1、1信息系信息系统安全集成安全集成确定安全需求与目确定安全需求与目标.2本章摘要本章摘要本章从组织IT战略出发,根据业务特征、法律法规及合同要求,在充分考虑风险的基础上,确定组织的安全需求和目标,形成各方认可的安全需求文件。摘 要主要内容主要内容一、概述一、概述二、二、组织IT战略与安全需求略与安全需求三、三、组织业务与安全需求与安全需求四、四、符合性的安全需求符合性的安全需求五、五、基于基于风险的安全要求的安全要求六、六、确定确定组织的安全需求的安全需求七、七、确定信息安全目确定信息安全目标4一、概述一、概述1.组织与信息安全需求与信息安全需求从广从广义上上说,组织是指由是指由诸多要素按照一定
2、方式相互多要素按照一定方式相互联系起来系起来的系的系统。从狭从狭义上上说,组织就是指人就是指人们为实现一定的目一定的目标,互相,互相协作作结合而成的集体或合而成的集体或团体,如党体,如党团组织、工会、工会组织、企、企业、军事事组织等等。狭等等。狭义的的组织专门指人群而言,运用于社会管理之中。指人群而言,运用于社会管理之中。n组织概述概述5一、概述一、概述1.组织与信息安全需求与信息安全需求现代社会代社会组织定定义在在现代社会生活中代社会生活中组织是人是人们按照一定的目的、任按照一定的目的、任务和形式和形式编制起来的社会集制起来的社会集团。组织是体是体现一定社会关系、具有一定一定社会关系、具有一
3、定结构形式并且不断从外部汲取构形式并且不断从外部汲取资源以源以实现其目其目标的集合体的集合体。n组织概述概述6一、概述一、概述1.组织与信息安全需求与信息安全需求n组织安全需求安全需求-组织需要保护什么?信息安全的需求,是由于本身或信息安全的需求,是由于本身或类似似组织经历了信息了信息损失之后失之后才有的需求。才有的需求。这些需求包括了从些需求包括了从组织IT层面出面出发贯穿整个穿整个组织业务并符合法律法并符合法律法规、安全、安全监管要求、合同管要求、合同业务要求等,提出要求等,提出复合复合组织的基于的基于风险管理的安全需求。管理的安全需求。组织应该将信息安全集成到将信息安全集成到业务运作的每
4、一个运作的每一个层面。面。7一、概述一、概述1.组织与信息安全需求与信息安全需求n组织安全需求分析的安全需求分析的层次次需求分析的需求分析的层次:次:目目标性需求,定性需求,定义了整个系了整个系统需要达到的目需要达到的目标;功能性需求,定功能性需求,定义了整个系了整个系统必必须完成的任完成的任务;操作性需求,定操作性需求,定义了完成每个任了完成每个任务的具体的人机交互的具体的人机交互.8一、概述一、概述1.组织与信息安全需求与信息安全需求n组织安全需求挖掘的方法安全需求挖掘的方法挖掘需求的方法:挖掘需求的方法:分析特定客分析特定客户的的业务流程和模型流程和模型;与特定客与特定客户进行行讨论与交
5、流与交流(或或联合成立需求合成立需求组),包括:需求,包括:需求讨论会会,与与专家或代表家或代表讨论.通通过调查获取需求,常取需求,常见需求需求调查方式有:与用方式有:与用户交交谈,向,向用用户提提问题等等.9一、概述一、概述1.组织与信息安全需求与信息安全需求n组织安全需求分析的方法安全需求分析的方法风险评估法估法安全需求分析的方法:安全需求分析的方法:资产清册清册风险评估估确定确定风险形成需求形成需求10一、概述一、概述2.组织安全安全风险n安全威安全威胁-引入相关数据图表介绍组织正在遭受越来越多的安全威正在遭受越来越多的安全威胁和攻和攻击破坏破坏。由于由于组织越来越依靠信息越来越依靠信息
6、资源,安全事件不断增源,安全事件不断增长,而安全事,而安全事件造成的件造成的损失以及用于事件失以及用于事件处理的理的财力、人力以及力、人力以及IT资源的投入源的投入需要不断增需要不断增长。11一、概述一、概述2.组织安全安全风险风险是指一个事件是指一个事件产生我生我们所不希望的后果可能性。所不希望的后果可能性。组织的的风险是指是指组织未来未来发生生损失的不确定性。失的不确定性。这些安全些安全风险主要包括了主要包括了业务的的连续性、性、业务流程安全、法律安全要求、合流程安全、法律安全要求、合同安全、同安全、隐私保私保护要求等。要求等。n组织的的风险12一、概述一、概述3.组织信息安全目信息安全目
7、标根据国根据国际信息安全管理信息安全管理标准的描述,信息安全的目准的描述,信息安全的目标是是“通通过防防止和减小安全事故的影响,保止和减小安全事故的影响,保证业务连续性,使性,使业务损失最小化。失最小化。”需要需要进行行IT规划和划和费用用调整以保整以保证适当的安全投入,部署有效的适当的安全投入,部署有效的工具,来解决工具,来解决紧迫的安全迫的安全问题,实现组织的安全目的安全目标。n信息安全的目信息安全的目标13二、组织IT战略与安全需求1.组织IT战略略n组织战略略组织战略是指略是指组织对有关全局性有关全局性,长远性性,纲领性目性目标的的谋划和决策划和决策.14二、组织IT战略与安全需求1.
