信息安全治理和风险管理.pptx

《信息安全治理和风险管理.pptx》由会员分享，可在线阅读，更多相关《信息安全治理和风险管理.pptx（73页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全治理和风险管理Information Security Governance and Risk ManagementCISSP第六版培训课件之一关键知识领域A.Understand and align security function to goals,mission and objectives of the organization理解安全功能并将其与机构目标、使命和宗旨相结合B.Understand and apply security governance理解并运用安全治理B.1 Organizational processes(e.g.,acquisitions,dives

2、titures,governance committees)组织过程（如收购、分拆、治理委员会）B.2 Security roles and responsibilities安全角色与职责B.3 Legislative and regulatory compliance法律和监管的合规B.4 Privacy requirements compliance隐私要求的合规B.5 Control frameworks控制框架B.6 Due care尽职关注B.7 Due diligence尽职调查关键知识领域C.Understand and apply concepts of confidentia

3、lity,integrity and availability理解并运用保密性、完整性与可用性的概念D.Develop and implement security policy制定并施行安全政策D.1 Security policies安全政策D.2 Standards/baselines标准/基准D.3 Procedures程序D.4 Guidelines方针D.5 Documentation文件编制E.Manage the information life cycle(e.g.,classification,categorization,and ownership)管理信息的生命周期（如

4、分类、归类与所有权）F.Manage third-party governance(e.g.,on-site assessment,document exchange and review,process/policy review)管理第三方治理（如现场评估、文件交换及审查，过程/政策审查）关键知识领域G.Understand and apply risk management concepts理解并运用风险管理的概念G.1 Identify threats and vulnerabilities身份识别的威胁与漏洞G.2 Risk assessment/analysis(qualitati

5、ve,quantitative,hybrid)风险评估/分析（定性型、定量型、混合型）G.3 Risk assignment/acceptance风险分配/接纳G.4 Countermeasure selection对策选择G.5 Tangible and intangible asset valuation对有形资产和无形资产的评估H.Manage personnel security管理人员安全H.1 Employment candidate screening(e.g.,reference checks,education verification)求职者甄选（如证明人核实、教育背景查证

6、）H.2 Employment agreements and policies雇佣协议与政策H.3 Employee termination processes员工解雇流程H.4 Vendor,consultant and contractor controls销售方、顾问与承包商控制关键知识领域I.Develop and manage security education,training and awareness发展并管理安全教育、安全培训与安全意识J.Manage the Security Function管理安全功能J.1 Budget预算J.2 Metrics衡量标准J.3 Res

7、ources资源J.4 Develop and implement information security strategies开发并实施信息安全策略J.5 Assess the completeness and effectiveness of the security program评估安全项目的完整性与有效性目录安全基本原则（Fundamental Principles of Security）安全定义（Security Definitions）控制类型（Security Definitions）安全架构（Security Frameworks）安全管理（Security Manage

8、ment）风险管理（Risk Management）风险评估和分析（Risk Assessment and Analysis）策略、标准、基线、指南和流程（Policies,Standards,Baselines,Guidelines,and Procedures）信息分级（Information Classification）责任分层（Layers of Responsibility）安全指导委员会（Security Steering Committee）安全治理（Security Governance）安全基本原则Fundamental Principles of Security保密性（

9、保密性（Confidentiality）确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（完整性（Integrity）确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（可用性（Availability）确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：DisclosureAlterationDestruction泄泄泄泄漏漏漏漏破破破破坏坏坏坏篡篡篡篡改改改改安全基本原则可用性（Availabil

10、ity）确保授权的用户能够及时、可靠地访问数据和资源完整性（Integrity）保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改 保密性（Confidentiality）强制实施了必要的保密级别，防止为经授权的信息披露肩窥（Shoulder surfing）通过穿过别人的肩膀获取未经授权的信息的一种方法社会工程（Social engineering）通过欺骗他人获取未经授权访问的信息安全基本原则平衡的安全安全目标Security Objectives可用性Availability保密性Confidentiality完整性Integrity安全定义Security Definitions

