信息安全审计培训讲义(187页PPT).pptx
信息安全审计信息安全审计EmailEmail:MSN:MSN:Tel:13426364699Tel:13426364699工业与信息化部培训中心工业与信息化部培训中心RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line2信息安全与审计基础及理论知识信息安全与审计基础及理论知识信息安全与审计的概念、目标、范围信息安全与审计的概念、目标、范围信息安全审计信息安全审计/IT/IT审计审计/信息系统安全审计信息系统安全审计审计审计应该是应该是独立的。审计与信息安全的目标是一独立的。审计与信息安全的目标是一致的,而不是致的,而不是对立对立的。的。信息安全与信息安全与ITIT审计的关系审计的关系信息安全其中一项必不可少的内容是信息安全其中一项必不可少的内容是ITIT审计审计ITIT审计主要针对的是信息安全,也包含其他内容审计主要针对的是信息安全,也包含其他内容信息安全与信息安全与ITIT审计有很大的重合点审计有很大的重合点1.1.不懂信息安全如何不懂信息安全如何进行进行ITIT审计审计2.2.要做好要做好ITIT审计必须了审计必须了解信息安全解信息安全RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line3一、信息安全基础与理论一、信息安全基础与理论1.1 信息安全内容概述信息安全内容概述1.2 美国标准美国标准TCSEC1.3 欧洲标准欧洲标准ITSEC1.4 CC标准标准1.5 CC、TCSEC、ITSEC对应关系对应关系1.6 CISSP介绍介绍1.7 SSE-CMM 1.8 BS7799/ISO7799/ISO270011.9 ITILRUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line4一、信息安全基础与理论一、信息安全基础与理论1.10 ISO154081.11 ISO133351.12 GB18336等级保护等级保护商业银行信息科技风险管理指引商业银行信息科技风险管理指引RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line51.1 信息安全基础信息安全基础-三要素三要素信息安全内容概述信息安全内容概述计算机安全信息安全三要素ConfidentialityIntegrityAvailabilityRUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line61.信息安全基础信息安全基础-北美标准北美标准TCSEC美国国防部(TrustedComputerSystemsEvaluationCriteria)安全等级A验证保护B强制保护C自主保护D无保护FC美联邦标准(FederalCriteria)CTCPEC加拿大标准(CanadianTrustedComputerProductEvaluationCriteria)RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line71.3 信息安全基础信息安全基础-欧洲标准欧洲标准ITSECInformationTechnologySecurityEvaluationCriteria英法德荷四国制定ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能功能与评估评估两部分。功能准则从F1F10共分10级。15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line81.4 信息安全基础信息安全基础-国际标准国际标准CC(Common Criteria)美英法德荷加六国制定的共同标准包含的类FAU安全审计FCO通信FCS密码支持FDP用户数据保护FIA标识与鉴别FMT安全管理FPR隐私FPTTSF保护(固件保护,TOESecurityFunctions,TOESecurityPolicy,(TargetOfEvaluation)FRU资源利用FTATOE访问FTP可信信道/路径RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line91.5 信息安全基础信息安全基础-国际标准国际标准CC、TCSEC、ITSEC对应关系对应关系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line101.5 信息安全基础信息安全基础-国际标准国际标准CC分为三个部分:分为三个部分:第1部分简介和一般模型,正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架,附录部分主要介绍保护轮廓(PP)和安全目标(ST)的基本内容。第2部分安全功能要求,按类-子类-组件的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释。第3部分“安全保证要求”,定义了评估保证级别,介绍了PP和ST的评估,并按“类-子类-组件”的方式提出安全保证要求RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line111.5 信息安全基础信息安全基础-国际标准国际标准CC的三个部分相互依存,缺一不可。的三个部分相互依存,缺一不可。第1部分是介绍CC的基本概念和基本原理第2部分提出了技术要求第3部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在PP和ST中,PP和ST的概念和原理由第1部分介绍,PP和ST中的安全功能要求和安全保证要求在第2、3部分选取,这些安全要求的完备性和一致性,由第2、3两部分来保证。CC作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line121.5 信息安全基础信息安全基础-国际标准国际标准RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line131.7 信息安全基础信息安全基础-SSE-CMMSSE-CMM(System Security Engineering Capability Maturity Model)模型模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相应评估方法2.0版发布。