1、信息安全等级保护信息安全等级保护安全建设管理体系设计安全建设管理体系设计一、国内信息安全管理现状分析二、等保安全管理体系建立方法 三、等保安全策略与制度的制定 四、等保安全管理措施实施运行 五、等保安全体系的的持续完善-2-当前我国信息安全形势严峻、问题突出网络违法犯罪活动日益猖獗;互联网安全防范意识差,安全隐患严重;信息安全责任不落实;企业安全保障能力不强;新技术新应用带来的安全挑战更加严重。公安部网络安全保卫局郭启全总工程师在2014年中国互联网安全大会致辞 中的总结。-3-缺少统一的缺少统一的信息信息安安全策全策略略,制,制 度的执行不度的执行不严格;严格;信息安全管信息安全管理部理部门
2、门层级层级较较低,低,人员职责不人员职责不明明确确;没没有对有对信信息资产息资产进进行有行有效效登记、登记、分类与相应分类与相应的管的管理理;信息安全专信息安全专业人业人员员技能技能缺缺乏,乏,管理水平较管理水平较低;低;员工安全意员工安全意识淡识淡漠漠,员,员工工缺乏缺乏安安全全 培训及安全培训及安全绩效绩效考考核机核机制制;信息安全治信息安全治理理机机制制不不完完善善,跨,跨部门安全管部门安全管理较理较难难;软件开发生软件开发生命周命周期期过程过程中中安全安全控控制制 没有建立起没有建立起来;来;应急预案机应急预案机制不制不完完善,善,缺缺乏业乏业务务连连 续性框架;续性框架;产品导向性产
3、品导向性的安的安全全防护防护为为主,主,没没有有 统一的系统统一的系统的安的安全全解决解决方方案;案;缺少针对外缺少针对外包项包项目目的外的外部部人员人员、交交 付服务及产付服务及产品方品方面面的的安安全全规范规范大型企业信息安全管理存在的主要问题-4-咨询机构2014年对央企信息安全存在各种风险的总结。信息安全事件频发的内在原因银监会对银行业历年来信息安全事故的分析统计。-5-加强信息安全管理是保障信息安全的基础对信息安全建立系统工程的观点,利用组织、制度、职责来加强信息安全管理是建立安全保障体系的关键。信息安全遵循“木桶原理”,要时时兼顾组织内不断发生的 变化,任何环节上的安全缺陷都会对系
4、统构成威胁,需要对 信息安全各个环节进行综合考虑与规划。在信息安全工作中,安全技术方面 资金投入可能会占到70%,但在安全管 理方面涉及的精力投入可能会达到70%。-6-一、国内信息安全管理现状分析二、等保安全管理体系建立方法 三、等保安全策略与制度的制定 四、等保安全管理措施实施运行 五、等保安全体系的的持续完善2016/6/25-7-等级保护规范对信息安全管理的要求等级保护基本要求从安全管理制度、安全管理机构、人员安全管理、系统建 设管理、系统运维管理五个方面,根据等级不同给出了相应的管理要求。等保安全管等保安全管理理要求要求安 安 人 系 系 全 全 员 统 统 管 管 安 建 运 理
5、理 全 设 维 制 机 管 管 管 度 构 理 理 理等级保护基本要求并没有给出安全 体系建设的整体方法,实现基本要求的措施或方式并不局限于等级保护基本要求中的内容。组织要结合系统自身的特点,并结合行 业安全监管要求及相关标准,综合考虑各 类措施来达到基本要求提出的安全保护能 力。-8-信息安全管理体系最佳实践ISO27000信息安全管理体系(ISMS:Information Security Management System)是组 织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标 所用的方法和体系。信息安全管理国际标准ISO27000:2013(国内标准GB22080)确定了
6、14个安全领域及113个相应的控制措施。在ISO27000中 信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。ISO27001/GB22080的安全体系控制域ISO27000系列标准-9-信息安全木桶效应ISO27001以信息安全风险管理为抓手,通过构建安全管理的组织、规范及绩效 体系,以PDCA的方式实施与持续运行,把安全风险控制到组织可接受的水平。ISO27001/GB22080的安全体系建立过程-10-结合ISO27000的方法来实施等保安全管理体系以等保安全管理基本要求为基础,结合ISO270001的体系的
