1、国家信息安全等级保护安全建设工程师培训二一六年六月信息安全等级保护安全建设管理体系设计讲师:陈伟-2-一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-3-当前我国信息安全形势严峻、问题突出网络违法犯罪活动日益猖獗;互联网安全防范意识差,安全隐患严重;信息安全责任不落实;企业安全保障能力不强;新技术新应用带来的安全挑战更加严重。公安部网络安全保卫局郭启全总工程师在2014年中国互联网安全大会致辞中的总结。-4-缺少统一的信息安全策略,制缺少统一的信息安全策略,制度的执行不严格;度的执行不严格;信息安全管
2、理部门信息安全管理部门层级较低,层级较低,人员职责不明确人员职责不明确;没有对信息资产进行有效登记、没有对信息资产进行有效登记、分类与相应的管理;分类与相应的管理;信息安全专业信息安全专业人员人员技能缺乏,技能缺乏,管理水平较低管理水平较低;员工安全意识淡漠,员工缺乏安全员工安全意识淡漠,员工缺乏安全培训及安全绩效考核机制;培训及安全绩效考核机制;信息安全治理机制不完善,跨信息安全治理机制不完善,跨部门安全管理较难;部门安全管理较难;软件开发生命周期过程中安全控制软件开发生命周期过程中安全控制没有建立起来没有建立起来;应急预案机制不完善,缺乏业务连应急预案机制不完善,缺乏业务连续性框架;续性框
3、架;产品导向性的安全防护为主,没有产品导向性的安全防护为主,没有统一的系统的安全解决方案;统一的系统的安全解决方案;缺少缺少针对针对外包项目外包项目的外部人员、交的外部人员、交付服务及产品方面的付服务及产品方面的安全规范安全规范大型企业信息安全管理存在的主要问题咨询机构2014年对央企信息安全存在各种风险的总结。-5-信息安全事件频发的内在原因银监会对银行业历年来信息安全事故的分析统计。-6-加强信息安全管理是保障信息安全的基础对信息安全建立系统工程的观点,利用组织、制度、职责来加强信息安全管理是建立安全保障体系的关键。信息安全遵循“木桶原理” ,要时时兼顾组织内不断发生的变化,任何环节上的安
4、全缺陷都会对系统构成威胁,需要对信息安全各个环节进行综合考虑与规划。在信息安全工作中,安全技术方面资金投入可能会占到70%,但在安全管理方面涉及的精力投入可能会达到70%。-7-2016/6/25一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-8-等级保护规范对信息安全管理的要求等级保护基本要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面,根据等级不同给出了相应的管理要求。等保安全管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理等级保护基本要求并没
5、有给出安全体系建设的整体方法,实现基本要求的措施或方式并不局限于等级保护基本要求中的内容。组织要结合系统自身的特点,并结合行业安全监管要求及相关标准,综合考虑各类措施来达到基本要求提出的安全保护能力。-9-信息安全管理体系(ISMS:Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。信息安全管理国际标准ISO27000:2013 (国内标准GB22080)确定了14个安全领域及113个相应的控制措施。在ISO27000中 信息安全主要指信息的机密性(Confidentiality)、
6、完整性(Integrity)和可用性(Availability)。信息安全管理体系最佳实践ISO27000ISO27001/GB22080的安全体系控制域ISO27000系列标准信息安全木桶效应-10-ISO27001以信息安全风险管理为抓手,通过构建安全管理的组织、规范及绩效体系,以PDCA的方式实施与持续运行,把安全风险控制到组织可接受的水平。ISO27001/GB22080的安全体系建立过程-11-结合ISO27000的方法来实施等保安全管理体系以等保安全管理基本要求为基础,结合ISO270001的体系的PDCA过程和ISO27002的14个控制域规范,同时兼顾监管部门的相关安全规范,整
