信息安全治理
㈠ 如何加强网络安全管理技术
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息发布审查监管
各单位通过门户网站、微信公众平台在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一发布,确保信息发布的时效性和严肃性。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、门户网站和微信公众平台的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,存在严重问题的单位要认真整改。
如何加强网络安全管理
1 制定网络安全管理方面的法律法规和政策
法律法规是一种重要的行为准则,是实现有序管理和社会公平正义的有效途径。网络与我们的生活日益密不可分,网络环境的治理必须通过法治的方式来加以规范。世界很多国家都先后制定了网络安全管理法律法规,以期规范网络秩序和行为。国家工业和信息化部,针对我国网络通信安全问题,制订了《通信网络安全防护管理办法》。明确规定:网络通信机构和单位有责任对网络通信科学有效划分,根据有可能会对网络单元遭受到的破坏程度,损害到经济发展和社会制度建设、国家的安危和大众利益的,有必要针对级别进行分级。电信管理部门可以针对级别划分情况,组织相关人员进行审核评议。而执行机构,即网络通信单位要根据实际存在的问题对网络单元进行实质有效性分级。针对以上条款我们可以认识到,网络安全的保证前提必须有科学合理的管理制度和办法。网络机系统相当于一棵大树,树的枝干如果出现问题势必影响到大树的生长。下图是网络域名管理分析系统示意图。
可以看到,一级域名下面分为若干个支域名,这些支域名通过上一级域名与下一级紧密连接,并且将更低级的域名授予下级域名部门相关的权利。预防一级管理机构因为系统过于宽泛而造成管理的无的放矢。通过逐级管理下放权限。维护网络安全的有限运转,保证各个层类都可以在科学规范的网络系统下全面健康发展。
一些发达国家针对网络安全和运转情况,实施了一系列管理规定,并通过法律来加强网络安全性能,这也说明了各个国家对于网络安全问题的重视。比方说加拿大出台了《消费者权利在电子商务中的规定》以及《网络保密安全法》等。亚洲某些国家也颁布过《电子邮件法》以及其他保护网络安全的法律。日本总务省还重点立法,在无线局域网方面做出了明确规定,严禁用户自行接受破解网络数据和加密信息。还针对违反规定的人员制定了处罚条例措施。用法律武器保护加密信息的安全。十几年前,日本就颁布了《个人情报法》,严禁网络暴力色情情况出现。在网络环境和网络网络安全问题上布防严谨,减小青少年犯罪问题的发生。
可以说网络安全的防护网首先就是保护网络信息安全的法律法规,网络安全问题已经成为迫在眉睫的紧要问题,每一个网络使用者都应该与计算机网络和睦相处,不利用网络做违法违规的事情,能够做到做到自省、自警。
2 采用最先进的网络管理技术
工欲善其事,必先利其器。如果我们要保障安全稳定的网络环境,采用先进的技术的管理工具是必要的。在2011年中国最大软件开发联盟网站600万用户账号密码被盗,全国有名网友交流互动平台人人网500万用户账号密码被盗等多家网站出现这种网络安全惨案。最主要一个原因就是用户数据库依然采用老旧的明文管理方式没有及时应用新的更加安全的管理用户账号方式,这点从CSDN网站用户账号被泄露的声明:“CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。 但部分老的明文密码未被清理,2010年8月底,对账号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN账号管理功能,使用了强加密算法,账号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库,解决了CSDN账号的各种安全性问题。”通过上面的案例,我们知道保障安全的网络应用避免灾难性的损失,采用先进的网络管理与开发技术与平台是及其重要的。同时我们也要研究开发避免网络安全新方法新技术。必须达到人外有人,天外有天的境界,才能在网络安全这场保卫战中获得圆满胜利。保证网络优化环境的正常运转。