8、组织IT战略略n组织战略略组织战略是表明略是表明组织如何达到目如何达到目标,完成使命的整体,完成使命的整体谋划划,是提是提出出详细行行动计划的起点划的起点,但它又凌但它又凌驾于任何特定于任何特定计划的各种划的各种细节之上之上.战略反映了管理者略反映了管理者对于行于行动,环境和境和业绩之之间关关键联系的理解系的理解,用以确保已确定的使命用以确保已确定的使命,愿景愿景,价价值观的的实现。15二、组织IT战略与安全需求1.组织IT战略略n组织IT战略略IT战略即信息技略即信息技术战略(略(ITStrategy)是)是组织经营战略的有机略的有机组成成部分,和部分,和财务战略、人力略、人力资源源战略、运
9、作略、运作战略等一略等一样,是公司的,是公司的职能能战略。略。IT战是关于企是关于企业信息技信息技术职能的目能的目标及其及其实现的的总体体谋划。划。对于大的于大的组织公司而言,子公司或大的公司而言,子公司或大的业务单元也会有其相元也会有其相对独独立的信息技立的信息技术战略。略。16二、组织IT战略与安全需求1.组织IT战略略n组织IT战略的部分略的部分组成成使命(使命(Mission):):阐述信息技述信息技术存在的理由、目的以及在企存在的理由、目的以及在企业中的作用。中的作用。远景目景目标(Vision):信息技):信息技术的的发展方向和展方向和结果。果。中中长期目期目标(MediumtoL
10、ong-termObjectives):):远景目景目标的的具体化,即企具体化,即企业未来未来23年信息技年信息技术发展的具体目展的具体目标。17二、组织IT战略与安全需求1.组织IT战略略n组织IT战略的要点略的要点战略要点:是略要点:是实现上述中上述中长期目期目标的途径或路的途径或路线。组织IT战略的略的规划主要划主要围绕信息技信息技术内涵的四个方面展开:内涵的四个方面展开:硬件与硬件与组建建网网络与通信与通信应用与数据用与数据组织与人与人员18二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n组织信息信息资产要要进行信息安全建行信息安全建设,首先明确安全保,首
11、先明确安全保护的的对象象-组织信息信息资产。19二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n组织信息信息资产明确安全保护的对象,即明确组织信息资产。分析分析业务流程流程识别关关键的的业务资产确定确定业务资产的安全所有人和的安全所有人和责任人任人明确安全保明确安全保护责任任20二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n组织信息信息资产建立建立组织信息信息资产目目录并并进行行维护,帮助,帮助组织实施有效的信息施有效的信息资产安全保安全保护,实现业务连续性和灾性和灾难恢复。恢复。在信息在信息资产目目录中中应该定定义资产的安全等的安
12、全等级和安全和安全责任人。任人。21二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n组织信息信息资产在以在以业务为核心的核心的组织内部,信息内部,信息资产包括:包括:业务应用用软件件IT基基础设施(硬件、施(硬件、组件、网件、网络通通讯等)等)相关的数据和信息相关的数据和信息关关键业务流程和人流程和人员其他信息其他信息资产。22二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n安全安全风险的的评估估安全安全风险评估的目的在于定估的目的在于定义核心信息核心信息资产,并且分析,并且分析应用用环境境中可能存在的中可能存在的风险。安全安全风险评
13、估是定估是定义安全需求、安全需求、选择相相应对策以及策以及设计安全系安全系统的基的基础。23二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n安全安全风险的的评估估简易易风险评估模型:估模型:从从风险性性质上上,风险=威威胁+弱点弱点+影响影响 考考虑风险的影的影线,风险=威威胁*弱点弱点*影响影响风险三个要素:三个要素:威威胁-事件或行事件或行为,一般来自系一般来自系统外部外部,可能在某些地方会影响固有的可能在某些地方会影响固有的弱点弱点,造成影响造成影响.弱点弱点-系系统内部考内部考虑之中的弱点之中的弱点,可能在某些地方受到威可能在某些地方受到威胁所利用。所利用
