-信息安全治理与风险管理.docx

信息安全治理与风险治理分为以下几个局部：1、信息安全治理根底2、安全管控框架与体系3、安全策略4、安全打算5、信息分类6、风险治理7、责任分层8、人M鸵握9、安全意识、培训和教育10 .BCP业务连续性11 .法律、道镌、合规信息安全治理根底1 .信息安全根本原则机密性（SnfidemiaIrty）:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体完整性（integrity）：1,确保信息在存砧、使用、传输过程中不会被非授权物改：2.防止授权用户或实体不恰当修改信息：3.保持信息内部和外部的全都性M用性（avai1.abd,ty）:确保授权用户或寞体对信息及资源的正常使用不会被特别拒绝，允许其车而准时地访问信息.相反三元祖DAD：itttiW（Disc1.osure）；篡改（AIteratiOn）I破坏（DeStrUctiOn）信息安全CIA掌握措施：机密性:数据加依（整个磁盘、数解加密）:传怆数据加密UP$ec、SS1.PPTP,SSH）：访问掌握（物理和技术掌握）完整性：哈希（数据完整）：配置治理（系统完整）：变更掌握（过程完整）：访问拿握（物理和技术掌握）：软件数字笠名；传输CRcKt蛤功能可用性：冗余磁盘阵列（RAID）：Uiff1.f：负我均衡：冗余的数据和电源线路：软件利数据备份服盘映像：位置和场外设施；回濠功能；故障转移配置2 .安全治理和支持拿攫：治理性掌握开发和公布策略、标准、指施和指导原则风险治理人员的筛选指导安全意识培训实现变更掌握措施规律性掌握（技术性掌握）实现和维护访问挈握机制密码和资源治理身份标识和身份验证方法安全设备根底设施置置物理性掌握掌握个人对设临和不同部门的访问锁定系统去除必要的较胆和光阴保护设施的周边检测入侵环境掌握3,信息安全治理：技术信息安全的构建材料治理真正的粘合剂和催化剂三分技术，七分治理4 .信息安全治理模型:PDCA打和，P1.an依据风险评砧结果,法律法规要求、组织业务,运作自身需要来确定掌握目标与学握措施实施,Do实施所选的安全掌握措施，提升人员安全意识检在，Check依据策略,程序、标准和法律法规，对安全措施的实施状况进展符合性检查措施.Action针对检查结果实行应对措施，改进安全状况5 .GRe治Fh风险与合规=S三b三mSs£9am安全管控框架与体系1. 信息及相关技术掌握目标IT内都掌握，CobItCobit解决“实现什么”,E1.解决“如何实现”«!T-COSO框架，Cobit是IT治理框架Subtop1.c内部掌提-SE体框架*,COSO企业内控治理框架定义了满足财务报告和披“目标的五类内控要素掌握环境风险评估掌握活动信息与沟通检测很多组织应对SOX404法案合妮性的框架公司治理梭蟹2. IT效劳治理，E1.ITI1.是可定制IT效劳治理框架信息技术效劳治理标准和报正确实践枢架五大过程效劳战略效劳设计效劳交付效劳运营持续改进过程3. 信虺安全治理，ISO27001源FBS7799.8S77991对应S027002.BS77992时应IS027001信息安全方面的最正确惯例组成的一套全面的掌樨生2023版，14个域ISO2801；：2005ISO27001；:ZODA5管全乃RA63SB4N,*kTOA8AiOM(RKWV<H1.=三A1.1.AU<AMWSUW.开蒙卬除炉AU<MSrtWt3ah业期ma坟A15符合行Ag妥全方舒A6A7AIWHrTAe炭PN即A96可性*A.10ffWyf)AI1.Si*殳A12所仔牛CW分)AnAfR安个(V1.i)A14fM"地.K1.tiaf1.WPA.1643WXS)AHffi1W=WaA.17信3去殳方曲哈业另述*t*i三Ai8三en4. Zachman.ToGAF企业框架5. SABSA安全机构框架6. 安全掌握参考NISTSP800-S3r47. 2023年关耀根底设施安全掌握框架：NISTCyberSecurityFramework8. CMMI软件开发治月9. PMBOK.PnnCe2工程治理10. SixS1.gma.业务流程治理I1.1.So38500.IT治理12.ISO22301业务连续性治理安全策略1 .类型规章性策略1）用于确保组织机构遵守特定的行业规章建立的标准2）一股比较具体,针对特地的行业3）适用丁包厢机构、卫生保健机构、公共设施和其他政府性掌握的行业建议性策略1）用户猛烈推举雇员在组纵机构中应当实行的某些行为和活动2）对于不遵守的行为进展了相关规定3）用户医疗信息处理、金融事务或机密信息处理中指示性策略1）告知雇员的相关信息2）非强制性策略,指导个人与公司相关的特定问题3）适用于如何与合伙人打交道、公司的目标和任务。2 .内容侧尘点组织性策珞1）由高级治理层公布,描述并委源信息安全商佳.定义CIA的目标,强谓前要关注的信息安全问题2）适用于范围是整个组织功能性策略1）特定问题策略，针对特定安全浜域或关注点，例如访问掌握、持续性打和、职由分别等2）针对特定的技术领域，如互联网、电子邮件、无税访问、远程访问等3）依农F业务需要和UJr承受的风险水平4）内容包拈特定问题的阐述，组织针对该何遨的态度.