3 选择优秀的网络管理工具
优良的网络管理工具是网络管理安全有效的根本。先进的网络管理工具能够推动法律法规在网络管理上的真正实施,保障网络使用者的完全,并有效保证信息监管执行。
一个家庭里面,父母和孩子离不开沟通,这就如同一个管道一样,正面的负面都可以通过这个管道进行传输。网络系统也是这样,孩子沉迷与网络的世界,在无良网站上观看色情表演,以及玩游戏,这些都是需要借助于网络技术和网络工具屏蔽掉的。还有些钓鱼网站以及垃圾邮件和广告,都需要借助有效的网络信息系统的安全系统来进行处理。保障网络速度的流畅和安全。网络管理工具和软件可以担负起这样的作用,现在就来看看几款管理系统模型:
网络需求存在的差异,就对网络软件系统提出了不同模式和版本的需求,网络使用的过程要求我们必须有一个稳定安全的网络信息系统。
网络环境的变化也给网络安全工具提出了不同的要求,要求通过有效划分网络安全级别,网络接口必须能够满足不同人群的需要,尤其是网络客户群和单一的网络客户。在一个单位中,一般小的网络接口就能满足公司内各个部门的需要,保障内部之间网络的流畅运行即是他们的需求,因此,如何选用一款优质的网络管理软件和工具非常的有必要。
4 选拔合格的网络管理人员
网络管理如同一辆性能不错的机车,但是只有技术操作精良的人才能承担起让它发挥良好作用的重任。先进的网络管理工具和技术,有些操作者不会用或者不擅长用,思维模式陈旧,这样只会给网络安全带来更多的负面效应,不能保证网络安全的稳定性,为安全运转埋下隐患。
4.1 必须了解网络基础知识。
总的来说,网络技术是一个计算机网络系统有效运转的基础。必须熟知网络计算机基础知识,网络系统构架,网络维护和管理,内部局域网络、有效防控网络病毒等基础操作知识。另外,网络管理者要具备扎实的理论基础知识和操作技能,在网络的设备、安全、管理以及实地开发应用中,要做到熟练掌握而没有空白区域。计算机网络的维护运行,还需要网络管理人员有相应的职业资格证书,这也能够说明管理者达到的水平。在网络需求和网络性能发挥等目标上实施有效管理。
4.2 熟悉网络安全管理条例
网络管理人员必须熟悉国家制定的相关的安全管理办法,通过法律法规的武器来保护网络安全,作为他们工作的依据和标准,有必要也有能力为维护网络安全尽职尽责。
4.3 工作责任感要强
与普通管理岗位不同的是,网络安全问题可能随时发生。这就给网络管理人员提出了更高更切实的要求。要具有敏锐的观察力和快速做出决策的能力,能够提出有效的应对办法,把网络安全问题降到最低程度,所以网络管理人员的责任心必须要强。对于出现的问题,能在8小时以内解决,尽量不影响以后时间段的网络运转。
㈡ CIO如何面对企业信息安全架构与IT治理问题
在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念:如何理解信息安全架构与IT治理的关系? 2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。 据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。 二问风险:如何才能平衡IT架构中的风险? 有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。 但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战? 首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。 前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。 比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。 以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。 文章作者:赵晓涛
㈢ 什么是信息安全什么是信息安全事件
随着科技的发展,网络信息安全越来越重要,信息泄露不仅仅是个人问题,,每个企业乃至国家都要重视起来那什么是信息安全?什么是信息安全事件?
