1、企業(yè)IT 安全管理實(shí)務(wù)蝴蝶效應(yīng)1979年，洛倫斯教授在華盛頓所作的報(bào)告中說(shuō)：他在研究中發(fā)現(xiàn)，巴西的一只蝴蝶翅膀揮動(dòng)一下，會(huì)在美國(guó)的得克薩斯州形成颶風(fēng)。這一理論稱(chēng)為“蝴蝶效應(yīng)”。“蝴蝶效應(yīng)”是說(shuō)，有些小事可以糊涂；有些小事如經(jīng)過(guò)系統(tǒng)會(huì)被放大，則對(duì)一個(gè)企業(yè)、一個(gè)國(guó)家至關(guān)重要，就不能糊涂。 青蛙現(xiàn)象“青蛙現(xiàn)象”。“青蛙現(xiàn)象”是19世紀(jì)末康奈爾大學(xué)幾個(gè)教授做的一個(gè)實(shí)驗(yàn)：先把一只青蛙扔進(jìn)沸騰的油鍋里，它非常敏捷，馬上跳了出來(lái)。然后教授們把這只青蛙放進(jìn)一只裝有溫水的鐵鍋里，下面點(diǎn)著小火。它感到暖洋洋很舒服，水溫逐漸升高，它仍然悠然自在。等到它覺(jué)得燙了，體內(nèi)能量已耗盡，肌肉已硬了，跳不出來(lái)了，就這樣被煮死了

2、。“青蛙現(xiàn)象”告訴我們，一些突變事件，往往容易引起人們警覺(jué)，而易致人于死地的卻是在自我感覺(jué)良好的情況下，對(duì)實(shí)際情況的逐漸惡化，沒(méi)有清醒的察覺(jué)，沒(méi)能及時(shí)做出反應(yīng)。當(dāng)感到危機(jī)臨頭了，再想挽救已經(jīng)來(lái)不及了。人的頭腦習(xí)慣于注意幅度較大的變化，我們要學(xué)會(huì)看出緩慢、漸進(jìn)的過(guò)程。用我們中國(guó)人的話(huà)來(lái)說(shuō)就是要防微杜漸，把問(wèn)題解決在萌芽狀態(tài)。 壓力篇用戶(hù)管理層同行技術(shù)成本管理壓力用戶(hù)希望得到更多的信息、輔助、便利性；盡量少的限制、操作復(fù)雜性。管理層希望高效的組織結(jié)構(gòu)，快速響應(yīng)能力政策上合規(guī)、支撐企業(yè)戰(zhàn)略目標(biāo)達(dá)成。技術(shù)要求不斷提高，組織結(jié)構(gòu)總是被新產(chǎn)品使用拖動(dòng)傳統(tǒng)中用成本中心的眼光看待IT服務(wù)支撐部是否比對(duì)手領(lǐng)先一

3、步，IT 不僅是基礎(chǔ)平臺(tái)，已經(jīng)成為戰(zhàn)略資源，構(gòu)成競(jìng)爭(zhēng)力的主因同樣的問(wèn)題還在出現(xiàn)安全問(wèn)題技術(shù)解決PDCA In The ISMS設(shè)計(jì) ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS計(jì)劃執(zhí)行檢查反應(yīng)It 安全管理體系分析現(xiàn)狀發(fā)現(xiàn)問(wèn)題執(zhí)行風(fēng)險(xiǎn)評(píng)估（分析問(wèn)題、找出原因、設(shè)定目標(biāo)、定義策略建立組織定義計(jì)劃定義規(guī)則PDCA In The ISMSDesign the ISMS執(zhí)行和使用 ISMSMonitoring and review the ISMSImprove and u

4、pdate the ISMSPLAN行動(dòng)CHECKACTISMSIt 安全管理體系落實(shí)責(zé)任、執(zhí)行計(jì)劃培訓(xùn)、實(shí)踐，形成核心能力PDCA In The ISMSDesign the ISMSImplement and use the ISMS監(jiān)控和檢查ISMSImprove and update the ISMSPLANDO檢查ACTIt 安全管理體系執(zhí)行監(jiān)控過(guò)程內(nèi)部審計(jì)風(fēng)險(xiǎn)動(dòng)態(tài)預(yù)測(cè)發(fā)現(xiàn)意外PDCA In The ISMSDesign the ISMSImplement and use the ISMSMonitoring and review the ISMS改進(jìn)和升級(jí)ISMSPLANDOCHE

