[精选]信息系统安全集成-第3章.pptx

《[精选]信息系统安全集成-第3章.pptx》由会员分享，可在线阅读，更多相关《[精选]信息系统安全集成-第3章.pptx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1信息系统安全集成信息系统安全集成确定安全需求与目标确定安全需求与目标2本章本章 本章从组织IT战略出发，根据业务特征、法律法规及合同要求，在充分考虑风险的基础上，确定组织的安全需求和目标，形成各方认可的安全需求文件。摘 要主要内容主要内容一、概述一、概述二、二、组织组织IT战略与安全需求战略与安全需求三、三、组织业务与安全需求组织业务与安全需求四、四、符合性的安全需求符合性的安全需求五、五、基于风险的安全要求基于风险的安全要求六、六、确定组织的安全需求确定组织的安全需求七、七、确定信息安全目标确定信息安全目标4一、概述一、概述1.组织与信息安全需求组织与信息安全需求从广义上说，组织是指由诸多

2、要素按照一定方式相互联系起来从广义上说，组织是指由诸多要素按照一定方式相互联系起来的系统。的系统。从狭义上说，组织就是指人们为实现一定的目标，互相协作结从狭义上说，组织就是指人们为实现一定的目标，互相协作结合而成的集体或团体，如合而成的集体或团体，如 团组织、工会组织、企业、团组织、工会组织、企业、事组织事组织等等。狭义的组织专门指人群而言，运用于社会管理之中。等等。狭义的组织专门指人群而言，运用于社会管理之中。n组织概述组织概述5一、概述一、概述1.组织与信息安全需求组织与信息安全需求现代社会组织定义现代社会组织定义在现代社会生活中组织是人们按照一定的目的、任务和形式在现代社会生活中组织是人

3、们按照一定的目的、任务和形式编制起来的社会集团。编制起来的社会集团。组织是表达一定社会关系、具有一定结组织是表达一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体构形式并且不断从外部汲取资源以实现其目标的集合体。n组织概述组织概述6一、概述一、概述1.组织与信息安全需求组织与信息安全需求n组织安全需求组织安全需求-组织需要保护什么？信息安全的需求，是由于本身或类似组织经历了信息损失之后信息安全的需求，是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织层面出发贯穿整个组织业务并符合法律法规、安全监管

4、要求、合同业务要求等，提出业务并符合法律法规、安全监管要求、合同业务要求等，提出复合组织的基于风险管理的安全需求。复合组织的基于风险管理的安全需求。组织应该将信息安全集成到业务运作的每一个层面。组织应该将信息安全集成到业务运作的每一个层面。7一、概述一、概述1.组织与信息安全需求组织与信息安全需求n组织安全需求分析的层次组织安全需求分析的层次需求分析的层次：需求分析的层次：目标性需求，定义了整个系统需要到达的目标；目标性需求，定义了整个系统需要到达的目标；功能性需求，定义了整个系统必须完成的任务；功能性需求，定义了整个系统必须完成的任务；操作性需求，定义了完成每个任务的具体的人机交互操作性需求

5、，定义了完成每个任务的具体的人机交互.8一、概述一、概述1.组织与信息安全需求组织与信息安全需求n组织安全需求挖掘的方法组织安全需求挖掘的方法挖掘需求的方法：挖掘需求的方法：分析特定客户的业务流程和模型分析特定客户的业务流程和模型;与特定客户进行讨论与交流与特定客户进行讨论与交流或联合成立需求组或联合成立需求组，包括：，包括：需求讨论会需求讨论会,与专家或代表讨论与专家或代表讨论.通过调查获取需求，常见需求调查方式有：与用户交谈，向通过调查获取需求，常见需求调查方式有：与用户交谈，向用户提问题等用户提问题等.9一、概述一、概述1.组织与信息安全需求组织与信息安全需求n组织安全需求分析的方法组织

6、安全需求分析的方法风险评估法风险评估法安全需求分析的方法：安全需求分析的方法：资产清册资产清册风险评估风险评估确定风险确定风险形成需求形成需求10一、概述一、概述2.组织安全风险组织安全风险n安全威胁安全威胁-引入相关数据图表介绍组织组织正在遭受越来越多的安全威胁和攻击破坏正在遭受越来越多的安全威胁和攻击破坏。由于组织越来越依靠信息资源，安全事件不断增长，而安全事由于组织越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及件造成的损失以及用于事件处理的财力、人力以及IT资源的投入资源的投入需要不断增长。需要不断增长。11一、概述一、概述2.组织安全风险组织