信息安全是什么:
信息安全是指信息系统受到保护,不受偶然的或者恶意的原因而受到损坏、变动、泄漏,系统持续可靠正常运行,信息服务不中断,最终实现业务连续性。包含如下五方面的内容:即需保证信息的保密性、真实性、完整性、未授权拷贝及所寄生系统的安全性。
信息安全有四个层面:
1.硬件安全:信息系统安全的紧张成就,包括硬件的稳定性、可靠性和可用性
2.软件安全:如保护信息系统不被造孽侵入,系统软件和应用软件不被造孽复制、篡改,不受恶意软件侵害等
3.数据安全(传统的信息安全):采取措施确保数据免受未授权的透露、篡改,不受恶意软件侵害等
4.安全治理:运行时突发事件的安全处理等,包括建立安全治理轨制,睁开安全审计和风险分析等
信息安全有三个关系:
1.系统硬件和操纵系统的安全 等于 信息安全基础
2.密码学、收集安全 等于 信息安全的核心和关键
3.信息系统安全 等于 信息安全的目标
主要的网络安全威胁:
重放、重定向、拒绝服务、恶意软件、社会工程、伪装假冒、否认抵赖、破坏完整性、破坏机密性、信息量分析等
信息安全法律法规:
《中华人民共和国网络安全法》条例中提到,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,保障网络安全,避免网络安全受到干扰、破坏,防止网络信息数据泄露或者被窃取、篡改。提供的网络产品、服务的不得设置恶意程序;如果发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,并及时反馈响应部门领导。
网络威胁案例:
事件1:英特尔芯片漏洞
影响评级:★★★★
时间:2018.1.3
原因:处理器存在一个底层设计缺陷。
影响范围:该漏洞会影响许多CPU,包括来自英特尔、AMD、ARM的芯片,以及搭配运行的设备和操作系统,迫使Linux和Windows内核需要展开重大的重新设计。
警示:没有百分百的安全,企业要未雨绸缪,早做准备。
事件2:美国HancockHealth支付解密5.5万美元赎金
影响评级:★★★
时间:2018.1.16
攻击方法:暴力破解RDP 端口,勒索软件SamSam对系统进行控制。
影响范围:技术员暂停了医院的整个网络,要求员工关闭所有计算机,以避免勒索软件传播到其他计算机,医护人员利用笔和纸代替计算机来继续工作。
警示:医院是最易被攻击的机构,容灾建设很关键。
事件3:“黑客”入侵快递公司后台盗近亿客户信息
影响评级:★★★
时间:2018.5.12
原因:“黑客”非法入侵快递公司后台窃取客户信息。
影响范围:中国公民信息泄露近1亿条,导致个人经常接到贷款、买房、工艺品等广告骚扰电话。
㈣ 政府信息安全如何保障
促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。
网络安全保障措施不断得到完善,网络安全防护水平进一步提升,在持续推进依法治理网络空间安全的同时,新《国家安全法》、《反恐怖主义法》、《网络安全法》和《国家网络空间安全战略》等多项信息空间法律法规或战略制定并发布,相信在不久的将来我国将会跻身世界信息强国之列。
㈤ 如何面对企业管理中的信息安全
在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念:如何理解信息安全架构与IT治理的关系? 2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。 据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。 二问风险:如何才能平衡IT架构中的风险? 有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。 但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战? 首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。 前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。 比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。 以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。
㈥ 如何构建有效的信息安全保障体系
转载以下资料,仅供参考:
如何有效构建信息安全保障体系;随着信息化的发展,政府或企业对信息资源的依赖程度;通常所指的信息安全保障体系包含了信息安全的管理体;构建第一步确定信息安全管理体系建设具体目标;信息安全管理体系建设是组织在整体或特定范围内建立;信息安全的组织体系:是指为了在某个组织内部为了完;的特定的组织结构,其中包括:决策、管理、执行和监;信息安全的策略体系:是指信息安全总体
如何有效构建信息安全保障体系
随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说 明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面 临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而 生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制 的标准,进一步保障信息系统的运行效率。
通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。
构建第一步 确定信息安全管理体系建设具体目标
信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。
信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成
的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:
第一层 策略总纲
策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。
第二层 技术指南和管理规定
遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:
技术指南:从技术角度提出要求和方法;
管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。
第三层 操作手册、工作细则、实施流程
遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。
构建第二步 确定适合的信息安全建设方法论
太极多年信息安全建设积累的信息安全保障体系建设方法论,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
一、风险管理基础理论
信息系统风险管理方法论就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。
二、遵循五个相关国内国际标准
在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:
ISO 27001标准
等级保护建设
分级保护建设
IT流程控制管理(COBIT)
IT流程与服务管理(ITIL/ISO20000)
三、建立四个信息安全保障体系
信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。
信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。
信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。
信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。
四、三道防线
第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。
第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
五、四大保障目标
信息安全:保护政府或企业业务数据和信息的机密性、完整性和可用性。
系统安全:确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。
物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。
运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。
构建第三步 充分的现状调研和风险评估过程
在现状调研阶段,我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质,才能确定该组织信息安 全保障体系所遵循的标准,另外,还要充分了解政府或企业的文化,保证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为 导向,事实为基础”的方法,假定该政府或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组 织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。
在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性
可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
对资产进行识别,并对资产的价值进行赋值;?
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;?
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;?
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;?
根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;?
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。?
