信息安全管理体系
IT治理与信息安全咨询顾问：陈伟
培训大纲
一、信息安全面临的风险 二、保护信息安全的方法 三、 完善信息安全治理结构 四、审视业务进行风险评估
五、进行信息安全控制规划
六、建立信息安全管理体系 七、建立完备的“技术防火墙”
八、建立有效的“人力防火墙”
九、对信息安全的检查与审计
一、 信息安全面临的风险
治理与控制环境

BHTP模型的关键要素

业务与策略

根据业务需要在组织中建立信息安全策略，以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命，也是组织进行有效安全管理的基础和依据。 “保护业务，为业务创造价值”应当是一切安全工作的出发点与归 宿，最有效的方式不是从现有的工作方式开始应用信息安全技术， 而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安 全

在走向现代市场经济的过程中，由于利益多元化格局的形成 和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速 增加。 根据美国对本国1500家公司的调查，有1300家公司承认，它 们对国外的竞争对手进行了间谍活动。据估计，美国企业每 年投资在经济、科技情报方面的费用高达300亿美元。 许多大公司设立专门的竞争情报部门，建立企业竞争情报系 统，进入世界500强的美国公司中90%设有竞争情报部。如 IBM、微软、陶氏科宁、可口可乐等公司的竞争情报系统不仅 能够时刻监视竞争对手的动向和环境的变化，而且具有对环 境的“早期预警”功能。

我国当前信息安全普遍存在的问题

忽略了信息化的治理机制与控制体系的建立，和信息化“游戏 规则”的建立； 厂商主导的技术型解决方案为主，用户跟着厂商的步子走；


安全只重视边界安全，没有在应用层面和内容层面考虑业务安 全问题；
重视安全技术，轻视安全管理，信息安全可靠性没有保证；



信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；


触目惊心的泄密事件 华为诉前员工窃密案

信息安全损失的“冰山”理论


信息安全直接损失只是冰由之一角， 间接损失是直接损失是6－53倍 间接损失包括：



时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏
$10,000
$60,000－$530,000
技术评估综述 人工评估记录示例 安全日常运维现状调研问卷
《信息安全现状分析报告》

基线风险评估


所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅 仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等 各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行 详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重 点信息安全风险进行管理与控制。 ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指 导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此， 风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现 状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的 是不会有遗漏


可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔 离、可信服务、安全服务、备份恢复、PKI服务、取证、网络 入侵陷阱、主动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原 则 建立良好的IT治理机制是实施信息安全的基础与重要保证。 在风险分析的基本上引入恰当控制，建立PDCA的安全管理体 系，从而保证组织赖以生存的信息资产的安全性、完整性和可 用性 安全体系统还应当随着组织环境的变化、业务发展和信息技术 提高而不断改进，不能一劳永逸，一成不变，需要建立完整的 控制体系来保证安全的持续完善。
信息系统取得、 开发及维护
ISO27001调查问卷示例
IT原则示例 信息安全方针示例

五、 进行风险评估

风险评估的常用方法

目前国内ISMS风险评估的方法主 要参照ISO13335的有关定义及国 信办9号文件《信息安全风险评估 指南》，这些标准把重点放在信 息资产上 。 缺点：风险评估人员一般最容易 找到的资产无非就是硬件类、软 件类的资产，而对安全来说至关 重要的IT治理、组织政策、人员 管理、职责分配、业务流程、教 育培训等问题，由于不能方便地 定义为信息资产，而往往被视而 不见。 因此，风险评估经常出现“捡了 芝麻、丢了西瓜”，“只见树木， 不见森林”的情况。
需要对信息安全进行有效管理

BHTP－一种实施ISMS的有效方法

业务与策略(Business and Policy) 人员与管理(Human and management) 技术与产品(Technology and products) 流程与体系(Process and Framework)
人们逐渐认识到安全管理的重要性， 作为信息安全建设蓝图的安全体系就应该 顾及安全管理的内容。

建立信息安全管理体系

对信息安全建立系统工程的观念 用制度来保证组织的信息安全更有效

信息安全遵循木桶原理

对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的安全缺 陷都会对系统构成威胁。
完备的来自险评估方法 信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉 及到治理机制、业务流程、人员管理、企业文化等内容。 通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通 过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒 度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风 险评估，根据三方面的评估得到最终的风险评估报告。
现状调查
基线风险评估
详细风险评估
资产风险评估 流程风险评估
风险评估报告

现状调查的主要内容

文档收集与分析

组织的基本信息、组织结构图 组织人员名单、机构设置、岗位职责说明书 业务特征或服务介绍 与信息安全管理相关的政策、制度和规范 安排与相关人员的面谈 对员工工作现场的观察 加强项目组对企业文化的感知

层出不穷网络安全事件

全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25% 被攻破;窃取商业信息的事件每月260%的速度增加。



公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显 示，54％的被调查单位发生过信息网络安全事件，比去年上升5％，其 中发生过3次以上的占22％，比去年上升7％。73％的安全事件是由于 未修补或防范软件漏洞所导致。 据统计2006年产生的电脑病毒和木马的数量达到23万个，其中90%以 上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重 威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的 个人及企业用户中毒，直接及间接经济损失高达亿元以上。 据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其 中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行 为，严重威胁着互联网的安全。
信息安全组织结构示例
安全工作小组流程示例
四、 确定IT原则与安全方针

审视业务，确定IT原则和信息安全方针

在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业 务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的 前提。 组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要 出发，确定适宜的IT原则，才能指导信息安全方针的制定。

流程与体系



BHTP的方法论
完善信息安全 治理结构 审视业务 风险评估 确定政策 安全计划 建立信息安全 管理体系
持 续 改 进
人力防火墙
技术防火墙
调 整
信息系统 审计
符合安全 控制标准？
监控业务与 安全环境
决策层对信息安全看法
三、 完善信息安全治理结构

建立跨部门的信息安全委员会

良好的治理结构要求主体单位的IT 决策必须由最了解组织整体 目标与价值的权威部门来决定。

信息系统固有的脆弱性

信息本身易传播、易毁损、易伪造 信息技术平台（如硬件、网络、系统）的复杂性与脆弱性 行动的远程化使安全管理面临挑战

信息具有的重要价值

信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁
企业对信息的依赖程度： 美国明尼苏达大学Bush-Kugel的研究报告指出， 企业在没有信息资料可用的情况下，金融业至多 只能运行2天，商业则为3.3天，工业则为5天， 保险业为5.6天。而以经济情况来看，有25%的 企业，因为的毁损可能立即破产，40%会在两 年内宣布破产，只有7%不到的企业在5年后能 够继续存活。


向对手的商业机密说“不”

商业机密泄露使企业遭受损失

2004年的一项调查显示，名列《财富》杂志前1000名的公司每 年因泄露商业机密而出现的损失高达450亿美元，平均 每家公司 每年发生2.45次泄密事件，损失超过50万美元。 景泰蓝、宣纸、青蒿素 、维生素C生产技术的泄密和铷铁硼专 利被封杀都给我国企业和国家带来了重大的经济损失，造成了 无可挽回的影响。 思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受 了损失。
信息安全人员变成“救火队员” …
二、 保护信息安全的方法

如何实现信息安全？

信息安全＝反病毒软件＋防火墙＋入侵检测系统？