搜索
1信息系统安全集成确定安全需求与目标2本章摘要本章从组织IT战略出发,根据业务特征、法律法规及合同要求,在充分考虑风险的基础上,确定组织的安全需求和目标,形成各方认可的安全需求文件。摘要主要内容一、概述二、组织IT战略与安全需求三、组织业务与安全需求四、符合性的安全需求五、基于风险的安全要求六、确定组织的安全需求七、确定信息安全目标4一、概述1.组织与信息安全需求从广义上说,组织是指由诸多要素按照一定方式相互联系起来的系统。从狭义上说,组织就是指人们为实现一定的目标,互相协作结合而成的集体或团体,如党团组织、工会组织、企业、军事组织等等。狭义的组织专门指人群而言,运用于社会管理之中。组织概述5一、概述1.组织与信息安全需求现代社会组织定义在现代社会生活中.组织是人们按照一定的目的、任务和形式编制起来的社会集团。组织是体现一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体。组织概述6一、概述1.组织与信息安全需求组织安全需求--组织需要保护什么?信息安全的需求,是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织业务并符合法律法规、安全监管要求、合同业务要求等,提出复合组织的基于风险管理的安全需求。组织应该将信息安全集成到业务运作的每一个层面。7一、概述1.组织与信息安全需求组织安全需求分析的层次需求分析的层次:目标性需求,定义了整个系统需要达到的目标;功能性需求,定义了整个系统必须完成的任务;操作性需求,定义了完成每个任务的具体的人机交互.8一、概述1.组织与信息安全需求组织安全需求挖掘的方法挖掘需求的方法:分析特定客户的业务流程和模型;与特定客户进行讨论与交流(或联合成立需求组),包括:需求讨论会,与专家或代表讨论.通过调查获取需求,常见需求调查方式有:与用户交谈,向用户提问题等.9一、概述1.组织与信息安全需求组织安全需求分析的方法—风险评估法安全需求分析的方法:资产清册风险评估确定风险形成需求10一、概述2.组织安全风险安全威胁--引入相关数据图表介绍组织正在遭受越来越多的安全威胁和攻击破坏。由于组织越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。11一、概述2.组织安全风险风险是指一个事件产生我们所不希望的后果可能性。组织的风险是指组织未来发生损失的不确定性。这些安全风险主要包括了业务的连续性、业务流程安全、法律安全要求、合同安全、隐私保护要求等。组织的风险12一、概述3.组织信息安全目标根据国际信息安全管理标准的描述,信息安全的目标是“通过防止和减小安全事故的影响,保证业务连续性,使业务损失最小化。”需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题,实现组织的安全目标。信息安全的目标13二、组织IT战略与安全需求1.组织IT战略组织战略组织战略是指组织对有关全局性,长远性,纲领性目标的谋划和决策.14二、组织IT战略与安全需求1.组织IT战略组织战略组织战略是表明组织如何达到目标,完成使命的整体谋划,是提出详细行动计划的起点,但它又凌驾于任何特定计划的各种细节之上.战略反映了管理者对于行动,环境和业绩之间关键联系的理解,用以确保已确定的使命,愿景,价值观的实现。15二、组织IT战略与安全需求1.组织IT战略组织IT战略IT战略即信息技术战略(ITStrategy)是组织经营战略的有机组成部分,和财务战略、人力资源战略、运作战略等一样,是公司的职能战略。IT战是关于企业信息技术职能的目标及其实现的总体谋划。对于大的组织公司而言,子公司或大的业务单元也会有其相对独立的信息技术战略。16二、组织IT战略与安全需求1.组织IT战略组织IT战略的部分组成使命(Mission):阐述信息技术存在的理由、目的以及在企业中的作用。远景目标(Vision):信息技术的发展方向和结果。中长期目标(MediumtoLong-termObjectives):远景目标的具体化,即企业未来2~3年信息技术发展的具体目标。17二、组织IT战略与安全需求1.组织IT战略组织IT战略的要点战略要点:是实现上述中长期目标的途径或路线。组织IT战略的规划主要围绕信息技术内涵的四个方面展开:硬件与组建网络与通信应用与数据组织与人员18二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产要进行信息安全建设,首先明确安全保护的对象---组织信息资产。19二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产明确安全保护的对象,即明确组织信息资产。分析业务流程识别关键的业务资产确定业务资产的安全所有人和责任人明确安全保护责任20二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产建立组织信息资产目录并进行维护,帮助组织实施有效的信息资产安全保护,实现业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。21二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产在以业务为核心的组织内部,信息资产包括:业务应用软件IT基础设施(硬件、组件、网络通讯等)相关的数据和信息关键业务流程和人员其他信息资产。22二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估安全风险评估的目的在于定义核心信息资产,并且分析应用环境中可能存在的风险。安全风险评估是定义安全需求、选择相应对策以及设计安全系统的基础。23二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估简易风险评估模型:从风险性质上,风险=威胁+弱点+影响考虑风险的影线,风险=威胁*弱点*影响风险三个要素:威胁--事件或行为,一般来自系统外部,可能在某些地方会影响固有的弱点,造成影响.