1-安全与风险管理

1安全与风险管理SecurityandRiskManagementCISSPCBK4.0培训教材翻译·制作樊山版本号V1.0下次更新：2015年12月2015·08主题Theconceptsofconfidentiality,integrity,andavailability保密性，完整性和可用性的概念Securitygovernanceprinciples安全治理原则Compliance合规Legalandregulatoryissues法律和监管问题Documentedsecuritypolicy,standards,procedures,andguidelines详细记录的安全政策，标准，程序和指导方针Businesscontinuityrequirements业务连续性要求Personnelsecuritypolicies人员的安全策略Riskmanagementconcepts风险管理概念Threatmodeling威胁建模Integratingsecurityriskconsiderationsintoacquisitionsstrategyandpractice整合安全风险因素纳入收购策略和实践Securityeducation,training,andawareness安全教育，培训和意识目标•理解和应用的机密性，完整性和可用性的概念。•通过遵守适用的安全管理原则•明白涉及到信息安全在全球范围内的法律和监管问题。•制定和实施记录的安全政策，标准，程序和指导方针。•了解业务连续性要求。•促进人员的安全策略。•理解并运用风险管理的概念。•理解和应用威胁建模。•集成安全风险因素纳入收购战略和实践。•建立和管理安全教育，培训和意识。大纲•保密性、完整性和可用性Confidentiality,Integrity,andAvailability•安全治理SecurityGovernance•完整而有效的安全计划TheCompleteandEffectiveSecurityProgram•合规性Compliance•全球法律和监管问题GlobalLegalandRegulatoryIssues•了解职业道德UnderstandProfessionalEthics•开发和实施安全策略DevelopandImplementSecurityPolicy•业务连续（BC）和灾难恢复（DR）需求BusinessContinuity(BC)&DisasterRecovery(DR)Requirements•管理人员安全ManagePersonnelSecurity•风险管理概念RiskManagementConcepts•威胁建模ThreatModeling•采购战略和实践AcquisitionsStrategyandPractice•安全意识教育和培训SecurityEducation,Training,andAwareness保密性、完整性和可用性•保密性•完整性•可用性保密性、完整性和可用性•保密性Confidentiality–保密性通过基于知必所需（Need-to-Know）的原则提供唯一授权的个人、过程或系统应当可以获得并支持“最小特权”。授权个人的访问权限应该是在他们所需要的水平上做他们的工作。–保护保密性的实例是对信息进行加密。信息加密限制了一个未经授权的人访问信息的可用性•完整性Integrity–完整性的原则是信息应该受到保护，避免故意的，未经授权或者意外的改变。–存储在文件，数据库，系统和网络的信息必须依赖于准确地处理交易和提供准确的信息为企业提供决策。•可用性Availability–可用性是当用户需要时确保信息获得和利用的原则。影响系统可用性的两个主要领域是•1.拒绝服务攻击•2.由于灾难丧失服务能力，这可能是人为的损失（例如，不良的容量规划导致系统崩溃，过时的硬件和测试不良升级后的系统崩溃）或自然（如地震，龙卷风，停电，飓风，火灾，洪水）。