14、。影响影响-短期与短期与长期期组织影响影响,威威胁碰巧利用弱点。碰巧利用弱点。24二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n安全安全风险的的评估估通通过安全安全风险评估,估,识别关关键业务资产的安全威的安全威胁和和风险,了解,了解企企业的安全的安全现状和状和风险水平,分析安全需求和安全改水平,分析安全需求和安全改进方向。方向。安全需求必安全需求必须基于基于风险评估,并且估,并且应该在在设计阶段开始前确定。段开始前确定。25二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n基于基于战略的信息安全需求的确定略的信息安全需求的确定组织需
15、要制定与需要制定与业务战略和略和IT战略一致的安全略一致的安全战略,明确企略,明确企业的的安全建安全建设目目标和安全建和安全建设原原则。通通过风险评估了解了估了解了组织的安全的安全现状和状和风险水平,企水平,企业明确了明确了各个各个层次的安全需求和改次的安全需求和改进方向。方向。信息安全信息安全战略是略是组织在一定在一定时期内的一整套安全决策,期内的一整套安全决策,这一决一决策决定了企策决定了企业的安全策略和制度、流程、行的安全策略和制度、流程、行为和技和技术的建的建设。26二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n基于基于战略的信息安全需求的确定略的信息安
16、全需求的确定制定组织信息安全战略的目标:支持支持组织战略。略。平衡的信息安全平衡的信息安全风险。谨慎而有效的信息安全投慎而有效的信息安全投资。信息安全建信息安全建设能能够与与业务发展和展和IT能力建能力建设同同步。步。促使信息安全成促使信息安全成为业务发展的有力展的有力驱动。27二、组织IT战略与安全需求2.基于基于战略的略的组织信息信息安全需求安全需求n基于基于战略的信息安全需求的确定略的信息安全需求的确定基于战略的信息安全需求的内容:范范围需求需求安全的目安全的目标需求(可用性、完整性、保密性、不可地耐性等要求)需求(可用性、完整性、保密性、不可地耐性等要求)安全的安全的组织需求需求安全的
17、安全的资源需求源需求安全的管理流程需求(突安全的管理流程需求(突发事件与持事件与持续改改进)后续展开这些需求。28三、组织业务与安全需求1.组织业务描述模型描述模型组织的分的分类方法有多种,方法有多种,这里里讲的的组织按按组织的目的目标分分类,可,可以把以把组织分分为:互益互益组织:如工会、俱:如工会、俱乐部、政党等。部、政党等。工商工商组织:如工厂、商店、:如工厂、商店、银行等。行等。服服务组织:如医院、学校、社会机构等。:如医院、学校、社会机构等。公益公益组织:如政府机构、研究机构、消防:如政府机构、研究机构、消防队等。等。n组织的分的分类29三、组织业务与安全需求1.组织业务描述模型描述
18、模型n组织的的业务描述模型描述模型业务模型是描述模型是描述业务用例用例实现的的对象象模型,它是模型,它是对业务角色和角色和业务实体之体之间如何如何联系和系和协作以作以执行行业务的一种的一种抽象。抽象。30三、组织业务与安全需求1.组织业务描述模型描述模型n组织的的业务描述模型描述模型业务流程描述模型刻画以流程描述模型刻画以业务表表单为中心的中心的应用系用系统业务流程,流程,解决其解决其业务流程建模中的流程建模中的问题,包括包括:各各类约束的束的严格描述、格描述、权限表限表示、流程关系、流程推示、流程关系、流程推进过程以及程以及业务对象被象被调度和度和执行的全行的全过程描述。程描述。采用采用业务
19、流程描述模型的流程描述模型的业务系系统更容易更容易扩展和展和维护,能能较好地好地满足用足用户的需求。的需求。31三、组织业务与安全需求1.组织业务描述模型描述模型n业务描述模型例子描述模型例子-银行行业务模型模型业务事件事件UML信号事件信号事件-指定的激励表格或文档指定的激励表格或文档和和过程程(UML 用例用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord32三、组织业务与安全需求1.组织业务描述模型描述模型n业务描述