弱点--系统内部考虑之中的弱点,可能在某些地方受到威胁所利用。影响--短期与长期组织影响,威胁碰巧利用弱点。24二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估通过安全风险评估,识别关键业务资产的安全威胁和风险,了解企业的安全现状和风险水平,分析安全需求和安全改进方向。安全需求必须基于风险评估,并且应该在设计阶段开始前确定。25二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定组织需要制定与业务战略和IT战略一致的安全战略,明确企业的安全建设目标和安全建设原则。通过风险评估了解了组织的安全现状和风险水平,企业明确了各个层次的安全需求和改进方向。信息安全战略是组织在一定时期内的一整套安全决策,这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。26二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定制定组织信息安全战略的目标:支持组织战略。平衡的信息安全风险。谨慎而有效的信息安全投资。信息安全建设能够与业务发展和IT能力建设同步。促使信息安全成为业务发展的有力驱动。27二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定基于战略的信息安全需求的内容:范围需求安全的目标需求(可用性、完整性、保密性、不可地耐性等要求)安全的组织需求安全的资源需求安全的管理流程需求(突发事件与持续改进)后续展开这些需求。。。。28三、组织业务与安全需求1.组织业务描述模型组织的分类方法有多种,这里讲的组织按组织的目标分类,可以把组织分为:互益组织:如工会、俱乐部、政党等。工商组织:如工厂、商店、银行等。服务组织:如医院、学校、社会机构等。公益组织:如政府机构、研究机构、消防队等。组织的分类29三、组织业务与安全需求1.组织业务描述模型组织的业务描述模型业务模型是描述业务用例实现的对象模型,它是对业务角色和业务实体之间如何联系和协作以执行业务的一种抽象。30三、组织业务与安全需求1.组织业务描述模型组织的业务描述模型业务流程描述模型刻画以业务表单为中心的应用系统业务流程,解决其业务流程建模中的问题,包括:各类约束的严格描述、权限表示、流程关系、流程推进过程以及业务对象被调度和执行的全过程描述。采用业务流程描述模型的业务系统更容易扩展和维护,能较好地满足用户的需求。31三、组织业务与安全需求1.组织业务描述模型业务描述模型例子---银行业务模型业务事件[UML信号事件-指定的激励表格或文档]和过程(UML用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord32三、组织业务与安全需求1.组织业务描述模型业务描述模型例子---银行业务模型Customer:客户;Teller:出纳员;withdraw:取款;account:账户;BankDB:银行数据库33三、组织业务与安全需求2.基于业务的组织安全需求业务信息资产是企业信息安全保护的核心目标,因此要进行信息安全建设,首先明确安全保护的对象。组织需要通过分析业务流程,识别关键的业务资产,确定业务资产的安全所有人和认责人,明确安全保护责任。业务信息资产安全是组织信息安全保护的核心34三、组织业务与安全需求2.基于业务的组织安全需求组织业务信息资产保护内容在以业务为核心的组织内部,信息资产包括业务硬件与组件、系统与网络通信、应用软件、相关的数据和信息,还包括相关的关键业务流程和人员。35三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求对业务相关信息资产清册,包括硬件与组件、系统与网络通信、应用软件、相关的数据和信息,关键业务流程和人员。建立组织信息资产目录并进行维护,可以帮助企业实施有效的信息资产安全保护,业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。36三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求通过安全风险评估,识别关键业务信息资产的安全威胁和风险,将安全需求列表并排出优先级。确定基于业务的组织安全需求和安全改进方向。37四、符合性的安全需求1.符合性概述符合性需求的意义为了避免任何违反法律、法令、法定的或者合同的义务,使信息系统安全集成和运行置于法律、法规或者合同的约定的要求之下,以避免或减少安全风险。38四、符合性的安全需求1.符合性概述符合性是指符合现行法规、规章、制度,技术规范等。符合性要求组织所有行为必须合法,符合相关的规章制度及规则。就是不但要遵守法律,而且也要符合组织内部、行业等的规章制度。符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素,如环境法规,在某些方面对于整个组织、或整个行业是类似的。什么是符合性39四、符合性的安全需求2.法律法规要求法律法规的识别识别收集与安全集成有关的法律法规并对适应性进行评价,确定其适用范围和具体适应条款,形成适应的法律法规清单。40四、符合性的安全需求2.法律法规要求法律法规的识别评估法律法规复合性的需要定期评估,保持适应的法律、法规的有效最新版本。法律法规复合性的需要定期评价,保持适应的法律、法规的符合性。41四、符合性的安全需求2.法律法规要求知识产权保护需求严格执行国家有关知识产权方面的法律法规,保证使用合法的正版地软件。这些需要,确定合法获得软件的途径合法;审查软件资产清单,确保使用的软件已经被授权;列出需要的软件或未被授权软件清单;确保用户数不超出允许的上限;严禁员工私自安装任何软件。42四、符合性的安全需求2.法律法规要求记录的保护需求应按照法律法规要求和组织规定,明确重要记录的保存期限并适当保护,防止丢失、损坏和伪造;处理与个人数据与信息应按照国家法律法规的规定和相关合同约束,对个人信息进行妥善管理与保护,防止丢失或泄漏个人信息;