信息安全治理的最佳实践（8）
n 安全治理的过程就是发现并消除短木板的过程 ➢ 信息安全的短木板在很多方面都存在 ➢ 以信息防泄漏为例，大多数网关设备能支持访问控制，能 对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他 途径可以泄漏信息，包括移动介质、无线通讯、以及近来 越来越普及的即时通讯工具。
信息安全与运维管理
怎样开展信息安全治理（1）
1、规划 根据组织业务与组织文化，制定安全目标 对组织进行风险评估 制定安全基线
信息安全与运维管理
怎样开展信息安全治理（2）
2、实施 ➢ 根据安全基线，制定安全建设计划、投资回报计划 ➢ 建立信息安全管理框架， ➢ 融合各种安全技术、产品，建设组织安全保障体系。 ➢ 对关键流程制定BCP/DRP计划
n 安全治理是一个动态的过程，而非一次孤立事件 ➢ 安全策略的建立不是安全的终点 ➢ 安全产品的部署也不是安全的终点 ➢ 安全治理根本没有终点，安全治理是一个循环 ➢ 公司业务目标的调整对信息安全的影响 ➢ 新技术、新产品的发展带来隐患或者机遇。wireless，IM， cc攻击等
信息安全与运维管理
确保BCP、DRP的有效性
信息安全与运维管理
怎样开展信息安全治理（4）
4、维护 根据评估结果，进行流程改进 标杆管理，提高安全系统成熟度 持续改进，永不停止
信息安全与运维管理
怎样开展信息安全治理（5）
n 关于人... 上述步骤中，并没有列出“人”的因素，其实在整个安全 治理工作中，“人”是最关键的因素。 对人的安全意识的培养、安全技能的教育伴随着整个安全 治理工作全程，不会仅限于某个特定步骤
• 财务角度
成本预算、投资回报等
• 客户角度
服务质量、客户满意度、需求解决、高效的IT服务台等
• 企业内部运营
业务流程效率、登录时间、故障发生率、故障平均修复时间
• 学习与成长
人才培养，技能发展等
信息安全与运维管理
提纲
n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型
n 国际标准化委员会给出的定义是：“为数据处理系统而采取的 技术的和管理的安全保护，保护计算机硬件、软件、数据不因 偶然的或恶意的原因而遭到破坏、更改、显露”。
信息安全与运维管理
什么是信息安全——信息安全目标总结
n 信息安全的目标 ➢ 机密性 Confidentiality ➢ 完整性 Integrity ➢ 可用性 Availability
信息安全与运维管理
怎样开展信息安全治理（3）
3、评估 ➢ 参照Cobit，开展信息系统审计 ➢ 根据组织的业务流程，建立基于“平衡积分卡”的绩效考
评机制 ➢ 逐步分解“平衡积分卡”为若干个KPI/KGI/Metrics等，
参照安全基线发现差距 ➢ 在尽量不影响业务连续性的前提下，采取有效演练手段，
信息安全与运维管理
怎样开展信息安全治理（6）
n 关于安全成熟度...
系统安全工程能力成熟模型（SSE-CMM）描述了一个组织的安全工程过 程必须包含的本质特征，这些特征是完善的安全工程保。包括6级。
➢ SSE-CMM0: 未实施级 ➢ SSE-CMM1: 非正式实施级
执行基本实施 ➢ SSE-CMM2: 计划和跟踪级
信息安全治理的最佳实践（10）
n 参照但不照搬最佳实践 ➢ 没有一个最佳实践能适应所有情况，包括上述9条:-)
信息安全与运维管理
提纲
n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型
信息安全与运维管理
演讲完毕，谢谢听讲!
