和需求分析和选择安全控制等步骤，建立安全体系并提出安全解决方案。体系运行体系审核管理评审体系认证第七步第八步第九步第十步运行说明内审报告外审报告认证证书ISMS建设过程：体系运行体系审核管理评审体系认证第七步第八ISMS体系文件编写对ISMS体系的设计首先是以规范化的ISMS体系文件的形式表现出来。把有关ISMS的重要内容用文件的形式表述出来，就形成了组织的ISMS体系文件。ISMS体系文件是实施信息安全管理所必需的结构、规则、过程和资源等因素所组成的有机总体，有效的信息安全管理需要明确管理的具体目标与范围、流程与活动、人员与职责、资源与条件等内容ISMS体系文件的作用保护信息安全的指南对信息安全进行审核的依据安全管理水平不断改进的保障促进安全培训工作的开展ISMS体系文件编写ISMS体系文档的组成四级文件三级文件二级文件一级方针、策略文件ISMS体系文件规范、程序作业指导书、记录、表单ISMS体系文档的组成四级文件三级文件二级文件一级方针、策略ISMS的正式运行ISMS体系文件编制完成后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段在试运行的基础上，总结经验，进行认真的部署，选择恰当的时机进行ISMS体系的正式运行。正式运行前，需要领导层进行动员，并进行全员培训，签定相关协议，方针策略、规章制度正式起用。只有保证ISMS持续运行，才能使ISMS的制度真正落到实处，使组织的安全状况得到改观。ISMS体系建设案例ISMS的正式运行ISMS体系建设案例“技术防火墙”的总体要求技术结构方面：完备的安全技术防御系统应该具备评估，保护，检测，反应和恢复的五种技术能力。实现ISO7498-2所定义的鉴别，访问控制，数据完整性，数据保密性，抗抵赖五类安全功能。技术产品方面：综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。

集中管理方面：实现集成化安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是真正意义上的安全。灾难恢复与业务持续性方面：对于突发性的重大灾难，日常安全控制措施不再起作用，此时要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果，这是组织信息安全的最后一道防线。

八、建立“技术防火墙”“技术防火墙”的总体要求八、建立“技术防火墙”“技术防火墙”的实现框架信息安全框架可通过基础技术系统、安全运维管理系统、应用支撑系统来实现，其最终目的是保证应用系统和数据的安全。

基础技术系统安全防护系统应用支撑系统安全运维管理系统“技术防火墙”的实现框架基础技术系统安全防护系统应用支撑系统基础技术系统纵深防御架构可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上的计算机不能直接到达可信网络。使用“应用分层、服务分区、安全分级”的思路，指导网络结构化建设，根据应用类型、物理位置、逻辑位置等的不同，划分不同的网络安全区域和边界。IATF安全域基础技术系统IATF安全域安全基础设施一个为整个安全体系提供安全服务的基础性平台，为应用系统和安全支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的安全服务。包括：数字证书认证体系（CA/PKI）密钥管理基础设施（KMI）授权管理基础设施（AA/PMI）灾难恢复及业务连续性基础设施（DRI/BCP）安全基础设施CARA证书认证中心注册授权机构Internet或专网申请证书应用系统用户终端使用证书访问鉴别证书鉴别与访问控制系统LDAP数字证书证书查询服务利用PKI数字证书进行访问控制CARA证书认证中心注册授权机构Internet或专网申请证用户CA系统AA系统数据库服务访问他是谁？有什么权限？认证系统授权系统用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书PKI与PMI的应用：安全认证与授权用户CA系统AA系统数据库服务访问他是谁？有什么权限？认证系安全防护系统网络安全控制采用入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、安全虚拟专网（VPN）等成熟技术，利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段，通过对网络的安全防护的统一设计和统一配置，实现全系统统一、高效、可靠的网络安全防护。安全防护系统省级局域网上级接口下级接口横向接口互联网接口加密机：保护离开局域网的信息安全，同时防止非法接入。防火墙：防止来自总部内部的攻击。防火墙：防止来自外部的攻击。防火墙：即防止来自外部的攻击，也要防止来自地市局的内部攻击。入侵检测：发现非法入侵行为。防病毒网关：防止外部病毒入侵。防非法外联：堵住非法网络接口。系统加固：设置运行环境的最后一道防线。（网络及主机操作系统、数据库、应用平台的加固）安全边界网络行为审计：加强网络安全管理，追查安全事件。构造网络安全边界省级局域网上级接口下级接口横互加密机：保护离开局域网的信息安入侵检测组织中心备份中心二级部门三级部门四级部门线路密码机防火墙防病毒网关防非法外联网络行为审计操作系统加固高安全区域安全防护系统的层次入侵检测组织中心备份中心二级部门三级部门四级部门线路密码机防终端安全控制由于普通用户缺乏应有的网络安全常识，通过浏览隐藏恶意代码的网站，下载有木马的软件到内部网运行，打开邮件中不明来历的附件等给组织的内部网络带来的极大的危害，终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因。