7、安全风险风险是指一个事件产生我们所不希望的后果可能性。风险是指一个事件产生我们所不希望的后果可能性。组织的风险是指组织未来发生损失的不确定性。这些安全风险组织的风险是指组织未来发生损失的不确定性。这些安全风险主要包括了业务的连续性、业务流程安全、法律安全要求、合主要包括了业务的连续性、业务流程安全、法律安全要求、合同安全、隐私保护要求等。同安全、隐私保护要求等。n组织的风险组织的风险12一、概述一、概述3.组织信息安全目标组织信息安全目标根据国际信息安全管理标准的描述，信息安全的目标是根据国际信息安全管理标准的描述，信息安全的目标是“通过防通过防止和减小安全事故的影响，保证业务连续性，使业务损

8、失最小化。止和减小安全事故的影响，保证业务连续性，使业务损失最小化。需要进行需要进行IT规划和费用调整以保证适当的安全投入，部署有效的规划和费用调整以保证适当的安全投入，部署有效的工具，来解决紧迫的安全问题，实现组织的安全目标。工具，来解决紧迫的安全问题，实现组织的安全目标。n信息安全的目标信息安全的目标13二、组织IT战略与安全需求1.组织组织IT战略战略n组织战略组织战略组织战略是指组织对有关全局性组织战略是指组织对有关全局性,长远性长远性,纲领性目标纲领性目标的谋划和决策的谋划和决策.14二、组织IT战略与安全需求1.组织组织IT战略战略n组织战略组织战略组织战略是说明组织如何到达目标，

9、完成使命的整体谋划组织战略是说明组织如何到达目标，完成使命的整体谋划,是提是提出详细行动方案的起点出详细行动方案的起点,但它又凌驾于任何特定方案的各种细节但它又凌驾于任何特定方案的各种细节之上之上.战略反映了管理者对于行动战略反映了管理者对于行动,环境和业绩之间关键联系的理解环境和业绩之间关键联系的理解,用以确保已确定的使命用以确保已确定的使命,愿景愿景,价值观的实现。价值观的实现。15二、组织IT战略与安全需求1.组织组织IT战略战略n组织组织IT战略战略IT战略即信息技术战略战略即信息技术战略ITStrategy是组织经营战略的有机组成是组织经营战略的有机组成局部，和财务战略、人力资源战略

10、、运作战略等一样，是公司的局部，和财务战略、人力资源战略、运作战略等一样，是公司的职能战略。职能战略。IT战是关于企业信息技术职能的目标及其实现的总体谋划。战是关于企业信息技术职能的目标及其实现的总体谋划。对于大的组织公司而言，子公司或大的业务单元也会有其相对独对于大的组织公司而言，子公司或大的业务单元也会有其相对独立的信息技术战略。立的信息技术战略。16二、组织IT战略与安全需求1.组织组织IT战略战略n组织组织IT战略的局部组成战略的局部组成使命使命Mission：阐述信息技术存在的理由、目的以及在企业：阐述信息技术存在的理由、目的以及在企业中的作用。中的作用。远景目标远景目标Vision

11、：信息技术的开展方向和结果。：信息技术的开展方向和结果。中长期目标中长期目标MediumtoLong-termObjectives：远景目标的：远景目标的具体化，即企业未来具体化，即企业未来23年信息技术开展的具体目标。年信息技术开展的具体目标。17二、组织IT战略与安全需求1.组织组织IT战略战略n组织组织IT战略的要点战略的要点战略要点：是实现上述中长期目标的途径或路线。战略要点：是实现上述中长期目标的途径或路线。组织组织IT战略的规划主要围绕信息技术内涵的四个方面展开：战略的规划主要围绕信息技术内涵的四个方面展开：硬件与组建硬件与组建网络与通信网络与通信应用与数据应用与数据组织与人员组织

12、与人员18二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n组织信息资产组织信息资产要进行信息安全建设，首先明确安全保护的对象要进行信息安全建设，首先明确安全保护的对象-组组织信息资产。织信息资产。19二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n组织信息资产组织信息资产明确安全保护的对象，即明确组织信息资产。分析业务流程分析业务流程识别关键的业务资产识别关键的业务资产确定业务资产的安全所有人和责任人确定业务资产的安全所有人和责任人明确安全保护责任明确安全保护责任20二、组织IT战略与安全需求2.基于战略的组织基于战略的组

