幻灯片 1

Size: px

Start display at page:

Download "幻灯片 1"

起歌平
5 years ago
Views:

1 第 12 章信息安全管理与审计信息安全管理体系信息安全风险评估信息安全审计本章小结

2 信息安全管理体系

3 信息安全管理需求信息系统是人机交互系统应对风险需要人为的管理过程设备的有效利用是人为的管理过程

4 三分技术, 七分管理据有关统计, 信息安全事件中大约有 70% 以上的问题都是由于管理方面的原因造成的数据来源 CNCERT/CC

5 信息安全工程信息安全需要对信息系统的各个环节进行统一的综合考虑规划和架构, 并需要兼顾组织内外不断变化的发生的变化木桶原理 : 信息系统安全水平将由与信息安全有关的所有环节中最薄弱的环节所决定要实现信息安全目标, 一个组织必须使构成安全防范体系的这只木桶的所有木板都达到一定的长度要实现良好的信息安全, 需要信息安全技术和信息安全管理有效地配合

6 信息安全工程信息安全技术层面建设安全的主机系统和安全的网络系统, 包括物理层安全系统层安全网络层安全和应用层安全等配备一定的安全产品, 如数据加密产品数据存储备份产品系统容错产品防病毒产品安全网关产品等信息安全管理层面构建信息安全管理体系

7 信息安全管理信息安全管理 (Information Security Management) 的概念没有统一的定义信息安全管理 : 组织为了实现信息安全目标和信息资产保护, 用来指导和管理各种控制信息安全风险的一组相互协调的活动要实现组织中信息的安全性高效性和动态性管理, 就需要依据信息安全管理模型和信息安全管理标准构建信息安全管理体系

8 信息安全管理体系信息安全管理体系 (Information Security Management System, ISMS) 组织以信息安全风险评估为基础的系统化程序化和文件化的管理体系, 包括建立实施运行监视评审保持和改进信息安全等一系列的管理活动 ISMS 是整个管理体系的一部分 ISMS 的建立是基于组织, 立足于信息安全风险评估, 体现以预防为主的思想, 并且是全过程和动态控制

9 信息安全管理体系 BS 信息安全管理体系规范 : 详细说明了建立实施和维护信息安全管理体系的要求 BS 的修订版本 BS7799-2: 2002 中引入了 PDCA(Plan-Do- Check-Action) 过程方法, 用于建立实施和持续改进 ISMS PDCA 循环又称戴明环, 由美国质量管理专家 Edwards Deming 博士在 20 世纪 50 年代提出, 是全面质量管理所应遵循的科学程序 PDCA 强调应将业务过程看作连续的反馈循环, 在反馈循环的过程中识别需要改进的部分, 以使过程得到持续的改进, 质量得到螺旋式上升

10 应用于 ISMS 过程的 PDCA 模型规划 Plan 建立 ISMS 相关方处置 Act 保持和改进 ISMS 实施和运行 ISMS 实施 Do 相关方信息安全要求和期望监视和评审 ISMS 检查 Check 受控的信息安全

11 信息安全管理体系构建流程第一步定义信息安全方针和策略安全方针和策略文档第二步定义 ISMS 的范围 ISMS 的范围文档信息资产第三步进行信息安全风险评估风险评估文档结果与结论第四步信息安全风险管理风险管理的区域文档第五步第六步可选的控制选项确定控制目标和选择控制措施已选的控制目标和控制措施准备信息安全适用性声明选择的理论基础适用性声明文档文档

12 信息安全管理体系功能强化员工的信息安全意识, 规范组织的信息安全行为对组织的关键信息资产进行全面系统的保护, 维持竞争优势在信息系统受到侵袭时, 确保业务持续开展并将损失降到最低程度使组织的生意伙伴和客户对组织充满信心使组织定期地考虑新的威胁和脆弱点, 并对系统进行更新和控制促使管理层坚持贯彻信息安全保障体系

13 信息安全管理标准 BS7799 信息和相关技术控制目标 (Control Objective for Information and related Technology, COBIT) ISO/IEC13335 GB

