2-信息安全管理体系

信息安全管理体系IT治理与信息安全咨询顾问：陈伟培训大纲一、信息安全面临的风险二、保护信息安全的方法三、完善信息安全治理结构四、审视业务进行风险评估五、进行信息安全控制规划六、建立信息安全管理体系七、建立完备的“技术防火墙”八、建立有效的“人力防火墙”九、对信息安全的检查与审计信息系统固有的脆弱性信息本身易传播、易毁损、易伪造信息技术平台（如硬件、网络、系统）的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖，信息的风险加大信息的高附加值会引发盗窃、滥用等威胁一、信息安全面临的风险企业对信息的依赖程度：美国明尼苏达大学Bush-Kugel的研究报告指出，企业在没有信息资料可用的情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在5年后能够继续存活。层出不穷网络安全事件全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于未修补或防范软件漏洞所导致。据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。Baidu灰鸽子吧商业间谍无孔不入在走向现代市场经济的过程中，由于利益多元化格局的形成和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速增加。根据美国对本国1500家公司的调查，有1300家公司承认，它们对国外的竞争对手进行了间谍活动。据估计，美国企业每年投资在经济、科技情报方面的费用高达300亿美元。许多大公司设立专门的竞争情报部门，建立企业竞争情报系统，进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化，而且具有对环境的“早期预警”功能。向对手的商业机密说“不”商业机密泄露使企业遭受损失2004年的一项调查显示，名列《财富》杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元，平均每家公司每年发生2.45次泄密事件，损失超过50万美元。景泰蓝、宣纸、青蒿素、维生素C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失，造成了无可挽回的影响。思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心的泄密事件信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包括：时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000－$530,000我国当前信息安全普遍存在的问题忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立；厂商主导的技术型解决方案为主，用户跟着厂商的步子走；安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；重视安全技术，轻视安全管理，信息安全可靠性没有保证；信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；信息安全人员变成“救火队员”…如何实现信息安全？信息安全＝反病毒软件＋防火墙＋入侵检测系统？管理制度？人的因素？环境因素？Ernst&Young及国内安全机构的分析：国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划66%的组织认为信息系统没有遵守必要的信息安全规则56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。二、保护信息安全的方法信息安全体系模型的演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS人们逐渐认识到安全管理的重要性，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。建立信息安全管理体系对信息安全建立系统工程的观念用制度来保证组织的信息安全更有效信息安全遵循木桶原理对信息系统的各个环节进行统一的综合考虑、规划和构架并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。需要对信息安全进行有效管理BHTP－一种实施ISMS的有效方法业务与策略(BusinessandPolicy)人员与管理(Humanandmanagement)技术与产品(Technologyandproducts)流程与体系(ProcessandFramework)治理与控制环境BHTP模型的关键要素业务与策略根据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。“保护业务，为业务创造价值”应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。人员与管理人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。技术与产品可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原则流程与体系建立良好的IT治理机制是实施信息安全的基础与重要保证。在风险分析的基本上引入恰当控制，建立PDCA的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要建立完整的控制体系来保证安全的持续完善。BHTP的方法论决策层对信息安全看法完善信息安全治理结构审视业务风险评估确定政策安全计划人力防火墙符合安全控制标准？信息系统审计监控业务与安全环境技术防火墙建立信息安全管理体系持续改进调整建立跨部门的信息安全委员会良好的治理结构要求主体单位的IT决策必须由最了解组织整体目标与价值的权威部门来决定。三、完善信息安全治理结构信息安全组织结构示例安全工作小组流程示例审视业务，确定IT原则和信息安全方针在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的前提。组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要出发，确定适宜的IT原则，才能指导信息安全方针的制定。信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、安全策略程序及安全投资计划。IT原则示例信息安全方针示例四、确定IT原则与安全方针五、进行风险评估风险评估的常用方法目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件《信息安全风险评估指南》，这些标准把重点放在信息资产上。缺点：风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产，而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，由于不能方便地定义为信息资产，而往往被视而不见。因此，风险评估经常出现“捡了芝麻、丢了西瓜”，“只见树木，不见森林”的情况。完备的风险评估方法信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风险评估，根据三方面的评估得到最终的风险评估报告。现状调查基线风险评估资产风险评估流程风险评估详细风险评估风险评估报告现状调查的主要内容文档收集与分析组织的基本信息、组织结构图组织人员名单、机构设置、岗位职责说明书业务特征或服务介绍与信息安全管理相关的政策、制度和规范现场访谈安排与相关人员的面谈对员工工作现场的观察加强项目组对企业文化的感知访谈提纲：管理层、部门经理、员工，某员工的访问示例技术评估工具扫描、渗透测试123人工分析系统安全配置完全检测、网络服务安全配置完全检测包括用户安全、操作系统安全、网络服务安全、系统程序安全人工评估记录示例技术评估综述问卷调研安全日常运维现状调研问卷：针对组织中实际的应用、系统、网络状况，从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。从安全日常运维角度出发，更贴近实际运维环境。安全日常运维现状调研问卷《信息安全现状分析报告》基线风险评估所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏ISO27001调查问卷示例0%64%40%67%62%81%56%81%60%60%70%67%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%安全政策信息安全的组织资产管理人力资源安全实体与环境安全通讯与操作管理访问控制信息系统取得、开发及维护信息安全事故管理营运持续管理符合性合计系列1《信息安全管理体系风险评估与处置建议报告》信息资产风险评估针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。《安全风险评估与处置建议报告》安全风险评估表示例资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估安全控制措施的识别与选择降低风险风险管理过程接受风险电子政务风险评估案例IT流程风险评估信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经