13、织信息信息安全需求安全需求n组织信息资产组织信息资产建立组织信息资产目录并进行维护，帮助组织实施有效的信息资建立组织信息资产目录并进行维护，帮助组织实施有效的信息资产安全保护，实现业务连续性和灾难恢复。产安全保护，实现业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。在信息资产目录中应该定义资产的安全等级和安全责任人。21二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n组织信息资产组织信息资产在以业务为核心的组织内部，信息资产包括：在以业务为核心的组织内部，信息资产包括：业务应用软件业务应用软件IT基础设施硬件、组件、网络通讯等基础设

14、施硬件、组件、网络通讯等相关的数据和信息相关的数据和信息关键业务流程和人员关键业务流程和人员其他信息资产。其他信息资产。22二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n安全风险的评估安全风险的评估安全风险评估的目的在于定义核心信息资产，并且分析应用环境安全风险评估的目的在于定义核心信息资产，并且分析应用环境中可能存在的风险。中可能存在的风险。安全风险评估是定义安全需求、选择相应对策以及设计安全系统安全风险评估是定义安全需求、选择相应对策以及设计安全系统的基础。的基础。23二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n

15、安全风险的评估安全风险的评估简易风险评估模型：简易风险评估模型：从风险性质上从风险性质上,风险风险=威胁威胁+弱点弱点+影响影响 考虑风险的影线考虑风险的影线,风险风险=威胁威胁*弱点弱点*影响影响风险三个要素：风险三个要素：威胁威胁-事件或行为事件或行为,一般来自系统外部一般来自系统外部,可能在某些地方会影响固有的可能在某些地方会影响固有的弱点弱点,造成影响造成影响.弱点弱点-系统内部考虑之中的弱点系统内部考虑之中的弱点,可能在某些地方受到威胁所利用。可能在某些地方受到威胁所利用。影响影响-短期与长期组织影响短期与长期组织影响,威胁碰巧利用弱点。威胁碰巧利用弱点。24二、组织IT战略与安全需

16、求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n安全风险的评估安全风险的评估通过安全风险评估，识别关键业务资产的安全威胁和风险，了解通过安全风险评估，识别关键业务资产的安全威胁和风险，了解企业的安全现状和风险水平，分析安全需求和安全改进方向。企业的安全现状和风险水平，分析安全需求和安全改进方向。安全需求必须基于风险评估，并且应该在设计阶段开始前确定。安全需求必须基于风险评估，并且应该在设计阶段开始前确定。25二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n基于战略的信息安全需求确实定基于战略的信息安全需求确实定组织需要制定与业务战略和组织需要制定

17、与业务战略和IT战略一致的安全战略，明确企业的战略一致的安全战略，明确企业的安全建设目标和安全建设原则。安全建设目标和安全建设原则。通过风险评估了解了组织的安全现状和风险水平，企业明确了通过风险评估了解了组织的安全现状和风险水平，企业明确了各个层次的安全需求和改进方向。各个层次的安全需求和改进方向。信息安全战略是组织在一定时期内的一整套安全决策，这一决信息安全战略是组织在一定时期内的一整套安全决策，这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。策决定了企业的安全策略和制度、流程、行为和技术的建设。26二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需

18、求n基于战略的信息安全需求确实定基于战略的信息安全需求确实定制定组织信息安全战略的目标：支持组织战略。支持组织战略。平衡的信息安全风险。平衡的信息安全风险。谨慎而有效的信息安全投资。谨慎而有效的信息安全投资。信息安全建设能够与业务开展和信息安全建设能够与业务开展和IT能力建设同能力建设同步。步。促使信息安全成为业务开展的有力驱动。促使信息安全成为业务开展的有力驱动。27二、组织IT战略与安全需求2.基于战略的组织基于战略的组织信息信息安全需求安全需求n基于战略的信息安全需求确实定基于战略的信息安全需求确实定基于战略的信息安全需求的内容：范围需求范围需求安全的目标需求可用性、完整性、保密性、不可

