信息安全管理
信息安全管理
- 一、信息安全管理概述
- 二、信息安全風(fēng)險管理
- 1、信息安全風(fēng)險
- 2、風(fēng)險管理
- 三、信息安全事件與應(yīng)急響應(yīng)
- 1、信息安全事件
- 2、信息安全應(yīng)急響應(yīng)
- 3、信息安全應(yīng)急響應(yīng)管理過程
一、信息安全管理概述
信息安全管理( Information Security Management ISM)
◆ISM是管理者為實現(xiàn)信息安全目標(biāo)(如信息資產(chǎn)的CIA等特性、業(yè)務(wù)運行的持續(xù)性)而進(jìn)行計劃、組織指揮、協(xié)調(diào)和控制的一系列活動。
◆ISM管理對象是組織的信息及相關(guān)資產(chǎn),包括信息人員、軟件等,同時還包括信息安全目標(biāo)、信息安全組織架構(gòu)、信息安全策略規(guī)則等。
◆ISM目的是保障組織的業(yè)務(wù)正常運轉(zhuǎn)。
成功實施信息安全管理的關(guān)鍵因素
◆(1)組織的活動能夠反映組織的業(yè)務(wù)目標(biāo)。
◆(2)組織所有級別的管理者能夠給予信息安全實質(zhì)性的、可見的支持和承諾。
◆(3)組織的管理者對信息安全需求、信息安全風(fēng)險、風(fēng)險評估及風(fēng)險管理有正確深入的理解。
◆(4)向所有管理者、員工和其他相關(guān)方提供有效的信息安全宣傳以提升信息安全意識。
◆(5)向所有管理者、員工和其他相關(guān)方分發(fā)并宣貫信息安全方針、策略和標(biāo)準(zhǔn)。
◆(6)管理者為信息安全建設(shè)提供足夠的資金這是信息安全管理成功實施的必要保障。
◆(7)建立有效的信息安全事件管理過程。
◆(8)建立有效的信息安全測量體系。
管理與信息安全管理
◆管理
◆管理者為了達(dá)到特定目的而對管理對象進(jìn)行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。
◆信息安全管理
◆組織中為了完成信息安全目標(biāo),遵循安全策略,按照規(guī)定的程序,運用恰當(dāng)?shù)姆椒?#xff0c;而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動
信息安全管理體系
◆什么是信息安全管理體系
◆Information Security Management System,ISMS
◆是管理體系方法在信息安全領(lǐng)域的運用
信息安全管理體系定義
◆定義
信息安全管理體系( Information Security Management System,ISMS)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系:信息安全管理體系是信息安全管理活動的直接結(jié)果,表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合。
◆信息安全管理體系是整個管理體系的一部分,它是基于業(yè)務(wù)風(fēng)險方法,來建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全的體系。
◆一般地,信息安全管理體系包括信息安全組織架構(gòu)、信息安全方針、信息安全規(guī)劃活動、信息安全職責(zé),以及信息安全相關(guān)的實踐、規(guī)程、過程和資源等要素,這些要素既相互關(guān)聯(lián),又相互作用
信息安全管理體系的作用
◆對內(nèi)
◆形成單位可自我持續(xù)改進(jìn)的信息安全管理機(jī)制
◆使信息安全的角色和職責(zé)清斷,并落實到人
◆確保實現(xiàn)動態(tài)的、系統(tǒng)的、制度化的信息安全管理
◆有利于根本上保證業(yè)務(wù)的連續(xù)性,提高市場竟?fàn)幜?br /> ◆對外
◆能夠使客戶、業(yè)務(wù)伙伴對單位信息安全充滿信心
◆有助于界定外包雙方的信息安全責(zé)任
◆可以使單位更好地滿足審計要求和符合法律法規(guī)
◆保證和外部數(shù)據(jù)交換中的信息安全
建立信息安全管理體系的意義
◆ISMS是組織整體管理體系的一部分,是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo),以及完成這些目標(biāo)所用的方法的體系。