系统安全工程过程一共有三个相关组织过程:工程过程风险过程保证过程RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line141.7 信息安全基础信息安全基础-SSE-CMMSSE-CMM共分5个能力级别,11个过程区域:基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002信息技术系统安全工程成熟度模型。SSE-CMM和BS7799都提出了一系列最佳惯例,但BS7799是一个认证标准(第二部分),提出了一个可供认证的ISMS体系,组织应该将其作为目标,通过选择适当的控制措施(第一部分)去实现。而SSE-CMM则是一个评估标准,适合作为评估工程实施组织能力与资质的标准.RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line151.8 信息安全基础信息安全基础-7799/27001BS7799BS7799是英国标准协会制定的信息安全管理体系标准,已得到了一些国家的采纳,是国际上具有代表性的信息安全管理体系标准。BS7799以下10个部分:信息安全政策安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制系统开发与维护业务连续性规划符合性RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line161.8 信息安全基础信息安全基础-7799/27001ISO17799BS7799Part1的全称是CodeofPracticeforInformationSecurity,也即为信息安全的实施细则。2000年被采纳为ISO/IEC17799,目前其最新版本为2005版,也就是ISO17799:2005。ISO/IEC17799:2005通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践),供负责信息安全系统应用和开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line171.8 信息安全基础信息安全基础-7799/27001ISO27001BS7799Part2的全称是InformationSecurityManagementSpecification,也即为信息安全管理体系规范,其最新修订版在05年10月正式成为ISO/IEC27001:2005,ISO/IEC27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。CC、SSE-CMM、BS 7799对比对比信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面,BS7799的地位是其他标准无法取代的。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line181.8 信息安全基础信息安全基础-7799/27001BS7799BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。标准存在一定不足标准存在一定不足对查看敏感信息等保密性缺少控制。标准中对评审控制和审计没有区分标准中只在开发和维护中简单涉及密码技术某些方面可能不全面,但是它仍是目前可以用来达到一定预防标准的最好的指导标准。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line191.9 信息安全基础信息安全基础-ITILITILITIL的全称是信息技术基础设施库(InformationTechnologyInfrastructureLibrary)。ITIL针对一些重要的IT实践,详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等IT服务管理中最主要的内容就是服务交付(ServiceDelivery)和服务支持(ServiceSupport)服务交付(服务交付(Service Delivery):):ServiceLevelManagementFinancialManagementforITServiceCapacityManagementITServiceContinuityManagementAvailabilityManagementRUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line201.9 信息安全基础信息安全基础-ITILITILV3版本图RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line211.9 信息安全基础信息安全基础-ITIL服务支持(服务支持(Service Support):):ServiceDeskIncidentManagementProblemManagementConfigurationManagementChangeManagementReleaseManagementBS150002001年,英国标准协会在国际IT服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line221.9 信息安全基础信息安全基础-ITILBS15000 有两个部分,目前都已经转化成国际标准了。有两个部分,目前都已经转化成国际标准了。ISO/IEC20000-1:2005信息技术服务管理-服务管理规范(Informationtechnologyservicemanagement.SpecificationforServiceManagement)ISO/IEC20000-2:2005信息技术服务管理-服务管理最佳实践(Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement)与与BS7799 相比相比ITIL关注面更为广泛(信息技术),而且更侧重于具体的实施流程。ISMS实施者可以将BS7799作为ITIL在信息安全方面的补充,同时引入ITIL流程的方法,以此加强信息安全管理的实施能力。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line231.10 信息安全基础信息安全基础-ISO15408ISO15408ISO国际标准化组织于1999年正式发布了ISO/IEC15408。