信息安全审计培训讲义.pptx

《信息安全审计培训讲义.pptx》由会员分享，可在线阅读，更多相关《信息安全审计培训讲义.pptx（186页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line2信息安全与审计的概念、目标、范围信息安全与审计的概念、目标、范围 信息安全审计信息安全审计/IT/IT审计审计/ /信息系统安全审计信息系统安全审计 审计审计应该是应该是独立的。审计与信息安全的目独立的。审计与信息安全的目标是一致的，而不是标是一致的，而不是对立对立的。的。信息安全与信息安全与ITIT审计的关系审计的关系 信息安全其中一项必不可少的内容是信息安全其中一项必不可少的内容是ITIT审计审计 ITIT审计主要针对的是信息安全，也包含其他内容审计主要针对的是信息安全，也包含其他内

2、容 信息安全与信息安全与ITIT审计有很大的重合点审计有很大的重合点1.1.不懂信息安全如何不懂信息安全如何进行进行ITIT审计审计2.2.要做好要做好ITIT审计必须审计必须了解信息安全了解信息安全RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line3 1.1 信息安全内容概述信息安全内容概述 1.2 美国标准美国标准TCSEC 1.3 欧洲标准欧洲标准ITSEC 1.4 CC标准标准 1.5 CC、TCSEC、ITSEC对应关系对应关系 1.6 CISSP介绍介绍 1.7 SSE-CMM 1.8 BS7799/ISO7799/ISO27

3、001 1.9 ITILRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line4 1.10 ISO15408 1.11 ISO13335 1.12 GB18336 等级保护等级保护 商业银行信息科技风险管理指引商业银行信息科技风险管理指引RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line5 信息安全内容概述信息安全内容概述计算机安全信息安全三要素Confidentiality IntegrityAvailabilityRUNNING HEADER, 14 PT., ALL CAPS, L

4、ine Spacing=1 line6 TCSEC美国国防部(Trusted Computer Systems Evaluation Criteria)安全等级A 验证保护B 强制保护C 自主保护D 无保护 FC美联邦标准(Federal Criteria) CTCPEC加拿大标准(Canadian Trusted Computer Product Evaluation Criteria)RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line7 ITSECInformation Technology Security Evaluation C

5、riteria英法德荷四国制定ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能功能与评估评估两部分。功能准则从F1F10共分10级。 15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等

6、级,对于每个系统,安全功能可分别定义。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line8 CC (Common Criteria)美英法德荷加六国制定的共同标准包含的类FAU安全审计FCO通信FCS密码支持FDP用户数据保护FIA标识与鉴别FMT安全管理FPR隐私FPTTSF保护(固件保护，TOE Security Functions, TOE Security Policy，(Target Of Evaluation)FRU资源利用FTATOE访问FTP可信信道/路径RUNNING HEADER, 14 PT., ALL CAPS,

7、Line Spacing=1 line9 CC、TCSEC、ITSEC对应关系对应关系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line10 CC分为三个部分：分为三个部分：第1部分简介和一般模型，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基本内容。第2部分安全功能要求，按类-子类-组件的方式提出安全功能要求，每一个类除正

8、文以外，还有对应的提示性附录作进一步解释。第3部分“安全保证要求”，定义了评估保证级别，介绍了PP和ST的评估，并按“类-子类-组件”的方式提出安全保证要求RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line11 CC的三个部分相互依存，缺一不可。的三个部分相互依存，缺一不可。第1部分是介绍CC的基本概念和基本原理第2部分提出了技术要求第3部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在PP和ST 中，PP和ST的概念和原理由第1部分介绍，PP和ST中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求

9、的完备性和一致性，由第2、3两部分来保证。CC 作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line12RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line13 SSE-CMM (System Security Engineering Capability Maturity Model)模型模型是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局(NSA)领导开发的，是专门用于系

10、统安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。系统安全工程过程一共有三个相关组织过程：工程过程风险过程保证过程RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line14 SSE-CMM共分5个能力级别，11个过程区域：基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002信息技术系统安全工程成熟度模型。SSE-CMM 和BS 7799 都提出了一系列最佳惯例，

11、但BS 7799 是一个认证标准（第二部分），提出了一个可供认证的ISMS 体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而SSE-CMM 则是一个评估标准， 适合作为评估工程实施组织能力与资质的标准.RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line15 BS7799BS 7799是英国标准协会制定的信息安全管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息安全管理体系标准。BS7799以下10个部分：信息安全政策安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制系统开发与维护业

