信息安全治理
㈠ 如何加強網路安全管理技術
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。
㈡ CIO如何面對企業信息安全架構與IT治理問題
在IT系統給企業帶來活力、利潤和競爭力的同時,也給企業增加了因此而帶來的風險——日益依賴IT系統的企業面臨著因IT系統故障導致的業務災難。不難看出,如何最大限度地降低IT對業務的負面影響,IT系統如何充分為企業戰略目標服務,如何獲得IT價值最大化,這便是每個企業都必須要真接面對的信息安全與IT治理的問題。 一問理念:如何理解信息安全架構與IT治理的關系? 2007年在上海舉辦的「IT治理與安全大會」上,微軟公司大中華區信息安全總監何迪生先生表示,假如把信息安全治理比作指引組織進行安全項目的路標,那麼安全架構和設計便是組織通往信息安全這個目標所用的交通工具的基本結構。它包括用於設計、實施、監控和保護操作系統、設備、網路、應用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結構和標准。 事實上,建立完善的信息安全架構對於整個IT治理來說至關重要。沒有了信息安全架構,IT治理根本無從談起。 據Hillstone安全專家介紹,IT治理需要遵從特定的原則,並在企業統一、完善及健全的安全架構中去實現,這是一個系統工程,需要從信息安全本身直至企業內部的每個員工共同來實現。每個期望通過信息化來達到快速發展的企業都需要將應用安全架構以及IT治理作為工作重心之一。 任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展,但由於系統缺陷、人為誤操作、系統攻擊等不可預料的各種風險也同樣使得企業面臨著巨大的災難。因此,企業用戶更應該建立統一、完善、健全的信息安全架構來規范IT系統行為,通過建立冗餘機制、災備機制、詳盡的策略遵從機制等各種風險控制機制來降低整個企業的IT系統風險。 事實上,IT系統誕生之初就決定了它不可能「堅如磐石」,系統問題在所難免,但「因噎廢食」的做法和思路絕不可取,用戶需要的是在問題出現的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。 此前深信服的安全產品經理鄔迪舉例說,早在2005年,國務院信息化辦公室攜手電筒子政務、銀行、電力、鐵路、民航、證券、保險、海關、稅務等行業,聯合起草的《重要信息系統災難恢復指南》就正式出台了,災備的作法將是解決IT系統故障的一方良葯,但很可惜因國內廣域網的緩慢傳輸速度,災備至今還未得到普遍推廣和應用,如何大幅提升廣域網的傳輸速度將是這方良葯能否發揮作用的前提。 另外,數據傳輸的安全性也是必須考慮的問題。員工利用企業網路訪問一些不良網站,同時一些員工在上班時間在論壇博客上發表一些不負責任的言論……這些行為無疑給企業帶來一系列的法律風險和商業災難。 其實解決此類問題非常簡單,只需在企業網路部署一台專用的內容管理設備就可以了。此類設備通過強大的數據中心,很方便地控制審計企業內網流向外網的每一個數據,防止機密的泄露和引起法律風險,即使問題出現也可以做到有據可查。而類似的處理方式都預示著一個問題:IT系統風險隨時存在,但是任何風險都可以降低,甚至是可以完全避免的。IT系統問題導致業務災難的風險,IT監管問題導致法律災難的風險,都可以利用IT自身的安全架構與技術設計來應對。 二問風險:如何才能平衡IT架構中的風險? 有業內人士指出,風險控制是一門系統科學,風險降得越低需要的支出就越多。所有的企業都在尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。設備級別的冗餘機制是企業用戶選擇最多、也是見效最快的一種降低設備故障風險的方法。 當然,不可否認,利用先進的信息系統架構確實能夠幫助企業很好地完成一部分風險管理和企業治理的工作。但是Hillstone的安全專家認為,風險管理和企業治理中有很大一部分工作是針對自然人的,這就為風險管理和企業治理工作帶來了很大的不確定性以及不統一性。 無疑,這就要求IT經理在進行信息系統架構設計與治理的同時,必須了解到安全架構設計應該和企業的安全策略相吻合,否則就不能實現企業的安全目標。換句話說,只有在充分考慮人的因素的前提下,用IT治理IT才能發揮出更大的積極作用。 因此一些用戶反映,在進行一個信息系統的設計時,需要對目標系統的眾多需求進行平衡,這些需求包括功能、靈活性、性能、易用性、成本、業務需求和安全。需要強調的是,安全應該在系統設計中的開始階段就作為一個要害因素進行考慮。 此前新華人壽的IT經理杜大軍表示說,如果在信息架構的開發過程中使用了超過業務需求的安全性能,就會導致用戶體驗的惡化,但降低安全性能也會導致系統的部署和運行維護成本大增。 不難看出,想要平衡IT架構中的安全風險,就必須在IT系統設計的過程中平衡多種需求,這些需求可能是來自業務部門,或者來自企業的方方面面。安全架構的設計者通常需要根據組成構架的每個元素的重要性來確定如何進行取捨和開發。 在設計階段考慮安全性並不會增加太多的工作量,恰恰相反,這種安全思路貫穿始終的做法可以平滑地嵌入到架構設計的各個階段,這樣就可以保證安全性隨著架構設計逐漸的完成而完成。 基於此,不少安全專家認為安全架構從概念上說,就是從安全形度審閱整個系統架構,它主要提供系統架構所需要的安全服務、機制、技術和功能,不僅可以平衡架構設計與應用中的安全風險,而且可以提供如何進行安全設施部署的建議。 但無論如何,信息系統架構安全仍然是一個相對的概念,安全威脅無時無刻不在增加,只有不斷地加固才能獲得更加有效的安全。整個IT系統的安全涉及方方面面,任何一個地方的疏漏都會成為整個系統的致命短板。因此對用戶來說,目前情況下在整體信息安全架構的基礎上搭建安全防護設備能夠確保企業IT安全的最大化。 三問出路:如何解決信息安全架構與IT治理實現中的技術與管理挑戰? 首先,從技術方面看,目前隨著網路應用的快速發展,基於數據應用層的安全防護以及風險控製得到越來越多企業用戶的關注。