其次,进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现,要减少信息系统故障最有效的方式之 一,就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全。
构建第四步 设计建立信息安全保障体系总体框架
在充分进行现状调研、风险分析与评估的基础上,建立组织的信息安全保障体系总纲,总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节,并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后, 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现,导出该组织未来信息安全任务,信息安全保障体 系总体框架设计文件(一级文件)将包括:
信息安全保障体系总体框架设计报告;
信息安全保障体系建设规划报告;
??
信息安全保障体系将依据信息安全保障体系模型,从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括:
信息安全组织体系:组织架构、角色责任、教育与培训、合作与沟通
信息安全管理体系:信息资产管理;人力资源安全;物理与环境安全;通信与操作管理;访问控制;信息系统获取与维护;业务连续性管理;符合性;
信息安全技术体系:物理层、网络层、系统层、应用层、终端层技术规范;
信息安全运维体系:日常运维层面的相关工作方式、流程、管理等。包括:事件管理、问题管理、配置管理、变更管理、发布管理,服务台。
构建第五步 设计建立信息安全保障体系组织架构
信息安全组织体系是信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况,确定该组织信息安全管理组织架构。
信息安全组织架构:针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?
信息安全角色和职责:主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。?
安全教育与培训:主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求。?
合作与沟通:与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作?
构建第六步 设计建立信息安全保障体系管理体系
根据信息安全总体框架设计,结合风险评估的结果以及该组织的信息系统建设的实际情况,参照相关标准建立信息安全管理体系的三、四级文件,具体包括:
资产管理:信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单?
人力资源安全:内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议?
物理与环境安全:物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?
访问控制:用户访问管理规范及对应表单、网络访问控制规范与对应表单、
操作系统访问控制规范及对应表单、应用及信息访问规;通信与操作管理:网络安全管理规范与对应表单、In;信息系统获取与维护:信息安全项目立项管理规范及对;业务连续性管理:业务连续性管理过程规范及对应表单;符合性:行业适用法律法规跟踪管理规范及对应表单?;最终形成整体的信息安全管理体系,务必要符合整个组;
操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单?
通信与操作管理:网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单?
信息系统获取与维护:信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?
业务连续性管理:业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?
符合性:行业适用法律法规跟踪管理规范及对应表单?
最终形成整体的信息安全管理体系,务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合,在整个实施过程还需要进行全程的贯穿性培训. 将整体信息安全保障体系建设的意义传递给组织的每个角落,提高整体的信息安全意识。这样几方面的结合才能使建设更有效。
㈦ 怎么样做到政府信息安全
如何有效构建信息安全保障体系?通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。
构建第一步 确定信息安全管理体系建设具体目标
信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:
第一层 策略总纲策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。
第二层 技术指南和管理规定遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:技术指南:从技术角度提出要求和方法;管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。
第三层 操作手册、工作细则、实施流程遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。
构建第二步 确定适合的信息安全建设方法论
多年信息安全建设积累的信息安全保障体系建设方法论,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
一、风险管理基础理论信息系统风险管理方法论就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。
二、遵循五个相关国内国际标准在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:ISO 27001标准等级保护建设分级保护建设IT流程控制管理(COBIT)IT流程与服务管理(ITIL/ISO20000)