12、务连续性规划符合性RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line16 ISO17799BS7799 Part 1的全称是Code of Practice for Information Security，也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799: 2005。ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素，还有39个主要执行目标和133个具体控制措施（最佳实践），供负责

13、信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line17 ISO27001BS7799 Part 2的全称是Information Security Management Specification，也即为信息安全管理体系规范，其最新修订版在05年10月正式成为ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC

14、 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。 CC、SSE-CMM、BS 7799对比对比信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line18 BS7799BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提

15、供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。 标准存在一定不足标准存在一定不足对查看敏感信息等保密性缺少控制。标准中对评审控制和审计没有区分标准中只在开发和维护中简单涉及密码技术某些方面可能不全面，但是它仍是目前可以用来达到一定预防标准的最好的指导标准。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line19 ITILITIL的全称是信息技术基础设施库（Information Technology Infrastructure Library）。ITIL针对一些重要的IT实践，详细描述了可适用于

16、任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等IT服务管理中最主要的内容就是服务交付（Service Delivery）和服务支持（Service Support） 服务交付（服务交付（Service Delivery）：）：Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability ManagementRUNNING HEADER, 14 P

17、T., ALL CAPS, Line Spacing=1 line20ITILV3版本图RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line21 服务支持（服务支持（Service Support）：）： Service Desk Incident Management Problem Management Configuration Management Change Management Release Management BS150002001 年，英国标准协会在国际IT 服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国

18、国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line22 BS15000 有两个部分，目前都已经转化成国际标准了。有两个部分，目前都已经转化成国际标准了。 ISO/IEC 20000-1:2005 信息技术服务管理-服务管理规范（Information technology service management. Specification for Service Management） ISO/IEC 20000-2:2005 信息技术服务管理- 服务管理最佳实践（

19、Information technology service management. Code of Practice for Service Management） 与与BS7799 相比相比ITIL 关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将BS7799 作为ITIL 在信息安全方面的补充，同时引入ITIL 流程的方法，以此加强信息安全管理的实施能力。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line23 ISO15408ISO国际标准化组织于1999年正式发布了ISO/IEC 15408。ISO/I

20、EC JTC 1和Common Criteria Project Organisations共同制订了此标准，此标准等同于Common Criteria V2.1。 ISO/IEC 15408有一个通用的标题有一个通用的标题信息技术安全技术IT安全评估准则。此标准包含三个部分：第一部分 介绍和一般模型第二部分 安全功能需求第三部分 安全认证需求 安全功能需求安全功能需求1 审计安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line24 安全功能需

21、求安全功能需求2 通信源不可否认、接受不可否认3 密码支持密码密钥管理、密码操作4 用户数据保护访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护5 鉴别和认证认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订6 安全管理安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色7 隐私匿名、使用假名、可解脱性、可随意性RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=

22、1 line25 安全功能需求安全功能需求8 安全功能保护底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。9 资源利用容错、服务优先权、资源分配10 访问可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立11 可信通道/信道内部可信通道、可信通道RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line26 安全认证需求安全认证需求1 配置管理2 分发和

23、操作3 开发4 指导文档5 生命周期支持6 测试7 漏洞评估RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line27 ISO13335(CIA + Accountability, Authenticity, Reliability)ISO13335是一个信息安全管理指南，这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。第一部分：IT安全的概念和模型（Concepts and models for IT Security）第二部分：IT安全的管理和计划（Managing and planning I

24、T Security）第三部分：IT安全的技术管理（Techniques for the management of IT Security）第四部分：防护的选择（Selection of safeguards）第五部分：网络安全管理指南（Management guidance on network security）RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line28 ISO13335第一部分：IT安全的概念和模型发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍第二部分：IT安全的管理和计划发布

25、于1997年12月15日。这个部分建议性地描述了IT安全管理和计划的方式和要点，包括 决定IT安全目标、战略和策略 决定组织IT安全需求 管理IT安全风险 计划适当IT安全防护措施的实施 开发安全教育计划 策划跟进的程序，如监控、复查和维护安全服务 开发事件处理计划RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line29 ISO13335第三部分：IT安全的技术管理发布于1998年6月15日。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT安全教育程序等。第四部分：防护的选择发布于200

26、0年3月1日。这个部分主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。第五部分：网络安全管理指南这个部分是基于ISO/IEC TR 13335第四部分建立的，介绍了如何确定与网络连接相关的保护域。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line30RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line31 GB18336GB/T 18336：2001信息技术 安全技术 信息技术安全性评估准则（等同于ISO/IEC15408-1999）（通常也简称