然而為了實現整個信息系統的安全架構,核心網關設備的應用層性能成為了各個企業實現統一安全架構的攔路虎。據Hillstone的安全專家介紹,基於應用處理的高性能安全網關是推動安全架構發展的技術因素之一,只有越來越多的高速設備出爐,才能從技術上確保網關層面的安全。 前面說了,高度集中的應用層安全網關還只是技術環境中的一方面。據何迪生透露,企業如果希望獲得完整的信息系統架構安全並在此基礎上獲得IT治理的效益,那麼部署一套全方位的安全系統方案是不可避免的。 比如,對現代企業來說,確保其信息基礎架構的安全性已經成為主要任務。在這個過程中,信息與各種協作工具對大多數企業的日常運營來說都至關重要。不幸的是,這些工具常常成為攻擊者的目標。因此,企業的CIO必須確保信息和協作基礎架構不受外部威脅的干擾,避免企業的工作效率受到影響,從而導致內部問題或者泄露機密信息。 面對種類繁多且不斷變化的安全威脅,信息和協作基礎架構應具備多層保護機制,在攻擊影響到企業網路之前就要解決問題。對此,他的看法是,多個保護層能夠減少因單一威脅而導致的網路癱瘓問題。目前的焦點在於,所有的安全廠商都有各自獨特的需求,他們提供不同的安全產品和服務。因此,如果要實現全架構的安全防護,安全技術本身也要具有適應性。 以微軟的技術方案為例:Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網路之前就進行過濾;Microsoft Forefront內部部署軟體可以保護關鍵應用伺服器免受內部威脅侵害,並能執行內容規則;Microsoft Internet and Security Acceleration(ISA)Server 2006可實現協議層和應用層的檢查,以確保安全地實現Exchange Server、Live Communication Server和SharePoint Portal Server的遠程訪問;而Microsoft Windows Rights Management Services(RMS)與Microsoft Office Outlook 2003客戶端應用配合工作,可以確保敏感的電子郵件和文檔不致泄漏出公司之外。 其實,類似的技術方案有很多,無怪乎都是從多層次、大縱深為出發點。換句話說,一個有效的技術方案,除了為企業整個基礎架構提供防禦之外,還必須採用縱深防禦策略,通過多種技術來發現並防禦安全威脅。事實上,依靠多種技術低於攻擊或誤操作,有助於消除整體安全架構中的單個故障點。 文章作者:趙曉濤
㈢ 什麼是信息安全什麼是信息安全事件
隨著科技的發展,網路信息安全越來越重要,信息泄露不僅僅是個人問題,,每個企業乃至國家都要重視起來那什麼是信息安全?什麼是信息安全事件?
信息安全是什麼:
信息安全是指信息系統受到保護,不受偶然的或者惡意的原因而受到損壞、變動、泄漏,系統持續可靠正常運行,信息服務不中斷,最終實現業務連續性。包含如下五方面的內容:即需保證信息的保密性、真實性、完整性、未授權拷貝及所寄生系統的安全性。
信息安全有四個層面:
1.硬體安全:信息系統安全的緊張成就,包括硬體的穩定性、可靠性和可用性
2.軟體安全:如保護信息系統不被造孽侵入,系統軟體和應用軟體不被造孽復制、篡改,不受惡意軟體侵害等
3.數據安全(傳統的信息安全):採取措施確保數據免受未授權的透露、篡改,不受惡意軟體侵害等
4.安全治理:運行時突發事件的安全處理等,包括建立安全治理軌制,睜開安全審計和風險分析等
信息安全有三個關系:
1.系統硬體和操縱系統的安全 等於 信息安全基礎
2.密碼學、收集安全 等於 信息安全的核心和關鍵
3.信息系統安全 等於 信息安全的目標
主要的網路安全威脅:
重放、重定向、拒絕服務、惡意軟體、社會工程、偽裝假冒、否認抵賴、破壞完整性、破壞機密性、信息量分析等
信息安全法律法規:
《中華人民共和國網路安全法》條例中提到,國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,保障網路安全,避免網路安全受到干擾、破壞,防止網路信息數據泄露或者被竊取、篡改。提供的網路產品、服務的不得設置惡意程序;如果發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,並及時反饋響應部門領導。
網路威脅案例:
事件1:英特爾晶元漏洞
影響評級:★★★★
時間:2018.1.3
原因:處理器存在一個底層設計缺陷。
影響范圍:該漏洞會影響許多CPU,包括來自英特爾、AMD、ARM的晶元,以及搭配運行的設備和操作系統,迫使Linux和Windows內核需要展開重大的重新設計。
警示:沒有百分百的安全,企業要未雨綢繆,早做准備。
事件2:美國HancockHealth支付解密5.5萬美元贖金
影響評級:★★★
時間:2018.1.16
攻擊方法:暴力破解RDP 埠,勒索軟體SamSam對系統進行控制。
影響范圍:技術員暫停了醫院的整個網路,要求員工關閉所有計算機,以避免勒索軟體傳播到其他計算機,醫護人員利用筆和紙代替計算機來繼續工作。
警示:醫院是最易被攻擊的機構,容災建設很關鍵。
事件3:「黑客」入侵快遞公司後台盜近億客戶信息
影響評級:★★★
時間:2018.5.12
原因:「黑客」非法入侵快遞公司後台竊取客戶信息。
影響范圍:中國公民信息泄露近1億條,導致個人經常接到貸款、買房、工藝品等廣告騷擾電話。
㈣ 政府信息安全如何保障
促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享。
網路安全保障措施不斷得到完善,網路安全防護水平進一步提升,在持續推進依法治理網路空間安全的同時,新《國家安全法》、《反恐怖主義法》、《網路安全法》和《國家網路空間安全戰略》等多項信息空間法律法規或戰略制定並發布,相信在不久的將來我國將會躋身世界信息強國之列。
㈤ 如何面對企業管理中的信息安全