三、建立四个信息安全保障体系信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。
四、三道防线第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
五、四大保障目标信息安全:保护政府或企业业务数据和信息的机密性、完整性和可用性。系统安全:确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。构建第三步 充分的现状调研和风险评估过程在现状调研阶段,我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质,才能确定该组织信息安 全保障体系所遵循的标准,另外,还要充分了解政府或企业的文化,保证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为 导向,事实为基础”的方法,假定该政府或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组 织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:对资产进行识别,并对资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。其次,进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现,要减少信息系统故障最有效的方式之 一,就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全。
构建第四步 设计建立信息安全保障体系总体框架
在充分进行现状调研、风险分析与评估的基础上,建立组织的信息安全保障体系总纲,总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节,并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后, 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现,导出该组织未来信息安全任务,信息安全保障体 系总体框架设计文件(一级文件)将包括:信息安全保障体系总体框架设计报告;信息安全保障体系建设规划报告;信息安全保障体系将依据信息安全保障体系模型,从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括:信息安全组织体系:组织架构、角色责任、教育与培训、合作与沟通信息安全管理体系:信息资产管理;人力资源安全;物理与环境安全;通信与操作管理;访问控制;信息系统获取与维护;业务连续性管理;符合性;信息安全技术体系:物理层、网络层、系统层、应用层、终端层技术规范;信息安全运维体系:日常运维层面的相关工作方式、流程、管理等。包括:事件管理、问题管理、配置管理、变更管理、发布管理,服务台。
构建第五步 设计建立信息安全保障体系
组织架构信息安全组织体系是信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况,确定该组织信息安全管理组织架构。信息安全组织架构:针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?信息安全角色和职责:主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。
安全教育与培训:主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求。?合作与沟通:与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作。
构建第六步 设计建立信息安全保障体系
管理体系根据信息安全总体框架设计,结合风险评估的结果以及该组织的信息系统建设的实际情况,参照相关标准建立信息安全管理体系的三、四级文件,具体包括:资产管理:信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单。
人力资源安全:内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议
物理与环境安全:物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?访问控制:用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规;通信与操作管理:网络安全管理规范与对应表单、In;信息系统获取与维护:信息安全项目立项管理规范及对;业务连续性管理:业务连续性管理过程规范及对应表单;符合性:行业适用法律法规跟踪管理规范及对应表单;最终形成整体的信息安全管理体系,务必要符合整个组;操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。
通信与操作管理:网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。
信息系统获取与维护:信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?业务连续性管理:业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?符合性:行业适用法律法规跟踪管理规范及对应表单。
最终形成整体的信息安全管理体系,务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合,在整个实施过程还需要进行全程的贯穿性培训。 将整体信息安全保障体系建设的意义传递给组织的每个角落,提高整体的信息安全意识。这样几方面的结合才能使建设更有效。
希望可以帮到您,谢谢!
本回答由网友推荐
㈧ 强化信息安全保障,包括以下哪些
2016年3月17日,新华社全文发布了《中华人民共和国国民经济和社会发展第十三个五年规划纲要》,简称“十三五”规划(2016—2020年),其中第二十八章为“强化信息安全保障”,整章内容摘录如下:
统筹网络安全和信息化发展,完善国家网络安全保障体系,强化重要信息系统和数据资源保护,提高网络治理能力,保障国家信息安全。
第一节 加强数据资源安全保护
建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。实施大数据安全保障工程,加强数据资源在采集、存储、应用和开放等环节的安全保护,加强各类公共数据资源在公开共享等环节的安全评估与保护,建立互联网企业数据资源资产化和利用授信机制。加强个人数据保护,严厉打击非法泄露和出卖个人数据行为。
第二节 科学实施网络空间治理
完善网络空间治理,营造安全文明的网络环境。建立网络空间治理基础保障体系,完善网络安全法律法规,完善网络信息有效登记和网络实名认证。建立网络安全审查制度和标准体系,加强精细化网络空间管理,清理违法和不良信息,依法惩治网络违法犯罪行为。健全网络与信息突发安全事件应急机制。推动建立多边、民主、透明的国际互联网治理体系,积极参与国际网络空间安全规则制定、打击网络犯罪、网络安全技术和标准等领域的国际合作。
第三节 全面保障重要信息系统安全
建立关键信息基础设施保护制度,完善涉及国家安全重要信息系统的设计、建设和运行监督机制。集中力量突破信息管理、信息保护、安全审查和基础支撑关键技术,提高自主保障能力。加强关键信息基础设施核心技术装备威胁感知和持续防御能力建设。完善重要信息系统等级保护制度。健全重点行业、重点地区、重要信息系统条块融合的联动安全保障机制。积极发展信息安全产业。
㈨ 明确管理和治理与IT管理和IT治理的区别
管理主要强调的是“做正确的事”,即计划、组织、领导、监督。
治理更多强调的是通过组织架构、权力分配等制度安排,来实现不同利益相关者之间的相互制衡。实质上这二者之间并没有严格的边界。尤其是在大型上市公司中,治理与管理总是同时存在,互相促进,以实现股东利益的最大化。我们也可以理解为公司治理是公司发展到一定程度,对公司管理提出的新的要求。
1、IT管理是通过管理手段,来保证IT部门“做正确的事情”,如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理,其基本内容还是组织、计划、领导、监督。
2、IT治理并不是要替代IT管理工作,IT治理的目的是通过组织架构和制度安排,来对IT部门进行制衡,促进IT更好的完成工作,其最终目标是保证组织目标的完成。
㈩ ISO27001的ISO27000系列与信息安全治理(潘蓉)
ITSS国家标准组成员 ISOSC40 IT治理专家 潘蓉
2013版的ISO27001已经于2013年10月1日正式发布,新版标准反映了与业务的融合,与全面风险管理的融合,与治理的融合,体现在新标准中对绩效的重视,对风险评估方法论的修改。这与IT治理的目标也高度一致。
IT治理的驱动力意在从董事会等治理层面确立IT的价值,投资的决策机制,确保IT战略与业务战略的一致性,革新性地驱动业务的发展。信息安全管理新标准从风险与成本的平衡过渡到要定期报告信息安全管理绩效,反应了信息安全管理标准的发展进入成熟期,也反应了治理层面更加重视对信息安全投入的预期的监控,同时对风险管理的度量也是相关方,管理层共同关心的话题。
(见标准条款5.1e, 5.3b, 6.1.1a, 6.1.1.e2,9.1)
信息安全的目标是与业务的发展目标高度一致,因此新标准要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中,新的标准摒弃了原来识别资产,资产威胁与脆弱性的方法论,肯定了管理层面以业务价值为基础,识别信息,确定信息的价值,也很方便与其他以业务流程为基础的ISO管理标准相融合。
(见标准条款5.1a/b, 6.1.2)
由于更加关注业务,新标准要求对业务,对组织目标的理解从内外部环境,包括宏观政策,技术发展,行业动向,微观的组织环境来分析。环境因素对业务的影响,对信息安全的要求。管理层重视信息安全管理目标如何支持业务战略。
(见标准条款 4.1, 4.2, 5.1a, 5.2a)
信息安全风险在新标准里变得更加生动,中性,风险也可能意味着机会。新标准要求定义风险责任人,这个责任人更可能是业务的负责人或某项具体活动的负责人,而不仅仅是IT人员。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。
(见标准条款 6.1.1.d/e,6.1.2.C2; ) 1. 云技术的广泛应用,外包业务的兴起,供应链的安全风险管理从组织的战略层面到日常运作层面都要识别,利用,控制。新增供应链关系管理,关注供应链关系中的信息安全,服务商交付过程的信息安全。
(见标准条款4.3.c;8.1, A.15)
2. 同时,大数据的兴起,数据泄露的风险加大,标准将加密控制从一个控制目标项上升为一个控制域。
(见标准条款 A.10)
3. 移动互联从生活到办公,新增移动设备使用的安全策略。
(见标准条款 A.6.2.1)
4. 组织层面除了日常运作,还需特别考虑项目的信息安全管理,这是新增控制项,同时完善了系统开发的全生命周期的信息安全管理,包括需求分析,开发环境,测试数据保护,测试验收,变更管理,开发外包管理等控制项。
(见标准条款A.6.1.5, A.14.1/2/3)
5. 新技术和风险点的出现,风险处理采取的控制措施不再拘泥于附录A。附录A仅作为基本必须的选项。(见标准条款 6.1.3c) 从结构来说,新版标准与其他ISO系列标准的框架完全一致,遵从ISO导则83,这是ISO管理体系认证标准的基本框架,方便与ISO其他管理体系的整合。
新标准的框架摘录如下
0 介绍
1 范围
2 规范性引用文件
3 术语与定义
4 组织的情景, 这部分与ISO31000保持一致
5 领导力, 特别要求高层指导,支持信息安全人员致力于提高管理有效性,展示他们在各自负责领域的领导力
6 策划
7 支持, 这部分包括资源,为组织服务的人员能力,信息安全意识要求,特别要求制定就信息安全的内外部沟通的流程。
8 日常运作,描述ISMS实施要求,包括信息安全风险评估和处置;
9 绩效评审,描述监视,测量和评审活动的要求;
10 改进,描述改善活动的要求;其中取消了预防措施,风险管理本身就是主动的预防。