◆安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障,安全管理體系的涉及立足于總體安全策略,并與安全技術(shù)體系相互配合,増強技術(shù)防護(hù)體系的效率和效果,同時,也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷。
二、信息安全風(fēng)險管理
1、信息安全風(fēng)險
什么是信息安全風(fēng)險
◆信息安全風(fēng)險就是指在信息系統(tǒng)中,信息安全事件的概率及其結(jié)果的組合
◆在本課程中,常簡稱為風(fēng)險
◆《信息安全風(fēng)險管理指南》(GBZ24364-2009)
◆信息安全風(fēng)險是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響
信息安全風(fēng)險的含義
◆信息系統(tǒng)不可能達(dá)到絕對安全,但可以通過信息安全風(fēng)險控制,來實現(xiàn)符合個人或單位目標(biāo)的一定程度的安全。
◆信息安全管理的核心思想是風(fēng)險管理,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險。
◆信息安全風(fēng)險管理是信息安全管理的基本方法。
信息安全工作中的風(fēng)險管理
| 安全投資逐年増加,但看不到收益 | 沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃,沒有抓住主要矛盾,導(dǎo)致有限資金的有效利用率低 |
| 按照國家要求或行業(yè)要求開展信息安全工作,但安全事件仍出現(xiàn) | 沒有根據(jù)企業(yè)自身安全需求部署安全控制措施,沒有突出控制高風(fēng)險 |
| IT安全需求很多,有限的資金應(yīng)優(yōu)先拔向哪個領(lǐng)域 | 決策者沒有看到安全投資收益報告,資金劃撥無參考依據(jù) |
| 當(dāng)了CIO,時刻擔(dān)心系統(tǒng)出事,無法預(yù)見可能會出什么事 | 沒有殘余風(fēng)險清單,在什么條件可被觸發(fā),如何做好控制 |
好的風(fēng)險管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運行,并且使已知的風(fēng)險維持在可接受的水平
安全風(fēng)險的基本概念一一資產(chǎn)
◆資產(chǎn)
◆對單位有價值的信息或資源
◆資產(chǎn)舉例
◆有形的
◆計算機(jī)
◆網(wǎng)絡(luò)使件設(shè)備
◆無形的
◆組織機(jī)構(gòu)的專利
◆知識產(chǎn)權(quán)
◆公司形象和名譽
安全風(fēng)險的基本概念一一威脅
◆成脅
◆能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改或拒絕服務(wù)對系統(tǒng)造成潛在危害的任何環(huán)境或事件
◆威脅就是威脅主體發(fā)現(xiàn)一個特定的弱點,并將這些弱點用于惡意目的。
◆威脅舉例
◆黑客入侵和攻擊
◆病毒和其他惡意程序
◆軟硬件故障
◆人為誤操作
◆自然災(zāi)害地震、火災(zāi)
安全風(fēng)險的基本概念一一脆弱性
◆脆弱性
◆硬件、軟件或協(xié)議在具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)
◆脆弱性舉例
◆系統(tǒng)漏洞、系統(tǒng)后門
◆缺乏安全管理
◆空口令
安全風(fēng)險要素之間的相互關(guān)系
控制措施和殘余風(fēng)險
◆控制措施
◆通過各種人員、技術(shù)、工程和管理等方面的控制措施減少風(fēng)險,以保護(hù)有形和無形的資產(chǎn),最終達(dá)到完成其使命的任務(wù)
◆殘余風(fēng)險
◆在控制措施使用后,系統(tǒng)可能還會存在一些殘留的、沒有被修補的脆弱性,這些殘留的脆弱性仍然可以被威脅主體所利用,從而導(dǎo)致資產(chǎn)存在殘余風(fēng)險。
2、風(fēng)險管理
為什么要做風(fēng)險管理
◆定義
◆信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程