19、地耐性等要求安全的目标需求可用性、完整性、保密性、不可地耐性等要求安全的组织需求安全的组织需求安全的资源需求安全的资源需求安全的管理流程需求突发事件与持续改进安全的管理流程需求突发事件与持续改进后续展开这些需求。28三、组织业务与安全需求1.组织业务描述模型组织业务描述模型组织的分类方法有多种，这里讲的组织按组织的目标分类，可组织的分类方法有多种，这里讲的组织按组织的目标分类，可以把组织分为：以把组织分为：互益组织：如工会、俱乐部、政互益组织：如工会、俱乐部、政 等。等。工商组织：如工厂、商店、银行等。工商组织：如工厂、商店、银行等。效劳组织：如医院、学校、社会机构等。效劳组织：如医院、学校、

20、社会机构等。公益组织：如政府机构、研究机构、消防队等。公益组织：如政府机构、研究机构、消防队等。n组织的分类组织的分类29三、组织业务与安全需求1.组织业务描述模型组织业务描述模型n组织的业务描述模型组织的业务描述模型业务模型是描述业务用例实现的对象业务模型是描述业务用例实现的对象模型，它是对业务角色和业务实体之模型，它是对业务角色和业务实体之间如何联系和协作以执行业务的一种间如何联系和协作以执行业务的一种抽象。抽象。30三、组织业务与安全需求1.组织业务描述模型组织业务描述模型n组织的业务描述模型组织的业务描述模型业务流程描述模型刻画以业务表单为中心的应用系统业务流程，业务流程描述模型刻画以

21、业务表单为中心的应用系统业务流程，解决其业务流程建模中的问题解决其业务流程建模中的问题,包括包括:各类约束的严格描述、权限表各类约束的严格描述、权限表示、流程关系、流程推进过程以及业务对象被调度和执行的全过示、流程关系、流程推进过程以及业务对象被调度和执行的全过程描述。程描述。采用业务流程描述模型的业务系统更容易扩展和维护采用业务流程描述模型的业务系统更容易扩展和维护,能较好地满能较好地满足用户的需求。足用户的需求。31三、组织业务与安全需求1.组织业务描述模型组织业务描述模型n业务描述模型例子业务描述模型例子-银行业务模型银行业务模型业务事件业务事件UML信号事件信号事件-指定的鼓励表格或文

22、档指定的鼓励表格或文档和过程和过程UML 用例用例过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord32三、组织业务与安全需求1.组织业务描述模型组织业务描述模型n业务描述模型例子业务描述模型例子-银行业务模型银行业务模型Customer：客户；Teller：出纳员；withdraw：取款；account：账户；BankDB：银行数据库33三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求业务信息资产是企业信

23、息安全保护的核心目标，因此要进行信息业务信息资产是企业信息安全保护的核心目标，因此要进行信息安全建设，首先明确安全保护的对象。组织需要通过分析业务流安全建设，首先明确安全保护的对象。组织需要通过分析业务流程，识别关键的业务资产，确定业务资产的安全所有人和认责人，程，识别关键的业务资产，确定业务资产的安全所有人和认责人，明确安全保护责任。明确安全保护责任。n业务信息资产安全是组织信息安全保护的核心业务信息资产安全是组织信息安全保护的核心34三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求n组织业务信息资产保护内容组织业务信息资产保护内容在以业务为核心的组织内部，信息资产包括

24、业务硬件与组件、系在以业务为核心的组织内部，信息资产包括业务硬件与组件、系统与网络通信、应用软件、相关的数据和信息，还包括相关的关统与网络通信、应用软件、相关的数据和信息，还包括相关的关键业务流程和人员。键业务流程和人员。35三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求n基于业务的组织安全需求基于业务的组织安全需求对业务相关信息资产清册，包括硬件与组件、系统与网络通信、对业务相关信息资产清册，包括硬件与组件、系统与网络通信、应用软件、相关的数据和信息，关键业务流程和人员。应用软件、相关的数据和信息，关键业务流程和人员。建立组织信息资产目录并进行维护，可以帮助企业实施有

25、效的信建立组织信息资产目录并进行维护，可以帮助企业实施有效的信息资产安全保护，业务连续性和灾难恢复。在信息资产目录中应息资产安全保护，业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。该定义资产的安全等级和安全责任人。36三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求n基于业务的组织安全需求基于业务的组织安全需求通过安全风险评估，识别关键业务信息资产的安全威胁和风险，通过安全风险评估，识别关键业务信息资产的安全威胁和风险，将安全需求列表并排出优先级。将安全需求列表并排出优先级。确定基于业务的组织安全需求和安全改进方向。确定基于业务的组织安全需求和