20、模型例子描述模型例子-银行行业务模型模型Customer:客户;Teller:出纳员;withdraw:取款;account:账户;BankDB:银行数据库33三、组织业务与安全需求2.基于基于业务的的组织安全需求安全需求业务信息信息资产是企是企业信息安全保信息安全保护的核心目的核心目标,因此要,因此要进行信息行信息安全建安全建设,首先明确安全保,首先明确安全保护的的对象。象。组织需要通需要通过分析分析业务流流程,程,识别关关键的的业务资产,确定,确定业务资产的安全所有人和的安全所有人和认责人,人,明确安全保明确安全保护责任。任。n业务信息信息资产安全是安全是组织信息安全保信息安全保护的核心的
21、核心34三、组织业务与安全需求2.基于基于业务的的组织安全需求安全需求n组织业务信息信息资产保保护内容内容在以在以业务为核心的核心的组织内部,信息内部,信息资产包括包括业务硬件与硬件与组件、系件、系统与网与网络通信、通信、应用用软件、相关的数据和信息,件、相关的数据和信息,还包括相关的关包括相关的关键业务流程和人流程和人员。35三、组织业务与安全需求2.基于基于业务的的组织安全需求安全需求n基于基于业务的的组织安全需求安全需求对业务相关信息相关信息资产清册,包括硬件与清册,包括硬件与组件、系件、系统与网与网络通信、通信、应用用软件、相关的数据和信息,关件、相关的数据和信息,关键业务流程和人流程
22、和人员。建立建立组织信息信息资产目目录并并进行行维护,可以帮助企,可以帮助企业实施有效的信施有效的信息息资产安全保安全保护,业务连续性和灾性和灾难恢复。在信息恢复。在信息资产目目录中中应该定定义资产的安全等的安全等级和安全和安全责任人。任人。36三、组织业务与安全需求2.基于基于业务的的组织安全需求安全需求n基于基于业务的的组织安全需求安全需求通通过安全安全风险评估,估,识别关关键业务信息信息资产的安全威的安全威胁和和风险,将安全需求列表并排出将安全需求列表并排出优先先级。确定基于确定基于业务的的组织安全需求和安全改安全需求和安全改进方向。方向。37四四、符合性的安全需求符合性的安全需求1.符
23、合性概述符合性概述n符合性需求的意符合性需求的意义为了避免任何了避免任何违反法律、法令、法定的或者合同的反法律、法令、法定的或者合同的义务,使信息系,使信息系统安全集成和运行置于法律、法安全集成和运行置于法律、法规或者或者合同的合同的约定的要求之下,以避免或减少安全定的要求之下,以避免或减少安全风险。38四四、符合性的安全需求符合性的安全需求1.符合性概述符合性概述符合性是指符合符合性是指符合现行法行法规、规章、制度,技章、制度,技术规范等。范等。符合性要求符合性要求组织所有行所有行为必必须合法,符合相关的合法,符合相关的规章制度及章制度及规则。就是不但要遵守法律,而且也要符合就是不但要遵守法
24、律,而且也要符合组织内部、行内部、行业等的等的规章制章制度。度。符合性与遵守符合性与遵守组织适用的法律和法适用的法律和法规有关。它有关。它们依依赖于外部因素,于外部因素,如如环境法境法规,在某些方面,在某些方面对于整个于整个组织、或整个行、或整个行业是是类似的。似的。n什么是符合性什么是符合性39四四、符合性的安全需求符合性的安全需求2.法律法法律法规要求要求n法律法法律法规的的识别识别收集与安全集成有关的法律法收集与安全集成有关的法律法规并并对适适应性性进行行评价,价,确定其适用范确定其适用范围和具体适和具体适应条款,形成适条款,形成适应的法律法的法律法规清清单。40四四、符合性的安全需求符
25、合性的安全需求2.法律法法律法规要求要求n法律法法律法规的的识别评估估法律法法律法规复合性的需要定期复合性的需要定期评估,保持适估,保持适应的法律、法的法律、法规的有效最新版本。的有效最新版本。法律法法律法规复合性的需要定期复合性的需要定期评价,保持适价,保持适应的法律、法的法律、法规的符合性。的符合性。41四四、符合性的安全需求符合性的安全需求2.法律法法律法规要求要求n知知识产权保保护需求需求严格格执行国家有关知行国家有关知识产权方面的法律法方面的法律法规,保,保证使用合法的正使用合法的正版地版地软件。件。这些需要,些需要,确定合法确定合法获得得软件的途径合法;件的途径合法;审查软件件资产
26、清清单,确保使用的,确保使用的软件已件已经被授被授权;列出需要的列出需要的软件或未被授件或未被授权软件清件清单;确保用确保用户数不超出允数不超出允许的上限;的上限;严禁禁员工私自安装任何工私自安装任何软件。件。42四四、符合性的安全需求符合性的安全需求2.法律法法律法规要求要求n记录的保的保护需求需求应按照法律法按照法律法规要求和要求和组织规定,明确重要定,明确重要记录的保存期限并适的保存期限并适当保当保护,防止,防止丢失、失、损坏和坏和伪造;造;处理与个人数据与信息理与个人数据与信息应按照国家法律法按照国家法律法规的的规定和相关合同定和相关合同约束,束,对个人信息个人信息进行妥善管理与保行妥
