CISM0301信息安全管理基础

信息安全管理基础中国信息安全测评中心201408191课程内容2信息安全管理基础信息安全管理概念信息安全等级保护信息安全风险管理信息安全应急响应信息安全灾难恢复知识体：信息安全管理基础知识域：信息安全管理概念了解信息安全管理的概念和内涵理解信息安全管理和信息安全技术的关系33信息安全事件分析统计结果表明，在所有信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要44信息安全管理的需求5如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？56防火墙内网主机服务器Web服务器Internet防火墙精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求6管理与信息安全管理管理管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动7规则项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织人员·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程7目标信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂信息安全管理是预防、阻止或减少信息安全事件发生的重要保障对于信息安全，到底是技术更重要，还是管理更重要？“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则8技术和产品是基础，管理才是关键。产品和技术，要通过管理的组织职能才能发挥最佳作用适宜的、易于理解、方便操作的安全策略对信息安全至关重要安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现，但要让安全技术发挥应有的作用，必然要有适当管理程序的支持，否则，安全技术只能趋于僵化和失败根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用9实施信息安全管理的关键成功因素制定符合业务目标的信息安全策略。安全策略、目标和活动应该反映业务目标实施符合单位文化的信息安全方案确保管理层的实质支持和承诺理解信息安全要求和风险管理概念加强信息安全管理作用和意义的宣传提供信息安全培训和教育制定信息安全事件管理过程建立信息安全测量体系,评估信息安全管理体系的表现，提供反馈建议供改进10知识体：信息安全管理基础知识域：信息安全风险管理理解信息安全风险的含义，理解威胁、脆弱性、影响和风险等要素含义及相互关系掌握信息安全风险管理的主要内容和流程理解风险评估的作用、工作形式和评估方法1111信息安全工作中的风险管理常见问题问题根源浅析安全投资逐年增加，但看不到收益没有根据风险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低按照国家要求或行业要求开展信息安全工作，但安全事件仍出现没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险。IT安全需求很多，有限的资金应优先拨向哪个领域决策者没有看到安全投资收益报告，资金划拨无参考依据。当了CIO，时刻担心系统出事，无法预见可能会出什么事没有残余风险清单，在什么条件可被触发，如何做好控制12好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平什么是信息安全风险信息安全风险就是指在信息系统中，信息安全事件的概率及其结果的组合《信息安全风险管理指南》（GB/Z24364-2009）信息安全风险是指“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”13资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于安全风险的基本概念——资产资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……14安全风险的基本概念——威胁威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问……自然灾害如：地震、火灾15安全风险的基本概念——脆弱性脆弱性是与信息资产有关的弱点或安全隐患脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当……16安全风险要素之间的相互关系17所有者脆弱性控制措施威胁主体威胁资产风险使命希望完成价值希望最小化利用可能被减少减少施加于可能意识到引起滥用或破坏阻碍或破坏利用增加到导致到到为什么要做风险管理定义信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程目的成本与效益平衡•好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化•好的风险管理过程可以使机构用一致的、条理清晰的方式来组织有限的资源，更好地管理风险18信息安全风险管理的内容四个阶段，两个贯穿。