14 BS7799 BS7799 是由英国 BSI/DISC 的 BDD/2 信息安全管理委员会指导下完成的, 是当前国际公认的信息安全实施标准旨在为一个组织提供用来制定安全标准实施有效安全管理的通用要素, 并不涉及怎么做的细节是制定一个机构自己标准的出发点, 因此适用于各种产业和组织其演化发展过程如下图 BS 年首次发布 1999 年重新发布 ISO/IEC 17799: 年发布 ISO/IEC 17799: 年发布 ISO/IEC 27002: 年发布 ISO/IEC 27002: 年发布 BS 年首次发布 1999 年重新发布 BS : 年发布 ISO/IEC 27001: 年发布 ISO/IEC 27001: 年发布

15 BS7799 BS7799 发展后分为两部分 ISO/IEC 27001: 2005 信息技术- 安全技术 - 信息安全管理体系 - 要求主要讨论了以 PDCA 过程方法建设 ISMS 以及 ISMS 评估的内容该标准详细的说明了建立实施监视和维护 ISMS 的具体任务和要求, 指出实施机构应该遵循的风险评估标准 ISO/IEC 27002: 2005 信息技术- 安全技术 - 信息安全控制实用规则标准包含有 11 项管理内容,133 条安全控制措施作为组织基于 ISO/IEC 实施 ISMS 的过程中选择控制措施时的参考, 或作为组织实施通用信息安全控制措施时的指南文件, 或开发组织自身的信息安全管理指南

16 COBIT 业务目标 COBIT 是目前国际上通用的安全治理目标与信息技术管理和控制标准它在业务风险控制需要和技术问题之间架起了一座桥梁, 可以辅助管理层进行 IT 治理, 指导组织有效利用信息资源, 有效地管理与信息相关的风险 COBIT 共分为 4 个域,34 个高级控制目标和 318 个详细控制目标 COBIT ME1 IT 业绩监控与评价 ME2 内部控制监控与评价 ME3 确保符合外部要求 ME4 提供 IT 治理 DS1 定义管理服务水平 DS2 第三方服务管理 DS3 性能和容量管理 DS4 确保持续服务 DS5 确保系统安全 DS6 成本确认和分摊 DS7 教育与培训用户 DS8 服务台和事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理监视与评价支付与支持 PO1 定义 IT 战略规划 PO2 定义信息系统结构信息标准 PO3 确定技术方向 PO4 定义 IT 流程组织和关系有效性 PO5 管理 IT 投资效率 PO6 沟通管理目标和方向机密性 PO7 IT 人力资源管理完整性 PO8 质量管理可用性 PO9 IT 风险评估及管理符合性 PO10 项目管理可靠性规划与组织 IT 资源应用系统信息基础设施人获取与实施 AI1 确定系统的解决方案 AI2 系统使用与维护 AI3 技术基础设施的获取与维护 AI4 运营知识保障 AI5 获取 IT 资源 AI6 变更管理 AI7 系统测试与发

17 ISO/IEC13335 ISO/IEC13335 是国际标准 IT 安全管理指南 (Guidelines for the Management of IT Security, GMITS) ISO/IEC :1996 IT 安全的概念与模型 ( 被 ISO/IEC :2004 信息和通信技术安全管理的概念和模型替代) ISO/IEC :1997 IT 安全管理与规划 ISO/IEC :1998 IT 安全管理技术 ISO/IEC :2000 防护措施的选择 ISO/IEC :2001 网络安全管理指南

18 GB GB 计算机信息系统安全保护等级划分准则标准由我国公安部主持制定国家质量技术监督局 1999 年发布, 2001 年 1 月 1 日起施行计算机信息系统安全保护等级被划分为 5 个级别用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级

19 第一级自主安全保护自主访问控制身份鉴别完整性保护第二级审计安全保护自主访问控制身份鉴别完整性保护系统审计客体重用第三级强制安全保护自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记第四级结构化保护自主访问控制身份鉴别完整性保护系统审计客体重用隐蔽通道分析强制访问控制标记可信路径第五级访问验证保护级自主访问控制身份鉴别完整性保护系统审计客体重用隐蔽通道分析可信恢复强制访问控制标记可信路径

20 信息安全风险评估

21 信息安全风险评估概念信息安全风险评估组成要素信息安全风险评估流程信息安全风险评估方法信息安全风险评估工具信息安全风险评估

22 信息安全风险风险 (Risk): 一定条件下和一定时期内可能发生的不利事件发生的可能性目前, 信息安全风险没有统一的定义澳大利亚 / 新西兰国家标准 AS/NZS4360 信息安全风险指对目标产生影响的某种事件发生的可能性, 可以用后果和可能性来衡量 ISO/IEC 标准信息安全风险是指某个给定的威胁利用单个或一组资产的脆弱点造成资产受损的潜在可能性 GB/T 信息安全风险评估规范信息安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱点导致安全事件的发生及其对组织造成的影响