27、通用准则-CC）已于2001年3月正式颁布，该标准是评估信息技术产品和系统安全性的基础准则。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准则努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准则并具体实践的基础上，通过相互间的总结和互补发展起来的。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line32 等级保护等级保护信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和

28、其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line33 等级保护等级保护第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

29、国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门专门监督、检查。RUNNING HEADER, 14 PT., ALL CAP

30、S, Line Spacing=1 line34究竟什么是信息安全审计究竟什么是信息安全审计 PDCA PDCA （监督与保障）（监督与保障） Syslog Syslog （日志）（日志） Audit Trail Audit Trail （审计留痕）（审计留痕）RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line35RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line36信息安全审计目的是什么信息安全审计目的是什么 让别人难堪？让别人难堪？ 显示我们的聪明与他们的错误？显示我们的聪明与他

31、们的错误？ 展示审计的权力？展示审计的权力？ 内审与外审内审与外审 1,为了保证提供独立的审计委员会（和高级管理）的内部控制措施，在公司内有效地运作 2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点成本效益的解决方案，内部控制的状态。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line37怎样做好信息安全审计工作怎样做好信息安全审计工作 领导的推动与支持领导的推动与支持 审计的方式不是挑毛病，而是交朋友审计的方式不是挑毛病，而是交朋友 积累专业知识积累专业知识RUNNING HEADER, 14 PT., AL

32、L CAPS, Line Spacing=1 line38如果开始信息安全审计工作如果开始信息安全审计工作 采用一个标准采用一个标准 建立一套系统建立一套系统 充实与完善细则内容充实与完善细则内容 执行与监督执行与监督ISO27001ISMSNet/OS/DBACTS1234RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line39资质与认证资质与认证 BSIBSI DNVDNV 指定评测或认证机构指定评测或认证机构 CISSPCISSP CISACISA LALARUNNING HEADER, 14 PT., ALL CAPS, Line

33、Spacing=1 line40 CISSP介绍介绍安全管理Security Management Practices安全架构与模型Security Architecture and Models访问控制Access Control应用与系统开发Applications and Systems Development操作安全Operations Security物理安全Physical Security加密Cryptography通信与网络Telecommunications and Networking业务连续性/灾难恢复Business Continuity Planning/DRP法律，

34、事后取证Law, Investigation, and EthicsRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line41RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 适用范围：本指引适用于在中华人民共和国境内依法设立的法人商业银行。 参照范围： 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。42RUNNING HEADER, 14 PT., ALL CA

35、PS, Line Spacing=1 line商业银行法定代表人商业银行法定代表人是本机构信息科技风险管理的第一责任人第一责任人，负责组织本指引的贯彻落实。 董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护

36、和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。 特定部门负责信息科技风险管理工作:为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。 内部审计部门设立专门的信息科技风险审计岗位:负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。 人员安全和法规：入职前审查、入职中教育、降低离职的损失 知识产权保护 总

37、体原则：自上而下、明确分工43RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 涉及范围：信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。 制定持续的风险识别和评估流程识别隐患评价影响排序制定措施及安排资源 措施：风险管理制度、技术标准、操作规程 权限管理：高权限用户的审查、物理和逻辑控制、最小化和必须知道原则、授权审批和验证。 风险监测：评价机制、程序和标准、报告机制、整改机制、定期审查（已有体系、控制台、新技术、外部威胁）44RUNNING HEADER, 14

38、PT., ALL CAPS, Line Spacing=1 line 科技部门：信息分类和保护体系、安全教育和贯彻 信息安全体系：安全制度管理、安全组织管理、资产管理、人员安全、物理与环境安全、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。 用户认证与授权：必须知道、离职的权限移除 物理保护 区域划分与保护：物理、逻辑访问控制、内容过滤、传输、监控、记录 系统安全：安全规范、权限分配、帐户审计、补丁管理、日志监控 所有系统：职责分配、认证、输入输出、数据保密、审计踪迹45RUNNING HEADER, 14 PT., ALL CAPS, Line Spac

39、ing=1 line 日志管理:交易日志、系统日志 记录内容、覆盖范围、保存期限 加密措施：符合国家要求、人员要求、强度要求、密钥管理 定期检查：包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等 管理客户信息：采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。Pci-dss？ 人员培训。46RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 职责：项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报

40、告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。 项目风险：潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，并采取适当的项目管理方法。 生命周期管理。 变更管理：生产、开发、测试环境的物理区域和人员职责分离、紧急修复的记录、变更审查。 问题管理：全面的追踪、分析和解决。ITIL？ 升级管理.47RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 物理环境控制：电力供应、自然灾害、基础设施