在IT系統給企業帶來活力、利潤和競爭力的同時,也給企業增加了因此而帶來的風險——日益依賴IT系統的企業面臨著因IT系統故障導致的業務災難。不難看出,如何最大限度地降低IT對業務的負面影響,IT系統如何充分為企業戰略目標服務,如何獲得IT價值最大化,這便是每個企業都必須要真接面對的信息安全與IT治理的問題。 一問理念:如何理解信息安全架構與IT治理的關系? 2007年在上海舉辦的「IT治理與安全大會」上,微軟公司大中華區信息安全總監何迪生先生表示,假如把信息安全治理比作指引組織進行安全項目的路標,那麼安全架構和設計便是組織通往信息安全這個目標所用的交通工具的基本結構。它包括用於設計、實施、監控和保護操作系統、設備、網路、應用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結構和標准。 事實上,建立完善的信息安全架構對於整個IT治理來說至關重要。沒有了信息安全架構,IT治理根本無從談起。 據Hillstone安全專家介紹,IT治理需要遵從特定的原則,並在企業統一、完善及健全的安全架構中去實現,這是一個系統工程,需要從信息安全本身直至企業內部的每個員工共同來實現。每個期望通過信息化來達到快速發展的企業都需要將應用安全架構以及IT治理作為工作重心之一。 任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展,但由於系統缺陷、人為誤操作、系統攻擊等不可預料的各種風險也同樣使得企業面臨著巨大的災難。因此,企業用戶更應該建立統一、完善、健全的信息安全架構來規范IT系統行為,通過建立冗餘機制、災備機制、詳盡的策略遵從機制等各種風險控制機制來降低整個企業的IT系統風險。 事實上,IT系統誕生之初就決定了它不可能「堅如磐石」,系統問題在所難免,但「因噎廢食」的做法和思路絕不可取,用戶需要的是在問題出現的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。 此前深信服的安全產品經理鄔迪舉例說,早在2005年,國務院信息化辦公室攜手電筒子政務、銀行、電力、鐵路、民航、證券、保險、海關、稅務等行業,聯合起草的《重要信息系統災難恢復指南》就正式出台了,災備的作法將是解決IT系統故障的一方良葯,但很可惜因國內廣域網的緩慢傳輸速度,災備至今還未得到普遍推廣和應用,如何大幅提升廣域網的傳輸速度將是這方良葯能否發揮作用的前提。 另外,數據傳輸的安全性也是必須考慮的問題。員工利用企業網路訪問一些不良網站,同時一些員工在上班時間在論壇博客上發表一些不負責任的言論……這些行為無疑給企業帶來一系列的法律風險和商業災難。 其實解決此類問題非常簡單,只需在企業網路部署一台專用的內容管理設備就可以了。此類設備通過強大的數據中心,很方便地控制審計企業內網流向外網的每一個數據,防止機密的泄露和引起法律風險,即使問題出現也可以做到有據可查。而類似的處理方式都預示著一個問題:IT系統風險隨時存在,但是任何風險都可以降低,甚至是可以完全避免的。IT系統問題導致業務災難的風險,IT監管問題導致法律災難的風險,都可以利用IT自身的安全架構與技術設計來應對。 二問風險:如何才能平衡IT架構中的風險? 有業內人士指出,風險控制是一門系統科學,風險降得越低需要的支出就越多。所有的企業都在尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。設備級別的冗餘機制是企業用戶選擇最多、也是見效最快的一種降低設備故障風險的方法。 當然,不可否認,利用先進的信息系統架構確實能夠幫助企業很好地完成一部分風險管理和企業治理的工作。但是Hillstone的安全專家認為,風險管理和企業治理中有很大一部分工作是針對自然人的,這就為風險管理和企業治理工作帶來了很大的不確定性以及不統一性。 無疑,這就要求IT經理在進行信息系統架構設計與治理的同時,必須了解到安全架構設計應該和企業的安全策略相吻合,否則就不能實現企業的安全目標。換句話說,只有在充分考慮人的因素的前提下,用IT治理IT才能發揮出更大的積極作用。 因此一些用戶反映,在進行一個信息系統的設計時,需要對目標系統的眾多需求進行平衡,這些需求包括功能、靈活性、性能、易用性、成本、業務需求和安全。需要強調的是,安全應該在系統設計中的開始階段就作為一個要害因素進行考慮。 此前新華人壽的IT經理杜大軍表示說,如果在信息架構的開發過程中使用了超過業務需求的安全性能,就會導致用戶體驗的惡化,但降低安全性能也會導致系統的部署和運行維護成本大增。 不難看出,想要平衡IT架構中的安全風險,就必須在IT系統設計的過程中平衡多種需求,這些需求可能是來自業務部門,或者來自企業的方方面面。安全架構的設計者通常需要根據組成構架的每個元素的重要性來確定如何進行取捨和開發。 在設計階段考慮安全性並不會增加太多的工作量,恰恰相反,這種安全思路貫穿始終的做法可以平滑地嵌入到架構設計的各個階段,這樣就可以保證安全性隨著架構設計逐漸的完成而完成。 基於此,不少安全專家認為安全架構從概念上說,就是從安全形度審閱整個系統架構,它主要提供系統架構所需要的安全服務、機制、技術和功能,不僅可以平衡架構設計與應用中的安全風險,而且可以提供如何進行安全設施部署的建議。 但無論如何,信息系統架構安全仍然是一個相對的概念,安全威脅無時無刻不在增加,只有不斷地加固才能獲得更加有效的安全。整個IT系統的安全涉及方方面面,任何一個地方的疏漏都會成為整個系統的致命短板。因此對用戶來說,目前情況下在整體信息安全架構的基礎上搭建安全防護設備能夠確保企業IT安全的最大化。 三問出路:如何解決信息安全架構與IT治理實現中的技術與管理挑戰? 首先,從技術方面看,目前隨著網路應用的快速發展,基於數據應用層的安全防護以及風險控製得到越來越多企業用戶的關注。然而為了實現整個信息系統的安全架構,核心網關設備的應用層性能成為了各個企業實現統一安全架構的攔路虎。據Hillstone的安全專家介紹,基於應用處理的高性能安全網關是推動安全架構發展的技術因素之一,只有越來越多的高速設備出爐,才能從技術上確保網關層面的安全。 前面說了,高度集中的應用層安全網關還只是技術環境中的一方面。據何迪生透露,企業如果希望獲得完整的信息系統架構安全並在此基礎上獲得IT治理的效益,那麼部署一套全方位的安全系統方案是不可避免的。 