27、善管理与保护,防止,防止丢失或泄漏个人信息;失或泄漏个人信息;将需要保将需要保护记录和个数据与人信息列出清和个数据与人信息列出清单,并明确保,并明确保护要求。要求。43四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求安全安全监管管是是为预防和遏制防和遏制组织内信息系内信息系统缺陷、或用缺陷、或用户滥权、或、或管理不善管理不善导致信息安全事件的致信息安全事件的发生,并保生,并保证及及时处理由理由此引起的各此引起的各类安全事件,减安全事件,减轻或消除信息安全事件造成或消除信息安全事件造成的的经济损失或信誉失或信誉损失,确保失,确保组织业务的的连续性。性。44四四、符合性的安全需求符
28、合性的安全需求3.安全安全监管要求管要求安全安全监管的要求主要分管的要求主要分为:国家要求;国家要求;行行业要求;要求;组织内部;内部;其他其他监管要求。管要求。45四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n信息安全等信息安全等级保保护管理的要求管理的要求什么是信息安全等什么是信息安全等级保保护信息安全等信息安全等级保保护是指国家秘密信息、法人和其他是指国家秘密信息、法人和其他组织及公民的及公民的专有信息以及公开信息和存有信息以及公开信息和存储、传输、处理理这些信息的信息系些信息的信息系统分等分等级实行安全保行安全保护,对信息系信息系统中使用的信息安全中使用的信息安全产
29、品品实行按行按等等级管理,管理,对信息系信息系统中中发生的信息安全事件分等生的信息安全事件分等级响响应、处置。置。46四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n信息安全等信息安全等级保保护管理的要求管理的要求组织对信息和信息系信息和信息系统分等分等级进行保行保护的需求:的需求:信息安全等信息安全等级保保护管理要求信息和信息系管理要求信息和信息系统分等分等级进行保行保护,按,按组织的利益,社会公众利益,的利益,社会公众利益,对国家安全的影响一共分国家安全的影响一共分为五五级,第一第一级是最低的,第五是最低的,第五级是最高。是最高。确定确定组织是否是否强制或自愿制或自愿纳入
30、信息安全等入信息安全等级保保护管理,明确管理,明确纳入入分分级保保护的的级别。47四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n信息安全等信息安全等级保保护管理的要求管理的要求组织对信息系信息系统安全安全专用用产品分等品分等级的需求:的需求:信息安全等信息安全等级保保护管理要求管理要求对信息系信息系统安全安全专用用产品分等品分等级进行管理,行管理,根据可控性、可靠性、安全性和可根据可控性、可靠性、安全性和可监督性督性这四个属性确定信息系四个属性确定信息系统使使用的安全用的安全产品等品等级,各个,各个单位使用的安全位使用的安全产品品应该是分等是分等级的。定了的。定了三三级的系
31、的系统不能使用二不能使用二级以下的安全以下的安全产品;品;确定确定组织纳入分入分级保保护的的级别,明确使用信息安全,明确使用信息安全产品的等品的等级需求。需求。48四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n信息安全等信息安全等级保保护管理的要求管理的要求组织对所所发生的信息安全事件分等生的信息安全事件分等级进行响行响应和和处置的需求:置的需求:信息安全等信息安全等级保保护管理要求,管理要求,对所所发生的信息安全事件分等生的信息安全事件分等级进行响行响应和和处置,置,对不同的信息安全事件,由不同的信息安全事件,由监管部管部门牵头组织全全社会的社会的应急响急响应和和单位的位