安全治理•组织方针、使命和目标•组织过程•安全角色和职责•信息安全战略安全治理•增加公司治理要求导致公司审查其内部控制结构更加紧密，以确保控制到位和有效运行。•适当的信息技术投资决策必须关注业务使命。•信息技术已不再是大多数企业一个后台计费功能，而是一个核心业务需要的业务，董事会中的董事和管理层必须有适当的可见性，关注和监督计划•适当调整和理解依赖于信息技术的任务，确保对业务的潜在风险。安全治理•ITGI提出信息安全治理应被视为IT治理的一部分董事会管理层被告知有关信息安全设定推动政策和战略方向为安全工作提供资源分配管理责任确定优先事项支持变更需求定义风险评估相关的文化价值获得内部或外部审计师保障持续的安全投资取决于可测量和程序有效的报告在业务输入中写入安全策略确保角色和责任界定和清楚明白识别威胁和漏洞实施安全基础设施和控制框架（标准，指南，基准和程序）确保政策被管理机构批准确定优先次序并及时实施安全项目监测违规定期进行审查和测试加强宣传教育一样重要构建安全系统开发生命周期组织方针、使命和目标•信息安全管理做法，通过执行物理，行政，管理，技术和操作控制保护组织资产。•信息资产必须进行适当的管理，以减少保密性，完整性和可用性受损的风险。•有效的安全管理需要根据组织的风险承受能力，实施安全控制的成本，以及对业务的利益。•实现100％的信息安全是一个令人钦佩的目标，但在实践中这是不现实的。•良好的组织和管理程序必须具有前瞻性和可持续。组织方针、使命和目标•高级管理层最终决定了安全支出水平并愿意接受风险的最终决定。•安全专业人员应该把自己的角色看作风险顾问•高级管理层必须权衡所有的业务风险，并选择是否执行特定的安全控制表示的那些风险管理活动•安全管理是确保风险识别和适当的控制环境的粘合剂中心管理评估风险并确定需求提高认识检测和评价实施政策和控制组织过程•收购和兼并–可能需要比现有的安全计划更多的保护提供额外的数据类型–新员工和角色的安全意识和培训要求增强–来自前雇员的威胁或可能新的组织面对一个旧的威胁–当系统融合时的漏洞–可能出现的新政策，标准和程序以支持遵守任何法律，法规，并要求组织需要知道的–需要审查和评估外部业务伙伴和互连•剥离和分拆•治理委员会–确保委员会高度重视信息安全和风险管理的重要性。–确保委员会招聘新董事会成员的工作包含在需要的地方对信息安全和风险能力的要求–保持与委员会成员的工作关系，可根据需要应对特定风险，隐私和信息安全的问题。安全角色和职责•今天的组织架构–许多组织中，信息系统安全官（ISSO）或首席信息安全官（CISO）仍然向首席信息官（CIO）报告或单独负责组织信息技术活动–许多组织仍然认为信息安全功能是一个信息技术问题，而不是核心业务问题。–整合信息和物理安全功能是一个不断增长的趋势。安全角色和职责•信息安全官的职责–信息安全官是确保所有的业务信息资产的有意和无意的丢失，泄露，篡改，破坏，不可用的保护责任。–安全管理人员和他或她的团队负责确保安全的政策，程序，基线，标准和指南写入满足组织的信息安全需求。–审批政策必须在执行层面进行。通常标准，程序和基线不需要这个级别批准。–安全管理人员必须跟上新兴技术，以确保公司根据其风险状况，企业文化，可用资源，并渴望成为一名创新者提供适当的解决方案。–合规性是确保遵守安全策略的过程。–安全官员通常负责实施和运行的计算机事件响应小组（CIRTs）。–安全管理人员提供信息安全意识程序确保该程序通过一个有意义，可理解的方式传递给预期受众的领导力。安全角色和职责•执行管理层沟通风险–执行管理团队的组成将根据行业或政府机构的类型而异，但通常它包括C字头衔的个人，如首席执行官（CEO），首席运营官（COO），首席财务官（CFO），首席信息官（CIO）。高管团队还包括向CEO一级的报告，如销售和市场营销副总裁，行政副总裁，首席法律顾问，人力资源副总裁。–执行团队感兴趣的是保持可接受风险之间的适当平衡，并确保业务运作符合本组织的使命。