19背景建立风险评估风险处理批准监督沟通咨询监控审查信息安全风险管理的内容第一步：背景建立即根据要保护系统的业务目标和特性，确定风险管理的范围和对象，明确对象的特性及安全需求第二步：风险评估分析风险和影响、评估风险等级风险评估是信息安全管理的基础第三步：风险处理依据风险评估的结果，选择和实施合适的安全措施第四步：批准监督对风险评估和风险处理的结果的批准和持续监督20风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动风险分析准备：制定风险评估方案、选择评估方法风险要素识别：发现系统存在的威胁、脆弱性和控制措施风险分析：判断风险发生的可能性和影响的程度风险结果判定：综合分析结果判定风险等级21风险处理过程风险处理批准监督处理措施选择现存风险判断处理目标确立确定可接受风险等级判断现存风险是否可接受明确风险处理需求确立风险处理目标选择风险处理方式确定风险处理措施制定风险处理实施计划实施风险处理措施沟通咨询监控审查处理措施实施风险评估接受否是22规避风险转移风险降低风险接受风险常用的四类风险处置方法23规避风险通过改变原有计划来消除风险或风险发生的条件，保护目标免受风险的影响在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击。通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下24转移风险通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险通常只有当风险不能被降低或避免、且被被转嫁方接受时才被采用25转移风险的具体做法在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系外包给满足安全保障要求的第三方机构，从而避免技术风险通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失26购买保险服务外包降低风险通过采取保护措施来降低风险通常在安全投入小于负面影响价值的情况下采用保护措施减少威胁源•遏制打击威胁来源减低威胁能力•部署身份认证措施减少脆弱性•及时给系统打补丁、关闭无用的网络服务端口防护资产•设置各种防护措施，保护资产不受侵犯降低负面影响•采取容灾备份、应急响应等措施27接受风险接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果接受风险意味着经过成本效益评估，允许相关风险存在，并接受可能带来的损失接受风险不意味着不闻不问，需要对风险态势变化进行持续的监控，一旦发展为无法接受的风险就要进一步采取措施28批准监督和监控审查批准监督批准：决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定监督：监督检查信息系统以及信息安全相关的环境有无变化，是否有可能引入新风险监控审查监视和控制风险管理过程，及时发现变化和偏差，以保证上述四个步骤的过程有效性跟踪受保护系统自身或所处环境的变化，以保证上述四个步骤结果的有效性29沟通咨询通过畅通的交流和充分的沟通，保持行动的协调和一致通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能风险管理•与领导沟通，以得到理解和批准。•单位内部各有关部门相互沟通，以得到理解和协作。•与支持单位和系统用户沟通，以得到了解和支持。•为所有层面的相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能30信息安全风险评估工作风险评估重要性风险评估是信息安全管理机制建立的基础信息安全需求获取的主要手段就是风险评估风险评估工作形式自评估、检查评估风险评估应以自评估为主，同时可以和检查评估相互结合、互为补充自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持31风险评估的工作形式—自评估自评估信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估优点有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用缺点可能缺乏专业技能，结果不够深入准确可能受内部因素影响，结果客观性易受影响32风险评估的工作形式—检查评估检查评估上级管理部门组织的或国家有关职能部门依法开展的风险评估优点：具权威性通过行政手段加强信息安全的重要措施缺点：安全保密管理工作难度较大实际中常常间隔和抽样进行，难于贯穿信息系统的生命周期33风险评估方法34方法优点缺点定量直观的数据来表述评估的结果，看起来比较客观研究结果更科学，更严密随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高难以确定准确的方法来有效计算资产和控制措施的价值取得风险一致意见的过程非常耗时。计算可能会非常复杂且耗时。风险结果以财务术语表达，对非技术性人员而言可能难以解释。评估成本较大定性无需精确量化资产价值大小和风险大小便于让非信息安全人员参与和达成一致意见，节约评估过程时长更便于不是安全或计算机专家的人员参与重要风险之间没有显著区别评估结果取决于风险管理小组人员的主观判断对评估者的能力和经验要求较高半定量在评估过程中综合使用定性和定量的风险评估技术可以综合定性和定量风险评估的优点，根据实际情况进行高效实施提供成本效益最佳的风险评估结果风险评估过程35风险评估准备36风险要素识别37需要保护的资产清单面临的威胁列表存在的脆弱性列表识别需要保护的资产并赋值识别面临的威胁并赋值识别存在的脆弱性并赋值漏洞库威胁库信息系统的安全要求报告信息系统的描述报告信息系统的分析报告已有安全措施列表确认已有的安全措施风险分析38风险分析参考GB/T20984-2007《信息安全风险评估规范》39威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件造成的损失风险值威胁识别脆弱性识别资产识别风险结果判定对风险分析结果进行评价，给出相应的等级划分40评估风险的等级综合评估风险状况风险计算报告风险综合评价系统风险程度等级列表风险评估报告知识体：信息安全管理基础知识域：信息安全等级保护掌握等级保护的定级要素及级别划分准则了解等级保护的工作流程理解等级保护有关的重要国家政策和标准理解等级保护的管理要求主要内容4