5、CKACTIt 安全管理體系對(duì)比目標(biāo)，對(duì)意外做出改進(jìn)矯正性和預(yù)防性活動(dòng)向下一個(gè)環(huán)節(jié)交付現(xiàn)存問(wèn)題關(guān)鍵環(huán)節(jié)有哪些？HOW?基線(xiàn)目標(biāo)可量化，可衡量，可以達(dá)到的目標(biāo)Objective目標(biāo)目標(biāo)完成國(guó)內(nèi)上市公司的關(guān)于IT 管理的合規(guī)要求完成國(guó)家對(duì)于重點(diǎn)行業(yè)實(shí)行信息系統(tǒng)等級(jí)保護(hù)的合規(guī)要求完成ISO-27001 的認(rèn)證其它安全是管理層的責(zé)任安全管理僅在It部門(mén)展開(kāi)安全的責(zé)任被委派到低層次的人員主觀的風(fēng)險(xiǎn)的衡量無(wú)專(zhuān)門(mén)組織做風(fēng)險(xiǎn)管理從傳統(tǒng)的管理角度過(guò)渡到董事會(huì)關(guān)注是CEO的工作 (屬于董事會(huì)的監(jiān)管)It 是業(yè)務(wù)核心 是戰(zhàn)略資源安全管理要在整個(gè)企業(yè)范圍內(nèi)進(jìn)行一體化管理安全管理的責(zé)任由高級(jí)和部門(mén)管理人員承擔(dān)It 風(fēng)險(xiǎn)

6、管理是企業(yè)風(fēng)險(xiǎn)管理的一部分11Page 策略針對(duì)不同對(duì)象的安全策略（原則、遵行標(biāo)準(zhǔn)、指導(dǎo)方針、底線(xiàn)）針對(duì)各類(lèi)技術(shù)的最低要求針對(duì)功能的基礎(chǔ)要求執(zhí)行組織的結(jié)構(gòu)和目標(biāo)例如：企業(yè)信息資產(chǎn)分類(lèi)及管理策略企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)及管理策略安全職能組織管理策略IT 保障日常工作管理和突發(fā)情況處置策略盡可能詳盡的，涉及實(shí)體、組織、過(guò)程的做事指導(dǎo)方針Policies策略詳盡策略組織企業(yè)安全工作領(lǐng)導(dǎo)機(jī)構(gòu)IT 安全執(zhí)行機(jī)構(gòu)IT 安全審計(jì)監(jiān)督IT 安全事件應(yīng)急響應(yīng)機(jī)構(gòu)健全的組織架構(gòu)清晰的職責(zé)邊界、最小授權(quán)原則、有效制衡原則。明確的決策規(guī)則和程序 有效的激勵(lì)和監(jiān)督機(jī)制 Organise組織清晰組織Regulation規(guī)

7、則基于策略的、滿(mǎn)足實(shí)際要求、以人為本的規(guī)章和制度規(guī)則通用的員工IT 操作的規(guī)則通用的IT 維護(hù)規(guī)則針對(duì)特殊環(huán)境中的規(guī)則針對(duì)各應(yīng)用系統(tǒng)的規(guī)則針對(duì)特殊業(yè)務(wù)目標(biāo)的規(guī)則務(wù)實(shí)規(guī)則認(rèn)證合規(guī)必要的認(rèn)證、合規(guī)Code of practice for information security management (ISO/IEC 17799)信息安全管理最佳實(shí)踐組成的國(guó)際標(biāo)準(zhǔn)，非技術(shù)性標(biāo)準(zhǔn)，重點(diǎn)在于IT安全管理控制，是信息安全管理必不可少的參考；COBIT，信息化全生命周期管理框架，重點(diǎn)在于IT控制和IT度量評(píng)價(jià)，強(qiáng)烈建議將其作為IT風(fēng)險(xiǎn)管理、IT審計(jì)標(biāo)準(zhǔn)的重要參考；ITIL，IT服務(wù)管理的最佳實(shí)踐，重點(diǎn)在于