41、 外来人员访问：审查批准记录陪同 人员职责分离：运行与维护分离 交易数据：可保存、机密性、完整性、可恢复 操作说明：运营操作指南与规范。 事故管理：报告分析追踪解决。 服务水平管理：SlA。 监控、例外和预警。 容量管理：外部变化和内部业务。 升级管理：记录保存。 变更管理：审批、记录和更正紧急修复。48RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 规划：基于自身业务的性质、规模和复杂程度制定规划；定期演练。 意外事件：内部资源故障或缺失、信息丢失与受损、外部事件 业务中断：系统恢复和双机热备应急恢复、保险以降低损失 连续性策略：规

42、划（资源管理、优先级、外部沟通）、更新、验证、审核 应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。49RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 谨慎原则 外包协议：适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。 合同谈判：必要条件、监督、所有权、损失补偿、遵守规范、服务水平管理、变更 服务水平管理：定性和定量指标、水平考核、不达标的处理 数据安全保护：隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止 应急措施：外包不可用 外包合同审批：信息科技风险管理部门、法律部门和信息

43、科技管理委员会审核通过。并定期审核50RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 内审部门：系统控制的适当性和有效性。审计人员资源和能力。 审计责任：审计计划、审计工作、整改检查、专项审计。 审计范围和频率：基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。 审计参与：大规模审计时，风险管理部门的参与。51RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 外审机构选择：法律法规要求、能力要求 审计沟通 银监会及其派出机构：必要时的检查、审计授权书、保密协定

44、、规定时间内完成整改。52RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line53ISMSInformation Security Management System-ISMS 信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineISO/IEC27001:2005ISO/IEC27001:2005 pISO/IEC270

45、01:2005的名称 Information technology- Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求p该标准用于：为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型，并规定了要求。p该标准适用于：所有类型的组织（例如，商业企业、政府机构、非赢利组织）。p是建立和实施ISMS的依据，是ISMS认证的依据。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineISO/IEC2

46、7002:2005ISO/IEC27002:2005 主要内容主要内容 章节控制措施域控制目标控制措施5安全方针126信息安全组织2117资产管理258人力资源安全399物理和环境安全21310通信和操作管理103211访问控制72512信息系统获取、开发和维护61613信息安全事故管理2514业务连续性管理1515符合性310合计39133RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line56什么是什么是Cobit是由信息系统审计和控制基金会ISACF（Information Systems Audit and Control Foun

47、dation）最早于1996年制定的IT治理模型，目前已经更新至第四版。COBIT的制订宗旨是跨越业务控制（business control）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line与IT审计的关系COBIT包含而不限于IT审计的模块（Audit Guidline），但并非是针对IT审计的专门论述与BS7799、ITIL的关系重不不。COBIT主要重于处理企业治理中不不方面的需求，使信息管理、控制目标、IT审计等围绕

48、信息系统管理控制的工作能够在一个统一的平台上协调开展。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line58为什么要了解信息安全为什么要了解信息安全 IT审计的主要内容就是信息安全审计 了解信息安全的问题，才能制定有效的解决办法 审计这些解决办法的制定、实施、改进情况RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line59扫描扫描信息扫描Nmapportscan密码扫描WebcrackEmailcracksolarwinds漏洞扫描NessusISS综合扫描器Xscan流光SSSDBS

49、CAN木马探测RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line60密码破解密码破解 在线 通常是密码扫描工具，实时地连接目标系统进行密码猜测。另外也有一些工具有在线密码破解功能，例如solarwinds、l0phtcrack等。 对于WEB的cookie进行猜测破解 对于内存、缓存、视图中的密码进行破解，例如msn密码。IE浏览器星号密码等。 离线 通常是获取了目标系统的用户或者 密码文件，通过对加密算法的还原，或者已知密文猜测明文、暴力破解等方式。 离线破解的优势在于，不易被目标系统发现，并且可以分布式计算破解等。RUNNING HE

50、ADER, 14 PT., ALL CAPS, Line Spacing=1 line61密码破解密码破解 字典 字典通常包括所有英文单词，常用数字与符号，例如123、qwe、qaz、poi等等。 中文字典可能包括单位、部门、姓名拼音的缩写，例如cmcc、yssh、zhc等。 暴力 暴力破解通常是按照一定的规则，将所有可能的字母、数字、符号等组合进行尝试。也就是穷举破解。 暴力破解通常至少包括6位以下的字母、数字，包括所有生日。 暴力破解不一定全部针对密码，也有可能是对加密置换方法的穷举。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line