26、安全改进方向。37四四、符合性的安全需求符合性的安全需求1.符合性概述符合性概述n符合性需求的意义符合性需求的意义为了防止任何违反法律、法令、法定的或者合同的义为了防止任何违反法律、法令、法定的或者合同的义务，使信息系统安全集成和运行置于法律、法规或者务，使信息系统安全集成和运行置于法律、法规或者合同的约定的要求之下，以防止或减少安全风险。合同的约定的要求之下，以防止或减少安全风险。38四四、符合性的安全需求符合性的安全需求1.符合性概述符合性概述符合性是指符合现行法规、规章、制度，技术标准等。符合性是指符合现行法规、规章、制度，技术标准等。符合性要求组织所有行为必须合法，符合相关的规章制度及

27、规则。符合性要求组织所有行为必须合法，符合相关的规章制度及规则。就是不但要遵守法律，而且也要符合组织内部、行业等的规章制就是不但要遵守法律，而且也要符合组织内部、行业等的规章制度。度。符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素，符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素，如环境法规，在某些方面对于整个组织、或整个行业是类似的。如环境法规，在某些方面对于整个组织、或整个行业是类似的。n什么是符合性什么是符合性39四四、符合性的安全需求符合性的安全需求2.法律法规要求法律法规要求n法律法规的识别法律法规的识别识别识别收集与安全集成有关的法律法规并对适应性进行评价，收集与

28、安全集成有关的法律法规并对适应性进行评价，确定其适用范围和具体适应条款，形成适应的法律法规确定其适用范围和具体适应条款，形成适应的法律法规清单。清单。40四四、符合性的安全需求符合性的安全需求2.法律法规要求法律法规要求n法律法规的识别法律法规的识别评估评估法律法规复合性的需要定期评估，保持适应的法律、法法律法规复合性的需要定期评估，保持适应的法律、法规的有效最新版本。规的有效最新版本。法律法规复合性的需要定期评价，保持适应的法律、法法律法规复合性的需要定期评价，保持适应的法律、法规的符合性。规的符合性。41四四、符合性的安全需求符合性的安全需求2.法律法规要求法律法规要求n知识产权保护需求知

29、识产权保护需求严格执行国家有关知识产权方面的法律法规，保证使用合法的正严格执行国家有关知识产权方面的法律法规，保证使用合法的正版地软件。这些需要，版地软件。这些需要，确定合法获得软件的途径合法；确定合法获得软件的途径合法；审查软件资产清单，确保使用的软件已经被授权；审查软件资产清单，确保使用的软件已经被授权；列出需要的软件或未被授权软件清单；列出需要的软件或未被授权软件清单；确保用户数不超出允许的上限；确保用户数不超出允许的上限；严禁员工私自安装任何软件。严禁员工私自安装任何软件。42四四、符合性的安全需求符合性的安全需求2.法律法规要求法律法规要求n记录的保护需求记录的保护需求应按照法律法规

30、要求和组织规定，明确重要记录的保存期限并适应按照法律法规要求和组织规定，明确重要记录的保存期限并适当保护，防止丧失、损坏和伪造；当保护，防止丧失、损坏和伪造；处理与个人数据与信息应按照国家法律法规的规定和相关合同约处理与个人数据与信息应按照国家法律法规的规定和相关合同约束，对个人信息进行妥善管理与保护，防止丧失或泄漏个人信息；束，对个人信息进行妥善管理与保护，防止丧失或泄漏个人信息；将需要保护记录和个数据与人信息列出清单，并明确保护要求。将需要保护记录和个数据与人信息列出清单，并明确保护要求。43四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求安全监管安全监管是为预防和遏制组

31、织内信息系统缺陷、或用户滥权、或是为预防和遏制组织内信息系统缺陷、或用户滥权、或管理不善导致信息安全事件的发生，并保证及时处理由管理不善导致信息安全事件的发生，并保证及时处理由此引起的各类安全事件，减轻或消除信息安全事件造成此引起的各类安全事件，减轻或消除信息安全事件造成的经济损失或信誉损失，确保组织业务的连续性。的经济损失或信誉损失，确保组织业务的连续性。44四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求安全监管的要求主要分为：安全监管的要求主要分为：国家要求；国家要求；行业要求；行业要求；组织内部；组织内部；其他监管要求。其他监管要求。45四四、符合性的安全需求符合性的