信息安全与运维管理
信息安全治理的最佳实践（1）
n 没有管理层支持的安全治理的结果只有一个：失败 ➢ 确保资金、人员的支持 ➢ 管理层的支持在一定程度上说明信息安全治理顺从组织业 务目标 ➢ 怎样得到管理层的支持？？
信息安全与运维管理
信息安全治理的最佳实践（2）
n 没有规划的安全治理，结果也是失败 ➢ 信息安全治理是一个复杂的工程，没有规划只能失败
➢ 可控性 controllability ➢ 真实性 Authenticity ➢ 不可否认性 Non-repudiation
信息安全与运维管理
什么是信息安全——涵盖内容总结
n 信息安全的涵盖内容 物理安全 网络安全 主机安全 应用安全 数据安全 安全管理
信息安全与运维管理
提纲
n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型
信息安全与运维管理
信息安全治理的最佳实践（6）
n 预防为主，检测与纠正并举的安全控制措施 ➢ 安全问题发生的阶段越靠后，解决安全问题付出的代价越 高。 ➢ 信息安全拒绝完美主义，不要试图消除所有的风险 ➢ 虽然不能消除所有的风险，但是可以管理所有风险
信息安全与运维管理
信息安全治理的最佳实践（7）
信息安全与运维管理
什么是IT运维——总结
n IT运维的目标 ➢ 支撑组织业务目标
n IT运维的内容 服务交付 服务支持
IT运维 ≈ ITIL + Cobit + CISA + ISO20000
信息安全与运维管理
提纲
n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型
n IT运维的趋势彰示着安全的未来 IT运维的标准化符合安全的“纵深防御”的理念 IT运维的流程化提高了安全的可管理性，为改进安全工作 提供条件 IT运维的自动化减少了人为失误，降低了安全的成本
信息安全与运维管理
提纲
n 什么是信息安全 n 什么是IT运维 n 信息安全与IT运维的关系 n 怎样开展信息安全工作 n 信息安全最佳实践 n 信息安全工作模型
信息安全与IT运维的关系（4）
n IT运维与信息安全的融合 安全公司试水运维，安全产品强化管理、监控功能，支持 IT运维 运维支持类产品引入安全概念、集成安全技术 信息安全融入IT运维流程中 相关标准的认证工作可以同时进行（ISO20000/270001）
信息安全与运维管理
信息安全与IT运维的关系（5）
n 我国相关立法给出的定义是：“保障计算机及其相关的和配套 的设备、设施（网络）的安全，运行环境的安全，保障信息安 全，保障计算机功能的正常发挥，以维护计算机信息系统的安 全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
信息安全与运维管理
什么是信息安全？（2）
n 国家信息安全重点实验室给出的定义是：“信息安全涉及到信 息的机密性、完整性、可用性、可控性。综合起来说，就是要 保障电子信息的有效性。”
n 英国BS7799信息安全管理标准给出的定义是：“信息安全是 使信息避免一系列威胁，保障商务的连续性，最大限度地减少 商务的损失，最大限度地获取投资和商务的回报，涉及的是机 密性、完整性、可用性。”
信息安全与运维管理
什么是信息安全？（3）
n 美国国家安全局信息保障主任给出的定义是：“因为术语‘信 息安全’一直仅表示信息的机密性，在国防部我们用‘信息保 障’来描述信息安全，也叫‘IA’。它包含5种安全服务，包括 机密性、完整性、可用性、真实性和不可抵赖性。”
信息安全与运维管理
2020/11/4
信息安全与运维管理
什么是信息安全？（1）
关于信息安全的定义很多，国内外、不同组织给出不同的定义， 但我们可以找出其中共性的部分…
n 国内学者的定义：“信息安全保密内容分为：实体安全、运行 安全、数据安全和管理安全四个方面。”
n 我国“计算机信息系统安全专用产品分类原则”中的定义是： “涉及实体安全、 运行安全和信息安全三个方面。”
信息安全与运维管理
什么是IT运维？——互联网定义
IT运维是IT管理的核心和重点部分，也是内容最多、最繁杂的部 分，该阶段主要用于IT部门内部日常运营管理，涉及的对象分 成两大部分，即IT业务系统和运维人员，可细分为七个子系统：
➢ 设备管理：对网络设备、服务器备、操作系统运行状况进行监控 ➢ 应用/服务管理：各种应用软件与服务 ➢ 数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复 ➢ 业务管理：对组织业务系统的监控与管理，CSF/KPI ➢ 目录/内容管理：组织的对内、外信息的管理 ➢ 资产管理：包括物理与逻辑资产 ➢ 信息安全管理： ➢ 日常工作管理：职责分工，绩效考核，知识平台整理等
信息安全与运维管理
信息安全与IT运维的关系（3）
n 安全贯穿了IT运维整个生命周期 ➢ 安全与IT运维都是一个过程，而不是一次事件 ➢ 每个IT运维流程都影响着安全的一个或者多个目标（C.I.A） ➢ 失去安全的IT运维是失败的运维 ➢ 安全的成熟度模型与IT运维的标杆管理是吻合的
信息安全与运维管理
信息安全与运维管理
信息安全与IT运维的关系（2）
n 安全与IT运维共有一个衡量标尺：组织业务目标 ➢ 业务需求驱动信息安全与IT运维需求 ➢ 信息安全与IT运维方案要适应业务流程 ➢ 信息安全与IT运维方案要支撑业务的可持续发展 ➢ 业务目标的调整驱使安全与IT运维的调整 ➢ 投资与企业战略、风险状况密切相关
信息安全与运维管理
信息安全与IT运维的关系（1）
n 安全是IT运维的重要组成模块，对于某些行业是关键模块 ➢ IT运维旨在谋求安全性与方便性 ➢ 安全保障着价值 ➢ 安全正在创造价值...
• 网上银行的安全性吸引了更多的消费者 • 商业秘密的安全措施使得组织更具竞争力 • 电子签名法的出台打消了使用者的安全疑虑 • 具有安全认证与强大容灾能力的邮件系统才能拥有海量的用户