7、PDCA过程和ISO27002 的14个控制域规范,同时兼顾监管部门的相关安全规范,整合企业自身的IT服务管 理体系和技术安全控制体系,通过体系规范化、管理流程化、测量指标化、操作工 具化的手段来确保体系设计的落地。等保安全管理体系实施框架-11-安全管理体系中应优先落实的控制措施与法律有关的控制措施 保护组织的记录 数据保护与个人信息隐私 知识产权保护普遍适用的最佳实践 信息安全方针与策略 建立组织落实安全责任 信息安全意识、教育与培训 正确处理应用系统 漏洞管理 报告安全事故与改进 业务连续性管理-12-一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定
8、四、等保安全管理措施实施运行 五、等保安全体系的的持续完善2016/6/25-13-信息安全管理体系实施的主要步骤结合等保及ISO27001的相关要求,在信息安全体系建设的实务中,可以把安全管理体系的建设分为现状调研、架构设计及体系建设三个步骤。2016/6/25-14-15-全方位的信息安全现状调查根据等保基本要求、信息安全最佳实施及上级监管要求,设计现状调查方案;通过资料收集、现状访谈、问卷调查和技术调研,获得组织的安全管理现状数据,并编写安全管理报告。现状调查方案 访谈提纲IT安全运维调研问卷 2 等级保护差距分析问卷 ISO27001差距分析问卷/ISO27002差距分析问卷 信息安全
9、现状调查报告 等级保护差距分析报告信息资产、定级系统的 识别与风险评估信息安全保护的核心是信息资 产,应当充分识别组织所拥有 的信息资产进行有效的分类;接合等级保护定级,了解当前 系统的等保要求。基线风险评估:对安全现状进行等级保护和ISO27000差距分析,同时进行等保差距分析。详细风险评估:在确定信息资 产价值的项目上,分析信息资 产的脆弱性及面临的威胁,评 估其风险值,为后续的整改提 供依据。信息资产风险评估-16-、信息安全需求分析在全面调研业务管理及信息化现状、信息安全现状的基础上,结合组织的实际情况,分别从不同业务特点、组织机构、监管政策、信息化发展思路等方面分析组织信息安 全建设
10、需求。(3)安全架构设计-17-B、信息安全战略规划在信息安全需求调查的基础上,为组织进行信息安全战略规划,明确组织信息安全目 标、设计信息安全愿景与使命,满足行业监管要求,建立信息安全管控结构,梳理信 息安全与内控,等级保护及风险管理的关系等,并最终与组织的信息化战略规划进行 融合。信信息安息安全全使命使命信信息安息安全全工作工作原原则则信信息安息安全全愿景愿景信信息安息安全全驱动驱动因因素素信息信息 安全安全 治理治理 与与 组组织织 目目标标信息信息 安全安全 管理管理 体系体系 目标目标信息信息 安全安全 运行运行 目标目标信息信息 安全安全 技术技术 目标目标业业务运营务运营 与与发
11、展发展信信息化息化建建设设外外部监管部监管风风险策略险策略与信息化战 略规划进行 融合-18-19-C、信息安全总纲(方针)信息安全总纲是组织进行信息安全建设的纲领性文件,集中体现了管理层 对信息安全的要求,并为组织的信息安全建设指明了方向,所以为组织建 立适宜的信息安全总纲的信息安全保障体系建设的首要任务。在信息安全总纲中要详细描述信息安全管理的目标与内容,安全治理机制、决策模式、各条线安全职责边界,组织中安全管理、保密管理及生产安全的分工与协作等内容。组织信息安全总纲安全需求监管部门信息安全管理要求加强组织安全管控的要求组织对IT“四化”的要求集中的IT内部管控要求总部与分支单位安全治理要
12、求遵循信息系统等级保护要求遵循国际标准以及最佳实践:ISO27001,ITIL,CoBIT的要求信息安全总纲 2安全技术体系安全技术体系 D、安全架构设计内容 信息安全架构设计主要从组织实际情况出发,对信息安全管理体 系、安全组织体系、安全运行体系、安全技术体系及应急恢复体 系进行架构设计。安全管理体系安全管理体系安全组织体系安全组织体系安全运行与应急体系安全运行与应急体系 安全架构设计-20-21-E、信息安全管理实施蓝图以信息安全现状调研和风险评估为基础,在符合信息安全架构设计的前提 下,把相应的控制措施进行分类与合并,提炼出可以实施的安全任务;根 据安全任务紧迫性、可实施性、预期效果的高