11、威胁因素威胁因素（Threat agent）威胁威胁（Threat）脆弱性脆弱性（vulnerability）风险风险（Risk）资产资产（Asset）暴露暴露（exposure）安全措施安全措施（Safeguard）Gives rise to引起引起Exploits利用利用leads to导致导致Can damage可以破壶可以破壶And causes an并且引起并且引起Can be counter measured by a能够被预防能够被预防Directly affects直接作用到直接作用到安全定义脆弱性（vulnerability）一种软件、硬件或者过程缺陷。并可以给攻击者提供便利

12、，产生未授权的访问。威胁（threat）任何对信息或系统潜在的威胁风险（risk）威胁因素利用脆弱性所造成的损失的潜在的可能性。暴露（exposure）因威胁因素而遭受损失的一个案例对策（countermeasure,or safeguard）可以减轻潜在风险的策略或者安全措施威胁 threat 暴露exposure 脆弱性vulnerability 对策countermeasure风险risk 控制类型Security Definitions控制类型Control types：管理控制、技术控制和物理控制控制功能Control functionalities：威慑Deterrent 挫败潜在

13、攻击者。预防Preventive 防止意外事件发生。纠正Corrective 事件发生后修复。恢复Recovery 恢复必要的组件到正常的操作状态。检测Detective 事件发生后识别其行为。补偿Compensating 向原来的控制措施那样提供类似保护要。深度防御Defense-in-depth 为使成功渗透和威胁更难实现而采用多种控制措施。安全架构（Security Frameworks）SecurityBlueprints安全安全蓝图COSOITILRISFCOBITISO27000安全框架安全框架COSO反舞弊财务报告委员会发起组织委员会（COSO）-成立于1985年，负责主持全美反

14、虚假报告委员会工作，根据研究结果向上市公司及其审计师、证劵交易委员会以及其他监管机构提出建议。COBITCOBIT 是由IT治理协会发布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT 5框架的支持模块，使用术语“管理过程”代替了原来的“控制措施”。ITIL信息技术基础设施库（ITIL）第3版包括五本书，涵盖了服务管理的整个生命周期。ISO/IEC 27000ISO/IEC 27000系列标准提供了整个信息安全管理体系环境下的信息安全管理、风险和控制的最佳实践推荐。ISF信息安全论坛（ISF）-最佳实践标准给出了实践指南和解决方案来处理目前影响业务信息的大范围安全挑战。安全管理

15、（Security Management）信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，其主要活动包括：识别信息资产及相关风险，采取恰当的策略和控制措施以消减风险，监督控制措施有效性，提升人员安全意识等。根据风险评估结果、法律法规根据风险评估结果、法律法规要求、组织业务运作自身需要来确要求、组织业务运作自身需要来确定控制目标与控制措施。定控制目标与控制措

16、施。实施所选的安全控制措施。提实施所选的安全控制措施。提升人员安全意识。升人员安全意识。针对检查结果采取应对针对检查结果采取应对措施，改进安全状况。措施，改进安全状况。依据策略、程序、标准依据策略、程序、标准和法律法规，对安全措施的和法律法规，对安全措施的实施情况进行符合性检查。实施情况进行符合性检查。信息安全管理模型风险管理（Risk Management）在信息安全领域，风险（风险（Risk）就是指信息资产遭受到损坏并给企业带来负面影响的潜在可能性。风险管理（风险管理（Risk Management）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理

17、是信息安全管理的核心内容。风险管理相关要素风险管理相关要素资产（资产（Asset）对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（威胁（Threat）可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threst source）或威胁代理（Threst agent）。弱点（弱点（Vulnerability）也被称作漏洞或脆弱性，及资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（风险（Risk）特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（可

18、能性（Likelihood）对威胁发生几率（Probability）或频率（Freqiency）的定性描述。影响（影响（Impact）后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（安全措施（Safeguard）控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留残留风险（风险（Residl Risk）在实施安全措施之后仍然存在的风险。匹配以下的术语和定义匹配以下的术语和定义暴露可能性威胁防护措施对策资产攻击/利用总风险脆弱性威胁来源/威胁源控制1.对组织实