ISO/IECJTC1和CommonCriteriaProjectOrganisations共同制订了此标准,此标准等同于CommonCriteriaV2.1。ISO/IEC 15408有一个通用的标题有一个通用的标题信息技术安全技术IT安全评估准则。此标准包含三个部分:第一部分介绍和一般模型第二部分安全功能需求第三部分安全认证需求安全功能需求安全功能需求1审计安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line241.10 信息安全基础信息安全基础-ISO15408安全功能需求安全功能需求2通信源不可否认、接受不可否认3密码支持密码密钥管理、密码操作4用户数据保护访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护5鉴别和认证认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订6安全管理安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色7隐私匿名、使用假名、可解脱性、可随意性RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line251.10 信息安全基础信息安全基础-ISO15408安全功能需求安全功能需求8安全功能保护底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。9资源利用容错、服务优先权、资源分配10访问可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立11可信通道/信道内部可信通道、可信通道RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line261.10 信息安全基础信息安全基础-ISO15408安全认证需求安全认证需求1配置管理2分发和操作3开发4指导文档5生命周期支持6测试7漏洞评估RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line271.11 信息安全基础信息安全基础-ISO13335ISO13335(CIA+Accountability,Authenticity,Reliability)ISO13335是一个信息安全管理指南,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。第一部分:IT安全的概念和模型(ConceptsandmodelsforITSecurity)第二部分:IT安全的管理和计划(ManagingandplanningITSecurity)第三部分:IT安全的技术管理(TechniquesforthemanagementofITSecurity)第四部分:防护的选择(Selectionofsafeguards)第五部分:网络安全管理指南(Managementguidanceonnetworksecurity)RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line281.11 信息安全基础信息安全基础-ISO13335ISO13335第一部分:IT安全的概念和模型发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍第二部分:IT安全的管理和计划发布于1997年12月15日。这个部分建议性地描述了IT安全管理和计划的方式和要点,包括决定IT安全目标、战略和策略决定组织IT安全需求管理IT安全风险计划适当IT安全防护措施的实施开发安全教育计划策划跟进的程序,如监控、复查和维护安全服务开发事件处理计划RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line291.11 信息安全基础信息安全基础-ISO13335ISO13335第三部分:IT安全的技术管理发布于1998年6月15日。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试,还包括一些后续的制度审查、事件分析、IT安全教育程序等。第四部分:防护的选择发布于2000年3月1日。这个部分主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。第五部分:网络安全管理指南这个部分是基于ISO/IECTR13335第四部分建立的,介绍了如何确定与网络连接相关的保护域。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line301.11 信息安全基础信息安全基础-ISO13335RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line311.12 信息安全基础信息安全基础-GB18336GB18336GB/T18336:2001信息技术安全技术信息技术安全性评估准则(等同于ISO/IEC15408-1999)(通常也简称通用准则-CC)已于2001年3月正式颁布,该标准是评估信息技术产品和系统安全性的基础准则。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准则努力的结果,是在美国、加拿大、欧洲等国家和地区分别自行推出测评准则并具体实践的基础上,通过相互间的总结和互补发展起来的。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line321.13 信息安全基础信息安全基础-等级保护等级保护等级保护等级保护信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line331.13 信息安全基础信息安全基础-等级保护等级保护等级保护等级保护第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门专门监督、检查。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line34信息安全与审计基础及理论知识信息安全与审计基础及理论知识究竟什么是信息安全审计究竟什么是信息安全审计PDCA PDCA(监督与保障)(监督与保障)Syslog Syslog(日志)(日志)Audit Trail Audit Trail(审计留痕)(审计留痕)RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line35信息安全与审计基础及理论知识信息安全与审计基础及理论知识RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line36信息安全与审计基础及理论知识信息安全与审计基础及理论知识信息安全审计目的是什么信息安全审计目的是什么让别人难堪?