8、IT流程管理，強(qiáng)調(diào)IT支持和IT價(jià)值交付，可以在實(shí)施IT運(yùn)維和IT服務(wù)管理時(shí)作為參考；企業(yè)內(nèi)部控制基本規(guī)范 上交所內(nèi)部控制指引、深交所內(nèi)部控制指引、銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引巴塞爾協(xié)議、薩班斯法案、信息安全等級(jí)保護(hù)管理辦法ITIL IT服務(wù)管理最佳實(shí)踐(ISO/IEC 17799)COBIT 4.1國(guó)內(nèi)上市公司要求美國(guó)上市公司要求國(guó)家重點(diǎn)行業(yè)要求Compliance合規(guī)ISO27001通過(guò)認(rèn)證帶來(lái)全面價(jià)值的提升遵守適用法律證書(shū)的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從一定角度講，ISO27001:2005 標(biāo)準(zhǔn)是對(duì)適用法律法規(guī)的補(bǔ)充和注解，因?yàn)镮SO27001:200

9、5 標(biāo)準(zhǔn)本身的制訂，是參照了業(yè)界最通行的實(shí)踐措施的，而這些實(shí)踐措施，在很多國(guó)家相關(guān)的信息保護(hù)法規(guī)中都有體現(xiàn)很多國(guó)家所推行的相關(guān)的行業(yè)指導(dǎo)性文件及要求，又可能是參照BS7799 而擬定的。因此，通過(guò)ISO27001:2005認(rèn)證，可以使組織更有效地履行國(guó)家法律和行業(yè)規(guī)范的要求主體本身組織高效運(yùn)作證書(shū)的獲得，本身就能證明組織在各個(gè)層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任財(cái)務(wù)狀況ISMS 的實(shí)施，本身也能降低因?yàn)闈撛诎踩录l(fā)生而給組織帶來(lái)的損失，另外，也有可能減少保險(xiǎn)金支出通過(guò)認(rèn)證帶來(lái)全面價(jià)值的提升人員素質(zhì)以及意識(shí)提升職員的安全意識(shí)，增強(qiáng)其責(zé)任感風(fēng)險(xiǎn)管理有助于更好地了解信息

10、系統(tǒng)，并找到存在的問(wèn)題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù)。商業(yè)信譽(yù)和信心當(dāng)合作伙伴、股東和客戶(hù)看到組織為保護(hù)信息而付出的努力時(shí)，其對(duì)組織的信心將得到加強(qiáng)。同樣的，證書(shū)的獲得，有助于確定組織，在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì)，提升其市場(chǎng)地位。商業(yè)運(yùn)營(yíng)符合型符合企業(yè)的自身遠(yuǎn)期發(fā)展需要，事實(shí)上，現(xiàn)在很多國(guó)際性的投標(biāo)項(xiàng)目已經(jīng)開(kāi)始要求ISO27001:2005 符合性了，通過(guò)認(rèn)證已經(jīng)是眾多企業(yè)提升核心競(jìng)爭(zhēng)力的必要手段關(guān)于ISO27001認(rèn)證流程ISO27001 規(guī)定了很多與建立、實(shí)施、維護(hù)和改進(jìn)ISMS 相關(guān)的要求，組織是否符合這些要求，要在認(rèn)證審核過(guò)程中予以驗(yàn)證組織在建

11、立并實(shí)施ISMS 之后應(yīng)該運(yùn)行一段時(shí)間，確保體系功能正常、用戶(hù)得到有效培訓(xùn)、文件和記錄系統(tǒng)運(yùn)轉(zhuǎn)正確，一旦ISMS 根據(jù)設(shè)計(jì)規(guī)范運(yùn)轉(zhuǎn)達(dá)到了令組織滿(mǎn)意的狀態(tài)，就可以聯(lián)系一家被認(rèn)可的認(rèn)證機(jī)構(gòu)，準(zhǔn)備相關(guān)資料，提出認(rèn)證申請(qǐng)ISO27001認(rèn)證審核的過(guò)程大致分兩個(gè)階段，即文件審核階段和現(xiàn)場(chǎng)審核階段認(rèn)證申請(qǐng)流程：如左圖投資等級(jí)保護(hù)操作實(shí)務(wù)有哪些系統(tǒng)系統(tǒng)中的信息分類(lèi)系統(tǒng)的服務(wù)分類(lèi)服務(wù)的對(duì)象受害客體郵件系統(tǒng)財(cái)務(wù)系統(tǒng)OA系統(tǒng)穩(wěn)定存儲(chǔ)安全管理商業(yè)敏感信息內(nèi)部敏感信息公開(kāi)信息合作伙伴員工VIP開(kāi)放個(gè)人隱私公司商業(yè)利益企業(yè)公眾形象侵害程度定級(jí)(信息安全/服務(wù)安全) 一般嚴(yán)重非常嚴(yán)重信息實(shí)體標(biāo)識(shí)密級(jí)標(biāo)識(shí)絕密信息機(jī)密信息秘

