第10章 信息安全管理

第10章 信息安全管理

主要内容10.1 概述 10.2 信息安全风险管理(风险评估、风险控制) 10.3 信息安全标准(CC标准、BS7799标准) 10.4 信息安全法律法规及道德规范

10.1 概述

当今社会已经进入到信息化社会，其信息安全是 建立在信息社会的基础设施及信息服务系统之间 的互联、互通、互操作意义上的安全需求上。 安全需求可以分为安全技术需求和安全管理需求 络 两个方面。 管理在信息安全中的重要性高于安全技术层面， “三分技术，七分管理”的理念在业界中已经得 到共识。

信息安全管理体系ISMS

信息安全管理体系ISMS是从管理学惯用的过程模型 规划：通过风险评估 了解安全需求，根据 PDCA(Plan、Do、Check、Act)发展演化而来。需求制定解决方案。 实施：具体运作，实 现计划中的内容 检查：监视评审解 决方案的有效性， 发现问题在下一个 阶段予以解决。 处置：对总结检查的结 管理学中的一个通用模型，被 果进行处理，没有解决 广泛宣传和运用于持续改善产 的问题，应提给下一个 品质量的过程中，是全面质量 PDCA循环中去解决。 管理所应遵循的科学程序。

PDCA模型国际标准化组织(ISO) 和国际电工学会(IEC) 联合将相关工作转化为 ISMS国际标准(ISO/IEC 27001:2005)

ISMS—信息安全管理体系

ISMS是一个系统化、过程化的管理体系，体系的建立需要 全面、系统、科学的风险评估、制度保证和有效监督机制。 ISMS应该体现预防控制为主的思想，强调遵守国家有关信 息安全的法律法规，强调全过程的动态调整，从而确保整个 安全体系在有效管理控制下，不断改进完善以适应新的安全 需求。 在信息安全管理体系的各环节中，安全需求是前提，运作实 施、监视评审和维护改进是重要步骤，而可管理的信息安全 是最终的目标。 在各环节中，风险评估管理、标准规范管理以及制度法规管 理这三项工作直接影到响整个信息安全管理体系是否能够有 效实行。

信息安全管理体系的架构

信息安全管理体系的目的和特点

信息安全管理涉及的领域

A

风险评估

风险评估(Risk Assessment)是指对信息资产所面临 的威胁、存在的弱点、可能导致的安全事件以及三者综合 作用所带来的风险进行评估。作为风险管理的基础，风险评估是组织确定信息安全需求 的一个重要手段。 风险评估管理：在信息安全管理体系的各环节中，合理地 利用风险评估技术对信息系统及资产进行安全性分析及风 险管理，为规划设计完善信息安全解决方案提供基础资料， 属于信息安全管理体系的规划环节。

标准规范管理

在规划实施

信息安全解决方案时，各项工作遵循国际或国家 相关标准规范，有完善的检查机制。 国际标准可以分为互操作标准、技术与工程标准、信息安全 管理与控制标准三类。

互操作标准：非标准组织研发的算法和协议经过自发的选择过 程，成为了所谓的事实标准，如AES、RSA、SSL以及CVE等。 技术与工程标准：由标准化组织制定的用于规范信息安全产品、 技术和工程的标准，如信息产品通用评测准则、安全系统工程 能力成熟度模型等。 信息安全管理与控制标准：由标准化组织制定的用于指导和管 理信息安全解决方案实施过程的标准规范，如信息安全管理体 系标准(BS-7799)、信息和相关技术控制目标(COBIT)等。

制度法规管理

指宣传国家及各部门制定的相关制度法规，并监督有关人 员是否遵守这些制度法规。 每个组织部门(如企事业单位、公司等)都有信息安全规 章制度，有关人员严格遵守这些规章制度对于一个组织部 门的信息安全来说十分重要，而完善的规章制度和建全的 监管机制更是必不可少。 除了有关的组织部门自己制定的相关规章制度之外，国家 的有关信息安全法律法规更是有关人员需要遵守的。

目前在计算机系统、互联网以及其它信息领域中，国家 均制定了相关法律法规进行约束管理，如果触犯，势必 受到相应的惩罚。

立法现状

根据英国学者巴雷特的归纳，各国对计算机犯罪的立法， 主要采取了两种方案

一种是制定计算机犯罪的专项立法，如美国、英国等； 一种是通过修订法典，增加规定有关计算机犯罪的内容， 如法国、俄罗斯等。 涉及网络与信息系统安全、信息内容安全、信息安全系 统与产品、保密及密码管理、计算机病毒与危害性程序 防治、金融等特定领域的信息安全、信息安全犯罪制裁 等多个领域，初步形成了我国信息安全的法律体系。

目前我国现行法律法规中，与信息安全有关的已有近百部

道德规范

道德规范也是信息领域从业人员及广大用户应该遵守的。

包括计算机从业人员道德规范、网络用户道德规范以 及服务商道德规范等。 一切个人信息行为必须服从于信息社会的整体利益， 即个体利益服从整体利益； 对于运营商来说，信息网络的规划和运行应以服务于 社会成员整体为目的。

信息安全道德规范的基本出发点

10.2 信息安全风险管理

信息安全风险管理是信息安全管理的重要部分

是规划、建设、实施及完善信息安全管理体系的基础 和主要目标。 其核心内容包括风险评估和风险控制两个部分。

风险管理的

概念来源于商业领域，主要指对商业行为或目 的投资的风险进行分析、评估与管理，力求以最小的风险

获得最大的收益。

10.2.1 风险评估风险评估主要包括风险分析和风险评价 风险分析：全面地识别风险来源及类型； 风险评价：依据风险标准估算风险水平,确定风险的严重性。 与信息安全风险有关的因素： 资产：是指对组织具有价值的信息资源，是安全策略保 护的对象。 威胁：主要指可能导致资产或组织受到损害的安全事件 的潜在因素。 脆弱性：一般指资产中存在的可能被潜在威胁所利用的 缺陷或薄弱点，如操作系统漏洞等。 安全控制：是指用于消除或减低安全风险所采取的某种 安全行为，包括措施、程序及机制等。

风险评估的目的和意义

认识现有的资产及其价值 对信息系统安全的各个方面的当前潜在威胁、弱点和影响 进行全面的评估 通过安全评估，能够清晰地了解当前所面临的安全风险， 清晰地了解信息系统的安全现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和 详实的依据

信息安全风险因素及相互关系

风险计算依据