7、合企业自身的IT服务管理体系和技术安全控制体系,通过体系规范化、管理流程化、测量指标化、操作工具化的手段来确保体系设计的落地。等保安全管理体系实施框架-12-安全管理体系中应优先落实的控制措施与法律有关的控制措施 保护组织的记录 数据保护与个人信息隐私 知识产权保护普遍适用的最佳实践 信息安全方针与策略 建立组织落实安全责任 信息安全意识、教育与培训 正确处理应用系统 漏洞管理 报告安全事故与改进 业务连续性管理-13-2016/6/25一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-14-2016/
8、6/25信息安全管理体系实施的主要步骤结合等保及ISO27001的相关要求,在信息安全体系建设的实务中,可以把安全管理体系的建设分为现状调研、架构设计及体系建设三个步骤。SuperLinkSuperLinkSuperLinkSuperLinkSuperLinkSuperLinkSuperLink-15-全方位的信息安全现状调查根据等保基本要求、信息安全最佳实施及上级监管要求,设计现状调查方案;通过资料收集、现状访谈、问卷调查和技术调研,获得组织的安全管理现状数据,并编写安全管理报告。现状调查方案访谈提纲IT安全运维调研问卷 2信息安全现状调查报告 ISO27001差距分析问卷/ ISO2700
9、2差距分析问卷等级保护差距分析问卷等级保护差距分析报告-16-信息资产、定级系统的识别与风险评估信息安全保护的核心是信息资产,应当充分识别组织所拥有的信息资产进行有效的分类;接合等级保护定级,了解当前系统的等保要求。基线风险评估:对安全现状进行等级保护和ISO27000差距分析,同时进行等保差距分析。详细风险评估:在确定信息资产价值的项目上,分析信息资产的脆弱性及面临的威胁,评估其风险值,为后续的整改提供依据。信息资产风险评估-17- 、信息安全需求分析在全面调研业务管理及信息化现状、信息安全现状的基础上,结合组织的实际情况,分别从不同业务特点、组织机构、监管政策、信息化发展思路等方面分析组织
10、信息安全建设需求。(3) 安全架构设计-18- B、信息安全战略规划在信息安全需求调查的基础上,为组织进行信息安全战略规划,明确组织信息安全目标、设计信息安全愿景与使命,满足行业监管要求,建立信息安全管控结构,梳理信息安全与内控,等级保护及风险管理的关系等,并最终与组织的信息化战略规划进行融合。信息安全使命信息安全使命信息安全工作原则信息安全工作原则信息安全愿景信息安全愿景信息安全驱动因素信息安全驱动因素信息信息安全安全治理治理与与组织组织目标目标信息信息安全安全管理管理体系体系目标目标信息信息安全安全运行运行目标目标信息信息安全安全技术技术目标目标业务运营业务运营与发展与发展信息化建设信息化
11、建设外部监管外部监管风险策略风险策略与信息化战略规划进行融合-19-C、信息安全总纲(方针)信息安全总纲是组织进行信息安全建设的纲领性文件,集中体现了管理层对信息安全的要求,并为组织的信息安全建设指明了方向,所以为组织建立适宜的信息安全总纲的信息安全保障体系建设的首要任务。在信息安全总纲中要详细描述信息安全管理的目标与内容,安全治理机制、决策模式、各条线安全职责边界,组织中安全管理、保密管理及生产安全的分工与协作等内容。组织信息安全总纲安全需求监管部门信息安全管理要求加强组织安全管控的要求组织对IT“四化”的要求集中的IT内部管控要求总部与分支单位安全治理要求遵循信息系统等级保护要求遵循国际标
12、准以及最佳实践:ISO27001,ITIL,CoBIT的要求信息安全总纲2-20-安全技术体系安全管理体系安全组织体系安全运行与应急体系 D、安全架构设计内容信息安全架构设计主要从组织实际情况出发,对信息安全管理体系、安全组织体系、安全运行体系、安全技术体系及应急恢复体系进行架构设计。安全架构设计-21-E、 信息安全管理实施蓝图以信息安全现状调研和风险评估为基础,在符合信息安全架构设计的前提下,把相应的控制措施进行分类与合并,提炼出可以实施的安全任务;根据安全任务紧迫性、可实施性、预期效果的高低和实施程度的难易,定义出安全建设任务优先级和安全管理体系实施路线图。安全规划图表规划预算-22-信