32、安全需求3.安全监管要求安全监管要求n信息安全等级保护管理的要求信息安全等级保护管理的要求什么是信息安全等级保护什么是信息安全等级保护信息安全等级保护是指国家秘密信息、法人和其他组织及公民的信息安全等级保护是指国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级管理，对信息系统中发生的信息安全事件分等级响应、处置。46四四、符合

33、性的安全需求符合性的安全需求3.安全监管要求安全监管要求n信息安全等级保护管理的要求信息安全等级保护管理的要求组织对信息和信息系统分等级进行保护的需求：组织对信息和信息系统分等级进行保护的需求：信息安全等级保护管理要求信息和信息系统分等级进行保护，按信息安全等级保护管理要求信息和信息系统分等级进行保护，按组织的利益，社会公众利益，对组织的利益，社会公众利益，对 的影响一共分为五级，第一级的影响一共分为五级，第一级是最低的，第五级是最高。是最低的，第五级是最高。确定组织是否强制或自愿纳入信息安全等级保护管理，明确纳入确定组织是否强制或自愿纳入信息安全等级保护管理，明确纳入分级保护的级别。分级保护

34、的级别。47四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求n信息安全等级保护管理的要求信息安全等级保护管理的要求组织对信息系统安全专用产品分等级的需求：组织对信息系统安全专用产品分等级的需求：信息安全等级保护管理要求对信息系统安全专用产品分等级进行管理，信息安全等级保护管理要求对信息系统安全专用产品分等级进行管理，根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使用的安全产品等级，各个单位使用的安全产品应该是分等级的。定了用的安全产品等级，各个单位使用的安全产品应该是分等级的。定了三级的系统不能使用二级以

35、下的安全产品；三级的系统不能使用二级以下的安全产品；确定组织纳入分级保护的级别，明确使用信息安全产品的等级需求。确定组织纳入分级保护的级别，明确使用信息安全产品的等级需求。48四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求n信息安全等级保护管理的要求信息安全等级保护管理的要求组织对所发生的信息安全事件分等级进行响应和处置的需求：组织对所发生的信息安全事件分等级进行响应和处置的需求：信息安全等级保护管理要求，对所发生的信息安全事件分等级进信息安全等级保护管理要求，对所发生的信息安全事件分等级进行响应和处置，对不同的信息安全事件，由监管部门牵头组织全行响应和处置，对不同的信息安

36、全事件，由监管部门牵头组织全社会的应急响应和单位的应急响应相结合，最大限度的减轻信息社会的应急响应和单位的应急响应相结合，最大限度的减轻信息安全事件造成的损失。安全事件造成的损失。确定组织纳入分级保护的级别，明确信息安全事件响应的等级需确定组织纳入分级保护的级别，明确信息安全事件响应的等级需求。求。49四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求n组织内部信息安全监管要求组织内部信息安全监管要求监管范围与内容：监管范围与内容：定义监管范围，明确定义组织物理边界，信息系统部定义监管范围，明确定义组织物理边界，信息系统部署的物理边界，应用运行的区域；署的物理边界，应用运行的区

37、域；明确监管设备，包括防火墙、入侵检测系统、鉴权系明确监管设备，包括防火墙、入侵检测系统、鉴权系统、效劳器、路由器、交换机等；统、效劳器、路由器、交换机等；50四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求n组织内部信息安全监管要求组织内部信息安全监管要求监管范围与内容：监管范围与内容：操作系统与应用系统日志，包括操作系统、数据库操作系统与应用系统日志，包括操作系统、数据库管理系统、应用系统及设备运行域操作日志的监管要管理系统、应用系统及设备运行域操作日志的监管要求；求；网站内容监管，网站内容发布的监控与审计要求，网站内容监管，网站内容发布的监控与审计要求，非法、敏感类信息

38、以及克访问性的适时监管要求。非法、敏感类信息以及克访问性的适时监管要求。51四四、符合性的安全需求符合性的安全需求3.安全监管要求安全监管要求n组织内部信息安全监管要求组织内部信息安全监管要求监管职责：监管职责：内部监管机构的指定与监管责任的定义，如谁分管，哪个部门内部监管机构的指定与监管责任的定义，如谁分管，哪个部门承担监管责任，对监管对象、安全事件处理，上下协调等责任的承担监管责任，对监管对象、安全事件处理，上下协调等责任的定义；定义；监管人员的监管职责的明确，日常监管要求，问题处理方式与监管人员的监管职责的明确，日常监管要求，问题处理方式与报告流程；报告流程；事件分类及事件处理流程定义。