19、现方向和目标有价值的东西。2.有可能对IT系统产生损害的任何环境或事件。3.信息或信息系统的潜在危险。4.某个威胁导致损失的负面事件的影响，或某次攻击所导致损失的数量。5.在系统安全程序、设计、实施或内部控制方面的缺陷或弱项，可能被执行（无意的或有意的）导致安全违规或违反系统的安全策略。6.潜在脆弱性在相关威胁环境中利用的概率或几率。7.企图导致损害的活动。威胁源利用信息系统的脆弱性实现猥亵的行为。8.保护系统的行政的、技术的或物理的措施和活动。包括对策和防护措施。9.事后应用的控制措施，被动性的。10.事前应用的控制措施，主动性的。11.包括威胁、脆弱性和资产价值的所有因素。风险管理各要素相

20、互关系风险管理各要素相互关系SafeguardsSafeguards安全措施安全措施安全措施安全措施Security Security requirementrequirement安全需求安全需求安全需求安全需求Protect against防范防范Met by采取采取Indicate提出提出Reduce减少减少threatsthreats威胁vulnerabilitiesvulnerabilities脆弱性Exploit利用利用Increase导致导致Increase导致导致Expose暴露暴露Increase增加增加Have具有具有RiskRisk风险风险风险风险AssetsAssets资

21、产资产资产资产Assets Assets valuevalue资产价值资产价值资产价值资产价值风险管理的目标风险管理的目标风险RISKRISKRISKRISKRISKRISKRISKRISK风险基本的基本的风险采取措施后剩余的采取措施后剩余的风险资产资产资产资产威胁威胁威胁威胁弱点弱点资产资产资产资产威胁威胁威胁威胁弱点弱点弱点弱点风险管理过程的逻辑方式风险管理过程的逻辑方式Risk风险Threat威威胁Vulnerability脆弱性脆弱性Asset Value资产价价值=Residual Risk残余残余风险Threat威威胁Vulnerability脆弱性脆弱性Asset Value资产

22、价价值=（）Control Gap控制差距控制差距风险评估和分析Risk Assessment and Analysis风险评估（Risk Assessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括：识别机构风险的各种因素评估风险发生的可能性和造成的影响，并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析（Risk Analysis）和风险评价（Risk

23、Evaluation）两部分，但一般来说，风险评估和风险分析同义。风险评估一般过程风险评估一般过程定量评估和定性评估定量评估和定性评估定量风险评估：试图从数字上对安全风险及其构成因素进行分析评估的一种方法。定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，较难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据

24、定量风险分析优点评估结果是建立在独立客观的程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点输入数据的可靠性和精确性难以保证没有一种标准化的知识库，依赖于提供工具或实施调查的厂商信息计算量大，方法复杂，费时费力定量风险评估概述定量风险评估概述对构成风险的各个要素和潜在损失水平赋予数值或货币金额。当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化。定量分析有两个关键指标：事件发生的频率（用ARO来表示）和威胁事件可能引起的损失（用EF来表示）。理

25、论上讲，通过定量分析可以对安全风险进行准确分级，但这有个前提，那就是可供参考的数据指标是准确的。定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难。实际风险分析时，采用定量分析或者纯定量分析方法比较少定量分析基本概念定量分析基本概念暴露因子（Exposure Factor，EF）特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（Single Loss Expectancy，SLE）或者称作SOC（Single Occurance Costs），即特定威胁单次发生可能造成的潜在损失量。年度发生率（Annuali

26、zed Rate of Occurrence，ARO）即威胁在一年内估计会发生的次数。年度损失期望（Annualized Loss Expectancy，ALE）或者称作EAC（Estimated Annual Cost），表示特定资产在一年内遭受损失的预期值。定量分析基本过程定量分析基本过程识别资产并为资产赋值；评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%100%之间）；计算特定威胁发生的次数（频率），即ARO；计算资产的SLE；计算资产的ALE。资产价值（AV）暴露因子（EF）=单一损失期望（SLE）单一损失期望（SLE）年发生比率（ARO）=ALE（年度损失

27、期望）定量分析举例定量分析举例假定某公司投资500,000美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45%。根据消防部门推断，该网络运营中心所在的地区每5年会发生一次火灾，于是我们得出了ARO为0.20的结果。基于以上数据，该公司网络运营中心的ALE将是45,000美元。AssetThreatAsset ValueEFSLEAROALE网络运营中心火灾$500,0000.45225,0000.20$45,000Web服务器电源故障$25,0000.25$6,2500.50$3,125Web数据病毒%150,0000.33$50,0002.00$10