13、低和实施程度的难易,定义 出安全建设任务优先级和安全管理体系实施路线图。安全规划图表规划预算信息安全管理体系框架在组织中建立信息安全管理制度、信息安全管理规范与技术标准、信息安 全管理流程、测量与考核体系、信息安全培训体系、信息安全应急体系等,使信息安全体系得以有效实施。-22-A、信息安全组织体系 为落实信息安全职责,推动信息安全管理体系建立,需要建立决策、管理、执行及监督四级信息安全组织。集团信息化管理委员会委托信息安全执行单位共享服务中心、SBU01、SBU02、SBU03、SBU04.集 团 稽核 中心审计报告集团最高管理层汇报汇报信息化管理委员会办公室管理授权汇报、建议信息安全领导小
14、组信息安全工作小组信息安全全员执行报 告报 告授 权监 督 指 导沟通、建议专业指导沟通协调信息系统安全协调工作组组长:由信息化管理委员会指定人选 副组长:由信息化管理委员会指定人选组员:各专业公司运营部门分管IT负责人、共享服务中心IT部门负责人信息系统安全协调工作组办公室主任:共享服务中心系统运行部信息安全负责人 成员:系统运行部信息安全专职工作人员信息安全组织框架信息安全组织框架细化示例-23-根据信息安全组织架构的设计,明确信息安全管理生命周期中的角色与职 责,并建议在工作岗位职责说明书加以描述;针对组织中信息安全的不同 角色形成各自的岗位职责要求与工作流程说明,以指导相关人员提高工作
15、 质量与效率。-24-B、信息安全制度文件的编写 信息安全制度文件是信息安全组织、运作、技术、应急等方面标准化、制度化后形成的一整套信息安全的政策、规范与指南。信息安全管理制度的结构可以分为制度、规定、细则及记录四个层次;制度的内容可以参照国际标准ISO27001的14个域的划分来编写。安全体系文件框架-25-信息安全体系文件包括体系策略及策略细化,形成安全管理体系要求的 一至四级文档(具体文档名称及内容应当按照风险评估与安全体系架构 设计中安全策略体系架构实际结果执行)。信息安全体系文件示例-26-27-C、信息安全管理流程 根据安全架构设计中信息运维体系的设计,识别组织的信息安全 管理关键
16、流程,定义流程的输入输出、流程间接口、流程关键 活动、流程标准角色、流程考核KPI。信息安全管理流程示例23信息安全制度文件1 2 D、信息安全职责体系通过体系文件明确信息安全职责,包括信息安全管理人员职责、业务人员岗位职责等。员工信员工信息安全考核职责矩阵息安全考核职责矩阵信息安全文件矩阵信息安全职责矩阵信息安全人员职责 2-28-E、信息安全测量体系为及时准确地了解信息安全管理体系运行的效率和效果,需要 建立有效的测量方法与程序。信息安全测量-29-30-F、信息安全考核体系为增强员工遵守信息安全管理规范,提 高安全意识,预防信息安全事故的发生,应建立一套客观公正的,以信息安全 目标为导向
17、的信息安全管理量化评价机 制。考核制度考核制度X公司信息安全计分量化管理程序考核指标示例员工信息安全考核办法 G、建立信息安全培训体系 为了更好的配合信息安全体系的推广,提升信息安全管控水平,组织应对设计针对各类人员的信息安全教育与培训课程体系。培训体系方案-31-Flash动画电子海报手册张贴画培训与专题讲座电脑屏保展板电子报台历电脑桌贴便签本鼠标垫 H、进行多样化的安全意识教育-32-安全策略管理安全风险管理安全运行管理安全控制管理安全管理知识库 I、信息安全风险管理工具建设信息安全管理平台,对安全策略、安全风险、安全运行、安全控制及 安全知识库进行管理,并通过安全风险管理的“仪表板”多角
18、度地展示信 息安全风险,以利于管理层简洁、形象地了解信息安全风险情况并作出相 应的决策。-33-一、国内信息安全管理现状分析二、等保安全管理体系建立方法 三、等保安全策略与制度的制定 四、等保安全管理措施实施运行 五、等保安全体系的的持续完善2016/6/25-34-等保安全管理体系的试运行安全管理体系文件编制完成后,组织应按照文件的控制要求进行审核与批准 并发布实施,至此,信息安全管理体系将进入运行阶段;体系运行初期处于 体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中体验 体系的充分性、适用性和有效性。通过实施安全手册、程序和各种作业指导性文件等一系列体系文件,充分发 挥体系