23 信息安全风险评估一般而言, 信息安全风险可表现为威胁 (Threats) 脆弱点 (Vulnerabilities) 和资产 (Assert) 之间的相互作用 GB/T 信息安全风险评估规范风险会随着任一因素的增加而增大, 减少而减少信息安全风险评估是指依据有关信息安全技术与管理标准, 对信息系统及由其处理传输和存储的信息的保密性完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响

24 信息安全风险评估组成要素 CC 标准 1993 年, 美国, 加拿大同欧洲四国组成六国七方, 共同制定了国际通用的评估准则 CC(Common Criteria) 目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准在 1996 年颁布了 CC1.0 版,1998 年颁布了 CC2.0 版 1999 年,ISO 接纳 CC2.0 版为 ISO/IEC 草案, 并命名为信息技术 - 安全技术 -IT 安全性评估准则, 并于同年正式发布国际标准 ISO/IEC15408 CC2.1 版

25 信息安全风险评估组成要素 CC 标准主要有三部分构成简介和一般模型安全功能要求所有者利用对策可能具有希望最小化减少价值安全保障要求信息安全风险构成要素威胁风险脆弱点资产对威胁主体可能被减少利用脆弱性导致风险策等关键风险要素提出了所有者和威胁主体的概念引起威胁增加希望滥用或破坏到资产

26 信息安全风险评估组成要素 ISO13335 标准威胁利用脆弱点 ISO/IEC13335 是信息安全管理方面的指导性标准抵抗增加增加暴露 ISO/IEC 以风险为中心, 确定了资产威胁脆弱点影防护措施减少风险增加资产响风险防护措施为信息安全被满足引出增加拥有风险的要素, 并描述了它们之间的关系保护需求影响

27 信息安全风险评估组成要素 GB/T 标准信息安全风险评估规范风险评估围绕着资产威胁脆弱点和安全措施这些基本要素展开在基本要素的评估过程中, 充分考虑业务战略资产价值安全需求安全事件残余风险等与这些基本要素相关的各类属性业务战略业务战略安全需求安全需求资产价值资产价值残余风险残余风险安全事件安全事件脆弱性脆弱性威胁威胁安全措施安全措施资产资产风险风险依赖暴露拥有增加增加成本导出增加利用未被满足被满足降低未控制残留可能诱发演变抗击

28 ... 信息安全风险评估流程我国的 GB/T 标准信息安全风险评估规范风险评估准备资产识别威胁识别脆弱点识别已有安全措施的确认风险分析风险评估文档记录风险分析风险评估准备资产识别威胁识别脆弱点识别保持已有的安全措施是已有安全措施的确认风险计算风险是否接受制定风险处理计划并评估残余风险风险是否接受是否实施风险管理否评估过程文档评估过程文档评估过程文档风险评估文档记录

29 风险评估准备确定风险评估的目标确定风险评估的对象与范围组建适当的评估管理与实施团队进行系统调研确定评估依据和方法制定风险评估方案获得最高管理者对风险评估工作的支持

30 资产识别资产分类根据资产的表现形式, 可将资产分为物理资产信息资产软件资产服务以及无形资产等方面资产赋值 : 对资产的价值或重要程度进行评估一般地, 资产的价值可由资产在安全属性上的达成程度或其他安全属性未达成时所造成的影响程度来决定, 可分为对保密性完整性可用性三个方面的赋值在此基础上, 经过综合评定得到资产重要性等级加权平均原则最大化原则等

31 威胁识别威胁识别根据威胁来源, 威胁可分为环境威胁和人为威胁环境威胁 : 自然界不可抗力威胁和其它物理因素威胁人为威胁 : 恶意和非恶意威胁赋值对威胁出现的频率进行等级化处理, 不同等级分别代表威胁出现的频率的高低以往安全事件报告中出现过的威胁威胁的频率破坏力的统计实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计近一两年来国际组织发布的对于整个社会或特定行业的威胁出频率及其破坏力的统计

32 脆弱点识别脆弱点识别技术和管理技术脆弱点 : 物理层网络层系统层应用层等管理脆弱点 : 技术管理和组织管理脆弱点赋值一般是对脆弱点被利用后对资产损害程度技术实现的难易程度弱点流行程度进行评估, 然后以定性等级划分形式, 综合给出脆弱点的严重程度

