信息安全管理
信息安全管理
- 一、信息安全管理概述
- 二、信息安全風險管理
- 1、信息安全風險
- 2、風險管理
- 三、信息安全事件與應急響應
- 1、信息安全事件
- 2、信息安全應急響應
- 3、信息安全應急響應管理過程
一、信息安全管理概述
信息安全管理( Information Security Management ISM)
◆ISM是管理者為實現信息安全目標(如信息資產的CIA等特性、業務運行的持續性)而進行計劃、組織指揮、協調和控制的一系列活動。
◆ISM管理對象是組織的信息及相關資產,包括信息人員、軟件等,同時還包括信息安全目標、信息安全組織架構、信息安全策略規則等。
◆ISM目的是保障組織的業務正常運轉。
成功實施信息安全管理的關鍵因素
◆(1)組織的活動能夠反映組織的業務目標。
◆(2)組織所有級別的管理者能夠給予信息安全實質性的、可見的支持和承諾。
◆(3)組織的管理者對信息安全需求、信息安全風險、風險評估及風險管理有正確深入的理解。
◆(4)向所有管理者、員工和其他相關方提供有效的信息安全宣傳以提升信息安全意識。
◆(5)向所有管理者、員工和其他相關方分發并宣貫信息安全方針、策略和標準。
◆(6)管理者為信息安全建設提供足夠的資金這是信息安全管理成功實施的必要保障。
◆(7)建立有效的信息安全事件管理過程。
◆(8)建立有效的信息安全測量體系。
管理與信息安全管理
◆管理
◆管理者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協調和控制的一系列活動。
◆信息安全管理
◆組織中為了完成信息安全目標,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動
信息安全管理體系
◆什么是信息安全管理體系
◆Information Security Management System,ISMS
◆是管理體系方法在信息安全領域的運用
信息安全管理體系定義
◆定義
信息安全管理體系( Information Security Management System,ISMS)是組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和手段所構成的體系:信息安全管理體系是信息安全管理活動的直接結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
◆信息安全管理體系是整個管理體系的一部分,它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的體系。
◆一般地,信息安全管理體系包括信息安全組織架構、信息安全方針、信息安全規劃活動、信息安全職責,以及信息安全相關的實踐、規程、過程和資源等要素,這些要素既相互關聯,又相互作用
信息安全管理體系的作用
◆對內
◆形成單位可自我持續改進的信息安全管理機制
◆使信息安全的角色和職責清斷,并落實到人
◆確保實現動態的、系統的、制度化的信息安全管理
◆有利于根本上保證業務的連續性,提高市場竟爭力
◆對外
◆能夠使客戶、業務伙伴對單位信息安全充滿信心
◆有助于界定外包雙方的信息安全責任
◆可以使單位更好地滿足審計要求和符合法律法規
◆保證和外部數據交換中的信息安全
建立信息安全管理體系的意義
◆ISMS是組織整體管理體系的一部分,是組織在整體或特定范圍內建立信息安全的方針和目標,以及完成這些目標所用的方法的體系。
◆安全管理體系是安全技術體系真正有效發揮保護作用的重要保障,安全管理體系的涉及立足于總體安全策略,并與安全技術體系相互配合,増強技術防護體系的效率和效果,同時,也彌補當前技術無法完全解決的安全缺陷。
二、信息安全風險管理
1、信息安全風險
什么是信息安全風險
◆信息安全風險就是指在信息系統中,信息安全事件的概率及其結果的組合
◆在本課程中,常簡稱為風險
◆《信息安全風險管理指南》(GBZ24364-2009)
◆信息安全風險是指人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響
信息安全風險的含義
◆信息系統不可能達到絕對安全,但可以通過信息安全風險控制,來實現符合個人或單位目標的一定程度的安全。
◆信息安全管理的核心思想是風險管理,關鍵在于如何控制、化解和規避風險。
◆信息安全風險管理是信息安全管理的基本方法。
信息安全工作中的風險管理
| 安全投資逐年増加,但看不到收益 | 沒有根據風險優先級做安全投資規劃,沒有抓住主要矛盾,導致有限資金的有效利用率低 |
| 按照國家要求或行業要求開展信息安全工作,但安全事件仍出現 | 沒有根據企業自身安全需求部署安全控制措施,沒有突出控制高風險 |
| IT安全需求很多,有限的資金應優先拔向哪個領域 | 決策者沒有看到安全投資收益報告,資金劃撥無參考依據 |
| 當了CIO,時刻擔心系統出事,無法預見可能會出什么事 | 沒有殘余風險清單,在什么條件可被觸發,如何做好控制 |