32、的应急响急响应相相结合,最大限度的减合,最大限度的减轻信息信息安全事件造成的安全事件造成的损失。失。确定确定组织纳入分入分级保保护的的级别,明确信息安全事件响,明确信息安全事件响应的等的等级需需求。求。49四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n组织内部信息安全内部信息安全监管要求管要求监管范管范围与内容:与内容:定定义监管范管范围,明确定,明确定义组织物理物理边界,信息系界,信息系统部部署的物理署的物理边界,界,应用运行的区域;用运行的区域;明确明确监管管设备,包括防火,包括防火墙、入侵、入侵检测系系统、鉴权系系统、服、服务器、路由器、交器、路由器、交换机等;机等;
33、50四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n组织内部信息安全内部信息安全监管要求管要求监管范管范围与内容:与内容:操作系操作系统与与应用系用系统日志,包括操作系日志,包括操作系统、数据、数据库管管理系理系统、应用系用系统及及设备运行域操作日志的运行域操作日志的监管要求;管要求;网站内容网站内容监管,网站内容管,网站内容发布的布的监控与控与审计要求,非要求,非法、敏感法、敏感类信息以及克信息以及克访问性的适性的适时监管要求。管要求。51四四、符合性的安全需求符合性的安全需求3.安全安全监管要求管要求n组织内部信息安全内部信息安全监管要求管要求监管管职责:内部内部监管机构
34、的指定与管机构的指定与监管管责任的定任的定义,如,如谁分管,哪个部分管,哪个部门承担承担监管管责任,任,对监管管对象、安全事件象、安全事件处理,上下理,上下协调等等责任的任的定定义;监管人管人员的的监管管职责的明确,日常的明确,日常监管要求,管要求,问题处理方式与理方式与报告流程;告流程;事件分事件分类及事件及事件处理流程定理流程定义。52四四、符合性的安全需求符合性的安全需求4.合同合同业务要求要求合同受到法律保合同受到法律保护:合同是当事人之合同是当事人之间设立、立、变更、更、终止民事关系的止民事关系的协议。依法成立的合同,受法律保依法成立的合同,受法律保护。组织明确双方合同明确双方合同协
35、议中中对信息安全的要求。信息安全的要求。n组织在合同在合同业务中中对信息安全的要求信息安全的要求53四四、符合性的安全需求符合性的安全需求4.合同合同业务要求要求将双方合同将双方合同协议中中对信息安全的要求列出作信息安全的要求列出作为安全集成中的需求安全集成中的需求管理;管理;组织也需要明确提出第三方机构及人也需要明确提出第三方机构及人员的信息安全要求,涉及第的信息安全要求,涉及第三方接触本三方接触本组织的信息的信息处理理设备应当基于正式的合同提出所有的当基于正式的合同提出所有的基于信息安全的要求,以便确保符合基于信息安全的要求,以便确保符合组织的安全政策和的安全政策和标准。准。n组织在合同在
36、合同业务中中对信息安全的要求信息安全的要求54五五、基于基于风险风险的安全要求的安全要求1.风险管理管理综述述n风险的定的定义风险大致有两种定大致有两种定义:一种定:一种定义强调了了风险表表现为不确定性;而另一种定不确定性;而另一种定义则强调风险表表现为损失的不确定性。失的不确定性。学学术界界对风险的内涵的内涵还没有没有统一的定一的定义,由,由于于对风险的理解和的理解和认识程度不同,或程度不同,或对风险的研究的角度不同,不同的学者的研究的角度不同,不同的学者对风险概念概念有着不同的解有着不同的解释。55五五、基于基于风险风险的安全要求的安全要求1.风险管理管理综述述n信息安全信息安全风险在信息
37、安全在信息安全领域来域来讲我我们这样来定来定义风险:风险就是就是发生生损失事件的概率,失事件的概率,也可以也可以说是是损失失发生的不确定性,生的不确定性,即信息即信息资产遭受破坏或被非正常利用遭受破坏或被非正常利用给组织带来来损失的可能性。失的可能性。56五五、基于基于风险风险的安全要求的安全要求1.风险管理管理综述述n风险管理管理风险管理是指通过风险识别、风险评估与分析、风险处置、风险监控等一系列活动来消除或减少风险的管理过程。风险识别风险评估与分析估与分析风险处置置风险监控控57五五、基于基于风险风险的安全要求的安全要求1.风险管理管理综述述n风险管理管理风险管理必管理必须识别、分析、分析
38、风险,风险识别是确定何种是确定何种风险可能会可能会对组织产生影响,最重要的是量化不确定性的程度和每个生影响,最重要的是量化不确定性的程度和每个风险可能造成可能造成损失的程失的程度。度。风险管理要着眼于管理要着眼于风险控制,控制,组织通常采用通常采用积极的措施来控制极的措施来控制风险。通。通过降低其降低其损失失发生的概率,生的概率,缩小其小其损失程度来达到控制目的。失程度来达到控制目的。风险管理要学会管理要学会规避避风险,在既定目,在既定目标不不变的情况下,改的情况下,改变方案的方案的实施施路径,从根本上消除特定的路径,从根本上消除特定的风险因素。因素。58五五、基于基于风险风险的安全要求的安全
