第一章-信息安全治理与风险管理综述.docx

信息安全治理与风险管理分为以下几个部分： 信息安全管理基础 安全管控框架与体系 安全策略 安全计划 信息分类 风险管理 责任分层 人员控制 安全意识、培训和教育 BCP业务连续性 法律、道德、合规 信息安全管理基础 信息安全基本原则 机密性(confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体 完整性(integrity)：1. 确保信息在存储、使用、传输过程中不会被非授权篡改；2. 防止授权用户或实体不恰当修改信息；3. 保持信息内部和外部的一致性 可用性(availability)：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息。 相反三元组DAD：泄漏(Disclosure)；篡改(Alteration)；破坏(Destruction) 信息安全CIA控制措施： 机密性：数据加密（整个磁盘、数据库加密）；传输数据加密（IPSec、SSL、PPTP、SSH）；访问控制（物理和技术??制） 完整性：哈希（数据完整）；配置管理（系统完整）；变更控制（过程完整）；访问控制（物理和技术控制）；软件数字签名；传输CRC检验功能 可用性：冗余磁盘阵列（RAID）；集群；负载均衡；冗余的数据和电源线路；软件和数据备份磁盘映像；位置和场外设施；回滚功能；故障转移配置 安全管理和支持控制： 管理性控制 开发和发布策略、标准、措施和指导原则 风险管理 人员的筛选 指导安全意识培训 实现变更控制措施 逻辑性控制 （技术性控制） 实现和维护访问控制机制 密码和资源管理 身份标识和身份验证方法 安全设备 基础设施配置 物理性控制 控制个人对设施和不同部门的访问 锁定系统 去除必要的软驱和光驱 保护设施的周边 检测入侵 环境控制 信息安全管理: 技术 信息安全的构建材料 管理 真正的粘合剂和催化剂 三分技术，七分管理 信息安全管理模型:PDCA 计划，Plan 根据风险评估结果，法律法规要求、组织业务，运作自身需要来确定控制目标与控制措施 实施，Do 实施所选的安全控制措施。提升人员安全意识 检查，Check 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查 措施，Action 针对检查结果采取应对措施，改进安全状况 GRC-治理、风险与合规 安全管控框架与体系 信息及相关技术控制目标 IT内部控制，Cobit Cobit解决“实现什么”，ITIL解决“如何实现” 源于COSO框架，Cobit是IT治理框架 Subtopic 《内部控制-整体框架》，COSO 企业内控管理框架 定义了满足财务报告和 披露目标的五类内控要素 控制环境 风险评估 控制活动 信息与沟通 检测 很多组织应对SOX404法案合规性的框架 公司治理模型 IT服务管理，ITIL ITIL是可定制IT服务管理框架 信息技术服务管理标准和最佳实践框架 五大过程 服务战略 服务设计 服务交付 服务运营 持续改进过程 信息安全管理，ISO27001 源于BS7799，BS7799-1对应ISO27002，BS7799-2对应ISO27001 信息安全方面的最佳惯例组成的一套全面的控制集 2013版，14个域 Zachman，TOGAF企业框架 SABSA安全机构框架 安全控制参考，NIST SP800-53r4 2014年关键基础设施安全控制框架：NIST CyberSecurity Framework CMMI软件开发管理 PMBOK，Prince2项目管理 Six Sigma，业务流程管理 ISO38500，IT治理 ISO22301 业务连续性管理 安全策略 类型 规章性策略 用于确保组织机构遵守特定的行业规章建立的标准 一般比较详细，针对专门的行业 适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业 建议性策略 用户强烈推荐雇员在组织机构中应该采取的某些行为和活动 对于不遵守的行为进行了相关规定 用户医疗信息处理、金融事务或机密信息处理中 指示性策略 告知雇员的相关信息 非强制性策略，指导个人与公司相关的特定问题 适用于如何与合伙人打交道、公司的目标和任务。 内容侧重点 组织性策略 由高级管理层发布，描述并委派信息安全责任， 定义CIA的目标，强调需要关注的信息安全问题 适用于范围是整个组织 功能性策略 特定问题策略，针对特定安全领域或关注点， 例如访问控制、持续性计划、职责分离等 针对特定的技术领域，如互联网、电子邮件、无线访问、远程访问等 依赖于业务需要和可接受的风险水平 内容包括特定问题的阐述，组织针对该问题的态度、 适用范围、符合性要求，惩戒措施 特定系统策略 针对特定技术或操作领域制定的更细化的策略，如应用或平