比如,對現代企業來說,確保其信息基礎架構的安全性已經成為主要任務。在這個過程中,信息與各種協作工具對大多數企業的日常運營來說都至關重要。不幸的是,這些工具常常成為攻擊者的目標。因此,企業的CIO必須確保信息和協作基礎架構不受外部威脅的干擾,避免企業的工作效率受到影響,從而導致內部問題或者泄露機密信息。 面對種類繁多且不斷變化的安全威脅,信息和協作基礎架構應具備多層保護機制,在攻擊影響到企業網路之前就要解決問題。對此,他的看法是,多個保護層能夠減少因單一威脅而導致的網路癱瘓問題。目前的焦點在於,所有的安全廠商都有各自獨特的需求,他們提供不同的安全產品和服務。因此,如果要實現全架構的安全防護,安全技術本身也要具有適應性。 以微軟的技術方案為例:Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網路之前就進行過濾;Microsoft Forefront內部部署軟體可以保護關鍵應用伺服器免受內部威脅侵害,並能執行內容規則;Microsoft Internet and Security Acceleration(ISA)Server 2006可實現協議層和應用層的檢查,以確保安全地實現Exchange Server、Live Communication Server和SharePoint Portal Server的遠程訪問;而Microsoft Windows Rights Management Services(RMS)與Microsoft Office Outlook 2003客戶端應用配合工作,可以確保敏感的電子郵件和文檔不致泄漏出公司之外。 其實,類似的技術方案有很多,無怪乎都是從多層次、大縱深為出發點。換句話說,一個有效的技術方案,除了為企業整個基礎架構提供防禦之外,還必須採用縱深防禦策略,通過多種技術來發現並防禦安全威脅。事實上,依靠多種技術低於攻擊或誤操作,有助於消除整體安全架構中的單個故障點。
㈥ 如何構建有效的信息安全保障體系
轉載以下資料,僅供參考:
如何有效構建信息安全保障體系;隨著信息化的發展,政府或企業對信息資源的依賴程度;通常所指的信息安全保障體系包含了信息安全的管理體;構建第一步確定信息安全管理體系建設具體目標;信息安全管理體系建設是組織在整體或特定范圍內建立;信息安全的組織體系:是指為了在某個組織內部為了完;的特定的組織結構,其中包括:決策、管理、執行和監;信息安全的策略體系:是指信息安全總體
如何有效構建信息安全保障體系
隨著信息化的發展,政府或企業對信息資源的依賴程度越來越大,沒有各種信息系統的支持,很多政府或企業其核心的業務和職能幾乎無法正常運行。這無疑說 明信息系統比傳統的實物資產更加脆弱,更容易受到損害,更應該加以妥善保護。而目前,隨著互聯網和網路技術的發展,對於政府或企業的信息系統來講,更是面 臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標准化組織都在尋求一種完善的體系,來有效的保障信息系統的全面安全。於是,信息安全保障體系應運而 生,其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設,讓政府或企業的信息系統面臨的風險能夠達到一個可以控制 的標准,進一步保障信息系統的運行效率。
通常所指的信息安全保障體系包含了信息安全的管理體系、技術體系以及運維體系。本文將重點介紹信息安全管理體系的建設方法。
構建第一步 確定信息安全管理體系建設具體目標
信息安全管理體系建設是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。
信息安全的組織體系:是指為了在某個組織內部為了完成信息安全的方針和目標而組成
的特定的組織結構,其中包括:決策、管理、執行和監管機構四部分組成。
信息安全的策略體系:是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。策略體系從上而下分為三個層次:
第一層 策略總綱
策略總綱是該團體組織內信息安全方面的基本制度,是組織內任何部門和人不能違反的,說明了信息安全工作的總體要求。
第二層 技術指南和管理規定
遵循策略總綱的原則,結合具體部門、應用和實際情況而制定的較專業要求和方法以及技術手段。包括以下兩個部分:
技術指南:從技術角度提出要求和方法;
管理規定:側重組織和管理,明確職責和要求,並提供考核依據。
第三層 操作手冊、工作細則、實施流程
遵循策略總綱的原則和技術指南和管理規定,結合實際工作,針對具體系統,對第二層的技術指南和管理規定進行細化,形成可指導和規范具體工作的操作手冊及工作流程,保證安全工作的制度化、日常化。
構建第二步 確定適合的信息安全建設方法論
太極多年信息安全建設積累的信息安全保障體系建設方法論,也稱「1-5-4-3-4」。即:運用1個基礎理論,參照5個標准,圍繞4個體系,形成3道防線,最終實現4個目標。
一、風險管理基礎理論
信息系統風險管理方法論就是建立統一安全保障體系,建立有效的應用控制機制,實現應用系統與安全系統全面集成,形成完備的信息系統流程式控制制體系,確保信息系統的效率與效果。
二、遵循五個相關國內國際標准
在信息安全保障體系的建立過程中我們充分遵循國內國際的相關標准:
ISO 27001標准
等級保護建設
分級保護建設
IT流程式控制制管理(COBIT)
IT流程與服務管理(ITIL/ISO20000)
三、建立四個信息安全保障體系
信息安全組織保障體系:建立信息安全決策、管理、執行以及監管的機構,明確各級機構的角色與職責,完善信息安全管理與控制的流程。
信息安全管理保障體系:是信息安全組織、運作、技術體系標准化、制度化後形成的一整套對信息安全的管理規定。
信息安全技術保障體系:綜合利用各種成熟的信息安全技術與產品,實現不同層次的身份鑒別、訪問控制、數據完整性、數據保密性和抗抵賴等安全功能。