好的風險管理過程可以讓機構以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平
安全風險的基本概念一一資產
◆資產
◆對單位有價值的信息或資源
◆資產舉例
◆有形的
◆計算機
◆網絡使件設備
◆無形的
◆組織機構的專利
◆知識產權
◆公司形象和名譽
安全風險的基本概念一一威脅
◆成脅
◆能夠通過未授權訪問、毀壞、揭露、數據修改或拒絕服務對系統造成潛在危害的任何環境或事件
◆威脅就是威脅主體發現一個特定的弱點,并將這些弱點用于惡意目的。
◆威脅舉例
◆黑客入侵和攻擊
◆病毒和其他惡意程序
◆軟硬件故障
◆人為誤操作
◆自然災害地震、火災
安全風險的基本概念一一脆弱性
◆脆弱性
◆硬件、軟件或協議在具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統
◆脆弱性舉例
◆系統漏洞、系統后門
◆缺乏安全管理
◆空口令
安全風險要素之間的相互關系
控制措施和殘余風險
◆控制措施
◆通過各種人員、技術、工程和管理等方面的控制措施減少風險,以保護有形和無形的資產,最終達到完成其使命的任務
◆殘余風險
◆在控制措施使用后,系統可能還會存在一些殘留的、沒有被修補的脆弱性,這些殘留的脆弱性仍然可以被威脅主體所利用,從而導致資產存在殘余風險。
2、風險管理
為什么要做風險管理
◆定義
◆信息安全風險管理是識別、控制、消除或最小化可能影響系統資源的不確定因素的過程
◆目的
◆成本與效益平衡
◆好的風險管理過程可以讓機構以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平。
◆工作條理化
◆好的風險管理過程可以使機構用一致的、條理清晰的方式來組織有限的資源,更好地管理風險。
信息安全管理的內容
◆四個階段,兩個貫穿
◆第一步:背景建立
◆根據要保護系統的業務目標和特性,確定風險
◆管理的范圍和對象,明確對象的特性及安全需求
◆第二步:風險評估
◆分析風險和影響、評估風險等級
◆第三步:風險處理
◆選擇和實施合適的安全措施
◆第四步:批準監督
◆對風險評估和風險處理的結果的批準和持續監督
◆監控審查
◆監控
◆監視和控制風險管理過程,及時發現變化和偏差以保證上述四個步驟的過程有效性。
◆分析和平衡成本效益,即成本效益管理,以保證上述四個步驟的成本有效性。
◆審查
◆跟蹤受保護系統自身或所處環境的變化,以保證上述四個步驟結果的有效性。
◆溝通咨詢
◆溝通
◆通過暢通的交流和充分的溝通,保持行動的協調和一致
◆咨詢
◆為相關人員答疑和服務,以提高他們的風險意識和知識。
?與領導溝通,以得到理解和批準
?單位內部各有關部門相互溝通,以得到理解和協作
?與支持單位和系統用戶溝通,以得到了解和支持
風險評估
◆風險評估
◆對信息系統安全性進行分析,了解和認識客觀存在于信息系統中風險的一種手段和方法
◆風險評估重要性
◆風險評估是信息安全管理機制建立的基礎。
◆信息安全需求獲取的主要手段就是風險評估
◆信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監督活動
風險評估的準備
風險評估工作形式
風險評估工作
◆風險評估應以自評估為主,同時可以和檢查評估相互結合、互為補充。
◆自評估和檢査評估可依托自身技術力量進行也可委托第三方機構提供技術支持。
風險評估工作形式:自評估、檢査評估
| 描述 | 信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估 | 上級管理部門組織的或國家有關職能部門依法開展的風險評估 |
| 優點 | 有利于保密、有利于發揮行業和部門內的人員的業務特長、有利于降低風險評估的費用 | 具有權威性、通過行政手段加強信息安全的重要措施 |
| 缺點 | 可能缺乏專業技能,結果不夠深入準確、可能受內部因素影響,結果客觀性易受 | 安全保密管理工作難度較大,實際中常常間隔和抽樣進行,結果可能有偏差 |
風險評估方法
| 定量 | 直觀的數據來表述評估的結果,看起來比較客觀,研究結果更科學,更嚴密,隨著組織建立數據的歷史記錄并獲得經驗,其精確度將隨時間的推移而提高 | 難以確定準確的方法來有效計算資產和控制措施的價值計算過程可能會非常復雜且耗時。風險結果看起來客觀,但可能難以解釋差別,評估成本較大 |
| 定性 | 無需精確量化資產價值大小和風險大小,便于讓非信息安全人員參與和達成一致意見,節約評估過程時長,更便于不是安全或計算機專家人員參與 | 重要風險之間沒有顯著區別,評估結果取決于風險管理小組人員的主觀判斷,對評估者的能力和經驗要求較高 |
| 半定量 | 在評估過程中綜合使用定性和定量的風險評估技術可以綜合定性和定量風險評估的優點,根據實際情況進行高效實施,提供成本效益最佳的風險評估結果 |
風險評估的過程
◆風險評估階段
◆風險分析準備:制定風險評估方案、選擇評估方法。
◆風險要素識別:發現系統存在的威脅、脆弱性和控制措施。