33 已有安全措施的确认预防性安全措施降低威胁利用脆弱点导致安全事件发生的可能性 : 减少威胁出现的频率 : 培训惩罚等减少脆弱点 : 打补丁定期检查等保护性安全措施减少因安全事件发生对信息系统造成的影响 : 业务持续性计划

34 风险分析该阶段主要完成风险计算风险处理计划残余风险评估三个方面的内容在风险计算方面, 主要通过综合安全事件所作用的资产价值及脆弱点的严重程度, 判断安全事件造成的损失对组织的影响, 即得到安全风险在风险处理计划方面, 主要完成对不可接受的风险的处理工作风险处理计划中应明确采取的弥补脆弱点的安全措施预期效果实施条件进度安排责任部门等在残余风险评估方面, 主要用来评估在安全措施实施后, 残余风险是否降低到可以接受的水平若仍然不满足风险水平的要求, 则需要进一步调整风险处理计划, 增加相应的安全措施

35 风险计算风险值计算 R: 风险函数 A: 资产 T: 威胁 V: 脆弱点 I a : 安全事件所作用的资产价值威胁识别脆弱点识别资产识别威胁出现的频率脆弱点的严重程度资产的重要性安全事件的可能性安全事件的损失风险值 Va: 脆弱点等级大小 L: 威胁利用资产的脆弱点而导致安全事件的可能性 F: 安全事件发生后造成的损失

36 风险评估文档记录主要记录在整个风险评估过程中产生的评估过程文档和评估结果文档风险评价计划风险评估程序资产识别清单重要资产清单威胁列表脆弱点列表已有安全措施确认表风险评估报告风险处理计划风险评估记录

37 信息安全风险评估方法定性分析方法定性的评估分析方法是一种采用比较广泛的模糊分析方法主要依靠专家的知识和经验被评估对象的相关记录以及相关走访调查来对资源威胁脆弱点和现有的防范措施进行系统评估定性分析方法很多, 包括小组讨论 ( 如 Delphi 方法 ) 调查人员访谈问卷和检查列表等典型的定性分析方法主观评分法故障树分析法

38 信息安全风险评估方法定量分析方法对构成风险的各个要素和潜在损失的水平赋以数值, 进而来量化风险评估的整个过程和结果典型的定量分析方法决策树法模糊综合评价法层次分析法

39 信息安全风险评估方法定性和定量结合的分析方法定性分析要求分析者具有一定的能力和经验, 且分析基于主观性, 其结果很难统一定量分析依赖大量的统计数据, 且分析基于客观, 其结果很直观, 容易理解信息安全风险评估是一个复杂的过程, 涉及多个因素多个层面, 具有不确定性, 它是一个多约束条件下的多属性决策问题有些要素的量化很容易, 而有些却是很困难甚至是不可能的如果单纯的使用定性或定量的方法, 对风险有效的评估则是很难的

40 信息安全风险评估工具工具名称 COBRA RA BDSS 组织 / 国家 C&A/Britain BSI/Britain CCTA/Britain Palisade/Ameri ca The Integrated Risk Management Group/America 体系结构 C/S 模式单机版单机版单机版单机版采用方法专家系统过程式算法过程式算法专家系统专家系统定性 / 定量算法定性 / 定量结合定性 / 定量结合定性 / 定量结合定性 / 定量结合定性 / 定量结合数据采集形式调查问卷过程过程调查问卷调查问卷对使用人员的要求结果输出形式不需要有风险评估的专业知识结果报告 : 风险等级与控制措施依靠评估人的知识和经验风险等级与控制措施 ( 基于 BS7799 提供的控制措施 ) 依靠评估人的知识和经验风险等级与控制措施 ( 基于 BS7799 提供的控制措施 ) 不需要有风险评估的专业知识决策支持信息不需要有风险评估的专业知识安全防护措施列表

41 信息安全审计

42 信息安全审计审计 (Audit) Audit 审计, 查账 an inspection of the accounting procedures and records by a trained accountant or CPA 审计审计是对资料作出证据搜集及分析, 以评估企业财务状况, 然后就资料及一般公认准则之间的相关程度作出结论及报告进行审计的人员必需有独立性及具相关专业知识