信息安全運維保障體系:在信息安全管理體系規范和指導下,通過安全運行管理,規范運行管理、安全監控、事件處理、變更管理過程,及時、准確、快速地處理安全問題,保障業務平台系統和應用系統的穩定可靠運行。
四、三道防線
第一道防線:由管理體系、組織體系、技術保系構成完備的安全管理體制與基礎安全設施,形成對安全苗頭進行事前防範的第一道防線,為業務運行安全打下良好的基礎。
第二道防線:由技術體系、運維體系構成事中控制的第二道防線。通過周密的生產調度、安全運維管理、安全監測預警,及時排除安全隱患,確保業務系統持續、可靠地運行。
第三道防線:由技術體系構成事後控制的第三道防線。針對各種突發災難事件,對重要信息系統建立災備系統,定期進行應急演練,形成快速響應、快速恢復的機制,將災難造成的損失降到組織可以接受的程度。
五、四大保障目標
信息安全:保護政府或企業業務數據和信息的機密性、完整性和可用性。
系統安全:確保政府或企業網路系統、主機操作系統、中間件系統、資料庫系統及應用系統的安全。
物理安全:使業務和管理信息系統相關的環境安全、設備安全及存儲介質安全的需要得到必要的保證。
運行安全:確保業務和管理信息系統的各種運行操作、日常監控、變更維護符合規范操作的要求,保證系統運行穩定可靠。
構建第三步 充分的現狀調研和風險評估過程
在現狀調研階段,我們要充分了解政府或企業的組織架構、業務環境、信息系統流程等實際情況。只有了解政府或企業的組織架構和性質,才能確定該組織信息安 全保障體系所遵循的標准,另外,還要充分了解政府或企業的文化,保證管理體系與相關文化的融合性,以便於後期的推廣、宣貫和實施。在調研時,採用「假設為 導向,事實為基礎」的方法,假定該政府或企業滿足相關標準的所有控制要求,那麼將通過人工訪談、調查問卷等等各種方式和手段去收集信息,證明或者證偽該組 織的控制措施符合所有標準的要求,然後在此基礎上,對比現狀和標准要求進行差距分析。
在風險評估階段,首先對於信息系統的風險評估.其中涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性
可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為:
對資產進行識別,並對資產的價值進行賦值;?
對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;?
對資產的脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;?
根據威脅及威脅利用弱點的難易程度判斷安全事件發生的可能性;?
根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失;?
根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。?
其次,進行信息系統流程的風險評估。根據「國際知名咨詢機構Gartner的調查結果」以及我們在實踐中證實發現,要減少信息系統故障最有效的方式之 一,就是進行有效的流程管理。因此需要在保證「靜態資產」安全的基礎上,對IT相關業務流程進行有效管理,以保護業務流程這類「動態資產」的安全。
構建第四步 設計建立信息安全保障體系總體框架
在充分進行現狀調研、風險分析與評估的基礎上,建立組織的信息安全保障體系總綱,總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執行、檢查和 改進所有環節,並對未來3-5年信息安全建設提出了明確的安全目標和規范。信息安全體系框架設計在綜合了現狀調研、風險評估、組織架構和信息安全總綱後, 還需要綜合考慮了風險管理、監管機構的法律法規、國內國際相關標準的符合性。為確保信息安全建設目標的實現,導出該組織未來信息安全任務,信息安全保障體 系總體框架設計文件(一級文件)將包括:
信息安全保障體系總體框架設計報告;
信息安全保障體系建設規劃報告;
??
信息安全保障體系將依據信息安全保障體系模型,從安全組織、安全管理、安全技術和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規定將得到整個政府部門或企業信息安全保障體系的二級文件。具體二級文件包括:
信息安全組織體系:組織架構、角色責任、教育與培訓、合作與溝通
信息安全管理體系:信息資產管理;人力資源安全;物理與環境安全;通信與操作管理;訪問控制;信息系統獲取與維護;業務連續性管理;符合性;
信息安全技術體系:物理層、網路層、系統層、應用層、終端層技術規范;
信息安全運維體系:日常運維層面的相關工作方式、流程、管理等。包括:事件管理、問題管理、配置管理、變更管理、發布管理,服務台。
構建第五步 設計建立信息安全保障體系組織架構
信息安全組織體系是信息安全管理工作的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。我們根據該組織的信息安全總體框架結合實際情況,確定該組織信息安全管理組織架構。
信息安全組織架構:針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果。?
信息安全形色和職責:主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。?
安全教育與培訓:主要包括對安全意識與認知,安全技能培訓,安全專業教育等幾個方面的要求。?
合作與溝通:與上級監管部門,同級兄弟單位,本單位內部,供應商,安全業界專家等各方的溝通與合作?
構建第六步 設計建立信息安全保障體系管理體系
根據信息安全總體框架設計,結合風險評估的結果以及該組織的信息系統建設的實際情況,參照相關標准建立信息安全管理體系的三、四級文件,具體包括:
資產管理:信息系統敏感性分類與標識實施規范與對應表單、信息系統分類控制實規范與對應表單?
人力資源安全:內部員工信息安全守則、第三方人員安全管理規范與對應表單、保密協議?
物理與環境安全:物理安全區域劃分與標識規范以及對應表單、機房安全管理規范與對應表單、門禁系統安全管理規范與對應表單?