◆風險分析:判斷風險發生的可能性和影響的程度。
◆風險結果判定:綜合分析結果判定風險等級。
風險處理
◆GB/T20984-2007《信息安全風險評估規范》
◆對風險分析結果進行評價,給出相應的等級劃分,得出綜合風險評估結果
常見的四類風險處理方法
◆規避風險
◆通過改變原有計劃來消除風險或風險發生的條件,保護目標免受風險的影響。
◆在沒有足夠安全保障的信息系統中,不處理特別敏感的信息,從而防止敏感信息的泄漏。
◆對于只處理內部業務的信息系統,不使用互聯網,從而避免外部的有害入侵和不良攻擊。
◆通常在風險的損失無法接受,又難以通過控制措施減低風險的情況下
◆轉移風險
◆通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。
◆通常只有當風險不能被降低或避免、且被被轉嫁方接受時才被采用。
轉移風險的具體做法(服務外包和購買保險)
◆在本機構不具備足夠的安全保障的技術能力時,將信息系統的技術體系外包給滿足安全保障要求的第三方機構,從而避免技術風險。
◆通過給昂貴的設備上保險,將設備損失的風險轉移給保險公司,從而降低資產價值的損失
◆降低風險
◆通過采取保護措施來降低風險
◆通常在安全投入小于負面影響價值的情況下采用
◆保護措施
◆減少威脅源
◆遏制打擊威脅來源
◆減低威脅能力
◆部署身份認證措施
◆減少脆弱性
◆及時給系統打補丁、關閉無用的網絡服務端口
◆防護資產
◆設置各種防護措施,保護資產不受侵犯
◆降低負面影響
◆采取容災留份、應急響應等措施
◆接受風險
◆接受風險是選擇對風險不采取進一步的處理措施,接受風險可能帶來的結果。
◆接受風險意味著經過成本效益評估,允許相關風險存在,并接受可能帶來的損失。
◆接受風險不意味著不聞不問,需要對風險態勢變化進行持續的監控,一旦發展為無法接受的風險就要進一步采取措施。
批準監督
◆對風險評估和風險處理的結果的批準
◆持續監督
三、信息安全事件與應急響應
1、信息安全事件
保險柜就一定安全嗎?
◆如果你把鑰匙落在鎖眼上會怎樣?
◆技術措施需要配合正確的使用才能發揮作用。
◆“網絡與信息安全事件”是突發事件的一種也被稱為“信息安全事件”
◆信息安全事件在業界尚未有統一的定義政府管理、科學研究、企業根據各自的關注點對其的理解也存在一定的差異。
◆信息安全事件可以是故意、過失或非人為原因引起的:
◆有害程序事件
◆網絡攻擊事件
◆信息破壞事件
◆信息內容安全事件
◆設備設施故障
◆災害性事件
◆其他信息安全事件
◆對信息安全事件的分級主要考慮三個要素:
◆信息系統的重要程度
◆系統損失
◆社會影響
◆統計結果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發現安全問題實際上都是人的問題,單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的。
◆現實世界里大多數安全事件的發生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解并重視管理對于信息安全的關鍵作用,對于真正實現信息安全目標來說尤其重要。
2、信息安全應急響應
◆信息安全應急響應,是指一個組織為了應對各種安全意外事件的發生所采取的防范措施,既包括預防性措施,也包括事件發生后的應對措施。
◆實踐證明,現實中難以發現和抵御所有威脅,安全事件具有突發性、復雜性,需要建立信息系統安全事件的快速響應機制。
◆應急響應工作的主要任務是做好預先防范,安全事件發生后,盡快做出正確反應,及時阻止事件的發展,并減少損失,使系統恢復正常運行,同時采取追蹤攻擊者及必要的法律行動
◆未雨綢繆:
◆事件發生前管理上可開展安全培訓,制訂安全政策和應急預等
◆技術上則要增加系統安全性,如備份、升級系統與軟件
◆有條件的可以安裝防火墻、入侵檢測系統和殺毒工具等。
◆亡羊補牢:
◆事件發生后可以采取抑制、根除和恢復等措施,減少損失
◆并恢復正常運行,如,隔離、限制或關閉網絡服務:
◆恢復系統及跟蹤總結等。
◆應急響應組織是專門處理安全事件的組織
◆常用的名字是計算機網絡安全事件應急組、計算機安全事件響應組( Computer Security Incident Response Team,CSRT)、信息安全事件響應組( Information Security Incident Response Team,ISRT)或事件響應組( Incident Response Team,IRT).
◆通常,應急響應組織由管理、業務、技術和行政后勤等人員組成。
3、信息安全應急響應管理過程
應急響應六階段
◆應急響應 PDCERF模型
應急響應組織工作
◆成立組織機構
◆領導小組
◆技術保障小組
◆專家小組
◆實施小組
◆日常運行小組
各單位應當根據信息系統的重要性,建立自己的應急響應組!
應急響應工作機構圖示例
應急響應流程—呼叫樹實例
總結
- 上一篇: 美团门店商品批量上传
- 下一篇: UNITY性能优化✨MeshBaker在