39、事件分类及事件处理流程定义。52四四、符合性的安全需求符合性的安全需求4.合同业务要求合同业务要求合同受到法律保护：合同受到法律保护：合同是当事人之间设立、变更、终止民事关系的协议。合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护。依法成立的合同，受法律保护。组织明确双方合同协议中对信息安全的要求。组织明确双方合同协议中对信息安全的要求。n组织在合同业务中对信息安全的要求组织在合同业务中对信息安全的要求53四四、符合性的安全需求符合性的安全需求4.合同业务要求合同业务要求将双方合同协议中对信息安全的要求列出作为安全集成中的需求将双方合同协议中对信息安全的要求列出作为安

40、全集成中的需求管理；管理；组织也需要明确提出第三方机构及人员的信息安全要求，涉及第组织也需要明确提出第三方机构及人员的信息安全要求，涉及第三方接触本组织的信息处理设备应当基于正式的合同提出所有的三方接触本组织的信息处理设备应当基于正式的合同提出所有的基于信息安全的要求，以便确保符合组织的安全政策和标准。基于信息安全的要求，以便确保符合组织的安全政策和标准。n组织在合同业务中对信息安全的要求组织在合同业务中对信息安全的要求54五五、基于风险的安全要求基于风险的安全要求1.风险管理综述风险管理综述n风险的定义风险的定义风险大致有两种定义：一种定义强调了风险风险大致有两种定义：一种定义强调了风险表现

41、为不确定性；而另一种定义则强调风险表现为不确定性；而另一种定义则强调风险表现为损失的不确定性。表现为损失的不确定性。学术界对风险的内涵还没有统一的定义，由学术界对风险的内涵还没有统一的定义，由于对风险的理解和认识程度不同，或对风险于对风险的理解和认识程度不同，或对风险的研究的角度不同，不同的学者对风险概念的研究的角度不同，不同的学者对风险概念有着不同的解释。有着不同的解释。55五五、基于风险的安全要求基于风险的安全要求1.风险管理综述风险管理综述n信息安全风险信息安全风险在信息安全领域来讲我们这样来定义风险：在信息安全领域来讲我们这样来定义风险：风险就是发生损失事件的概率，风险就是发生损失事件

42、的概率，也可以说是损失发生的不确定性，也可以说是损失发生的不确定性，即信息资产遭受破坏或被非正常利用给组织带来损失的可能性。即信息资产遭受破坏或被非正常利用给组织带来损失的可能性。56五五、基于风险的安全要求基于风险的安全要求1.风险管理综述风险管理综述n风险管理风险管理风险管理是指通过风险识别、风险评估与分析、风险处置、风险监控等一系列活动来消除或减少风险的管理过程。风险识别风险识别风险评估与分析风险评估与分析风险处置风险处置风险监控风险监控57五五、基于风险的安全要求基于风险的安全要求1.风险管理综述风险管理综述n风险管理风险管理风险管理必须识别、分析风险，风险识别是确定何种风险可能会对组

43、织风险管理必须识别、分析风险，风险识别是确定何种风险可能会对组织产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。度。风险管理要着眼于风险控制，组织通常采用积极的措施来控制风险。通风险管理要着眼于风险控制，组织通常采用积极的措施来控制风险。通过降低其损失发生的概率，缩小其损失程度来到达控制目的。过降低其损失发生的概率，缩小其损失程度来到达控制目的。风险管理要学会躲避风险，在既定目标不变的情况下，改变方案的实施风险管理要学会躲避风险，在既定目标不变的情况下，改变方案的实施路径，从根本上消除特定的风险因素。路径，从根

44、本上消除特定的风险因素。58五五、基于风险的安全要求基于风险的安全要求1.风险管理综述风险管理综述n风险评估风险评估对信息和信息处理设施面临的威胁、受到的影响、存对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。在的弱点以及威胁发生的可能性的评估。风险评估是确定风险优先级的方法。风险评估是确定风险优先级的方法。大多数风险评估都基于定量风险评估和定性风险评估大多数风险评估都基于定量风险评估和定性风险评估这两种方法或这两种方法的组合。这两种方法或这两种方法的组合。59五五、基于风险的安全要求基于风险的安全要求2.风险与安全需求风险与安全需求组织需要根据对信息资产风险