28、00,000客户数据泄漏$250,0000.75$187,5000.66$123,750定性风险评估概述定性风险评估概述定性分析方法目前采用最为广泛，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准

29、确性稍好但精确性不够，定量分析则相反定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。识别信息资产识别信息资产对资产进行保护是信息安全的直接目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。组织应该建立资产清单，根据业务流程来识别信息资产。信息资产的存在形式多种，物理的、逻辑的、无形的。-电子数据：数据库和数据文件，系统文件，用户手册，培训资料，计划等。-书面文件：合同，策略方针，归档文件，重要商业结果。-软件资产：应用软件，系统软件，开发工具，工具程序。-实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备

30、，基础设施。-人员：承担特定职能和责任的人员或角色。-服务：计算和通信服务，外包服务，其他技术性服务。-组织形象与声誉：无形资产。评价信息资产评价信息资产资产评价时应该考虑：信息资产因为受损而对业务造成的直接损失信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力组织公众形象和名誉上的损失，因业务受损导致竞争优势降级而引发的间接损失其他损失，例如保险费用的增加定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或成果。可以根据资产的重要性（影响或后果）来为资产划分等级，例如：灾难性、较大、中等、较小、可忽略应该同时考虑保密性、完整性和可

31、用性三方面受损可能引发的后果。识别并评估威胁识别并评估威胁识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。威胁通常包括（来源）：人员威胁：人员威胁：故意破坏和无意失误 系统威胁：系统威胁：系统、网络或服务出现的故障 环境威胁：环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：自然威胁：洪水、地震、台风、雷电等评估威胁可能性时要考虑到威胁源的动机和能力因素（内因）。威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。识别并评估弱点识别并评估弱点针对每一项需

32、要保护的资产，找到到可被威胁利用的弱点，包括：技术性技术性弱点：弱点：系统、程序、设备中存在的漏洞或缺陷操作性操作性弱点：弱点：配置、操作和使用中的缺陷，包括人的不良习惯、操作过程的漏洞管理管理性弱点：性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足弱点的识别途径：审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试评估弱点时需要考虑其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三级来衡量。资产、威胁及弱点关系资产、威胁及弱点关系弱点弱点威威胁影响的影响的资产没有逻辑访问控制蓄意破坏软件软件，信誉窃取软件数据完整性，

33、信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性，信誉风险评价之前需要确定两个指标风险评价之前需要确定两个指标风险影响：风险影响：可以通过资产的价值评估来确定 分级方式根据需要来定，例如：（1，2，3，4，5），即：（可忽略，较小，中等，较大，灾难性）风险风险可能性：可能性：可以通过威胁可能性、弱点暴露度的评价来综合得出 需要考虑到现有控制措施的效力（控制措施会影响对威胁及弱点的判断）分级方式根据需要来定（取决于威胁和弱点的评价标准），例如：（1，2，3，4，5），即：（几乎肯定，很可能，有可能，不太可能，很罕见）对现有控制措施的考

34、虑对现有控制措施的考虑从针对性和实施方式来看，控制措施包括三类：管理性（Administrative）：对系统开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。从功能来看，控制措施类型包括：威慑性（Deterrent）预防性（Preventive）检测性（Detective）纠正性（Corrective）风险评估矩阵风险评估矩

35、阵可能性可能性影响影响可忽略 1较小 2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）等等级取取值范范围名称名称描述描述H25,20High，高风险最高等级的风险，需要立即采取应对措施。不可接受。S12,15,16Significant，严重风险需要高级管理层注意。不可接受M6,8,9,10Moderate，中等风险必须规定管理责任。通常需要综合考虑

36、取舍。L1,2,3,4,5Low，低风险可以通过例行程序来处理。可接受。定性风险评估举例定性风险评估举例风险场景：一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手。确定风险因子：影响为3（中等）可能性为4（很可能）评估风险：套用风险分析矩阵，该风险被定为S级（严重风险）应对风险：根据公司确定的风险接受水平，应该对该风险采取措施予以消减。可能性可能性影响影响可忽略 1较小 2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（

37、S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）12（S）确定风险确定风险消减策略消减策略Risk Mitigation降低风险（Reduce Risk）实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，实施恶意软件控制程序，减少信息系统恶意软件攻击的机会减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份规避风险（Avoid Risk）或者Rejecting Risk。有时候，组织可以选择放弃