13、息安全管理体系框架在组织中建立信息安全管理制度、信息安全管理规范与技术标准、信息安全管理流程、测量与考核体系、信息安全培训体系、信息安全应急体系等,使信息安全体系得以有效实施。-23- A、信息安全组织体系为落实信息安全职责,推动信息安全管理体系建立,需要建立决策、管理、执行及监督四级信息安全组织。 集团信息化管理委员会 委托委托 信息安全执行单位 共享服务中心共享服务中心、SBU01、SBU02、SBU03、SBU04.集团稽核中心审计审计报告报告信息系统安全协调工作组 组长组长:由信息化管理委员会指定人选由信息化管理委员会指定人选 副组长副组长:由信息化管理委员会指定人选由信息化管理委员会
14、指定人选 组员组员:各专业公司运营部门分管各专业公司运营部门分管IT负责人负责人、共享服务中心共享服务中心IT部门负责人部门负责人 集团最高管理层 汇报汇报汇报汇报专业指导专业指导信息化管理委员会办公室管理授权管理授权汇报汇报、建议建议信息安全领导小组信息安全领导小组信息安全工作小组信息安全工作小组信息安全全员执行信息安全全员执行报告报告报告报告报告报告报告报告授权授权授权授权监督指导监督指导监督指导监督指导沟通沟通、建议建议沟通协调沟通协调信息系统安全协调工作组办公室信息系统安全协调工作组办公室主任主任:共享服务中心系统运行部信息安全负责人共享服务中心系统运行部信息安全负责人成员成员:系统运
15、行部信息安全专职工作人员系统运行部信息安全专职工作人员信息安全组织框架信息安全组织框架细化示例-24-根据信息安全组织架构的设计,明确信息安全管理生命周期中的角色与职责,并建议在工作岗位职责说明书加以描述;针对组织中信息安全的不同角色形成各自的岗位职责要求与工作流程说明,以指导相关人员提高工作质量与效率。-25- B、 信息安全制度文件的编写 信息安全制度文件是信息安全组织、运作、技术、应急等方面标准化、制度化后形成的一整套信息安全的政策、规范与指南。 信息安全管理制度的结构可以分为制度、规定、细则及记录四个层次;制度的内容可以参照国际标准ISO27001的14个域的划分来编写。安全体系文件框
16、架-26- 信息安全体系文件包括体系策略及策略细化,形成安全管理体系要求的一至四级文档(具体文档名称及内容应当按照风险评估与安全体系架构设计中安全策略体系架构实际结果执行)。信息安全体系文件示例-27- C、信息安全管理流程根据安全架构设计中信息运维体系的设计,识别组织的信息安全管理关键流程,定义流程的输入输出、流程间接口、流程关键活动、流程标准角色、流程考核KPI。信息安全管理流程示例23-28- D、信息安全职责体系通过体系文件明确信息安全职责,包括信息安全管理人员职责、业务人员岗位职责等。信息安全制度文件1 2员工信息安全考核职责矩阵员工信息安全考核职责矩阵信息安全文件矩阵信息安全职责矩
17、阵信息安全人员职责 2-29- E、信息安全测量体系为及时准确地了解信息安全管理体系运行的效率和效果,需要建立有效的测量方法与程序。信息安全测量-30-F、信息安全考核体系为增强员工遵守信息安全管理规范,提高安全意识,预防信息安全事故的发生,应建立一套客观公正的,以信息安全目标为导向的信息安全管理量化评价机制。考核制度考核制度X公司信息安全计分量化管理程序考核指标示例员工信息安全考核办法-31- G、建立信息安全培训体系为了更好的配合信息安全体系的推广,提升信息安全管控水平,组织应对设计针对各类人员的信息安全教育与培训课程体系。培训体系方案-32-Flash动画电子海报手册张贴画培训与专题讲座
18、电脑屏保展板电子报台历电脑桌贴便签本鼠标垫 H、进行多样化的安全意识教育-33-安全风险管理安全运行管理安全控制管理安全管理知识库安全策略管理建设信息安全管理平台,对安全策略、安全风险、安全运行、安全控制及安全知识库进行管理,并通过安全风险管理的“仪表板”多角度地展示信息安全风险,以利于管理层简洁、形象地了解信息安全风险情况并作出相应的决策。 I、信息安全风险管理工具-34-2016/6/25一、国内信息安全管理现状分析二、等保安全管理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-35-等保安全管理体系的试运行安全管理体系文件编制完成后,组织