訪問控制:用戶訪問管理規范及對應表單、網路訪問控制規范與對應表單、
操作系統訪問控制規范及對應表單、應用及信息訪問規;通信與操作管理:網路安全管理規范與對應表單、In;信息系統獲取與維護:信息安全項目立項管理規范及對;業務連續性管理:業務連續性管理過程規范及對應表單;符合性:行業適用法律法規跟蹤管理規范及對應表單?;最終形成整體的信息安全管理體系,務必要符合整個組;
操作系統訪問控制規范及對應表單、應用及信息訪問規范及對應表單、移動計算及遠程訪問規范及對應表單?
通信與操作管理:網路安全管理規范與對應表單、Internet服務使用安全管理規范及對應表單、惡意代碼防範規范、存儲及移動介質安全管理規范與對應表單?
信息系統獲取與維護:信息安全項目立項管理規范及對應表單、軟體安全開發管理規范及對應表單、軟體系統漏洞管理規范及對應表單?
業務連續性管理:業務連續性管理過程規范及對應表單、業務影響分析規范及對應表單?
符合性:行業適用法律法規跟蹤管理規范及對應表單?
最終形成整體的信息安全管理體系,務必要符合整個組織的戰略目標、遠景、組織文化和實際情況並做相應融合,在整個實施過程還需要進行全程的貫穿性培訓. 將整體信息安全保障體系建設的意義傳遞給組織的每個角落,提高整體的信息安全意識。這樣幾方面的結合才能使建設更有效。
㈦ 怎麼樣做到政府信息安全
如何有效構建信息安全保障體系?通常所指的信息安全保障體系包含了信息安全的管理體系、技術體系以及運維體系。本文將重點介紹信息安全管理體系的建設方法。
構建第一步 確定信息安全管理體系建設具體目標
信息安全管理體系建設是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。信息安全的組織體系:是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構,其中包括:決策、管理、執行和監管機構四部分組成。信息安全的策略體系:是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。策略體系從上而下分為三個層次:
第一層 策略總綱策略總綱是該團體組織內信息安全方面的基本制度,是組織內任何部門和人不能違反的,說明了信息安全工作的總體要求。
第二層 技術指南和管理規定遵循策略總綱的原則,結合具體部門、應用和實際情況而制定的較專業要求和方法以及技術手段。包括以下兩個部分:技術指南:從技術角度提出要求和方法;管理規定:側重組織和管理,明確職責和要求,並提供考核依據。
第三層 操作手冊、工作細則、實施流程遵循策略總綱的原則和技術指南和管理規定,結合實際工作,針對具體系統,對第二層的技術指南和管理規定進行細化,形成可指導和規范具體工作的操作手冊及工作流程,保證安全工作的制度化、日常化。
構建第二步 確定適合的信息安全建設方法論
多年信息安全建設積累的信息安全保障體系建設方法論,也稱「1-5-4-3-4」。即:運用1個基礎理論,參照5個標准,圍繞4個體系,形成3道防線,最終實現4個目標。
一、風險管理基礎理論信息系統風險管理方法論就是建立統一安全保障體系,建立有效的應用控制機制,實現應用系統與安全系統全面集成,形成完備的信息系統流程式控制制體系,確保信息系統的效率與效果。
二、遵循五個相關國內國際標准在信息安全保障體系的建立過程中我們充分遵循國內國際的相關標准:ISO 27001標准等級保護建設分級保護建設IT流程式控制制管理(COBIT)IT流程與服務管理(ITIL/ISO20000)
三、建立四個信息安全保障體系信息安全組織保障體系:建立信息安全決策、管理、執行以及監管的機構,明確各級機構的角色與職責,完善信息安全管理與控制的流程。信息安全管理保障體系:是信息安全組織、運作、技術體系標准化、制度化後形成的一整套對信息安全的管理規定。信息安全技術保障體系:綜合利用各種成熟的信息安全技術與產品,實現不同層次的身份鑒別、訪問控制、數據完整性、數據保密性和抗抵賴等安全功能。信息安全運維保障體系:在信息安全管理體系規范和指導下,通過安全運行管理,規范運行管理、安全監控、事件處理、變更管理過程,及時、准確、快速地處理安全問題,保障業務平台系統和應用系統的穩定可靠運行。
四、三道防線第一道防線:由管理體系、組織體系、技術保系構成完備的安全管理體制與基礎安全設施,形成對安全苗頭進行事前防範的第一道防線,為業務運行安全打下良好的基礎。第二道防線:由技術體系、運維體系構成事中控制的第二道防線。通過周密的生產調度、安全運維管理、安全監測預警,及時排除安全隱患,確保業務系統持續、可靠地運行。第三道防線:由技術體系構成事後控制的第三道防線。針對各種突發災難事件,對重要信息系統建立災備系統,定期進行應急演練,形成快速響應、快速恢復的機制,將災難造成的損失降到組織可以接受的程度。
