第一章-信息安全治理与风险管理案例.docx

信息安全治理与风险管理分为以下几个部分：信息安全管理基础安全管控框架与体系安全策略安全计划信息分类风险管理责任分层人员控制安全意识、培训和教育BCP业务连续性法律、道德、合规信息安全管理基础信息安全基本原则机密性(confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体完整性(integrity)：1. 确保信息在存储、使用、传输过程中不会被非授权篡改；2.防止授权用户或实体不恰当修改信息；3. 保持信息内部和外部的一致性可用性(availability)：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息。相反三元组DAD：泄漏(Disclosure)；篡改(Alteration)；破坏(Destruction)信息安全CIA控制措施：机密性：数据加密（整个磁盘、数据库加密）；传输数据加密（IPSec、SSL、PPTP、SSH）；访问控制（物理和技术控制）完整性：哈希（数据完整）；配置管理（系统完整）；变更控制（过程完整）；访问控制（物理和技术控制）；软件数字签名；传输CRC检验功能可用性：冗余磁盘阵列（RAID）；集群；负载均衡；冗余的数据和电源线路；软件和数据备份磁盘映像；位置和场外设施；回滚功能；故障转移配置安全管理和支持控制：管理性控制开发和发布策略、标准、措施和指导原则风险管理人员的筛选指导安全意识培训实现变更控制措施逻辑性控制（技术性控制）实现和维护访问控制机制密码和资源管理身份标识和身份验证方法安全设备基础设施配置物理性控制控制个人对设施和不同部门的访问锁定系统去除必要的软驱和光驱保护设施的周边检测入侵环境控制信息安全管理:技术信息安全的构建材料管理真正的粘合剂和催化剂三分技术，七分管理信息安全管理模型:PDCA计划，Plan根据风险评估结果，法律法规要求、组织业务，运作自身需要来确定控制目标与控制措施实施，Do实施所选的安全控制措施。提升人员安全意识检查，Check依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查措施，Action针对检查结果采取应对措施，改进安全状况GRC-治理、风险与合规安全管控框架与体系信息及相关技术控制目标 IT内部控制，CobitCobit解决“实现什么”，ITIL解决“如何实现”源于COSO框架，Cobit是IT治理框架Subtopic《内部控制-整体框架》，COSO 企业内控管理框架定义了满足财务报告和披露目标的五类内控要素控制环境风险评估控制活动信息与沟通检测很多组织应对SOX404法案合规性的框架公司治理模型IT服务管理，ITILITIL是可定制IT服务管理框架信息技术服务管理标准和最佳实践框架五大过程服务战略服务设计服务交付服务运营持续改进过程信息安全管理，ISO27001源于BS7799，BS7799-1对应ISO27002，BS7799-2对应ISO27001信息安全方面的最佳惯例组成的一套全面的控制集2013版，14个域Zachman，TOGAF企业框架SABSA安全机构框架安全控制参考，NIST SP800-53r42014年关键基础设施安全控制框架：NIST CyberSecurity FrameworkCMMI软件开发管理PMBOK，Prince2项目管理Six Sigma，业务流程管理ISO38500，IT治理ISO22301 业务连续性管理安全策略类型规章性策略用于确保组织机构遵守特定的行业规章建立的标准一般比较详细，针对专门的行业适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业建议性策略用户强烈推荐雇员在组织机构中应该采取的某些行为和活动对于不遵守的行为进行了相关规定用户医疗信息处理、金融事务或机密信息处理中指示性策略告知雇员的相关信息非强制性策略，指导个人与公司相关的特定问题适用于如何与合伙人打交道、公司的目标和任务。内容侧重点组织性策略由高级管理层发布，描述并委派信息安全责任，定义CIA的目标，强调需要关注的信息安全问题适用于范围是整个组织功能性策略特定问题策略，针对特定安全领域或关注点，例如访问控制、持续性计划、职责分离等针对特定的技术领域，如互联网、电子邮件、无线访问、远程访问等依赖于业务需要和可接受的风险水平内容包括特定问题的阐述，组织针对该问题的态度、适用范围、符合性要求，惩戒措施特定系统策略针对特定技术或操作领域制定的更细化的策略，如应用或平台方针信息安全最一般性的声明最高管理层对信息安全承担责任的一种承诺说明要保护的对象和目标标准建立方针执行的强制机制指南类似于标准，加强系统安全的方法，他是建议性的基线满足方针要求的最低级别的安全需求程序执行特定任务的详细步骤程序则是对执行保护任务时具体步骤的详细描述（HOW）采购安全策略与实践供应链风险与安