让别人难堪?显示我们的聪明与他们的错误?显示我们的聪明与他们的错误?展示审计的权力?展示审计的权力?内审与外审内审与外审1,为了保证提供独立的审计委员会(和高级管理)的内部控制措施,在公司内有效地运作2,为了改善公司的内部控制,促进和帮助该公司确定的控制弱点,和制定解决这些弱点成本效益的解决方案,内部控制的状态。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line37信息安全与审计基础及理论知识信息安全与审计基础及理论知识怎样做好信息安全审计工作怎样做好信息安全审计工作领导的推动与支持领导的推动与支持审计的方式不是挑毛病,而是交朋友审计的方式不是挑毛病,而是交朋友积累专业知识积累专业知识RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line38如果开始信息安全审计工作如果开始信息安全审计工作采用一个标准采用一个标准建立一套系统建立一套系统充实与完善细则内容充实与完善细则内容执行与监督执行与监督ISO27001ISMSNet/OS/DBACTS1234信息安全与审计基础及理论知识信息安全与审计基础及理论知识RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line39信息安全与审计基础及理论知识信息安全与审计基础及理论知识资质与认证资质与认证BSIBSIDNVDNV指定评测或认证机构指定评测或认证机构CISSPCISSPCISACISALALARUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line401.6 信息安全基础信息安全基础-权威认证权威认证CISSP介绍介绍安全管理SecurityManagementPractices安全架构与模型SecurityArchitectureandModels访问控制AccessControl应用与系统开发ApplicationsandSystemsDevelopment操作安全OperationsSecurity物理安全PhysicalSecurity加密Cryptography通信与网络TelecommunicationsandNetworking业务连续性/灾难恢复BusinessContinuityPlanning/DRP法律,事后取证Law,Investigation,andEthicsRUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line411.6 信息安全基础信息安全基础-权威认证权威认证RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引适用范围适用范围适用范围:本指引适用于在中华人民共和国境内依法设立的法人商业银行。参照范围:政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。42RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引管理职责管理职责商业银行法定代表人商业银行法定代表人是本机构信息科技风险管理的第一责任人第一责任人,负责组织本指引的贯彻落实。董事会:遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。首席信息官:确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。特定部门负责信息科技风险管理工作:为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。内部审计部门设立专门的信息科技风险审计岗位:负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。人员安全和法规:入职前审查、入职中教育、降低离职的损失知识产权保护总体原则:自上而下、明确分工43RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引风险管理风险管理涉及范围:信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。制定持续的风险识别和评估流程识别隐患评价影响排序制定措施及安排资源措施:风险管理制度、技术标准、操作规程权限管理:高权限用户的审查、物理和逻辑控制、最小化和必须知道原则、授权审批和验证。风险监测:评价机制、程序和标准、报告机制、整改机制、定期审查(已有体系、控制台、新技术、外部威胁)44RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引信息安全信息安全科技部门:信息分类和保护体系、安全教育和贯彻信息安全体系:安全制度管理、安全组织管理、资产管理、人员安全、物理与环境安全、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。用户认证与授权:必须知道、离职的权限移除物理保护区域划分与保护:物理、逻辑访问控制、内容过滤、传输、监控、记录系统安全:安全规范、权限分配、帐户审计、补丁管理、日志监控所有系统:职责分配、认证、输入输出、数据保密、审计踪迹45RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引信息安全(续)信息安全(续)日志管理:交易日志、系统日志记录内容、覆盖范围、保存期限加密措施:符合国家要求、人员要求、强度要求、密钥管理定期检查:包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等管理客户信息:采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。Pci-dss?人员培训。46RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引开发管理开发管理职责:项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。