五、四大保障目標信息安全:保護政府或企業業務數據和信息的機密性、完整性和可用性。系統安全:確保政府或企業網路系統、主機操作系統、中間件系統、資料庫系統及應用系統的安全。物理安全:使業務和管理信息系統相關的環境安全、設備安全及存儲介質安全的需要得到必要的保證。運行安全:確保業務和管理信息系統的各種運行操作、日常監控、變更維護符合規范操作的要求,保證系統運行穩定可靠。構建第三步 充分的現狀調研和風險評估過程在現狀調研階段,我們要充分了解政府或企業的組織架構、業務環境、信息系統流程等實際情況。只有了解政府或企業的組織架構和性質,才能確定該組織信息安 全保障體系所遵循的標准,另外,還要充分了解政府或企業的文化,保證管理體系與相關文化的融合性,以便於後期的推廣、宣貫和實施。在調研時,採用「假設為 導向,事實為基礎」的方法,假定該政府或企業滿足相關標準的所有控制要求,那麼將通過人工訪談、調查問卷等等各種方式和手段去收集信息,證明或者證偽該組 織的控制措施符合所有標準的要求,然後在此基礎上,對比現狀和標准要求進行差距分析。在風險評估階段,首先對於信息系統的風險評估.其中涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為:對資產進行識別,並對資產的價值進行賦值;對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;對資產的脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;根據威脅及威脅利用弱點的難易程度判斷安全事件發生的可能性;根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失;根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。其次,進行信息系統流程的風險評估。根據「國際知名咨詢機構Gartner的調查結果」以及我們在實踐中證實發現,要減少信息系統故障最有效的方式之 一,就是進行有效的流程管理。因此需要在保證「靜態資產」安全的基礎上,對IT相關業務流程進行有效管理,以保護業務流程這類「動態資產」的安全。
構建第四步 設計建立信息安全保障體系總體框架
在充分進行現狀調研、風險分析與評估的基礎上,建立組織的信息安全保障體系總綱,總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執行、檢查和 改進所有環節,並對未來3-5年信息安全建設提出了明確的安全目標和規范。信息安全體系框架設計在綜合了現狀調研、風險評估、組織架構和信息安全總綱後, 還需要綜合考慮了風險管理、監管機構的法律法規、國內國際相關標準的符合性。為確保信息安全建設目標的實現,導出該組織未來信息安全任務,信息安全保障體 系總體框架設計文件(一級文件)將包括:信息安全保障體系總體框架設計報告;信息安全保障體系建設規劃報告;信息安全保障體系將依據信息安全保障體系模型,從安全組織、安全管理、安全技術和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規定將得到整個政府部門或企業信息安全保障體系的二級文件。具體二級文件包括:信息安全組織體系:組織架構、角色責任、教育與培訓、合作與溝通信息安全管理體系:信息資產管理;人力資源安全;物理與環境安全;通信與操作管理;訪問控制;信息系統獲取與維護;業務連續性管理;符合性;信息安全技術體系:物理層、網路層、系統層、應用層、終端層技術規范;信息安全運維體系:日常運維層面的相關工作方式、流程、管理等。包括:事件管理、問題管理、配置管理、變更管理、發布管理,服務台。
構建第五步 設計建立信息安全保障體系
組織架構信息安全組織體系是信息安全管理工作的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。我們根據該組織的信息安全總體框架結合實際情況,確定該組織信息安全管理組織架構。信息安全組織架構:針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果。?信息安全形色和職責:主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。
安全教育與培訓:主要包括對安全意識與認知,安全技能培訓,安全專業教育等幾個方面的要求。?合作與溝通:與上級監管部門,同級兄弟單位,本單位內部,供應商,安全業界專家等各方的溝通與合作。
構建第六步 設計建立信息安全保障體系
管理體系根據信息安全總體框架設計,結合風險評估的結果以及該組織的信息系統建設的實際情況,參照相關標准建立信息安全管理體系的三、四級文件,具體包括:資產管理:信息系統敏感性分類與標識實施規范與對應表單、信息系統分類控制實規范與對應表單。
人力資源安全:內部員工信息安全守則、第三方人員安全管理規范與對應表單、保密協議
物理與環境安全:物理安全區域劃分與標識規范以及對應表單、機房安全管理規范與對應表單、門禁系統安全管理規范與對應表單?訪問控制:用戶訪問管理規范及對應表單、網路訪問控制規范與對應表單、操作系統訪問控制規范及對應表單、應用及信息訪問規;通信與操作管理:網路安全管理規范與對應表單、In;信息系統獲取與維護:信息安全項目立項管理規范及對;業務連續性管理:業務連續性管理過程規范及對應表單;符合性:行業適用法律法規跟蹤管理規范及對應表單;最終形成整體的信息安全管理體系,務必要符合整個組;操作系統訪問控制規范及對應表單、應用及信息訪問規范及對應表單、移動計算及遠程訪問規范及對應表單。
通信與操作管理:網路安全管理規范與對應表單、Internet服務使用安全管理規范及對應表單、惡意代碼防範規范、存儲及移動介質安全管理規范與對應表單。
信息系統獲取與維護:信息安全項目立項管理規范及對應表單、軟體安全開發管理規范及對應表單、軟體系統漏洞管理規范及對應表單?業務連續性管理:業務連續性管理過程規范及對應表單、業務影響分析規范及對應表單?符合性:行業適用法律法規跟蹤管理規范及對應表單。
最終形成整體的信息安全管理體系,務必要符合整個組織的戰略目標、遠景、組織文化和實際情況並做相應融合,在整個實施過程還需要進行全程的貫穿性培訓。 將整體信息安全保障體系建設的意義傳遞給組織的每個角落,提高整體的信息安全意識。這樣幾方面的結合才能使建設更有效。
希望可以幫到您,謝謝!