19、应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段;体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。通过实施安全手册、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题的根源,采取纠正措施。ISMS运行工作计划-36-体系试运行期间的计划与检查在进行体系试运行时,应建立周密的运行计划,不断对安全运行任务计划进行跟踪和阶段性的检查,以强制落实制度、规范、流程中的安全要求。ISMS运行工作计划-37-等保安全管理体系的正式运行在试运行的基础上,
20、总结经验,进行认真的部署,选择恰当的时机进行安全管理体系的正式运行。正式运行前,需要领导层进行动员,并进行全员培训,签定相关协议,方针策略、规章制度正式起用;只有保证安全管理体系持续运行,才能使安全制度真正落到实处,使组织的安全状况得到改观。管理层要足够重视组织中的信息安全工作,对体系进行总体的监督;为信息安全分派角色和责任、与重要的组织进行沟通;提供开发、实施、操作和维护安全体系所需的足够的资源; 确定可接受的风险水平。体系正式运行需要全员参与,使员工了解信息安全不仅仅是IT部门的事情,各部门员工也应承担相应的责任,具备相关的安全意识和能力。-38-一、国内信息安全管理现状分析二、等保安全管
21、理体系建立方法三、等保安全策略与制度的制定四、等保安全管理措施实施运行五、等保安全体系的的持续完善-39-通过日常检查、体系审核、管理评审和及时整改来促进体系持续完善日常检查是安全体系执行方的一种自我检查与纠正行为。通过建立日常检查的机制,以推进安全措施的落实与安全管理水平的提高。体系审核是组织为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程;体系审核可以是组织内部的自我审核,也可以由独立的第三方来进行。管理评审主要是指组织的最高管理者按规定的时间间隔对安全体系进行评审,以确保体系的持续适宜性、充分性和有效性;管理评审应根据信息安全体系审核的结
22、果、环境的变化和对持续改进的承诺,指出可能需要修改的信息安全管理体系方针、策略、目标和其他要素。对检查审核发现的问题,责任方要进行及时整改,检查审核方要进行跟踪验证。-40-体系日常检查的计划与实施在建立的信息安全管理体系的制度、规范、流程中已明确了相关人员的职责,其职责是否履行或正确的履行可通过日常的周检查、月度检查来强制落实相关的制度、规范和流程。-41-2016/6/25体系审核的计划与实施为体系审核与管理评审制定计划,通过定期实施审核与管理评审来查找组织已建立的安全管理体系与安全标准及法律法规之间的差距,对于审核与管理评审发现的重要风险要进行整改与跟踪,从而达到内部不断改进的目的,以保
23、持安全管理体系的有效性、适宜性、充分性。首次会议首次会议现场审核现场审核每日审核组每日审核组内部会议内部会议确定不符合项确定不符合项并编写不符合报告并编写不符合报告审核组审核组分析总结分析总结未次会议未次会议宣布审核结果宣布审核结果简要介绍、建立联系、落实简要介绍、建立联系、落实资源、确定时间资源、确定时间收集审核证据、审核控制、收集审核证据、审核控制、审核发现、现场审核记录审核发现、现场审核记录交流情况、整理结果、交流情况、整理结果、工作安排工作安排确定不符合原则、类型,编确定不符合原则、类型,编写不符合报告写不符合报告确定所有不符合报告、确定所有不符合报告、审核结果的汇总分析审核结果的汇总
24、分析介绍审核发现、宣布审介绍审核发现、宣布审核结果、提出后续工作核结果、提出后续工作要求、宣布结束现场审核要求、宣布结束现场审核体系审核流程审核发现整改跟踪表-42-2016/6/25管理评审的计划与实施管理评审一般每年进行一次是适宜的,也有组织因监管或合规的要求每半年做一次管理评审。另外当组织安全状态有重大改变时,应适时进行管理评审。一般在评审前的34周,由信息安全管理经理编制“管理评审计划”,经总经理批准后下发至参加人员。管理评审实施过程应确保收集到必要的信息,以供管理者进行评价,管理者评审应形成文件。信息安全管理负责人组织有关部门对管理评审中的纠正措施进行跟踪验证,验证的结果应记录并上报最高管理层及有关人员。-43-交流与互动