43 信息安全审计信息安全审计 /IT 审计 / 信息系统安全审计审计应该是独立的, 审计与信息安全的目标是一致的, 而不是对立的信息安全与信息安全审计信息安全其中一项必不可少的内容是 IT 审计 IT 审计主要针对的是信息安全, 也包含其他内容信息安全与 IT 审计有很大的重合点要做好 IT 审计必须了解信息安全

44 信息安全审计师信息安全审计师, 英文为 Certified Information Security Professional - Auditor ( 简称 CISP-Auditor),CISP-Auditor 是中国信息安全测评中心在 CISP 现有人员资格认证注册工作的基础上, 于 2012 年推出的又一项信息安全专业人员资格认证项目, 是 CISP 家族的新成员, 是国家对信息安全审计人员资质的最高认可要求 : 博士研究生 ; 硕士研究生以上, 具有 1 年工作经历 ; 或本科毕业, 具有 2 年工作经历 ; 或大专毕业, 具有 4 年工作经历知识体系结构共包括 : 信息安全保障信息安全标准与法律法规信息安全技术信息安全管理信息安全工程信息安全审计概述信息安全审计组织和实施信息安全控制措施审计实务这八个知识类

45 SOX(Sarbanes-Oxley) 法案 2002 年颁布的 Sarbanes-Oxley 法案的一些强制要求此法案要求上市公司的工作人员个人不仅对公司的财务报表负责, 而且还需要负责设置恰当的控制措施, 以确保报表的准确性如果没有遵守这些规定, 则需要负刑事责任, 并会向公众公开以示惩罚

46 SOX(Sarbanes-Oxley) 法案尽管此法案不包含关于 IT 计算机或技术方面的内容, 但是审计事务所还是已经将 IT 组织包括在其调查的范围之内这些事务所认为,SOX 不仅包括对财务进行恰当的控制 ; 而且还包括如何保护股东资产这些资产容易受到操作问题的影响, 其中包括 IT 风险, 如系统灾难违犯安全, 等等

47 SOX(Sarbanes-Oxley) 法案公司高级管理人员被判定行为不当的某些最臭名卓著的案例包括指使 IT 人员涉嫌操纵数据修改程序和忽略基本系统控制, 以便为财务报表和审计提供不正确的数据因此, 是美国上市公司审计监督委员会要求公开审计的内容包括 IT 控制

48 IT 审计的要求 IT 审计是独立的 IT 审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整有效的检查和评估的过程那么, 为了保证审计结果的客观性和权威性,IT 审计师必须采用一套公认的权威的审计标准, 作为实施 IT 审计的基本准则和实施依据

49 IT Audit 相关标准目前在国际上较为流行的是美国的 ISACA 协会的审计标准 ISACA 于 1996 年推出了用于 IT 审计的知识体系 COBIT(Control Objectives for Information and related Technology), 即信息系统和技术控制目标作为 IT 治理的核心模型,COBIT 包含 34 个信息技术过程控制, 并归集为 4 个控制域 :IT 规划和组织 (Planning and Organization) 系统获得和实施(Acquisition and Implementation) 交付与支持(Delivery and Support), 以及信息系统运行性能监控 (Monitoring) 目前,COBIT 已成为国际公认的 IT 管理与控制标准

50 IT Audit 信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能效率安全性进行监测评估和控制的过程, 以确认预定的业务目标得以实现信息系统审计其业务范围包括与信息系统有关的所有领域.

51 信息系统审计准则中国内部审计协会

52 准则内容内部审计具体准则第 2203 号信息系统审计分为 7 章 28 条总则一般原则审计计划风险评估信息系统审计的内容信息系统审计的方法自 2014 年 1 月 1 日起施行

<4D6963726F736F667420506F776572506F696E74202D20A4BDA640A475B57BA454BC68AFC5AB7EBDE8BADEB27AB460C0F4AC5BBA6328ADD7292DB35CBAFBAE78>

<4D6963726F736F667420506F776572506F696E74202D20A4BDA640A475B57BA454BC68AFC5AB7EBDE8BADEB27AB460C0F4AC5BBA6328ADD7292DB35CBAFBAE78> 公共工程三層級品質管理循環架構桃園縣政府工務局許維庭章節概要一前言二承包商三階品管三工程主辦單位 / 監造單位四主管機關三層級品管五工安與品質六結語 2 一前言 1.1 三層級品質管理定義 1.2 三層級品質管理應用 3 1.1