本回答由網友推薦
㈧ 強化信息安全保障,包括以下哪些
2016年3月17日,新華社全文發布了《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》,簡稱「十三五」規劃(2016—2020年),其中第二十八章為「強化信息安全保障」,整章內容摘錄如下:
統籌網路安全和信息化發展,完善國家網路安全保障體系,強化重要信息系統和數據資源保護,提高網路治理能力,保障國家信息安全。
第一節 加強數據資源安全保護
建立大數據安全管理制度,實行數據資源分類分級管理,保障安全高效可信應用。實施大數據安全保障工程,加強數據資源在採集、存儲、應用和開放等環節的安全保護,加強各類公共數據資源在公開共享等環節的安全評估與保護,建立互聯網企業數據資源資產化和利用授信機制。加強個人數據保護,嚴厲打擊非法泄露和出賣個人數據行為。
第二節 科學實施網路空間治理
完善網路空間治理,營造安全文明的網路環境。建立網路空間治理基礎保障體系,完善網路安全法律法規,完善網路信息有效登記和網路實名認證。建立網路安全審查制度和標准體系,加強精細化網路空間管理,清理違法和不良信息,依法懲治網路違法犯罪行為。健全網路與信息突發安全事件應急機制。推動建立多邊、民主、透明的國際互聯網治理體系,積極參與國際網路空間安全規則制定、打擊網路犯罪、網路安全技術和標准等領域的國際合作。
第三節 全面保障重要信息系統安全
建立關鍵信息基礎設施保護制度,完善涉及國家安全重要信息系統的設計、建設和運行監督機制。集中力量突破信息管理、信息保護、安全審查和基礎支撐關鍵技術,提高自主保障能力。加強關鍵信息基礎設施核心技術裝備威脅感知和持續防禦能力建設。完善重要信息系統等級保護制度。健全重點行業、重點地區、重要信息系統條塊融合的聯動安全保障機制。積極發展信息安全產業。
㈨ 明確管理和治理與IT管理和IT治理的區別
管理主要強調的是「做正確的事」,即計劃、組織、領導、監督。
治理更多強調的是通過組織架構、權力分配等制度安排,來實現不同利益相關者之間的相互制衡。實質上這二者之間並沒有嚴格的邊界。尤其是在大型上市公司中,治理與管理總是同時存在,互相促進,以實現股東利益的最大化。我們也可以理解為公司治理是公司發展到一定程度,對公司管理提出的新的要求。
1、IT管理是通過管理手段,來保證IT部門「做正確的事情」,如提高服務質量、提高系統的可用性、保證信息安全等。既然是管理,其基本內容還是組織、計劃、領導、監督。
2、IT治理並不是要替代IT管理工作,IT治理的目的是通過組織架構和制度安排,來對IT部門進行制衡,促進IT更好的完成工作,其最終目標是保證組織目標的完成。
㈩ ISO27001的ISO27000系列與信息安全治理(潘蓉)
ITSS國家標准組成員 ISOSC40 IT治理專家 潘蓉
2013版的ISO27001已經於2013年10月1日正式發布,新版標准反映了與業務的融合,與全面風險管理的融合,與治理的融合,體現在新標准中對績效的重視,對風險評估方法論的修改。這與IT治理的目標也高度一致。
IT治理的驅動力意在從董事會等治理層面確立IT的價值,投資的決策機制,確保IT戰略與業務戰略的一致性,革新性地驅動業務的發展。信息安全管理新標准從風險與成本的平衡過渡到要定期報告信息安全管理績效,反應了信息安全管理標準的發展進入成熟期,也反應了治理層面更加重視對信息安全投入的預期的監控,同時對風險管理的度量也是相關方,管理層共同關心的話題。
(見標准條款5.1e, 5.3b, 6.1.1a, 6.1.1.e2,9.1)
信息安全的目標是與業務的發展目標高度一致,因此新標准要求信息安全風險管理要聚焦信息,而信息是融合在整個業務流程中,新的標准摒棄了原來識別資產,資產威脅與脆弱性的方法論,肯定了管理層面以業務價值為基礎,識別信息,確定信息的價值,也很方便與其他以業務流程為基礎的ISO管理標准相融合。
(見標准條款5.1a/b, 6.1.2)
由於更加關注業務,新標准要求對業務,對組織目標的理解從內外部環境,包括宏觀政策,技術發展,行業動向,微觀的組織環境來分析。環境因素對業務的影響,對信息安全的要求。管理層重視信息安全管理目標如何支持業務戰略。
(見標准條款 4.1, 4.2, 5.1a, 5.2a)
信息安全風險在新標准里變得更加生動,中性,風險也可能意味著機會。新標准要求定義風險責任人,這個責任人更可能是業務的負責人或某項具體活動的負責人,而不僅僅是IT人員。對信息安全風險的偏好與態度完全與組織的全面風險管理框架相融合。
(見標准條款 6.1.1.d/e,6.1.2.C2; ) 1. 雲技術的廣泛應用,外包業務的興起,供應鏈的安全風險管理從組織的戰略層面到日常運作層面都要識別,利用,控制。新增供應鏈關系管理,關注供應鏈關系中的信息安全,服務商交付過程的信息安全。
(見標准條款4.3.c;8.1, A.15)
2. 同時,大數據的興起,數據泄露的風險加大,標准將加密控制從一個控制目標項上升為一個控制域。
(見標准條款 A.10)
3. 移動互聯從生活到辦公,新增移動設備使用的安全策略。
(見標准條款 A.6.2.1)
4. 組織層面除了日常運作,還需特別考慮項目的信息安全管理,這是新增控制項,同時完善了系統開發的全生命周期的信息安全管理,包括需求分析,開發環境,測試數據保護,測試驗收,變更管理,開發外包管理等控制項。
(見標准條款A.6.1.5, A.14.1/2/3)
5. 新技術和風險點的出現,風險處理採取的控制措施不再拘泥於附錄A。附錄A僅作為基本必須的選項。(見標准條款 6.1.3c) 從結構來說,新版標准與其他ISO系列標準的框架完全一致,遵從ISO導則83,這是ISO管理體系認證標準的基本框架,方便與ISO其他管理體系的整合。
新標準的框架摘錄如下
0 介紹
1 范圍
2 規范性引用文件
3 術語與定義
4 組織的情景, 這部分與ISO31000保持一致
5 領導力, 特別要求高層指導,支持信息安全人員致力於提高管理有效性,展示他們在各自負責領域的領導力
6 策劃
7 支持, 這部分包括資源,為組織服務的人員能力,信息安全意識要求,特別要求制定就信息安全的內外部溝通的流程。
8 日常運作,描述ISMS實施要求,包括信息安全風險評估和處置;
9 績效評審,描述監視,測量和評審活動的要求;
10 改進,描述改善活動的要求;其中取消了預防措施,風險管理本身就是主動的預防。