在此背景下，执行管理层不关心实现的技术细节，而是以如何解决和怎样保持剩余风险的保障措施实施后的成本/效益。执行管理层沟通风险•报告模式–安全人员和信息安全组织应尽可能在本组织内报告：•维护信息安全重要性的可见•限制畸变或不准确的可能导致分级，深层组织的信息转换。•业务关系–建立与企业执行管理层，中层管理人员和最终用户可靠和良好的工作关系–执行管理层通过他们的日常交流采集及采取行动获得许多人和其他管理人员的信息。•向CEO报告–确定需要媒体或组织的对外事务小组参与吗？–组织的法律团队是否必须参与审查？–在什么时候事件的通报上升至一线管理，中层管理人员，高级管理人员，董事会，还是利益相关者？–保密的要求是保护事故信息必要的吗？–用什么方法报告？如果电子邮件被攻击，请问如何影响报告和通知程序？执行管理层沟通风险•向信息技术层（IT）报告•企业安全报告•行政服务部门报告•保险和风险管理部报告•内审部门报告•法律部门报告执行管理层沟通风险•确定最佳匹配•预算•度量•资源信息安全战略•战略规划–建立安全策略和程序–有效部署服务器，工作站和网络设备以减少停机时间–确保所有用户了解安全责任和奖励优异表现–企业范围内建立安全组织来管理安全–确保有效的风险管理，使风险得到有效的理解和控制•战术规划–战术计划提供了广泛举措，以支持实现战略计划规定的目标。–这些计划更具体，可以由多个项目来完成工作。战术计划长度较短，如6-18个月，以实现公司特定的安全目标。信息安全战略•运营和项目规划–具体的计划和里程碑，日期并提供问责制的沟通和方向，以确保各个项目的完成。可能涉及的问题•1.进行安全风险评估•2.制定安全策略和审批程序•3.开发技术基础设施部署策略和跟踪合规•4.培训终端用户策略•5.监控合规性完整而有效的安全计划•监督委员会代表•控制框架•尽职关注•尽职调查监督委员会代表•安全部门和安全监督委员会之间的关系是一个点线的关系，可能会或可能不会反映在组织结构图上。•委员会的价值是提供业务方向，在连续性的基础上增加对影响本组织的安全活动的认识。•委员会如何满足将取决于组织文化•愿景声明监督委员会代表•使命陈述–安全程序监督–终端用户–执行管理–信息系统安全专家–数据/信息托管/管理人–信息系统审计师–业务连续性计划–信息系统/信息技术专家–安全管理员–网络/系统管理员–物理安全–行政助理/秘书–帮助台/服务台管理员控制框架•1.一致•2.可测量•3.标准化•4.综合性•5.模块化尽职关注和尽职调查•尽职关注–尽职关注是信息安全专业人士明白的一个重要课题。它主要是一个法律术语，用于说明关注“理性的人”在特定条件下的行为。•尽职调查–员工背景调查–业务合作伙伴的信用检查–信息系统安全评估–物理安全系统的风险评估–防火墙的渗透测试–备份系统的应急测试–被用来检查公司可用性的威胁智能服务–发布到公共论坛和云的知识产权（IP）合规性•公司治理，风险管理和合规性(GRC)•立法和监管合规性•隐私要求合规性公司治理，风险管理和合规性(GRC)治理风险管理合规性合规风险/实施通过目标，职责和控制机制管理和控制企业和部门识别，评估，评价，补偿，并监控风险;定义可以接受的风险确保遵守法律，法规要求，标准和政策公司治理，风险管理和合规性（GRC）•治理（G）确保企业专注于核心业务，明确谁在组织有权作出决定，决定对行动和成果的责任，问责解决如何预期进行性能评估。所有这一切发生在一个明确定义的背景中，可能跨越一个部门、整个组织，或者一组特定的交叉学科功能。•风险（R）管理是识别，分析，评估，纠正和监控风险的系统程序。作为这个过程的结果是一个组织或团体可能决定减轻风险，转移风险，或者承担其潜在后果的连带风险。•合规性（C）通常是指确保行为符合既定的规则以及提供工具以验证合规性活动。它包括遵守法律以及企业自身的政策，从而可以基于最佳实践。立法和监管合规性•组织工作在其中必须满足法律，法规和合规性要求的环境。•组织的治理和风险管理流程必须考虑