终端安全控制应用支撑系统应用支撑系统构建在基础技术系统的基础上，利用安全基础设施提供的基于PKI/PMI/KMI技术的安全服务；采用安全中间件及一站式服务理论和技术，实现包括安全门户、安全认证和访问控制、数据安全传输、数据保密、完整性保护、真实性保护等应用安全功能和服务，支持面向组织和各类专网和互连网的各类安全应用，是安全应用系统所依托的主要安全平台。

应用支撑系统应用系统常见安全方案业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无关的人员非法使用系统。解决方案:使用统一的身份认证证书业务系统本身必须能够对自己的资源进行控制，能够动态地分配权限，控制使用者的操作行为，防止越岗位操作或越权限操作。解决方案:基于角色的访问控制业务系统本身必须能够对数据或文件进行保护，防止由于数据的安全得不到保证而失去业务系统本身的可用性。解决方案:基于密码业务系统本身必须能够对操作者行为进行跟踪、记录、统计和审计，及时发现工作中出现的问题，使系统可管理，事件可追查。解决方案:日志与安全事件审计在电子商务或电子政务环境下，需要利用身份证书对主要核心业务与交易的凭证进行数字签名，以保证重要对已完成的业务与交易的无否定性。解决方案:基于数字签名应用系统常见安全方案安全运维系统安全运维管理系统对整个安全系统起管理、监控、调度和应急报警等作用，负责对全网络安全防护设备进行管理，为各个应用系统提供安全管理接口，对需要特别关注的应用系统进行应用审计。安全运维管理系统通过建立安全运维管理中心（SOC）对组织的安全技术与流程进行集中式的管理。安全运维系统什么是人力防火墙在信息安全的所有相关因素中，人是最活跃的因素，人的行为是信息安全保障最主要的方面。组织相关人员特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。我们把信息安全中对人的有效管理称为“人力防火墙”。通过建立“人力防火墙”，不仅建立起一套有效的管理体系，而且还能形成“信息安全，人人有责”的企业文化氛围，从而使员工成为企业信息安全的一道“最可靠防线”，实现组织信息系统的长治久安。八、建立“人力防火墙”什么是人力防火墙八、建立“人力防火墙”建立人力防火墙的过程得到组织最高管理层的支持得到高层管理人员的认同和承诺有两个作用一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻；二是可以得到有效的资源保证，比如实施有效安全过程的必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。建立信息安全组织，明确角色与责任安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。信息安全指导委员会信息安全主管为核心的、专业的信息安全管理的队伍把相应的安全责任落实到每一个员工身上员工ISMS职责表ISMS文件与工作人员矩阵信息安全管理员职责矩阵、工作流程建立人力防火墙的过程员工ISMS职责表ISMS文件与工作人员制定计划行动计划主要有：信息安全政策制订与实施与信息安全相关的人力资源政策的制订安全事件响应计划监控日常安全事务及员工对安全政策的遵循业务连续性计划及灾难恢复计划安全教育计划建设企业安全文化预算计划有足够资金支持的计划才是切实可行的计划，才能有效地落实信息安全所需要的人、财、物等资源的配置。预算计划一定要合理，过高的安全预算会使安全失去意义，最好是结合投资回报分析。制定计划制定信息系统安全政策信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则，这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面，并符合ISO27001对信息系统安全的要求。信息安全政策要符合组织的业务目标及特定的环境要求，并使之被每个员工所理解和执行，这是实施信息安全的重要环节，是建立人力防火墙的政策依据。人力资源政策因此除了技术的控制手段外，要制定合适的人力资源政策，加强对“人”的管理，对潜在的安全入侵者也是一种威慑及惩戒措施，这是建立人力防火墙的有效控制手段。人力资源管理在信息安全的管理中充分十分重要的作用，信息安全管理人员要与人务资源管理人员密切合作，协同作战，才能实现信息安全中对“人”的有效管理。人力资源政策举例制定信息系统安全政策人力资源政策举例实施安全教育计划要制定各种不同范围、不同层次的安全教育计划。完备的安全教育计划可以提高员工的安全意识与技能，改变他们对待安全事件的态度，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果，使员工切身感觉到安全事件与自己息息相关。信息安全教育内容ISO27001培训计划举例实施安全教育计划信息安全教育内容ISO27001培训计划举例制定安全事件响应机制组织应明确出现事故、故障和薄弱点的有关部门的责任，并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制，这也可称为人力防火墙的反应机制。目的是把安全事件的损害降到最低的程度，追踪并从事件中吸取教训。安全事件报告程序制定安全事件响应机制安全事件报告程序营造组织信息安全文化信息安全文化从属于组织文化，倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度、认识和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现，正是所谓的“安全修养”。如果一个组织建立起浓厚的安全文化环境，不论决策层、管理层还是一般员工，都会在安全文化的约束下规范自己的行为，安全文化就像一支看不见的手，凡是不安全的行为都会