38、某些可能引来风险业务或资产，以此来规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转嫁风险（Transfer Risk）也称作RiSk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（Accept Risk）在实施了其他风险应对措施之后，对于 残留的风险，组织可以选择接受。选择控制措施以降低风险选择控制措施以降低风险选择安全措施时首先关注的是其基本功能，其次还有效力。选择安全措施（对策）时需要进行成本效益分析：基本原则：实施安全措施的代价不应该大于所要保护资产的价值对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，

39、维护费用等控制价值=实施控制之前的ALE-控制的年成本-实施控制之后的ALE除了成本效益，还应该考虑到以下约束条件：时间约束，技术约束，环境约束法律约束，社会约束确定所选安全措施的效力，是看实施新措施之后还有什么残留风险评价残留风险评价残留风险绝对安全（即零风险）是不可能的。实施安全控制后有残留风险或残存风险（Residual Risk）。为了实现信息安全，应该确保残留风险在可接受的范围内：残留风险Rr=原有风险R0-控制效力R残留风险Rr可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的成果。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。残留风

40、险计算举例残留风险计算举例风险场景：一个个人经济上那个存在问题的公司职员有权独立访问某类高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手。实施控制之前：影响为3（中等），可能性为4（很可能），风险为12（S级）。实施控制之后：影响为3不变，可能性降为1，残留风险为3（L级）。应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的。可能性可能性影响影响可忽略 1较小 2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L

41、）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）3（L）策略、标准、基线、指南和流程Policies,Standards,Baselines,Guidelines,and Procedures方针方针方针方针 PolicyPolicy程序程序程序程序 ProcedureProcedure标准标准标准标准 StandardStandard强制性强制性指南指南指南指南 GuidelineGuideline建议性建议性基线基线基线基线 BaselineBaseline最低标准最低标准目标要求目标要求具体步骤具体步骤实现方法实现方法战战略略层层次次战战术术层层次次策略、标

42、准、基线、指南和流程Policies,Standards,Baselines,Guidelines,and Procedures方针方针处于策略链的最高层次，它是由组织的高级管理层发布的、关于信息安全最一般性的声明。方针应该代表着高级管理层对信息安全承担责任的一种承诺。一旦发布，要求组织成员必须遵守。方针的实施要依靠标准、指南和程序。标准标准标准规定了在组织范围内强制执行的对特定技术和方法的使用。标准起着驱动方针的作用，标准可以用来建立方针执行的强制机制。指南指南类似于标准，也是关于加强系统安全的方法，但它是建议性的。指南比标准更灵活，考虑到了不同信息系统的特点。指南也可用来规定标准的的开发方

43、式，或者保证对一般性安全原则的遵守。彩虹系列、CC、BS7799等，都可以看作是此类。基线基线基线建立的是满足方针要求的最低级别的安全需要。在建立信息安全整体框架之前，基线是需要考虑的最低标准。标准的开发通常都是以基线为基础的，基线可以看作是抽象的简单化的标准。大多数基线都是很具体的，或者与系统相关，或者是陈述某种配置。程序程序是执行特定任务的详细步骤。位于策略链的最低层次，是实现方针、标准和指南的详细步骤策略的种类规章性策略用于确保组织机构遵守特定的行业规章建立的标准建议性策略强烈推荐雇员在组织机构中应该采取的某些行为和活动指示性策略告知雇员相关信息信息分级（Information Clas

44、sification）并不是所有的数据都有相同的价值，不同数据的敏感程度也不同，组织需要判断应该投入多少资金和资源去保护不同的数据为此，通过数据分类，识别最敏感最关键的数据，从而对应选择保护措施，确保对cel各类数据的保护达到合适的水平数据分类能够宣示组织在信息安全保护方面所做的承诺通过数据分类和实施恰当的保护，可以保证信息资产的CIA政府机构沿用数据分类已经很久，但主要强调保密性，侧重于防泄密数据分类也是符合隐私或数据保护相关法律的必要活动识别信息对篡改的敏感度：以便将注意力集中在完整性控制上识别需要保护的机密性信息的敏感度：理解信息的价值满足法律要求信息分级 根据信息的用途、价值、敏感程度