45、评估的结果，结合业务组织需要根据对信息资产风险评估的结果，结合业务需求来确定组织安全需求。需求来确定组织安全需求。安全需求中不仅包括具体信息资产对安全的要求，还安全需求中不仅包括具体信息资产对安全的要求，还应包括软件功能方面的安全需求，以及物理安全、管应包括软件功能方面的安全需求，以及物理安全、管理流程、系统管理等非软件方面的需求。理流程、系统管理等非软件方面的需求。n风险评估与安全需求风险评估与安全需求60五五、基于风险的安全要求基于风险的安全要求2.风险与安全需求风险与安全需求组织根据应用以及关键数据的重要程度，确定所需要采组织根据应用以及关键数据的重要程度，确定所需要采用的安全机制。用的

46、安全机制。通过安全风险评估明确存在风险的关键的业务资产和业通过安全风险评估明确存在风险的关键的业务资产和业务流程，识别其安全需求和安全现状。务流程，识别其安全需求和安全现状。n风险评估与安全需求风险评估与安全需求61五五、基于风险的安全要求基于风险的安全要求2.风险与安全需求风险与安全需求安全风险的可接受水平以及安全需求确实认，需要业安全风险的可接受水平以及安全需求确实认，需要业务人员和管理层来确认，应该将实施控制措施的支出务人员和管理层来确认，应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑，对安与安全故障可能造成的业务损失进行权衡考虑，对安全建设的方向和目标进行决策。全建设

47、的方向和目标进行决策。n风险评估与安全需求风险评估与安全需求62六六、确定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n协商协商协商是利益关系者共同商量以便取得一致意见。协商是利益关系者共同商量以便取得一致意见。63六六、确定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n安全需求的协商安全需求的协商对于信息安全的需求，在符合国家对于信息安全的需求，在符合国家法律、行业规定、以及上级主管部法律、行业规定、以及上级主管部门、组织内部不同机构、以及客户门、组织内部不同机构、以及客户等的需求重点不一样，同时组织建等的需求重点不一样，同时组织建设信息系统，保证信息

48、安全还受投设信息系统，保证信息安全还受投资限制，因此需要对信息安全的需资限制，因此需要对信息安全的需求进行商量，以最终求得各方一致求进行商量，以最终求得各方一致认同的适合组织建设的安全需求。认同的适合组织建设的安全需求。需求平衡投资平衡64六六、确定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n整理需求整理需求有优先顺序的有优先顺序的安全需求清单安全需求清单业务的组织安全需求业务的组织安全需求符合性的安全需求符合性的安全需求合同业务要求合同业务要求风险的安全要求风险的安全要求65六六、确定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n利益关系者间沟通利益

49、关系者间沟通沟通是为了一个设定的目标，把信息、思想和情感在沟通是为了一个设定的目标，把信息、思想和情感在个人或群体间传递，并且达成共同协议的过程。个人或群体间传递，并且达成共同协议的过程。信息安全需求的沟通，是将将组织业务的组织安全需信息安全需求的沟通，是将将组织业务的组织安全需求、符合性的安全需求、合同业务要求，以及风险的求、符合性的安全需求、合同业务要求，以及风险的安全要求综合处理成有优先顺序的安全需求清单，用安全要求综合处理成有优先顺序的安全需求清单，用这个清单去向各利益关系者传达，收集意见和建议，这个清单去向各利益关系者传达，收集意见和建议，以达成一致意见。以达成一致意见。66六六、确

50、定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n与利益关系者沟通的步骤：与利益关系者沟通的步骤：第一步第一步 事前准备事前准备第一步第一步 阐述观点阐述观点第一步第一步 收集信息收集信息第一步第一步 处理异议处理异议第一步第一步 达成一致达成一致67六六、确定组织的安全需求确定组织的安全需求1.安全需求的协商安全需求的协商n与利益关系者有效沟通的基本技巧与利益关系者有效沟通的基本技巧组织清晰语言简洁组织清晰语言简洁关注非语言的暗示关注非语言的暗示倾听沟通对象表达倾听沟通对象表达求同存异有效反响求同存异有效反响68六六、确定组织的安全需求确定组织的安全需求2.安全需求确实定安