39、要求1.风险管理管理综述述n风险评估估对信息和信息信息和信息处理理设施面施面临的威的威胁、受到的影响、存在、受到的影响、存在的弱点以及威的弱点以及威胁发生的可能性的生的可能性的评估。估。风险评估是确定估是确定风险优先先级的方法。的方法。大多数大多数风险评估都基于定量估都基于定量风险评估和定性估和定性风险评估估这两种方法或两种方法或这两种方法的两种方法的组合。合。59五五、基于基于风险风险的安全要求的安全要求2.风险与安全需求与安全需求组织需要根据需要根据对信息信息资产风险评估的估的结果,果,结合合业务需求来确定需求来确定组织安全需求。安全需求。安全需求中不安全需求中不仅包括具体信息包括具体信息
40、资产对安全的要求,安全的要求,还应包括包括软件功能方面的安全需求,以及物理安全、管件功能方面的安全需求,以及物理安全、管理流程、系理流程、系统管理等非管理等非软件方面的需求。件方面的需求。n风险评估与安全需求估与安全需求60五五、基于基于风险风险的安全要求的安全要求2.风险与安全需求与安全需求组织根据根据应用以及关用以及关键数据的重要程度,确定所需要采数据的重要程度,确定所需要采用的安全机制。用的安全机制。通通过安全安全风险评估明确存在估明确存在风险的关的关键的的业务资产和和业务流程,流程,识别其安全需求和安全其安全需求和安全现状。状。n风险评估与安全需求估与安全需求61五五、基于基于风险风险
41、的安全要求的安全要求2.风险与安全需求与安全需求安全安全风险的可接受水平以及安全需求的确的可接受水平以及安全需求的确认,需要,需要业务人人员和管理和管理层来确来确认,应该将将实施控制措施的支出施控制措施的支出与安全故障可能造成的与安全故障可能造成的业务损失失进行行权衡考衡考虑,对安安全建全建设的方向和目的方向和目标进行决策。行决策。n风险评估与安全需求估与安全需求62六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协商商n协商商协商是利益关系者共同商量以便取得一致意商是利益关系者共同商量以便取得一致意见。63六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协
42、商商n安全需求的安全需求的协商商对于信息安全的需求,在符合国家于信息安全的需求,在符合国家法律、行法律、行业规定、以及上定、以及上级主管部主管部门、组织内部不同机构、以及客内部不同机构、以及客户等的需求重点不一等的需求重点不一样,同,同时组织建建设信息系信息系统,保,保证信息安全信息安全还受投受投资限制,因此需要限制,因此需要对信息安全的需信息安全的需求求进行商量,以最行商量,以最终求得各方一致求得各方一致认同的适合同的适合组织建建设的安全需求。的安全需求。需求平衡投资平衡64六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协商商n整理需求整理需求有有优先先顺序的序的安全需求
43、清安全需求清单业务的的组织安全需求安全需求符合性的安全需求符合性的安全需求合同合同业务要求要求风险的安全要求的安全要求65六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协商商n利益关系者利益关系者间沟通沟通沟通是沟通是为了一个了一个设定的目定的目标,把信息、思想和情感在个,把信息、思想和情感在个人或群体人或群体间传递,并且达成共同,并且达成共同协议的的过程。程。信息安全需求的沟通,是将将信息安全需求的沟通,是将将组织业务的的组织安全需求安全需求、符合性的安全需求、合同、符合性的安全需求、合同业务要求,以及要求,以及风险的安全的安全要求要求综合合处理成有理成有优先先顺序的安全
44、需求清序的安全需求清单,用,用这个清个清单去向各利益关系者去向各利益关系者传达,收集意达,收集意见和建和建议,以达成一,以达成一致意致意见。66六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协商商n与利益关系者沟通的步与利益关系者沟通的步骤:第一步第一步 事前准事前准备第一步第一步 阐述述观点点第一步第一步 收集信息收集信息第一步第一步 处理异理异议第一步第一步 达成一致达成一致67六六、确定确定组织组织的安全需求的安全需求1.安全需求的安全需求的协商商n与利益关系者有效沟通的基本技巧与利益关系者有效沟通的基本技巧组织清晰清晰语言言简洁关注非关注非语言的暗示言的暗示倾听沟通