◆目的
◆成本與效益平衡
◆好的風(fēng)險管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運行,并且使已知的風(fēng)險維持在可接受的水平。
◆工作條理化
◆好的風(fēng)險管理過程可以使機(jī)構(gòu)用一致的、條理清晰的方式來組織有限的資源,更好地管理風(fēng)險。
信息安全管理的內(nèi)容
◆四個階段,兩個貫穿
◆第一步:背景建立
◆根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性,確定風(fēng)險
◆管理的范圍和對象,明確對象的特性及安全需求
◆第二步:風(fēng)險評估
◆分析風(fēng)險和影響、評估風(fēng)險等級
◆第三步:風(fēng)險處理
◆選擇和實施合適的安全措施
◆第四步:批準(zhǔn)監(jiān)督
◆對風(fēng)險評估和風(fēng)險處理的結(jié)果的批準(zhǔn)和持續(xù)監(jiān)督
◆監(jiān)控審查
◆監(jiān)控
◆監(jiān)視和控制風(fēng)險管理過程,及時發(fā)現(xiàn)變化和偏差以保證上述四個步驟的過程有效性。
◆分析和平衡成本效益,即成本效益管理,以保證上述四個步驟的成本有效性。
◆審查
◆跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化,以保證上述四個步驟結(jié)果的有效性。
◆溝通咨詢
◆溝通
◆通過暢通的交流和充分的溝通,保持行動的協(xié)調(diào)和一致
◆咨詢
◆為相關(guān)人員答疑和服務(wù),以提高他們的風(fēng)險意識和知識。
?與領(lǐng)導(dǎo)溝通,以得到理解和批準(zhǔn)
?單位內(nèi)部各有關(guān)部門相互溝通,以得到理解和協(xié)作
?與支持單位和系統(tǒng)用戶溝通,以得到了解和支持
風(fēng)險評估
◆風(fēng)險評估
◆對信息系統(tǒng)安全性進(jìn)行分析,了解和認(rèn)識客觀存在于信息系統(tǒng)中風(fēng)險的一種手段和方法
◆風(fēng)險評估重要性
◆風(fēng)險評估是信息安全管理機(jī)制建立的基礎(chǔ)。
◆信息安全需求獲取的主要手段就是風(fēng)險評估
◆信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動
風(fēng)險評估的準(zhǔn)備
風(fēng)險評估工作形式
風(fēng)險評估工作
◆風(fēng)險評估應(yīng)以自評估為主,同時可以和檢查評估相互結(jié)合、互為補充。
◆自評估和檢査評估可依托自身技術(shù)力量進(jìn)行也可委托第三方機(jī)構(gòu)提供技術(shù)支持。
風(fēng)險評估工作形式:自評估、檢査評估
| 描述 | 信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估 | 上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險評估 |
| 優(yōu)點 | 有利于保密、有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長、有利于降低風(fēng)險評估的費用 | 具有權(quán)威性、通過行政手段加強信息安全的重要措施 |
| 缺點 | 可能缺乏專業(yè)技能,結(jié)果不夠深入準(zhǔn)確、可能受內(nèi)部因素影響,結(jié)果客觀性易受 | 安全保密管理工作難度較大,實際中常常間隔和抽樣進(jìn)行,結(jié)果可能有偏差 |
風(fēng)險評估方法
| 定量 | 直觀的數(shù)據(jù)來表述評估的結(jié)果,看起來比較客觀,研究結(jié)果更科學(xué),更嚴(yán)密,隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗,其精確度將隨時間的推移而提高 | 難以確定準(zhǔn)確的方法來有效計算資產(chǎn)和控制措施的價值計算過程可能會非常復(fù)雜且耗時。風(fēng)險結(jié)果看起來客觀,但可能難以解釋差別,評估成本較大 |