项目风险:潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法。生命周期管理。变更管理:生产、开发、测试环境的物理区域和人员职责分离、紧急修复的记录、变更审查。问题管理:全面的追踪、分析和解决。ITIL?升级管理.47RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引信息科技运行信息科技运行物理环境控制:电力供应、自然灾害、基础设施外来人员访问:审查批准记录陪同人员职责分离:运行与维护分离交易数据:可保存、机密性、完整性、可恢复操作说明:运营操作指南与规范。事故管理:报告分析追踪解决。服务水平管理:SlA。监控、例外和预警。容量管理:外部变化和内部业务。升级管理:记录保存。变更管理:审批、记录和更正紧急修复。48RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引业务连续性管理业务连续性管理规划:基于自身业务的性质、规模和复杂程度制定规划;定期演练。意外事件:内部资源故障或缺失、信息丢失与受损、外部事件业务中断:系统恢复和双机热备应急恢复、保险以降低损失连续性策略:规划(资源管理、优先级、外部沟通)、更新、验证、审核应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。49RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引外包管理外包管理谨慎原则外包协议:适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。合同谈判:必要条件、监督、所有权、损失补偿、遵守规范、服务水平管理、变更服务水平管理:定性和定量指标、水平考核、不达标的处理数据安全保护:隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止应急措施:外包不可用外包合同审批:信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。并定期审核50RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引内部审计内部审计内审部门:系统控制的适当性和有效性。审计人员资源和能力。审计责任:审计计划、审计工作、整改检查、专项审计。审计范围和频率:基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。审计参与:大规模审计时,风险管理部门的参与。51RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line管理指引管理指引外部审计外部审计外审机构选择:法律法规要求、能力要求审计沟通银监会及其派出机构:必要时的检查、审计授权书、保密协定、规定时间内完成整改。52RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line53ISMS信息安全与信息安全与风险风险管理框架介管理框架介绍绍ISMSInformation Security Management System-ISMS 信息安全管理体系基于国际标准ISO/IEC27001:信息安全管理体系要求是综合信息安全管理和技术手段,保障组织信息安全的一种方法ISMS是管理体系(MS)家族的一个成员RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line ISO27000系列标准介绍系列标准介绍ISO/IEC27001:2005ISO/IEC27001:2005 pISO/IEC27001:2005的名称 Information technology-Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求p该标准用于:为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型,并规定了要求。p该标准适用于:所有类型的组织(例如,商业企业、政府机构、非赢利组织)。p是建立和实施ISMS的依据,是ISMS认证的依据。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line ISO27000系列标准介绍系列标准介绍ISO/IEC27002:2005ISO/IEC27002:2005 主要内容主要内容 章节控制措施域控制目标控制措施5安全方针126信息安全组织2117资产管理258人力资源安全399物理和环境安全21310通信和操作管理103211访问控制72512信息系统获取、开发和维护61613信息安全事故管理2514业务连续性管理1515符合性310合计39133RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line56COBIT框架介绍框架介绍什么是什么是Cobit是由信息系统审计和控制基金会ISACF(InformationSystemsAuditandControlFoundation)最早于1996年制定的IT治理模型,目前已经更新至第四版。COBIT的制订宗旨是跨越业务控制(businesscontrol)和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line与与IT标准的关联关系标准的关联关系与IT审计的关系COBIT包含而不限于IT审计的模块(AuditGuidline),但并非是针对IT审计的专门论述与BS7799、ITIL的关系侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求,使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line582.信息安全相关内容信息安全相关内容为什么要了解信息安全为什么要了解信息安全IT审计的主要内容就是信息安全审计了解信息安全的问题,才能制定有效的解决办法审计这些解决办法的制定、实施、改进情况RUNNINGHEADER,14PT.,ALLCAPS,LineSpacing=1line592.信息安全相关内容信息安全相关内容扫描扫描信息扫描Nmapportscan密码扫描WebcrackEmailcracksolarwinds漏洞扫描NessusISS综合扫描器Xscan流光SSSDBSCAN