12、密信息內(nèi)部信息公開(kāi)信息控制標(biāo)識(shí)操作權(quán)限保密存儲(chǔ)受控存儲(chǔ)不可通過(guò)郵件發(fā)送，復(fù)制載體登記，集中管理不可復(fù)制必須通過(guò)郵件加密發(fā)送，不可打印，不可復(fù)制授權(quán)復(fù)制PDF 格式,可以通過(guò)郵件發(fā)送，授權(quán)打印，授權(quán)復(fù)制自由復(fù)制處理標(biāo)識(shí)創(chuàng)建者復(fù)制人（使用受權(quán)人）抄送到（被授權(quán)人）介質(zhì)標(biāo)識(shí)紙介紙介+數(shù)字?jǐn)?shù)字系統(tǒng)等級(jí)保護(hù)劃分標(biāo)準(zhǔn)等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)社會(huì)秩序和公共利益合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)損害第三級(jí)國(guó)家安全社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專(zhuān)門(mén)監(jiān)督檢查等級(jí)劃分實(shí)例信息系統(tǒng)安

13、全保護(hù)等級(jí)定級(jí)定級(jí)系統(tǒng)名稱(chēng)侵害程度監(jiān)管強(qiáng)度一級(jí)互聯(lián)網(wǎng)郵件系統(tǒng)企業(yè)和個(gè)人合法權(quán)益受損自主保護(hù)二級(jí)內(nèi)部OA企業(yè)合法權(quán)益嚴(yán)重?fù)p害公共利益損害指導(dǎo)互聯(lián)網(wǎng)門(mén)戶(hù)三級(jí)企業(yè)ERP危及企業(yè)運(yùn)行，公共利益嚴(yán)重?fù)p害監(jiān)督檢查四級(jí)鉆井?dāng)?shù)據(jù)存儲(chǔ)系統(tǒng)國(guó)家戰(zhàn)略資源信息嚴(yán)重?fù)p害，國(guó)家安全損害或嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查策略的實(shí)務(wù)借助咨詢(xún)公司針對(duì)于某種目標(biāo)的專(zhuān)家豐富業(yè)界的經(jīng)驗(yàn)教育的背景擅長(zhǎng)策略和計(jì)劃為客戶(hù)窮盡問(wèn)題的可能提供各種解決方案為客戶(hù)的想法提供理由提升決策的公信力提供創(chuàng)新的建議規(guī)則務(wù)實(shí)參考COBIT4.0 建立管理和控制及評(píng)估機(jī)制COBIT4.0一共有209頁(yè)，囊括了7個(gè)業(yè)務(wù)需求、20個(gè)業(yè)務(wù)目標(biāo)、28個(gè)IT目標(biāo)、34個(gè)IT過(guò)程、

14、100多個(gè)控制管理目標(biāo)，針對(duì)每個(gè)IT過(guò)程還定義有專(zhuān)門(mén)的度量方法和能力成熟度評(píng)估模型（5個(gè)級(jí)別，每個(gè)級(jí)別有專(zhuān)門(mén)的定義描述）。關(guān)于COBIT4.0計(jì)劃和組織定義IT 戰(zhàn)略計(jì)劃定義信息架構(gòu)決定技術(shù)方向定義IT 過(guò)程、組織和關(guān)系管理IT 投資溝通管理目標(biāo)和方向管理IT人力資源管理質(zhì)量管理IT 風(fēng)險(xiǎn)管理項(xiàng)目（PO1-PO10共計(jì)10個(gè)過(guò)程）獲得和執(zhí)行確定自動(dòng)的方案獲得和運(yùn)維應(yīng)用軟件獲得和運(yùn)維技術(shù)架構(gòu)授權(quán)操作和使用獲得IT 資源管理變化安裝和授權(quán)方案和變化。（AI1-AI7 共計(jì)7過(guò)程）提交和支持定義和管理服務(wù)水平管理第三方服務(wù)管理性能和適應(yīng)性保障不間斷服務(wù)保障系統(tǒng)安全。DS1-DS13共計(jì) 13過(guò)程監(jiān)視