| 定性 | 無需精確量化資產(chǎn)價值大小和風(fēng)險大小,便于讓非信息安全人員參與和達(dá)成一致意見,節(jié)約評估過程時長,更便于不是安全或計算機(jī)專家人員參與 | 重要風(fēng)險之間沒有顯著區(qū)別,評估結(jié)果取決于風(fēng)險管理小組人員的主觀判斷,對評估者的能力和經(jīng)驗要求較高 |
| 半定量 | 在評估過程中綜合使用定性和定量的風(fēng)險評估技術(shù)可以綜合定性和定量風(fēng)險評估的優(yōu)點,根據(jù)實際情況進(jìn)行高效實施,提供成本效益最佳的風(fēng)險評估結(jié)果 |
風(fēng)險評估的過程
◆風(fēng)險評估階段
◆風(fēng)險分析準(zhǔn)備:制定風(fēng)險評估方案、選擇評估方法。
◆風(fēng)險要素識別:發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施。
◆風(fēng)險分析:判斷風(fēng)險發(fā)生的可能性和影響的程度。
◆風(fēng)險結(jié)果判定:綜合分析結(jié)果判定風(fēng)險等級。
風(fēng)險處理
◆GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》
◆對風(fēng)險分析結(jié)果進(jìn)行評價,給出相應(yīng)的等級劃分,得出綜合風(fēng)險評估結(jié)果
常見的四類風(fēng)險處理方法
◆規(guī)避風(fēng)險
◆通過改變原有計劃來消除風(fēng)險或風(fēng)險發(fā)生的條件,保護(hù)目標(biāo)免受風(fēng)險的影響。
◆在沒有足夠安全保障的信息系統(tǒng)中,不處理特別敏感的信息,從而防止敏感信息的泄漏。
◆對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng),不使用互聯(lián)網(wǎng),從而避免外部的有害入侵和不良攻擊。
◆通常在風(fēng)險的損失無法接受,又難以通過控制措施減低風(fēng)險的情況下
◆轉(zhuǎn)移風(fēng)險
◆通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險。
◆通常只有當(dāng)風(fēng)險不能被降低或避免、且被被轉(zhuǎn)嫁方接受時才被采用。
轉(zhuǎn)移風(fēng)險的具體做法(服務(wù)外包和購買保險)
◆在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時,將信息系統(tǒng)的技術(shù)體系外包給滿足安全保障要求的第三方機(jī)構(gòu),從而避免技術(shù)風(fēng)險。
◆通過給昂貴的設(shè)備上保險,將設(shè)備損失的風(fēng)險轉(zhuǎn)移給保險公司,從而降低資產(chǎn)價值的損失
◆降低風(fēng)險
◆通過采取保護(hù)措施來降低風(fēng)險
◆通常在安全投入小于負(fù)面影響價值的情況下采用
◆保護(hù)措施
◆減少威脅源
◆遏制打擊威脅來源
◆減低威脅能力
◆部署身份認(rèn)證措施
◆減少脆弱性
◆及時給系統(tǒng)打補丁、關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口
◆防護(hù)資產(chǎn)
◆設(shè)置各種防護(hù)措施,保護(hù)資產(chǎn)不受侵犯
◆降低負(fù)面影響
◆采取容災(zāi)留份、應(yīng)急響應(yīng)等措施
◆接受風(fēng)險
◆接受風(fēng)險是選擇對風(fēng)險不采取進(jìn)一步的處理措施,接受風(fēng)險可能帶來的結(jié)果。
◆接受風(fēng)險意味著經(jīng)過成本效益評估,允許相關(guān)風(fēng)險存在,并接受可能帶來的損失。
◆接受風(fēng)險不意味著不聞不問,需要對風(fēng)險態(tài)勢變化進(jìn)行持續(xù)的監(jiān)控,一旦發(fā)展為無法接受的風(fēng)險就要進(jìn)一步采取措施。
批準(zhǔn)監(jiān)督
◆對風(fēng)險評估和風(fēng)險處理的結(jié)果的批準(zhǔn)
◆持續(xù)監(jiān)督
三、信息安全事件與應(yīng)急響應(yīng)
1、信息安全事件
保險柜就一定安全嗎?