45、听沟通对象表达象表达求同存异有效反求同存异有效反馈68六六、确定确定组织组织的安全需求的安全需求2.安全需求的确定安全需求的确定n根据沟通根据沟通结果重新整理需求清果重新整理需求清单意意意意见见建建建建议议需求需求需求需求清清清清单单经多方多方协商后商后的达成基本一的达成基本一致的需求清致的需求清单69六六、确定确定组织组织的安全需求的安全需求2.安全需求的确定安全需求的确定n召开会召开会议形成多方形成多方认可的需求清可的需求清单在与各方充分沟通的达成基本一致的基在与各方充分沟通的达成基本一致的基础上,召开关系者代表全体会上,召开关系者代表全体会议,传达沟通达沟通结果,形成多方果,形成多方认可
46、的需求清可的需求清单,并,并签注确注确认。召开关召开关召开关召开关系者代系者代系者代系者代表会表会表会表会议议经多方多方认可可的需求清的需求清单签字确认70七七、确定信息安全目确定信息安全目标标总体目体目标的起草与确定的起草与确定组织定定义信息安全信息安全总目目标:确保确保组织的信息的信息资产的机密的机密性、完整性和可用性性、完整性和可用性(不同的(不同的组织可能会可能会还有不可抵有不可抵赖性等),性等),为组织业务应用提供安全、用提供安全、稳定、定、连续的的IT支支撑撑。起草起草起草起草总总目目目目标标形成形成经确确认的的总体目体目标高层会议确认71七七、确定信息安全目确定信息安全目标标分目
47、分目标的起草与确定的起草与确定n分目分目标的起草与确定的起草与确定在确在确认总目目标的基的基础上,分解上,分解具体管理目具体管理目标,可,可按照可用性、完整性和按照可用性、完整性和机密性机密性以及其他如不可抵以及其他如不可抵赖性等性等面定面定义安全安全目目标。组织安全安全总体目体目标可用性可用性目目标完整性完整性目目标机密性机密性目目标其他安全目其他安全目标72七七、确定信息安全目确定信息安全目标标n可用性可用性目目标分目分目标的起草与确定的起草与确定在多方在多方认可的需求清可的需求清单形成形成组织的可用性目的可用性目标,例如:,例如:序号序号目目标测量方式量方式1互联网系统需达到99.5%的
48、可用性每月通过提交服务报告方式,统计的服务时间,来计算服务可用性。2内联网系统需达到99.5%的可用性每月通过提交服务报告方式,统计的服务时间,来计算服务可用性。3系统管理服务可用性的目标:关键业务服务器系统每年故障不超过12次,其他系统每月故障不超过8次。每月通过提交服务报告方式,统计的服务时间,来计算服务可用性。73七七、确定信息安全目确定信息安全目标标n完整性完整性目目标分目分目标的起草与确定的起草与确定在多方在多方认可的需求清可的需求清单形成形成组织的完整性目的完整性目标,例如:,例如:序号序号目目标测量方式量方式1保证收费信息的完整。在内审中进行评审,评估信息的有效性。未经授权的破坏
49、或修改的件数少于10件/年。2保证重要文档信息的完整。在内审中进行评审,评估信息的有效性。未经授权的破坏或修改的件数少于10件/年。374七七、确定信息安全目确定信息安全目标标n机密性机密性目目标分目分目标的起草与确定的起草与确定序号序号目目标测量方式量方式11.不同密级的信息资产应得到适当程度的保护,不会被非授权访问。2.无信息泄密事件1)在控制措施有效性测量中完成。随机抽查10个人的访问权限,是否和访问权限表里的一致。百分比参数取决于:达到要求的数量/抽查的数*100%2)信息泄密控制在5件/年以下。在多方在多方认可的需求清可的需求清单形成形成组织的机密性目的机密性目标,例如:,例如:75七七、确定信息安全目确定信息安全目标标n分目分目标确定确定分目分目标的起草与确定的起草与确定分目分目分目分目标标与与与与测测量方法清量方法清量方法清量方法清单单形成形成经确确认的的组织信息安全具体目信息安全具体目标高层会议确认76七七、确定信息安全目确定信息安全目标标汇总组织具体安全目具体安全目标n汇总安全目安全目标组织组织信息安信息安信息安信息安全全全全总总体目体目体目体目标标确定确定组织信信息安全目息安全目标分目分目分目分目标标与与与与测测量方法清量方法清量方法清量方法清单单+77 谢谢 谢谢 !谢谢观看!