15、監(jiān)視和評(píng)估it 性能監(jiān)視和評(píng)估內(nèi)控以外部要求確認(rèn)合規(guī)提供IT 控制M1-M4 共計(jì)4個(gè)過(guò)程組織實(shí)務(wù)Windows 系統(tǒng)專(zhuān)家Unix/linux 系統(tǒng)專(zhuān)家安全專(zhuān)家網(wǎng)絡(luò)專(zhuān)家Internet 專(zhuān)家存儲(chǔ)專(zhuān)家系統(tǒng)集成專(zhuān)家數(shù)據(jù)庫(kù)專(zhuān)家應(yīng)用系統(tǒng)專(zhuān)家系統(tǒng)網(wǎng)絡(luò)應(yīng)用訪(fǎng)問(wèn)控制保密管理認(rèn)證授權(quán)管理弱點(diǎn)風(fēng)險(xiǎn)分析網(wǎng)絡(luò)管理安全補(bǔ)訂管理事故響應(yīng)管理外部風(fēng)險(xiǎn)管理安全事件管理安全審計(jì)安全控制安全策略應(yīng)急響應(yīng)系統(tǒng)管理應(yīng)用管理風(fēng)險(xiǎn)管理組織架構(gòu)實(shí)務(wù)董事會(huì)、監(jiān)事會(huì)總裁、執(zhí)委會(huì)IT 保障部總經(jīng)理系統(tǒng)安全審計(jì)員IT 審計(jì)經(jīng)理IT安全 部經(jīng)理安全架構(gòu)師安全分析師項(xiàng)目組安全專(zhuān)員網(wǎng)絡(luò)部經(jīng)理項(xiàng)目部 部經(jīng)理組織架構(gòu)（合規(guī)）董事會(huì)、監(jiān)事會(huì)總裁、執(zhí)委會(huì)IT

16、 保障部總經(jīng)理系統(tǒng)安全審計(jì)員IT 審計(jì)經(jīng)理安全 部經(jīng)理安全架構(gòu)師安全分析師項(xiàng)目組安全專(zhuān)員審計(jì)委員會(huì)企業(yè)內(nèi)審經(jīng)理網(wǎng)絡(luò)部經(jīng)理項(xiàng)目部 部經(jīng)理安全崗位安全架構(gòu)師根據(jù)策略構(gòu)建安全控制機(jī)制：域管理、 訪(fǎng)問(wèn)控制管理、 VPN 管理、桌面安全管理 門(mén)戶(hù)策略管理 、 數(shù)字證書(shū)、實(shí)體授權(quán)安全分析師根據(jù)策略建立風(fēng)險(xiǎn)控制機(jī)制 IPS/IDS 管理 防病毒病毒管理 行為管理項(xiàng)目組安全專(zhuān)員平臺(tái)的安全架構(gòu)師或安全分析師項(xiàng)目組安全架構(gòu)師或安全分析師保障崗位網(wǎng)絡(luò)架構(gòu)師構(gòu)架網(wǎng)絡(luò)（1層-3層）維護(hù)網(wǎng)管手冊(cè)、地址表維護(hù)內(nèi)部網(wǎng)絡(luò)環(huán)境系統(tǒng)架構(gòu)師構(gòu)建維護(hù)應(yīng)用軟件的運(yùn)行系統(tǒng)，維護(hù)系統(tǒng)管理手冊(cè)應(yīng)用架構(gòu)師構(gòu)建維護(hù)應(yīng)用系統(tǒng)的運(yùn)行維護(hù)各項(xiàng)應(yīng)用系統(tǒng)的管理手冊(cè)借助域做授權(quán)管理完整的認(rèn)證授權(quán)過(guò)程人力資源部系統(tǒng)企業(yè)安全架構(gòu)師安全策略安全審計(jì)部系統(tǒng)架構(gòu)師項(xiàng)目管理部增加刪除用戶(hù)創(chuàng)建 策略組定義 組的屬性創(chuàng)建 分系統(tǒng)中的 角色組 定義 角色組在系 統(tǒng)中的權(quán)限綁定 角色與 策略組將用戶(hù)放入角色組C: 文化認(rèn)同 (culture)O: 組織運(yùn)營(yíng) (organize)R: 崗位職責(zé) (responsibility)P: 考核激勵(lì) (promotion)E: 知識(shí)結(jié)構(gòu) (episteme)T: 團(tuán)隊(duì)建設(shè) (team)E: 學(xué)習(xí)發(fā)展 (enterprising)危機(jī)意識(shí)、權(quán)限與授權(quán)戰(zhàn)略目標(biāo)、核心能力、價(jià)值理念、組織認(rèn)同組織體制、職位積極性、創(chuàng)新意識(shí)、危機(jī)意識(shí)