◆如果你把鑰匙落在鎖眼上會怎樣?
◆技術(shù)措施需要配合正確的使用才能發(fā)揮作用。
◆“網(wǎng)絡(luò)與信息安全事件”是突發(fā)事件的一種也被稱為“信息安全事件”
◆信息安全事件在業(yè)界尚未有統(tǒng)一的定義政府管理、科學(xué)研究、企業(yè)根據(jù)各自的關(guān)注點對其的理解也存在一定的差異。
◆信息安全事件可以是故意、過失或非人為原因引起的:
◆有害程序事件
◆網(wǎng)絡(luò)攻擊事件
◆信息破壞事件
◆信息內(nèi)容安全事件
◆設(shè)備設(shè)施故障
◆災(zāi)害性事件
◆其他信息安全事件
◆對信息安全事件的分級主要考慮三個要素:
◆信息系統(tǒng)的重要程度
◆系統(tǒng)損失
◆社會影響
◆統(tǒng)計結(jié)果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題,單憑技術(shù)是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。
◆現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在,與其說是技術(shù)上的原因,不如說是管理不善造成的,理解并重視管理對于信息安全的關(guān)鍵作用,對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。
2、信息安全應(yīng)急響應(yīng)
◆信息安全應(yīng)急響應(yīng),是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施,既包括預(yù)防性措施,也包括事件發(fā)生后的應(yīng)對措施。
◆實踐證明,現(xiàn)實中難以發(fā)現(xiàn)和抵御所有威脅,安全事件具有突發(fā)性、復(fù)雜性,需要建立信息系統(tǒng)安全事件的快速響應(yīng)機(jī)制。
◆應(yīng)急響應(yīng)工作的主要任務(wù)是做好預(yù)先防范,安全事件發(fā)生后,盡快做出正確反應(yīng),及時阻止事件的發(fā)展,并減少損失,使系統(tǒng)恢復(fù)正常運行,同時采取追蹤攻擊者及必要的法律行動
◆未雨綢繆:
◆事件發(fā)生前管理上可開展安全培訓(xùn),制訂安全政策和應(yīng)急預(yù)等
◆技術(shù)上則要增加系統(tǒng)安全性,如備份、升級系統(tǒng)與軟件
◆有條件的可以安裝防火墻、入侵檢測系統(tǒng)和殺毒工具等。
◆亡羊補牢:
◆事件發(fā)生后可以采取抑制、根除和恢復(fù)等措施,減少損失
◆并恢復(fù)正常運行,如,隔離、限制或關(guān)閉網(wǎng)絡(luò)服務(wù):
◆恢復(fù)系統(tǒng)及跟蹤總結(jié)等。
◆應(yīng)急響應(yīng)組織是專門處理安全事件的組織
◆常用的名字是計算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急組、計算機(jī)安全事件響應(yīng)組( Computer Security Incident Response Team,CSRT)、信息安全事件響應(yīng)組( Information Security Incident Response Team,ISRT)或事件響應(yīng)組( Incident Response Team,IRT).
◆通常,應(yīng)急響應(yīng)組織由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成。
3、信息安全應(yīng)急響應(yīng)管理過程
應(yīng)急響應(yīng)六階段
◆應(yīng)急響應(yīng) PDCERF模型
應(yīng)急響應(yīng)組織工作
◆成立組織機(jī)構(gòu)
◆領(lǐng)導(dǎo)小組
◆技術(shù)保障小組
◆專家小組
◆實施小組
◆日常運行小組
各單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)的重要性,建立自己的應(yīng)急響應(yīng)組!
應(yīng)急響應(yīng)工作機(jī)構(gòu)圖示例
應(yīng)急響應(yīng)流程—呼叫樹實例
總結(jié)
- 上一篇: 美团门店商品批量上传
- 下一篇: UNITY性能优化✨MeshBaker在