45、等属性的不同，将信息分为不同的级别和类别，制定针对不同级别和类别的信息安全保护办法，这样在工作中只要正确标定和执行相关的保护措施，就可以比较方便、有效地保障信息的安全传统上，政府和军方比较关注信息的保密性，通常把信息分为绝密（Top Secret）、机密（Secret）、保密（Confidential）、敏感非保密（Sensitive But Unclassified）、非保密（Unclassified）民间机构对隐私保护、完整性、可用性要求比较突出，可以把信息分为保密（Confidential）、私密（Private）、敏感（Sensitive）、公开（Public）信息资产应由其拥有者（O

46、wner）负责确定其保护级别，由保管者（Custodian）和使用者（User）应遵循与级别相关的保护要求和措施政府机构数据分类方案示例政府机构数据分类方案示例类别描述描述绝密（Top Secret）绝密信息的泄漏会对国家安全造成极大的破坏。在美国，此等级对应的只有总统。秘密（Secret）泄漏秘密的数据会给国家安全造成严重损害，只是这些信息的敏感程度不如绝密数据那么大。机密（Confidential）通常指那些受法律保护不得泄漏的数据，例如美国的信息自由法，但此类数据并不属国家安全数据。敏感但非常（Sensitive But Unclassified，SBU）SBU数据对国家安全并不重要，但

47、泄漏这些数据可能会带来某些危害。许多机构将其得到的公民数据归类为SBU，例如保健信息。非密（Unclassified）没有进行分类或并不敏感的数据。此类数据的公开发布并不影响保密性。商业机构数据分类方案示例商业机构数据分类方案示例类别描述描述机密（Confidential）非常敏感，只应内部使用。未授权泄漏将对公司造成严重的、负面的影响。例如，有关新产品开发的信息，商业秘密，合并谈判等。私秘（Private）与个人相关的信息，只应被公司使用。其泄漏可能对公司或其职员造成消极影响。例如，薪资和医疗信息。敏感（Sensitive）此类信息要求比正常数据具有更高的分类等级。要求具有高度的完整性和保密

48、性。公共（Public）类似未分类信息。所有并不适合上述类别的公司信息都归为此类。公共数据是最不敏感的数据，如果泄漏，不会对公司造成严重或者消极影响。三级数据分类方案示例三级数据分类方案示例类别描述（描述（强调保密性）保密性）机密（Confidential）最敏感的，应遵循need-to-know原则内部使用（Internal use only）在内部传播是安全的，但不能对外泄漏公共（Public）公开泄漏也没关系类别描述（描述（强调完整性和可用性）完整性和可用性）高（High）如果信息遭受破坏，可能带来人身伤亡、严重的经济损失或刑罚中（Medium）如果信息遭受破坏，会带来显著地经济损失低（

49、Low）如果信息遭受破坏，只会造成轻微的损失，需要最少的管理措施来予以纠正数据分类标准数据分类标准价值（Value）：价值是最通常的数据分类标准，如果信息对一个组织或者其竞争对手有价值，就需要分类寿命（Age）：随着时间的推移，信息价值会降低，其分类也会降低。例如，政府部门，某些分类档案会在预定的时间期限过后自动解除分类使用期（Useful Life）：如果由于新信息的替代、公司发生的真实变化或者其他原因，信息过时了，可以对其解除分类人员关联（Personal Association）：如果信息与特定个人相关，或者是法律（比如隐私法）、规章和责任要求中指出的，需要分类。例如，如果调查信息揭示了

50、调查者的名字，就需要保留分类数据分类相关角色和责任数据分类相关角色和责任属主（Owner）：信息属主可能是组织的某个决策者或者管理者，或者部门负责人，或者是信息的创建者，对必须保护的信息资产负责，承担着“due care”的责任，但日常的数据保护工作则由保管者承担。信息属主的责任在于：基于业务需求，对信息分类等级作出最初决定；定期复查分类方案，根据业务需求的变化作出更改；向保管者委派承担数据保护任务的责任保管者（Custodian）:受信息属主委托而负责保护信息，通常由IT系统人员来承担，其职责包括：定期备份，测试备份数据的有效性；必要时对数据进行恢复；根据既定的信息分类策略，维护保留下来的记