19、本身的各项功能,及时发现体系策划本身存在的问题,找出问题的根 源,采取纠正措施。ISMS运行工作计划-35-体系试运行期间的计划与检查在进行体系试运行时,应建立周密的运行计划,不断对安全运行任务 计划进行跟踪和阶段性的检查,以强制落实制度、规范、流程中的安 全要求。ISMS运行工作计划-36-等保安全管理体系的正式运行在试运行的基础上,总结经验,进行认真的部署,选择恰当的时机进行安全 管理体系的正式运行。正式运行前,需要领导层进行动员,并进行全员培训,签定相关协议,方针策略、规章制度正式起用;只有保证安全管理体系持续 运行,才能使安全制度真正落到实处,使组织的安全状况得到改观。管理层要足够重视
20、组织中的信息安全工作,对体系进行总体的监督;为信息 安全分派角色和责任、与重要的组织进行沟通;提供开发、实施、操作和维 护安全体系所需的足够的资源;确定可接受的风险水平。体系正式运行需要全员参与,使员工了解信息安全不仅仅是IT部门的事情,各部门员工也应承担相应的责任,具备相关的安全意识和能力。-37-一、国内信息安全管理现状分析二、等保安全管理体系建立方法 三、等保安全策略与制度的制定 四、等保安全管理措施实施运行五、等保安全体系的的持续完善-38-通过日常检查、体系审核、管理评审和及时整 改来促进体系持续完善日常检查是安全体系执行方的一种自我检查与纠正行为。通过建立日常 检查的机制,以推进安
21、全措施的落实与安全管理水平的提高。体系审核是组织为获得审核证据并对其进行客观的评价,以确定满足审 核准则的程度所进行的系统的、独立的并形成文件的过程;体系审核可 以是组织内部的自我审核,也可以由独立的第三方来进行。管理评审主要是指组织的最高管理者按规定的时间间隔对安全体系进行 评审,以确保体系的持续适宜性、充分性和有效性;管理评审应根据信 息安全体系审核的结果、环境的变化和对持续改进的承诺,指出可能需 要修改的信息安全管理体系方针、策略、目标和其他要素。对检查审核发现的问题,责任方要进行及时整改,检查审核方要进行跟踪验证。-39-体系日常检查的计划与实施在建立的信息安全管理体系的制度、规范、流
22、程中已明确了相关人员的职 责,其职责是否履行或正确的履行可通过日常的周检查、月度检查来强制 落实相关的制度、规范和流程。-40-首 次 会 议首 次 会 议现 场 审 核现 场 审 核每 日 审 核 组每 日 审 核 组 内 部 会 议内 部 会 议确 定 不 符 合 项确 定 不 符 合 项 并 编 写 不 符 合 报 告并 编 写 不 符 合 报 告审 核 组审 核 组 分 析 总 结分 析 总 结未 次 会 议未 次 会 议 宣 布 审 核 结 果宣 布 审 核 结 果资 源、确 定 时 间资 源、确 定 时 间收 集 审 核 证 据、审 核 控 制、收 集 审 核 证 据、审 核 控
23、制、审 核 发 现、现 场 审 核 记 录审 核 发 现、现 场 审 核 记 录交 流 情 况、整 理 结 果、交 流 情 况、整 理 结 果、工 作 安 排工 作 安 排确 定 不 符 合 原 则、类 型,编确 定 不 符 合 原 则、类 型,编 写 不 符 合 报 告写 不 符 合 报 告确 定 所 有 不 符 合 报 告、确 定 所 有 不 符 合 报 告、审 核 结 果 的 汇 总 分 析审 核 结 果 的 汇 总 分 析介 绍 审 核 发 现、宣 布 审介 绍 审 核 发 现、宣 布 审 核 结 果、提 出 后 续 工 作核 结 果、提 出 后 续 工 作 要 求、宣 布 结 束 现
24、 场 审 核要 求、宣 布 结 束 现 场 审 核体系审核的计划与实施为体系审核与管理评审制定计划,通过定期实施审核与管理评审来查找组织已建 立的安全管理体系与安全标准及法律法规之间的差距,对于审核与管理评审发现 的重要风险要进行整改与跟踪,从而达到内部不断改进的目的,以保持安全管理 体系的有效性、适宜性、充分性。体系审核流程审核发现整改跟踪表简 要 介 绍、建 立 联 系、落 实简 要 介 绍、建 立 联 系、落 实2016/6/25-41-管理评审的计划与实施管理评审一般每年进行一次是适宜的,也有组织因监管或合规的 要求每半年做一次管理评审。另外当组织安全状态有重大改变时,应适时进行管理评审。一般在评审前的34周,由信息安全管理经理编制“管理评审计划”,经总经理批准后下发至参加人员。管理评审实施过程应确保收集到必要的信息,以供管理者进行评 价,管理者评审应形成文件。信息安全管理负责人组织有关部门对管理评审中的纠正措施进行跟踪验证,验证的结果应记录并上报最高管理层及有关人员。2016/6/25-42-交流与互动-43-