适用箍用、符合性要求,惩戒指随特定系统策略针对挣定技术或操作额城酬定的更细化的策略.如应用或平台3 .方针信息安全以一殷性的声明最高治理层对信息安全担当贾任的一种承诺说明要保护的对象和目标4 .标准建立方针执行的强制机制5 .指南类似于标准,加强系统安全的方法,他是建议性的6 .她钱满足方针要求的用低级别的安全需求7 .程序执行特定任务的具体步骤程序则是对执行保护任务时具体小舞的具体描述（HOW：8 .选购安全策略与实践供给琏风险与安全掌握硬件、软件与效劳选购D制定安全基线,明确选购的产品和效劳的最低安全要求2）对供给商人员进展安全培训3）制定供给商安全治理策略，定义通用的安全掌握方法4）增加对OEM厂商.分销商和集成商的掌握5）对供给商网络安全风险进展审计最低安全要求与效劳级别需求通过S1.A明确效劳水平要求和燃低安全要求安全打算全治理打算应当自上而下类型战略打算,strategicp1.an长期打算,例如5年,相对稳定,定义了组织的目标和使命战术打算,tactica1.pian中期打算,例如1年对实现战略打算中既定目标的任务和进度的细节描述,例如雇佣打©,预算打算等操作打算,operationa1.p1.an短期的高度细化的打算常常更每月或每季我史,例如培训打算.系统部署打算等息分类目益：而明需要为每种数据集设定的机密性、完整性和可用性保护等级依据信息敏感程度，公司实行不同的安全掌握措施，确保信息受到适当的保护，指明安全保护的优先挨次商业公司公开敏感私有机密军事机构非机密敏感但非机密隐秘机密绝密风险治理1 .概念识别并评估风险、将风险降（氐至可承受水平、执行适当机制来维护这种级别的过程Io0%安全的环境是不存在的，凶险治理是收益/本钱，安全性/可用性之间的平衡2 .相关要素1）资产：对组织具有价值的信息资产2）或逼，可能对资产或组织造成损害的某种安全大事发生的潜在缘由，找到威逼源3）脆弱性也成漏洞或弱点，即资产或资产组中存在的可被或遇利用的弱点，弱点一旦被利用可能对资产造成损害4）风险特定威逼利用资产弱点给资产或资产组带来损害的潜在可能性5）可能性对威逼发生频率的定性描述6）影响后果，意外大事给组织带来的宜接或间接的损害或损害7）安全措施掌握或对策，即通过防范威逼、较少弱点，限制意外大事带来影响等途径来削尖风险的机制、方法和措施8）残留风险在实施措施之后仍I日存在的风险3 .风险分析1）目标标识资产和他们对组织机构的价值识别脆弱性和或退量化潜在威逼的可能性及其对业务的影响在威逼的影响和对策的本钱之间到达预算的平衡2）方法NSTSP800-30f1.SP800-66定性RA方法1,系统分类：2,弱点识别；3,威遇识别：4,对策识别；5,可能性评估：6.影响评估：7.风险评估；8,对策推举；9,文件报告OCTAVE一种基于信息资产风险的自主式信息安全风险评估标准，强调以资产为驱动，由3各阶段、8个过程构成CRAMM根本过程：资产识别和评价；威逼和弱点评估；对策选择和建议FRAP一种定性的风险评估过程，以对风险评估方法的各个方面和变化形式进展测试STA创立个系统可能面临的全部或逼的树，树枝可以代表诸如网络威逼、物理威逼、组件失效等类别，进展RA时，需要明除不用的树枝FEMA源自硬件分析.考察每个部件或模块的潜在失效，并考察失效影响比照：NIST和OCTAVE方法关注IT威逼和信息安全风险分析，AS/NZS4360则实行了一种更为广泛的方式进展风险治理。AS/NZS适用于公司的财政、资本、人员安全和业务决策风险.也可以用丁风险安全分析，但并非特地为针对这个目标设计。3）定量风险分析定量风险分析会尝试为风险分析过程的全部元素都喝于具体的和有意义的数字包括：防护措施的本钱、资产价值、业务影晌、威遢频率、护措施的有效性、漏洞利用的可能性等，风险分析步臊为资产赐予价值估量每种威逼的潜在损失针对每种资产和或通计算的总一损失期望（S1.E）执行威逼分析计算年发生比率（ARO）计算每种威遛的潜在年度损失每种威遇计算年度损失期望（A1.E）减轻、转移、避开和承受风险风险计算大事发生的频率：ARO（年发生.比率）威逼大事可能引起的损失：EF（暴露因子）定地计算过程识别资产并为资产赋值评估威遇和弱点，评价特定威逼作用于特定资产所造成的影响，即EF（0%100%）计算特定或逼发生的次数（频率），即ARO计算资产的S1.ES1.E（单一损失期望）=（资产价值）XEF（暴露因子）计算资产的A1.EA1.E1年度损失期望）=S1.E（单一损失期望）X年度发生率（ARO;4）定性风险分析考虑各种风险可能发生的场景，井基于不同的观点对各种威遇的严峻程度和各种对策的有效性进展等级排列定性分析技术推断、最正确实践、直觉和阅历收集数据的定性分析技术群体决策方法，de1.phi调查问题卷检杳访谈S）定性和定量方法比照定性方法及结果相对主观定性方法无法为本钱/效益分析建立货币价值定量方法需要大量的计兑，实施比较困难4 .风险分析过程识别信息资产识或用'项资产的拥有者、保管者和使用者建立资产清单，依据业务流程来识别信息资产信息资产存在的形式电子数据：数据库和数据文件、用户手册等书面合同：合同，策略方针，归档文件，重要商业结果软件资产：应用软件、系统软件、开发工具、软件程序实物资产：磁介质、电源和空调、网络根底设施、效劳器等人员：担当特